Active Directory ( AD ) es un servicio de directorio desarrollado por Microsoft para redes de dominio de Windows . Los sistemas operativos Windows Server lo incluyen como un conjunto de procesos y servicios . [1] [2] Originalmente, solo la administración de dominios centralizada usaba Active Directory. Sin embargo, finalmente se convirtió en un título general para varios servicios relacionados con la identidad basados en directorios. [3]
Un controlador de dominio es un servidor que ejecuta la función del Servicio de dominio de Active Directory ( AD DS ). Autentica y autoriza a todos los usuarios y computadoras en una red de tipo dominio de Windows , asigna y aplica políticas de seguridad para todas las computadoras e instala o actualiza software. Por ejemplo, cuando un usuario inicia sesión en una computadora que forma parte de un dominio de Windows, Active Directory verifica el nombre de usuario y la contraseña enviados y determina si el usuario es un administrador del sistema o un usuario no administrador. [4] Además, permite la gestión y almacenamiento de información, proporciona mecanismos de autenticación y autorización, y establece un marco para implementar otros servicios relacionados: Servicios de Certificados, Servicios de Federación de Active Directory , Servicios de Directorio Ligero y Servicios de Gestión de Derechos . [5]
Active Directory utiliza las versiones 2 y 3 del Protocolo ligero de acceso a directorios (LDAP), la versión de Microsoft de Kerberos , [6] y DNS . [7]
Robert R. King lo definió de la siguiente manera: [8]
"Un dominio representa una base de datos. Esa base de datos contiene registros sobre servicios de red: cosas como computadoras, usuarios, grupos y otras cosas que usan, soportan o existen en una red. La base de datos del dominio es, de hecho, Active Directory".
Como muchos esfuerzos de tecnología de la información, Active Directory se originó a partir de una democratización del diseño mediante solicitudes de comentarios (RFC). El Grupo de Trabajo de Ingeniería de Internet (IETF) supervisa el proceso de RFC y ha aceptado numerosos RFC iniciados por numerosos participantes. Por ejemplo, LDAP sustenta Active Directory. Además, los directorios X.500 y la unidad organizativa precedieron al concepto de Active Directory que utiliza esos métodos. El concepto LDAP comenzó a surgir incluso antes de la fundación de Microsoft en abril de 1975, con RFC ya en 1971. Los RFC que contribuyen a LDAP incluyen RFC 1823 (sobre la API LDAP, agosto de 1995), [9] RFC 2307, RFC 3062 y RFC 4533. [10] [11] [12]
Microsoft presentó una vista previa de Active Directory en 1999, lo lanzó primero con la edición Windows 2000 Server y lo revisó para ampliar la funcionalidad y mejorar la administración en Windows Server 2003 . También se agregó compatibilidad con Active Directory a Windows 95, Windows 98 y Windows NT 4.0 mediante un parche, con algunas funciones no compatibles. [13] [14] Se incluyeron mejoras adicionales con versiones posteriores de Windows Server . En Windows Server 2008 , Microsoft agregó más servicios a Active Directory, como los Servicios de federación de Active Directory . [15] La parte del directorio encargada de administrar los dominios, que era una parte central del sistema operativo, [15] pasó a llamarse Active Directory Domain Services (ADDS) y se convirtió en una función de servidor como otras. [3] "Active Directory" se convirtió en el título general de una gama más amplia de servicios basados en directorios. [16] Según Byron Hynes, todo lo relacionado con la identidad se incluyó bajo la bandera de Active Directory. [3]
Los servicios de Active Directory constan de múltiples servicios de directorio. El más conocido es Active Directory Domain Services, comúnmente abreviado como AD DS o simplemente AD.
Los Servicios de dominio de Active Directory (AD DS) son la base de toda red de dominio de Windows . Almacena información sobre los miembros del dominio, incluidos dispositivos y usuarios, verifica sus credenciales y define sus derechos de acceso . El servidor que ejecuta este servicio se denomina controlador de dominio . Se contacta a un controlador de dominio cuando un usuario inicia sesión en un dispositivo, accede a otro dispositivo a través de la red o ejecuta una aplicación de línea de negocio estilo Metro descargada en una máquina.
Otros servicios de Active Directory (excluyendo LDS, como se describe a continuación) y la mayoría de las tecnologías de servidor de Microsoft dependen o utilizan Servicios de Dominio; los ejemplos incluyen directiva de grupo , sistema de cifrado de archivos , BitLocker , servicios de nombres de dominio , servicios de escritorio remoto , Exchange Server y SharePoint Server .
El Active Directory DS autoadministrado debe ser distinto del Azure AD DS administrado , un producto en la nube. [17]
Active Directory Lightweight Directory Services (AD LDS), anteriormente llamado Modo de aplicación de Active Directory (ADAM), [18] implementa el protocolo LDAP para AD DS. [19] Se ejecuta como un servicio en Windows Server y ofrece la misma funcionalidad que AD DS, incluida una API igual . Sin embargo, AD LDS no requiere la creación de dominios ni controladores de dominio. Proporciona un almacén de datos para almacenar datos de directorio y un servicio de directorio con una interfaz de servicio de directorio LDAP. A diferencia de AD DS, varias instancias de AD LDS pueden funcionar en el mismo servidor.
Los Servicios de certificados de Active Directory (AD CS) establecen una infraestructura de clave pública local . Puede crear, validar, revocar y realizar otras acciones similares, certificados de clave pública para usos internos de una organización. Estos certificados se pueden utilizar para cifrar archivos (cuando se utilizan con Encrypting File System ), correos electrónicos (según el estándar S/MIME ) y tráfico de red (cuando se utilizan mediante redes privadas virtuales , protocolo Transport Layer Security o protocolo IPSec ).
AD CS es anterior a Windows Server 2008, pero su nombre era simplemente Servicios de certificados. [20]
AD CS requiere una infraestructura de AD DS. [21]
Los Servicios de federación de Active Directory (AD FS) son un servicio de inicio de sesión único . Con una infraestructura AD FS implementada, los usuarios pueden utilizar varios servicios basados en web (por ejemplo, foros de Internet , blogs , compras en línea , correo web ) o recursos de red usando solo un conjunto de credenciales almacenadas en una ubicación central, en lugar de tener que otorgarlas. un conjunto dedicado de credenciales para cada servicio. AD FS utiliza muchos estándares abiertos populares para pasar credenciales de token como SAML , OAuth u OpenID Connect . [22] AD FS admite el cifrado y la firma de aserciones SAML . [23] El propósito de AD FS es una extensión del de AD DS: este último permite a los usuarios autenticarse y utilizar los dispositivos que forman parte de la misma red, utilizando un conjunto de credenciales. El primero les permite utilizar el mismo conjunto de credenciales en una red diferente.
Como su nombre indica, AD FS funciona basándose en el concepto de identidad federada .
AD FS requiere una infraestructura de AD DS, aunque es posible que su socio de federación no lo haga. [24]
Active Directory Rights Management Services ( AD RMS ), anteriormente conocido como Rights Management Services o RMS antes de Windows Server 2008 , es un software de servidor que permite la gestión de derechos de información , incluido con Windows Server . Utiliza cifrado y denegación selectiva para restringir el acceso a diversos documentos, como correos electrónicos corporativos , documentos de Microsoft Word y páginas web . También limita las operaciones que los usuarios autorizados pueden realizar en ellos, como ver, editar, copiar, guardar o imprimir. Los administradores de TI pueden crear plantillas preestablecidas para los usuarios finales para mayor comodidad, pero los usuarios finales aún pueden definir quién puede acceder al contenido y qué acciones pueden realizar. [25]
Active Directory es un servicio que comprende una base de datos y un código ejecutable . Es responsable de gestionar las solicitudes y mantener la base de datos. El Agente del sistema de directorio es la parte ejecutable, un conjunto de servicios y procesos de Windows que se ejecutan en Windows 2000 y versiones posteriores. [1] Es posible acceder a los objetos en las bases de datos de Active Directory a través de varias interfaces, como LDAP, ADSI, API de mensajería y servicios de Security Accounts Manager . [2]
Las estructuras de Active Directory constan de información sobre objetos clasificados en dos categorías: recursos (como impresoras) y principios de seguridad (que incluyen cuentas y grupos de usuarios o computadoras). A cada entidad de seguridad se le asigna un identificador de seguridad único (SID). Un objeto representa una entidad única, como un usuario, computadora, impresora o grupo, junto con sus atributos. Algunos objetos pueden incluso contener otros objetos en su interior. Cada objeto tiene un nombre único, y su definición es un conjunto de características e información mediante un esquema , que determina el almacenamiento en Active Directory.
Los administradores pueden ampliar o modificar el esquema utilizando el objeto de esquema cuando sea necesario. Sin embargo, debido a que cada objeto de esquema es parte integral de la definición de objetos de Active Directory, desactivarlos o cambiarlos puede alterar o interrumpir fundamentalmente una implementación. La modificación del esquema afecta a todo el sistema automáticamente y los objetos nuevos no se pueden eliminar, sólo desactivarlos. Cambiar el esquema normalmente requiere planificación. [26]
En una red Active Directory, el marco que contiene los objetos tiene diferentes niveles: el bosque, el árbol y el dominio. Los dominios dentro de una implementación contienen objetos almacenados en una única base de datos replicable y la estructura de nombres DNS identifica sus dominios, el espacio de nombres . Un dominio es un grupo lógico de objetos de red, como computadoras, usuarios y dispositivos, que comparten la misma base de datos de Active Directory.
Por otro lado, un árbol es una colección de dominios y árboles de dominios en un espacio de nombres contiguo vinculado en una jerarquía de confianza transitiva. El bosque está en la parte superior de la estructura, una colección de árboles con un catálogo global estándar, esquema de directorio, estructura lógica y configuración de directorio. El bosque es un límite seguro que limita el acceso a usuarios, computadoras, grupos y otros objetos.
Los objetos contenidos dentro de un dominio se pueden agrupar en unidades organizativas (OU). [27] Las unidades organizativas pueden proporcionar jerarquía a un dominio, facilitar su administración y pueden parecerse a la estructura de la organización en términos administrativos o geográficos. Las unidades organizativas pueden contener otras unidades organizativas; los dominios son contenedores en este sentido. Microsoft recomienda utilizar unidades organizativas en lugar de dominios para estructurar y simplificar la implementación de políticas y administración. La unidad organizativa es el nivel recomendado para aplicar políticas de grupo , que son objetos de Active Directory denominados formalmente objetos de política de grupo (GPO), aunque las políticas también se pueden aplicar a dominios o sitios (ver más abajo). La unidad organizativa es el nivel en el que comúnmente se delegan poderes administrativos, pero la delegación también se puede realizar en objetos o atributos individuales.
Las unidades organizativas no tienen cada una un espacio de nombres independiente. Como consecuencia, para garantizar la compatibilidad con las implementaciones heredadas de NetBios, las cuentas de usuario con un sAMAccountName idéntico no se permiten dentro del mismo dominio, incluso si los objetos de las cuentas están en unidades organizativas separadas. Esto se debe a que sAMAccountName, un atributo de objeto de usuario, debe ser único dentro del dominio. [28] Sin embargo, dos usuarios en diferentes unidades organizativas pueden tener el mismo nombre común (CN), nombre bajo el cual se almacenan en el directorio mismo, como "fred.staff-ou.domain" y "fred.student-ou. dominio", donde "personal-ou" y "estudiante-ou" son las unidades organizativas.
En general, la razón de esta falta de tolerancia para nombres duplicados a través de la ubicación jerárquica de directorios es que Microsoft se basa principalmente en los principios de NetBIOS , que es un método de espacio de nombres plano para la gestión de objetos de red que, para el software de Microsoft, se remonta hasta el principio. a Windows NT 3.1 y MS-DOS LAN Manager . Permitir la duplicación de nombres de objetos en el directorio, o eliminar por completo el uso de nombres NetBIOS, evitaría la compatibilidad con versiones anteriores de software y equipos heredados. Sin embargo, no permitir nombres de objetos duplicados de esta manera es una violación de los RFC de LDAP en los que supuestamente se basa Active Directory.
A medida que aumenta el número de usuarios en un dominio, convenciones como "primera inicial, segunda inicial, apellido" ( orden occidental ) o al revés (orden oriental) fallan para apellidos comunes como Li (李), Smith o García . Las soluciones incluyen agregar un dígito al final del nombre de usuario. Las alternativas incluyen la creación de un sistema de identificación separado de números de identificación únicos de empleado/estudiante para usar como nombres de cuenta en lugar de los nombres de los usuarios reales y permitir a los usuarios designar su secuencia de palabras preferida dentro de una política de uso aceptable .
Debido a que no pueden existir nombres de usuario duplicados dentro de un dominio, la generación de nombres de cuentas plantea un desafío importante para las grandes organizaciones que no pueden subdividirse fácilmente en dominios separados, como los estudiantes de un sistema de escuelas públicas o de una universidad que deben poder usar cualquier computadora en la red.
En Active Directory de Microsoft, las unidades organizativas no confieren permisos de acceso y a los objetos colocados dentro de las unidades organizativas no se les asignan automáticamente privilegios de acceso según la unidad organizativa que los contiene. Representa una limitación de diseño específica de Active Directory, y otros directorios de la competencia, como Novell NDS , pueden establecer privilegios de acceso mediante la colocación de objetos dentro de una unidad organizativa.
Active Directory requiere un paso separado para que un administrador asigne un objeto en una unidad organizativa como miembro del grupo también dentro de esa unidad organizativa. Usar solo la ubicación de la unidad organizativa para determinar los permisos de acceso no es confiable ya que es posible que la entidad aún no haya sido asignada al objeto de grupo para esa unidad organizativa.
Una solución alternativa común para un administrador de Active Directory es escribir un script personalizado de PowerShell o Visual Basic para crear y mantener automáticamente un grupo de usuarios para cada unidad organizativa en su directorio. Los scripts se ejecutan periódicamente para actualizar el grupo para que coincida con la membresía de la cuenta de la unidad organizativa. Sin embargo, no pueden actualizar instantáneamente los grupos de seguridad cada vez que cambia el directorio, como ocurre en los directorios de la competencia, ya que la seguridad se implementa directamente en el directorio. Estos grupos se conocen como grupos en la sombra . Una vez creados, estos grupos paralelos se pueden seleccionar en lugar de la unidad organizativa en las herramientas administrativas. La documentación de referencia de Microsoft Server 2008 menciona grupos de sombra pero no proporciona instrucciones sobre cómo crearlos. Además, no hay métodos de servidor ni complementos de consola disponibles para administrar estos grupos. [29]
Una organización debe determinar la estructura de su infraestructura de información dividiéndola en uno o más dominios y unidades organizativas de nivel superior. Esta decisión es fundamental y puede basarse en varios modelos, como unidades de negocio, ubicaciones geográficas, servicios de TI, tipos de objetos o una combinación de estos modelos. El propósito inmediato de organizar unidades organizativas es simplificar la delegación administrativa y, en segundo lugar, aplicar políticas de grupo. Es importante tener en cuenta que, si bien las unidades organizativas sirven como límite administrativo, el bosque en sí es el único límite de seguridad. Todos los demás dominios deben confiar en cualquier administrador del bosque para mantener la seguridad. [30]
La base de datos de Active Directory está organizada en particiones , cada una de las cuales contiene tipos de objetos específicos y sigue un patrón de replicación particular. Microsoft a menudo se refiere a estas particiones como "contextos de nomenclatura". [31] La partición 'Esquema' define clases de objetos y atributos dentro del bosque. La partición 'Configuración' contiene información sobre la estructura física y la configuración del bosque (como la topología del sitio). Ambos replican todos los dominios del bosque. La partición 'Dominio' contiene todos los objetos creados en ese dominio y se replica solo dentro de él.
Los sitios son agrupaciones físicas (en lugar de lógicas) definidas por una o más subredes IP . [32] AD también define conexiones, distinguiendo enlaces de baja velocidad (por ejemplo, WAN , VPN ) de enlaces de alta velocidad (por ejemplo, LAN ). Las definiciones de sitio son independientes del dominio y la estructura de la unidad organizativa y se comparten en todo el bosque. Los sitios desempeñan un papel crucial en la gestión del tráfico de red creado por la replicación y en la dirección de los clientes a sus controladores de dominio (DC) más cercanos. Microsoft Exchange Server 2007 utiliza la topología del sitio para el enrutamiento del correo. Los administradores también pueden definir políticas a nivel de sitio.
La información de Active Directory se mantiene físicamente en uno o más controladores de dominio pares , reemplazando el modelo NT PDC / BDC . Cada DC tiene una copia de Active Directory. Los servidores miembros unidos a Active Directory que no son controladores de dominio se denominan servidores miembros. [33] En la partición del dominio, un grupo de objetos actúa como copias de controladores de dominio configurados como catálogos globales. Estos servidores de catálogo global ofrecen una lista completa de todos los objetos ubicados en el bosque. [34] [35]
Los servidores del catálogo global replican todos los objetos de todos los dominios en sí mismos, proporcionando una lista internacional de entidades en el bosque. Sin embargo, para minimizar el tráfico de replicación y mantener pequeña la base de datos del GC, solo se replican los atributos seleccionados de cada objeto, lo que se denomina conjunto de atributos parciales (PAS). El PAS se puede modificar modificando el esquema y marcando las características para su replicación en el GC. [36] Las versiones anteriores de Windows utilizaban NetBIOS para comunicarse. Active Directory está completamente integrado con DNS y requiere TCP/IP —DNS. Para funcionar completamente, el servidor DNS debe admitir registros de recursos SRV , también conocidos como registros de servicio.
Active Directory utiliza replicación multimaestro para sincronizar los cambios, [37] lo que significa que las réplicas extraen los cambios del servidor donde se produjo el cambio en lugar de enviarlos a ellos. [38] El Comprobador de coherencia del conocimiento (KCC) utiliza sitios definidos para gestionar el tráfico y crear una topología de replicación de enlaces a sitios. La replicación dentro del sitio ocurre con frecuencia y automáticamente debido a las notificaciones de cambios, que solicitan a los pares que comiencen un ciclo de replicación de extracción. Los intervalos de replicación entre diferentes sitios suelen ser menos consistentes y no suelen utilizar notificaciones de cambios. Sin embargo, es posible configurarlo para que sea lo mismo que la replicación entre ubicaciones en la misma red si es necesario.
Cada enlace DS3 , T1 e ISDN puede tener un costo y el KCC modifica la topología del enlace del sitio en consecuencia. La replicación puede ocurrir transitivamente a través de varios vínculos a sitios en puentes de vínculos a sitios del mismo protocolo si el precio es bajo. Sin embargo, KCC cuesta automáticamente un enlace directo de sitio a sitio más bajo que las conexiones transitivas. Un servidor cabeza de puente en cada zona puede enviar actualizaciones a otros DC en la ubicación exacta para replicar los cambios entre sitios. Para configurar la replicación para zonas de Active Directory, active DNS en el dominio según el sitio.
Para replicar Active Directory, se utilizan llamadas a procedimientos remotos (RPC) sobre IP (RPC/IP). SMTP se utiliza para replicar entre sitios, pero solo para modificaciones en los GC de esquema, configuración o conjunto de atributos parciales (catálogo global). No es adecuado para reproducir la partición de dominio predeterminada. [39]
Generalmente, una red que utiliza Active Directory tiene más de una computadora servidor Windows con licencia. Es posible realizar copias de seguridad y restaurar Active Directory para una red con un único controlador de dominio. [40] Sin embargo, Microsoft recomienda más de un controlador de dominio para proporcionar protección automática de conmutación por error del directorio. [41] Lo ideal es que los controladores de dominio tengan un solo propósito para operaciones de directorio únicamente y no deben ejecutar ningún otro software o función. [42]
Dado que ciertos productos de Microsoft, como SQL Server [43] [44] y Exchange, [45] pueden interferir con el funcionamiento de un controlador de dominio, se recomienda aislar estos productos en servidores Windows adicionales. Combinarlos puede complicar la configuración y solución de problemas del controlador de dominio u otro software instalado más complejo. [46] Si planea implementar Active Directory, una empresa debe comprar varias licencias de servidor de Windows para tener al menos dos controladores de dominio separados. Los administradores deben considerar controladores de dominio adicionales para rendimiento o redundancia y servidores individuales para tareas como almacenamiento de archivos, Exchange y SQL Server [47] , ya que esto garantizará que todas las funciones del servidor sean compatibles adecuadamente.
Una forma de reducir los costos del hardware físico es mediante el uso de la virtualización . Sin embargo, para una protección adecuada de la conmutación por error, Microsoft recomienda no ejecutar varios controladores de dominio virtualizados en el mismo hardware físico. [48]
La base de datos Active-Directory , el almacén de directorios , en Windows 2000 Server utiliza el motor de almacenamiento extensible basado en JET Blue (ESE98). La base de datos de cada controlador de dominio está limitada a 16 terabytes y 2 mil millones de objetos (pero sólo mil millones de principios de seguridad). Microsoft ha creado bases de datos NTDS con más de 2 mil millones de objetos. [49] El Administrador de cuentas de seguridad de NT4 podría admitir hasta 40.000 objetos. Tiene dos tablas principales: la tabla de datos y la tabla de enlaces . Windows Server 2003 agregó una tercera tabla principal para la instanciación única del descriptor de seguridad . [49]
Los programas pueden acceder a las funciones de Active Directory [50] a través de las interfaces COM proporcionadas por las interfaces de servicio de Active Directory . [51]
Para permitir que los usuarios de un dominio accedan a recursos de otro, Active Directory utiliza confianza. [52]
Las confianzas dentro de un bosque se crean automáticamente cuando se crean los dominios. El bosque establece los límites predeterminados de confianza, y la confianza transitiva implícita es automática para todos los dominios dentro de un bosque.
Las herramientas de administración de Microsoft Active Directory incluyen:
Es posible que estas herramientas de administración no proporcionen suficiente funcionalidad para un flujo de trabajo eficiente en entornos grandes. Algunas herramientas de terceros amplían las capacidades de administración y gestión. Proporcionan características esenciales para un proceso de administración más conveniente, como automatización, informes, integración con otros servicios, etc.
Se pueden lograr distintos niveles de interoperabilidad con Active Directory en la mayoría de los sistemas operativos tipo Unix (incluidos Unix , Linux , Mac OS X o Java y programas basados en Unix) a través de clientes LDAP compatibles con los estándares, pero estos sistemas generalmente no interpretan muchos atributos. asociados con componentes de Windows, como la política de grupo y el soporte para confianzas unidireccionales.
Los terceros ofrecen integración de Active Directory para plataformas similares a Unix, que incluyen:
Las adiciones de esquema incluidas con Windows Server 2003 R2 incluyen atributos que se corresponden lo suficientemente cerca con RFC 2307 para que sean utilizables en general. La implementación de referencia de RFC 2307, nss_ldap y pam_ldap proporcionada por PADL.com, admite estos atributos directamente. El esquema predeterminado para la pertenencia a grupos cumple con RFC 2307bis (propuesto). [59] Windows Server 2003 R2 incluye un complemento de Microsoft Management Console que crea y edita los atributos.
Una opción alternativa es utilizar otro servicio de directorio, ya que los clientes que no son de Windows se autentican en este, mientras que los clientes de Windows se autentican en Active Directory. Los clientes que no son de Windows incluyen 389 Directory Server (anteriormente Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directory y Sun Microsystems Sun Java System Directory Server . Los dos últimos son capaces de realizar una sincronización bidireccional con Active Directory y, por lo tanto, proporcionan una integración "desviada".
Otra opción es utilizar OpenLDAP con su superposición translúcida , que puede ampliar las entradas en cualquier servidor LDAP remoto con atributos adicionales almacenados en una base de datos local. Los clientes que apuntan a la base de datos local ven entradas que contienen los atributos locales y remotos, mientras que la base de datos remota permanece completamente intacta. [ cita necesaria ]
La administración (consulta, modificación y supervisión) de Active Directory se puede lograr mediante muchos lenguajes de secuencias de comandos, incluidos PowerShell , VBScript , JScript/JavaScript , Perl , Python y Ruby . [60] [61] [62] [63] Las herramientas de administración de Active Directory, gratuitas y no gratuitas, pueden ayudar a simplificar y posiblemente automatizar las tareas de administración de Active Directory.
Desde octubre de 2017 Amazon AWS ofrece integración con Microsoft Active Directory. [64]
Una unidad organizativa en
Active Directory
es análoga a un directorio en el sistema de archivos.
ejemplos de cómo se pueden crear múltiples objetos AD con el mismo sAMAccountName
Sin embargo, los administradores de servicios tienen habilidades que trascienden los límites del dominio. Por esta razón, el bosque es el límite de seguridad último, no el dominio.
Active Directory se compone de uno o más contextos de nombres o particiones.
Un sitio es un conjunto de subredes bien conectadas.
[...] servidores miembros, [...] pertenecen a un dominio pero no contienen una copia de los datos de Active Directory.
[...] un controlador de dominio puede localizar sólo los objetos en su dominio. [...] El catálogo global proporciona la capacidad de localizar objetos de cualquier dominio [...]
El atributo isMemberOfPartialAttributeSet de un objeto atributoSchema se establece en TRUE si el atributo se replica en el catálogo global. [...] Al decidir si colocar o no un atributo en el catálogo global, recuerde que está intercambiando una mayor replicación y un mayor almacenamiento en disco en los servidores del catálogo global por, potencialmente, un rendimiento de consulta más rápido.
Active Directory utiliza cuatro tipos distintos de particiones de directorio para almacenar [...] datos. Las particiones de directorio contienen datos de dominio, configuración, esquema y aplicación.
Los controladores de dominio solicitan (extraen) cambios en lugar de enviar (empujar) cambios que podrían no ser necesarios.
SMTP se puede utilizar para transportar archivos de replicación [...]
Siempre que sea posible, sus controladores de dominio deben ejecutarse en servidores dedicados (físicos o virtuales).
Por motivos de seguridad y rendimiento, le recomendamos que no instale un SQL Server independiente en un controlador de dominio.
Una vez instalado SQL Server en una computadora, no puede cambiar la computadora de un controlador de dominio a un miembro del dominio. Debe desinstalar SQL Server antes de cambiar la computadora host a un miembro del dominio.
No se recomienda ejecutar SQL Server en la misma computadora que un servidor de buzones de correo Exchange de producción.
Debe intentar evitar la creación de posibles puntos únicos de error cuando planifique la implementación de su controlador de dominio virtual.frank
Los fideicomisos permiten [...] la autenticación y [...] el intercambio de recursos entre dominios o bosques
Define varios tipos de fideicomisos. (automático, atajo, bosque, reino, externo)
