{"id":434,"date":"2023-02-17T17:46:45","date_gmt":"2023-02-17T17:46:45","guid":{"rendered":"https:\/\/jumpcloud.com\/es\/?p=434"},"modified":"2024-02-05T16:57:25","modified_gmt":"2024-02-05T16:57:25","slug":"active-directory-faq","status":"publish","type":"post","link":"https:\/\/jumpcloud.com\/es\/blog\/active-directory-faq","title":{"rendered":"Microsoft Active Directory: Todas Las Preguntas M\u00e1s Frecuentes"},"content":{"rendered":"\n

Este es el FAQ definitivo para Microsoft Active Directory \u2014construido para responder a todas las preguntas m\u00e1s frecuentes sobre el servicio de directorio local legendario. Nos adentraremos en el qu\u00e9, el cu\u00e1ndo, el por qu\u00e9, el qui\u00e9n y el c\u00f3mo de Microsoft Active Directory, tambi\u00e9n conocido como AD o MAD.<\/p>\n\n\n\n

AD es un servicio muy utilizado y a la vez muy incomprendido. Desarrollado por Microsoft a finales de la d\u00e9cada de 1990, AD es el servicio de directorio local, a menudo denominado proveedor de identidades (IdP<\/a>), m\u00e1s conocido del mundo. AD marc\u00f3 el comienzo de la era de la gesti\u00f3n de identidades moderna a principios de la d\u00e9cada de 2000, pero con un panorama de TI cambiante hay una serie de preguntas que los administradores de TI y las organizaciones tienen sobre lo que es AD, c\u00f3mo funciona y por qu\u00e9 es importante.<\/p>\n\n\n\n

Hemos identificado algunas de las preguntas m\u00e1s comunes sobre Active Directory y las hemos respondido a continuaci\u00f3n.<\/p>\n\n\n\n

\"JumpCloud\"\/<\/figure>\n\n\n\n

Conceptos b\u00e1sicos de Active Directory<\/h2>\n\n\n\n

\u00bfQu\u00e9 es Active Directory?<\/h3>\n\n\n\n

Active Directory es un servicio de directorio\/proveedor de identidad que permite a los administradores conectar a los usuarios con los recursos TI basados en Windows. Adem\u00e1s, con AD, el departamento de TI puede gestionar y proteger sus sistemas y aplicaciones basados en Windows. AD almacena informaci\u00f3n sobre los objetos de la red (por ejemplo: usuarios, grupos, sistemas, redes, aplicaciones, activos digitales y muchos otros elementos) y su relaci\u00f3n entre ellos.<\/p>\n\n\n\n

Los administradores pueden utilizar AD para crear usuarios y concederles acceso a port\u00e1tiles, servidores y aplicaciones de Windows. Tambi\u00e9n pueden utilizar AD para controlar grupos de sistemas simult\u00e1neamente, aplicando configuraciones de seguridad y actualizaciones de software.<\/p>\n\n\n\n

El acceso y los controles se realizan utilizando el concepto de dominio. El concepto de dominio es esencialmente un concepto de inclusi\u00f3n y exclusi\u00f3n. Tradicionalmente, este enfoque se aprovechaba para las ubicaciones f\u00edsicas. Hist\u00f3ricamente, muchos recursos de las tecnolog\u00edas de la informaci\u00f3n se alojaban en las instalaciones y, por lo tanto, formaban parte del dominio, es decir, de la red interna, y cuando un usuario se encontraba en la ubicaci\u00f3n f\u00edsica ten\u00eda acceso a todos los recursos necesarios en las instalaciones. Si un usuario estaba fuera de la sede, ten\u00eda que conectarse por VPN para que pareciera que estaba en la sede. Este enfoque funcionaba bien cuando los recursos de TI y las personas estaban en la misma proximidad f\u00edsica.<\/p>\n\n\n\n

AD forma parte del espacio m\u00e1s amplio de la Gesti\u00f3n de Identidades y Accesos (IAM) y a menudo se complementa con soluciones de inicio de sesi\u00f3n \u00fanico (SSO) o MDM (gesti\u00f3n de dispositivos m\u00f3viles), entre muchas otras. La Plataforma de Directorio JumpCloud es una alternativa basada en la cloud a Active Directory<\/a>.<\/p>\n\n\n\n

\u00bfCu\u00e1ndo se lanz\u00f3 Active Directory?<\/h3>\n\n\n\n

Microsoft present\u00f3 al mundo por primera vez Active Directory en 1999 y lo lanz\u00f3 junto con \u201cWindows\u00ae<\/sup> 2000 Server edition\u201d.<\/p>\n\n\n\n

\u00bfQu\u00e9 protocolos utiliza AD?<\/h3>\n\n\n\n

Active Directory aprovecha los protocolos de red para DNS\/DHCP y el Protocolo Ligero de Acceso a Directorios (LDAP<\/a>), junto con la versi\u00f3n propietaria de Microsoft de Kerberos para la autenticaci\u00f3n<\/a>.<\/p>\n\n\n\n

Mucha gente se pregunta por qu\u00e9 AD no admite de forma nativa m\u00e1s protocolos, como SAML y RADIUS. No vamos a especular sobre su razonamiento, pero s\u00ed creemos que un enfoque multiprotocolo es el futuro de IAM. La compatibilidad con protocolos como SAML y RADIUS puede lograrse a trav\u00e9s de soluciones complementarias de Microsoft, as\u00ed como de soluciones de terceros.<\/p>\n\n\n\n

\u00bfPor qu\u00e9 el Active Directory se llama activo?<\/h3>\n\n\n\n

Nuestra mejor suposici\u00f3n es que AD se llama Active<\/em> Directory <\/em>porque actualiza activamente la informaci\u00f3n almacenada en el directorio. Por ejemplo, cuando un administrador a\u00f1ade o quita un usuario de la organizaci\u00f3n, Active Directory replica autom\u00e1ticamente ese cambio a todos los servidores del directorio. Esto sucede a un intervalo regular para que la informaci\u00f3n siempre se mantenga actualizada y sincronizada. <\/p>\n\n\n\n

Hoy en d\u00eda, este tipo de comportamiento “activo” se espera en los sistemas inform\u00e1ticos. Pero, antes de la era de los servicios de directorio informatizados, el concepto de un directorio que se mantuviera a s\u00ed mismo actualizado era bastante innovador. Hay que tener en cuenta que, cuando se acu\u00f1\u00f3 el apelativo de Active Directory, todav\u00eda se utilizaban com\u00fanmente las enciclopedias f\u00edsicas y la Wikipedia “activa” a\u00fan no se hab\u00eda lanzado.<\/p>\n\n\n\n

\u00bfQui\u00e9n utiliza Active Directory?<\/h3>\n\n\n\n

En general, cuando una organizaci\u00f3n aprovecha Active Directory, todos los empleados utilizan Active Directory todos los d\u00edas sin siquiera saberlo. Las personas utilizan Active Directory cuando inician sesi\u00f3n en sus m\u00e1quinas de trabajo y cuando acceden a aplicaciones, impresoras y archivos compartidos.<\/p>\n\n\n\n

Pero los principales <\/em>usuarios de Active Directory son los administradores. Estas personas realmente operan, gestionan y configuran AD. Los administradores de AD probablemente incluyen a todo el equipo TI y tambi\u00e9n pueden incluir miembros de los equipos de seguridad, DevOps o ingenier\u00eda.<\/p>\n\n\n\n

Pr\u00e1cticamente todas las organizaciones del mundo utilizan una soluci\u00f3n como Active Directory u otro proveedor de identidades. Habilitar y controlar el acceso a los recursos de TI es uno de los aspectos m\u00e1s importantes del funcionamiento de una organizaci\u00f3n en los tiempos modernos. Soluciones como los servicios de directorio permiten a las organizaciones ser productivas.<\/p>\n\n\n\n

\u00bfPor qu\u00e9 es importante Active Directory?<\/h3>\n\n\n\n

Tanto si la gente se da cuenta como si no, Active Directory ha permitido que el mundo empresarial avance desde principios de siglo. AD est\u00e1 presente en casi todas las organizaciones grandes y en muchas peque\u00f1as. Es una herramienta tan fundamental (siempre zumbando en silencio en el fondo) que muchas personas que utilizan AD todos los d\u00edas ni siquiera se dan cuenta de lo que es AD, o de que es la clave para su acceso seguro a su port\u00e1til, aplicaciones, red e incluso archivos. En resumen, un servicio de directorio es lo que conecta a los usuarios con sus recursos de TI, y AD ha hecho eso para los usuarios con sus recursos de Windows durante casi dos d\u00e9cadas.  <\/p>\n\n\n\n

Definiciones de Active Directory<\/h2>\n\n\n\n

\u00bfQu\u00e9 son los objetos de Active Directory?<\/h3>\n\n\n\n

Un objeto es el t\u00e9rmino gen\u00e9rico para cualquier unidad de informaci\u00f3n almacenada en la base de datos de Active Directory. Los objetos pueden incluir usuarios, port\u00e1tiles, servidores e incluso grupos de otros objetos (explicado debajo). <\/p>\n\n\n\n

\u00bfQu\u00e9 son los grupos de Active Directory?<\/h3>\n\n\n\n

AD permite a los administradores gestionar conjuntos de m\u00faltiples objetos y estos conjuntos se conocen como grupos. Mediante los GPO (objetos de pol\u00edtica de grupo), un administrador puede realizar un cambio en un grupo y hacer que ese cambio se aplique a todos los objetos de ese grupo. Suelen utilizarse para segmentar a los usuarios o sistemas por departamentos o autorizaciones. <\/p>\n\n\n\n

La conclusi\u00f3n es que la gesti\u00f3n basada en grupos hace que la administraci\u00f3n de TI sea m\u00e1s eficiente.<\/p>\n\n\n\n

\u00bfQu\u00e9 son los bosques, los \u00e1rboles y los dominios en Active Directory?<\/h3>\n\n\n\n

Un bosque es la parte m\u00e1s alta de la estructura l\u00f3gica de Active Directory, que tambi\u00e9n incluye objetos, \u00e1rboles, dominios y unidades organizativas (OU).  Un bosque describe una colecci\u00f3n de \u00e1rboles, que denotan una colecci\u00f3n de dominios. Entonces, \u00bfqu\u00e9 son los \u00e1rboles y los dominios? <\/p>\n\n\n\n

Bien, un dominio <\/strong>es un conjunto de usuarios, ordenadores y dispositivos que forman parte de la misma base de datos de Active Directory. Si una organizaci\u00f3n tiene varias ubicaciones, puede tener un dominio separado para cada una de ellas. Por ejemplo, una organizaci\u00f3n internacional podr\u00eda tener un dominio para su oficina de Londres, otro para su oficina de Nueva York y un tercero para su oficina de Tokio. <\/p>\n\n\n\n

Se podr\u00eda utilizar un \u00e1rbol <\/strong>para agrupar esos tres dominios como ramas pertenecientes al mismo \u00e1rbol, por as\u00ed decirlo. Una organizaci\u00f3n que tenga varios \u00e1rboles podr\u00eda entonces agruparlos en un bosque.<\/p>\n\n\n\n

Este es un concepto central de Active Directory y puede ser complicado. Si tiene preguntas, env\u00edenos una nota<\/a> y estaremos encantados de ayudarle a determinar qu\u00e9 tipo de estructura de AD tiene sentido para su organizaci\u00f3n.<\/p>\n\n\n\n

\u00bfQu\u00e9 es un controlador de dominio?<\/h3>\n\n\n\n

Un controlador de dominio es cualquier servidor que ejecuta los servicios de dominio de Active Directory. Se necesita al menos un controlador de dominio para utilizar el Active Directory, aunque la mayor\u00eda de las organizaciones tienen al menos dos por ubicaci\u00f3n. Las organizaciones grandes y multinacionales pueden necesitar decenas de controladores de dominio en cada una de sus ubicaciones f\u00edsicas para garantizar una alta disponibilidad de su instancia de AD. Generalmente, se piensa que los DC (\u201cdomain controller\u201d o controladores de dominio) est\u00e1n ligados a una oficina f\u00edsica, lo que en el actual entorno de trabajo remoto puede ser un reto.<\/p>\n\n\n\n

Los usuarios individuales y sus sistemas est\u00e1n conectados al controlador de dominio a trav\u00e9s de la red. Cuando los usuarios solicitan acceso a objetos dentro de la base de datos de Active Directory, AD procesa esa solicitud y autoriza o impide el acceso al objeto. <\/p>\n\n\n\n

Una vez dentro del dominio, un usuario no necesita introducir otro nombre de usuario y contrase\u00f1a para acceder a los recursos del dominio a los que tiene derecho. La autenticaci\u00f3n y el acceso se producen sin problemas. Esa es la belleza del dominio. Pero este concepto empieza a fallar cuando se introducen recursos que no son de Windows. Tambi\u00e9n tiene problemas si los usuarios son remotos y no est\u00e1n conectados f\u00edsicamente al dominio; en este caso, el usuario final tendr\u00e1 que conectarse por VPN a la red y ser autenticado por el DC para poder acceder a sus recursos locales basados en Windows.<\/p>\n\n\n\n

Tenga en cuenta que Microsoft tambi\u00e9n ha extendido el concepto de dominio a Azure. Las organizaciones pueden crear un dominio independiente en Azure a trav\u00e9s de Azure AD DS. Este dominio est\u00e1 separado y es distinto de los dominios locales, aunque los dos pueden ser puenteados a trav\u00e9s de una variedad de tecnolog\u00eda conectiva incluyendo Azure AD Connect y Azure AD.<\/p>\n\n\n\n

Tambi\u00e9n debemos tener en cuenta que existe un nuevo concepto llamado Empresa sin Dominio, que adopta el enfoque de eliminar el concepto de dominio, pero manteniendo la idea de acceder de forma segura y sin fricciones a los recursos de TI dondequiera que est\u00e9n. Este concepto es especialmente \u00fatil para las organizaciones que aprovechan las aplicaciones web, la infraestructura en la cloud y las plataformas que no son de Windows (por ejemplo, macOS, Linux).<\/p>\n\n\n\n

\u00bfQu\u00e9 es el Active Directory Domain Services (AD DS)?<\/h3>\n\n\n\n

AD DS b\u00e1sicamente establece la base de datos de objetos que sirve de fundamento para la gesti\u00f3n de AD. AD DS no es el \u00fanico rol de servidor asociado con Active Directory, pero se podr\u00eda argumentar que es el rol de servidor que corresponde m\u00e1s directamente a la funcionalidad principal que la gente asocia con AD.<\/p>\n\n\n\n

\u00bfC\u00f3mo funciona Active Directory?<\/h3>\n\n\n\n

\"screen<\/p>\n\n\n\n

Cuando los Servicios de Dominio de Active Directory se instalan en un servidor, \u00e9ste se convierte en un controlador de dominio. Este servidor almacena la base de datos de Active Directory, que contiene una jerarqu\u00eda de objetos y su relaci\u00f3n entre ellos. <\/p>\n\n\n\n

El Active Directory es gestionado por un administrador a trav\u00e9s de una GUI (interfaz gr\u00e1fica de usuario) de tipo \u201cthick-client\u201d (cliente pesado) que se asemeja al gestor de archivos de Windows (mostrado arriba). Esta aplicaci\u00f3n se ejecuta en un servidor de Windows y no es una aplicaci\u00f3n moderna basada en un navegador. Los administradores pueden se\u00f1alar, hacer clic y arrastrar objetos dentro de AD y ajustar su configuraci\u00f3n haciendo clic con el bot\u00f3n derecho del rat\u00f3n y accediendo al men\u00fa desplegable. <\/p>\n\n\n\n

AD tambi\u00e9n puede controlarse a trav\u00e9s de la l\u00ednea de comandos y mediante herramientas que aprovechan PowerShell, el lenguaje de Microsoft para la automatizaci\u00f3n y las tareas a nivel de API.<\/p>\n\n\n\n

\u00bfQu\u00e9 es Azure\u00ae<\/sup> Active Directory?<\/h3>\n\n\n\n

La mayor idea err\u00f3nea sobre Azure AD es que se trata del Active Directory en la cloud<\/a>. Pero la verdad es que Azure AD no se cre\u00f3 para ser un AD independiente en la cloud. En cambio, Azure AD ha sido dise\u00f1ado para extender una instancia de Active Directory existente <\/em>a la cloud.<\/p>\n\n\n\n

Para entender mejor la relaci\u00f3n entre AD y AAD, el diagrama de arquitectura de referencia de Microsoft puede ser \u00fatil.<\/p>\n\n\n\n

\"screen<\/figure>\n\n\n\n

El concepto puede ser complicado, con muchas partes m\u00f3viles: sincronice su AD local con Azure AD Connect y puede conectar su base de datos existente de identidades de usuario y grupos a los recursos basados en la cloud de Azure. Por supuesto, necesitas Azure AD y, si quieres crear un dominio dentro de Azure, tambi\u00e9n el producto Azure AD DS.<\/p>\n\n\n\n

Azure AD puede hacer muchas cosas que AD no puede hacer (por ejemplo, tiene un componente integrado de inicio de sesi\u00f3n \u00fanico para aplicaciones web) \u2014y el paraguas m\u00e1s amplio de la plataforma Azure de Microsoft abarca una funcionalidad tan amplia que se puede pensar en ella como el competidor de Microsoft a Amazon Web Services. Pero no se enga\u00f1e pensando que eso significa que Azure AD puede hacer todo lo que puede hacer el Active Directory local.  <\/p>\n\n\n\n

\u00bfQu\u00e9 es Azure AD Connect?<\/h3>\n\n\n\n

Azure AD Connect es una herramienta que se utiliza para federar las identidades de Active Directory locales a los recursos que se alojan en la plataforma Azure a trav\u00e9s de Azure Active Directory. Estos recursos pueden incluir sistemas, servidores y aplicaciones de Office 365\u2122 y Azure.<\/p>\n\n\n\n

Qu\u00e9 Es y Qu\u00e9 No Es AD<\/h2>\n\n\n\n

\u00bfEs el Active Directory Single Sign-On (SSO)?<\/h3>\n\n\n\n

Se podr\u00eda decir que Active Directory era SSO antes de que existiera el SSO. Con esto queremos decir que AD puede proporcionar una experiencia de inicio de sesi\u00f3n \u00fanico para los usuarios al centralizar el acceso a todos los recursos basados en Windows dentro de la base de datos. Adem\u00e1s, esos recursos estaban todos en la sede o, como m\u00ednimo, conectados al dominio. <\/p>\n\n\n\n

Dicho esto, lo que la industria considera convencionalmente como SSO (SSO de aplicaciones web) es muy diferente de AD y, de hecho, el SSO convencional surgi\u00f3 de la incapacidad de AD para autenticar a los usuarios en las aplicaciones web a mediados de la d\u00e9cada de 2000. Hoy en d\u00eda, muchas organizaciones siguen complementando su Active Directory con una herramienta de SSO de aplicaciones web basada en el navegador.<\/p>\n\n\n\n

Sin embargo, los nuevos requisitos empresariales han hecho que el concepto de SSO se extienda ahora a los dispositivos, las redes, los servidores de archivos, y m\u00e1s, por lo que el concepto moderno de SSO<\/a> va m\u00e1s all\u00e1 del mero acceso a los recursos de Windows o incluso a las aplicaciones web. El concepto del SSO Verdadero es a\u00fan m\u00e1s amplio y muy relevante para las organizaciones modernas en las que los usuarios y sus recursos TI pueden estar en todo el mundo.<\/p>\n\n\n\n

\u00bfEl Active Directory es un Software?<\/h3>\n\n\n\n

S\u00ed, es un software desarrollado por Microsoft que se instala, mantiene y actualiza en el hardware del servidor basado en Windows. El software de AD se licencia a trav\u00e9s de un concepto llamado CALs (licencias de acceso de cliente) entre otros mecanismos. La concesi\u00f3n de licencias para el software de AD puede ser bastante compleja, por lo que la mejor opci\u00f3n es hablar con un distribuidor de Microsoft.<\/p>\n\n\n\n

Adem\u00e1s, el software y el hardware de AD no son una soluci\u00f3n completa. Tendr\u00e1 que adquirir otros componentes para que AD funcione, como soluciones de seguridad, alta disponibilidad, copias de seguridad, VPN, etc.<\/p>\n\n\n\n

\u00bfEs Active Directory un servidor?<\/h3>\n\n\n\n

No exactamente. Dicho esto, Active Directory requiere un servidor Windows para funcionar. Un servidor que ejecuta el software de Servicios de Dominio de Active Directory se conoce como controlador de dominio, tanto si ese servidor es un hardware f\u00edsico ubicado en las instalaciones como si est\u00e1 virtualizado. <\/p>\n\n\n\n

\u00bfEs Active Directory una base de datos?<\/h3>\n\n\n\n

Ser\u00eda m\u00e1s exacto decir que Active Directory contiene <\/em>una base de datos. La base de datos del Active Directory o es el almac\u00e9n de todos los usuarios, grupos, sistemas, impresoras y pol\u00edticas dentro de la red. Estos se conocen como objetos y pueden ser manipulados por los administradores que utilizan Active Directory.<\/p>\n\n\n\n

\u00bfEs Active Directory de c\u00f3digo abierto?<\/h3>\n\n\n\n

No. Active Directory fue desarrollado de forma privada por Microsoft y su c\u00f3digo no se ha puesto a disposici\u00f3n del p\u00fablico como una herramienta de c\u00f3digo abierto. La principal alternativa de c\u00f3digo abierto a Active Directory es OpenLDAP (otras son FreeIPA, Samba, 389 Directory y otras). Puede obtener m\u00e1s informaci\u00f3n sobre la diferencia entre OpenLDAP y AD<\/a>.<\/p>\n\n\n\n

\u00bfEs Active Directory LDAP?<\/h3>\n\n\n\n

Active Directory no es LDAP, pero utiliza LDAP. AD es un servicio de directorio que es capaz de comunicarse a trav\u00e9s del protocolo LDAP y gestionar el acceso a los recursos basados en LDAP. El protocolo principal de AD es una versi\u00f3n propietaria de Microsoft de Kerberos.<\/p>\n\n\n\n

Funcionalidad de Active Directory<\/h2>\n\n\n\n

\u00bfQu\u00e9 necesita para hacer funcionar Active Directory? <\/h3>\n\n\n\n

En general, para operar con AD, necesitar\u00e1s un servidor, una copia de seguridad, espacio en el centro de datos y un VPN. Eso es s\u00f3lo para cubrir los aspectos b\u00e1sicos, pero para la mayor\u00eda de las organizaciones tambi\u00e9n tendr\u00e1 que resolver la seguridad, el equilibrio de carga \/ alta disponibilidad, la copia de seguridad de los datos, y mucho m\u00e1s. Tambi\u00e9n necesitar\u00e1s un administrador de TI que sea lo suficientemente h\u00e1bil t\u00e9cnicamente como para instalar, gestionar y mantener AD.<\/p>\n\n\n\n

Dicho esto, los requisitos de hardware y software necesarios para operar Active Directory son \u00fanicos para cada organizaci\u00f3n. Algunos de los aspectos que debe tener en cuenta a la hora de determinar lo que necesitar\u00e1 para hacer funcionar AD, son los siguientes:<\/p>\n\n\n\n