Active Directory ( AD ) es un servicio de directorio desarrollado por Microsoft para redes de dominios de Windows . Los sistemas operativos Windows Server lo incluyen como un conjunto de procesos y servicios . [1] [2] Originalmente, solo la gestión centralizada de dominios utilizaba Active Directory. Sin embargo, finalmente se convirtió en un título general para varios servicios relacionados con la identidad basados en directorios. [3]
Un controlador de dominio es un servidor que ejecuta el rol de Servicios de dominio de Active Directory ( AD DS ). Autentica y autoriza a todos los usuarios y equipos en una red de tipo dominio de Windows , asigna y aplica políticas de seguridad para todos los equipos e instala o actualiza software. Por ejemplo, cuando un usuario inicia sesión en un equipo que forma parte de un dominio de Windows, Active Directory verifica el nombre de usuario y la contraseña enviados y determina si el usuario es un administrador del sistema o un usuario no administrador. [4] Además, permite la gestión y el almacenamiento de información, proporciona mecanismos de autenticación y autorización y establece un marco para implementar otros servicios relacionados: Servicios de certificados, Servicios de federación de Active Directory , Servicios de directorio ligero y Servicios de administración de derechos . [5]
Active Directory utiliza el Protocolo ligero de acceso a directorios (LDAP) versiones 2 y 3, la versión de Kerberos de Microsoft , [6] y DNS . [7]
Robert R. King lo definió de la siguiente manera: [8]
"Un dominio representa una base de datos. Esa base de datos contiene registros sobre servicios de red, como equipos, usuarios, grupos y otros elementos que utilizan, respaldan o existen en una red. La base de datos del dominio es, en efecto, Active Directory".
Al igual que muchos esfuerzos de tecnología de la información, Active Directory se originó a partir de una democratización del diseño mediante solicitudes de comentarios (RFC). El Grupo de trabajo de ingeniería de Internet (IETF) supervisa el proceso de RFC y ha aceptado numerosas RFC iniciadas por participantes generalizados. Por ejemplo, LDAP sustenta Active Directory. Además, los directorios X.500 y la unidad organizativa precedieron al concepto de Active Directory que utiliza esos métodos. El concepto LDAP comenzó a surgir incluso antes de la fundación de Microsoft en abril de 1975, con RFC ya en 1971. Las RFC que contribuyen a LDAP incluyen RFC 1823 (sobre la API de LDAP, agosto de 1995), [9] RFC 2307, RFC 3062 y RFC 4533. [10] [11] [12]
Microsoft realizó una vista previa de Active Directory en 1999, lo lanzó primero con la edición Windows 2000 Server y lo revisó para ampliar la funcionalidad y mejorar la administración en Windows Server 2003. También se agregó compatibilidad con Active Directory a Windows 95, Windows 98 y Windows NT 4.0 mediante un parche, con algunas características no admitidas. [13] [14] Se produjeron mejoras adicionales con versiones posteriores de Windows Server . En Windows Server 2008 , Microsoft agregó más servicios a Active Directory, como Active Directory Federation Services . [15] La parte del directorio a cargo de administrar dominios, que era una parte central del sistema operativo, [15] pasó a llamarse Active Directory Domain Services (ADDS) y se convirtió en una función de servidor como otras. [3] "Active Directory" se convirtió en el título general de una gama más amplia de servicios basados en directorios. [16] Según Byron Hynes, todo lo relacionado con la identidad se incluyó bajo el estandarte de Active Directory. [3]
Los servicios de Active Directory constan de varios servicios de directorio. El más conocido es Active Directory Domain Services, comúnmente abreviado como AD DS o simplemente AD.
Los Servicios de dominio de Active Directory (AD DS) son la base de todas las redes de dominio de Windows . Almacenan información sobre los miembros del dominio, incluidos los dispositivos y los usuarios, verifican sus credenciales y definen sus derechos de acceso . El servidor que ejecuta este servicio se denomina controlador de dominio . Se contacta con un controlador de dominio cuando un usuario inicia sesión en un dispositivo, accede a otro dispositivo a través de la red o ejecuta una aplicación de línea de negocios de estilo Metro instalada en una máquina.
Otros servicios de Active Directory (excluyendo LDS, como se describe a continuación) y la mayoría de las tecnologías de servidor de Microsoft dependen o utilizan Servicios de dominio; algunos ejemplos incluyen Directiva de grupo , Sistema de cifrado de archivos , BitLocker , Servicios de nombres de dominio , Servicios de Escritorio remoto , Exchange Server y SharePoint Server .
El Active Directory DS autoadministrado debe ser distinto del Azure AD DS administrado , un producto en la nube. [17]
Active Directory Lightweight Directory Services (AD LDS), anteriormente llamado Active Directory Application Mode (ADAM), [18] implementa el protocolo LDAP para AD DS. [19] Se ejecuta como un servicio en Windows Server y ofrece la misma funcionalidad que AD DS, incluida una API igual . Sin embargo, AD LDS no requiere la creación de dominios o controladores de dominio. Proporciona un almacén de datos para almacenar datos de directorio y un servicio de directorio con una interfaz de servicio de directorio LDAP. A diferencia de AD DS, varias instancias de AD LDS pueden operar en el mismo servidor.
Los servicios de certificados de Active Directory (AD CS) establecen una infraestructura de clave pública local . Pueden crear, validar, revocar y realizar otras acciones similares, certificados de clave pública para usos internos de una organización. Estos certificados se pueden utilizar para cifrar archivos (cuando se utilizan con el sistema de cifrado de archivos ), correos electrónicos (según el estándar S/MIME ) y tráfico de red (cuando se utilizan en redes privadas virtuales , protocolo de seguridad de la capa de transporte o protocolo IPSec ).
AD CS es anterior a Windows Server 2008, pero su nombre era simplemente Servicios de certificados. [20]
AD CS requiere una infraestructura AD DS. [21]
Active Directory Federation Services (AD FS) es un servicio de inicio de sesión único . Con una infraestructura de AD FS en su lugar, los usuarios pueden usar varios servicios basados en web (por ejemplo, foro de Internet , blog , compras en línea , correo web ) o recursos de red utilizando solo un conjunto de credenciales almacenadas en una ubicación central, en lugar de tener que obtener un conjunto dedicado de credenciales para cada servicio. AD FS usa muchos estándares abiertos populares para pasar credenciales de token como SAML , OAuth u OpenID Connect . [22] AD FS admite el cifrado y la firma de aserciones SAML . [23] El propósito de AD FS es una extensión del de AD DS: este último permite a los usuarios autenticarse y usar los dispositivos que forman parte de la misma red, utilizando un conjunto de credenciales. El primero les permite usar el mismo conjunto de credenciales en una red diferente.
Como sugiere su nombre, AD FS funciona según el concepto de identidad federada .
AD FS requiere una infraestructura de AD DS, aunque es posible que su socio de federación no la tenga. [24]
Active Directory Rights Management Services ( AD RMS ), anteriormente conocido como Rights Management Services o RMS antes de Windows Server 2008 , es un software de servidor que permite la gestión de derechos de información , incluido con Windows Server . Utiliza cifrado y denegación selectiva para restringir el acceso a varios documentos, como correos electrónicos corporativos , documentos de Microsoft Word y páginas web . También limita las operaciones que los usuarios autorizados pueden realizar en ellos, como ver, editar, copiar, guardar o imprimir. Los administradores de TI pueden crear plantillas preestablecidas para los usuarios finales para su comodidad, pero los usuarios finales aún pueden definir quién puede acceder al contenido y qué acciones pueden realizar. [25]
Active Directory es un servicio que comprende una base de datos y un código ejecutable . Es responsable de gestionar las solicitudes y mantener la base de datos. El Agente del sistema de directorio es la parte ejecutable, un conjunto de servicios y procesos de Windows que se ejecutan en Windows 2000 y versiones posteriores. [1] El acceso a los objetos de las bases de datos de Active Directory es posible a través de varias interfaces, como LDAP, ADSI, API de mensajería y servicios de Administrador de cuentas de seguridad . [2]
Las estructuras de Active Directory constan de información sobre objetos clasificados en dos categorías: recursos (como impresoras) y entidades de seguridad (que incluyen cuentas de usuario o equipo y grupos). A cada entidad de seguridad se le asigna un identificador de seguridad (SID) único. Un objeto representa una entidad única, como un usuario, un equipo, una impresora o un grupo, junto con sus atributos. Algunos objetos pueden incluso contener otros objetos dentro de ellos. Cada objeto tiene un nombre único y su definición es un conjunto de características e información mediante un esquema , que determina el almacenamiento en Active Directory.
Los administradores pueden ampliar o modificar el esquema utilizando el objeto de esquema cuando sea necesario. Sin embargo, dado que cada objeto de esquema es parte integral de la definición de objetos de Active Directory, desactivarlos o cambiarlos puede alterar o interrumpir fundamentalmente una implementación. La modificación del esquema afecta a todo el sistema automáticamente y los objetos nuevos no se pueden eliminar, solo desactivar. Cambiar el esquema generalmente requiere planificación. [26]
En una red de Active Directory, el marco que contiene los objetos tiene diferentes niveles: el bosque, el árbol y el dominio. Los dominios dentro de una implementación contienen objetos almacenados en una única base de datos replicable, y la estructura de nombres DNS identifica sus dominios, el espacio de nombres . Un dominio es un grupo lógico de objetos de red, como computadoras, usuarios y dispositivos, que comparten la misma base de datos de Active Directory.
Por otro lado, un árbol es una colección de dominios y árboles de dominios en un espacio de nombres contiguo vinculados en una jerarquía de confianza transitiva. El bosque se encuentra en la parte superior de la estructura, una colección de árboles con un catálogo global estándar, un esquema de directorio, una estructura lógica y una configuración de directorio. El bosque es un límite seguro que limita el acceso a usuarios, computadoras, grupos y otros objetos.
Los objetos contenidos en un dominio se pueden agrupar en unidades organizativas (OU). [27] Las OU pueden proporcionar jerarquía a un dominio, facilitar su administración y pueden parecerse a la estructura de la organización en términos administrativos o geográficos. Las OU pueden contener otras OU; los dominios son contenedores en este sentido. Microsoft recomienda utilizar OU en lugar de dominios para la estructura y simplificar la implementación de políticas y la administración. La OU es el nivel recomendado en el que se aplican las políticas de grupo , que son objetos de Active Directory formalmente denominados objetos de política de grupo (GPO), aunque las políticas también se pueden aplicar a dominios o sitios (ver a continuación). La OU es el nivel en el que se delegan comúnmente los poderes administrativos, pero la delegación también se puede realizar en objetos o atributos individuales.
Las unidades organizativas no tienen cada una un espacio de nombres independiente. Como consecuencia, para la compatibilidad con las implementaciones NetBios heredadas, no se permiten cuentas de usuario con un SamAccountName idéntico dentro del mismo dominio, incluso si los objetos de cuentas están en unidades organizativas independientes. Esto se debe a que SamAccountName, un atributo de objeto de usuario, debe ser único dentro del dominio. [28] Sin embargo, dos usuarios en diferentes unidades organizativas pueden tener el mismo nombre común (CN), el nombre con el que se almacenan en el directorio en sí, como "fred.staff-ou.domain" y "fred.student-ou.domain", donde "staff-ou" y "student-ou" son las unidades organizativas.
En general, la razón de esta falta de tolerancia para nombres duplicados a través de la colocación jerárquica de directorios es que Microsoft se basa principalmente en los principios de NetBIOS , que es un método de espacio de nombres plano para la administración de objetos de red que, para el software de Microsoft, se remonta a Windows NT 3.1 y MS-DOS LAN Manager . Permitir la duplicación de nombres de objetos en el directorio, o eliminar por completo el uso de nombres NetBIOS, impediría la compatibilidad con versiones anteriores de software y equipos heredados. Sin embargo, no permitir nombres de objetos duplicados de esta manera es una violación de las RFC de LDAP en las que supuestamente se basa Active Directory.
A medida que aumenta el número de usuarios de un dominio, las convenciones como "inicial del primer nombre, inicial del segundo nombre, apellido" ( orden occidental ) o al revés (orden oriental) fallan para los apellidos comunes como Li (李), Smith o Garcia . Las soluciones alternativas incluyen agregar un dígito al final del nombre de usuario. Las alternativas incluyen crear un sistema de identificación separado de números de identificación únicos de empleado/estudiante para usar como nombres de cuenta en lugar de los nombres de los usuarios reales y permitir que los usuarios nominen su secuencia de palabras preferida dentro de una política de uso aceptable .
Dado que no pueden existir nombres de usuario duplicados dentro de un dominio, la generación de nombres de cuenta plantea un desafío importante para organizaciones grandes que no pueden subdividirse fácilmente en dominios separados, como los estudiantes de un sistema escolar público o una universidad que deben poder usar cualquier computadora en la red.
En Active Directory de Microsoft, las unidades organizativas no otorgan permisos de acceso y a los objetos ubicados dentro de ellas no se les asignan automáticamente privilegios de acceso en función de la unidad organizativa que los contiene. Esto representa una limitación de diseño específica de Active Directory y otros directorios de la competencia, como Novell NDS , pueden establecer privilegios de acceso a través de la ubicación de objetos dentro de una unidad organizativa.
Active Directory requiere un paso independiente para que un administrador asigne un objeto en una unidad organizativa como miembro de un grupo también dentro de esa unidad organizativa. El uso exclusivo de la ubicación de la unidad organizativa para determinar los permisos de acceso no es confiable, ya que es posible que la entidad aún no haya sido asignada al objeto de grupo para esa unidad organizativa.
Una solución alternativa habitual para un administrador de Active Directory es escribir un script personalizado de PowerShell o Visual Basic para crear y mantener automáticamente un grupo de usuarios para cada unidad organizativa de su directorio. Los scripts se ejecutan periódicamente para actualizar el grupo para que coincida con la membresía de la cuenta de la unidad organizativa. Sin embargo, no pueden actualizar instantáneamente los grupos de seguridad cada vez que cambia el directorio, como ocurre en directorios de la competencia, ya que la seguridad se implementa directamente en el directorio. Estos grupos se conocen como grupos de sombra . Una vez creados, estos grupos de sombra se pueden seleccionar en lugar de la unidad organizativa en las herramientas administrativas. La documentación de referencia de Server 2008 de Microsoft menciona los grupos de sombra, pero no proporciona instrucciones sobre cómo crearlos. Además, no hay métodos de servidor disponibles ni complementos de consola para administrar estos grupos. [29]
Una organización debe determinar la estructura de su infraestructura de información dividiéndola en uno o más dominios y unidades organizativas de nivel superior. Esta decisión es fundamental y puede basarse en varios modelos, como unidades de negocio, ubicaciones geográficas, servicio de TI, tipo de objeto o una combinación de estos modelos. El propósito inmediato de organizar las unidades organizativas es simplificar la delegación administrativa y, en segundo lugar, aplicar políticas de grupo. Si bien las unidades organizativas sirven como límite administrativo, el bosque en sí es el único límite de seguridad. Todos los demás dominios deben confiar en cualquier administrador del bosque para mantener la seguridad. [30]
La base de datos de Active Directory está organizada en particiones , cada una de las cuales contiene tipos de objetos específicos y sigue un patrón de replicación particular. Microsoft a menudo se refiere a estas particiones como "contextos de nombres". [31] La partición "Esquema" define las clases de objetos y los atributos dentro del bosque. La partición "Configuración" contiene información sobre la estructura física y la configuración del bosque (como la topología del sitio). Ambas replican todos los dominios del bosque. La partición "Dominio" contiene todos los objetos creados en ese dominio y se replica solo dentro de él.
Los sitios son agrupaciones físicas (en lugar de lógicas) definidas por una o más subredes IP . [32] AD también define conexiones, distinguiendo enlaces de baja velocidad (por ejemplo, WAN , VPN ) de los de alta velocidad (por ejemplo, LAN ). Las definiciones de sitios son independientes del dominio y de la estructura de la OU y se comparten en todo el bosque. Los sitios desempeñan un papel crucial en la gestión del tráfico de red creado por la replicación y en el direccionamiento de los clientes a sus controladores de dominio (DC) más cercanos. Microsoft Exchange Server 2007 utiliza la topología del sitio para el enrutamiento de correo. Los administradores también pueden definir políticas a nivel de sitio.
La información de Active Directory se almacena físicamente en uno o más controladores de dominio pares , lo que reemplaza el modelo PDC / BDC de NT . Cada controlador de dominio tiene una copia de Active Directory. Los servidores miembros unidos a Active Directory que no son controladores de dominio se denominan servidores miembros. [33] En la partición de dominio, un grupo de objetos actúa como copias de los controladores de dominio configurados como catálogos globales. Estos servidores de catálogo global ofrecen una lista completa de todos los objetos del bosque. [34] [35]
Los servidores de Catálogo global replican todos los objetos de todos los dominios hacia sí mismos, lo que proporciona una lista internacional de entidades en el bosque. Sin embargo, para minimizar el tráfico de replicación y mantener pequeña la base de datos del GC, solo se replican los atributos seleccionados de cada objeto, llamados conjunto de atributos parciales (PAS). El PAS se puede modificar modificando el esquema y marcando las características para la replicación al GC. [36] Las versiones anteriores de Windows usaban NetBIOS para comunicarse. Active Directory está completamente integrado con DNS y requiere TCP/IP —DNS. Para funcionar completamente, el servidor DNS debe admitir registros de recursos SRV , también conocidos como registros de servicio.
Active Directory utiliza la replicación multimaestro para sincronizar los cambios, [37] lo que significa que las réplicas extraen los cambios del servidor donde se produjo el cambio en lugar de ser empujadas hacia ellos. [38] El Comprobador de consistencia de conocimiento (KCC) utiliza sitios definidos para administrar el tráfico y crear una topología de replicación de enlaces de sitios. La replicación dentro del sitio ocurre con frecuencia y de manera automática debido a las notificaciones de cambio, que incitan a los pares a comenzar un ciclo de replicación de extracción. Los intervalos de replicación entre diferentes sitios suelen ser menos consistentes y no suelen utilizar notificaciones de cambio. Sin embargo, es posible configurarlo para que sea el mismo que la replicación entre ubicaciones en la misma red si es necesario.
Cada enlace DS3 , T1 e ISDN puede tener un costo, y el KCC modifica la topología del enlace del sitio en consecuencia. La replicación puede ocurrir de manera transitiva a través de varios enlaces de sitio en puentes de enlace de sitio del mismo protocolo si el precio es bajo. Sin embargo, el KCC automáticamente cobra un costo menor por un enlace directo de sitio a sitio que por las conexiones transitivas. Un servidor de cabecera en cada zona puede enviar actualizaciones a otros controladores de dominio en la ubicación exacta para replicar los cambios entre sitios. Para configurar la replicación para las zonas de Active Directory, active el DNS en el dominio según el sitio.
Para replicar Active Directory, se utilizan llamadas a procedimientos remotos (RPC) sobre IP (RPC/IP). SMTP se utiliza para replicar entre sitios, pero solo para modificaciones en los GC de esquema, configuración o conjunto de atributos parciales (catálogo global). No es adecuado para reproducir la partición de dominio predeterminada. [39]
En general, una red que utiliza Active Directory tiene más de un servidor Windows con licencia. Es posible realizar copias de seguridad y restaurar Active Directory en una red con un solo controlador de dominio. [40] Sin embargo, Microsoft recomienda más de un controlador de dominio para brindar protección automática contra fallas del directorio. [41] Lo ideal es que los controladores de dominio tengan un solo propósito, solo para operaciones de directorio y no deberían ejecutar ningún otro software o función. [42]
Dado que ciertos productos de Microsoft, como SQL Server [43] [44] y Exchange [45] , pueden interferir con el funcionamiento de un controlador de dominio, se recomienda aislar estos productos en servidores Windows adicionales. Combinarlos puede complicar la configuración y la resolución de problemas del controlador de dominio o hacer que el otro software instalado sea más complejo. [46] Si planea implementar Active Directory, una empresa debe comprar varias licencias de servidor de Windows para tener al menos dos controladores de dominio separados. Los administradores deben considerar controladores de dominio adicionales para el rendimiento o la redundancia y servidores individuales para tareas como almacenamiento de archivos, Exchange y SQL Server [47], ya que esto garantizará que todas las funciones del servidor sean compatibles adecuadamente.
Una forma de reducir los costos de hardware físico es mediante el uso de la virtualización . Sin embargo, para una protección adecuada contra fallas, Microsoft recomienda no ejecutar múltiples controladores de dominio virtualizados en el mismo hardware físico. [48]
La base de datos Active Directory , el almacén de directorios , en Windows 2000 Server utiliza el motor de almacenamiento extensible (ESE98) basado en JET Blue . La base de datos de cada controlador de dominio está limitada a 16 terabytes y 2 mil millones de objetos (pero sólo 1 mil millones de entidades de seguridad). Microsoft ha creado bases de datos NTDS con más de 2 mil millones de objetos. [49] El Administrador de cuentas de seguridad de NT4 podría admitir hasta 40.000 objetos. Tiene dos tablas principales: la tabla de datos y la tabla de vínculos . Windows Server 2003 agregó una tercera tabla principal para la instanciación única de descriptores de seguridad . [49]
Los programas pueden acceder a las funciones de Active Directory [50] a través de las interfaces COM proporcionadas por Active Directory Service Interfaces . [51]
Para permitir que los usuarios de un dominio accedan a recursos de otro, Active Directory utiliza confianzas. [52]
Las confianzas dentro de un bosque se crean automáticamente cuando se crean los dominios. El bosque establece los límites predeterminados de confianza, y la confianza transitiva implícita es automática para todos los dominios dentro de un bosque.
Las herramientas de administración de Microsoft Active Directory incluyen:
Es posible que estas herramientas de administración no proporcionen la funcionalidad suficiente para un flujo de trabajo eficiente en entornos grandes. Algunas herramientas de terceros amplían las capacidades de administración y gestión. Proporcionan funciones esenciales para un proceso de administración más conveniente, como automatización, informes, integración con otros servicios, etc.
Se pueden lograr distintos niveles de interoperabilidad con Active Directory en la mayoría de los sistemas operativos tipo Unix (incluidos Unix , Linux , Mac OS X o programas basados en Java y Unix) a través de clientes LDAP compatibles con estándares, pero estos sistemas generalmente no interpretan muchos atributos asociados con los componentes de Windows, como la política de grupo y el soporte para confianzas unidireccionales.
Terceros ofrecen integración de Active Directory para plataformas tipo Unix, incluidos:
Las adiciones de esquema incluidas con Windows Server 2003 R2 incluyen atributos que se corresponden con la RFC 2307 lo suficiente como para que sean de uso general. La implementación de referencia de la RFC 2307, nss_ldap y pam_ldap proporcionada por PADL.com, admite estos atributos directamente. El esquema predeterminado para la pertenencia a grupos cumple con la RFC 2307bis (propuesta). [59] Windows Server 2003 R2 incluye un complemento de Microsoft Management Console que crea y edita los atributos.
Una opción alternativa es utilizar otro servicio de directorio, ya que los clientes que no son de Windows se autentican en este, mientras que los clientes de Windows se autentican en Active Directory. Entre los clientes que no son de Windows se incluyen 389 Directory Server (anteriormente Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directory y Sun Microsystems Sun Java System Directory Server . Los dos últimos pueden realizar una sincronización bidireccional con Active Directory y, por lo tanto, proporcionar una integración "desviada".
Otra opción es utilizar OpenLDAP con su superposición translúcida , que puede ampliar las entradas de cualquier servidor LDAP remoto con atributos adicionales almacenados en una base de datos local. Los clientes que apuntan a la base de datos local ven las entradas que contienen los atributos remotos y locales, mientras que la base de datos remota permanece completamente intacta. [ cita requerida ]
La administración (consulta, modificación y supervisión) de Active Directory se puede lograr a través de muchos lenguajes de scripting, incluidos PowerShell , VBScript , JScript/JavaScript , Perl , Python y Ruby . [60] [61] [62] [63] Las herramientas de administración de Active Directory gratuitas y no gratuitas pueden ayudar a simplificar y posiblemente automatizar las tareas de administración de Active Directory.
Desde octubre de 2017, Amazon AWS ofrece integración con Microsoft Active Directory. [64]
Una unidad organizativa en
Active Directory
es análoga a un directorio en el sistema de archivos.
Ejemplos de cómo se pueden crear varios objetos de AD con el mismo SamAccountName
Sin embargo, los administradores de servicios tienen capacidades que trascienden los límites del dominio. Por este motivo, el bosque es el límite de seguridad definitivo, no el dominio.
Active Directory está formado por uno o más contextos de nombres o particiones.
Un sitio es un conjunto de subredes bien conectadas.
[...] servidores miembro, [...] pertenecen a un dominio pero no contienen una copia de los datos de Active Directory.
[...] un controlador de dominio puede localizar únicamente los objetos de su dominio. [...] El catálogo global proporciona la capacidad de localizar objetos de cualquier dominio [...]
El atributo isMemberOfPartialAttributeSet de un objeto attributeSchema se establece en TRUE si el atributo se replica en el catálogo global. [...] Al decidir si colocar o no un atributo en el catálogo global, recuerde que está sacrificando una mayor replicación y un mayor almacenamiento en disco en los servidores del catálogo global a cambio de un rendimiento de consulta potencialmente más rápido.
Active Directory utiliza cuatro tipos de particiones de directorio distintos para almacenar [...] datos. Las particiones de directorio contienen datos de dominio, configuración, esquema y aplicación.
Los controladores de dominio solicitan (extraen) cambios en lugar de enviar (envían) cambios que podrían no ser necesarios.
SMTP se puede utilizar para transportar replicación que no sea de dominio [...]
Siempre que sea posible, los controladores de dominio deben ejecutarse en servidores dedicados (físicos o virtuales).
Por motivos de seguridad y rendimiento, recomendamos no instalar un SQL Server independiente en un controlador de dominio.
Una vez que SQL Server está instalado en un equipo, no puede cambiar el equipo de un controlador de dominio a un miembro del dominio. Debe desinstalar SQL Server antes de cambiar el equipo host a un miembro del dominio.
No se recomienda ejecutar SQL Server en el mismo equipo que un servidor de buzón de Exchange de producción.
Debe intentar evitar la creación de posibles puntos únicos de falla cuando planifique la implementación de su controlador de dominio virtual.frank
Las confianzas permiten [...] la autenticación y [...] el uso compartido de recursos entre dominios o bosques
Define varios tipos de confianzas (automática, acceso directo, bosque, ámbito, externa).
