Cuando trabajamos con un dominio de Active Directory, podemos utilizar distintos elementos para gestionar los recursos disponibles en el dominio. Los principales elementos, aunque no los únicos, que podemos utilizar son los que se representan en la siguiente imagen.
Usuarios
Las cuentas de usuario del dominio permiten identificar a los distintos usuarios del dominio. Sobre estas cuentas de usuario se pueden aplicar controles de acceso sobre equipos y resto de recursos compartidos en el dominio. Con las cuentas de usuario del dominio podemos configurar control de acceso temporal, qué días y a qué horas puede iniciar sesión un usuario, control de acceso sobre equipos, en qué equipos del dominio puede trabajar un usuario, control de acceso sobre el resto de recursos compartidos en el dominio.
Para identificar un usuario del dominio dentro del dominio se puede utilizar su nombre completo dentro del dominio que estará formado por el identificador del usuario seguido por una arroba y el nombre del dominio. Por ejemplo, la cuenta marinapg dentro del dominio educatica.ex tendrá el siguiente nombre completo: marinapg@educatica.ex.
Grupos
La forma habitual de gestionar el control de acceso a recursos es utilizando grupos del dominio. Un grupo es un contenedor que agrupa elementos del dominio como pueden ser usuarios, otros grupos e incluso equipos.
En Active Directory tenemos dos tipos de grupos y tres ámbitos que se detallarán más adelante. En la inmensa mayoría de los casos utilizaremos grupos de tipo seguridad, y el ámbito de los grupos con los que trabajaremos habitualmente serán global y de dominio local.
Los grupos globales se utilizan para agrupar los usuarios de forma similar a como ya se hace en la empresa en la que se está implantando el servicio de directorio. Por ejemplo, en departamentos o en áreas de trabajo.
Los grupos de dominio local se utilizan para controlar los permisos de acceso sobre un recurso concreto. De esta forma, para cada recurso compartido (impresora, directorio compartido, etc) se crean tantos grupos locales como configuraciones de permisos se necesiten. Por ejemplo, control total sobre un directorio o solo lectura: DL_ControlTotalDocumentos y DL_LecturaDocumentos. Se configuran los permisos con estos dos grupos locales y por último, tan solo tendremos que añadir los grupos globales o usuarios del dominio individuales a cada uno de los grupos en función de los permisos que queramos darles. Esta estrategia se denomina AGDLP y la estudiaremos más adelante.
La forma de identificar un grupo del dominio con su nombre completo consiste en utilizar su nombre, seguido de una arroba como separador y el nombre del dominio. Por ejemplo, para el grupo ventas dentro del dominio educatica.ex, el nombre completo del grupo será: ventas@educatica.ex. La nomenclatura utilizada para grupos es similar a la usada para cuentas de usuario, por este motivo no podemos utilizar el mismo identificador para nombres de cuentas de usuario y de grupos.
Equipos
Los equipos representan los equipos informáticos que forman parte o están unidos al dominio de Active Directory. Nos permite conocer los equipos disponibles en el dominio, identificarlos con un nombre completo dentro del dominio y aplicar controles de acceso a dichos equipos a través de las cuentas de usuario.
Podemos identificar un equipo dentro del dominio a través de su nombre completo que se obtiene con el nombre del equipo, seguido de un punto como separador y el nombre del dominio en el que se encuentra. Por ejemplo, para el equipo01 en el dominio educatica.ex, el nombre completo sería: equipo01.educatica.ex.
Este nombre es similar a un nombre de dominio en el servicio DNS, de hecho Active Directory necesita de un servidor DNS en el dominio que se encargue de gestionar los nombres DNS del dominio. Entre estos nombres DNS están los nombres de los equipos del dominio, como el del propio controlador de dominio o el de equipos del dominio que tendrán asignada una dirección IP. Por ejemplo, en el caso práctico de ejemplo, dc01.educatica.ex tiene asignada una dirección IP estática que es conocida por todos los equipos del dominio, puesto que utilizan como servidor DNS el servidor DNS del dominio. De la misma forma, cualquier equipo que unamos al dominio tendrá asignada una dirección IP que será gestionada por el servidor DNS del dominio, que resolverá los nombres completos (FQDN) del dominio, como equipo01.educatica.ex.
Impresoras y directorios compartidos
Impresoras y directorios compartidos, también se pueden añadir al catalogo del servicio de directorio para facilitar su localización dentro del dominio. Sobre estos elementos podemos establecer configuraciones de control de acceso utilizando tanto cuentas de usuario como grupos. Sin embargo, se recomienda encarecidamente, para facilitar el mantenimiento de las configuraciones de seguridad, crear y utilizar grupos locales del dominio para configurar el control de acceso sobre cualquier recurso compartido en red, aplicando la estrategia AGDLP.
A las impresoras compartidas podemos asignarles un nombre que permitirá identificarlas dentro del dominio. Con el nombre de la impresora, podemos determinar su nombre en el dominio utilizando el nombre asignado, seguido de un punto separador y el nombre del dominio en el que se encuentre. Por ejemplo, la impresora laser01 en el dominio educatica.ex tendrá como nombre: laser01.educatica.ex.
La forma de identificar a un recurso compartido en el dominio se realiza utilizando su dirección de red en una red local de microsoft. La dirección comienza por una doble barra inclinada \\, seguida del nombre del equipo donde está el recurso, una barra inclinada simple de separación \ y el nombre del recurso compartido.
Por ejemplo, el recurso compartido Documentos dentro del equipo dc01 en el dominio educatica.ex tendría la siguiente dirección de recurso compartido: \\dc01.educatica.ex\Documentos. También se podría utilizar el nombre netbios del equipo: \\DC01\Documentos.
Si además, además queremos publicarlo en el dominio para facilitar que los usuarios del dominio puedan encontrar este recurso compartido, podemos hacerlo desde la herramienta Administración de equipos, en el contenedor Recursos compartidos, seleccionando el recurso a configurar y accediendo a propiedades.
En las propiedades del recurso compartido, en la pestaña publicar, podemos publicar el recurso compartido con la información que estimemos oportuna para facilitar su localización.
No es necesario realizar la publicación del recurso, pero facilita que los usuarios del dominio puedan encontrar los recursos compartidos desde sus equipos
Unidades Organizativas
Una unidad organizativa es un contenedor de objetos o elementos del servicio directorio. Se utilizan para organizar los elementos de un dominio Active Directory de forma que sea más fácil para el administrador gestionarlos. Su uso tiene más sentido en dominios de cierto tamaño dónde el número de elementos, como usuarios, grupos o equipos, es grande.
Como analogía podemos pensar en los directorios que nos permiten organizar los ficheros que se almacenan en un sistema de ficheros de acuerdo a la estructura que mejor nos convenga.
Habitualmente, una buena opción para organizar los elementos en unidades organizativas dentro del dominio suele ser utilizar unidades organizativas que reflejen las divisiones que se tienen en la propia organización. Por ejemplo, los departamentos o agrupaciones de usuarios o empleados en la organización.