Los servicios de Directorio han existido, de una u otra forma, desde los primeros días de la informática, para proporcionar una búsqueda básica y funcionalidad de autenticación para las implementaciones de redes empresariales. Un servicio de Directorio proporciona información detallada sobre un usuario u objeto en la red, muy parecido a la forma en qué una agenda telefónica se utiliza para buscar un número de teléfono mediante un nombre.
Los servicios de Directorio comúnmente se les llama las páginas blancas de una red. Proporcionan la administración y definición de usuario o de objeto.
Introducido en Windows 2000 Server como un reemplazo a los dominios en Windows NT, AD DS (en aquéllos días sólo AD) se mejoró ampliamente en las versiones posteriores de Windows Server 2003, 2003 R2, 2008, 2008 R2 y ahora en Windows Server 2012.
Las características clave de AD DS:
- Compatibilidad con TCP/IP –A diferencia de algunos de los protocolos propietarios como IPX/SPX y NetBEUI, TCP/IP se diseñó para ser multiplataforma. Con la subsiguiente adopción de TCP/IP como un estándar de Internet para la comunicación entre equipos, lo impulsó a la cabeza del protocolo mundial lo que le hizo un requisito necesario para los sistemas operativos empresariales. AD DS y Windows Server 2012 utilizan la pila del protocolo TCP/IP como su primer método de comunicaciones.
- Compatibilidad con LDAP –LDAP emergió como el protocolo de directorio estándar de Internet y se utiliza para actualizar y consultar datos dentro del directorio. AD DS soporta directamente LDAP.
- Compatibilidad con DNS (Domain Name System) –DNS se creó por la necesidad de traducir nombres simplificados que pueden entenderse por los humanos, (www.elcorteingles.es) en direcciones que entienden las computadoras (2.16.38.183). La estructura de AD DS es compatible y requiere efectivamente que la función de DNS trabaje correctamente.
- Compatibilidad de Seguridad –La compatibilidad basada en estándares de seguridad de Internet es vital para un buen funcionamiento de un entorno que está esencialmente conectado con millones de computadores por todo el mundo. La falta de una seguridad fuerte es una invitación a ser atacado, y Windows Server 2012 y AD DS tienen altos niveles de seguridad. IPsec, Kerberos, autoridades de certificación, y cifrado SSL integrado en Windows Server 2012 i AD DS.
- Una fácil administración –Aunque frecuentemente se pasa por alto en potentes implementaciones de servicios de directorio, la facilidad en que el entorno es administrado y se configura afecta directamente a los costos globales asociados con su uso. AD DS y Windows Server 2012 están específicamente diseñados con facilidad de uso con el fin de disminuir la curva de aprendizaje asociada con la utilización de un nuevo entorno. En Windows Server 2012 también se ha mejorado la administración de AD DS con la introducción del Centro de Administración de Active Directory, Servicios web de Active Directory y un modulo de Windows PowerShell de Active Directory para administrarlo desde la línea de comandos el cual ha sido mejorado bastante desde el original incluido en Windows Server 2008 y 2008 R2. PowerShell en el 2012 permite ahora mejor resolución de problemas y un aprovisionamiento totalmente automatizado de controladores de dominio y bosques enteros desde la línea de comandos. Además, también permite una virtualización mejorada del controlador de dominio.
Cambios de AD DS en Windows Server 2012
La mejora en la funcionalidad y confiabilidad de AD DS son de importancia clave para el equipo de desarrollo en Microsoft. Por eso, Windows Server 2012 introduce diversas mejoras en AD DS. Desde la capacidad de crear DC’s virtuales, a la de tener múltiples directivas de contraseñas en un dominio para la mejora del despliegue de de DC con la funcionalidad RODC, los cambios hechos en la estructura de AD DS justifican un repaso más cercano.
En Windows Server 2008 ya se introdujeron varios cambios en la funcionalidad de AD DS mucho más allá de las versiones de AD incluidas en Windows Server 2003 y 2003 R2. Ahora se introducen características y funcionalidades superiores aquéllas incluidas en Windows Server 2008 y 2008R2.
Tales como:
- Mejora del soporte de virtualización –La capacidad de creación de DC’s basados en plantillas de máquinas virtuales es un gran cambio en el 2012. Al mismo tiempo, se han añadido protecciones dentro de AD DS que protegen a los DC de errores realizados con las instantáneas de máquina virtual que causaban mayores problemas anteriormente.
- Control de acceso dinámico –El control de acceso dinámico crea un modelo nuevo de directiva central de acceso (CAP) qué permite una información de clasificación de archivos y se utilizada en decisiones de autorización. Esto permite a los objetivos empresariales ser más fácilmente evidentes cuando se examina la seguridad que está establecida en los servidores de archivos. Este modelo está soportado en los DCs 2012, asumiendo que estos servidores de archivos también ejecuten Windows Server 2012.
- Mejoras en la seguridad Kerberos –Microsoft ha añadido la característica FAST (Flexible Authentication Secure Tunneling) en Kerberos con el fin de reducir el que los errores kerberos sean suplantados por ataques de hackers. Llamado con frecuencia Kerberos armoring.
- Una mayor granularidad de la Directiva de control de contraseñas e interfaces de Papelera de reciclaje de AD –Microsoft ha facilitado ahora, la implantación de una directiva de control de contraseñas más granularizada y al mismo tiempo una papelera de reciclaje para AD, características difíciles de implementar anteriormente.
- Mejoras en el despliegue del propio AD –Características como AD BA (Active Directory Based Activation) permite a los servidores de licencias activarse más fácilmente, al tiempo que se han añadido mejoras en la funcionalidad de unión de dominios fuera de las instalaciones. Se ha añadido la funcionalidad ADPrep a las herramientas de despliegue, y el proceso entero de unión de un DC a un dominio, o la creación de un nuevo dominio puede realizarse ahora desde PowerShell.
- Mejoras en AD FS (Active Directory Federation Services) –Ahora se incluye de forma nativa AD FS 2.1 en Windows Server, y soporta llamadas de AD DS directamente, lo que permite la entrega de tokens SAML a las solicitudes de usuario y dispositivos que los toman directamente desde el ticket kerberos.
- Cuentas de servicio administradas de grupo –Esto permite a las cuentas de servicio administradas ser utilizadas por los servicios que necesitan compartir un único principal de seguridad, como los Clústeres.
- Mayor soporte Powershell –Una gran cantidad de cmdlets de PowerShell nuevos para Windows Server 2012 AD DS han sido diseñados, permitiendo casi a todas las operaciones ser automatizadas desde la línia de comandos.