Un bosque de Active Directory es el nivel más alto de organización dentro de Active Directory. Cada bosque comparte una única base de datos, una única lista global de direcciones y un límite de seguridad. De forma predeterminada, un usuario o administrador de un bosque no puede acceder a otro bosque.
Los bosques de AD se pueden utilizar para aislar árboles de Active Directory con datos específicos y dar autonomía al usuario para interactuar con los datos. Existen varios modelos de bosques AD, todos con ventajas y desventajas según las necesidades de la organización.
¿Cómo se crea un bosque de AD?
El primer paso para crear un nuevo bosque de dominio de Active Directory es instalar Windows Server. Después de hacerlo, es necesario implementar la función de servicios de dominio de Active Directory y la función de servidor DNS. Una vez instalados estos roles, el usuario puede promover el servidor a controlador de dominio.
Cuando se elige la opción de promover un servidor a un controlador de dominio, Windows inicia el Asistente de configuración de servicios de dominio de Active Directory. La pantalla inicial de este asistente ofrece una opción para crear un nuevo bosque. El usuario puede simplemente elegir esta opción, especificar un nombre de dominio raíz y seguir las indicaciones restantes.
Ventajas y desventajas de los bosques AD
La principal ventaja de crear un bosque de Active Directory es que el bosque actúa como un mecanismo centralizado para administrar y controlar la autenticación y la autorización en toda la organización. Los administradores pueden crear objetos de usuario (cuentas de usuario) dentro de Active Directory. Estos objetos de usuario actúan como principales de seguridad, lo que significa que Active Directory puede autenticar inicios de sesión.
Además, la configuración de la política de grupo se puede aplicar en varios niveles de la jerarquía de Active Directory para hacer cumplir las configuraciones de la cuenta de usuario o del equipo. Por ejemplo, la configuración de la política de grupo se puede utilizar para hacer cumplir los requisitos de complejidad y longitud de la contraseña para las cuentas de usuario.
CONTENIDO RELACIONADO ¿Qué es el tren de correo electrónico? - Definición de Krypton Solid
Los administradores también pueden crear grupos de seguridad dentro de Active Directory. Estos grupos de seguridad actúan como colecciones de objetos de usuario y juegan un papel importante en la seguridad de los datos. Los grupos de seguridad suelen estar vinculados a las listas de control de acceso asociadas con carpetas y otros recursos, lo que otorga permisos a los miembros del grupo.
Las desventajas incluyen vulnerabilidades de seguridad, como la posibilidad de una mayor explotación. Si bien el uso de un diseño de varios bosques podría ser una opción, no es seguro de forma predeterminada porque aún requiere la configuración de permisos y autenticación para cada bosque. Los diseños de bosques múltiples también aumentan los costos. Se recomienda consolidar los bosques de AD tanto como sea posible para reducir los costos.
Un ejemplo básico de cómo se configuran los bosques de Active Directory.
Modelos de diseño forestal
Los bosques de Active Directory se pueden construir de acuerdo con varios modelos arquitectónicos diferentes, que incluyen:
• Modelo de bosque organizacional
• Modelo de bosque de recursos
• Modelo de bosque de acceso restringido
El más simple de estos modelos es el modelo de bosque organizacional. En organizaciones más pequeñas, este modelo establece un único bosque de AD que contiene todos los recursos de la organización. Las organizaciones más grandes pueden tener un bosque de Active Directory independiente para cada departamento o división. La creación de varios bosques de AD proporciona un límite de aislamiento entre departamentos. Si se requiere colaboración entre departamentos, se puede crear una confianza a nivel de bosque.
Un segundo tipo de modelo forestal es el modelo forestal de recursos. En este modelo, las cuentas de usuario se crean dentro de un bosque organizacional. Los bosques separados se crean para acomodar los recursos relacionados con departamentos, divisiones o proyectos individuales. Estos bosques de recursos no contienen cuentas de usuario aparte de las necesarias para fines administrativos. En cambio, las relaciones de confianza permiten a los usuarios del bosque organizativo acceder a los recursos de los bosques de recursos. Los bosques de recursos son una buena opción para ayudar a aislar los problemas. Un problema de Active Directory que se produzca en un bosque de recursos no afectará a otro bosque de recursos debido a los límites de nivel de bosque que existen.
Un tercer modelo de diseño de bosque es el modelo de bosque de acceso restringido. Este modelo involucra varios bosques, sin relaciones de confianza entre ellos. Los usuarios de un bosque no pueden acceder a ninguno de los recursos de otro bosque. Este diseño se utiliza en entornos de alta seguridad porque crea límites de aislamiento extremadamente fuertes.
Diseño de AD de un solo bosque frente a varios bosques
Aunque varios modelos de diseño de bosques permiten la creación de varios bosques de Active Directory, dichos modelos son complejos y costosos de implementar. Normalmente, solo las utilizan las organizaciones más grandes.
Las organizaciones más pequeñas que desean tener estructuras algo similares, pero menos complejas, pueden crear un solo bosque con varios dominios secundarios. Estos dominios secundarios se pueden dedicar a un departamento, proyecto, división o recurso en particular. Se pueden crear fácilmente dominios adicionales según sea necesario para cumplir con los requisitos operativos y organizativos de la organización.
Mejores prácticas
Active Directory se diseñó para que un dominio o bosque pueda contener controladores de dominio que ejecuten una variedad de versiones de Windows Server. En un dominio, la configuración del nivel funcional del dominio determina la versión más antigua de Windows Server que se puede usar como controlador de dominio en ese dominio. De manera similar, el nivel funcional del bosque determina la versión más antigua de Windows Server que se puede usar en un controlador de dominio dentro del bosque.
Los niveles funcionales permiten que los controladores de dominio que se ejecutan en sistemas operativos más nuevos sean totalmente compatibles con los controladores de dominio más antiguos. Sin embargo, esto significa que algunos controladores de dominio que están configurados en un nivel funcional anterior no admiten funciones más nuevas hasta que se eleva el nivel funcional. Por ejemplo, un controlador de dominio de Windows Server 2019 con un nivel funcional de dominio de Windows Server 2012 actuará como un controlador de dominio de Windows Server 2012, y las características de Active Directory que se han introducido desde Windows Server 2012 no estarán disponibles. Como práctica recomendada, las organizaciones deben revisar periódicamente las versiones del sistema operativo de su controlador de dominio y aumentar los niveles funcionales del dominio y los niveles funcionales del bosque en consecuencia.
También existen las mejores prácticas en torno a la colocación de catálogos globales. Los catálogos globales ayudan con las solicitudes de inicio de sesión de los usuarios y las búsquedas de Active Directory. En un bosque de dominio único, cada controlador de dominio debe actuar como un servidor de catálogo global. Por lo general, este también es el caso de los bosques multidominio. Sin embargo, es posible que el usuario no designe un controlador de dominio como servidor de catálogo global si el controlador de dominio tiene restricciones de ancho de banda o si es el maestro de infraestructura del dominio (a menos que todos los controladores de dominio sean servidores de catálogo global o el bosque solo tenga un dominio).
