Directorio Activo
Active Directory (AD) es un servicio de directorio desarrollado por Microsoft para redes de dominio de Windows. Se incluye en la mayoría de los sistemas operativos Windows Server como un conjunto de procesos y servicios. Inicialmente, Active Directory se usaba solo para la administración centralizada de dominios. Sin embargo, Active Directory finalmente se convirtió en un título general para una amplia gama de servicios relacionados con la identidad basados en directorios.
Un servidor que ejecuta la función Servicio de dominio de Active Directory (AD DS) se denomina controlador de dominio. Autentica y autoriza a todos los usuarios y equipos en una red de tipo dominio de Windows, asignando y aplicando políticas de seguridad para todos los equipos e instalando o actualizando software. Por ejemplo, cuando un usuario inicia sesión en una computadora que forma parte de un dominio de Windows, Active Directory verifica el nombre de usuario y la contraseña enviados y determina si el usuario es un administrador del sistema o un usuario normal. Además, permite la gestión y el almacenamiento de información, proporciona mecanismos de autenticación y autorización y establece un marco para implementar otros servicios relacionados: Servicios de certificados, Servicios de federación de Active Directory, Servicios de directorio ligero y Servicios de gestión de derechos.
Active Directory utiliza las versiones 2 y 3 del Protocolo ligero de acceso a directorios (LDAP), la versión de Kerberos de Microsoft y DNS.
Historia
Al igual que muchos esfuerzos de tecnología de la información, Active Directory se originó a partir de una democratización del diseño mediante la solicitud de comentarios (RFC). El Grupo de trabajo de ingeniería de Internet (IETF), que supervisa el proceso de RFC, ha aceptado numerosos RFC iniciados por participantes generalizados. Por ejemplo, LDAP sustenta Active Directory. Además, los directorios X.500 y la Unidad organizativa precedieron al concepto de Active Directory que hace uso de esos métodos. El concepto de LDAP comenzó a surgir incluso antes de la fundación de Microsoft en abril de 1975, con RFC desde 1971. Los RFC que contribuyen a LDAP incluyen RFC 1823 (sobre la API de LDAP, agosto de 1995), RFC 2307, RFC 3062 y RFC 4533.
Microsoft presentó una vista previa de Active Directory en 1999, lo lanzó por primera vez con la edición de Windows 2000 Server y lo revisó para ampliar la funcionalidad y mejorar la administración en Windows Server 2003. También se agregó compatibilidad con Active Directory a Windows 95, Windows 98 y Windows NT 4.0 mediante parche, con algunas funciones no admitidas. Se produjeron mejoras adicionales con versiones posteriores de Windows Server. En Windows Server 2008, se agregaron servicios adicionales a Active Directory, como los Servicios de federación de Active Directory. La parte del directorio encargada de la gestión de dominios, que antes era una parte central del sistema operativo, pasó a llamarse Active Directory Domain Services (ADDS) y se convirtió en un rol de servidor como otros. "Directorio activo" se convirtió en el título general de una gama más amplia de servicios basados en directorios. Según Byron Hynes, todo lo relacionado con la identidad se incluyó bajo el estandarte de Active Directory.
Servicios de directorio activo
Los servicios de Active Directory consisten en múltiples servicios de directorio. El más conocido es Active Directory Domain Services, comúnmente abreviado como AD DS o simplemente AD.
Servicios de dominio
Los servicios de dominio de Active Directory (AD DS) son la base de todas las redes de dominio de Windows. Almacena información sobre los miembros del dominio, incluidos dispositivos y usuarios, verifica sus credenciales y define sus derechos de acceso. El servidor que ejecuta este servicio se denomina controlador de dominio. Se contacta a un controlador de dominio cuando un usuario inicia sesión en un dispositivo, accede a otro dispositivo a través de la red o ejecuta una aplicación estilo Metro de línea de negocio descargada en un dispositivo.
Otros servicios de Active Directory (excepto LDS, como se describe a continuación), así como la mayoría de las tecnologías de servidor de Microsoft dependen de los Servicios de dominio o los utilizan; los ejemplos incluyen directivas de grupo, sistema de cifrado de archivos, BitLocker, servicios de nombres de dominio, servicios de escritorio remoto, Exchange Server y SharePoint Server.
El Active Directory DS autoadministrado no debe confundirse con Azure AD DS administrado, que es un producto en la nube.
Servicios de directorio ligeros
Servicios de directorio ligero de Active Directory (AD LDS), anteriormente conocido como Modo de aplicación de Active Directory (ADAM), es una implementación del protocolo LDAP para AD DS. AD LDS se ejecuta como un servicio en Windows Server. AD LDS comparte el código base con AD DS y proporciona la misma funcionalidad, incluida una API idéntica, pero no requiere la creación de dominios o controladores de dominio. Proporciona un almacén de datos para el almacenamiento de datos de directorio y un servicio de directorio con una interfaz de servicio de directorio LDAP. Sin embargo, a diferencia de AD DS, se pueden ejecutar varias instancias de AD LDS en el mismo servidor.
Servicios de certificados
Active Directory Certificate Services (AD CS) establece una infraestructura de clave pública local. Puede crear, validar, revocar y realizar otras acciones similares, certificados de clave pública para usos internos de una organización. Estos certificados se pueden usar para cifrar archivos (cuando se usan con el sistema de cifrado de archivos), correos electrónicos (según el estándar S/MIME) y tráfico de red (cuando se usan en redes privadas virtuales, el protocolo de seguridad de la capa de transporte o el protocolo IPSec).
AD CS es anterior a Windows Server 2008, pero su nombre era simplemente Servicios de certificados.
AD CS requiere una infraestructura de AD DS.
Servicios de la Federación
Active Directory Federation Services (AD FS) es un servicio de inicio de sesión único. Con una infraestructura de AD FS instalada, los usuarios pueden usar varios servicios basados en web (por ejemplo, foros de Internet, blogs, compras en línea, correo web) o recursos de red usando solo un conjunto de credenciales almacenadas en una ubicación central, en lugar de tener que otorgarlas. un conjunto dedicado de credenciales para cada servicio. AD FS usa muchos estándares abiertos populares para pasar credenciales de token como SAML, OAuth u OpenID Connect. AD FS admite el cifrado y la firma de aserciones SAML. El propósito de AD FS es una extensión del de AD DS: este último permite a los usuarios autenticarse y usar los dispositivos que forman parte de la misma red, usando un conjunto de credenciales. El primero les permite usar el mismo conjunto de credenciales en una red diferente.
Como sugiere el nombre, AD FS funciona según el concepto de identidad federada.
AD FS requiere una infraestructura de AD DS, aunque es posible que su socio de federación no.
Servicios de gestión de derechos
Active Directory Rights Management Services (AD RMS, conocido como Rights Management Services o RMS antes de Windows Server 2008) es un software de servidor para la administración de derechos de información que se incluye con Windows Server. Utiliza encriptación y una forma de denegación de funcionalidad selectiva para limitar el acceso a documentos como correos electrónicos corporativos, documentos de Microsoft Word y páginas web, y las operaciones que los usuarios autorizados pueden realizar en ellos. Estas operaciones pueden incluir ver, editar, copiar, guardar como o imprimir, por ejemplo. Los administradores de TI pueden crear plantillas preestablecidas para la comodidad del usuario final si es necesario. Sin embargo, los usuarios finales aún pueden definir quién puede acceder al contenido en cuestión y establecer qué pueden hacer.
Estructura lógica
Como servicio de directorio, una instancia de Active Directory consta de una base de datos y el código ejecutable correspondiente responsable de atender las solicitudes y mantener la base de datos. La parte ejecutable, conocida como Directory System Agent, es una colección de servicios y procesos de Windows que se ejecutan en Windows 2000 y versiones posteriores. Se puede acceder a los objetos en las bases de datos de Active Directory a través de LDAP, ADSI (una interfaz de modelo de objetos de componentes), API de mensajería y servicios de administrador de cuentas de seguridad.
Objetos
Las estructuras de Active Directory son arreglos de información sobre objetos. Los objetos se dividen en dos grandes categorías: recursos (por ejemplo, impresoras) y principales de seguridad (cuentas y grupos de usuarios o equipos). A los principales de seguridad se les asignan identificadores de seguridad únicos (SID).
Cada objeto representa una sola entidad, ya sea un usuario, una computadora, una impresora o un grupo, y sus atributos. Ciertos objetos pueden contener otros objetos. Un objeto se identifica únicamente por su nombre y tiene un conjunto de atributos (las características y la información que representa el objeto) definidos por un esquema, que también determina los tipos de objetos que se pueden almacenar en Active Directory.
El objeto de esquema permite a los administradores ampliar o modificar el esquema cuando sea necesario. Sin embargo, debido a que cada objeto de esquema es parte integral de la definición de objetos de Active Directory, desactivar o cambiar estos objetos puede cambiar o interrumpir fundamentalmente una implementación. Los cambios de esquema se propagan automáticamente por todo el sistema. Una vez creado, un objeto solo se puede desactivar, no eliminar. Cambiar el esquema generalmente requiere planificación.
Bosques, árboles y dominios
El marco de Active Directory que contiene los objetos se puede ver en varios niveles. El bosque, el árbol y el dominio son las divisiones lógicas en una red de Active Directory.
Dentro de una implementación, los objetos se agrupan en dominios. Los objetos de un solo dominio se almacenan en una sola base de datos (que se puede replicar). Los dominios se identifican por su estructura de nombres DNS, el espacio de nombres.
Un dominio se define como un grupo lógico de objetos de red (computadoras, usuarios, dispositivos) que comparten la misma base de datos de Active Directory.
Un árbol es una colección de uno o más dominios y árboles de dominio en un espacio de nombres contiguo y está vinculado en una jerarquía de confianza transitiva.
En la parte superior de la estructura se encuentra el bosque. Un bosque es una colección de árboles que comparten un catálogo global común, un esquema de directorio, una estructura lógica y una configuración de directorio. El bosque representa el límite de seguridad dentro del cual se puede acceder a los usuarios, equipos, grupos y otros objetos.
Unidades organizativas
Los objetos contenidos en un dominio se pueden agrupar en unidades organizativas (OU). Las unidades organizativas pueden proporcionar jerarquía a un dominio, facilitar su administración y pueden parecerse a la estructura de la organización en términos administrativos o geográficos. Las unidades organizativas pueden contener otras unidades organizativas: los dominios son contenedores en este sentido. Microsoft recomienda usar unidades organizativas en lugar de dominios para estructurar y simplificar la implementación de políticas y administración. La unidad organizativa es el nivel recomendado en el que se aplican políticas de grupo, que son objetos de Active Directory denominados formalmente objetos de política de grupo (GPO), aunque las políticas también se pueden aplicar a dominios o sitios (consulte a continuación). La OU es el nivel en el que los poderes administrativos se delegan comúnmente, pero la delegación también se puede realizar en objetos o atributos individuales.
Las unidades organizativas no tienen cada una un espacio de nombres independiente. Como consecuencia, para la compatibilidad con las implementaciones heredadas de NetBios, las cuentas de usuario con un sAMAccountName idéntico no están permitidas dentro del mismo dominio, incluso si los objetos de cuentas están en unidades organizativas separadas. Esto se debe a que sAMAccountName, un atributo de objeto de usuario, debe ser único dentro del dominio. Sin embargo, dos usuarios en unidades organizativas diferentes pueden tener el mismo nombre común (CN), el nombre con el que están almacenados en el propio directorio, como "fred.staff-ou.domain" y "fred.student-ou.domain", donde "staff-ou" y "estudiante-ou" son las OU.
En general, el motivo de esta falta de asignación de nombres duplicados a través de la colocación jerárquica de directorios es que Microsoft se basa principalmente en los principios de NetBIOS, que es un método de administración de objetos de red de espacio de nombres plano que, para el software de Microsoft, va todo el camino de regreso a Windows NT 3.1 y MS-DOS LAN Manager. Permitir la duplicación de nombres de objetos en el directorio, o eliminar por completo el uso de nombres NetBIOS, impediría la compatibilidad con software y equipos heredados. Sin embargo, deshabilitar nombres de objetos duplicados de esta manera es una violación de los RFC de LDAP en los que supuestamente se basa Active Directory.
A medida que aumenta el número de usuarios en un dominio, convenciones como "primera inicial, inicial del segundo nombre, apellido" (orden occidental) o al revés (orden oriental) fallan para los apellidos comunes como Li (李), Smith o Garcia. Las soluciones alternativas incluyen agregar un dígito al final del nombre de usuario. Las alternativas incluyen la creación de un sistema de identificación separado de números de identificación de empleado/estudiante únicos para usar como nombres de cuenta en lugar de usuarios reales. nombres y permitir a los usuarios nominar su secuencia de palabras preferida dentro de una política de uso aceptable.
Debido a que no pueden existir nombres de usuario duplicados dentro de un dominio, la generación de nombres de cuenta plantea un desafío importante para las grandes organizaciones que no se pueden subdividir fácilmente en dominios separados, como los estudiantes en un sistema de escuelas públicas o una universidad que deben poder usar cualquier computadora en la red
Grupos de sombras
En Active Directory de Microsoft, las unidades organizativas no otorgan permisos de acceso y los objetos ubicados dentro de las unidades organizativas no reciben privilegios de acceso automáticamente en función de la unidad organizativa que los contiene. Esta es una limitación de diseño específica de Active Directory. Otros directorios de la competencia, como Novell NDS, pueden asignar privilegios de acceso mediante la colocación de objetos dentro de una unidad organizativa.
Active Directory requiere un paso separado para que un administrador asigne un objeto en una unidad organizativa como miembro de un grupo también dentro de esa unidad organizativa. Confiar únicamente en la ubicación de la unidad organizativa para determinar los permisos de acceso no es confiable, ya que es posible que el objeto no se haya asignado al objeto de grupo para esa unidad organizativa.
Una solución común para un administrador de Active Directory es escribir un script personalizado de PowerShell o Visual Basic para crear y mantener automáticamente un grupo de usuarios para cada OU en su directorio. Los scripts se ejecutan periódicamente para actualizar el grupo para que coincida con la membresía de la cuenta de la unidad organizativa, pero no pueden actualizar instantáneamente los grupos de seguridad cada vez que cambia el directorio, como ocurre en los directorios de la competencia donde la seguridad se implementa directamente en el propio directorio. Estos grupos se conocen como grupos sombra. Una vez creados, estos grupos ocultos se pueden seleccionar en lugar de la unidad organizativa en las herramientas administrativas.
Microsoft hace referencia a los shadow groups en la documentación de referencia de Server 2008 pero no explica cómo crearlos. No hay métodos de servidor incorporados ni complementos de consola para administrar grupos de duplicación.
La división de la infraestructura de información de una organización en una jerarquía de uno o más dominios y unidades organizativas de nivel superior es una decisión clave. Los modelos comunes son por unidad de negocio, por ubicación geográfica, por servicio de TI o por tipo de objeto e híbridos de estos. Las unidades organizativas deben estructurarse principalmente para facilitar la delegación administrativa y, en segundo lugar, para facilitar la aplicación de políticas de grupo. Aunque las unidades organizativas forman un límite administrativo, el único límite de seguridad real es el propio bosque y se debe confiar en un administrador de cualquier dominio del bosque en todos los dominios del bosque.
Particiones
La base de datos de Active Directory está organizada en particiones, cada una de las cuales contiene tipos de objetos específicos y sigue un patrón de replicación específico. Microsoft a menudo se refiere a estas particiones como 'contextos de nombres'. El 'Esquema' La partición contiene la definición de clases de objetos y atributos dentro del Bosque. La 'Configuración' La partición contiene información sobre la estructura física y la configuración del bosque (como la topología del sitio). Ambos se replican en todos los dominios del Bosque. El 'Dominio' La partición contiene todos los objetos creados en ese dominio y se replica solo dentro de su dominio.
Estructura física
Los sitios son agrupaciones físicas (en lugar de lógicas) definidas por una o más subredes IP. AD también contiene las definiciones de conexiones, distinguiendo los enlaces de baja velocidad (p. ej., WAN, VPN) de los de alta velocidad (p. ej., LAN). Las definiciones de sitio son independientes del dominio y la estructura de la unidad organizativa y son comunes en todo el bosque. Los sitios se utilizan para controlar el tráfico de red generado por la replicación y también para remitir a los clientes a los controladores de dominio (DC) más cercanos. Microsoft Exchange Server 2007 usa la topología de sitio para el enrutamiento de correo. Las políticas también se pueden definir a nivel del sitio.
Físicamente, la información de Active Directory se mantiene en uno o más controladores de dominio del mismo nivel, reemplazando el modelo NT PDC/BDC. Cada DC tiene una copia de Active Directory. Los servidores unidos a Active Directory que no son controladores de dominio se denominan servidores miembro. Un subconjunto de objetos en la partición de dominio se replica en controladores de dominio que están configurados como catálogos globales. Los servidores de catálogo global (GC) proporcionan una lista global de todos los objetos del bosque. Los servidores de catálogo global replican en sí mismos todos los objetos de todos los dominios y, por lo tanto, proporcionan una lista global de objetos en el bosque. Sin embargo, para minimizar el tráfico de replicación y mantener pequeña la base de datos del GC, solo se replican los atributos seleccionados de cada objeto. Esto se denomina conjunto de atributos parciales (PAS). El PAS se puede modificar modificando el esquema y marcando los atributos para la replicación en el GC. Las versiones anteriores de Windows usaban NetBIOS para comunicarse. Active Directory está totalmente integrado con DNS y requiere TCP/IP—DNS. Para ser completamente funcional, el servidor DNS debe admitir registros de recursos SRV, también conocidos como registros de servicio.
Replicación
Active Directory sincroniza los cambios mediante replicación multimaestro. La replicación por defecto es 'pull' en lugar de 'empujar', lo que significa que las réplicas extraen los cambios del servidor donde se efectuó el cambio. El Comprobador de coherencia de conocimientos (KCC) crea una topología de replicación de enlaces de sitios utilizando los sitios definidos para administrar el tráfico. La replicación dentro del sitio es frecuente y automática como resultado de la notificación de cambios, lo que provoca que los pares comiencen un ciclo de replicación de extracción. Los intervalos de replicación entre sitios suelen ser menos frecuentes y no utilizan la notificación de cambios de forma predeterminada, aunque esto es configurable y se puede hacer idéntico a la replicación dentro del sitio.
Cada enlace puede tener un 'costo' (p. ej., DS3, T1, ISDN, etc.) y el KCC altera la topología del enlace del sitio en consecuencia. La replicación puede ocurrir transitivamente a través de varios enlaces de sitio en puentes de enlace de sitio del mismo protocolo, si el costo es bajo, aunque KCC cuesta automáticamente un enlace directo de sitio a sitio más bajo que las conexiones transitivas. La replicación de sitio a sitio se puede configurar para que ocurra entre un servidor cabeza de puente en cada sitio, que luego replica los cambios a otros DC dentro del sitio. La replicación para las zonas de Active Directory se configura automáticamente cuando el sitio activa el DNS en el dominio.
La replicación de Active Directory utiliza llamadas a procedimiento remoto (RPC) sobre IP (RPC/IP). Entre sitios, SMTP se puede usar para la replicación, pero solo para cambios en los GC de esquema, configuración o conjunto de atributos parciales (catálogo global). SMTP no se puede utilizar para replicar la partición de dominio predeterminada.
Implementación
En general, una red que utiliza Active Directory tiene más de una computadora servidor Windows con licencia. La copia de seguridad y la restauración de Active Directory es posible para una red con un único controlador de dominio, pero Microsoft recomienda más de un controlador de dominio para proporcionar protección de conmutación por error automática del directorio. Los controladores de dominio también son idealmente de un solo propósito para operaciones de directorio únicamente, y no deben ejecutar ningún otro software o función.
Ciertos productos de Microsoft, como SQL Server y Exchange, pueden interferir con el funcionamiento de un controlador de dominio, lo que requiere el aislamiento de estos productos en servidores Windows adicionales. Combinarlos puede dificultar la configuración o la solución de problemas del controlador de dominio o del otro software instalado. Por lo tanto, se recomienda que una empresa que tenga la intención de implementar Active Directory compre varias licencias de servidor de Windows, para proporcionar al menos dos controladores de dominio separados y, opcionalmente, controladores de dominio adicionales para rendimiento o redundancia, un servidor de archivos separado, un servidor de Exchange separado, un servidor SQL separado, y así sucesivamente para admitir las diversas funciones del servidor.
Los costos de hardware físico para los muchos servidores separados se pueden reducir mediante el uso de la virtualización, aunque para una protección de conmutación por error adecuada, Microsoft recomienda no ejecutar varios controladores de dominio virtualizados en el mismo hardware físico.
Base de datos
La base de datos de Active Directory, el almacén de directorio, en Windows 2000 Server utiliza el motor de almacenamiento extensible basado en JET Blue (ESE98) y está limitado a 16 terabytes y 2 mil millones de objetos (pero solo 1 mil millones de principales de seguridad) en la base de datos de cada controlador de dominio. Microsoft ha creado bases de datos NTDS con más de 2 mil millones de objetos. (El administrador de cuentas de seguridad de NT4 no podía admitir más de 40 000 objetos). Llamado NTDS.DIT, tiene dos tablas principales: la tabla de datos y la tabla de enlaces. Windows Server 2003 agregó una tercera tabla principal para instancias únicas de descriptores de seguridad.
Los programas pueden acceder a las funciones de Active Directory a través de las interfaces COM proporcionadas por Interfaces de servicio de Active Directory.
Confiar
Para permitir que los usuarios de un dominio accedan a los recursos de otro, Active Directory utiliza confianzas.
Las confianzas dentro de un bosque se crean automáticamente cuando se crean los dominios. El bosque establece los límites predeterminados de confianza, y la confianza transitiva implícita es automática para todos los dominios dentro de un bosque.
Terminología
- Confianza de una sola dirección
- Un dominio permite el acceso a los usuarios en otro dominio, pero el otro dominio no permite el acceso a los usuarios en el primer dominio.
- Confianza bidireccional
- Dos dominios permiten el acceso a usuarios en ambos dominios.
- Dominio fiduciario
- El dominio que se confía; cuyos usuarios tienen acceso al dominio de confianza.
- Confianza transitiva
- Una confianza que puede extender más allá de dos dominios a otros dominios de confianza en el bosque.
- Confianza intransitiva
- Una forma de confianza que no se extiende más allá de dos dominios.
- Confianza en los gastos
- Una confianza que crea un administrador. No es transitivo y es sólo de una manera.
- Confianza de enlace cruzado
- Una confianza explícita entre los dominios en diferentes árboles o el mismo árbol cuando una relación descendente/ancestor (niños/parentes) no existe entre los dos dominios.
- Ataque
- Se une a dos dominios en diferentes árboles, transitivos, uno o dos vías.
- Forest trust
- Se aplica a todo el bosque. Transitivo, uno o dos vías.
- Realm
- Puede ser transitivo o no transitivo (intransitivo), uno o dos vías.
- Externo
- Conectarse a otros bosques o dominios no activos del Directorio. No transitivo, uno o dos vías.
- PAM Trust
- Un fideicomiso único utilizado por Microsoft Identity Manager de un bosque de producción (posiblemente bajo nivel) a un bosque de 'bastion' (Windows Server 2016), que emite miembros de grupo limitados por tiempo.
Herramientas de gestión
Las herramientas de administración de Microsoft Active Directory incluyen:
- Active Directory Administrative Center (Introduced with Windows Server 2012 and above),
- Active Directory Usuarios and Computers,
- Active Directory Domains and Trusts,
- Active Directory Sites and Services,
- ADSI Editar,
- Usuarios y grupos locales,
- Ajustes de Schema Active Directory para Microsoft Management Console (MMC),
- SysInternals ADExplorer
Es posible que estas herramientas de administración no proporcionen suficiente funcionalidad para un flujo de trabajo eficiente en entornos grandes. Algunas herramientas de terceros amplían las capacidades de administración y gestión. Proporcionan características esenciales para un proceso de administración más conveniente, como automatización, informes, integración con otros servicios, etc.
Integración con Unix
Se pueden lograr diferentes niveles de interoperabilidad con Active Directory en la mayoría de los sistemas operativos similares a Unix (incluidos Unix, Linux, Mac OS X o Java y programas basados en Unix) a través de clientes LDAP que cumplen con los estándares, pero estos sistemas generalmente no lo hacen. interpretar muchos atributos asociados con los componentes de Windows, como la directiva de grupo y la compatibilidad con confianzas unidireccionales.
Terceros ofrecen integración de Active Directory para plataformas similares a Unix, que incluyen:
- PowerBroker Identity Services, antes Igualmente (BeyondTrust, anteriormente Igualmente Software) – Permite a un cliente no-Windows unirse a Active Directory
- ADmitMac (Thursby Software Systems)
- Samba (software libre bajo GPLv3) – Puede actuar como un controlador de dominio
Las adiciones de esquema incluidas con Windows Server 2003 R2 incluyen atributos que se corresponden lo suficientemente cerca de RFC 2307 como para que se puedan usar en general. La implementación de referencia de RFC 2307, nss_ldap y pam_ldap proporcionada por PADL.com, admite estos atributos directamente. El esquema predeterminado para la pertenencia a grupos cumple con RFC 2307bis (propuesto). Windows Server 2003 R2 incluye un complemento de Microsoft Management Console que crea y edita los atributos.
Una opción alternativa es usar otro servicio de directorio ya que los clientes que no son de Windows se autentican en este mientras que los clientes de Windows se autentican en Active Directory. Los clientes que no son de Windows incluyen 389 Directory Server (anteriormente Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directory y Sun Microsystems Sun Java System Directory Server. Los dos últimos son capaces de realizar una sincronización bidireccional con Active Directory y, por lo tanto, proporcionan un "desviado" integración.
Otra opción es usar OpenLDAP con su superposición translúcida, que puede ampliar las entradas en cualquier servidor LDAP remoto con atributos adicionales almacenados en una base de datos local. Los clientes que apuntan a la base de datos local ven entradas que contienen los atributos locales y remotos, mientras que la base de datos remota permanece completamente intacta.
La administración (consultas, modificaciones y supervisión) de Active Directory se puede lograr a través de muchos lenguajes de secuencias de comandos, incluidos PowerShell, VBScript, JScript/JavaScript, Perl, Python y Ruby. Las herramientas de administración de Active Directory gratuitas y de pago pueden ayudar a simplificar y posiblemente automatizar las tareas de administración de Active Directory.
Desde octubre de 2017, Amazon AWS ofrece integración con Microsoft Active Directory.
Contenido relacionado
Ciencia militar
USS Akron
Puesta en marcha del buque