Pero, ¿qué es el directorio activo o AD?, pues el termino hace referencia a una herramienta que pertenece a Microsoft y proporciona servicios de directorio para su uso en entornos de Windows Server, generalmente dentro de una red LAN como la que se mencionó. Básicamente, el directorio consiste en una base de datos LDAP (Lightweight Directory Access Protocol), que contiene objetos en red distribuidos y organizados de forma jerárquica.

Este directorio activo presta servicio ubicado en uno o varios servidores, y es capaz de crear objetos como usuarios, equipos o grupos que administren las credenciales durante el inicio de sesión de cada equipo que se conecta a una red.

Además, la herramienta permite administrar las políticas de toda la red en la que se encuentre el servidor, tal como la gestión de permisos de acceso de usuarios, bandejas de correo personalizadas, o cualquier otro. Su uso va orientado a entornos de trabajo que cuentan con importantes recursos informáticos, que requieran administrar gran cantidad de equipos en cuanto a actualizaciones, instalación de programas y creación de archivos centralizados que permitan acceder a los recursos de manera remota desde las distintas estaciones de trabajo.

Por ende, el directorio activo es ideal si quieres centralizar los componentes típicos de una red LAN sin que tengas que ir de equipo en equipo, y evita que los usuarios puedan hacer lo que deseen, sin autorización, en una red.

Para que el directorio activo funcione utiliza principalmente cuatro protocolos de red: LDAP, DHCP, KERBEROS y DNS. Lo que tendrás con esta herramienta es una base de datos que en tiempo real almacena información de las credenciales de autenticación de los usuarios de una red, permitiendo que todos los equipos estén sincronizados bajo un elemento central.

Por ende, cuando un usuario en dicha base de datos se registra en un equipo, el servidor del directorio activo lo identifica como un objeto compuesto por atributos típicos que indican su presencia, como el <<Nombre>>, <<Apellido>>, <<Email>>, entre otros. También, este usuario pertenecerá a un determinado grupo que tiene privilegios como acceso a impresoras de la red, que se encuentran almacenadas con <<Nombre>>, <<Fabricante>> y otros atributos.

Así pues, cuando el usuario inicia un equipo se encontrará con una pantalla de bloqueo similar a las de cualquier otro sistema, donde deberá colocar su usuario y contraseña y, una vez dentro, no estará físicamente en el equipo sino en el servidor.

Entonces cuando el usuario ingresa, el cliente le solicita al servidor de directorio activo las credenciales, para verificarlas y asegurarse de que existan. Una vez lo hace, procede a enviar la información relativa al usuario del equipo cliente.

Después, el usuario logrará iniciar sesión de manera “normal” en el equipo, tendrá todos sus archivos personales almacenados en el disco duro, pero a su vez tendrá acceso a recursos de la red de acuerdo al grupo al que pertenezca.

La base de datos del directorio activo de Windows está contenida en controladores de dominio. Estos, además, ejecutan diversas funciones asociadas con el AD, como la autenticación y autorización de un usuario, y estos pueden ser cualquier servidor de Windows que cuenten con la función de controlador de dominio instalada. Estos almacenan una copia de la base de datos de AD, con toda su información acerca de los objetos dentro de un mismo dominio, almacena el esquema de todo el bosque y la información del mismo.

No obstante, dichos controladores de dominio pueden usar funciones especializadas para realizar operaciones específicas no disponibles en los controladores de dominio estándar. A pesar de que estos roles maestros sean asignados al primer controlador creado en cada bosque o dominio, el administrador puede reasignarlos manualmente. Entre los roles maestros encontramos cuatro:

1. Maestro de esquema: solo existe uno por bosque, contiene la copia maestra del esquema usado por los demás controladores de dominio. Tener esta copia maestra asegura que todos los objetos se definan de la misma forma.
2. Maestro de nombres de dominio: al igual que el anterior, solo existe uno en cada bosque, cumple la función de garantizar que todos los nombres de objetos sean únicos y si es necesario realizar referencias cruzadas de objetos almacenados en otros directorios.
3. Maestro de infraestructura: hay uno solo por dominio, mantiene la lista de objetos eliminados y rastrea referencias de objetos de otros dominios.
4. Maestro identificador relativo: igual que el de infraestructura, solo hay uno por dominio y se encarga de rastrear la asignación y creación de identificadores de seguridad únicos (SID) en todo el dominio.

Adicional al directorio activo inicial que Microsoft presentó en Windows 2000, han añadido otros servicios asociados a Active Directory, te mencionamos tres de ellos:

1. Active Directory Certificate Services: ofrecen formas de certificación digital y aceptan infraestructura de clave pública (PKI, por sus siglas en ingles). Este servicio almacena, valida, crea y revoca credenciales de clave pública utilizadas para el cifrado, en vez de generar claves de forma externa o local.
2. Active Directory Federation Services: brinda servicio de autenticación y autorización de inicio de sesión único, para uso principalmente entre organizaciones, y está basado en la web. Así, el usuario puede iniciar sesión en su propia red y automáticamente tener autorización para acceder a la red del cliente.
3. Active Directory Rights Managemeny Services: este servicio rompe con el concepto de autorización como simple modelo de permitir o denegar acceso, ya que administra los derechos comúnmente usados para evitar la impresión, copia o capturas de pantalla de un documento, limitando lo que puede hacer o no un usuario con los archivos o documentos concretos. Dichos derechos y restricciones los adjunta al documento y no al usuario.

Hablar de directorio activo es hacerlo también de un dominio, pues están ligados entre ellos, ya que un dominio dentro de AD es el conjunto de ordenadores conectados a una red, que cuentan con un servidor que administra las cuentas de usuario y credenciales. No obstante, en una sola red no se tiene un solo dominio, si no varios, y no necesariamente están en contacto uno con otro.

Por tanto, AD es a su vez, un controlador de dominio, ya que tendrá varios de estos, a los que tendrá que gestionarles permisos e interacciones, pero esta estructura trabaja de forma delegada y replicada, muy eficientemente, haciendo que cada parte de la estructura organizativa de AD limite la autorización o replicación dentro de esa subparte. En base a esto te explicamos cada elemento asociado con la estructura y los dominios de los directorios activos:

1. Objeto: este es el nombre genérico usado para hacer referencia a cualquier componente dentro del AD, y pueden dividirse en tres tipos:
   1. Usuarios: corresponde a las credenciales de acceso a una estación de trabajo determinada.
   2. Recursos: se refiere a los elementos a los que cada usuario tendrá acceso según los permisos que se le otorguen, pueden ser carpetas compartidas, impresoras o cualquier otro.
   3. Servicios: es el término para referirse a todas las funciones a las que cada usuario puede acceder dentro de su estación de trabajo, como el correo electrónico.
2. Confianza: se refiere a la relación entre dos dominios, árboles o bosques, y se divide en dos tipos:
   1. Confianza transitiva: es la automática entre los dominios de AD, existe tanto hacia un lado como hacia el otro: es bidireccional.
   2. Confianza de acceso directo: explícita y definida entre dos dominios, lo que permite el acceso directo de uno a otro.

3. Unidad de la organización: corresponde a un contenedor de objetos (impresoras, usuarios, grupos), organizados en subconjuntos y estableciendo jerarquías. Permiten dar un vistazo de la jerarquía del dominio y así, asignar con mayor facilidad los permisos según los objetos contenidos.
4. Bosque: cuenta con todos los dominios existentes en una red. Cada uno cuenta con determinadas relaciones de confianza transitiva o intransitiva, construidas automáticamente, pero que pueden ser manejadas por el cliente a su gusto. Dentro de un bosque pueden existir distintos arboles de dominio, con diferentes nombres.

Siempre tendrá al menos un dominio raíz dentro, así que, al instalar el primer dominio, también se crea la raíz de un árbol y encima la raíz de un bosque.

5. Árbol: también es llamada DNS común, se refiere a un conjunto de dominios, dependientes de una raíz común, organizados por jerarquía. Esta estructura permite identificar mejor los dominios uno de otro, observando fácilmente cuándo pertenecen o no a un mismo árbol. Además, gracias a un árbol, se puede dividir en partes un directorio para lograr una mejor gestión de los recursos. Asimismo, si un usuario pertenece a un dominio, éste será reconocido por todos los demás dominios que pertenezcan al dominio principal.

Como se ha mostrado, el diseño de directorio activo es una herramienta muy útil e importante en cuanto a la centralización de recursos en un entorno de trabajo basado en equipos informáticos. Por consecuente, va orientado principalmente a servidores y empresas, facilitándoles la gestión de sus equipos desde un servidor central, y con una estructura intuitiva que facilita el trabajo.

Si te interesa implementarlo en tu empresa, debes tener en cuenta que este es un sistema de dominio con licencia de pago perteneciente a Microsoft. No obstante, existen también aplicaciones gratuitas que ofrecen esta funcionalidad, tal como Open LDAP, Mandriva Directory Server o Samba, siendo éstas las opciones a las que recurren cada vez más las empresas porque así pueden optar por aplicar esta solución de AD sin necesidad de pagar las licencias de software que impone Microsoft.