Bosques Active Directory
En Active Directory los bosques son la construcción lógica que se hace para juntar uno o muchos dominios y que estos almacenen a los usuarios o los grupos que sean necesarios en la organización y a su vez también ayuden a la seguridad con los servicios de autenticación.
Podemos afirmar que los bosques suelen contener varios dominios debido a que empresas de gran tamaño suelen hacer fusiones o adquisiciones extras a lo largo del tiempo, de hecho, se van a ir dando situaciones de tener varios bosques de manera local y que dentro de estos se encuentren varios dominios.
Árbol de dominios
Es el conjunto de uno o muchos dominios que están dentro del mismo espacio de nombre contiguo, Se podría tener un dominio en nuestra organización con el nombre de: CeluShop.com y este contener un subdominio el cual se llamaría: subdominio.CeluShop.com, con esto afirmamos que en los bosques de Active Directory pueden existir varios árboles de dominio.
Confianzas
En los dominios es normal que se den situaciones de confianzas, Cuando en nuestra organización tenemos más de un dominio es necesario que los usuarios tengan acceso a ciertos recursos que se encuentren en otro dominio diferente al que pertenecen, para poder lograr el acceso a los recursos que se encuentren de manera compartida se va a necesitar que los usuarios de un dominio se autentiquen en el otro dominio, para la autenticación y autorización de los servidores de dominio distintos y los clientes se debe de tener confianza entre dominios. La confianza es importante ya que permite el acceso de manera controlada a los recursos compartidos de los dominios garantizando que las peticiones de autenticación sean validas gracias a que pertenecen a entidades de confianza, de esta manera ejerce como un puente que permite el paso de dominios y autenticaciones validas.
Tipos de configuraciones en las confianzas
- Unidireccional: Donde se proporciona el acceso desde los dominios de confianza a recursos de los dominios en los que se confía.
- Bidireccional: Donde se da el acceso de cada dominio a recursos de otros dominios.
Configuraciones para administrar confianzas
- Transitiva: La confianza se va expandiendo de manera automática a cualquier otro dominio con el cual esté asociado o tenga confianza.
- No transitiva: La confianza solo estará presente en los dominios que se encuentren asociados.
Términos importantes de conocer en los bosques
Confianza de bosque Bidireccional: Se forma la confianza transitiva entre los dominios de los bosques.
Confianza de bosque Unidireccional: Los usuarios de un bosque pueden confiar en los dominios de otros bosques.
Transitividad de confianza de bosque: Se limita a los bosques asociados, no será extensible a otros bosques de los asociados.
Confianza entre bosques
Las confianzas existentes se pueden expandir en los dominios que se encuentren disponibles, se pueden crear confianzas de forma manual entre bosques de las maneras antes vistas ya sea Bidireccional o Unidireccional, es importante tener en cuenta que la confianza de bosque es catalogada como confianza Transitiva porque esta solo va a existir entre el dominio raíz de un bosque y el dominio raíz de otro bosque.
Tecnología compatible para confianzas
Las confianzas utilizan servicios y características como por ejemplo DNS que le ayuda a buscar los controladores de dominio en bosques que se encuentren asociados, pero las confianzas también se apoyan de protocolos de autenticación como puede ser NTML y en algunos casos también utilizan Kerberos para autorizar y controlar el acceso y ayudar a que la comunicación sea segura entre los dominios y bosques de Active Directory.
Razones y motivos para crear un bosque complejo en Active Directory
- Cuando se tiene que realizar divisiones de red interna en sub-secciones debido a que se requiere que vayan por función en la empresa, por ejemplo, en el departamento de ventas se necesita que se tenga una sección de inventario y otra sección de ventas que no tenga interoperabilidad, como observamos son dominios secundarios los que se crearían en el dominio principal y de esta manera se crea otro árbol.
- La organización cuenta con correo electrónico para cada usuario los cuales tienen el mismo nombre de dominio que el sitio web, pero ya no se quiere mantener todos los dominios con la misma raíz de dominio en un solo árbol, para este caso los correos electrónicos tendrán un árbol de dominio único y la red de usuarios tendrán un árbol de dominio único de manera separada, entonces serán 3 dominios separados los cuales formarán un bosque al final.
Beneficios que trae crear bosques en Active Directory
- Ayuda a la replicación y distribución, por ejemplo, cuando se tiene una red WAN, la ubicación del controlador del dominio puede ser un problema en el rendimiento porque con usuarios en ubicaciones remotas puede que se den problemas para iniciar sesión dentro de la red como por ejemplo problemas con el tiempo de espera, entonces tener copias de este controlador de dominio de manera local puede ayudar a evitar este problema.
- Permisos, se pueden requerir distintos permisos en diferentes áreas de la red, si en un dominio se desea ciertos permisos a recursos o servicios en una red que está separada del sistema de red normal, los dominios podrán superponerse de manera geográfica.
- La red de una organización puede contener distintos controladores de dominio y entre ellos la misma base de datos y otros permisos diferentes.
- Para administrar bosques y dominios en Active Directory el tener una estructura sencilla para AD se volverá inservible cuando se creen subdominios y bosques múltiples. Separar recursos en diferentes dominios y subdominios mejora la seguridad y crea una estructura más compleja al momento de que otras personas que no sean de la organización quieran acceder a esta.
Herramientas para administrar los bosques y dominios en Active Directory
Monitoreo de Active Directory de Paessler con PRTG: Ayuda con el monitoreo de sistemas que contengan redes, servidores u otras aplicaciones.
Diagramador de topología de Microsoft Active Directory: ayuda con el diseño de la estructura en AD para luego ser interpretada a través de programas como Visio.
Access Rights Manager: verifica actividades del usuario y sus accesos a recursos en un sistema de registro.
ManageEngine: Monitorea los recursos y se puede implementar para administrar permisos y derechos en la red.
Fuentes utilizadas
- Aprendiendo Exchange. (15 de Noviembre de 2020) Aprendiendo Exchange. Dirección web
- Paessler. (28 de Julio de 2021) Paessler. Dirección web
