Active Directory (AD) es el servicio de directorio de Microsoft que proporciona autenticación y autorización centralizadas para entornos Windows.

¿Qué es Active Directory?

Active Directory es una base de datos distribuida que almacena información sobre objetos de red como usuarios, grupos, computadoras y recursos, y proporciona servicios de autenticación y autorización.

Componentes Principales

Domain Controller (DC)

  • Controlador de dominio: Servidor que ejecuta Active Directory
  • Autenticación: Verifica credenciales de usuarios
  • Autorización: Determina permisos de acceso
  • Replicación: Sincroniza datos entre controladores

Domain

  • Dominio: Unidad administrativa básica
  • Namespace: Espacio de nombres único
  • Políticas: Aplicación de políticas de grupo
  • Seguridad: Límites de seguridad

Forest

  • Bosque: Colección de dominios
  • Trust: Relaciones de confianza entre dominios
  • Schema: Esquema global compartido
  • Global Catalog: Catálogo global de objetos

Organizational Unit (OU)

  • Unidad organizacional: Contenedor lógico
  • Delegación: Delegación de administración
  • Políticas: Aplicación de GPOs
  • Estructura: Organización jerárquica

Servicios de Active Directory

Autenticación

  • Kerberos: Protocolo de autenticación
  • NTLM: Protocolo legacy
  • LDAP: Lightweight Directory Access Protocol
  • SSO: Single Sign-On

Autorización

  • ACLs: Listas de control de acceso
  • Permissions: Permisos de objetos
  • Groups: Grupos de usuarios
  • Roles: Roles administrativos

Gestión de Identidades

  • User Management: Gestión de usuarios
  • Group Management: Gestión de grupos
  • Computer Management: Gestión de computadoras
  • Service Accounts: Cuentas de servicio

Estructura de Active Directory

Objetos Principales

  • Users: Usuarios del sistema
  • Groups: Grupos de usuarios
  • Computers: Computadoras del dominio
  • Organizational Units: Unidades organizacionales

Atributos de Usuario

1
2
3
4
5
6
7
8
9

# Atributos comunes de usuario
Get-ADUser -Identity "usuario" -Properties *
# Propiedades incluyen:
# - DisplayName
# - EmailAddress
# - Department
# - Title
# - Manager
# - MemberOf

Grupos de Active Directory

  • Security Groups: Grupos de seguridad
  • Distribution Groups: Grupos de distribución
  • Universal Groups: Grupos universales
  • Domain Local Groups: Grupos locales del dominio

Políticas de Grupo (GPO)

Configuración de GPO

1
2
3
4
5
6
7
8

# Crear nueva GPO
New-GPO -Name "Política de Seguridad"

# Vincular GPO a OU
New-GPLink -Name "Política de Seguridad" -Target "OU=Usuarios,DC=empresa,DC=com"

# Configurar política
Set-GPRegistryValue -Name "Política de Seguridad" -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System" -ValueName "DisableAutomaticRestartSignOn" -Value 1 -Type DWord

Políticas Comunes

  • Password Policy: Política de contraseñas
  • Account Lockout: Bloqueo de cuentas
  • Audit Policy: Política de auditoría
  • Security Settings: Configuraciones de seguridad

Seguridad en Active Directory

Autenticación Fuerte

  • Multi-Factor Authentication: Autenticación multifactor
  • Smart Cards: Tarjetas inteligentes
  • Certificate Authentication: Autenticación por certificados
  • Biometric Authentication: Autenticación biométrica

Protección de Cuentas

  • Privileged Access Management: Gestión de acceso privilegiado
  • Just-In-Time Access: Acceso justo a tiempo
  • Account Monitoring: Monitoreo de cuentas
  • Anomaly Detection: Detección de anomalías

Hardening

  • Least Privilege: Principio de menor privilegio
  • Regular Audits: Auditorías regulares
  • Patch Management: Gestión de parches
  • Monitoring: Monitoreo continuo

Herramientas de Administración

PowerShell

1
2
3
4
5
6
7
8

# Gestión de usuarios
New-ADUser -Name "Juan Pérez" -SamAccountName "jperez" -UserPrincipalName "jperez@empresa.com"

# Gestión de grupos
New-ADGroup -Name "Desarrolladores" -GroupScope Global

# Gestión de OUs
New-ADOrganizationalUnit -Name "IT" -Path "OU=Departamentos,DC=empresa,DC=com"

RSAT (Remote Server Administration Tools)

  • Active Directory Users and Computers: Gestión gráfica
  • Group Policy Management: Gestión de GPOs
  • Active Directory Sites and Services: Gestión de sitios
  • ADSI Edit: Editor de ADSI

Terceros

  • ADManager Plus: Herramienta de gestión
  • Quest Active Roles: Gestión avanzada
  • ManageEngine ADManager: Solución empresarial
  • SolarWinds Server & Application Monitor: Monitoreo

Monitoreo y Auditoría

Eventos de Seguridad

  • Logon Events: Eventos de inicio de sesión
  • Logoff Events: Eventos de cierre de sesión
  • Account Lockout: Bloqueo de cuentas
  • Privilege Escalation: Escalación de privilegios

Herramientas de Monitoreo

1
2
3
4
5

# Consultar eventos de seguridad
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Select-Object TimeCreated, Id, LevelDisplayName, Message

# Monitorear cambios en AD
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4732} | Select-Object TimeCreated, Id, LevelDisplayName, Message

SIEM Integration

  • Splunk: Integración con Splunk
  • QRadar: Integración con IBM QRadar
  • ArcSight: Integración con ArcSight
  • LogRhythm: Integración con LogRhythm

Troubleshooting

Problemas Comunes

  • Authentication Failures: Fallos de autenticación
  • Replication Issues: Problemas de replicación
  • DNS Issues: Problemas de DNS
  • Time Synchronization: Sincronización de tiempo

Herramientas de Diagnóstico

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# Verificar replicación
repadmin /showrepl

# Verificar DNS
nslookup dominio.com

# Verificar tiempo
w32tm /query /status

# Verificar conectividad
ping controlador-dominio

Mejores Prácticas

Diseño

  • Single Domain: Un solo dominio cuando sea posible
  • OU Structure: Estructura lógica de OUs
  • Naming Convention: Convenciones de nomenclatura
  • Documentation: Documentación completa

Seguridad

  • Regular Audits: Auditorías regulares
  • Principle of Least Privilege: Menor privilegio
  • Monitoring: Monitoreo continuo
  • Training: Formación del personal

Mantenimiento

  • Backup: Respaldos regulares
  • Updates: Actualizaciones regulares
  • Monitoring: Monitoreo de rendimiento
  • Documentation: Documentación actualizada

Conceptos Relacionados

Referencias