El controlador de dominio es el centro neurálgico de un dominio Windows, tal como un servidor Network Information Service (NIS) lo es del servicio de información de una red Unix. Conocido como Active Directory Domain Services (AD DS), es el servicio de directorio utilizado en los entornos de dominio de Windows y proporciona una estructura jerárquica y centralizada para la administración de usuarios, grupos, equipos y otros recursos de red[1].
AD DS almacena y organiza la información de los objetos de la red en una base de datos distribuida. Esto significa que los datos de Active Directory se replican en varios controladores de dominio en un dominio Windows. Cada controlador de dominio, que es un servidor específico, aloja y ejecuta el servicio de AD DS, mantienendo una copia local de la base de datos de Active Directory, lo que permite la redundancia y la alta disponibilidad de los datos. Esta base de datos contiene datos como los nombres de usuario, las contraseñas y los permisos de acceso.
El controlador de dominio asume diversas responsabilidades, y una de ellas es la autenticación, que consiste en verificar y permitir o denegar el acceso de un usuario a recursos compartidos o a otras máquinas dentro de la red. Este proceso generalmente implica el uso de contraseñas para validar a los usuarios y permitirles formar parte de la plataforma de clientes que recibirán servicios de información.
Para esto, cada controlador de dominio utiliza un Security Account Manager (SAM), o NTDS o TUPU en Windows Server 2003 (que es la versión mejorada del SAM cuando se utiliza como controlador de dominio), para mantener una lista de pares de nombre de usuario y contraseña. El controlador de dominio crea un repositorio centralizado de contraseñas que están asociadas a los nombres de usuario, lo cual resulta más eficiente que almacenar cientos de claves en cada máquina cliente para cada recurso de red disponible.
En un dominio Windows, cuando un cliente no autorizado solicita acceso a los recursos compartidos de un servidor, este último consulta al controlador de dominio para verificar la autenticidad del usuario. Si el usuario está autenticado, el servidor establece una conexión de sesión con los derechos de acceso correspondientes para ese servicio y usuario. En caso contrario, se deniega la conexión.
Una vez que el controlador de dominio autentica a un usuario, se genera un token de autenticación especial que se devuelve al cliente. Esto permite al usuario acceder a otros recursos en el dominio sin tener que iniciar sesión nuevamente, ya que se considera autenticado en el dominio.
Es importante destacar que AD DS y los controladores de dominio trabajan juntos para proporcionar una administración eficiente de la red. Cada controlador de dominio contiene una réplica de la base de datos de Active Directory, lo que garantiza la consistencia de los datos y la disponibilidad en caso de fallos.