Términos básicos de Active Directory

Aquí hay algunos términos que considero importantes al comenzar con Active Directory:

• Object (Objeto): Un objeto puede definirse como CUALQUIER y me refiero a CUALQUIER recurso administrable dentro de un entorno de Active Directory, como usuarios, computadoras, impresoras, controladores de dominio, grupos de seguridad, dominios, etc.

• Forest (Bosque): Un bosque es una colección de uno o más dominios que comparten el mismo esquema y la misma base de datos de directorio global. Se considera el contenedor de nivel superior. Los bosques operan de forma independiente entre sí, pero pueden configurarse para tener múltiples relaciones de confianza entre ellos.

  Los bosques no se consideran objetos en Active Directory porque no representan recursos o entidades individuales que puedan ser gestionados o configurados como los objetos dentro de un dominio (como usuarios o computadoras). Un bosque es una estructura organizativa que agrupa dominios, pero no posee los mismos atributos o propiedades que un objeto, ni se administra de la misma manera. Un bosque es un delimitador de seguridad; cuando escuches “Active Directory”, piensa en bosques.

  
• Domain (Dominio): Un dominio es una colección lógica de objetos dentro de una red, como usuarios, grupos, computadoras y otros recursos. Funciona como un límite administrativo y de seguridad dentro de Active Directory, permitiendo la gestión centralizada de estos objetos mediante políticas de seguridad, autenticación y autorización.

• Tree (Árbol): Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres continuo, como: corp.local, dev.corp.local, priv.dev.corp.local, blog.corp.local. Estos dominios están conectados por relaciones de confianza automáticas y se organizan en una estructura jerárquica. El dominio raíz es el primer dominio creado (en este caso, corp.local).

  
• Schema (Esquema): Actúa como una plantilla o base de datos maestra que define la estructura y los tipos de objetos que pueden existir en Active Directory (como usuarios, grupos y computadoras), así como los atributos que estos objetos pueden tener (como nombre, correo electrónico, SID, fecha de creación, etc.). Es compartido por todos los controladores de dominio (Domain Controllers) dentro del bosque. Solo los miembros del grupo Schema Admins pueden modificarlo.

  Recuerda que todo lo que se almacena en Active Directory se guarda en forma de objeto. El almacén de datos (Data Store) utiliza el esquema para hacer cumplir la integridad de los datos, lo que garantiza la creación coherente de objetos, independientemente de qué controlador de dominio (DC) los cree o modifique.

  

• Data Store (Almacén de datos): Es el conjunto completo de archivos y procesos que almacenan y gestionan la información de Active Directory. Comúnmente conocido como el directorio, es donde se guarda la información sobre los objetos del bosque (como usuarios, grupos, políticas, etc.). Este directorio se mantiene en los controladores de dominio y se replica entre ellos para asegurar la consistencia y la disponibilidad de los datos.

  Incluye:

  • La base de datos en sí (ntds.dit)

  • Archivos de registro de transacciones

  • Archivos temporales y de punto de control

  • El motor de almacenamiento extensible (ESE, Extensible Storage Engine), que gestiona cómo se lee y escribe la base de datos

  Ubicación típica del Data Store: C:\Windows\NTDS

  

  Componentes del Data Store:

  

  • Interfaces (LDAP, REPL, MAPI, SAM): Son componentes del almacén de datos que actúan como intermediarios entre las aplicaciones, servicios y la base de datos de Active Directory. Permiten que diferentes servicios del sistema y herramientas externas consulten, modifiquen o sincronicen la información almacenada en el archivo principal de la base de datos (ntds.dit).

  • DSA (Directory System Agent): Es responsable de controlar el acceso al directorio. Se asegura de que todo esté correctamente estructurado (según el esquema), verifica que los objetos sean válidos y protege los datos para garantizar que tengan el tipo adecuado (por ejemplo, que una fecha realmente sea una fecha y no texto plano).

  • Database Layer: Es una API que actúa como interfaz entre las aplicaciones y el directorio, impidiendo que las aplicaciones interactúen directamente con la base de datos.

  • ESE (Extensible Storage Engine): Se comunica directamente con los registros individuales que se encuentran en el directorio. Es como el motor interno que guarda y lee los datos en la base de datos. Trabaja con registros (usuarios, grupos, etc.) y asegura que se escriban correctamente. Es similar a un motor de base de datos como SQL, pero está diseñado específicamente para Active Directory.

  • Database Files: La información se almacena en un único archivo de base de datos llamado ntds.dit. Además, se utilizan archivos de registro (logs) para guardar los cambios de transacciones que no se completan correctamente.

• Database (Base de datos): La base de datos es el archivo principal dentro del Data Store donde se almacenan los objetos del dominio. Este archivo se llama: ntds.dit La ruta predeterminada donde se encuentra este archivo es: C:\Windows\NTDS\

  

  Contiene todos los objetos de Active Directory:

  • Usuarios

  • Grupos

  • Computadoras

  • Unidades organizativas (Organizational Units - OUs)

  • GPOs (Directivas de grupo)

  • Atributos y relaciones

  
• Security Principals (Principales de seguridad): Los principales de seguridad en Active Directory son objetos que el sistema puede autenticar, como usuarios, computadoras o procesos. Estos objetos pueden controlar el acceso a recursos dentro del dominio. También existen cuentas y grupos locales, gestionados por el SAM (Security Account Manager), que controlan el acceso únicamente en la máquina local. Un ejemplo práctico sería un servidor web: al ser un principal de seguridad, se le pueden asignar permisos específicos para acceder solo a los recursos que necesita.

• GUID - Globally Unique Identifier (Identificador Único Global): El GUID es un identificador único de 128 bits que se asigna a cada objeto en active directory en el momento de su creación. Se utiliza internamente para identificar de forma precisa objetos como usuarios, grupos o computadoras.

  Este valor no cambia mientras el objeto exista y representa un método confiable para buscar objetos en Active Directory, especialmente cuando tienen nombres similares.

  A continuación, se muestra un ejemplo de un GUID, que normalmente se representa en formato hexadecimal y dividido en cinco secciones:

  
• SID – Security Identifier (Identificador de seguridad): Un SID de Active Directory es un identificador único asignado a cada cuenta, grupo o entidad de seguridad en Active Directory. Se utiliza para gestionar y controlar los permisos de acceso a los recursos dentro del dominio.

  El SID es único para cada entidad y no se reutiliza, incluso si el objeto es eliminado.

  Este es un ejemplo de un SID:

  

  Este SID corresponde a una cuenta de usuario en un dominio de Windows y tiene una estructura estándar que incluye varios componentes. Los números después del prefijo "S-" representan un identificador único asignado a la entidad de seguridad (usuario, grupo o proceso).

  Cada parte del SID tiene un significado específico, como:

  • El identificador del dominio

  • El identificador de la máquina

  • El número único de la cuenta

• GPO – Group Policy Object (Objeto de directiva de grupo): Un GPO en Active Directory es un conjunto de directivas que se aplican a usuarios y computadoras dentro de un dominio. Un GPO permite a los administradores controlar y gestionar configuraciones de seguridad, opciones del sistema, software, scripts de inicio y apagado, y muchos otros ajustes del sistema para los dispositivos dentro de la red de AD.

  Los GPO pueden aplicarse a nivel de dominio, unidad organizativa (OU) o grupo, y permiten una administración centralizada de la configuración, lo que facilita el mantenimiento y la seguridad de la red.

• ACL – Access Control List (Lista de control de acceso): Una lista de control de acceso es una lista asociada a un objeto (como un archivo, carpeta o recurso en una red) que define qué usuarios o grupos tienen acceso a ese objeto y qué acciones pueden realizar sobre él, como leer, escribir o ejecutar.

  Cada ACL está compuesta por entradas de control de acceso (ACE – Access Control Entries), que son las entradas individuales dentro de la lista que especifican los permisos de acceso para cada usuario o grupo.

  Las ACL son fundamentales para la gestión de la seguridad en sistemas en red, ya que permiten un control detallado sobre quién puede hacer qué con los recursos de un dominio.

• ACE – Access Control Entry (Entrada de control de acceso): Una ACE es una entrada individual dentro de una ACL que define los permisos específicos de un usuario o grupo sobre un objeto.

  Cada ACE especifica qué permisos se conceden o deniegan a un sujeto (usuario, grupo o proceso) en relación con un recurso específico, lo que permite una gestión detallada del acceso.

• DN – Distinguished Name (Nombre distinguido): El DN es un identificador único y completo de un objeto en un directorio como Active Directory. Representa la ubicación completa de un objeto dentro de la estructura jerárquica del directorio.

  El DN incluye todos los componentes necesarios para identificar un objeto, comenzando desde el más específico hasta el más general (es decir, desde el objeto mismo hasta el dominio).

  Ejemplo de DN:

  

  Dónde:

  • CN=xbob: Es el common name del objeto (en este caso, un usuario).

  • OU=empleados: Es la organizational unit donde se encuentra el objeto.

  • DC=corp,DC=local: Es el domain en el que reside el objeto.

💡 Si estás familiarizado con cómo funcionan los directorios en Linux, puedes pensar en el Nombre Distinguido (DN) como una ruta absoluta, donde debes especificar toda la ruta desde la raíz (/), pero en Active Directory comienza desde el dominio (por ejemplo: corp.local).

• RDN – Relative Distinguished Name (Nombre Distinguido Relativo): El RDN es una parte del DN que identifica de forma única a un objeto dentro de su contenedor inmediato (por ejemplo, dentro de una unidad organizativa).

  El RDN se refiere a la porción del DN que está más cercana al objeto en la jerarquía, y suele ser un atributo como el Nombre Común (CN) o el Identificador de Usuario (UID).

  Ejemplo de RDN: