Es común pensar que un controlador de dominio vs Directorio Activo son sinónimos entre sí. En realidad, son muy diferentes. Conocer estas diferencias te ayudará a entender mejor el funcionamiento de ambos.
Para este artículo, nos centraremos en la terminología de Windows NT. Muchos de los conceptos y términos son iguales o similares en Linux. Para contar la historia de los controladores de dominio frente a Active Directory, voy a utilizar una historia sobre un club nocturno.
Espero que esto relacione los escenarios equivalentes y las diferencias entre la funcionalidad de Active Directory frente a la de los controladores de dominio mejor que simplemente regurgitar la documentación.
Si estás buscando una explicación de Active Directory, has llegado al lugar correcto.
Tabla de contenidos
Controladores de dominio
Un portero llamado Ox está de guardia en la puerta del club nocturno apodado Club BOFH. El trabajo de Ox consiste en cotejar los nombres con una lista antes de dejar entrar a alguien en la cola del club. Todos los aspirantes de la cola quieren entrar, pero tienen que estar en la lista «A».
¿No están en la lista? No entran. Si lo intentan, son expulsados. El portero está prestando un servicio crítico al dueño de la discoteca, que cuando no está dirigiendo una discoteca, escribe este tipo de artículos en el blog explicando temas de informática.
El controlador de dominio (Ox el portero) o DC, está prestando servicios de seguridad para la discoteca. Un controlador de dominio aloja una base de datos (la lista «A») que se utiliza para las solicitudes de autenticación (el asistente a la discoteca que da su nombre a Ox).
Una vez que Ox autentifica al asistente a la discoteca, suelta la cuerda de terciopelo y permite que el asistente a la discoteca (un usuario u ordenador) pase. Esta es la única forma de acceder a los recursos del dominio (bebidas, música y baile dentro de la discoteca).
Ox tiene unos cuantos amigos (servidores miembros que actúan como controladores de dominio o DCs) que le ayudan. En caso de que uno de ellos se vea superado por una persona enfadada que fue expulsada del club nocturno, cualquiera de ellos puede intervenir y seguir proporcionando servicios de seguridad.
Ox hace bien en proporcionar servicios de seguridad redundantes. Pero, ¿cómo consiguen Ox y sus amigos la lista de los asistentes a la discoteca que pueden o no entrar en el Club BOFH?
Directorio Activo
El Club BOFH es único. Sólo hay un local. El propietario del club nocturno, Roscoe, tiene un libro negro en el que figuran todos los asistentes al club que están autorizados a entrar y que han pagado su cuota de socio.
Si el negocio sigue aumentando, Roscoe planea abrir nuevos locales.
Ox utiliza este libro negro mientras proporciona seguridad cada noche. Roscoe también actualiza este libro regularmente. Siempre se añaden o eliminan nombres, a menudo con notas sobre lo que un asistente al club puede y no puede hacer mientras está dentro del Club BOFH.
El amigo más cercano de Ox, Hanz (que ayuda a diario), tiene una copia de este libro negro y de vez en cuando compara su lista con la que tiene Ox. Cualquier entrada en el libro de Ox que no esté incluida en el de Hanz es añadida o eliminada.
A veces Ox se ha dejado el libro en casa. Esto no es un problema ya que Ox puede seguir mirando lo que Hanz ha registrado y compartido.
El dominio del Directorio Activo (Club BOFH) consiste en un servidor de Directorio Activo (Roscoe) o servidor ‘AD’ y un Servicio de Directorio Activo (pequeño libro negro). Este servicio almacena objetos como la información de las cuentas de los usuarios y de los ordenadores.
Todos los empleados de Roscoe (controladores de dominio del directorio) utilizan el mismo servicio de dominio porque sólo operan en un Dominio de Directorio Activo.
Términos adicionales que hay que conocer
Aquí hay una información crítica que hay que entender:
- Una identidad puede ser un solo usuario o un ordenador. También puede ser un grupo de usuarios o equipos. Cuando mira a los usuarios y equipos de Active Directory (ADUC), ve los nombres de los usuarios y los nombres de los grupos de seguridad. Estos son identidades.
- Un principal de seguridad se utiliza para autenticar una identidad y es lo que maneja los permisos que tiene una identidad. Se utiliza para demostrar que una identidad es genuina.
- Un identificador de seguridad no es más que una clave que se asocia a una identidad que determina la autoridad en el dominio.
- Una cuenta es un usuario o un equipo. Una cuenta de usuario almacena información relacionada con la identidad del usuario y se utiliza para verificar el acceso a los recursos de la red, como los archivos compartidos.
Una cuenta de ordenador contiene información que autentifica la cuenta en el dominio. Cada cuenta de equipo incluye un identificador de seguridad único (SID).
No es sólo Active Directory VS Domain Controllers
Recuerde los escenarios de ejemplo anteriores que implican al Club BOFH.
Siéntese en su ordenador para iniciar sesión. Su ordenador ya es miembro del dominio. Tiene una cuenta que ha sido autenticada utilizando el SID que se asignó a su equipo, lo que permite que este equipo acceda a los recursos de la red.
Esto se hizo a través de un intercambio de claves de seguridad entre el equipo y el controlador de dominio.
Procede a escribir su nombre de usuario, que es su identidad vinculada a su cuenta de usuario. Su cuenta tiene un SID, y la clave de seguridad le asigna sus derechos para iniciar sesión localmente. Su programa Microsoft Outlook ya está configurado utilizando el servidor Exchange de su empresa.
¿Dónde se almacena toda esta información? Está asignada a usted en Active Directory. La cuenta del equipo también podría tener datos almacenados, como la ubicación y quién la administra.
Conclusión
Las diferencias entre lo que hace Active Directory y lo que hace un controlador de dominio no es un tema difícil una vez que se puede visualizar el proceso. Lo más fácil es recordar que los controladores de dominio autentifican su autoridad, y Active Directory gestiona su identidad y el acceso de seguridad.