Este es el FAQ definitivo para Microsoft Active Directory —construido para responder a todas las preguntas más frecuentes sobre el servicio de directorio local legendario. Nos adentraremos en el qué, el cuándo, el por qué, el quién y el cómo de Microsoft Active Directory, también conocido como AD o MAD.
AD es un servicio muy utilizado y a la vez muy incomprendido. Desarrollado por Microsoft a finales de la década de 1990, AD es el servicio de directorio local, a menudo denominado proveedor de identidades (IdP), más conocido del mundo. AD marcó el comienzo de la era de la gestión de identidades moderna a principios de la década de 2000, pero con un panorama de TI cambiante hay una serie de preguntas que los administradores de TI y las organizaciones tienen sobre lo que es AD, cómo funciona y por qué es importante.
Hemos identificado algunas de las preguntas más comunes sobre Active Directory y las hemos respondido a continuación.
Conceptos básicos de Active Directory
¿Qué es Active Directory?
Active Directory es un servicio de directorio/proveedor de identidad que permite a los administradores conectar a los usuarios con los recursos TI basados en Windows. Además, con AD, el departamento de TI puede gestionar y proteger sus sistemas y aplicaciones basados en Windows. AD almacena información sobre los objetos de la red (por ejemplo: usuarios, grupos, sistemas, redes, aplicaciones, activos digitales y muchos otros elementos) y su relación entre ellos.
Los administradores pueden utilizar AD para crear usuarios y concederles acceso a portátiles, servidores y aplicaciones de Windows. También pueden utilizar AD para controlar grupos de sistemas simultáneamente, aplicando configuraciones de seguridad y actualizaciones de software.
El acceso y los controles se realizan utilizando el concepto de dominio. El concepto de dominio es esencialmente un concepto de inclusión y exclusión. Tradicionalmente, este enfoque se aprovechaba para las ubicaciones físicas. Históricamente, muchos recursos de las tecnologías de la información se alojaban en las instalaciones y, por lo tanto, formaban parte del dominio, es decir, de la red interna, y cuando un usuario se encontraba en la ubicación física tenía acceso a todos los recursos necesarios en las instalaciones. Si un usuario estaba fuera de la sede, tenía que conectarse por VPN para que pareciera que estaba en la sede. Este enfoque funcionaba bien cuando los recursos de TI y las personas estaban en la misma proximidad física.
AD forma parte del espacio más amplio de la Gestión de Identidades y Accesos (IAM) y a menudo se complementa con soluciones de inicio de sesión único (SSO) o MDM (gestión de dispositivos móviles), entre muchas otras. La Plataforma de Directorio JumpCloud es una alternativa basada en la cloud a Active Directory.
¿Cuándo se lanzó Active Directory?
Microsoft presentó al mundo por primera vez Active Directory en 1999 y lo lanzó junto con “Windows® 2000 Server edition”.
¿Qué protocolos utiliza AD?
Active Directory aprovecha los protocolos de red para DNS/DHCP y el Protocolo Ligero de Acceso a Directorios (LDAP), junto con la versión propietaria de Microsoft de Kerberos para la autenticación.
Mucha gente se pregunta por qué AD no admite de forma nativa más protocolos, como SAML y RADIUS. No vamos a especular sobre su razonamiento, pero sí creemos que un enfoque multiprotocolo es el futuro de IAM. La compatibilidad con protocolos como SAML y RADIUS puede lograrse a través de soluciones complementarias de Microsoft, así como de soluciones de terceros.
¿Por qué el Active Directory se llama activo?
Nuestra mejor suposición es que AD se llama Active Directory porque actualiza activamente la información almacenada en el directorio. Por ejemplo, cuando un administrador añade o quita un usuario de la organización, Active Directory replica automáticamente ese cambio a todos los servidores del directorio. Esto sucede a un intervalo regular para que la información siempre se mantenga actualizada y sincronizada.
Hoy en día, este tipo de comportamiento “activo” se espera en los sistemas informáticos. Pero, antes de la era de los servicios de directorio informatizados, el concepto de un directorio que se mantuviera a sí mismo actualizado era bastante innovador. Hay que tener en cuenta que, cuando se acuñó el apelativo de Active Directory, todavía se utilizaban comúnmente las enciclopedias físicas y la Wikipedia “activa” aún no se había lanzado.
¿Quién utiliza Active Directory?
En general, cuando una organización aprovecha Active Directory, todos los empleados utilizan Active Directory todos los días sin siquiera saberlo. Las personas utilizan Active Directory cuando inician sesión en sus máquinas de trabajo y cuando acceden a aplicaciones, impresoras y archivos compartidos.
Pero los principales usuarios de Active Directory son los administradores. Estas personas realmente operan, gestionan y configuran AD. Los administradores de AD probablemente incluyen a todo el equipo TI y también pueden incluir miembros de los equipos de seguridad, DevOps o ingeniería.
Prácticamente todas las organizaciones del mundo utilizan una solución como Active Directory u otro proveedor de identidades. Habilitar y controlar el acceso a los recursos de TI es uno de los aspectos más importantes del funcionamiento de una organización en los tiempos modernos. Soluciones como los servicios de directorio permiten a las organizaciones ser productivas.
¿Por qué es importante Active Directory?
Tanto si la gente se da cuenta como si no, Active Directory ha permitido que el mundo empresarial avance desde principios de siglo. AD está presente en casi todas las organizaciones grandes y en muchas pequeñas. Es una herramienta tan fundamental (siempre zumbando en silencio en el fondo) que muchas personas que utilizan AD todos los días ni siquiera se dan cuenta de lo que es AD, o de que es la clave para su acceso seguro a su portátil, aplicaciones, red e incluso archivos. En resumen, un servicio de directorio es lo que conecta a los usuarios con sus recursos de TI, y AD ha hecho eso para los usuarios con sus recursos de Windows durante casi dos décadas.
Definiciones de Active Directory
¿Qué son los objetos de Active Directory?
Un objeto es el término genérico para cualquier unidad de información almacenada en la base de datos de Active Directory. Los objetos pueden incluir usuarios, portátiles, servidores e incluso grupos de otros objetos (explicado debajo).
¿Qué son los grupos de Active Directory?
AD permite a los administradores gestionar conjuntos de múltiples objetos y estos conjuntos se conocen como grupos. Mediante los GPO (objetos de política de grupo), un administrador puede realizar un cambio en un grupo y hacer que ese cambio se aplique a todos los objetos de ese grupo. Suelen utilizarse para segmentar a los usuarios o sistemas por departamentos o autorizaciones.
La conclusión es que la gestión basada en grupos hace que la administración de TI sea más eficiente.
¿Qué son los bosques, los árboles y los dominios en Active Directory?
Un bosque es la parte más alta de la estructura lógica de Active Directory, que también incluye objetos, árboles, dominios y unidades organizativas (OU). Un bosque describe una colección de árboles, que denotan una colección de dominios. Entonces, ¿qué son los árboles y los dominios?
Bien, un dominio es un conjunto de usuarios, ordenadores y dispositivos que forman parte de la misma base de datos de Active Directory. Si una organización tiene varias ubicaciones, puede tener un dominio separado para cada una de ellas. Por ejemplo, una organización internacional podría tener un dominio para su oficina de Londres, otro para su oficina de Nueva York y un tercero para su oficina de Tokio.
Se podría utilizar un árbol para agrupar esos tres dominios como ramas pertenecientes al mismo árbol, por así decirlo. Una organización que tenga varios árboles podría entonces agruparlos en un bosque.
Este es un concepto central de Active Directory y puede ser complicado. Si tiene preguntas, envíenos una nota y estaremos encantados de ayudarle a determinar qué tipo de estructura de AD tiene sentido para su organización.
¿Qué es un controlador de dominio?
Un controlador de dominio es cualquier servidor que ejecuta los servicios de dominio de Active Directory. Se necesita al menos un controlador de dominio para utilizar el Active Directory, aunque la mayoría de las organizaciones tienen al menos dos por ubicación. Las organizaciones grandes y multinacionales pueden necesitar decenas de controladores de dominio en cada una de sus ubicaciones físicas para garantizar una alta disponibilidad de su instancia de AD. Generalmente, se piensa que los DC (“domain controller” o controladores de dominio) están ligados a una oficina física, lo que en el actual entorno de trabajo remoto puede ser un reto.
Los usuarios individuales y sus sistemas están conectados al controlador de dominio a través de la red. Cuando los usuarios solicitan acceso a objetos dentro de la base de datos de Active Directory, AD procesa esa solicitud y autoriza o impide el acceso al objeto.
Una vez dentro del dominio, un usuario no necesita introducir otro nombre de usuario y contraseña para acceder a los recursos del dominio a los que tiene derecho. La autenticación y el acceso se producen sin problemas. Esa es la belleza del dominio. Pero este concepto empieza a fallar cuando se introducen recursos que no son de Windows. También tiene problemas si los usuarios son remotos y no están conectados físicamente al dominio; en este caso, el usuario final tendrá que conectarse por VPN a la red y ser autenticado por el DC para poder acceder a sus recursos locales basados en Windows.
Tenga en cuenta que Microsoft también ha extendido el concepto de dominio a Azure. Las organizaciones pueden crear un dominio independiente en Azure a través de Azure AD DS. Este dominio está separado y es distinto de los dominios locales, aunque los dos pueden ser puenteados a través de una variedad de tecnología conectiva incluyendo Azure AD Connect y Azure AD.
También debemos tener en cuenta que existe un nuevo concepto llamado Empresa sin Dominio, que adopta el enfoque de eliminar el concepto de dominio, pero manteniendo la idea de acceder de forma segura y sin fricciones a los recursos de TI dondequiera que estén. Este concepto es especialmente útil para las organizaciones que aprovechan las aplicaciones web, la infraestructura en la cloud y las plataformas que no son de Windows (por ejemplo, macOS, Linux).
¿Qué es el Active Directory Domain Services (AD DS)?
AD DS básicamente establece la base de datos de objetos que sirve de fundamento para la gestión de AD. AD DS no es el único rol de servidor asociado con Active Directory, pero se podría argumentar que es el rol de servidor que corresponde más directamente a la funcionalidad principal que la gente asocia con AD.
¿Cómo funciona Active Directory?
Cuando los Servicios de Dominio de Active Directory se instalan en un servidor, éste se convierte en un controlador de dominio. Este servidor almacena la base de datos de Active Directory, que contiene una jerarquía de objetos y su relación entre ellos.
El Active Directory es gestionado por un administrador a través de una GUI (interfaz gráfica de usuario) de tipo “thick-client” (cliente pesado) que se asemeja al gestor de archivos de Windows (mostrado arriba). Esta aplicación se ejecuta en un servidor de Windows y no es una aplicación moderna basada en un navegador. Los administradores pueden señalar, hacer clic y arrastrar objetos dentro de AD y ajustar su configuración haciendo clic con el botón derecho del ratón y accediendo al menú desplegable.
AD también puede controlarse a través de la línea de comandos y mediante herramientas que aprovechan PowerShell, el lenguaje de Microsoft para la automatización y las tareas a nivel de API.
¿Qué es Azure® Active Directory?
La mayor idea errónea sobre Azure AD es que se trata del Active Directory en la cloud. Pero la verdad es que Azure AD no se creó para ser un AD independiente en la cloud. En cambio, Azure AD ha sido diseñado para extender una instancia de Active Directory existente a la cloud.
Para entender mejor la relación entre AD y AAD, el diagrama de arquitectura de referencia de Microsoft puede ser útil.
El concepto puede ser complicado, con muchas partes móviles: sincronice su AD local con Azure AD Connect y puede conectar su base de datos existente de identidades de usuario y grupos a los recursos basados en la cloud de Azure. Por supuesto, necesitas Azure AD y, si quieres crear un dominio dentro de Azure, también el producto Azure AD DS.
Azure AD puede hacer muchas cosas que AD no puede hacer (por ejemplo, tiene un componente integrado de inicio de sesión único para aplicaciones web) —y el paraguas más amplio de la plataforma Azure de Microsoft abarca una funcionalidad tan amplia que se puede pensar en ella como el competidor de Microsoft a Amazon Web Services. Pero no se engañe pensando que eso significa que Azure AD puede hacer todo lo que puede hacer el Active Directory local.
¿Qué es Azure AD Connect?
Azure AD Connect es una herramienta que se utiliza para federar las identidades de Active Directory locales a los recursos que se alojan en la plataforma Azure a través de Azure Active Directory. Estos recursos pueden incluir sistemas, servidores y aplicaciones de Office 365™ y Azure.
Qué Es y Qué No Es AD
¿Es el Active Directory Single Sign-On (SSO)?
Se podría decir que Active Directory era SSO antes de que existiera el SSO. Con esto queremos decir que AD puede proporcionar una experiencia de inicio de sesión único para los usuarios al centralizar el acceso a todos los recursos basados en Windows dentro de la base de datos. Además, esos recursos estaban todos en la sede o, como mínimo, conectados al dominio.
Dicho esto, lo que la industria considera convencionalmente como SSO (SSO de aplicaciones web) es muy diferente de AD y, de hecho, el SSO convencional surgió de la incapacidad de AD para autenticar a los usuarios en las aplicaciones web a mediados de la década de 2000. Hoy en día, muchas organizaciones siguen complementando su Active Directory con una herramienta de SSO de aplicaciones web basada en el navegador.
Sin embargo, los nuevos requisitos empresariales han hecho que el concepto de SSO se extienda ahora a los dispositivos, las redes, los servidores de archivos, y más, por lo que el concepto moderno de SSO va más allá del mero acceso a los recursos de Windows o incluso a las aplicaciones web. El concepto del SSO Verdadero es aún más amplio y muy relevante para las organizaciones modernas en las que los usuarios y sus recursos TI pueden estar en todo el mundo.
¿El Active Directory es un Software?
Sí, es un software desarrollado por Microsoft que se instala, mantiene y actualiza en el hardware del servidor basado en Windows. El software de AD se licencia a través de un concepto llamado CALs (licencias de acceso de cliente) entre otros mecanismos. La concesión de licencias para el software de AD puede ser bastante compleja, por lo que la mejor opción es hablar con un distribuidor de Microsoft.
Además, el software y el hardware de AD no son una solución completa. Tendrá que adquirir otros componentes para que AD funcione, como soluciones de seguridad, alta disponibilidad, copias de seguridad, VPN, etc.
¿Es Active Directory un servidor?
No exactamente. Dicho esto, Active Directory requiere un servidor Windows para funcionar. Un servidor que ejecuta el software de Servicios de Dominio de Active Directory se conoce como controlador de dominio, tanto si ese servidor es un hardware físico ubicado en las instalaciones como si está virtualizado.
¿Es Active Directory una base de datos?
Sería más exacto decir que Active Directory contiene una base de datos. La base de datos del Active Directory o es el almacén de todos los usuarios, grupos, sistemas, impresoras y políticas dentro de la red. Estos se conocen como objetos y pueden ser manipulados por los administradores que utilizan Active Directory.
¿Es Active Directory de código abierto?
No. Active Directory fue desarrollado de forma privada por Microsoft y su código no se ha puesto a disposición del público como una herramienta de código abierto. La principal alternativa de código abierto a Active Directory es OpenLDAP (otras son FreeIPA, Samba, 389 Directory y otras). Puede obtener más información sobre la diferencia entre OpenLDAP y AD.
¿Es Active Directory LDAP?
Active Directory no es LDAP, pero utiliza LDAP. AD es un servicio de directorio que es capaz de comunicarse a través del protocolo LDAP y gestionar el acceso a los recursos basados en LDAP. El protocolo principal de AD es una versión propietaria de Microsoft de Kerberos.
Funcionalidad de Active Directory
¿Qué necesita para hacer funcionar Active Directory?
En general, para operar con AD, necesitarás un servidor, una copia de seguridad, espacio en el centro de datos y un VPN. Eso es sólo para cubrir los aspectos básicos, pero para la mayoría de las organizaciones también tendrá que resolver la seguridad, el equilibrio de carga / alta disponibilidad, la copia de seguridad de los datos, y mucho más. También necesitarás un administrador de TI que sea lo suficientemente hábil técnicamente como para instalar, gestionar y mantener AD.
Dicho esto, los requisitos de hardware y software necesarios para operar Active Directory son únicos para cada organización. Algunos de los aspectos que debe tener en cuenta a la hora de determinar lo que necesitará para hacer funcionar AD, son los siguientes:
- número de usuarios
- número de sistemas
- nivel de RAM requerido
- necesidades de ancho de banda de la red
- capacidad del almacenamiento de archivos y exigencias de rendimiento
- potencia de procesamiento
Evaluar con precisión su entorno TI es crucial para el uso eficaz de Active Directory, y tomar atajos podría dar lugar a problemas de rendimiento en el futuro. Para obtener más información, consulte el artículo sobre planificación de la capacidad de Microsoft. También querrá hablar con los distribuidores de Microsoft sobre las licencias, ya que pueden ser complejas. Estos requisitos de licencia pueden incluir el software del servidor, las licencias de acceso de los clientes, y más.
Por supuesto, si tiene sistemas, aplicaciones, servidores de archivos e infraestructura de red que no sean de Windows, tendrá que adquirir también complementos como el SSO de aplicaciones web, la autenticación multi-factor, la gestión de accesos privilegiados, la gobernanza y la auditoría, etc.
¿Cuáles son las limitaciones de Active Directory?
Sí, hay límites en Active Directory. Desde el número máximo de objetos hasta el número máximo de GPOs aplicados, Active Directory tiene sus restricciones. He aquí algunas de ellas:
- Un controlador de dominio puede crear “un poco menos” de 2.150 millones de objetos durante su vida
- Los usuarios, los grupos y las cuentas de ordenador (directores de seguridad) pueden ser miembros de un máximo de aproximadamente 1.015 grupos
- Puede aplicar un límite de 999 objetos de política de grupo (GPO) a una cuenta de usuario o a una cuenta de equipo.
- Debe evitar realizar más de 5.000 operaciones por transacción LDAP cuando escriba scripts o aplicaciones para una transacción LDAP.
Puede leer más sobre las limitaciones de Active Directory aquí. Desde un punto de vista práctico, existen limitaciones debidas a la capacidad del hardware del servidor, el ancho de banda, la latencia del rendimiento, etc. Los administradores TI tendrán que entender toda su infraestructura para comprender cómo sus usuarios se ven afectados por este tipo de limitaciones.
¿Por qué hacer una copia de seguridad de Active Directory?
Tómese un momento y piense en todo el trabajo que ha realizado para crear un entorno de TI seguro y sin fisuras. Ha conseguido proporcionar a los usuarios la cantidad justa de acceso a todos los recursos de TI que necesitan para realizar su trabajo. Tiene todos los GPOs correctos en su lugar. Su estructura lógica es impecable.
Sin una copia de seguridad, se corre el riesgo de tener que empezar de nuevo.
No sólo es una molestia volver a configurar todo, sino que el resto de la empresa se retrasará considerablemente en la vuelta al trabajo. Los empleados no podrán acceder a sus recursos de las tecnologías de la información hasta que haya reconstruido su configuración del Active Directory. Por lo tanto, tener una estrategia de copia de seguridad para su instancia de Active Directory puede ahorrarle mucho tiempo y pena en caso de que experimente un fallo o un desastre. Para obtener consejos sobre lo que debe tener en cuenta para su plan de recuperación de desastres, considere leer este post del subreddit r/sysadmin.
Por supuesto, hacer una copia de seguridad de AD es sólo uno de los escenarios de desastre que tendrá que tener en cuenta. Las conexiones a Internet pueden cortarse, el hardware puede fallar, los errores humanos pueden ocurrir también, y más. También habrá que tener en cuenta todo esto. Como saben los administradores de TI, los servicios de autenticación suelen ser una iniciativa de tiempo de actividad del 100%.
¿Cuándo es el momento de sustituir Windows Server?
La vida útil estimada de un servidor suele ser de unos cinco años. Después de eso, está en tiempo prestado. Si todavía está utilizando Windows Server 2003 o Windows Server 2008, debería pensar en adquirir un nuevo controlador de dominio. El EOL (“end of life” o final de su vida) para Windows Server 2003 ocurrió en julio de 2015 y el EOL para Windows Server 2008 fue el 14 de enero de 2020.
¿Existe alguna práctica recomendada de Active Directory?
Sí. Al crear la infraestructura de Active Directory, existen algunas prácticas recomendadas que pueden ayudarle a mantener una seguridad sólida y también a evitar problemas de configuración. He aquí algunas recomendaciones:
- Cambie la configuración de seguridad por defecto: Los atacantes conocen bien la configuración de seguridad por defecto de AD, por lo que es mejor cambiarla de sus valores predeterminados (BeyondTrust).
- Utiliza los principios de mínimo privilegio en los roles y grupos de AD: Al dar a los empleados el menor acceso que necesitan para hacer su trabajo, se reduce la superficie de ataque para los intrusos (BeyondTrust).
- Controla los privilegios de administración y limita las cuentas en el grupo de Administradores de Dominio: De forma similar al punto anterior, debes tratar de minimizar quién tiene acceso de superusuario (BeyondTrust).
- No utilice un controlador de dominio como si fuera un ordenador: En otras palabras, no instales software o aplicaciones en un controlador de dominio. Lo mejor es que un controlador de dominio sea un servidor dedicado exclusivamente a esta función. En general, los administradores siguen el concepto de un servidor, una función (Iperius Backup).
- Parchee regularmente el AD: Los atacantes también pueden explotar fácilmente las aplicaciones, el sistema operativo y el firmware sin parches en los servidores AD. Evite darles este punto de apoyo parcheando regularmente (BeyondTrust).
- Supervise y audite el estado de AD: Hacerlo le permitirá solucionar las interrupciones y otros problemas más rápidamente (Active Directory Pro).
- Defina una convención de nomenclatura al principio: Esto ayudará mucho a mantener el AD organizado a medida que se escala (Active Directory Pro).
- Limpie AD regularmente: Elimine los usuarios, equipos y cuentas de grupo obsoletos con una cadencia regular. Hacerlo ayudará a mantener la seguridad y la organización (Active Directory Pro).
- Conseguir la hora correcta del dominio: Tener la hora correcta en todos los controladores de dominio, servidores miembros y máquinas es importante para la autenticación Kerberos y para asegurarse de que los cambios se distribuyen correctamente (Active Directory Pro).
¿Cómo se asegura el Active Directory?
Muchas de las mejores prácticas enumeradas anteriormente llegan al corazón de esto: mantenga su instancia de AD parcheada, actualizada y utilice los principios de mínimo privilegio. No utilice su controlador de dominio para nada más que las funciones necesarias para los servicios del dominio.
En lo que respecta a la seguridad física, se puede considerar la posibilidad de cerrar la sala de servidores, colocar alarmas en todos los puntos de acceso, mantener los locales bajo vigilancia por vídeo y también instalar alarmas de inundación y sistemas de prevención de incendios.
También tendrá que formar a los usuarios que tengan acceso a AD sobre cómo mantenerse seguros.
Por supuesto, para muchas organizaciones el concepto de seguridad física puede dejarse en manos de un proveedor de la cloud, si se utiliza uno.
¿Cómo se garantiza la alta disponibilidad con AD?
No existe una fórmula única para lograr la alta disponibilidad (HA, por sus siglas en inglés) de su instancia de Active Directory. Las diferentes organizaciones tienen diferentes necesidades y estándares de tiempo de actividad. Sin embargo, la redundancia es fundamental para todos, excepto para los administradores menos propensos al riesgo. El enfoque que vemos con más frecuencia en las PYMES es tener un controlador de dominio directo en el entorno de producción y un segundo DC que sirva de respaldo. Esta estrategia general de redundancia puede ampliarse para organizaciones y empresas más grandes.
Hay una serie de componentes de infraestructura de red y hardware que son necesarios para garantizar la alta disponibilidad. Muchas organizaciones están cambiando a la cloud y aprovechando a los proveedores de la cloud para ayudarles a resolver los problemas de HA y de equilibrio de carga.
¿Puede funcionar Active Directory con dispositivos Mac?
Técnicamente, sí, Active Directory puede funcionar para Mac®. Pero las capacidades de gestión de usuarios y sistemas de AD son reducidas en dispositivos Mac en comparación con la funcionalidad con los sistemas Windows. El control profundo y automatizado de los sistemas Mac se ha logrado convencionalmente sólo con la ayuda de extensiones de directorio de terceros o MDM (gestores de dispositivos móviles). El control estricto de los usuarios, incluido el aprovisionamiento, el desaprovisionamiento y las modificaciones de permisos, también es un reto en los sistemas Mac cuando se utiliza AD.
¿Por qué aprender sobre Active Directory?
Saber utilizar AD es una habilidad valiosa y ampliamente aplicable en organizaciones de todo el mundo. El aprendizaje de AD es especialmente valioso si quieres trabajar en TI dando soporte a dispositivos Windows, servicios en la cloud Azure, Sharepoint y muchos otros softwares y plataformas empresariales.
Dicho esto, es posible avanzar en la carrera de TI sin tener que aprender AD. Las organizaciones modernas, que avanzan en la cloud, están dejando de lado el AD local y van directamente a los servicios de directorio basados en la cloud. Puedes practicar con los servicios de directorio aprovechando una cuenta gratuita de la plataforma de directorios JumpCloud. También existe la Universidad JumpCloud que puede ayudarle a aprender los conceptos en torno a una plataforma de directorio en la cloud y a las empresas sin dominios.
Evaluando el Active Directory
¿Es Active Directory gratuito?
Esta es una confusión común. Aunque AD está técnicamente incluido en los Servidores de Windows, los servidores en los que se ejecuta ciertamente no lo están, y Microsoft inteligentemente obtiene su dinero de los clientes de AD a través de las licencias de “Windows Server”. El coste de las CAL (Client Access License, o licencias de acceso de cliente) garantiza que las organizaciones que utilizan AD sigan pagando a Microsoft mes tras mes.
¿Cómo puedo calcular el coste de Active Directory?
Tenemos una ecuación bastante sencilla para estimar el coste de AD:
Costos de Active Directory = servidores + software + alojamiento + copia de seguridad + supervisión + VPNs + administración TI + SW de terceros + autenticación multi-factor + gobernanza
Dicho esto, el costo real de AD para su caso de uso específico no es tan sencillo. Si desea acceder a nuestra calculadora del ROI del servicio de directorio, puede solicitarlo aquí.
¿Qué tamaño de organizaciones necesitan AD?
Cuanto más grande es una empresa, más probable es que utilice Active Directory. Las empresas, las universidades y las organizaciones gubernamentales necesitan servicios de directorio para gestionar de forma eficiente y segura el acceso a sus miles de recursos informáticos.
Aunque las organizaciones más pequeñas han podido arreglárselas sin Active Directory (algunas utilizan Google Workspace o soluciones SSO como su directorio de usuarios), muchos equipos pequeños siguen optando por implementar AD para mejorar la seguridad y la eficiencia. Por lo general, es cuando una organización crece hasta llegar a unos 20 miembros del equipo cuando los responsables de toda la infraestructura de TI comienzan a pensar que es el momento de los servicios de directorio.
A medida que las organizaciones crecen, el costo y la complejidad del funcionamiento de AD pueden aumentar drásticamente. Muchas organizaciones de TI han estado buscando diferentes maneras de hacer frente a esto y, en última instancia, buscan alternativas a Active Directory.
¿Cuáles son las ventajas y desventajas de Active Directory?
Para decirlo en términos de beneficios simples, Active Directory ofrece estas ventajas:
- Mayor control administrativo sobre los recursos de Windows
- Mayor eficacia para usuarios y administradores
- Sistemas, redes y datos de Windows más seguros
- Informes fiables y exhaustivos para la auditoría y el cumplimiento de la normativa
Pero el Active Directory también es importante en el sentido de que viene con sus desventajas:
- Funcionalidad reducida con sistemas Mac y Linux
- Dificultad de configuración y gestión
- Requiere hardware local
- Costos iniciales elevados
- Conectividad limitada a aplicaciones e infraestructura en la cloud
¿Cuándo se necesita el Active Directory?
Casi todo lo que hace Active Directory se puede hacer en un sistema individual sin Active Directory. Por ejemplo, configurar un nuevo usuario para un portátil o instituir una determinada configuración de seguridad puede hacerse manualmente desde el sistema operativo. Pero la palabra clave es manual. Active Directory es necesario una vez que una organización ha alcanzado un tamaño en el que la administración manual de sus sistemas y recursos informáticos ya no es viable. La capacidad de AD para llevar a cabo tareas de gestión basadas en grupos entre usuarios y sistemas Windows, a escala, es lo que lo ha convertido en algo fundamental para las grandes organizaciones.
Otra razón común por la que se necesita Active Directory es cuando una organización está sujeta a requisitos de auditoría y cumplimiento. Las estrictas exigencias de seguridad de los estatutos normativos como HIPAA, PCI y GDPR a menudo “obligan” a las organizaciones que de otro modo no necesitarían AD.
A medida que más organizaciones cambian a la cloud, aprovechan las aplicaciones web, utilizan plataformas modernas, y más, la necesidad de AD está disminuyendo, aunque el requisito de una solución holística de gestión de identidades y accesos es más crítica que nunca.
¿Necesito a AD para pasar nuestra auditoría?
Esto depende realmente de sus necesidades de cumplimiento —¿se enfrenta a una auditoría de PCI, HIPAA, SOX, SSAE 16 o ISO? Pero la respuesta corta es que nunca se necesita AD para pasar una auditoría. En general, los servicios de directorio pueden ser muy útiles para lograr el cumplimiento de la normativa, ya que pueden (1) asegurar las identidades, (2) limitar el acceso a los recursos y datos críticos, y (3) simplificar los procesos de auditoría, registro e informes. Dicho esto, Active Directory es sólo una de las posibles soluciones de directorio que pueden ayudar a aumentar su seguridad.
Conozca más sobre cómo JumpCloud ayuda con la seguridad y el cumplimiento.
¿Cuándo no se debe utilizar Active Directory?
Active Directory es ideal para entornos de las tecnologías de la información locales y basados en Windows. Si su entorno de TI no se ajusta a este modelo, debería considerar la posibilidad de buscar alternativas al Active Directory. Por ejemplo, si aprovecha los sistemas Mac® y Linux®, las aplicaciones basadas en la web, los servidores en la cloud, las redes inalámbricas o los servidores de archivos que no son de Windows, necesitará soluciones complementarias para integrar estos recursos con Active Directory. A largo plazo, esto acabará aumentando los costos y reduciendo la productividad.
A medida que muchas organizaciones se trasladan a la cloud, aumenta la oportunidad de utilizar plataformas modernas de directorios en la cloud. Estas pueden crear agilidad para las organizaciones y ahorrar costos significativos.
¿Existen alternativas a AD?
Sí, hay algunas alternativas al Microsoft Active Directory. Todo depende de lo que usted quiera. Algunas organizaciones consideran que la gestión manual de usuarios y sistemas es una alternativa viable a AD. La gestión manual es viable hasta cierto punto, pero simplemente no es escalable.
El competidor convencional de AD es OpenLDAP™. Se puede considerar como la alternativa de código abierto a AD. Pero OpenLDAP no es realmente una verdadera alternativa a AD. Es un servicio de directorio, pero no está a la altura de AD característica por característica, y el nivel general de conocimientos técnicos para configurar y mantener una instancia de OpenLDAP es exigente. En concreto, OpenLDAP no ayuda a gestionar sistemas (por ejemplo, como las capacidades de GPO de AD).
Más recientemente, hay herramientas de IAM web que ofrecen un grado de IAM. Así pues, estos son los SSO del mundo, junto con actores importantes como Google y su plataforma Google Workspace para empresas y organizaciones. Dicho esto, los enfoques de IAM que ponen “primero al navegador” siempre se han quedado cortos en lo que respecta al conjunto de características de los verdaderos servicios de directorio (es decir, la gestión de usuarios y sistemas). Sería exagerado decir que el SSO o Google Workspace son una alternativa a AD, pero si estás de acuerdo con un conjunto de características limitadas, es posible.
En este caso también se pueden considerar las soluciones MDM. Una vez más, proporcionan algunas capacidades similares a las de AD, pero no llegan a ser verdaderos servicios de directorio. Pueden gestionar sistemas, pero tienen problemas con la gestión de usuarios.
Por último, están los servicios de directorio en la cloud, ejemplificados por nuestra propia plataforma de directorio en la cloud. Piense en JumpCloud como Active Directory y LDAP reimaginados para las tecnologías de la información modernas. El variado conjunto de características de JumpCloud incluye la sólida gestión de sistemas basada en grupos por la que son conocidos los servicios de directorio, pero lo hace en Windows, Mac y Linux, conectando de forma segura una única identidad de usuario a su estación de trabajo, archivos, redes y aplicaciones, sin necesidad de un controlador de dominio.
¿Sigue buscando respuestas? ¿Qué nos faltó?
Queremos que esta sea una guía autoritativa, así que si tiene alguna pregunta adicional que no hayamos respondido, por favor, póngase en contacto con nosotros y háganoslo saber. Estaremos encantados de responder a otras preguntas sobre AD o considerar la posibilidad de modificar una respuesta si puede arrojar más luz sobre alguna de ellas. Sólo así podremos hacer de esto un FAQ definitivo.