El Directorio Activo, tal como se ha visto en capítulos anteriores, es en realidad una base de datos jerárquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores, o, más correctamente en nuestro caso, en un dominio de sistemas Windows 2003. Esta base de datos de objetos de administración es compartida, para consulta, por todos los ordenadores miembros del dominio y, para modificación, por todos los controladores del dominio (o DC, Domain Controllers).
Por tanto, en Windows 2003, la gestión de un dominio puede realizarse de forma centralizada, administrando únicamente el Directorio Activo. En este contexto, "administrar" significa crear y configurar adecuadamente los objetos del directorio que representan a las entidades o recursos que existen en el dominio (recursos como usuarios, grupos, equipos, etc.).
Este apartado expone con detalle los principales tipos de objetos que pueden crearse en el Directorio Activo de Windows 2003, planteando en cada caso sus opciones de configuración y su utilidad dentro de la administración del dominio.
En la administración de sistemas Windows 2003 independientes (administración local), se crean en los sistemas cuentas de usuario y de grupo que sirven para:
identificar y autentificar a las personas (usuarios) que deben poder acceder al sistema, y
administrar los permisos y derechos que permitirán aplicar el control de acceso adecuado a dichos usuarios en el sistema.
Por lo tanto, utilizando únicamente protección local, si una persona debe trabajar en varios ordenadores, necesita poseer una cuenta de usuario en cada uno de ellos. A continuación explicaremos una alternativa a esto.
En un dominio Windows 2003, cualquier servidor que actúa como DC puede crear cuentas de usuario global. En este caso, el término "global" debe interpretarse como global al dominio. Los datos de una cuenta de usuario global se almacenan en el Directorio Activo y por tanto son conocidos por todos los ordenadores del dominio (en realidad, por todos los ordenadores de bosque). Em otras palabras, no es que se cree una cuenta para ese usuario en cada ordenador miembro, sino que existe una única cuenta (con un único SID) que es visible en todos los ordenadores del dominio. En este caso, cuando una persona se conecta a cualquiera de dichos ordenadores utilizando para ello su cuenta de usuario global, el ordenador en cuestión realiza una consulta al Directorio Activo (i.e., a alguno de los DCs) para que se validen las credenciales del usuario. El resultado de la validación es enviado al ordenador miembro (y de éste al usuario), concediendo o rechazando la conexión.
Los ordenadores miembros de un dominio que no sean DCs, además de conocer a los usuarios globales del dominio, pueden crear también sus propios usuarios locales. En este caso, estos usuarios son únicamente visibles en el ordenador en el que han sido creados. Cuando una persona desea entrar en el sistema utilizando una cuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador. Además, es importante resaltar que a dicho usuario local no se le pueden asignar permisos sobre recursos que residan en otro sistema Windows 2003 (puesto que allí no existe). Por el contrario, a un usuario global se le pueden conceder permisos sobre cualquier recurso (archivo, directorio, impresora, etc.) de cualquier ordenador miembro del dominio, puesto que es visible (y posee el mismo SID) en todos ellos.
De forma análoga a los usuarios globales, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, en algunos casos, también de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribución y grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de distribución de correo electrónico, mientras que los segundos son los que se utilizan con fines administrativos. Por este motivo, a partir de ahora nos referiremos exclusivamente a los grupos de seguridad.
En concreto, en dominios Windows 2003 se definen tres clases de grupos de seguridad (o, de forma más precisa, se pueden definir grupos de tres ámbitos distintos):
Grupos locales del dominio. En un dominio en nivel funcional Windows 2000 mixto, pueden contener cuentas de usuario y grupo globales de cualquier dominio del bosque. En un dominio en nivel Windows 2000 nativo o Windows Server 2003, pueden contener, además, grupos universales y otros grupos locales del dominio. Sólo son visibles en el dominio en que se crean, y suelen utilizarse para conceder permisos y derechos en cualquiera de los ordenadores del dominio (nótese que en modo mixto, sólo son visibles por los DCs del dominio, y por tanto sólo se pueden utilizar para administrar permisos y derechos en esos ordenadores).
Grupos globales. En un dominio en nivel funcional Windows 2000 mixto, pueden contener cuentas de usuario globales del mismo dominio. En un dominio en nivel Windows 2000 nativo o Windows Server 2003, pueden contener, además, otros grupos globales del mismo dominio. Son visibles en todos los dominios del bosque, y suelen utilizarse para clasificar a los usuarios en función de las labores que realizan.
Grupos universales. Sólo están disponibles en dominios en nivel funcional Windows 2000 nativo o Windows Server 2003 nativo. Pueden contener cuentas de usuario y grupos globales, así como otros grupos universales, de cualquier dominio del bosque. Son visibles en todo el bosque.
En un ordenador miembro de un dominio también se pueden definir grupos locales. Los grupos locales pueden estar formados por cuentas de usuario locales y usuarios y grupos globales de cualquier dominio del bosque (en modo mixto) y además por grupos universales (en modo nativo). Un grupo local no puede ser miembro de otro grupo local. Los grupos locales pueden utilizarse para conceder permisos y derechos en el equipo en que son creados.
Por tanto, la administración de la protección en cada ordenador del dominio puede realizarse mediante grupos locales del dominio o grupos locales del equipo en que reside el recurso a administrar. Por tanto, la recomendación que se hacía en la protección local respecto a la asignación de permisos en base a grupos locales sigue siendo válida. En el caso más general, la regla que recomienda Windows 2003 es la siguiente:
Asignar usuarios globales a grupos globales, según las labores que desempeñen en la organización.
Incluir (usuarios y/o) grupos globales en grupos locales (del equipo o del dominio) según el nivel de acceso que vayan a tener.
Asignar permisos y derechos únicamente a estos grupos locales (del equipo o del dominio).
La utilización de grupos universales tiene sentido sólo cuando un mismo conjunto de usuarios (y/o grupos) de varios dominios deben recibir permisos/derechos en varios dominios simultáneamente. En Windows 2000, el uso de este tipo de grupo estaba muy desaconsejado, por dos motivos: primero, porque estos grupos y sus miembros deben replicarse en todos los catálogos globales del bosque, y segundo, porque cualquier incio de sesión de un usuario debe consultar a un catálogo global para determinar la pertenencia de dicho usuario a posibles grupos universales. Windows 2003 ha suavizado el primero de los problemas, mejorado la eficiencia de esa replicación (sólo si el bosque está en nivel funcional Windows Server 2003), de forma que su uso no está ahora tan desaconsejado como lo estaba en Windows 2000. En cualquier caso, el uso de un grupo universal siempre puede simularse con la combinación adecuada de grupos globales y locales del dominio. Se recomienda al lector reflexionar sobre cómo podría hacerse.
En relación con esto, es importante saber que cuando un ordenador
pasa a ser miembro de un dominio, el grupo global
Administradores del dominio se incluye
automáticamente en el grupo local
Administradores de dicho ordenador. De igual
forma, el grupo global Usuarios del dominio se
incluye dentro del grupo local Usuarios. De
esta forma, los administradores y usuarios normales del dominio
tienen en cada miembro los mismos derechos y permisos que los que
tengan ya definidos los administradores y usuarios locales,
respectivamente. El administrador local puede, si lo desea,
invalidar esta acción automática, extrayendo posteriormente los
grupos globales de los locales.
Como hemos visto, en el Directorio Activo de un dominio se conserva toda la información relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directoio recoge también una cuenta de equipo por cada uno de los ordenadores miembro de un dominio.
Entre otras informaciones, en cada una de estas cuentas se almacena el nombre del ordenador, así como un identificador único y privado que lo identifica unívocamente. Este identificador es análogo al SID de cada cuenta de usuario o grupo, y sólo lo conocen los DCs y el propio ordenador miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede cambiarlo. Es precisamente este dato, propio de las cuentas de usuario, grupo y equipo, lo que permite asignar permisos y derechos en los sistemas a estos tres tipos de cuentas. Por este motivo, se denominan principales de seguridad (security principals). Por tanto, la asignación de derechos y permisos (NTFS) a cuentas de equipo es posible, pero se limita a situaciones muy poco frecuentes y está fuera del ámbito de este texto.
Windows 2003 puede utilizar distintos protocolos de comunicaciones seguros entre los ordenadores miembro de un dominio y los DCs. Entre ellos los más importantes son NTLM (el protocolo utilizado por versiones anteriores de Windows NT, que se mantiene por compatibilidad hacia atrás) y Kerberos V5. Kerberos presenta numerosas ventajas respecto a NTLM, pero sólo es viable en la práctica si todas las máquinas del dominio son Windows 2000, Windows XP o Windows Server 2003. Estos protocolos se utilizan siempre que información relativa a aspectos de seguridad se intercambia entre sistemas pertenecientes a algún dominio y, en concreto, para autenticar usuarios (como se ha explicado arriba).
Como hemos visto en “Unidades Organizativas”, las unidades organizativas son objetos del directorio que a su vez, pueden contener otros objetos. El uso fundamental de las OUs es delegar la administración de sus objetos a otros usuarios distintos del administrador del dominio, y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas de grupo (GPOs) específicas a la unidad.