黑料海角91入口

Este es el FAQ definitivo para Microsoft Active Directory 鈥攃onstruido para responder a todas las preguntas m谩s frecuentes sobre el servicio de directorio local legendario. Nos adentraremos en el qu茅, el cu谩ndo, el por qu茅, el qui茅n y el c贸mo de Microsoft Active Directory, tambi茅n conocido como AD o MAD.

AD es un servicio muy utilizado y a la vez muy incomprendido. Desarrollado por Microsoft a finales de la d茅cada de 1990, AD es el servicio de directorio local, a menudo denominado proveedor de identidades (IdP), m谩s conocido del mundo. AD marc贸 el comienzo de la era de la gesti贸n de identidades moderna a principios de la d茅cada de 2000, pero con un panorama de TI cambiante hay una serie de preguntas que los administradores de TI y las organizaciones tienen sobre lo que es AD, c贸mo funciona y por qu茅 es importante.

Hemos identificado algunas de las preguntas m谩s comunes sobre Active Directory y las hemos respondido a continuaci贸n.

Conceptos b谩sicos de Active Directory

驴Qu茅 es Active Directory?

Active Directory es un servicio de directorio/proveedor de identidad que permite a los administradores conectar a los usuarios con los recursos TI basados en Windows. Adem谩s, con AD, el departamento de TI puede gestionar y proteger sus sistemas y aplicaciones basados en Windows. AD almacena informaci贸n sobre los objetos de la red (por ejemplo: usuarios, grupos, sistemas, redes, aplicaciones, activos digitales y muchos otros elementos) y su relaci贸n entre ellos.

Los administradores pueden utilizar AD para crear usuarios y concederles acceso a port谩tiles, servidores y aplicaciones de Windows. Tambi茅n pueden utilizar AD para controlar grupos de sistemas simult谩neamente, aplicando configuraciones de seguridad y actualizaciones de software.

El acceso y los controles se realizan utilizando el concepto de dominio. El concepto de dominio es esencialmente un concepto de inclusi贸n y exclusi贸n. Tradicionalmente, este enfoque se aprovechaba para las ubicaciones f铆sicas. Hist贸ricamente, muchos recursos de las tecnolog铆as de la informaci贸n se alojaban en las instalaciones y, por lo tanto, formaban parte del dominio, es decir, de la red interna, y cuando un usuario se encontraba en la ubicaci贸n f铆sica ten铆a acceso a todos los recursos necesarios en las instalaciones. Si un usuario estaba fuera de la sede, ten铆a que conectarse por VPN para que pareciera que estaba en la sede. Este enfoque funcionaba bien cuando los recursos de TI y las personas estaban en la misma proximidad f铆sica.

AD forma parte del espacio m谩s amplio de la Gesti贸n de Identidades y Accesos (IAM) y a menudo se complementa con soluciones de inicio de sesi贸n 煤nico (SSO) o MDM (gesti贸n de dispositivos m贸viles), entre muchas otras. La Plataforma de Directorio 黑料海角91入口 es una alternativa basada en la cloud a Active Directory.

驴Cu谩ndo se lanz贸 Active Directory?

Microsoft present贸 al mundo por primera vez Active Directory en 1999 y lo lanz贸 junto con 鈥淲indows^庐 2000 Server edition鈥�.

驴Qu茅 protocolos utiliza AD?

Active Directory aprovecha los protocolos de red para DNS/DHCP y el Protocolo Ligero de Acceso a Directorios (LDAP), junto con la versi贸n propietaria de Microsoft de Kerberos para la 补耻迟别苍迟颈肠补肠颈贸苍.

Mucha gente se pregunta por qu茅 AD no admite de forma nativa m谩s protocolos, como SAML y RADIUS. No vamos a especular sobre su razonamiento, pero s铆 creemos que un enfoque multiprotocolo es el futuro de IAM. La compatibilidad con protocolos como SAML y RADIUS puede lograrse a trav茅s de soluciones complementarias de Microsoft, as铆 como de soluciones de terceros.

驴Por qu茅 el Active Directory se llama activo?

Nuestra mejor suposici贸n es que AD se llama Active Directory porque actualiza activamente la informaci贸n almacenada en el directorio. Por ejemplo, cuando un administrador a帽ade o quita un usuario de la organizaci贸n, Active Directory replica autom谩ticamente ese cambio a todos los servidores del directorio. Esto sucede a un intervalo regular para que la informaci贸n siempre se mantenga actualizada y sincronizada. 

Hoy en d铆a, este tipo de comportamiento “activo” se espera en los sistemas inform谩ticos. Pero, antes de la era de los servicios de directorio informatizados, el concepto de un directorio que se mantuviera a s铆 mismo actualizado era bastante innovador. Hay que tener en cuenta que, cuando se acu帽贸 el apelativo de Active Directory, todav铆a se utilizaban com煤nmente las enciclopedias f铆sicas y la Wikipedia “activa” a煤n no se hab铆a lanzado.

驴Qui茅n utiliza Active Directory?

En general, cuando una organizaci贸n aprovecha Active Directory, todos los empleados utilizan Active Directory todos los d铆as sin siquiera saberlo. Las personas utilizan Active Directory cuando inician sesi贸n en sus m谩quinas de trabajo y cuando acceden a aplicaciones, impresoras y archivos compartidos.

Pero los principales usuarios de Active Directory son los administradores. Estas personas realmente operan, gestionan y configuran AD. Los administradores de AD probablemente incluyen a todo el equipo TI y tambi茅n pueden incluir miembros de los equipos de seguridad, DevOps o ingenier铆a.

Pr谩cticamente todas las organizaciones del mundo utilizan una soluci贸n como Active Directory u otro proveedor de identidades. Habilitar y controlar el acceso a los recursos de TI es uno de los aspectos m谩s importantes del funcionamiento de una organizaci贸n en los tiempos modernos. Soluciones como los servicios de directorio permiten a las organizaciones ser productivas.

驴Por qu茅 es importante Active Directory?

Tanto si la gente se da cuenta como si no, Active Directory ha permitido que el mundo empresarial avance desde principios de siglo. AD est谩 presente en casi todas las organizaciones grandes y en muchas peque帽as. Es una herramienta tan fundamental (siempre zumbando en silencio en el fondo) que muchas personas que utilizan AD todos los d铆as ni siquiera se dan cuenta de lo que es AD, o de que es la clave para su acceso seguro a su port谩til, aplicaciones, red e incluso archivos. En resumen, un servicio de directorio es lo que conecta a los usuarios con sus recursos de TI, y AD ha hecho eso para los usuarios con sus recursos de Windows durante casi dos d茅cadas.  

Definiciones de Active Directory

驴Qu茅 son los objetos de Active Directory?

Un objeto es el t茅rmino gen茅rico para cualquier unidad de informaci贸n almacenada en la base de datos de Active Directory. Los objetos pueden incluir usuarios, port谩tiles, servidores e incluso grupos de otros objetos (explicado debajo). 

驴Qu茅 son los grupos de Active Directory?

AD permite a los administradores gestionar conjuntos de m煤ltiples objetos y estos conjuntos se conocen como grupos. Mediante los GPO (objetos de pol铆tica de grupo), un administrador puede realizar un cambio en un grupo y hacer que ese cambio se aplique a todos los objetos de ese grupo. Suelen utilizarse para segmentar a los usuarios o sistemas por departamentos o autorizaciones. 

La conclusi贸n es que la gesti贸n basada en grupos hace que la administraci贸n de TI sea m谩s eficiente.

驴Qu茅 son los bosques, los 谩谤产辞濒es y los dominios en Active Directory?

Un bosque es la parte m谩s alta de la estructura l贸gica de Active Directory, que tambi茅n incluye objetos, 谩谤产辞濒es, dominios y unidades organizativas (OU).  Un bosque describe una colecci贸n de 谩谤产辞濒es, que denotan una colecci贸n de dominios. Entonces, 驴qu茅 son los 谩谤产辞濒es y los dominios? 

Bien, un dominio es un conjunto de usuarios, ordenadores y dispositivos que forman parte de la misma base de datos de Active Directory. Si una organizaci贸n tiene varias ubicaciones, puede tener un dominio separado para cada una de ellas. Por ejemplo, una organizaci贸n internacional podr铆a tener un dominio para su oficina de Londres, otro para su oficina de Nueva York y un tercero para su oficina de Tokio. 

Se podr铆a utilizar un 谩谤产辞濒 para agrupar esos tres dominios como ramas pertenecientes al mismo 谩谤产辞濒, por as铆 decirlo. Una organizaci贸n que tenga varios 谩谤产辞濒es podr铆a entonces agruparlos en un bosque.

Este es un concepto central de Active Directory y puede ser complicado. Si tiene preguntas, env铆enos una nota y estaremos encantados de ayudarle a determinar qu茅 tipo de estructura de AD tiene sentido para su organizaci贸n.

驴Qu茅 es un controlador de dominio?

Un controlador de dominio es cualquier servidor que ejecuta los servicios de dominio de Active Directory. Se necesita al menos un controlador de dominio para utilizar el Active Directory, aunque la mayor铆a de las organizaciones tienen al menos dos por ubicaci贸n. Las organizaciones grandes y multinacionales pueden necesitar decenas de controladores de dominio en cada una de sus ubicaciones f铆sicas para garantizar una alta disponibilidad de su instancia de AD. Generalmente, se piensa que los DC (鈥渄omain controller鈥� o controladores de dominio) est谩n ligados a una oficina f铆sica, lo que en el actual entorno de trabajo remoto puede ser un reto.

Los usuarios individuales y sus sistemas est谩n conectados al controlador de dominio a trav茅s de la red. Cuando los usuarios solicitan acceso a objetos dentro de la base de datos de Active Directory, AD procesa esa solicitud y autoriza o impide el acceso al objeto. 

Una vez dentro del dominio, un usuario no necesita introducir otro nombre de usuario y contrase帽a para acceder a los recursos del dominio a los que tiene derecho. La 补耻迟别苍迟颈肠补肠颈贸苍 y el acceso se producen sin problemas. Esa es la belleza del dominio. Pero este concepto empieza a fallar cuando se introducen recursos que no son de Windows. Tambi茅n tiene problemas si los usuarios son remotos y no est谩n conectados f铆sicamente al dominio; en este caso, el usuario final tendr谩 que conectarse por VPN a la red y ser autenticado por el DC para poder acceder a sus recursos locales basados en Windows.

Tenga en cuenta que Microsoft tambi茅n ha extendido el concepto de dominio a Azure. Las organizaciones pueden crear un dominio independiente en Azure a trav茅s de Azure AD DS. Este dominio est谩 separado y es distinto de los dominios locales, aunque los dos pueden ser puenteados a trav茅s de una variedad de tecnolog铆a conectiva incluyendo Azure AD Connect y Azure AD.

Tambi茅n debemos tener en cuenta que existe un nuevo concepto llamado Empresa sin Dominio, que adopta el enfoque de eliminar el concepto de dominio, pero manteniendo la idea de acceder de forma segura y sin fricciones a los recursos de TI dondequiera que est茅n. Este concepto es especialmente 煤til para las organizaciones que aprovechan las aplicaciones web, la infraestructura en la cloud y las plataformas que no son de Windows (por ejemplo, macOS, Linux).

驴Qu茅 es el Active Directory Domain Services (AD DS)?

AD DS b谩sicamente establece la base de datos de objetos que sirve de fundamento para la gesti贸n de AD. AD DS no es el 煤nico rol de servidor asociado con Active Directory, pero se podr铆a argumentar que es el rol de servidor que corresponde m谩s directamente a la funcionalidad principal que la gente asocia con AD.

驴C贸mo funciona Active Directory?

Cuando los Servicios de Dominio de Active Directory se instalan en un servidor, 茅ste se convierte en un controlador de dominio. Este servidor almacena la base de datos de Active Directory, que contiene una jerarqu铆a de objetos y su relaci贸n entre ellos. 

El Active Directory es gestionado por un administrador a trav茅s de una GUI (interfaz gr谩fica de usuario) de tipo 鈥渢hick-client鈥� (cliente pesado) que se asemeja al gestor de archivos de Windows (mostrado arriba). Esta aplicaci贸n se ejecuta en un servidor de Windows y no es una aplicaci贸n moderna basada en un navegador. Los administradores pueden se帽alar, hacer clic y arrastrar objetos dentro de AD y ajustar su configuraci贸n haciendo clic con el bot贸n derecho del rat贸n y accediendo al men煤 desplegable. 

AD tambi茅n puede controlarse a trav茅s de la l铆nea de comandos y mediante herramientas que aprovechan PowerShell, el lenguaje de Microsoft para la automatizaci贸n y las tareas a nivel de API.

驴Qu茅 es Azure^庐 Active Directory?

La mayor idea err贸nea sobre Azure AD es que se trata del Active Directory en la cloud. Pero la verdad es que Azure AD no se cre贸 para ser un AD independiente en la cloud. En cambio, Azure AD ha sido dise帽ado para extender una instancia de Active Directory existente a la cloud.

Para entender mejor la relaci贸n entre AD y AAD, el diagrama de arquitectura de referencia de Microsoft puede ser 煤til.

El concepto puede ser complicado, con muchas partes m贸viles: sincronice su AD local con Azure AD Connect y puede conectar su base de datos existente de identidades de usuario y grupos a los recursos basados en la cloud de Azure. Por supuesto, necesitas Azure AD y, si quieres crear un dominio dentro de Azure, tambi茅n el producto Azure AD DS.

Azure AD puede hacer muchas cosas que AD no puede hacer (por ejemplo, tiene un componente integrado de inicio de sesi贸n 煤nico para aplicaciones web) 鈥攜 el paraguas m谩s amplio de la plataforma Azure de Microsoft abarca una funcionalidad tan amplia que se puede pensar en ella como el competidor de Microsoft a Amazon Web Services. Pero no se enga帽e pensando que eso significa que Azure AD puede hacer todo lo que puede hacer el Active Directory local.  

驴Qu茅 es Azure AD Connect?

Azure AD Connect es una herramienta que se utiliza para federar las identidades de Active Directory locales a los recursos que se alojan en la plataforma Azure a trav茅s de Azure Active Directory. Estos recursos pueden incluir sistemas, servidores y aplicaciones de Office 365鈩� y Azure.

Qu茅 Es y Qu茅 No Es AD

驴Es el Active Directory Single Sign-On (SSO)?

Se podr铆a decir que Active Directory era SSO antes de que existiera el SSO. Con esto queremos decir que AD puede proporcionar una experiencia de inicio de sesi贸n 煤nico para los usuarios al centralizar el acceso a todos los recursos basados en Windows dentro de la base de datos. Adem谩s, esos recursos estaban todos en la sede o, como m铆nimo, conectados al dominio. 

Dicho esto, lo que la industria considera convencionalmente como SSO (SSO de aplicaciones web) es muy diferente de AD y, de hecho, el SSO convencional surgi贸 de la incapacidad de AD para autenticar a los usuarios en las aplicaciones web a mediados de la d茅cada de 2000. Hoy en d铆a, muchas organizaciones siguen complementando su Active Directory con una herramienta de SSO de aplicaciones web basada en el navegador.

Sin embargo, los nuevos requisitos empresariales han hecho que el concepto de SSO se extienda ahora a los dispositivos, las redes, los servidores de archivos, y m谩s, por lo que el concepto moderno de SSO va m谩s all谩 del mero acceso a los recursos de Windows o incluso a las aplicaciones web. El concepto del SSO Verdadero es a煤n m谩s amplio y muy relevante para las organizaciones modernas en las que los usuarios y sus recursos TI pueden estar en todo el mundo.

驴El Active Directory es un Software?

S铆, es un software desarrollado por Microsoft que se instala, mantiene y actualiza en el hardware del servidor basado en Windows. El software de AD se licencia a trav茅s de un concepto llamado CALs (licencias de acceso de cliente) entre otros mecanismos. La concesi贸n de licencias para el software de AD puede ser bastante compleja, por lo que la mejor opci贸n es hablar con un distribuidor de Microsoft.

Adem谩s, el software y el hardware de AD no son una soluci贸n completa. Tendr谩 que adquirir otros componentes para que AD funcione, como soluciones de seguridad, alta disponibilidad, copias de seguridad, VPN, etc.

驴Es Active Directory un servidor?

No exactamente. Dicho esto, Active Directory requiere un servidor Windows para funcionar. Un servidor que ejecuta el software de Servicios de Dominio de Active Directory se conoce como controlador de dominio, tanto si ese servidor es un hardware f铆sico ubicado en las instalaciones como si est谩 virtualizado. 

驴Es Active Directory una base de datos?

Ser铆a m谩s exacto decir que Active Directory contiene una base de datos. La base de datos del Active Directory o es el almac茅n de todos los usuarios, grupos, sistemas, impresoras y pol铆ticas dentro de la red. Estos se conocen como objetos y pueden ser manipulados por los administradores que utilizan Active Directory.

驴Es Active Directory de c贸digo abierto?

No. Active Directory fue desarrollado de forma privada por Microsoft y su c贸digo no se ha puesto a disposici贸n del p煤blico como una herramienta de c贸digo abierto. La principal alternativa de c贸digo abierto a Active Directory es OpenLDAP (otras son FreeIPA, Samba, 389 Directory y otras). Puede obtener m谩s informaci贸n sobre la diferencia entre OpenLDAP y AD.

驴Es Active Directory LDAP?

Active Directory no es LDAP, pero utiliza LDAP. AD es un servicio de directorio que es capaz de comunicarse a trav茅s del protocolo LDAP y gestionar el acceso a los recursos basados en LDAP. El protocolo principal de AD es una versi贸n propietaria de Microsoft de Kerberos.

Funcionalidad de Active Directory

驴Qu茅 necesita para hacer funcionar Active Directory? 

En general, para operar con AD, necesitar谩s un servidor, una copia de seguridad, espacio en el centro de datos y un VPN. Eso es s贸lo para cubrir los aspectos b谩sicos, pero para la mayor铆a de las organizaciones tambi茅n tendr谩 que resolver la seguridad, el equilibrio de carga / alta disponibilidad, la copia de seguridad de los datos, y mucho m谩s. Tambi茅n necesitar谩s un administrador de TI que sea lo suficientemente h谩bil t茅cnicamente como para instalar, gestionar y mantener AD.

Dicho esto, los requisitos de hardware y software necesarios para operar Active Directory son 煤nicos para cada organizaci贸n. Algunos de los aspectos que debe tener en cuenta a la hora de determinar lo que necesitar谩 para hacer funcionar AD, son los siguientes:

• n煤mero de usuarios
• n煤mero de sistemas
• nivel de RAM requerido
• necesidades de ancho de banda de la red
• capacidad del almacenamiento de archivos y exigencias de rendimiento
• potencia de procesamiento 

Evaluar con precisi贸n su entorno TI es crucial para el uso eficaz de Active Directory, y tomar atajos podr铆a dar lugar a problemas de rendimiento en el futuro. Para obtener m谩s informaci贸n, consulte el Microsoft. Tambi茅n querr谩 hablar con los distribuidores de Microsoft sobre las licencias, ya que pueden ser complejas. Estos requisitos de licencia pueden incluir el software del servidor, las licencias de acceso de los clientes, y m谩s.

Por supuesto, si tiene sistemas, aplicaciones, servidores de archivos e infraestructura de red que no sean de Windows, tendr谩 que adquirir tambi茅n complementos como el SSO de aplicaciones web, la 补耻迟别苍迟颈肠补肠颈贸苍 multi-factor, la gesti贸n de accesos privilegiados, la gobernanza y la auditor铆a, etc.

驴Cu谩les son las limitaciones de Active Directory?

S铆, hay l铆mites en Active Directory. Desde el n煤mero m谩ximo de objetos hasta el n煤mero m谩ximo de GPOs aplicados, Active Directory tiene sus restricciones. He 补辩耻铆 algunas de ellas:

• Un controlador de dominio puede crear “un poco menos” de 2.150 millones de objetos durante su vida
• Los usuarios, los grupos y las cuentas de ordenador (directores de seguridad) pueden ser miembros de un m谩ximo de aproximadamente 1.015 grupos
• Puede aplicar un l铆mite de 999 objetos de pol铆tica de grupo (GPO) a una cuenta de usuario o a una cuenta de equipo.
• Debe evitar realizar m谩s de 5.000 operaciones por transacci贸n LDAP cuando escriba scripts o aplicaciones para una transacci贸n LDAP.

Puede leer m谩s sobre las limitaciones de Active Directory . Desde un punto de vista pr谩ctico, existen limitaciones debidas a la capacidad del hardware del servidor, el ancho de banda, la latencia del rendimiento, etc. Los administradores TI tendr谩n que entender toda su infraestructura para comprender c贸mo sus usuarios se ven afectados por este tipo de limitaciones.

驴Por qu茅 hacer una copia de seguridad de Active Directory?

T贸mese un momento y piense en todo el trabajo que ha realizado para crear un entorno de TI seguro y sin fisuras. Ha conseguido proporcionar a los usuarios la cantidad justa de acceso a todos los recursos de TI que necesitan para realizar su trabajo. Tiene todos los GPOs correctos en su lugar. Su estructura l贸gica es impecable. 

Sin una copia de seguridad, se corre el riesgo de tener que empezar de nuevo. 

No s贸lo es una molestia volver a configurar todo, sino que el resto de la empresa se retrasar谩 considerablemente en la vuelta al trabajo. Los empleados no podr谩n acceder a sus recursos de las tecnolog铆as de la informaci贸n hasta que haya reconstruido su configuraci贸n del Active Directory. Por lo tanto, tener una estrategia de copia de seguridad para su instancia de Active Directory puede ahorrarle mucho tiempo y pena en caso de que experimente un fallo o un desastre. Para obtener consejos sobre lo que debe tener en cuenta para su plan de recuperaci贸n de desastres, considere leer este . 

Por supuesto, hacer una copia de seguridad de AD es s贸lo uno de los escenarios de desastre que tendr谩 que tener en cuenta. Las conexiones a Internet pueden cortarse, el hardware puede fallar, los errores humanos pueden ocurrir tambi茅n, y m谩s. Tambi茅n habr谩 que tener en cuenta todo esto. Como saben los administradores de TI, los servicios de 补耻迟别苍迟颈肠补肠颈贸苍 suelen ser una iniciativa de tiempo de actividad del 100%.

驴Cu谩ndo es el momento de sustituir Windows Server?

La vida 煤til estimada de un servidor suele ser de unos cinco a帽os. Despu茅s de eso, est谩 en tiempo prestado. Si todav铆a est谩 utilizando Windows Server 2003 o Windows Server 2008, deber铆a pensar en adquirir un nuevo controlador de dominio. El EOL (鈥渆nd of life鈥� o final de su vida) para Windows Server 2003 ocurri贸 en julio de 2015 y el EOL para Windows Server 2008 fue el 14 de enero de 2020.

驴Existe alguna pr谩ctica recomendada de Active Directory? 

S铆. Al crear la infraestructura de Active Directory, existen algunas pr谩cticas recomendadas que pueden ayudarle a mantener una seguridad s贸lida y tambi茅n a evitar problemas de configuraci贸n. He 补辩耻铆 algunas recomendaciones:

1. Cambie la configuraci贸n de seguridad por defecto: Los atacantes conocen bien la configuraci贸n de seguridad por defecto de AD, por lo que es mejor cambiarla de sus valores predeterminados (). 
2. Utiliza los principios de m铆nimo privilegio en los roles y grupos de AD:  Al dar a los empleados el menor acceso que necesitan para hacer su trabajo, se reduce la superficie de ataque para los intrusos (). 
3. Controla los privilegios de administraci贸n y limita las cuentas en el grupo de Administradores de Dominio: De forma similar al punto anterior, debes tratar de minimizar qui茅n tiene acceso de superusuario ().
4. No utilice un controlador de dominio como si fuera un ordenador: En otras palabras, no instales software o aplicaciones en un controlador de dominio. Lo mejor es que un controlador de dominio sea un servidor dedicado exclusivamente a esta funci贸n. En general, los administradores siguen el concepto de un servidor, una funci贸n (). 
5. Parchee regularmente el AD: Los atacantes tambi茅n pueden explotar f谩cilmente las aplicaciones, el sistema operativo y el firmware sin parches en los servidores AD. Evite darles este punto de apoyo parcheando regularmente (). 
6. Supervise y audite el estado de AD: Hacerlo le permitir谩 solucionar las interrupciones y otros problemas m谩s r谩pidamente (). 
7. Defina una convenci贸n de nomenclatura al principio:  Esto ayudar谩 mucho a mantener el AD organizado a medida que se escala (). 
8. Limpie AD regularmente: Elimine los usuarios, equipos y cuentas de grupo obsoletos con una cadencia regular. Hacerlo ayudar谩 a mantener la seguridad y la organizaci贸n (). 
9. Conseguir la hora correcta del dominio: Tener la hora correcta en todos los controladores de dominio, servidores miembros y m谩quinas es importante para la 补耻迟别苍迟颈肠补肠颈贸苍 Kerberos y para asegurarse de que los cambios se distribuyen correctamente ().

驴C贸mo se asegura el Active Directory?

Muchas de las mejores pr谩cticas enumeradas anteriormente llegan al coraz贸n de esto: mantenga su instancia de AD parcheada, actualizada y utilice los principios de m铆nimo privilegio. No utilice su controlador de dominio para nada m谩s que las funciones necesarias para los servicios del dominio. 

En lo que respecta a la seguridad f铆sica, se puede considerar la posibilidad de cerrar la sala de servidores, colocar alarmas en todos los puntos de acceso, mantener los locales bajo vigilancia por v铆deo y tambi茅n instalar alarmas de inundaci贸n y sistemas de prevenci贸n de incendios. 

Tambi茅n tendr谩 que formar a los usuarios que tengan acceso a AD sobre c贸mo mantenerse seguros.

Por supuesto, para muchas organizaciones el concepto de seguridad f铆sica puede dejarse en manos de un proveedor de la cloud, si se utiliza uno.

驴C贸mo se garantiza la alta disponibilidad con AD? 

No existe una f贸rmula 煤nica para lograr la alta disponibilidad (HA, por sus siglas en ingl茅s) de su instancia de Active Directory. Las diferentes organizaciones tienen diferentes necesidades y est谩ndares de tiempo de actividad. Sin embargo, la redundancia es fundamental para todos, excepto para los administradores menos propensos al riesgo. El enfoque que vemos con m谩s frecuencia en las PYMES es tener un controlador de dominio directo en el entorno de producci贸n y un segundo DC que sirva de respaldo. Esta estrategia general de redundancia puede ampliarse para organizaciones y empresas m谩s grandes.

Hay una serie de componentes de infraestructura de red y hardware que son necesarios para garantizar la alta disponibilidad. Muchas organizaciones est谩n cambiando a la cloud y aprovechando a los proveedores de la cloud para ayudarles a resolver los problemas de HA y de equilibrio de carga. 

驴Puede funcionar Active Directory con dispositivos Mac?

T茅cnicamente, s铆, Active Directory puede funcionar para Mac^庐. Pero las capacidades de gesti贸n de usuarios y sistemas de AD son reducidas en dispositivos Mac en comparaci贸n con la funcionalidad con los sistemas Windows. El control profundo y automatizado de los sistemas Mac se ha logrado convencionalmente s贸lo con la ayuda de extensiones de directorio de terceros o MDM (gestores de dispositivos m贸viles). El control estricto de los usuarios, incluido el aprovisionamiento, el desaprovisionamiento y las modificaciones de permisos, tambi茅n es un reto en los sistemas Mac cuando se utiliza AD.

驴Por qu茅 aprender sobre Active Directory?

Saber utilizar AD es una habilidad valiosa y ampliamente aplicable en organizaciones de todo el mundo. El aprendizaje de AD es especialmente valioso si quieres trabajar en TI dando soporte a dispositivos Windows, servicios en la cloud Azure, Sharepoint y muchos otros softwares y plataformas empresariales. 

Dicho esto, es posible avanzar en la carrera de TI sin tener que aprender AD. Las organizaciones modernas, que avanzan en la cloud, est谩n dejando de lado el AD local y van directamente a los servicios de directorio basados en la cloud. Puedes practicar con los servicios de directorio aprovechando una . Tambi茅n existe la Universidad 黑料海角91入口 que puede ayudarle a aprender los conceptos en torno a una plataforma de directorio en la cloud y a las empresas sin dominios.

Evaluando el Active Directory

驴Es Active Directory gratuito?

Esta es una confusi贸n com煤n. Aunque AD est谩 t茅cnicamente incluido en los Servidores de Windows, los servidores en los que se ejecuta ciertamente no lo est谩n, y Microsoft inteligentemente obtiene su dinero de los clientes de AD a trav茅s de las licencias de 鈥淲indows Server鈥�. El coste de las CAL (Client Access License, o licencias de acceso de cliente) garantiza que las organizaciones que utilizan AD sigan pagando a Microsoft mes tras mes. 

驴C贸mo puedo calcular el coste de Active Directory?

Tenemos una ecuaci贸n bastante sencilla para estimar el coste de AD:

Costos de Active Directory = servidores + software + alojamiento + copia de seguridad + supervisi贸n + VPNs + administraci贸n TI + SW de terceros + 补耻迟别苍迟颈肠补肠颈贸苍 multi-factor + gobernanza

Dicho esto, el costo real de AD para su caso de uso espec铆fico no es tan sencillo. Si desea acceder a nuestra calculadora del ROI del servicio de directorio, puede solicitarlo 补辩耻铆.

驴Qu茅 tama帽o de organizaciones necesitan AD?

Cuanto m谩s grande es una empresa, m谩s probable es que utilice Active Directory. Las empresas, las universidades y las organizaciones gubernamentales necesitan servicios de directorio para gestionar de forma eficiente y segura el acceso a sus miles de recursos inform谩ticos. 

Aunque las organizaciones m谩s peque帽as han podido arregl谩rselas sin Active Directory (algunas utilizan Google Workspace o soluciones SSO como su directorio de usuarios), muchos equipos peque帽os siguen optando por implementar AD para mejorar la seguridad y la eficiencia. Por lo general, es cuando una organizaci贸n crece hasta llegar a unos 20 miembros del equipo cuando los responsables de toda la infraestructura de TI comienzan a pensar que es el momento de los servicios de directorio.

A medida que las organizaciones crecen, el costo y la complejidad del funcionamiento de AD pueden aumentar dr谩sticamente. Muchas organizaciones de TI han estado buscando diferentes maneras de hacer frente a esto y, en 煤ltima instancia, buscan alternativas a Active Directory. 

驴Cu谩les son las ventajas y desventajas de Active Directory?

Para decirlo en t茅rminos de beneficios simples, Active Directory ofrece estas ventajas:

1. Mayor control administrativo sobre los recursos de Windows
2. Mayor eficacia para usuarios y administradores
3. Sistemas, redes y datos de Windows m谩s seguros
4. Informes fiables y exhaustivos para la auditor铆a y el cumplimiento de la normativa

Pero el Active Directory tambi茅n es importante en el sentido de que viene con sus desventajas:

1. Funcionalidad reducida con sistemas Mac y Linux
2. Dificultad de configuraci贸n y gesti贸n
3. Requiere hardware local
4. Costos iniciales elevados
5. Conectividad limitada a aplicaciones e infraestructura en la cloud

驴Cu谩ndo se necesita el Active Directory?

Casi todo lo que hace Active Directory se puede hacer en un sistema individual sin Active Directory. Por ejemplo, configurar un nuevo usuario para un port谩til o instituir una determinada configuraci贸n de seguridad puede hacerse manualmente desde el sistema operativo. Pero la palabra clave es manual. Active Directory es necesario una vez que una organizaci贸n ha alcanzado un tama帽o en el que la administraci贸n manual de sus sistemas y recursos inform谩ticos ya no es viable. La capacidad de AD para llevar a cabo tareas de gesti贸n basadas en grupos entre usuarios y sistemas Windows, a escala, es lo que lo ha convertido en algo fundamental para las grandes organizaciones. 

Otra raz贸n com煤n por la que se necesita Active Directory es cuando una organizaci贸n est谩 sujeta a requisitos de auditor铆a y cumplimiento. Las estrictas exigencias de seguridad de los estatutos normativos como HIPAA, PCI y GDPR a menudo “obligan” a las organizaciones que de otro modo no necesitar铆an AD. 

A medida que m谩s organizaciones cambian a la cloud, aprovechan las aplicaciones web, utilizan plataformas modernas, y m谩s, la necesidad de AD est谩 disminuyendo, aunque el requisito de una soluci贸n hol铆stica de gesti贸n de identidades y accesos es m谩s cr铆tica que nunca.

驴Necesito a AD para pasar nuestra auditor铆a?

Esto depende realmente de sus necesidades de cumplimiento 鈥斅縮e enfrenta a una auditor铆a de PCI, HIPAA, SOX, SSAE 16 o ISO? Pero la respuesta corta es que nunca se necesita AD para pasar una auditor铆a. En general, los servicios de directorio pueden ser muy 煤tiles para lograr el cumplimiento de la normativa, ya que pueden (1) asegurar las identidades, (2) limitar el acceso a los recursos y datos cr铆ticos, y (3) simplificar los procesos de auditor铆a, registro e informes. Dicho esto, Active Directory es s贸lo una de las posibles soluciones de directorio que pueden ayudar a aumentar su seguridad.

Conozca m谩s sobre c贸mo 黑料海角91入口 ayuda con la seguridad y el cumplimiento.  

驴Cu谩ndo no se debe utilizar Active Directory?

Active Directory es ideal para entornos de las tecnolog铆as de la informaci贸n locales y basados en Windows. Si su entorno de TI no se ajusta a este modelo, deber铆a considerar la posibilidad de buscar alternativas al Active Directory. Por ejemplo, si aprovecha los sistemas Mac庐 y Linux庐, las aplicaciones basadas en la web, los servidores en la cloud, las redes inal谩mbricas o los servidores de archivos que no son de Windows, necesitar谩 soluciones complementarias para integrar estos recursos con Active Directory. A largo plazo, esto acabar谩 aumentando los costos y reduciendo la productividad.

A medida que muchas organizaciones se trasladan a la cloud, aumenta la oportunidad de utilizar plataformas modernas de directorios en la cloud. Estas pueden crear agilidad para las organizaciones y ahorrar costos significativos. 

驴Existen alternativas a AD?

S铆, hay algunas alternativas al Microsoft Active Directory. Todo depende de lo que usted quiera. Algunas organizaciones consideran que la gesti贸n manual de usuarios y sistemas es una alternativa viable a AD. La gesti贸n manual es viable hasta cierto punto, pero simplemente no es escalable.

El competidor convencional de AD es OpenLDAP鈩�. Se puede considerar como la alternativa de c贸digo abierto a AD. Pero OpenLDAP no es realmente una verdadera alternativa a AD. Es un servicio de directorio, pero no est谩 a la altura de AD caracter铆stica por caracter铆stica, y el nivel general de conocimientos t茅cnicos para configurar y mantener una instancia de OpenLDAP es exigente. En concreto, OpenLDAP no ayuda a gestionar sistemas (por ejemplo, como las capacidades de GPO de AD).

M谩s recientemente, hay herramientas de IAM web que ofrecen un grado de IAM. As铆 pues, estos son los SSO del mundo, junto con actores importantes como Google y su plataforma Google Workspace para empresas y organizaciones. Dicho esto, los enfoques de IAM que ponen “primero al navegador” siempre se han quedado cortos en lo que respecta al conjunto de caracter铆sticas de los verdaderos servicios de directorio (es decir, la gesti贸n de usuarios y sistemas). Ser铆a exagerado decir que el SSO o Google Workspace son una alternativa a AD, pero si est谩s de acuerdo con un conjunto de caracter铆sticas limitadas, es posible. 

En este caso tambi茅n se pueden considerar las soluciones MDM. Una vez m谩s, proporcionan algunas capacidades similares a las de AD, pero no llegan a ser verdaderos servicios de directorio. Pueden gestionar sistemas, pero tienen problemas con la gesti贸n de usuarios.

Por 煤ltimo, est谩n los servicios de directorio en la cloud, ejemplificados por nuestra propia plataforma de directorio en la cloud. Piense en 黑料海角91入口 como Active Directory y LDAP reimaginados para las tecnolog铆as de la informaci贸n modernas. El variado conjunto de caracter铆sticas de 黑料海角91入口 incluye la s贸lida gesti贸n de sistemas basada en grupos por la que son conocidos los servicios de directorio, pero lo hace en Windows, Mac y Linux, conectando de forma segura una 煤nica identidad de usuario a su estaci贸n de trabajo, archivos, redes y aplicaciones, sin necesidad de un controlador de dominio.

驴Sigue buscando respuestas? 驴Qu茅 nos falt贸?

Queremos que esta sea una gu铆a autoritativa, as铆 que si tiene alguna pregunta adicional que no hayamos respondido, por favor, p贸ngase en contacto con nosotros y h谩ganoslo saber. Estaremos encantados de responder a otras preguntas sobre AD o considerar la posibilidad de modificar una respuesta si puede arrojar m谩s luz sobre alguna de ellas. S贸lo as铆 podremos hacer de esto un FAQ definitivo.

.