¿Qué es Active Directory? Un tutorial paso a paso.

A medida que la complejidad de los recursos de red ha crecido, los servicios de directorio se han vuelto cada vez más importantes para administrar la infraestructura de TI. No hay servicio de directorio con un nombre más grande que Directorio Activo. El servicio de directorio de Microsoft se ha establecido como una herramienta básica entre los administradores de red. En este tutorial de Active Directory veremos qué es Active Directory, cómo usarlo y herramientas de Active Directory como SolarWinds Access Rights Manager. Los temas incluyen:

  • ¿Qué es Active Directory??
  • ¿Qué hace Active Directory??
  • Cómo configurar Active Directory
  • Cómo usar Active Directory: configurar un controlador de dominio, crear usuarios de directorio
  • Eventos de Active Directory para supervisar
  • Relaciones de confianza (y tipos de confianza)
  • Una descripción general de los bosques y árboles de Active Directory
  • Informes de Active Directory (con SolarWinds Access Rights Manager)

¿Qué es Active Directory?? 

Active Directory es un servicio de directorio o contenedor que almacena objetos de datos en su entorno de red local. El servicio registra datos en los usuarios, dispositivos, aplicaciones, grupos, y dispositivos en una estructura jerárquica.

La estructura de los datos permite encontrar los detalles de los recursos conectados a la red desde una ubicación. En esencia, Active Directory actúa como un directorio telefónico para su red, por lo que puede buscar y administrar dispositivos fácilmente.

¿Qué hace Active Directory?? 

Hay muchas razones por las cuales las empresas usan servicios de directorio como Active Directory. La razón principal es la conveniencia. Active Directory permite a los usuarios iniciar sesión y administrar una variedad de recursos desde una ubicación. Las credenciales de inicio de sesión están unificadas para que sea más fácil administrar múltiples dispositivos sin tener que ingresar los detalles de la cuenta para acceder a cada máquina individual.

Cómo configurar Active Directory (con RSAT) 

Para comenzar, primero deberá asegurarse de tener Windows Professional o Windows Enterprise instalado, de lo contrario no podrá instalar Herramientas de administración remota del servidor. Luego haz lo siguiente:

Para Windows 10 versión 1809:

  1. Haga clic derecho en el comienzo botón e ir a Configuraciones > Aplicaciones > Administrar funciones opcionales > Agregar característica.
  2. Ahora selecciona RSAT: Servicios de dominio de Active Directory y herramientas de directorio ligero.
  3. Finalmente selecciona Instalar en pc luego ve a comienzo > Herramientas administrativas de Windows para acceder a Active Directory una vez que se complete la instalación.


Para Windows 8 (y Windows 10 versión 1803) 

  1. Descargue e instale la versión correcta de Server Administrator Tools para su dispositivo: Windows 8, Windows 10.
  2. A continuación, haga clic derecho en comienzo botón y seleccione Panel de control > Programas > Programas y características > Activar o desactivar las características de windows.
  3. Deslice hacia abajo y haga clic en el Herramientas de administración remota del servidor opción.
  4. Ahora haga clic en Herramientas de administración de roles.
  5. Haga clic en Herramientas AD DS y AD LDS y verificar Herramientas de AD DS ha sido revisado.
  6. prensa Okay.
  7. Ir comienzo > Herramientas administrativas sobre el comienzo menú para acceder a Active Directory.

Cómo usar Active Directory: cómo configurar un controlador de dominio, crear usuarios de directorio 

Cómo configurar un controlador de dominio

Una de las primeras cosas que debe hacer al usar Active Directory es configurar un controlador de dominio. Un controlador de dominio es una computadora central que responderá a las solicitudes de autenticación y autenticará otras computadoras en toda la red. El controlador de dominio almacena las credenciales de inicio de sesión de todas las otras computadoras e impresoras.

Todas las otras computadoras se conectan al controlador de dominio para que el usuario pueda autenticar cada dispositivo desde una ubicación. La ventaja de esto es que el administrador no tendrá que administrar docenas de credenciales de inicio de sesión.

El proceso de configurar un controlador de dominio es relativamente simple. Asigne una dirección IP estática a su controlador de dominio y instalar servicios de dominio de Active Directory o AGREGA. Ahora siga estas instrucciones:

  1. Abierto Administrador del servidor y haga clic Resumen de roles > Agregar roles y características.
  2. Hacer clic próximo.
  3. Seleccione Servicios de escritorio remoto instalación si está implementando un controlador de dominio en una máquina virtual o selecciona instalación basada en roles o características.
  4. Seleccione un servidor de grupo de servidores.
  5. Seleccione Servicio de dominio de Active Directorys de la lista y haga clic en próximo.
  6. Deje las características marcadas por defecto y presione próximo.
  7. Hacer clic Reinicie el servidor de destino automáticamente si es necesario. y haga clic Instalar en pc. Cierre la ventana una vez que se complete la instalación..
  8. Una vez que se haya instalado el rol ADDS, se mostrará una notificación junto al Gestionar menú. prensa Promueva este servidor en un controlador de dominio.
  9. Ahora haga clic Agregar un nuevo bosque e ingrese un Nombre de dominio raíz. prensa próximo.
  10. Selecciona el Nivel funcional del dominio desea e ingrese una contraseña en el Escriba el modo de restauración de servicios de directorio (contraseña DSRM) sección. Hacer clic próximo.
  11. Cuando aparezca la página Opciones de DNS, haga clic en próximo de nuevo.
  12. Ingrese un dominio en el Nombre de dominio de NetBios cuadro (preferiblemente el mismo que el nombre de dominio raíz). prensa próximo.
  13. Seleccione una carpeta para almacenar su base de datos y archivos de registro. Hacer clic próximo.
  14. prensa Instalar en pc para terminar. Su sistema ahora se reiniciará.


Crear usuarios de Active Directory

Los usuarios y ordenadores son los dos objetos más básicos que necesitará administrar cuando use Active Directory. En esta sección, veremos cómo crear nuevas cuentas de usuario. El proceso es relativamente simple, y la forma más fácil de administrar usuarios es a través de Usuarios de Active Directory y computadora o la herramienta ADUC que viene con el Herramientas de administración remota del servidor o RSAT paquete. Puede instalar ADUC siguiendo las instrucciones que se enumeran a continuación:


Instale ADUC en Windows 10 versión 1809 y superior:

  1. Haga clic derecho en el comienzo botón y haga clic Configuraciones > Aplicaciones, luego haga clic Administrar funciones opcionales > Agregar característica.
  2. Seleccione RSAT: Servicios de dominio de Active Directory y herramientas de directorio ligero.
  3. Seleccione Instalar en pc y espere a que se complete la instalación.
  4. Ir comienzo > Herramientas administrativas de Windows para acceder a la función.


Instale ADUC en Windows 8 y Windows 10 versión 1803 o inferior: 

  1. Descargue e instale las Herramientas de administrador de servidor remoto para su versión de Windows. Puede hacerlo desde uno de estos enlaces aquí:
    Herramientas de administrador de servidor remoto para Windows 10, Herramientas de administrador de servidor remoto para Windows 8 o Herramientas de administrador de servidor remoto para Windows 8.1.
  1. Haga clic derecho en comienzo > Panel de control > Programas > Programas y características > Activar o desactivar las características de windows.
  2. Desplácese hacia abajo y seleccione Herramientas de administración remota del servidor.
  3. Expandir Herramientas de administrador de roles > Herramientas AD DS y AD LDS.
  4. Cheque Herramientas de AD DS y presione Okay.
  5. Ir comienzo > Herramientas administrativas y seleccione Directorio activo de usuarios y computadoras.


Cómo crear nuevos usuarios con ADUC 

  1. Abre el Administrador del servidor, Ve a la Herramientas menú y seleccione Directorio activo de usuarios y computadoras.
  2. Expande el dominio y haz clic Los usuarios.
  3. Haga clic derecho en el panel derecho y presione Nuevo > Usuario.
  4. Cuando aparezca el cuadro Nuevo objeto-usuario, ingrese un Nombre de pila, Apellido, Nombre de inicio de sesión del usuario y haga clic próximo.
  5. Ingrese una contraseña y presione próximo.
  6. Hacer clic Terminar.
  7. La nueva cuenta de usuario se puede encontrar en el Los usuarios sección de ADUC.

Eventos de Active Directory para supervisar 

Al igual que todas las formas de infraestructura, Active Directory debe ser monitoreado para mantenerse protegido. Monitorear el servicio de directorio es esencial para prevenir ataques cibernéticos y brindar la mejor experiencia de usuario final a sus usuarios.

A continuación, enumeraremos algunos de los eventos de red más importantes que debe tener en cuenta. Si ve alguno de estos eventos, debe investigar lo antes posible para asegurarse de que su servicio no se haya visto comprometido.

ID de evento de Windows actual ID de evento de Windows heredado Descripción
4618 N / A Se ha reconocido un patrón de evento de seguridad..
4649 N / A Se detectó un ataque de repetición (potencialmente un falso positivo).
4719 612 Se modificó una política de auditoría del sistema..
4765 N / A Historial de SID agregado a una cuenta.
4766 N / A El intento no pudo agregar el historial SID a la cuenta.
4794 N / A Intente iniciar el modo de restauración de servicios de directorio.
4897 801 Separación de roles habilitada.
4964 N / A A los grupos especiales se les ha asignado un nuevo inicio de sesión.
5124 N / A Seguridad actualizada en el Servicio de respuesta de OCSP.
N / A 550 Posible ataque DoS.
1102 517 El registro de auditoría fue borrado.

Una descripción general de los bosques y árboles de Active Directory 

Bosque y árboles son dos términos que escuchará mucho al profundizar en Active Directory. Estos términos se refieren a la estructura lógica de Active Directory. Brevemente, un El árbol es una entidad con un solo dominio o grupo de objetos seguido por dominios secundarios. Un bosque es un grupo de dominios. juntar. Cuando múltiples árboles se agrupan juntos se convierten en un bosque.

Los árboles en el bosque se conectan entre sí a través de un relación de confianza, que permite que diferentes dominios compartan información. Todos los dominios confiarán entre sí automáticamente para que pueda acceder a ellos con la misma información de cuenta que utilizó en el dominio raíz.

Cada bosque utiliza una base de datos unificada. Lógicamente, el bosque se encuentra en el nivel más alto de la jerarquía y el árbol se encuentra en la parte inferior. Uno de los desafíos que enfrentan los administradores de red cuando trabajan con Active Directory es administrar bosques y mantener el directorio seguro.

Por ejemplo, un administrador de red tendrá la tarea de elegir entre un diseño de bosque único o diseño multi-bosque. El diseño de bosque único es simple, de bajo costo y fácil de administrar, ya que solo un bosque comprende toda la red. En contraste, un diseño de bosques múltiples divide la red en diferentes bosques, lo cual es bueno para la seguridad pero hace que la administración sea más complicada.

Relaciones de confianza (y tipos de confianza) 

Como se mencionó anteriormente, los fideicomisos se utilizan para facilitar la comunicación entre dominios. Los fideicomisos permiten la autenticación y el acceso a los recursos entre dos entidades. Los fideicomisos pueden ser unidireccionales o bidireccionales en la naturaleza. Dentro de un fideicomiso, los dos dominios se dividen en un dominio de confianza y un dominio de confianza..

En un fideicomiso unidireccional, el el dominio de confianza accede a los detalles de autenticación del dominio de confianza para que el usuario pueda acceder a los recursos del otro dominio. En una confianza bidireccional, ambos dominios aceptarán los detalles de autenticación del otro. Todos los dominios dentro de un bosque confían entre sí automáticamente, pero también puede establecer fideicomisos entre dominios en diferentes bosques para transferir información.

Puede crear fideicomisos a través de Asistente de Nuevos Fideicomisos. los New Trust Wizard es un asistente de configuración que le permite crear nuevas relaciones de confianza. Aquí puedes ver el Nombre de dominio, Tipo de confianza, y Transitivo estado de los fideicomisos existentes y seleccione el tipo de confianza que desea crear.

Tipos de confianza 

Hay una variedad de tipos de confianza en Active Directory. Los hemos enumerado en la tabla a continuación:

Tipo de confianza Transit TypeDirectionDefault? Descripción
Padre e hijo Transitivo De doble sentido si Se establece una confianza principal y secundaria cuando se agrega un dominio secundario a un árbol de dominios.
Raíz del arbol Transitivo De doble sentido si Se establece una confianza de raíz de árbol en el momento en que se crea un árbol de dominio dentro de un bosque.
Externo No transitivo Unidireccional o bidireccional No Proporciona acceso a recursos en un dominio de Windows NT 4.0 o en un dominio ubicado en un bosque diferente que no es compatible con una confianza forestal.
Reino Transitivo o no transitivo Unidireccional o bidireccional No Forma una relación de confianza entre un reino Kerberos que no es de Windows y un dominio de Windows Server 2003.
Bosque Transitivo Unidireccional o bidireccional No Comparte recursos entre bosques.
Atajo Transitivo Unidireccional o bidireccional No Reduce los tiempos de inicio de sesión del usuario entre dos dominios dentro de un bosque de Windows Server 2003.

Informes de Active Directory con SolarWinds Access Rights Manager (PRUEBA GRATUITA)

Generar informes en Active Directory es esencial para optimizar el rendimiento y cumplir con el cumplimiento normativo. Una de las mejores herramientas de informes de Active Directory es SolarWinds Access Rights Manager (ARM). La herramienta se ha creado para aumentar la visibilidad sobre cómo se usan y administran las credenciales de directorio. Por ejemplo, puede ver cuentas con configuraciones inseguras y abuso de credenciales que podrían indicar un ataque cibernético.

Administrador de derechos de acceso de SolarWinds

Usando una herramienta de terceros como Administrador de derechos de acceso de SolarWinds es beneficioso porque le proporciona información y características a las que sería mucho más difícil o imposible acceder directamente a través de Active Directory.

Además de generar informes puedes eliminar automáticamente cuentas inactivas o caducadas que los cibercriminales apuntan. Administrador de derechos de acceso de SolarWinds comienza en $ 3,444 (£ 2,829). También hay una Prueba gratuita de 30 días versión que puedes descargar.

SolarWinds Access Rights Manager: descargue una prueba GRATUITA de 30 días

Tutorial de Active Directory: lo básico 

Active Directory es una de las mejores herramientas para administrar recursos en su red. En este artículo, acabamos de rascar la superficie del potencial de esta herramienta. Si usa Active Directory, recuerde que es un punto de entrada potencial para los ciberatacantes. Tomar nota de los eventos clave del directorio y usar un monitor de directorio contribuirá en gran medida a minimizar el riesgo de un ataque malicioso y a proteger la disponibilidad de su servicio..

1 thought on “¿Qué es Active Directory? Un tutorial paso a paso.

  1. r de dominio, crear usuarios de directorio

    Active Directory es una herramienta esencial para administrar la infraestructura de TI en una empresa. Con Active Directory, los administradores de red pueden configurar un controlador de dominio y crear usuarios de directorio para acceder a los recursos de red. Además, pueden supervisar eventos de Active Directory y establecer relaciones de confianza entre diferentes dominios. También pueden generar informes de Active Directory con herramientas como SolarWinds Access Rights Manager para monitorear el acceso a los recursos de red. En resumen, Active Directory es una herramienta poderosa y útil para administrar la infraestructura de TI en una empresa.

Comments are closed.