Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de

servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos

(principalmente LDAP, DNS, DHCP, Kerberos...).

Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access
Protocol), ya que este protocolo viene implementado de forma similar a una base de datos,
la cual almacena en forma centralizada toda la información relativa a un dominio de
autenticación. La ventaja que presenta esto es la sincronización presente entre los distintos
servidores de autenticación de todo el dominio.

A su vez, cada uno de estos objetos tendrá atributos que permiten identificarlos en modo
unívoco (por ejemplo, los usuarios tendrán campo «nombre», campo «email», etcétera, las
impresoras de red tendrán campo «nombre», campo «fabricante», campo «modelo», campo
"usuarios que pueden acceder", etc). Toda esta información queda almacenada en Active
Directory replicándose de forma automática entre todos los servidores que controlan el
acceso al dominio.

De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red,
etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos
objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el
dominio de administración, los eventuales cambios serán visibles en todo el ámbito. Para
decirlo en otras palabras, Active Directory es una implementación de servicio de directorio
centralizado en una red distribuida que facilita el control, la administración y la consulta de
todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos).

Dominios
Un Dominio es una agrupación de ordenadores en torno a un servidor centralizado que
guarda la lista de usuarios y nivel de acceso de cada uno.

Estos servidores son Controladores de Dominio (Windows 2000 Server o Windows .NET
Server 2003) y centralizan la administración de la seguridad del grupo.

Los ordenadores integrados en dominio tienen la ventaja adicional de que no necesitan

físicamente estar en la misma red.

Un árbol de dominio es un conjunto de dominios que están conectados mediante unas relaciones
de confianza por as decirlo, y así mismo, cuando varios árboles se conectan mediante relaciones,
se forma un bosque.
Grupo de trabajo
Un grupo de trabajo en windows es un grupo de ordenadores en red que comparten recursos
(ficheros e impresoras). En el modelo de grupo de trabajo no existe un servidor central y
ordenadores clientes, sino que son redes de igual a igual, donde cualquier ordenador puede
jugar ambos roles.

En los sistemas anteriores a XP la autentificación se producía a nivel de recursos: las

carpetas compartidas podian ser protegidas por contraseñas. Para acceder al recurso bastaba
estar en la red, conocer la ubicacion del recurso y su contraseña.

Microsoft XP (y Windows 2000) introduce el concepto de usuario también en los grupos de

trabajo; cada equipo conserva una lista de los usuarios autorizados y los recursos
disponibles. Como son listas descentralizadas (en cada equipo) hay que dar de alta a cada
nuevo usuario en cada ordenador.

DNS - Domain Names Service

El Servicio de Nombres de Dominio es un programa que se ejecuta diseminado en multitud
de servidores de Internet (Servidores DNS) que proporciona traducción automática e
instantánea entre nombres de dominio (www.loquesea.com) y direcciones IP
(212.43.239.210). El propósito de esta traducción (o resolución) es permitir a los usuarios
utilizar una dirección mas fácil de recordar, y el independizar el nombre de máquinas,
servicios, direcciones de correo electrónico, etc. de las direcciones numéricas concretas
que en un determinado momento puedan tener sus equipos (cambio de máquinas, de
proveedores de acceso)

El DNS es una inmensa base de datos distribuida jerárquicamente por todo Internet; existen
infinidad de servidores que interactuan entre sí para encontrar y facilitar a las aplicaciones
que los consultan (navegadores, ftp, etc) la traducción de un nombre a su dirección de red
La finalidad del DNS es la de permitir la distribución tanto administrativa como técnica, del
sistema de nombres de Internet, por medio de una ordenación jerárquica de dominios
delegados. Los dominios son entidades administrativas cuyo propósito es subdividir la
carga de gestión de un administrador central repartiéndola entre distintos
subadministradores. Estos, a su vez, pueden repetir el proceso si el tamaño del dominio a
administrar así lo aconseja, garantizandose así la identidad única de cualquier nombre del
DNS que se forma por yuxtaposición (separada por puntos ".") de los distintos nombres de
dominio de abajo a arriba en la jerarquía, hasta llegar al ultimo (denominado raíz del DNS
o "."); por ejemplo: maquina.nivel3.nivel2.nivel1.
Política de Aplicación de un GPO

Uno de los permisos de cada GPO es "Aplicar directiva de grupos" (o, simplemente,
Aplicar). Por defecto, este permiso lo tienen concedido el grupo Usuarios autentificados,
que incluye en la práctica a todos los usuarios del dominio. Por tanto, la política afecta a
todos los usuarios cuyas cuentas se ubiquen dentro del contenedor al que se vincula la
GPO.

Si este comportamiento no es el que se desea, se puede eliminar este permiso y concederlo

a otro(s) grupo(s) más restringidos, o bien mantener este permiso y añadir permisos
negativos a otros grupos. Hay que tener en cuenta varias cosas a este respecto:

 Si denegamos el permiso Aplicar a un grupo, impediremos que sus políticas afecten

a cualquiera de sus miembros, aunque pertenezca a otros grupos que tengan este
permiso concedido.

 El permiso Aplicar debe asignarse conjuntamente con el permiso Leer, ya que si no,
el GPO no se aplica al grupo correspondiente. Si asignamos Aplicar a grupos más
restringidos que el de Usuarios Autentificados, es recomendable que hagamos lo
mismo con el permiso Leer, puesto que el GPO se procesa para todos los usuarios
que poseen este permiso, aunque sólo se aplica a los que poseen además el Aplicar.

 Existe un caso en el que no se puede seguir esta recomendación: si la política no

debe aplicarse al grupo de administradores, éstos no deben tener concedido el
permiso Aplicar. Sin embargo, no es posible eliminar el permiso Leer a estos
usuarios porque entonces no podrían administrar el GPO.

Kerberos es un protocolo de autenticación de redes de ordenador que permite a dos

computadores en una red insegura demostrar su identidad mutuamente de manera segura.
Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda
autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los
mensajes de autenticación están protegidos para evitar eavesdropping y ataques de Replay.

Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza.

Además, existen extensiones del protocolo para poder utilizar criptografía de clave
asimétrica.

Un usuario es la persona que utiliza o trabaja con algún objeto o que es destinataria de
algún servicio público, privado, empresarial o profesional.

Sin embargo, según la Real Academia Española (RAE), usuario es «aquél que usa algo».
Esto se opone a los conceptos de web semántica, web 2.0 y 3.0, trabajo colaborativo, ya
que la realidad actual prima a los ciudadanos como emisores y no solo como receptores que
«usan» los medios.