Un controlador de dominio

Un controlador de dominio es un servidor que gestiona la autenticación y autorización en un dominio de Windows.

¿Qué es un Controlador de Dominio?

Un controlador de dominio es un servidor que ejecuta Active Directory Domain Services y gestiona la autenticación, autorización y otros servicios de directorio.

Funcionalidades

Autenticación

  • Verificación de identidad: Verificar identidad de usuarios
  • Credenciales: Validar credenciales
  • Sesiones: Gestionar sesiones de usuario
  • Tokens: Emitir tokens de autenticación

Autorización

  • Permisos: Gestionar permisos
  • Grupos: Gestionar grupos de usuarios
  • Políticas: Aplicar políticas de grupo
  • Recursos: Controlar acceso a recursos

Servicios de Directorio

  • LDAP: Servicios LDAP
  • DNS: Servicios DNS
  • Kerberos: Autenticación Kerberos
  • Replicación: Replicación de datos

Tipos de Controladores

Primario

  • PDC: Primary Domain Controller
  • Funciones: Funciones principales
  • Replicación: Origen de replicación
  • Cambios: Aceptar cambios

Secundario

  • BDC: Backup Domain Controller
  • Funciones: Funciones de respaldo
  • Replicación: Recibir replicación
  • Cambios: Cambios limitados

Read-Only

  • RODC: Read-Only Domain Controller
  • Funciones: Solo lectura
  • Seguridad: Mayor seguridad
  • Ubicaciones: Ubicaciones remotas

Configuración

Instalación

1
2
3
4
5

# Instalar Active Directory Domain Services
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# Promover a controlador de dominio
Install-ADDSDomainController -DomainName "contoso.com" -InstallDns

Configuración Básica

1
2
3
4
5
6
7
8

# Crear usuario
New-ADUser -Name "John Doe" -SamAccountName "jdoe" -UserPrincipalName "jdoe@contoso.com"

# Crear grupo
New-ADGroup -Name "IT Admins" -GroupScope Global -GroupCategory Security

# Agregar usuario a grupo
Add-ADGroupMember -Identity "IT Admins" -Members "jdoe"

Políticas de Grupo

1
2
3
4
5
6
7
8

# Crear GPO
New-GPO -Name "Security Policy"

# Vincular GPO a OU
New-GPLink -Name "Security Policy" -Target "OU=Users,DC=contoso,DC=com"

# Configurar política
Set-GPRegistryValue -Name "Security Policy" -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System" -ValueName "DisableAutomaticRestartSignOn" -Value 1 -Type DWord

Seguridad

Autenticación

  • Kerberos: Protocolo Kerberos
  • NTLM: Protocolo NTLM
  • LDAP: Autenticación LDAP
  • Certificados: Autenticación por certificados

Autorización

  • ACLs: Listas de control de acceso
  • Permisos: Permisos de objetos
  • Grupos: Grupos de seguridad
  • Políticas: Políticas de grupo

Monitoreo

  • Eventos: Eventos de seguridad
  • Logs: Logs de auditoría
  • Alertas: Alertas de seguridad
  • Análisis: Análisis de comportamiento

Replicación

Tipos

  • Intrasite: Replicación dentro del sitio
  • Intersite: Replicación entre sitios
  • Urgente: Replicación urgente
  • Programada: Replicación programada

Configuración

1
2
3
4
5
6
7
8

# Verificar replicación
repadmin /showrepl

# Forzar replicación
repadmin /syncall

# Verificar conectividad
repadmin /replsummary

Monitoreo

Herramientas

  • Event Viewer: Visor de eventos
  • Performance Monitor: Monitor de rendimiento
  • Task Manager: Administrador de tareas
  • Resource Monitor: Monitor de recursos

Comandos

1
2
3
4
5
6
7
8

# Verificar estado del servicio
Get-Service ADWS

# Verificar replicación
repadmin /showrepl

# Verificar DNS
nslookup contoso.com

Mejores Prácticas

Seguridad

  • Hardening: Aplicar hardening
  • Parches: Mantener actualizado
  • Monitoreo: Monitorear continuamente
  • Backup: Respaldar regularmente

Rendimiento

  • Recursos: Asignar recursos apropiados
  • Monitoreo: Monitorear rendimiento
  • Optimización: Optimizar configuración
  • Escalabilidad: Planificar escalabilidad

Mantenimiento

  • Backup: Respaldar configuraciones
  • Documentación: Mantener documentación
  • Pruebas: Probar cambios
  • Actualizaciones: Aplicar actualizaciones

Conceptos Relacionados

Referencias