SecurityLayer

2 - Elementos jerárquicos de AD

Jerarquía lógica de Active Directory: de mayor a menor nivel de contención

📌Forest

En Active Directory, el bosque (forest) representa la unidad lógica más grande y fundamental dentro de toda la infraestructura. Es el contenedor principal que agrupa y estructura todos los elementos y servicios de AD. Desde una perspectiva de diseño, el bosque define los límites de seguridad, administración y confianza, funcionando como el marco global dentro del cual operan uno o más árboles de dominios.

Un bosque puede contener múltiples árboles, y cada árbol puede incluir múltiples dominios relacionados jerárquicamente mediante un espacio de nombres DNS. Todos los dominios dentro de un mismo bosque comparten recursos clave, como:

  • Un esquema (schema) común, que define las clases de objetos que pueden existir (usuarios, equipos, grupos, etc.) y los atributos que los describen.

  • Una configuración global, que establece parámetros y políticas replicadas entre dominios.

  • Un catálogo global, que permite buscar objetos en todo el bosque.

El schema actúa como el "modelo de datos" que todos los dominios del bosque deben respetar: si el bosque define qué tipos de objetos pueden existir, el esquema establece cómo están estructurados.

Ejemplo:

Una empresa multinacional llamada ACME podría tener un bosque llamado acme.local. Dentro de ese bosque puede haber múltiples árboles con dominios como ventas.acme.local, ti.acme.local, corp.acme.local, etc.

Cada bosque funciona como una entidad independiente desde el punto de vista de autenticación y control de acceso. No hay visibilidad automática de los objetos entre bosques diferentes. Sin embargo, los bosques pueden establecer relaciones de confianza entre sí, permitiendo la autenticación cruzada de usuarios o servicios cuando se requiere interoperabilidad entre organizaciones o entornos.

📌Tree

Un árbol es una colección jerárquica de dominios dentro de un mismo bosque que comparten un espacio de nombres DNS contiguo.

Ejemplo:

Dentro del bosque acme.local, podríamos tener un árbol con los dominios:

  • acme.local

  • ventas.acme.local

  • soporte.acme.local

Tambien tenemos los tree roots (raíces de los árboles), que representan el dominio más alto de un árbol dentro de un bosque (Forest)

📌Domain

Un dominio es una unidad administrativa dentro del árbol. Contiene objetos como usuarios, grupos y computadoras y es el nivel en el que se definen políticas de seguridad, autenticación y relaciones de confianza.

Ejemplo:

soporte.acme.local es un dominio que agrupa a todo el personal del área de soporte técnico. Tiene su propio conjunto de políticas, usuarios y recursos.

📌Domain Controller

Un Domain Controller (DC) es un servidor que ejecuta los servicios de Active Directory (Active Directory Domain Services o AD DS). Se encarga de autenticar a los usuarios, almacenar la base de datos de AD y replicar los datos entre otros DCs.

Ejemplo:

Un servidor llamado DC01.soporte.acme.local puede ser el controlador de dominio principal para soporte.acme.local. Es el encargado de validar los inicios de sesión y aplicar las políticas.

📌Organizational Units

Las Unidades Organizativas (OUs) son contenedores lógicos dentro de un dominio, que se utilizan para organizar objetos como usuarios y equipos, y para aplicar políticas de grupo (GPOs) de manera específica.

Ejemplo:

Dentro del dominio soporte.acme.local, podríamos tener OUs como:

  • HelpDesk

  • Administración

  • Técnicos de Campo

A cada una se le pueden aplicar políticas distintas (por ejemplo, bloquear el acceso al Panel de Control solo a "HelpDesk").

📌Objetos de Active Directory

Los objetos son las entidades reales que se gestionan dentro de Active Directory. Cada objeto tiene un identificador único y pertenece a un dominio y, opcionalmente, a una OU.

Tipos comunes:

  • Usuarios: jgarcia, admin01

  • Grupos: TI_Admins, Usuarios_Impresoras

  • Computadoras: PC-VENTAS01, LAPTOP-JUAN

  • Impresoras: HP-LaserJet-5F

Todos los objetos que vemos en Active Directory (usuarios, PCs, grupos, etc.) son instancias de clases definidas en el esquema de AD. Por ejemplo, si tomamos el equipo PC-VENTAS01, este objeto de equipo es una instancia de la clase "equipo" en Active Directory. Imaginemos el esquema como el plano arquitectónico de una ciudad: antes de construir casas (objetos), necesitamos definir qué tipos de edificios existen (clases) y qué características deben tener (atributos). Sin ese plano, no podríamos construir ni organizar nada. El esquema es como una plantilla base que viene con cualquier instalación de Active Directory. Define, ordena y estructura todos los elementos posibles que pueden existir dentro del directorio, y garantiza que la información sea consistente, válida y administrable a gran escala.

📌Atributos de objetos

Cada objeto en Active Directory está compuesto por atributos, que son sus propiedades o datos específicos. AD almacena esta información en forma de pares atributo-valor.

Ejemplo (atributos de un usuario jgarcia):

  • sAMAccountName: jgarcia

  • displayName: Juan García

  • memberOf: TI_Admins

  • lastLogonTimestamp: 2025-07-30

  • department: Soporte Técnico

El identificador único global (GUID) también es un atributo de objeto y se trata de un valor único de 128 bits que Active Directory asigna automáticamente a cada objeto cuando se crea en la base de datos del dominio.

  • Es único en todo el bosque.

  • Nunca cambia durante la vida útil del objeto, incluso si se mueve entre OUs o cambia su nombre.

  • Se utiliza internamente para identificar de forma inequívoca a un objeto, sin importar su ubicación o atributos visibles.

  • Se usa como referencia interna más confiable que el nombre (sAMAccountName o distinguishedName), que sí pueden cambiar.

El GUID está almacenado en el atributo objectGUID de cada objeto en AD. Por ejemplo

objectGUID: {5A28B5A4-10FA-47C8-9BC0-1B287DC84C6F}

Algunos de los atributos técnicos más importantes de los objetos de Active Directory son:

+---------------------+----------------------------+-------------------------------------------------------------+
| Atributo            | Nombre LDAP                | Descripción                                                 |
+---------------------+----------------------------+-------------------------------------------------------------+
| Nombre común        | cn                         | Nombre "visible" del objeto en AD.                          |
| Nombre principal    | sAMAccountName             | Nombre de inicio de sesión (legacy, 20 caracteres máx).     |
| Nombre UPN          | userPrincipalName (UPN)    | Nombre de inicio de sesión estilo correo (ej. user@dom.com) |
| Identificador único | objectGUID                 | Identificador único global e inmutable del objeto.          |
| SID                 | objectSID                  | Identificador único de seguridad usado en permisos.         |
| DN                  | distinguishedName          | Ruta completa del objeto dentro del dominio.                |
| Clase de objeto     | objectClass                | Tipo de objeto (user, computer, group, etc.).               |
| Descripción         | description                | Campo de texto opcional para describir el objeto.           |
| Departamento        | department                 | Nombre del departamento (si aplica).                        |
| Miembro de grupo    | memberOf                   | Lista de grupos a los que pertenece el objeto.              |
| Fecha de creación   | whenCreated                | Fecha y hora de creación del objeto en AD.                  |
| Last Logon          | lastLogonTimestamp         | Última vez que el objeto inició sesión (aproximado).        |
+---------------------+----------------------------+-------------------------------------------------------------+

Ejemplo gráfico de un esquema jerárquico de AD

FOREST: ACME.LOCAL

  • Es la estructura lógica más alta de AD.

  • Representa el límite de seguridad, administración y confianza.

  • Engloba todos los trees, dominios, objetos y controladores de dominio.

Tree roots (dominios principales):

Tree 1: acme.local

  • Dominio raíz principal del forest.

  • Controlador de dominio físico: DC1.acme.local.

Tree 2: research.acme.local

  • Segundo tree raíz dentro del mismo forest.

  • Tiene un namespace distinto, por lo tanto inicia un nuevo árbol.

  • Su controlador de dominio físico es DC3.research.acme.local.

Cada tree representa una jerarquía distinta de nombres, pero comparte el mismo esquema, catálogo global y configuración del forest.

Child domains (dominios hijos):

Tree 1:

  • hr.acme.local es subdominio del tree root acme.local.

Tree 2:

  • dev.research.acme.local

  • labs.research.acme.local

  • Son subdominios del tree root research.acme.local.

Estos child domains heredan la relación de confianza y forman parte del mismo árbol de nombres jerárquico.

Domain controllers (servidores):

Los íconos del servidor con un libro representan los servidores físicos (estructura física) que actúan como:

  • Controladores de dominio (DC) que mantienen una copia del AD para su dominio específico.

  • Cada dominio tiene su propio DC, por ejemplo:

    • DC1.acme.local → para acme.local

    • DC2.hr.acme.local → para hr.acme.local

    • DC3.research.acme.local → para research.acme.local

    • DC4.labs.research.acme.local y DC5.research.acme.local → para los child domains.

Estructura física y estructura lógica:

  • La estructura lógica (dominios, trees, forest) está representada con nombres jerárquicos.

  • La estructura física (servidores/DCs) está indicada con conexiones a servidores específicos.

Organizations Units (OU):

  • Al pie de cada dominio hijo, se muestran los típicos objetos de AD agrupados por tipo:

    • printers, workstations, users

  • Estas son OU que ayudan a aplicar políticas (GPOs), delegar administración, etc.

Last updated