Bit - loader

Introducción al diseño e implementación de Directorio Activo. Parte 3


Netmind - Introducción al diseño e implementación de Directorio Activo. Parte 3    Artículo | Windows Server 2016
Joan Carles Roca | 02/05/18

Seguimos en este tercer artículo sobre el diseño del Directorio Activo. En el diseño una de las preguntas que debemos responder es “Cuantos Forests necesito”.  A veces es una tarea obvia, otras no tanto. Lo primero que deberemos tener claro son los requisitos de negocio. Básicamente deberemos centrarnos en dos aspectos. La autonomía que puedan necesitar ciertos grupos de trabajo y el nivel de asilamiento que pudieran necesitar.

 

El Directorio Activo permite acomodar diversos tipos de configuraciones, como separar recursos mediate unidades organizativas, o incluso dominios dependiendo del nivel de aislamiento necesario dentro de un mismo Forest.  En una gran cantidad de situaciones la separación mediante distintos dominios dentro de un mismo Forest es suficiente, dado que cada dominio tiene sus administradores, sus directivas, y es un límite de seguridad en si mismo. Entonces, por qué debería plantearse una situación con distintos Forest?.

 

Introducción al diseño e implementación de Directorio Activo. Parte 3 0

Una de las razones más comunes, tiene que ver con las aplicaciones utilitzadas.  Hasta ahora hemos planteado un Forest como una organización jerárquica de dominios, en donde los dominios son límites de seguridad en si mismos. Aunque esto es cierto, hay información compartida entre todos los dominios del mismo Forest, lo que subvierte en cierta forma la idea del aislamiento absoluto entre dominios.

 

Para entenderlo mejor, explicaremos brevemente la estructura de la base de datos del directorio activo y la replicación.

 

 

Esta base de datos, es una base de datos LDAP, dividida en particiones, siendo las principales, la de Dominio, la de Configuración y la de Esquema.  En la partición de Dominio se almancenan todos los objetos que los administradores crean en el Dominio, como usuarios, equipos, unidades organizativas, grupos, etc…

 

En la de Configuración se almacena información de estructura del Forest, como cuantos dominios existen y como se llaman, cuales son sus controladores de dominio, relaciones de confianza que unen a los dominios…., pero además información de configuración de aplicaciones que se integran con el directorio activo, como por ejemplo Exchange. La información sobre la confguración de una organización de Exchange no está en los servidores de correo sinó en la partición de configuración de los controladores de dominio.

 

Por último, en la partición de esquema se guardan las definiciones de todos los objetos que se pueden crear en el directorio activo, es decir que atributos los componen, como por ejemplo que un objeto usuario está definido por un grupo exacto de atributos, como el nombre, apellido, número de empleado etc… Este esquema nos sirve de plantilla cuando deseamos crear un objeto. Cuando creamos un nuevo usuario, el directorio activo busca en el esquema la definición del objeto y saca un duplicado. En ese momento nosotros vemos en pantalla el formulario para  introducir los nuevos datos de dicho usuario.

 

El punto clave radica en como replica la base de datos del directorio activo.  La replicación varia dependiendo de la partición. La partición de dominio únicamente replica con los controladores de dominio del mismo dominio, en cambio las particiones de configuración y de esquema replican con todos los controladores de dominio del bosque.

 

Es decir si alguien realiza una modificación a la partición de confguración, afecta no únicamente a su dominio sinó a todo el Forest. También existen aplicaciones que deben extender el esquema con nuevos atributos y objetos, o modificar algunos existentes, lo cual también afecta a todo el Forest.

 

Introducción al diseño e implementación de Directorio Activo. Parte 3 1

 

Como conclusión, si necesitamos un aislamiento incluso sobre modificaciones que las aplicaciones pudieran realizar sobre las particiones de configuración y esquema deberemos crear otro Forest.

 

Este motivo, pude ser necesario por un cumplimiento legal sobre aislamiento que necesitemos garantizar a clientes o entidades públicas.

 

En el siguiente artículo explicaremos otros motivos por lo cuales podemos necesitar más de un Forest y avanzaremos en el diseño del Directorio Activo.


Entradas relacionadas
Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.