Introducció a Active Directory

3 Novembre 2013
Josep Ma Solanes 0

Abans de començar aviso que es tracta d’un tema una mica complex i em veig obligat a separar el tema en varies entrades, perquè es puguin assimilar bé els conceptes i no sigui tant espès de llegir i escriure. L’Active Directory és una de les meves especialitats què es pot complicar o simplificar molt. Us parlaré des d’una vessant més pràctica, des de la meva pròpia experiència al llarg del temps, i per tant, simplificant i ometent configuracions complexes. No obstant, quedo obert a les vostres peticions. Avui toca una mica de teoria doncs.

Per què serveix un Active Directory?

Un Active Directory (Directori Actiu o Directorio Activo, com preferiu) serveix per unir i identificar màquines i usuaris dins la xarxa, als que se’ls proporciona certs paràmetres de configuració i privilegis de manera centralitzada des d’un servidor. Es pot arribar a dir que, en part, és una base de dades central amb els equips, usuaris i configuracions. I una eina molt útil pels Administradors de Sistemes.

Posem el cas que disposem de 5 equips basats en Microsoft Windows i a la vegada, 5 usuaris que han d’operar en aquests equips. Una solució és posar els 5 equips en xarxa amb el mateix usuari d’Administrador i la mateixa contrasenya, a ser possible en blanc (no serà la primera vegada que ho vegi) i que els usuaris canviïn d’un equip a l’altre segons les necessitats. Quan s’ha d’instal·lar o parametritzar una aplicació (les plantilles de l’Office, per exemple), cal anar a cada equip i aplicar la configuració corresponent.

Què passa quan en comptes de 5 equips en tinc 25, o 50, 100, 250, 500, 1000, 5000…amb els seus corresponents usuaris, o fins inclús més usuaris que equips (en el cas de llocs de treball a torns)? I els paràmetres que he de modificar no és 1 sinó 200, 300, 500…per cada equip i cada usuari?
O em torno boig aplicant configuracions i m’aprimo 50 Kgs de cop de tant caminar o busco una alternativa, l’Active Directory.

Per altra banda, hi ha la seguretat i privacitat de la informació. És possible que en una xarxa petita tothom pugui tenir accés a tot arreu, però n’esteu segurs? Només cal pensar una mica la pregunta, a consciència, per endevinar que no tot és o pot ser públic. I el compliment de les lleis a les que estem subjectes (el desconeixement de la llei no implica el seu incompliment)?

Us sona la LOPD i la LSSI? Per no dir altres normatives de seguretat específiques de cada sector. Això, fa necessari aplicar certs nivells de seguretat a la informació i identificar els usuaris del sistema per, a més, poder-los desvincular dels equips.

Desvincular l’usuari de l’equip? Un petit parèntesi per explicar de forma breu aquest concepte que tractaré en una entrada posterior.
Pels que fa temps que esteu en informàtica, us sonarà que abans era molt habitual que cada usuari tingués el SEU equip. Aquest es personalitzava amb el que necessitava l’usuari: aplicacions , documents, fons de pantalla, configuracions, etc… Si s’espatllava l’equip, l’usuari assignat ja no podia treballar perquè tot estava en aquell equip. Doncs bé, desvincular l’usuari de l’equip significa agafar tot el què és l’usuari en el món digital (els seus documents i configuracions) i posar-ho en un lloc central (servidor), fent que sigui accessible des de qualsevol equip de la xarxa, sempre i quan pertanyi al mateix Active Directory. D’aquesta manera, si a l’usuari se li espatlla l’equip, només cal substituir-lo per un altre o desplaçar-se a un lloc de treball lliure, identificar-se com a usuari i de manera transparent apareix el seu entorn de treball (documents, fons de pantalla, configuracions, etc…; inclús es poden fer aparèixer les aplicacions que utilitza); podent continuar la seva tasca. Qui permet fer això? Doncs l’Active Directory, des de la versió 2000 (Microsoft Windows Server 2000).

Qui forma un Active Directory?

Prodríem dir que Active Directory és una tecnologia, no un producte ni una aplicació concreta, sinó que s’utilitzen diferents aplicacions per configurar-lo segons l’apartat en que es vol actuar. La implementació d’un Active Directory requereix d’un estudi i disseny previ segons l’àmbit on es desplega. No és el mateix desplegar un Active Directory en una xarxa de 5 equips situats en un únic emplaçament físic, que en una xarxa de 50 equips distribuïts en 5 llocs físics o una xarxa de 3000 equips amb diferents departaments i llocs físics; per posar algun exemple. Ara bé, a grosso modo, la configuració serà la mateixa per la xarxa de 5 equips que per la dels 3000.

A fi d’entendre-ho millor utilitzaré la següent il·lustració que mostra una estructura Active Directory una mica complexa:

ActiveDirectory01

Conceptes a tenir clars i memoritzar

Active Directory

El nom que identifica la tecnologia, és el paraigües que ho engloba tot i a la vegada no és res. Es parla de crear l’usuari o donar d’alta l’equip a l’Active Directory, però en realitat es fa dins un domini que pertany al Active Directory. No és cap aplicació concreta, més aviat es pot considerar la base de dades, la informació.

En la nostra il·lustració seria tot el conjunt, no hi ha res concret, tornem a repetir la mateixa il·lustració.

ActiveDirectory01

 

Bosc (forest)

És un primer nivell de l’Active Directory i es considera el límit de seguretat. Equivaldria a una cosa semblant a la jurisdicció de la policia a una ciutat. Tot el què conté el bosc es pot administrar de manera centralitzada i, per tant, assignar permisos de seguretat d’una manera o altre. El què queda fora del bosc, és això, està fora de l’abast de ser administrat. No obstant, es poden connectar diferents boscos, però és una altra història. Sempre n’hi haurà un.

En la nostra il·lustració seria tot el conjunt, però com es veuria un altre bosc? Com es veu en la següent il·lustració, un al costat de l’altre, on no hi ha dependències, almenys de moment. Tot el bosc comparteix el mateix nom arrel, per exemple: laboratoris.local, seria un. O bé proves.local, seria l’altre.

ActiveDirectory05

 

 

Arbre (tree)

A l’igual que el bosc, és un concepte més que una altra cosa. Un arbre conté els dominis i es considera un arbre diferent quan a un domini conté dos subdominis per a sota. Com a mínim hi haurà un arbre, el principal, tot i que potser no es vegi com a tal.
M’explico amb un exemple. Suposem el domini inicial laboratoris.local, d’ell poden penjar altres dominis: tarragona.laboratoris.local, lleida.laboratoris.local. En aquest cas, tarragona…formaria un arbre i lleida…un l’altre. Aquests arbres, poden contenir altres dominis per a sota: valls.tarragona.laboratoris.local, balaguer.lleida.laboratoris.local. L’ordre jeràrquic defineix cada arbre, així tenim l’arbre principal laboratoris.local del què penja l’arbre de tarragona, que inclou els dominis de tarragona i valls; i l’arbre de lleida que inclou els dominis de lleida i balaguer.

En la nostra il·lustració seria cada branca que penja del domini principal (laboratoris.local), d’aquesta forma tenim l’arbre tarragona i lleida.

ActiveDirectory03

 

 

Domini (domain)

És un límit de replicació, forma part de l’arbre i conté les unitats organitzatives, els equips, usuaris, grups de seguretat, grups de distribució, etc… És una part més tangible, amb la que més es treballa. Com a mínim hi ha un domini.

La seva representació esquemàtica és mitjançant un triangle que pot estar buit o bé representat per un esquema. És possible també trobar-lo amb detalls en el seu interior com poden ser els servidors DC, unitats organitzatives, grups de seguretat, usuaris, equips, etc…

ActiveDirectory06

 

Lloc (site)

El lloc és la separació física. Com a mínim hi ha un lloc. No està vinculat a CAP domini, sinó que defineix la separació física per a les rèpliques entre llocs o per aplicar polítiques segons on estigui l’equip o usuari (configuració de proxy, servidors de fitxers locals…). Un domini pot estar ubicat en diferents llocs i un lloc pot contenir diferents dominis. Es configura segons el rang de la xarxa. Per exemple, la central i delegacions. La central pot ser la xarxa 192.168.0.0/24 i disposar de 2 delegacions, la xarxa 192.168.1.0/24 i la 192.168.2.0/24.

La seva representació esquemàtica és mitjançant un cercle. Es pot trobar buit, sense entrar en detall a cada lloc o bé, a l’igual que el domini, incloent elements més detallats.

ActiveDirectory04

 

Unitat Organitzativa

S’ubiquen dins de cada domini i són contenidors, carpetes, que contenen els equips, usuaris, grups de seguretat, distribució, etc…i on s’apliquen polítiques de configuració, delegacions administratives, etc… Per tant, serveixen per organitzar-nos com Administradors. Un bon disseny de les mateixes permetrà una administració més àgil.

La seva representació esquemàtica és mitjançant una carpeta i segueix un arbre jeràrquic, a l’igual que les carpetes del sistema de fitxers de Windows.

ActiveDirectory07

 

Servidor DC (domain controller – controlador de domini)

És el servidor que conté i ofereix el servei d’Active Directory. Com a mínim n’hi ha un per Active Directory i domini.

La seva representació esquemàtica és mitjançant un servidor amb un triangle o bé un llibret mig obert, que identifica l’Active Directory.

ActiveDirectory08

 

Servidor DNS (domain name system)

L’Active Directory es sustenta en la resolució de noms DNS, per tant, és necessari disposar d’aquest servei a la xarxa. Tots els equips que pertanyin a l’Active Directory han de tenir configurat, com a servidor DNS (a les propietats TCP/IP de cada equip), un servidor de la xarxa que ofereixi aquesta resolució, normalment és munta en el mateix servidor DC.

No tinc ben definit una icona per aquest servei, si l’he necessitat l’he identificat amb una bola del món o amb el símbol de base de dades.

 

Global Catalog (Catàleg global)

És un servidor DC que emmagatzema una còpia de tots els objectes de l’Active Directory a nivell de bosc. En el catàleg global, es guarda una còpia completa de tots els objectes de l’Active Directory pel domini al què pertany el servidor, i una còpia parcial de tots els objectes, els atributs més buscats, de la resta de dominis del bosc. Fa les funcions de cercar objectes, proporciona autenticació del nom principal de l’usuari, pertinença a grups de seguretat universals en entorns de múltiples dominis i valida referències a objectes dins d’un bosc.

No tinc ben definit una icona per aquest servei, si l’he necessitat l’he identificat amb el símbol de base de dades.

 

Rols de servidor (FSMO roles)

L’Active Directory és un servei distribuït. Això vol dir que el mateix servei es pot oferir des de diferents servidors per temes d’alta disponibilitat i rendiment. Però existeixen 5 rols que només els pot oferir un dels servidors a la vegada per a cada nivell. En cas d’apagada o pèrdua, el rol es pot passar a un dels altres servidors. Aquests rols són:

A nivell d’Active Directory

Schema master (mestre d’esquema)

Controla les actualitzacions i modificacions a l’esquema. L’esquema conté la definició dels objectes i atributs que composen l’Active Directory. Equivaldria a les taules i camps d’una base de dades. Un cop actualitzat l’esquema es passa la còpia a la resta de servidors DC. Per actualitzar l’esquema es necessari accedir al servidor d’esquema. Només n’hi pot haver un per a tot el bosc.

Domain naming master (mestre de dominis)

Controla l’alta i baixa de dominis al bosc i per tant és l’únic que ho pot fer. També és l’encarregat d’establir les relacions de confiança entre dominis externs. Només n’hi pot haver un per a tot el bosc.
A nivell de domini

Relative ID master (RID – mestre de IDs)

Els objectes d’un domini (equips, usuaris, grups) s’identifiquen amb un número únic (no, no és el nom que es posa). Aquest identificador únic s’anomenen SID (identificador de seguretat) i està format per un SID del domini, el mateix per a tots els objectes del mateix domini; i un RID (identificador relatiu) que és únic per a cada objecte del domini. El servidor DC que té el rol de RID és l’encarregat de mantenir la seqüència dels RIDs per a cada servidor DC del domini a fi que no es dupliquin. Només n’hi pot haver un per a cada domini dins el bosc, per tant, si en un bosc hi tinc dos dominis, tindré dos servidors DC que faran de RID, un per a cada domini.

PDC emulator (emulador PDC)

És l’encarregat de processar els canvis de contrasenya des dels equips clients i replicar aquestes actualitzacions a tots els servidors DC del domini. Només n’hi pot haver un per a cada domini dins el bosc, per tant, si en un bosc hi tinc dos dominis, tindré dos servidors DC que faran de PDC emulator, un per a cada domini.

Infrastructure master (mestre d’infraestructura)

Manté actualitzades les referències dels objectes del seu domini en els altres dominis (en cas que hi hagi més d’un domini). És un rol que s’assigna a un servidor que no sigui catàleg global, ja què si s’ubica al mateix servidor perd sentit (no hi haurà mai dades per actualitzar) i per tant deixa de funcionar.
També és l’encarregat d’actualitzar les referències d’usuaris a grups. Només n’hi pot haver un per a cada domini dins el bosc, per tant, si en un bosc hi tinc dos dominis, tindré dos servidors DC que faran de mestre d’infraestructura, un per a cada domini.

 

Com munto un Active Directory?

Presentats tots els elements, la meva recomanació per muntar un Active Directory en una xarxa, sigui petita o gran, en la majoria dels casos es crearà: un únic bosc amb un arbre i un domini; amb els llocs que es requereixin i dos servidors DC que a la vegada actuïn com a catàleg global.

En quan els servidors DC, amb un n’hi ha suficient, però en cas que s’hagi d’apagar o reiniciar (actualitzacions, per exemple) implica deixar de donar servei durant el temps que duri la intervenció. Si no em puc permetre aquesta parada, o bé per temes de rendiment en xarxes grans, es recomanable disposar d’un segon servidor dins el mateix domini. Aquest segon servidor actua en paral·lel amb el primer i conté una còpia (catàleg global) del mateix Active Directory. Tots dos formen una única entitat. En cas que els dos servidors no parlessin entre ells, es podria dir que, l’Active Directory s’ha dividit en dos iguals i tindríem un petit problema, solucionable, és clar.

 

Com continuar?

Continuaré les explicacions aplicant la següent estructura de Active Directory, amb un únic bosc, un únic arbre, un únic domini i, de moment, un únic lloc; vàlida per a quasi totes les instal·lacions.

ActiveDirectory09

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada