{"id":434,"date":"2023-02-17T17:46:45","date_gmt":"2023-02-17T17:46:45","guid":{"rendered":"https:\/\/jumpcloud.com\/es\/?p=434"},"modified":"2024-02-05T16:57:25","modified_gmt":"2024-02-05T16:57:25","slug":"active-directory-faq","status":"publish","type":"post","link":"https:\/\/jumpcloud.com\/es\/blog\/active-directory-faq","title":{"rendered":"Microsoft Active Directory: Todas Las Preguntas M\u00e1s Frecuentes"},"content":{"rendered":"\n
Este es el FAQ definitivo para Microsoft Active Directory \u2014construido para responder a todas las preguntas m\u00e1s frecuentes sobre el servicio de directorio local legendario. Nos adentraremos en el qu\u00e9, el cu\u00e1ndo, el por qu\u00e9, el qui\u00e9n y el c\u00f3mo de Microsoft Active Directory, tambi\u00e9n conocido como AD o MAD.<\/p>\n\n\n\n
AD es un servicio muy utilizado y a la vez muy incomprendido. Desarrollado por Microsoft a finales de la d\u00e9cada de 1990, AD es el servicio de directorio local, a menudo denominado proveedor de identidades (IdP<\/a>), m\u00e1s conocido del mundo. AD marc\u00f3 el comienzo de la era de la gesti\u00f3n de identidades moderna a principios de la d\u00e9cada de 2000, pero con un panorama de TI cambiante hay una serie de preguntas que los administradores de TI y las organizaciones tienen sobre lo que es AD, c\u00f3mo funciona y por qu\u00e9 es importante.<\/p>\n\n\n\n Hemos identificado algunas de las preguntas m\u00e1s comunes sobre Active Directory y las hemos respondido a continuaci\u00f3n.<\/p>\n\n\n\n Active Directory es un servicio de directorio\/proveedor de identidad que permite a los administradores conectar a los usuarios con los recursos TI basados en Windows. Adem\u00e1s, con AD, el departamento de TI puede gestionar y proteger sus sistemas y aplicaciones basados en Windows. AD almacena informaci\u00f3n sobre los objetos de la red (por ejemplo: usuarios, grupos, sistemas, redes, aplicaciones, activos digitales y muchos otros elementos) y su relaci\u00f3n entre ellos.<\/p>\n\n\n\n Los administradores pueden utilizar AD para crear usuarios y concederles acceso a port\u00e1tiles, servidores y aplicaciones de Windows. Tambi\u00e9n pueden utilizar AD para controlar grupos de sistemas simult\u00e1neamente, aplicando configuraciones de seguridad y actualizaciones de software.<\/p>\n\n\n\n El acceso y los controles se realizan utilizando el concepto de dominio. El concepto de dominio es esencialmente un concepto de inclusi\u00f3n y exclusi\u00f3n. Tradicionalmente, este enfoque se aprovechaba para las ubicaciones f\u00edsicas. Hist\u00f3ricamente, muchos recursos de las tecnolog\u00edas de la informaci\u00f3n se alojaban en las instalaciones y, por lo tanto, formaban parte del dominio, es decir, de la red interna, y cuando un usuario se encontraba en la ubicaci\u00f3n f\u00edsica ten\u00eda acceso a todos los recursos necesarios en las instalaciones. Si un usuario estaba fuera de la sede, ten\u00eda que conectarse por VPN para que pareciera que estaba en la sede. Este enfoque funcionaba bien cuando los recursos de TI y las personas estaban en la misma proximidad f\u00edsica.<\/p>\n\n\n\n AD forma parte del espacio m\u00e1s amplio de la Gesti\u00f3n de Identidades y Accesos (IAM) y a menudo se complementa con soluciones de inicio de sesi\u00f3n \u00fanico (SSO) o MDM (gesti\u00f3n de dispositivos m\u00f3viles), entre muchas otras. La Plataforma de Directorio JumpCloud es una alternativa basada en la cloud a Active Directory<\/a>.<\/p>\n\n\n\n Microsoft present\u00f3 al mundo por primera vez Active Directory en 1999 y lo lanz\u00f3 junto con \u201cWindows\u00ae<\/sup> 2000 Server edition\u201d.<\/p>\n\n\n\n Active Directory aprovecha los protocolos de red para DNS\/DHCP y el Protocolo Ligero de Acceso a Directorios (LDAP<\/a>), junto con la versi\u00f3n propietaria de Microsoft de Kerberos para la autenticaci\u00f3n<\/a>.<\/p>\n\n\n\n Mucha gente se pregunta por qu\u00e9 AD no admite de forma nativa m\u00e1s protocolos, como SAML y RADIUS. No vamos a especular sobre su razonamiento, pero s\u00ed creemos que un enfoque multiprotocolo es el futuro de IAM. La compatibilidad con protocolos como SAML y RADIUS puede lograrse a trav\u00e9s de soluciones complementarias de Microsoft, as\u00ed como de soluciones de terceros.<\/p>\n\n\n\n Nuestra mejor suposici\u00f3n es que AD se llama Active<\/em> Directory <\/em>porque actualiza activamente la informaci\u00f3n almacenada en el directorio. Por ejemplo, cuando un administrador a\u00f1ade o quita un usuario de la organizaci\u00f3n, Active Directory replica autom\u00e1ticamente ese cambio a todos los servidores del directorio. Esto sucede a un intervalo regular para que la informaci\u00f3n siempre se mantenga actualizada y sincronizada. <\/p>\n\n\n\n Hoy en d\u00eda, este tipo de comportamiento “activo” se espera en los sistemas inform\u00e1ticos. Pero, antes de la era de los servicios de directorio informatizados, el concepto de un directorio que se mantuviera a s\u00ed mismo actualizado era bastante innovador. Hay que tener en cuenta que, cuando se acu\u00f1\u00f3 el apelativo de Active Directory, todav\u00eda se utilizaban com\u00fanmente las enciclopedias f\u00edsicas y la Wikipedia “activa” a\u00fan no se hab\u00eda lanzado.<\/p>\n\n\n\n En general, cuando una organizaci\u00f3n aprovecha Active Directory, todos los empleados utilizan Active Directory todos los d\u00edas sin siquiera saberlo. Las personas utilizan Active Directory cuando inician sesi\u00f3n en sus m\u00e1quinas de trabajo y cuando acceden a aplicaciones, impresoras y archivos compartidos.<\/p>\n\n\n\n Pero los principales <\/em>usuarios de Active Directory son los administradores. Estas personas realmente operan, gestionan y configuran AD. Los administradores de AD probablemente incluyen a todo el equipo TI y tambi\u00e9n pueden incluir miembros de los equipos de seguridad, DevOps o ingenier\u00eda.<\/p>\n\n\n\n Pr\u00e1cticamente todas las organizaciones del mundo utilizan una soluci\u00f3n como Active Directory u otro proveedor de identidades. Habilitar y controlar el acceso a los recursos de TI es uno de los aspectos m\u00e1s importantes del funcionamiento de una organizaci\u00f3n en los tiempos modernos. Soluciones como los servicios de directorio permiten a las organizaciones ser productivas.<\/p>\n\n\n\n Tanto si la gente se da cuenta como si no, Active Directory ha permitido que el mundo empresarial avance desde principios de siglo. AD est\u00e1 presente en casi todas las organizaciones grandes y en muchas peque\u00f1as. Es una herramienta tan fundamental (siempre zumbando en silencio en el fondo) que muchas personas que utilizan AD todos los d\u00edas ni siquiera se dan cuenta de lo que es AD, o de que es la clave para su acceso seguro a su port\u00e1til, aplicaciones, red e incluso archivos. En resumen, un servicio de directorio es lo que conecta a los usuarios con sus recursos de TI, y AD ha hecho eso para los usuarios con sus recursos de Windows durante casi dos d\u00e9cadas. <\/p>\n\n\n\n Un objeto es el t\u00e9rmino gen\u00e9rico para cualquier unidad de informaci\u00f3n almacenada en la base de datos de Active Directory. Los objetos pueden incluir usuarios, port\u00e1tiles, servidores e incluso grupos de otros objetos (explicado debajo). <\/p>\n\n\n\n AD permite a los administradores gestionar conjuntos de m\u00faltiples objetos y estos conjuntos se conocen como grupos. Mediante los GPO (objetos de pol\u00edtica de grupo), un administrador puede realizar un cambio en un grupo y hacer que ese cambio se aplique a todos los objetos de ese grupo. Suelen utilizarse para segmentar a los usuarios o sistemas por departamentos o autorizaciones. <\/p>\n\n\n\n La conclusi\u00f3n es que la gesti\u00f3n basada en grupos hace que la administraci\u00f3n de TI sea m\u00e1s eficiente.<\/p>\n\n\n\n Un bosque es la parte m\u00e1s alta de la estructura l\u00f3gica de Active Directory, que tambi\u00e9n incluye objetos, \u00e1rboles, dominios y unidades organizativas (OU). Un bosque describe una colecci\u00f3n de \u00e1rboles, que denotan una colecci\u00f3n de dominios. Entonces, \u00bfqu\u00e9 son los \u00e1rboles y los dominios? <\/p>\n\n\n\n Bien, un dominio <\/strong>es un conjunto de usuarios, ordenadores y dispositivos que forman parte de la misma base de datos de Active Directory. Si una organizaci\u00f3n tiene varias ubicaciones, puede tener un dominio separado para cada una de ellas. Por ejemplo, una organizaci\u00f3n internacional podr\u00eda tener un dominio para su oficina de Londres, otro para su oficina de Nueva York y un tercero para su oficina de Tokio. <\/p>\n\n\n\n Se podr\u00eda utilizar un \u00e1rbol <\/strong>para agrupar esos tres dominios como ramas pertenecientes al mismo \u00e1rbol, por as\u00ed decirlo. Una organizaci\u00f3n que tenga varios \u00e1rboles podr\u00eda entonces agruparlos en un bosque.<\/p>\n\n\n\n Este es un concepto central de Active Directory y puede ser complicado. Si tiene preguntas, env\u00edenos una nota<\/a> y estaremos encantados de ayudarle a determinar qu\u00e9 tipo de estructura de AD tiene sentido para su organizaci\u00f3n.<\/p>\n\n\n\n Un controlador de dominio es cualquier servidor que ejecuta los servicios de dominio de Active Directory. Se necesita al menos un controlador de dominio para utilizar el Active Directory, aunque la mayor\u00eda de las organizaciones tienen al menos dos por ubicaci\u00f3n. Las organizaciones grandes y multinacionales pueden necesitar decenas de controladores de dominio en cada una de sus ubicaciones f\u00edsicas para garantizar una alta disponibilidad de su instancia de AD. Generalmente, se piensa que los DC (\u201cdomain controller\u201d o controladores de dominio) est\u00e1n ligados a una oficina f\u00edsica, lo que en el actual entorno de trabajo remoto puede ser un reto.<\/p>\n\n\n\n Los usuarios individuales y sus sistemas est\u00e1n conectados al controlador de dominio a trav\u00e9s de la red. Cuando los usuarios solicitan acceso a objetos dentro de la base de datos de Active Directory, AD procesa esa solicitud y autoriza o impide el acceso al objeto. <\/p>\n\n\n\n Una vez dentro del dominio, un usuario no necesita introducir otro nombre de usuario y contrase\u00f1a para acceder a los recursos del dominio a los que tiene derecho. La autenticaci\u00f3n y el acceso se producen sin problemas. Esa es la belleza del dominio. Pero este concepto empieza a fallar cuando se introducen recursos que no son de Windows. Tambi\u00e9n tiene problemas si los usuarios son remotos y no est\u00e1n conectados f\u00edsicamente al dominio; en este caso, el usuario final tendr\u00e1 que conectarse por VPN a la red y ser autenticado por el DC para poder acceder a sus recursos locales basados en Windows.<\/p>\n\n\n\n Tenga en cuenta que Microsoft tambi\u00e9n ha extendido el concepto de dominio a Azure. Las organizaciones pueden crear un dominio independiente en Azure a trav\u00e9s de Azure AD DS. Este dominio est\u00e1 separado y es distinto de los dominios locales, aunque los dos pueden ser puenteados a trav\u00e9s de una variedad de tecnolog\u00eda conectiva incluyendo Azure AD Connect y Azure AD.<\/p>\n\n\n\n Tambi\u00e9n debemos tener en cuenta que existe un nuevo concepto llamado Empresa sin Dominio, que adopta el enfoque de eliminar el concepto de dominio, pero manteniendo la idea de acceder de forma segura y sin fricciones a los recursos de TI dondequiera que est\u00e9n. Este concepto es especialmente \u00fatil para las organizaciones que aprovechan las aplicaciones web, la infraestructura en la cloud y las plataformas que no son de Windows (por ejemplo, macOS, Linux).<\/p>\n\n\n\n AD DS b\u00e1sicamente establece la base de datos de objetos que sirve de fundamento para la gesti\u00f3n de AD. AD DS no es el \u00fanico rol de servidor asociado con Active Directory, pero se podr\u00eda argumentar que es el rol de servidor que corresponde m\u00e1s directamente a la funcionalidad principal que la gente asocia con AD.<\/p>\n\n\n\n Cuando los Servicios de Dominio de Active Directory se instalan en un servidor, \u00e9ste se convierte en un controlador de dominio. Este servidor almacena la base de datos de Active Directory, que contiene una jerarqu\u00eda de objetos y su relaci\u00f3n entre ellos. <\/p>\n\n\n\n El Active Directory es gestionado por un administrador a trav\u00e9s de una GUI (interfaz gr\u00e1fica de usuario) de tipo \u201cthick-client\u201d (cliente pesado) que se asemeja al gestor de archivos de Windows (mostrado arriba). Esta aplicaci\u00f3n se ejecuta en un servidor de Windows y no es una aplicaci\u00f3n moderna basada en un navegador. Los administradores pueden se\u00f1alar, hacer clic y arrastrar objetos dentro de AD y ajustar su configuraci\u00f3n haciendo clic con el bot\u00f3n derecho del rat\u00f3n y accediendo al men\u00fa desplegable. <\/p>\n\n\n\n AD tambi\u00e9n puede controlarse a trav\u00e9s de la l\u00ednea de comandos y mediante herramientas que aprovechan PowerShell, el lenguaje de Microsoft para la automatizaci\u00f3n y las tareas a nivel de API.<\/p>\n\n\n\n La mayor idea err\u00f3nea sobre Azure AD es que se trata del Active Directory en la cloud<\/a>. Pero la verdad es que Azure AD no se cre\u00f3 para ser un AD independiente en la cloud. En cambio, Azure AD ha sido dise\u00f1ado para extender una instancia de Active Directory existente <\/em>a la cloud.<\/p>\n\n\n\n Para entender mejor la relaci\u00f3n entre AD y AAD, el diagrama de arquitectura de referencia de Microsoft puede ser \u00fatil.<\/p>\n\n\n\n El concepto puede ser complicado, con muchas partes m\u00f3viles: sincronice su AD local con Azure AD Connect y puede conectar su base de datos existente de identidades de usuario y grupos a los recursos basados en la cloud de Azure. Por supuesto, necesitas Azure AD y, si quieres crear un dominio dentro de Azure, tambi\u00e9n el producto Azure AD DS.<\/p>\n\n\n\n Azure AD puede hacer muchas cosas que AD no puede hacer (por ejemplo, tiene un componente integrado de inicio de sesi\u00f3n \u00fanico para aplicaciones web) \u2014y el paraguas m\u00e1s amplio de la plataforma Azure de Microsoft abarca una funcionalidad tan amplia que se puede pensar en ella como el competidor de Microsoft a Amazon Web Services. Pero no se enga\u00f1e pensando que eso significa que Azure AD puede hacer todo lo que puede hacer el Active Directory local. <\/p>\n\n\n\n Azure AD Connect es una herramienta que se utiliza para federar las identidades de Active Directory locales a los recursos que se alojan en la plataforma Azure a trav\u00e9s de Azure Active Directory. Estos recursos pueden incluir sistemas, servidores y aplicaciones de Office 365\u2122 y Azure.<\/p>\n\n\n\n Se podr\u00eda decir que Active Directory era SSO antes de que existiera el SSO. Con esto queremos decir que AD puede proporcionar una experiencia de inicio de sesi\u00f3n \u00fanico para los usuarios al centralizar el acceso a todos los recursos basados en Windows dentro de la base de datos. Adem\u00e1s, esos recursos estaban todos en la sede o, como m\u00ednimo, conectados al dominio. <\/p>\n\n\n\n Dicho esto, lo que la industria considera convencionalmente como SSO (SSO de aplicaciones web) es muy diferente de AD y, de hecho, el SSO convencional surgi\u00f3 de la incapacidad de AD para autenticar a los usuarios en las aplicaciones web a mediados de la d\u00e9cada de 2000. Hoy en d\u00eda, muchas organizaciones siguen complementando su Active Directory con una herramienta de SSO de aplicaciones web basada en el navegador.<\/p>\n\n\n\n Sin embargo, los nuevos requisitos empresariales han hecho que el concepto de SSO se extienda ahora a los dispositivos, las redes, los servidores de archivos, y m\u00e1s, por lo que el concepto moderno de SSO<\/a> va m\u00e1s all\u00e1 del mero acceso a los recursos de Windows o incluso a las aplicaciones web. El concepto del SSO Verdadero es a\u00fan m\u00e1s amplio y muy relevante para las organizaciones modernas en las que los usuarios y sus recursos TI pueden estar en todo el mundo.<\/p>\n\n\n\n S\u00ed, es un software desarrollado por Microsoft que se instala, mantiene y actualiza en el hardware del servidor basado en Windows. El software de AD se licencia a trav\u00e9s de un concepto llamado CALs (licencias de acceso de cliente) entre otros mecanismos. La concesi\u00f3n de licencias para el software de AD puede ser bastante compleja, por lo que la mejor opci\u00f3n es hablar con un distribuidor de Microsoft.<\/p>\n\n\n\n Adem\u00e1s, el software y el hardware de AD no son una soluci\u00f3n completa. Tendr\u00e1 que adquirir otros componentes para que AD funcione, como soluciones de seguridad, alta disponibilidad, copias de seguridad, VPN, etc.<\/p>\n\n\n\n No exactamente. Dicho esto, Active Directory requiere un servidor Windows para funcionar. Un servidor que ejecuta el software de Servicios de Dominio de Active Directory se conoce como controlador de dominio, tanto si ese servidor es un hardware f\u00edsico ubicado en las instalaciones como si est\u00e1 virtualizado. <\/p>\n\n\n\n Ser\u00eda m\u00e1s exacto decir que Active Directory contiene <\/em>una base de datos. La base de datos del Active Directory o es el almac\u00e9n de todos los usuarios, grupos, sistemas, impresoras y pol\u00edticas dentro de la red. Estos se conocen como objetos y pueden ser manipulados por los administradores que utilizan Active Directory.<\/p>\n\n\n\n No. Active Directory fue desarrollado de forma privada por Microsoft y su c\u00f3digo no se ha puesto a disposici\u00f3n del p\u00fablico como una herramienta de c\u00f3digo abierto. La principal alternativa de c\u00f3digo abierto a Active Directory es OpenLDAP (otras son FreeIPA, Samba, 389 Directory y otras). Puede obtener m\u00e1s informaci\u00f3n sobre la diferencia entre OpenLDAP y AD<\/a>.<\/p>\n\n\n\n Active Directory no es LDAP, pero utiliza LDAP. AD es un servicio de directorio que es capaz de comunicarse a trav\u00e9s del protocolo LDAP y gestionar el acceso a los recursos basados en LDAP. El protocolo principal de AD es una versi\u00f3n propietaria de Microsoft de Kerberos.<\/p>\n\n\n\n En general, para operar con AD, necesitar\u00e1s un servidor, una copia de seguridad, espacio en el centro de datos y un VPN. Eso es s\u00f3lo para cubrir los aspectos b\u00e1sicos, pero para la mayor\u00eda de las organizaciones tambi\u00e9n tendr\u00e1 que resolver la seguridad, el equilibrio de carga \/ alta disponibilidad, la copia de seguridad de los datos, y mucho m\u00e1s. Tambi\u00e9n necesitar\u00e1s un administrador de TI que sea lo suficientemente h\u00e1bil t\u00e9cnicamente como para instalar, gestionar y mantener AD.<\/p>\n\n\n\n Dicho esto, los requisitos de hardware y software necesarios para operar Active Directory son \u00fanicos para cada organizaci\u00f3n. Algunos de los aspectos que debe tener en cuenta a la hora de determinar lo que necesitar\u00e1 para hacer funcionar AD, son los siguientes:<\/p>\n\n\n\n Evaluar con precisi\u00f3n su entorno TI es crucial para el uso eficaz de Active Directory, y tomar atajos podr\u00eda dar lugar a problemas de rendimiento en el futuro. Para obtener m\u00e1s informaci\u00f3n, consulte el art\u00edculo sobre planificaci\u00f3n de la capacidad de<\/a> Microsoft. Tambi\u00e9n querr\u00e1 hablar con los distribuidores de Microsoft sobre las licencias, ya que pueden ser complejas. Estos requisitos de licencia pueden incluir el software del servidor, las licencias de acceso de los clientes, y m\u00e1s.<\/p>\n\n\n\n Por supuesto, si tiene sistemas, aplicaciones, servidores de archivos e infraestructura de red que no sean de Windows, tendr\u00e1 que adquirir tambi\u00e9n complementos como el SSO de aplicaciones web, la autenticaci\u00f3n multi-factor<\/a>, la gesti\u00f3n de accesos privilegiados, la gobernanza y la auditor\u00eda, etc.<\/p>\n\n\n\n S\u00ed, hay l\u00edmites en Active Directory. Desde el n\u00famero m\u00e1ximo de objetos hasta el n\u00famero m\u00e1ximo de GPOs aplicados, Active Directory tiene sus restricciones. He aqu\u00ed algunas de ellas:<\/p>\n\n\n\n Puede leer m\u00e1s sobre las limitaciones de Active Directory aqu\u00ed<\/a>. Desde un punto de vista pr\u00e1ctico, existen limitaciones debidas a la capacidad del hardware del servidor, el ancho de banda, la latencia del rendimiento, etc. Los administradores TI tendr\u00e1n que entender toda su infraestructura para comprender c\u00f3mo sus usuarios se ven afectados por este tipo de limitaciones.<\/p>\n\n\n\n T\u00f3mese un momento y piense en todo el trabajo que ha realizado para crear un entorno de TI seguro y sin fisuras. Ha conseguido proporcionar a los usuarios la cantidad justa de acceso a todos los recursos de TI que necesitan para realizar su trabajo. Tiene todos los GPOs correctos en su lugar. Su estructura l\u00f3gica es impecable. <\/p>\n\n\n\n Sin una copia de seguridad, se corre el riesgo de tener que empezar de nuevo. <\/p>\n\n\n\n No s\u00f3lo es una molestia volver a configurar todo, sino que el resto de la empresa se retrasar\u00e1 considerablemente en la vuelta al trabajo. Los empleados no podr\u00e1n acceder a sus recursos de las tecnolog\u00edas de la informaci\u00f3n hasta que haya reconstruido su configuraci\u00f3n del Active Directory. Por lo tanto, tener una estrategia de copia de seguridad para su instancia de Active Directory puede ahorrarle mucho tiempo y pena en caso de que experimente un fallo o un desastre. Para obtener consejos sobre lo que debe tener en cuenta para su plan de recuperaci\u00f3n de desastres, considere leer este post del subreddit r\/sysadmin<\/a>. <\/p>\n\n\n\n Por supuesto, hacer una copia de seguridad de AD es s\u00f3lo uno de los escenarios de desastre que tendr\u00e1 que tener en cuenta. Las conexiones a Internet pueden cortarse, el hardware puede fallar, los errores humanos pueden ocurrir tambi\u00e9n, y m\u00e1s. Tambi\u00e9n habr\u00e1 que tener en cuenta todo esto. Como saben los administradores de TI, los servicios de autenticaci\u00f3n suelen ser una iniciativa de tiempo de actividad del 100%.<\/p>\n\n\n\n La vida \u00fatil estimada de un servidor suele ser de unos cinco a\u00f1os. Despu\u00e9s de eso, est\u00e1 en tiempo prestado. Si todav\u00eda est\u00e1 utilizando Windows Server 2003 o Windows Server 2008, deber\u00eda pensar en adquirir un nuevo controlador de dominio. El EOL (\u201cend of life\u201d o final de su vida) para Windows Server 2003 ocurri\u00f3 en julio de 2015 y el EOL para Windows Server 2008 fue el 14 de enero de 2020.<\/p>\n\n\n\n S\u00ed. Al crear la infraestructura de Active Directory, existen algunas pr\u00e1cticas recomendadas que pueden ayudarle a mantener una seguridad s\u00f3lida y tambi\u00e9n a evitar problemas de configuraci\u00f3n. He aqu\u00ed algunas recomendaciones:<\/p>\n\n\n\n Muchas de las mejores pr\u00e1cticas enumeradas anteriormente llegan al coraz\u00f3n de esto: mantenga su instancia de AD parcheada<\/a>, actualizada y utilice los principios de m\u00ednimo privilegio. No utilice su controlador de dominio para nada m\u00e1s que las funciones necesarias para los servicios del dominio. <\/p>\n\n\n\n En lo que respecta a la seguridad f\u00edsica, se puede considerar la posibilidad de cerrar la sala de servidores, colocar alarmas en todos los puntos de acceso, mantener los locales bajo vigilancia por v\u00eddeo y tambi\u00e9n instalar alarmas de inundaci\u00f3n y sistemas de prevenci\u00f3n de incendios. <\/p>\n\n\n\n Tambi\u00e9n tendr\u00e1 que formar a los usuarios que tengan acceso a AD sobre c\u00f3mo mantenerse seguros.<\/p>\n\n\n\n Por supuesto, para muchas organizaciones el concepto de seguridad f\u00edsica puede dejarse en manos de un proveedor de la cloud, si se utiliza uno.<\/p>\n\n\n\n No existe una f\u00f3rmula \u00fanica para lograr la alta disponibilidad (HA, por sus siglas en ingl\u00e9s) de su instancia de Active Directory. Las diferentes organizaciones tienen diferentes necesidades y est\u00e1ndares de tiempo de actividad. Sin embargo, la redundancia es fundamental para todos, excepto para los administradores menos propensos al riesgo. El enfoque que vemos con m\u00e1s frecuencia en las PYMES es tener un controlador de dominio directo en el entorno de producci\u00f3n y un segundo DC que sirva de respaldo. Esta estrategia general de redundancia puede ampliarse para organizaciones y empresas m\u00e1s grandes.<\/p>\n\n\n\n Hay una serie de componentes de infraestructura de red y hardware que son necesarios para garantizar la alta disponibilidad. Muchas organizaciones est\u00e1n cambiando a la cloud y aprovechando a los proveedores de la cloud para ayudarles a resolver los problemas de HA y de equilibrio de carga. <\/p>\n\n\n\n T\u00e9cnicamente, s\u00ed, Active Directory puede funcionar para Mac\u00ae<\/sup>. Pero las capacidades de gesti\u00f3n de usuarios y sistemas de AD son reducidas en dispositivos Mac en comparaci\u00f3n con la funcionalidad con los sistemas Windows. El control profundo y automatizado de los sistemas Mac se ha logrado convencionalmente s\u00f3lo con la ayuda de extensiones de directorio de terceros o MDM (gestores de dispositivos m\u00f3viles). El control estricto de los usuarios, incluido el aprovisionamiento, el desaprovisionamiento y las modificaciones de permisos, tambi\u00e9n es un reto en los sistemas Mac cuando se utiliza AD.<\/p>\n\n\n\n Saber utilizar AD es una habilidad valiosa y ampliamente aplicable en organizaciones de todo el mundo. El aprendizaje de AD es especialmente valioso si quieres trabajar en TI dando soporte a dispositivos Windows, servicios en la cloud Azure, Sharepoint y muchos otros softwares y plataformas empresariales. <\/p>\n\n\n\n Dicho esto, es posible avanzar en la carrera de TI sin tener que aprender AD. Las organizaciones modernas, que avanzan en la cloud, est\u00e1n dejando de lado el AD local y van directamente a los servicios de directorio basados en la cloud. Puedes practicar con los servicios de directorio aprovechando una cuenta gratuita de la plataforma de directorios JumpCloud<\/a>. Tambi\u00e9n existe la Universidad JumpCloud <\/a>que puede ayudarle a aprender los conceptos en torno a una plataforma de directorio en la cloud y a las empresas sin dominios.<\/p>\n\n\n\n Esta es una confusi\u00f3n com\u00fan. Aunque AD est\u00e1 t\u00e9cnicamente incluido<\/a> en los Servidores de Windows, los servidores en los que se ejecuta ciertamente no lo est\u00e1n, y Microsoft inteligentemente obtiene su dinero de los clientes de AD a trav\u00e9s de las licencias de \u201cWindows Server\u201d. El coste de las CAL (Client Access License, o licencias de acceso de cliente) garantiza que las organizaciones que utilizan AD sigan pagando a Microsoft mes tras mes. <\/p>\n\n\n\n Tenemos una ecuaci\u00f3n bastante sencilla para estimar el coste de AD:<\/p>\n\n\n\n Costos de Active Directory = servidores + software + alojamiento + copia de seguridad + supervisi\u00f3n + VPNs + administraci\u00f3n TI + SW de terceros + autenticaci\u00f3n multi-factor + gobernanza<\/p>\n\n\n\n Dicho esto, el costo real de AD para su caso de uso espec\u00edfico no es tan sencillo. Si desea acceder a nuestra calculadora del ROI del servicio de directorio, puede solicitarlo aqu\u00ed<\/a>.<\/p>\n\n\n\n Cuanto m\u00e1s grande es una empresa, m\u00e1s probable es que utilice Active Directory. Las empresas, las universidades y las organizaciones gubernamentales necesitan servicios de directorio para gestionar de forma eficiente y segura el acceso a sus miles de recursos inform\u00e1ticos. <\/p>\n\n\n\n Aunque las organizaciones m\u00e1s peque\u00f1as han podido arregl\u00e1rselas sin Active Directory (algunas utilizan Google Workspace o soluciones SSO como su directorio de usuarios), muchos equipos peque\u00f1os siguen optando por implementar AD para mejorar la seguridad y la eficiencia. Por lo general, es cuando una organizaci\u00f3n crece hasta llegar a unos 20 miembros del equipo cuando los responsables de toda la infraestructura de TI comienzan a pensar que es el momento de los servicios de directorio.<\/p>\n\n\n\n A medida que las organizaciones crecen, el costo y la complejidad del funcionamiento de AD pueden aumentar dr\u00e1sticamente. Muchas organizaciones de TI han estado buscando diferentes maneras de hacer frente a esto y, en \u00faltima instancia, buscan alternativas a Active Directory. <\/p>\n\n\n\n Para decirlo en t\u00e9rminos de beneficios simples, Active Directory ofrece estas ventajas:<\/p>\n\n\n\n Pero el Active Directory tambi\u00e9n es importante en el sentido de que viene con sus desventajas:<\/p>\n\n\n\n Casi todo lo que hace Active Directory se puede hacer en un sistema individual sin Active Directory. Por ejemplo, configurar un nuevo usuario para un port\u00e1til o instituir una determinada configuraci\u00f3n de seguridad puede hacerse manualmente desde el sistema operativo. Pero la palabra clave es manual<\/em>. Active Directory es necesario una vez que una organizaci\u00f3n ha alcanzado un tama\u00f1o en el que la administraci\u00f3n manual de sus sistemas y recursos inform\u00e1ticos ya no es viable. La capacidad de AD para llevar a cabo tareas de gesti\u00f3n basadas en grupos entre usuarios y sistemas Windows, a escala, es lo que lo ha convertido en algo fundamental para las grandes organizaciones. <\/p>\n\n\n\n Otra raz\u00f3n com\u00fan por la que se necesita Active Directory es cuando una organizaci\u00f3n est\u00e1 sujeta a requisitos de auditor\u00eda y cumplimiento. Las estrictas exigencias de seguridad de los estatutos normativos como HIPAA, PCI y GDPR a menudo “obligan” a las organizaciones que de otro modo no necesitar\u00edan AD. <\/p>\n\n\n\n A medida que m\u00e1s organizaciones cambian a la cloud, aprovechan las aplicaciones web, utilizan plataformas modernas, y m\u00e1s, la necesidad de AD est\u00e1 disminuyendo, aunque el requisito de una soluci\u00f3n hol\u00edstica de gesti\u00f3n de identidades y accesos es m\u00e1s cr\u00edtica que nunca.<\/p>\n\n\n\n Esto depende realmente de sus necesidades de cumplimiento \u2014\u00bfse enfrenta a una auditor\u00eda de PCI, HIPAA, SOX, SSAE 16 o ISO? Pero la respuesta corta es que nunca se necesita <\/em>AD para pasar una auditor\u00eda. En general, los servicios de directorio pueden ser muy \u00fatiles para lograr el cumplimiento de la normativa, ya que pueden (1) asegurar las identidades, (2) limitar el acceso a los recursos y datos cr\u00edticos, y (3) simplificar los procesos de auditor\u00eda, registro e informes. Dicho esto, Active Directory es s\u00f3lo una de las posibles soluciones de directorio que pueden ayudar a aumentar su seguridad.<\/p>\n\n\n\n Conozca m\u00e1s sobre c\u00f3mo JumpCloud ayuda con la seguridad y el cumplimiento<\/a>. <\/p>\n\n\n\n Active Directory es ideal para entornos de las tecnolog\u00edas de la informaci\u00f3n locales y basados en Windows. Si su entorno de TI no se ajusta a este modelo, deber\u00eda considerar la posibilidad de buscar alternativas al Active Directory. Por ejemplo, si aprovecha los sistemas Mac<\/a>\u00ae y Linux\u00ae, las aplicaciones basadas en la web, los servidores en la cloud, las redes inal\u00e1mbricas o los servidores de archivos que no son de Windows, necesitar\u00e1 soluciones complementarias para integrar estos recursos con Active Directory. A largo plazo, esto acabar\u00e1 aumentando los costos y reduciendo la productividad.<\/p>\n\n\n\n A medida que muchas organizaciones se trasladan a la cloud, aumenta la oportunidad de utilizar plataformas modernas de directorios en la cloud. Estas pueden crear agilidad para las organizaciones y ahorrar costos significativos. <\/p>\n\n\n\n S\u00ed, hay algunas alternativas al Microsoft Active Directory<\/a>. Todo depende de lo que usted quiera. Algunas organizaciones consideran que la gesti\u00f3n manual de usuarios y sistemas es una alternativa viable a AD. La gesti\u00f3n manual es viable hasta cierto punto, pero simplemente no es escalable.<\/p>\n\n\n\n El competidor convencional de AD es OpenLDAP<\/a>\u2122. Se puede considerar como la alternativa de c\u00f3digo abierto a AD. Pero OpenLDAP no es realmente una verdadera alternativa a AD. Es <\/em>un servicio de directorio, pero no est\u00e1 a la altura de AD caracter\u00edstica por caracter\u00edstica, y el nivel general de conocimientos t\u00e9cnicos para configurar y mantener una instancia de OpenLDAP es exigente. En concreto, OpenLDAP no ayuda a gestionar sistemas (por ejemplo, como las capacidades de GPO de AD).<\/p>\n\n\n\n M\u00e1s recientemente, hay herramientas de IAM web que ofrecen un grado de IAM. As\u00ed pues, estos son los SSO del mundo, junto con actores importantes como Google y su plataforma Google Workspace para empresas y organizaciones. Dicho esto, los enfoques de IAM que ponen “primero al navegador” siempre se han quedado cortos en lo que respecta al conjunto de caracter\u00edsticas de los verdaderos servicios de directorio (es decir, la gesti\u00f3n de usuarios y sistemas). Ser\u00eda exagerado decir que el SSO o Google Workspace son una alternativa a AD, pero si est\u00e1s de acuerdo con un conjunto de caracter\u00edsticas limitadas, es posible. <\/p>\n\n\n\n En este caso tambi\u00e9n se pueden considerar las soluciones MDM. Una vez m\u00e1s, proporcionan algunas capacidades similares a las de AD, pero no llegan a ser verdaderos servicios de directorio. Pueden gestionar sistemas, pero tienen problemas con la gesti\u00f3n de usuarios.<\/p>\n\n\n\n Por \u00faltimo, est\u00e1n los servicios de directorio en la cloud, ejemplificados por nuestra propia plataforma de directorio en la cloud. Piense en JumpCloud como Active Directory y LDAP reimaginados para las tecnolog\u00edas de la informaci\u00f3n modernas. El variado conjunto de caracter\u00edsticas de JumpCloud incluye la s\u00f3lida gesti\u00f3n de sistemas basada en grupos por la que son conocidos los servicios de directorio, pero lo hace en Windows, Mac y Linux, conectando de forma segura una \u00fanica identidad de usuario a su estaci\u00f3n de trabajo, archivos, redes y aplicaciones, sin necesidad de un controlador de dominio.<\/p>\n\n\n\n Queremos que esta sea una gu\u00eda autoritativa, as\u00ed que si tiene alguna pregunta adicional que no hayamos respondido, por favor, p\u00f3ngase en contacto con nosotros y h\u00e1ganoslo saber<\/a>. Estaremos encantados de responder a otras preguntas sobre AD o considerar la posibilidad de modificar una respuesta si puede arrojar m\u00e1s luz sobre alguna de ellas. S\u00f3lo as\u00ed podremos hacer de esto un FAQ definitivo.<\/p>\n\n\n\n<\/figure>\n\n\n\n
Conceptos b\u00e1sicos de Active Directory<\/h2>\n\n\n\n
\u00bfQu\u00e9 es Active Directory?<\/h3>\n\n\n\n
\u00bfCu\u00e1ndo se lanz\u00f3 Active Directory?<\/h3>\n\n\n\n
\u00bfQu\u00e9 protocolos utiliza AD?<\/h3>\n\n\n\n
\u00bfPor qu\u00e9 el Active Directory se llama activo?<\/h3>\n\n\n\n
\u00bfQui\u00e9n utiliza Active Directory?<\/h3>\n\n\n\n
\u00bfPor qu\u00e9 es importante Active Directory?<\/h3>\n\n\n\n
Definiciones de Active Directory<\/h2>\n\n\n\n
\u00bfQu\u00e9 son los objetos de Active Directory?<\/h3>\n\n\n\n
\u00bfQu\u00e9 son los grupos de Active Directory?<\/h3>\n\n\n\n
\u00bfQu\u00e9 son los bosques, los \u00e1rboles y los dominios en Active Directory?<\/h3>\n\n\n\n
\u00bfQu\u00e9 es un controlador de dominio?<\/h3>\n\n\n\n
\u00bfQu\u00e9 es el Active Directory Domain Services (AD DS)?<\/h3>\n\n\n\n
\u00bfC\u00f3mo funciona Active Directory?<\/h3>\n\n\n\n
<\/p>\n\n\n\n
\u00bfQu\u00e9 es Azure\u00ae<\/sup> Active Directory?<\/h3>\n\n\n\n
<\/figure>\n\n\n\n
\u00bfQu\u00e9 es Azure AD Connect?<\/h3>\n\n\n\n
Qu\u00e9 Es y Qu\u00e9 No Es AD<\/h2>\n\n\n\n
\u00bfEs el Active Directory Single Sign-On (SSO)?<\/h3>\n\n\n\n
\u00bfEl Active Directory es un Software?<\/h3>\n\n\n\n
\u00bfEs Active Directory un servidor?<\/h3>\n\n\n\n
\u00bfEs Active Directory una base de datos?<\/h3>\n\n\n\n
\u00bfEs Active Directory de c\u00f3digo abierto?<\/h3>\n\n\n\n
\u00bfEs Active Directory LDAP?<\/h3>\n\n\n\n
Funcionalidad de Active Directory<\/h2>\n\n\n\n
\u00bfQu\u00e9 necesita para hacer funcionar Active Directory? <\/h3>\n\n\n\n
\n
\u00bfCu\u00e1les son las limitaciones de Active Directory?<\/h3>\n\n\n\n
\n
\u00bfPor qu\u00e9 hacer una copia de seguridad de Active Directory?<\/h3>\n\n\n\n
\u00bfCu\u00e1ndo es el momento de sustituir Windows Server?<\/h3>\n\n\n\n
\u00bfExiste alguna pr\u00e1ctica recomendada de Active Directory? <\/h3>\n\n\n\n
\n
\u00bfC\u00f3mo se asegura el Active Directory?<\/h3>\n\n\n\n
\u00bfC\u00f3mo se garantiza la alta disponibilidad con AD? <\/h3>\n\n\n\n
\u00bfPuede funcionar Active Directory con dispositivos Mac?<\/h3>\n\n\n\n
\u00bfPor qu\u00e9 aprender sobre Active Directory?<\/h3>\n\n\n\n
Evaluando el Active Directory<\/h2>\n\n\n\n
\u00bfEs Active Directory gratuito?<\/h3>\n\n\n\n
\u00bfC\u00f3mo puedo calcular el coste de Active Directory?<\/h3>\n\n\n\n
\u00bfQu\u00e9 tama\u00f1o de organizaciones necesitan AD?<\/h3>\n\n\n\n
\u00bfCu\u00e1les son las ventajas y desventajas de Active Directory?<\/h3>\n\n\n\n
\n
\n
\u00bfCu\u00e1ndo se necesita el Active Directory?<\/h3>\n\n\n\n
\u00bfNecesito a AD para pasar nuestra auditor\u00eda?<\/h3>\n\n\n\n
\u00bfCu\u00e1ndo no se debe utilizar Active Directory?<\/h3>\n\n\n\n
\u00bfExisten alternativas a AD?<\/h3>\n\n\n\n
\u00bfSigue buscando respuestas? \u00bfQu\u00e9 nos falt\u00f3?<\/h2>\n\n\n\n