administración de dominios.pdf

..

' -U.T.3 "Administración de Dominios"

8.- BIBLIOGRAFÍA

• 11 lmplantación de Sistemas Operativos". Ed. Ra-ma. José Luis Raya Cabrera, Laura Raya González.

• 11Sistemas Informáticos Multiusuario y en Red". Ed. McGraw Hill, Francisco Javier Muñoz López.

• Wikipedia

l Q C.F.G.S. Administración de Sistemas Informáticos en Red Pá gina 53

U.T.3 "Administración de Dominios"

• No confiar este equipo para la delegación. Si activamos esta casilla, estaremos indicando que no se permite delegar ningún servicio en este equipo.

• Confiar en este equipo para la delegación de cualquier servicio... si activamos esta casilla, indicaremos que se permite la delegación a servicios únicamente con el protocolo Kerberos (para ver más información sobre este protocolo, entrar en el siguiente enlace: http:/[es.wíkipedia .org{wiki/Kerberos).

• Confiar en este equipo para la delegación sólo a Jos servicios especificados. Al activar esta casilla, estamos indicando que se permite la delegación a servicios concretos a este equipo. Indicamos entonces si lo hacemos únicamente con el protocolo Kerberos o con cualquier protocolo de autenticación. Entrando en Agregar, podremos seleccionar los servicios en los que queremos permitir la delegación.

• Expandido. Si activamos esta casilla, veremos todos los nombres principales de servicio que están asociados al servicio seleccionado para la delegación.

En la ficha Ubicación, veremos una pantalla en la que podremos indicar el lugar dónde se encuentra el equipo.

En la ficha Administrado por, veremos (igual que en el caso de los grupos), el usuario o grupo responsable de la administración de este equipo y sus datos. Podremos cambiarlo, borrarlo .. .

En la ficha Marcado, veremos una pantalla en la que se podrá configurar el uso del Acceso telefónico a redes del equipo. No es objeto de este temario.

En la ficha Seguridad, podremos configurar Jos permisos sobre este equipo.

7·3·- Cómo eliminarlos.

Para eliminar un equipo del dominio, simplemente, abrimos su menú contextua!, y seleccionamos Eliminar.

12 C.F.G.S. Administración de Sistemas Informáticos en Red Página 52

' .

' . U.T.3 "Administración de Dominios"

Donde crearíamos el equipo. Lo único que deberíamos tener en cuenta al crear la cuenta, es que luego tendríamos que configurar el cliente con la cuenta que ya tenemos creada.

7.2.- Cómo modificarlos

Para modificar las cuentas de equipo o hacerlas miembro de algún grupo, debemos abrir el menú contextua! del equipo en cuestión, y entrar en sus propiedades.

En la ficha General, vemos todos los datos del equipo, y podremos indicar la descripción del mismo en función de lo que consideremos necesario.

Si entramos en la ficha Sistema Operativo, encontraremos la información sobre el sistema operativo que tiene instalado el cliente en cuestión.

En la ficha Miembro de, veremos a qué grupos pertenece, y podremos agregar si queremos que pertenezca a algún grupo más.

En la ficha Delegación (únicamente en Windows Server 2008), encontramos el siguiente cuadro de diálogo:

1º C.F.G.S. Administración d e Sistem as Informát icos en Red Página 51


7.1.- Cómo crearlos.

Normalmente, cuando unimos un equipo a un dominio, se crea una cuenta para él de forma automática en la carpeta correspondiente, de acuerdo con la tarea que va a realizar y con los permisos necesarios. Vamos a comprobar en nuestra carpeta Computers que efectivamente está el equipo que hemos configurado como cliente para realizar las prácticas.

~ Usuarios -,· eq.Mpos de Active Direcf fÑóffi&e: ·~-:"#~"""· :f;".; ..... .t~~ ·~! "li ~:-;~e ~¡.;.~f;{~J.»--~~4? •~

ffi '.:::;¡ COilSUtasgu.,.cl<>das • El ~ !ASIROOS.Iocol

~ Buitin

¡:J ~iiiS'l {tl !~ Domain Controlers [+J [:;) ForeignSetuntvPrinclpals !±1 g LostArd'OU"Jd

Vemos que se ha creado de forma automática, al añadir el equipo al dominio. Si queremos crear un equipo nuevo, abrimos el menú contextua! de la carpeta correspondiente y le damos a Nuevo, Equipo

De esta forma, nos aparece el siguiente cuadro de diálogo:

111 C.F.G.S. Administración de Sistemas Informáticos e n Red Página 50


OTRAS OPERACIONES CON LOS GRUPOS.

Podremos Cambiar el nombre, Mover, Eliminar, Enviar un correo al grupo, simplemente abriendo su menú contextua!, dónde veremos todas las opciones posibles con dicho grupo.

z.- LOS EQUIPOS

' . U=rios y eQUipos de Active !l3 ~;::¡ Consultas 9U"'dadas B ~ !ASIRDOS.locol

:;:j &.iltn

&3 G.'.j COfri>U!er> ill ~ Clofnúl Conlrollers lB id For olgnSorurityl'rindpols

lB i::J losiAndFO<XId

!Jl ~·.:1 Pr~ Data ¡;¡ ;::'l Symm

~~j~ t!1 ~ tflOS Quotbs

Las cuentas de equipo, representan a un equipo y se denominan (como ocurría con los grupos) principales de seguridad en el directorio activo, ya que son objetos del Directorio Activo, a los que se asignan automáticamente identificadores de seguridad para iniciar sesiones en la red y tener accesos a los recursos.

Una cuenta de equipo permite iniciar sesiones en dominios con una identidad que se puede autentificar y autorizar para tener acceso a los recursos del dominio. Cada equipo que se conecta a la red, debe tener su propia cuenta y se utiliza para:

../ Autentificar la identidad del equipo .

../ Autorizar o denegar el acceso a los recursos del dominio .

../ Administrar otros principios de seguridad .

../ Auditar las acciones realizadas con la cuenta de equipo.

A una cuenta de equipo se le pueden conceder permisos y derechos para el dominio donde se está creando. Debe crearse en Active Directory y se guarda en equipos que sean controladores de dominio.

Cuando instalamos el Directorio Activo, se han creado dos carpetas para almacenar las cuentas de equipo, lo que no significa que no se puedan almacenar en otras carpetas. Las creadas en la instalación son: Domain Controllers, en la que se almacenarán todas las

cuentas de los equipos que sean controladores de dominio, y Computers, en la que se almacenarán todas las demás cuentas de equipos.

1º C.F.G.S. Administración de Sis temas Informáticos en Red Página 49


En la ficha Seguridad, establecemos los permisos sobre ese grupo:

Y en la ficha Editor de Atributos, encontramos el detalle de los atributos configurados para el grupo con el que estamos trabajando.

1!! C.F.G.S. Administración de Sistemas Informáticos en Red Página 48


Donde encontramos los usuarios, equipos, otros grupos ... que pertenecen al grupo que estamos modificando. La forma de agregar objetos al grupo, es entrando en Agregar, de la misma forma que lo hacemos siempre.

En la ficha Miembro de, se ve una pantalla que muestra los grupos a los que pertenece el grupo seleccionado. Igual que en la pantalla anterior, podremos agregar los grupos a los que queramos que pertenezca el grupo seleccionado.

Si entramos en la ficha Administrado por, veremos la siguiente pantalla:

Donde indicaremos el usuario o grupo responsable de la administración de este grupo y sus datos. Podremos cambiarlo, modificarlo o borrarlo, entrando en Cambiar.

En la ficha Objeto, vemos la siguiente pantalla, que nos muestra información sobre el objeto y podremos protegerlo de Elimi~nación accidental.

1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 47


3 Ueuarios y e¡;¡-..ipos de Active t'Wed1 (~··,.:'!! · ~~,..~;._:;~~r<¡.t~~ ·-1$ · .... : • -~~~~ • . .,t',(f1 .. <;:...~!;. {':_~" \n,.t. ~ ·en~ .• , . ~i¿'g'~tJ.~rl(··~ - · ~r.~~~Jl ~ .. ::,·::-

ffi ~.:J Consultas OU!tdad~s Adn"i11st'ador U5uario c~.l~ i'lt~ada p.!~:" a~ adm:n:slrad ... S ~ ~-~41 . .a.t, A~tradores de t "ll'e&s: Gn..¡lo !k~~ · I..Wver"'AI A.c;br.b:tradote:s ~esiQnaCos de 1& ctr~ •..

l_j flultln . ~-~ad:><es do.,,...,. Gl\o>O de Sc...,;ciad • -.rsaJ A~Udot<S desi;>n>do> del._ ... ~ ~~ Cor.-outer!O 1 ~Aitr.~s.de!domho Gt\.c)Ode~d·Gbbal Admilist6dore5óe~def~ ft tF...l ~in Conu-ones a\Controledores :h~ dor.'lln:o Gt\c)o Gc ~¡p0d ·~1 Tod.·•s bscontrole<:b"es de dooir'io d ... !!.l ~ ForeionS~~ &\eontrol6d:>~t:S dt domino de. .. Gf\4'0 de ~~d · C-k\bal l~ riert"b'os de: este Ql"t4?0 son cont ..•

: ~ ~::::: . ~""'- Gno>odo~ · Oonnc.loc.ol G=odo - .. adotcs dc0t6 !!l .• ~1 5,_.,., ¡ li3,0n<Updat<f'n>lty ~dc~d ·Giobal Oent.sri<Sq.JI! Iiot\en-opano ...

~"!:- '· a. B-1MA ......... 8-12'J NTCSQuotas: ': ai.Entefpiu! Oocr.mContro~ ... Cii\4:X)~ segut:tbd•Lmi~~ Lcs rriembros d~e:SteQIWO SCfl a:nt .. . : ~~do!- ~<ie se;u-odad · Giobal Tadaolos..,..;,es yes....,.,..de .. . !&~toPere: l.Jsulrio

, li!.Cowodcr.,,c.o.!n dc a>nt ... Gno>oóe .......,lld·Domno loc.ol los lriembros deeste ¡¡'\.llQ roPtJ<d .. . .!!!.~o de repbd6ndc t0<1l .. ~deS<QU'odad ·!)ornO'joloc.ol Los n; erubrosde eslogr-puedenr .. . ~11Mt6do U5u.Y1o ~t. r'ltc9'od, p.wa ei6CCCSO c:om .••

: ~lm<".adosdodom..... Gn.,>odo-- · Giobal Todos los..,1tedosdel-. ~bl de: S«VVdd de ~'tro de ~st:l ...

t g¿~I~.t!!.9JS1irz-t~f~~~~~~.r~~f'~~,- .~'1:~~i!~~:~tYt;E~'T':Bl?i~~i

~f'roolelark>s del aeadot.:. d. .. Gno>o de seQL<idod • Glo!>al Los -os do cste QnC10 pueden .• , ,'il.~Ht-IOI"Cnr-. ..W. ~WN4r.c r.n~~ c-..W\aA . ,......,.,._WN 1.-.c~rilo ~d• ITIII'Y"On~

COMO MODIFICARLOS. Para modificar un grupo del tipo y del ámbito que sea; añadir grupos y/o hacer miembro

a los grupos de otros grupos, seguimos los pasos siguientes:

1.- Abrimos el menú contextua! del grupo que queremos modificar, y seleccionamos Propiedades, donde vemos el cuadro de diálogo siguiente:

En la ficha General, encontramos los datos referentes a la definición del grupo; también podremos añadir las notas que consideremos necesarias, que expliquen para qué se utiliza el grupo, o cualquier aclaración que se considere necesaria.

En la ficha Miembros, encontramos la siguiente información:

1 º C.F.G.S. Administración de Sistemas Informáticos en Red Página 46


Gr\c)odes~·UMerwl

Gn.code ~ ·ünft•~nl 6<\ClOdt- · Gid>al Gru;»dr u:~ ·G&obel

!llibCor.b"'-'do<es""o"'"'"''"'··· ~dt .. ~·GI<bol Gr.,. dt "'>'ódod. ll«rinOioal Gri.IPOdt~ · Qt-b.tl

CUenb inttvade P«il .. acirr.inbtra:i .•.

4drnH!:itJacior.-s~deLi ern. ••

~b'edccudts;¡gt'l6m6elem ...

- • .., .. ~cidTodos los CDnVdflcb'lt~ de: d:ftHo eJ... los ~ll'b'e» de estt Qn0 soo cant ... Gt~dc ~trW,)fe dtONS Cien~~- or.:s qut tltl".et\per!NfO ~ra .•.

LOJ; ~'lbl'osdc f't1~ 91'~ IOl"' tOI"lt. ..

T(ldeJ los 'erJicb'es v est&cbncs Ce .•.

l oo:; r*n".twos de estt: 0'\.c:o no p.otd •..

Lo~ riefrbros dteru: 9:-'UPO puedenr ... Cotn".a W\leQ!'id.i p.IW6 et MCHO Cor:'l ...

T~bsno.'bdosde:!~

C~deUI'W".JOdittent:o-M~ ••

• ~;;;¡¡;¡;l.d:<<~.~ r··· Go't4'Qdtsr.utdtd ·~ !..M~osde~t:t~tu::den ..• Gru::lode:~ · Ootrmiocal los ll'~o.sdf:nlt:;rupop.Jiedcn ... UOJorlo

Grupo ele tewurid&d- Oori"~ loQol L~ ft:r•tkf«n de este g1.100 p¡.ocdtn, •. 6roJpOdeseguid~· Giob.n1 Todoslos u~Ua~"lotdelc!Of!V1Io

Nos aparece el cuadro de diálogo siguiente:

Ponemos nombre a nuestro grupo; seleccionando el tipo de grupo que queremos crear y el ámbito del mismo, en función de Jo que hemos visto en apartados anteriores.

• Nombre del grupo. Puede tener hasta 64 caracteres y puede incluir mayúsculas y minúsculas.

• Nombre del grupo (anterior a Windows 2000). Corresponde al nombre que aparecerá en un sistema operativo anterior a Windows 2000 y puede incluir también mayúsculas y minúsculas.

• Ámbito del grupo. Visto en apartados anteriores. • Tipo de grupo. Indicamos si el grupo es de seguridad o de distribución, como hemos

visto en apartados anteriores.

Una vez rellenados los campos, al darle a aceptar, se crea un grupo que no tiene ningún miembro.



• Grupos creados en la carpeta Users. Pertenecen al tipo dominio local, globales o universales, y si se accede a ellos, en el apartado Descripción, se muestra su utilidad.

Usuarosy

!Ew c.....- ....... -8 ¡fi~ J.ASIROOS.bc.el

l:.i B'Mn ~ w ~ter· ~! ¡;r, DoMai> con .. -. f:9 ~ ~eq¡Se06•t'\~ &1 ¡J lostAn<l'oln:t rtl 11! Pl"C!9f'6m Oobt @ W SY'~'

¡,j~ @ :~::1 NTOS Quot21s

~~~~e~~~~~~~~~~ Cruood< ._;.¡.,¿ ·ln•·ersol ~lldo< .. de~ di! la ....... Gn.lJ)O de s~d ·l.Jr'ive-fA! AdrnMtndores d~do$ dtl es""··· Grwo de $Qlídad • Globol Adonmulldo<., d~clo. dd doo,.... Gn.<>o de ,...nlod · Qoba! Todos los mnu-.s di! domo1o d ...

~c:oo .. ,...., .. ,de<icnW>ode ... Cruoodts~ ·Gioblll Los-oode..-..,gnc>e><onconl .. Grupo de·~· Oomno locel G!L.'PO de ~dmilístredorc~ de OHS GruDo de-~tdad ·Global "triles DNS que tsenen penn.."SS Pl!ro .•• ..,._

Cr\4)0 de S~gul' idod • Global

Usuorio

los ~os ót este g'\4)0 son ml\t. .•

TodM tos strYidores y e.sQdt'l"'es de ...

Gru;>o óe s~ • Oomrio klall Los mien'brcn de es~ Of\!PO no ~d •.•

GnJpo ~ ~-~k;QI los tnletnbros: de est~e-vupo pvcden r ..• UsiJliOO C~Jentant:ec;rada:Jaraete~mm .•.

~de segurdad · Global Todos los ~todos def dominio

UsUIIflO CUc:r.ta de seni Oo de cenb'o de- W tl'i .••

u.uario

l.lsuario

IJs;.JOrio

LoJ ,....os de este. vupo pueden •.. L05 rriembros de: ~.A! 17\41'0 puedM ...

Grupo ú ~ · Oomir~ leal los ~es dt ~tf' ~ puedm .•. c...po de se~d • Qoblll Todos los usUO<los dd dorrorio

6.3.- Los grupos globales, universales y locales de dominio.

Son cuentas a las que se pueden conceder permisos y derechos en el Directorio Activo, creadas en equipos que disponen de Windows Server, que sean controladores de dominio.

COMO CREARLOS

Para crear grupos globales, universales o de dominio local, debemos seguir los siguientes pasos:

1.- Entramos en Usuarios y equipos de Active Directory dentro de las Herramientas Administrativas.

2.- Abrimos el menú contextua! de la carpeta del dominio en la que queremos crear el grupo, seleccionamos Nuevo, Grupo.

1 Q C.F.G.S. Administración de Sistemas Informáticos en Red Página 44


• Grupos locales. Estos grupos únicamente pueden crearse en equipos que no tienen instalado Active Directory. Pueden tener como miembros cuentas locales del equipo en el que se crean y, si el equipo forma parte de un dominio, podrán tener también cuentas y grupos del propio dominio y de los dominios de confianza; también pueden utilizarse para conceder permisos en el equipo en el que se crea el grupo.

6.1.- Cambiar el ámbito de un grupo.

Al crear un nuevo grupo, éste se configura de forma predeterminada como grupo de seguridad de ámbito global, independientemente del dominio. Se podrán realizar los siguientes cambios de ámbito de un dominio:

• De global a universal. Esta conversión sólo se permite si el grupo global que se desea convertir NO es miembro de otro grupo de ámbito global.

• De local a universal. Será posible esta conversión, si el grupo de dominio local que se va a convertir no tiene como miembro a otro grupo de dominio local.

• De universal a global. Esta conversión sólo se permite si el grupo universal que se desea convertir no tiene como miembro otro grupo universal.

6.2.- Cuentas de grupo creadas en la instalación.

Los grupos se utilizan para agregar usuarios, grupos o equipos de forma que se les puedan asignar, más fácilmente, privilegios y hacer más sencilla su administración. Por tanto, se puede incorporar un usuario, grupo o equipo a uno o a varios grupos teniendo, en cada uno de ellos, unos permisos determinados que le permitirán realizar distintas funciones.

Cuando se instala el sistema ope rativo, y se instala Active Directory, se crean distintos grupos de forma predeterminada:

• Grupos creados en la carpeta Builtin. Pertenecen al tipo integrado local y si se accede a ellos, en el apa rtado Descripción, se muestra su utilidad.

~~)· e:~dc- t.ctr~ ·

~~·., ~ lf.: -~ Dan.&in Cc.nlrokrs 5 3 ~Ote9f&Cu11~ ~ -.~J l::-sW4o..nd l~J ·. :~i Procr~ Datl! ¡¡¡ ~.: Svstem

.. :'J L!serr; ¡j.J ·;:_"] tffi>S~W

..,. . :X .

! ~Adm!nlsttl!ó::'fes: Gru;» de se;¡urL. LM _,dmlrm rtdore' tien:n &o:eso cOtrPe:bv Sin rcstnco. t ~Cer~~ ~ DCOM Access Gt\.lpo dt '~"'"'"L. taos,~ de. este gn..p:~ 'e i)Vedtn e~ a entid.l. ' Jitereac:besde ::onbnll. dt bosque d •.• (;rvpo de &oepo!i. . . lot Mlen'bros de Hte; ~p....tdtncrew coobnu. dt t .

a~~ Grupode Sot-pLñ . •. ~rtdic.v ~d-~J, efl t6'1domhio . $JGr..ooc!e P.C~s3M autr.nzbC'ál dt .. . Gn~cle~ ... lt-S~osdrestc ;r-.JpO tlentacceso 61 tbtxJtc>toke:. .. 8¿ns_n.'5RS Qwo de u ;¡u;... Gn.l)o n~odo usado PO< lnttmen, formoton S.l\1i:<s. l ~In~ Ciruoo deseyuri ..• Deforma :;lftdcttnr~,los iwilbdos~elmismoa. , ~LKWr~ del re¡;stro dt tvtn~ ~de ~9'..xi... L~ IJ'I!embrCK de: ~te c;;r~ puederl loter rt'Cistros de t\'e . ' ~Optndotrs o1ps~jficot 1;t\¡po de:seQ0!1. .. los rrWmbros~aut::!rltedón1*'J.re~har~rlldoll .•

.te.Opttadotcs :St con§~.ción6e rt"d C".n.:po de~· ·· l~ mle:riJrosen t skeWpop.Jeden ~, ~ poio.i . •

. atOperadores de-<opiack~ Gn.!pode~ ••• l050Pefd:wts de~dt ~OUtdt::nn-.. eklorr .• , ~Oocrs-.de o.cnbls Cir\lpode~ ... \CI1md'llbrw~~tr• cumt.sdt 1..$.0.1oy d .• f ~Opcts.de impesión G\.-pode~QUñ ... P'velkt'l~tr«~~M~do:'nioio f 5!0pe:r~. de ~1idores Gr\rpo de St QIXI... LM mit~O$ ~ eérnMb'ar wvidCJres del dominio

' ~~v'.cb-ts ót: lleendu de:Terml':tal S... Gtvpo de ~p-si.. . L011 miembros deo ~te gn.p:~ J)I.Jtden KtualrM las ruentA. Á3,~ Crupodc: ~gurt . .• lot ~N>p;Jeden~~~.cclden~ o nt.. S!,.Usua.i:i: COM dsti:Ju1dos GfWIO dt ~- .. l~ ~:rbros ~~ Q::::ie, ~fl y ;..nr o'J)ebs de C ••

1 ~I.HIA."bs clee~~rtll'Cto Gn.'PO de se;vi ..• A~nertb'os dte:s:te ~ct~concedte~e<ro .. •. R¿. utu61'ios ddn-:ñ tOI' dt Glsten& Q\.oO dt ::.t;ui... l M t:'lot:fl'titOS de rstc IQn.(IO be:netlaaz:~ a bs dotos de{. ! ~Usuillli:H: det u:gs tro dt r~~mlo Crv;xl de ~cQUii... L~ mitn-.brw de este 91-00 puede:') pr~ama~ Qllu.da • •

1!! C.F.G.S. Administración de Sistemas Informáticos en Red Página 4 3


En Windows server, podemos encontrar dos tipos de grupos:

• Grupos de seguridad. Son los grupos sobre los que vamos a definir permisos sobre los recursos y los objetos. Se usan para asignar derechos y permisos.

• Grupos de distribución. Son grupos en los que no es posible habilitar la seguridad. Estos grupos, sólo se pueden utilizar con aplicaciones de correo electrónico, para enviar correo electrónico a los grupos de usuarios y no para asignar derechos ni permisos.

En cualquier momento, podemos convertir un grupo de seguridad en un grupo de distribución y viceversa.

Cada grupo de seguridad o de distribución, tiene un AMBITO que identifica el alcance de aplicación del grupo. Se clasifican en cuatro tipos en función de su ámbito de aplicación:

• Grupos de ámbito universal. Este tipo de grupos, que únicamente puede crearse en servidores que tengan instalado Active Directory, puede tener como miembros a otros grupos universales, grupos globales y cuentas de cualquier dominio y se le pueden conceder permisos en cualquier dominio. Se utilizan para asignar permisos a recursos relacionados en varios dominios. Un grupo

de ámbito universal tiene las siguientes características: ./ Pertenencia abierta: Se pueden añadir miembros desde cualquier dominio .

./ Acceso a recursos en cualquier dominio. Se puede utilizar un grupo universal para asignar permisos para acceder a los recursos que están ubicados en

cualquier dominio.

• Grupos de ámbito global. Este tipo de grupos, sólo puede crearse en servidores que tengan instalado Active Directory. Pueden tener como miembros a grupos globales y cuentas únicamente del dominio en el que se ha definido el grupo, y se le pueden conceder permisos en cualquier domino. Se utilizan frecuentemente para organizar los usuarios que comparten requisitos de acceso similares a la red . Un grupo global tiene las siguientes características:

./ Pertenencia limitada: Se pueden añadir miembros solamente desde el dominio

en el cual se ha creado el grupo global.

./ Acceso a recursos en cualquier dominio: Se puede utilizar un grupo global para asignar permisos para acceder a los recursos que están ubicados en cualquier dominio.

• Grupos de ámbito local de dominio. Sólo pueden crearse en servidores que tengan instalado Active Directory. Se utilizan frecuentemente para asignar permisos a los recursos. Un grupo local de dominio tiene las siguientes características:

../ Pertenencia abierta: Se pueden añadir miembros desde cualquier dominio .

./ Acceso a recursos en un dominio: Se puede utilizar un grupo local de dominio

para asignar permisos para acceder solamente a los recursos que se ubican en el

mismo dominio donde S(~ ha creado el grupo local de dominio.



Los perfiles del usuario contienen la configuración de escritorio y otro tipo de información relacionada con su cuenta de usuario. Se puede crear un perfU diferente en cada equipo o seleccionar el mismo perfd móvil para todos los equipos que se utmcen

E_erfaes almacenados en este equipo:

CUENTEUNO\Administr. .. 1,01 MB l ocal local

Para crear nuevas cuentas de usuario, abra Cuentas de usuario en Panel de control.

Aceptar J 1 Cancelar

CÓMO ASIGNAR UN PERFIL SÚPER-OBLIGATORIO A UN USUARIO

Es similar a los perfiles obligatorios que acabamos de ver, pero solamente están disponibles para equipos cuyo sistema operativo es Windows Vista, o Windows 7

6.- LOS GRUPOS

Las cuentas de grupos representan a un conjunto de usuarios dentro del Directorio Activo. Son objetos del Directorio Activo, y se les asignan automáticamente una serie de identificadores de seguridad.

En definitiva, un grupo es una colección de cuentas de usuario. Los grupos simplifican la administración permitiendo asignar los permisos y derechos a un grupo de usuarios en lugar de tener que asignar los permisos a cada cuenta de usuario individual. los usuarios pueden ser miembros de más de un grupo.

Nuevamente, debemos tener muy clara la diferencia entre permisos y derechos. Cuando se asignan permisos, se da a los usuarios la capacidad de acceder a recursos específicos y se define el tipo de acceso que tienen. Por ejemplo, si varios usuarios necesitaran leer el mismo archivo, se añadirían sus cuentas de usuario a un grupo. Entonces se dará a ese grupo el permiso de leer el archivo. Los derechos permiten a los usuarios realizar tareas de sistema, tales como cambiar la hora en un equipo, rea lizar copias de seguridad o restaurar archivos, o iniciar una sesión localmente .

12 C.F.G.S. Administración de Sistem as Informáticos en Red Página 4 1


lj¡ Documentos

~ Imágenes fJif Música

{!f Cambiados reóentem ...

m Búsquedas

~ Acceso público

~~- Datos de programa

. !~~~ Elementosreóentes · Ú Entorno de red

J) Escritorio

.;tlFavoritos

J :~ Impresoras J)·Menú !nido

J~ Mis doCUfl)entos

.t· Plantillas

29/01/2fJ12 21:29

2S{Ol/'l012 21:29 26/01/2fJ12 22:16

29/01/XJ12 21.:30

29/0l/2012 21:29

26/01/2012 22:16

26/0 1/2JJ 12 22: 16

29/0l/2JJ12 21:29

26/01/2012 22:21

Carpeta de archi. ..

Carpeta de ardlí ... Carpeta de archi •..

Carpeta de archi ... Carpeta de archi •. .

Carpeta de orchi ...

Carpeta de archi .. •

Carpeta de archi ...

Carpeta de archi. . .

29/01/201221:30 Opdonesdecon .. , lKB

Al cambiar el nombre, nos aparecerá el siguiente cuadro de diálogo:

Hacemos clic en Si. En este momento, el perfil ya es obligatorio.

Accedemos con el usuario en concreto desde el equipo cliente, y posteriormente, si queremos comprobar que efectivamente dicho usuario tiene un perfil obligatorio, como Administrador, en el equipo cliente, vemos desde las propiedades de Mi pe, los perfiles de usuario que han entrado al sistema:



CÓMO ASIGNAR UN PERFIL OBLIGATORIO A UN USUARIO

Si lo que queremos es que un usuario pueda acceder desde cualquier equipo conectado al dominio, pero que no pueda realizar ningún cambio en su perfil (realmente podrá real izar cambios, pero no permanecerán cuando dicho usuario apague el equipo)¡ lo que tendremos que hacer es asignarle un perfil obligatorio.

Para asignar un perfil obligatorio, en primer lugar, tendremos que crear un perfil móvil cómo acabamos de ver en el apartado anterior, y acceder desde el equipo cliente como ya hemos visto.

Una vez que tenemos las carpetas correspondientes al perfil del usuario creadas en el servidor, como vemos en la siguiente imagen (os recuerdo que si no se ven todas las carpetas, debemos entrar en Herramientas, Opciones de carpeta, y marcar o desmarcar las opciones adecuadas para ver todas las carpetas, documentos y sus extensiones.):

~ Documentos .~e Datos de programa 29/01/2D12 21,29 Carpeta de archí ... fi;¡ Imágenes ;Qj Elementos redentes 29/01/2012 21:29 Carpeta de archi,. ,

l'.f Música . ¿,, Entorno de red 26/01/2012. 2.2.: 16 Carpeta de archl. ..

¡; Cambiados redentem ... ~~~ Escritorio 29/01/2012 21:30 Carpeta de arc:hi ...

fB Búsquedas ¡lt Favoritos. 2!3/01/2012 21:2.9 Carpeta de archi .. .

i" Impresor a:; 26/01/2012 22.:16 Carpeta de archi ., . Acceso público J~ f"lenú Inid(> 26/0 1/20 12 22.: 16 Carpeta de archl ...

·JJ f>'lis. dorumentos 29/01/2012 21:29 Carpeta de arcni, , •

:o Pl<lr)tillas 2f>/O 1j20 12 22:21 Carpeta de archi ...

J.~ SendTo 29/0 1/20 12 21:29 Carpeta de archi ...

:..~J NTUSER.DAT 29í01/2012 21:30 ArchivoDAT 512KB

Lj ntuser .dat.LOG 29/01/2012 21:30 Documento de t ... lKB ;~ ntuser .Jni 29/01/2012 21:30 Opdones de con ... lKB

Una vez que tengamos todas las carpetas visibles, debemos "transformar" este perfil móvil en obligatorio. Para ello, localizamos el fichero NTUSER.DAT que es donde se almacenan toda la información acerca del perfil; y cambiamos su extensión (lo renombramos) por NTUSER.MAN. Con MAN (abreviatura de Mandatory), hacemos que dicho perfil pueda usarse desde cualquier equipo que pertenezca al dominio, pero que no se guarde ninguna modificación que sea realizada en él.

1 2 C.F.G.S. Administración de Sistemas Informáticos en Red Página 39


En la ventana que aparece, podremos ver que efectivamente, el perfil con el que hemos accedido al cliente es Móvil:

Luego con este usuario, al haberle asignado un perfil móvil, nos aseguramos que pueda acceder desde cualquier equipo que esté conectado al dominio, y además cualquier cambio que realice en su perfil, quedará grabado en la carpeta correspondiente del usuario dentro del dominio.


~ombrede usuario: !;;_ontraseña:


-·-····-······-··········--··:.-.. -............ ' .......• l.~~-~~~\l.~-- --···· --·······-·· ·- . .. .. - - 1

Conectarse a: l tASIRDOS l~11 ~----------------------~~·~~ O Iniciar sesión usanQo una (Onexión de acceso telefónico

[ Ac~pt~ - ~ 1 Cal)celar J[ BPagar. ~ . 1 [ Qpciones « )

5· Una vez que el usuario ha entrado por primera vez al cliente, se crearán en el Servidor, en la carpeta que hemos compartido las carpetas correspondientes al perfil del usuario:

~~ DoOJmentos

~ Jmá9enes

fi 1'1ÚSICa

(F Cambiados reáentem ...

m Búsquedas

}/ Acuso púboco

h Mení Iniáo

~: .U l'iis docunentos ¡¡ (

·'

2f./01/Ul12 22:24

2f.(Ol/2IJ12 23:07

2h(D1/Ul 12 23:06

26/01/2IJ12 22:16

26/01/20 12 23:06

Carpeta de archi. .. (<lfP<'tl!l de archi .. . CNJ>eta de archi .. . C~>rpeta de arcll., .

Si no vemos todas las carpetas, entraremos en Herramientas, Opciones de carpeta, y marcaremos o desmarcaremos las opciones correspondientes.

6. Si queremos comprobar que efectivamente el usuario con el que hemos accedido al equipo cliente tiene configurado un perfil móvil, entraremos como Administrador al equipo cliente, y entraremos en las propiedades de Mi PC, en la ficha Opciones Avanzadas, en el apartado correspondiente a Perfiles de usuario



su ficha Perfil, donde tendremos que poner la ruta correspondiente al perfil que queremos utilizar.

En la ruta de acceso al perfil, escribimos la siguiente ruta:

\\NOMBRE DEL SERVIDOR\RUTA COMPLETA DE LA CARPETA\%username%

Donde %username% será sustituido de forma automática por el nombre del usuario, la primera vez que dicho usuario acceda al dominio desde cualquier equipo cliente.

En cuanto a la Carpeta particular, marcamos Conectar, le asignamos una unidad de red, y escribimos la misma ruta que hemos indicado para el acceso al perfil. De esta forma, conectamos de forma permanente el usuario a su perfil guardado en el servidor.

Le damos a Aceptar, y el usuario ya estará configurado.

4. A continuación, debemos acceder desde un equipo cliente con el usuario que acabamos de configurar:



2. En ese momento, la carpeta queda compartida:

Si entrásemos en esta carpeta, comprobaríamos que en este momento se encuentra vacía.

11[) Dorumentos

~ Imágenes

ID Mo'><ir~

3· Como Administrador, entramos en las propiedades de l cualquier usuario al que le queramos aplicar e l perfil móvil que acabamos de guardar, y nos vamos directamente a



En ella vamos a seleccionar el usuario sobre el que hemos realizado los cambios y cuyo perfil queremos copiar a la carpeta compartida PERFILES creada en el servidor, para poder utilizar este perfil en otros usuarios. Para ello, con el usuario marcado, pinchamos en Copiar a, donde vemos el siguiente cuadro de diálogo:

Donde seleccionaremos la carpeta que hemos creado, entrando en Examinar, y una vez seleccionada, le damos a Aceptar. Nos avisará de que el contenido de la carpeta será eliminado, pulsamos en Continuar, y ya hemos copiado el perfil de dicho usuario.

Podremos utilizar este perfil preconfigurado en tantos usuarios como queramos.

DEBEMOS TENER EN CUENTA, QUE 51 TRABAJAMOS CON UNA CONEXIÓN DE RED LENTA, ES ACONSEJABlE UTILIAR El PERFIL lOCAl DE CADA EESTACIÓN DE TRABAJO EN LUGAR DEl MÓVIL.

CÓMO ASIGNAR UN PERFIL MÓVIL A UN USUARIO

Para crear un perfil móvil:

1. Creamos en el servidor una carpeta y la compartimos, asignándole en nivel de permisos, Copropietario.

1!! C.F.G.S. Administración d e Sistemas Informáticos en Red Página 34


A continuación, vamos a entrar en el Panel de Control, Sistema, Configuración avanzada del sistema,

Una vez que entramos en Configuración de Perfiles de usuario, vemos la siguiente pantalla:



3.- Una vez que hayamos realizado todos los cambios deseados, cerramos la sesión con el usuario creado, y volvemos a iniciar sesión con el administrador. Creamos una carpeta en el servidor, que designaremos para guardar los perfiles, y la compartimos.

19/01/2008 10:40 Ci C¡

En la ventana que aparece, pinchamos en el botón de Uso compartido avanzado, donde obtenemos la siguiente ventana:

En el botón Permisos, asignamos los permisos que consideremos oportunos a los diferentes usuarios que pensemos que tengan acceso a esta carpeta. Le damos a Aplicar y Cerrar. 4.- A continuación, entramos nuevamente en las propiedades del usuario que hemos creado y

sobre el que hemos modificado el perfil, y nos situamos en su pestaña Perfil (entraremos en Usuarios y equipos del dominio, y sobre el usuario, con el botón derecho, entramos en propiedades). Ahí, vamos a rellenar la ruta de acceso a su perfil, conforme hemos visto que se ha de crear en el apartado anterior.

P C.F.G.S. Administración de Sistemas Informáticos en Red Página 32


• Ruta de acceso local. Indica el directorio local privado del usuario donde almacenará sus archivos y programas, que tendrá el formato: C:\nombre del subdirectorio\nombre del usuario.

• Conectar. Permite conectar a una letra de unidad a un directorio de red compartido y conectarse a dicho directorio al inicio de sesión con el formato \\nombre del servidor\nombre compartido del subdirectorio privado\nombre del usuario .

CÓMO CREAR UN PERFil PRECONFIGURADO DE USUARIO

Podemos crear un perfil de usuario que se pueda copia r a otros usuarios¡ para ello seguimos los siguientes pasos:

1.- En primer lugar, creamos un usuario que nos servirá únicamente para preparar el perfil preconfigurado. Nos conectamos al equipo con dicho usuario.

Debemos tener en cuenta qué tipo de usuario hemos creado en el equipo, ya que por defecto, sólo se permite el inicio de sesión local a un determinado número de usuarios. Dichos usuarios se especifican en una directiva de seguridad local, a la cual accedemos a través de Herramientas administrativas, Directivas de Seguridad local, Directivas locales, Asignación de derechos de usuario.

conr10u"'""" de seourldad

[á ~~vas_ de a.ten!a _ ~ ¡,.Q Otectr.:a de contrasBlM ~~ ~-l. Oiredh:a de bloq;.J!o ~ ru!ntll [tJ Cfl Di'ectiv., Kerbtros

El !;.~ O.octivas locales ¡¡¡ ;'Ji DirectiVa ~ aud.Wria ¡"~~1!i,¡¡¿r~~"il0~

[+] ;¡~ .. de ;~~,¡· ·-·-8 ~21 Frev.~l de WmOO.ws con ~d avan!ada

Ü O.ec':lvas de Aaninlstrodor de !.st21s de redes El 2'] Directivas de clave púbka [¡J r~ Directivas d r: restrkdón de software

ffi ·~ Directivas~ sogurldod lP en Equipo loco!

·. . , l'llnido de: s~ cerno U:rvido

~ Dtne¡¡ar el ir1do de oesión CllmO tr"""jo .. .

. it) Oene9or .J ir1do de sesión loc.almontt ·' ~~t Den!9M illdo di! s~n a través de Ter ...

: .ra~or prooromas Admlnistrl!dores

, f,BForzar Oerre ~..de: oo Ztema remoto AdrrnstntdoresA:~Jers. de serv ... · fJá Geno<or auditorios de segu-idad SERVlOO LOCAL.Senñcio de red . ;ji¡¡ Hal>liw confianza con •1 e<l\JW y !los ru... Administradores ~Hocercop;as de seg.widad de armr.!OS y... Actr<ns tradores,Opers. d• serv .••

~lnlc:W -..ión como ¡¡causo PO< lotg Adrrinlstrl!dores,Operadores de ... ~ lrítiar sesión como Sl!f"\.~do

la etiQueU. do l.l'l objeto

, ""'' "~··~~ velores de- entorno firmwa-e Admin~tr~dores acceso all>Ó'niniStrador de a ed ...

Penn br él1n Oj de !;eslón local Admlrli!:b'adores,Oper!:. de a;e •. Perrritir Inicio de -..ión a través de Termi... Admiristrodores

!fj Qút« eQUipo do le estación de occplomi... Administradores

; ~Realizar tareas de mantenimiento del vol.. . Administradores

' ii1i Re~Ar un sínbolo (token) de riv.J d.. . SER\1100 LOCAL,Secvicio de red ~R.e:slal.-ar wdWcs ydrec:t:orios

· iSl Sinaorizor los datos dd servicio de &roe •. .

~?,iJ Sul:>lbntN i!l un diente trt~s la avte.ntkbd&-1 SERVICIO LOCAL ;Servido de re ... 1• •

!.B Tenor •«eso• este·~ desde la red Todos,Usuarios ou~tificados, ... · ,llij Tornor posesión de ordivos y otr<n objetos Adrrnstr~s

Si entramos en esta directiva, para configurarla debemos tener acceso a internet. La forma más cómoda de crear un perfil, es crear un usuario dentro del grupo de Administradores.

2.- Cuando nos hayamos conectado, se habrá copiado e l perfil Default User a dicho usuario como perfil local. Una vez que estemos dentro, configuramos el escritorio de la forma que nos dé la gana, cambiando fondo, colores, accesos directos ... , y guardamos los cambios en el perfil local del usuario.

12 C.F.G.S. Administ r ación de Sis temas Informáticos en Red Pá gina 31


Todos los scripts de inicio de sesión que se van a utilizar desde la ficha Perfil de un usuario únicamente se ejecutarán para los usuarios a los que se les haya indicado expresamente y se han de guardar por defecto en \windows\sysvol\sysvol\<nombre del dominio>\scripts (sysvol, se crea cuando instalamos el Directorio Activo.

~ La ruta de acceso local Indica el directorio local privado de cada usuario donde puede almacenar sus archivos y programas. Así mismo, es el directorio predeterminado que se utilizará en el Símbolo del sistema y en todas las aplicaciones que no tienen definido un directorio de trabajo. Su utilización es incompatible con conectar a una unidad de red.

~ Conectar a una unidad de red. Indica la letra deseada que estará conectada al directorio de red, es decir, a un directorio compartido, privado de cada usuario, donde puede almacenar sus archivos y programas en el servidor. Debe ser creado antes de especificar su ruta en el cliente. Su uso es incompatible con la ruta de acceso local.

~ La ficha perfil. Para estJblecer todos los datos correspondientes al perfil de un usuario, tenemos que

acceder a las propiedades de dicho usuario, y entramos en la ficha Perfil:

• Ruta de acceso al perfil. Se utiliza para indicar la ruta de acceso de red para activar un perfil móvil u obligatorio para el usuario seleccionado. Dicha ruta, tendrá el siguiente formato: \\nombre del servidor\nombre compartido de carpeta de perfiles\nombre de usuario. Si no se rellena, tomará el perfil que se creó por defecto al dar de alta al usuario y realizar su primera conexión (Default), que será un perfil local. La carpeta compartida tiene que ser un directorio nuevo y distinto al suyo de la carpeta Usuarios en Windows Server 2008, o de Documents and settings en Windows Server 2003.

• Script de inicio de sesión. Se usa para indicar e l nombre de un archivo donde se guarda el script de inicio de sesión del usua rio seleccionado.

1º C.F.G.S. Administración de Sistemas Infor máticos en Red Página 30


Desde donde podremos, además de ponerle una contraseña nueva, desbloquear la cuenta de usuario si ha sido bloqueada por un número excesivo de intentos de inicio de sesión.

5.2.- Los perfiles móviles y obligatorios

En temas anteriores, hemos hablado de perfiles de usuario y también se vio cómo crear un perfil local. Una vez que hemos instalado un dominio, podemos ver el resto de perfiles de usuario que podemos encontrar.

)> Los perfiles móviles. Es el perfil que se asigna a cada usuario, que puede modificarlo como quiera, y dichos cambios permanecerán al finalizar la conexión. Cuando un usuario cambia su perfil; dichos cambios se guardan temporalmente en los archivos ntuser.dat.LOG1 y ntuser.dat.LOG2; de forma que cuando finalice su sesión, se copiarán en el archivo ntuser.dat (creado durante la creación del controlador de dominio), de esta manera, los cambios permanecerán para la próxima vez que inicie una sesión.

)> Los perfiles obligatorios. Este tipo de perfiles tiene la misma estructura que los perfiles móviles, pero asegura que los usuarios trabajen en un entorno común. Por lo tanto aunque realicen cambios, cuando cierren la sesión, dichos cambios se perderán; sólo el Administrador puede realizar cambios en estos perfiles.

)> Los perfiles súper-obligatorios. Son perfiles obligatorios, pero que aseguran que los usuarios trabajen con su propio perfil, y sólo con ese; es decir, si al iniciar sesión, no se puede cargar el perfil, no podrá iniciar sesión en el equipo.

)> Los scripts de inicio de sesión. Se entiende por script de inicio de sesión (llamado en Windows Server 2003 Secuencias de comandos de inicio de sesión) a un archivo de proceso por lotes (BAT) que se ejecuta automáticamente cuando el usuario inicia una sesión de red.



Entramos en "Horas de inicio de sesión", y ahí encontramos la siguiente ventana:

Simplemente haremos doble clic sobre el cuadrado que nos interese, y le permitiremos o denegaremos inicio de sesión.

OTRAS OPERACIONES CON LAS CUENTAS DE USUARIO

Prácticamente cualquier operacton que queramos realizar con una cuenta de Usuario de Dominio, podemos realizarla desde su menú contextua!: Cambiarle el nombre, restablecer la contraseña, agregarla a un grupo ... , simplemente pinchando la opción adecuada de su menú contextua!; por ejemplo si tenemos que restablecer la contraseña, pinchamos en el menú contextua!, y se abre la siguiente ventana:



Si vamos entrando en todas las pestañas, podemos ir viendo qué podemos configurar en cada una de ellas.

En la pestaña General, Dirección, Teléfonos, Organización, encontramos los datos personales y laborales del usuario que tenemos en el dominio. En el resto de pestañas, podemos configurar permisos, atributos.. . concretos para ese usuario seleccionado. Por ejemplo, si quisiéramos limitar el número de horas de uso de determinado usuario, entraríamos en la pestaña Cuenta



forma similar. A la derecha vemos el nombre del dominio donde lo estamos creando (sufijo UPN) pero si tuviésemos más de un dominio, podemos pulsar el triángulo que hay a la derecha del campo, y seleccionar otro.

• Nombre de inicio de sesión de usuario (anterior a Windows 2000), aquí se indicará el nombre de usuario que utiliza para iniciar sesiones con versiones de Windows más antiguas ( 95, 98, NT), sólo se cambiará si es distinto que el anterior, como mucho admite 20 caracteres.

4· Una vez finalizado el registro, pulsamos en Siguiente, y encontraremos el cuadro de diálogo de Nuevo objeto, donde rellenaremos lo correspondiente a la contraseña del usuario, en función de lo que le queramos configurar.

s. Cuando finalicemos, pulsamos en Siguiente, nos mostrará un resumen del proceso realizado, y le daremos a Finalizar.

Una vez creado el usuario del dominio, si abrimos su menú contextua(, y pinchando en Propiedades, podremos realizar diversas operaciones de gestión sobre el usuario, aparece la siguiente pantalla:

1 2 C.F.G.S. Administración de Sistemas Informáticos en Red Página 26

Usuar\os y equipos: de Activ~ ::.:J CorlSI..IItas QUard~da.s

8 :ft; lASIRDOS.k>cal oo G B<Aitin !'-! d COfrlllVIm tti QJ Domai."'' Contro~rs \E ¡_:::) Fc.retQnSecurityPrindpcJs t±i CJ LootAndFound l'-J i~ Proorom De te i.+j l~ System

• e¡ !'!m 00 D NTDS Quotas


Grupo de seguridad - un.versal Grupo de secp-idad - Universal

d... Grupo de ~od • G:ob61 lil c:ontrolac:k>re... Grupo de segyrld•d · Global ~Controladore ... ~DnsAdmlns ~,.DnsUpdatePr . . .

~~EMMA ~En~ O .• • ~EquipO< del d .. . S! Grupo derep .. .

S:tGrupo de rep ..•

&.~ Invitado ~Invitados de . . .

!. krbt¡¡t li!,Propletllrios •.•

:!!!,Publcadores ... ~Servidores R ••.

~Usuarios del ...

Grupo de seguridad • Global Grupo de <egYridad - Domínl<i loco!

Grupo de segurldod • C4obol

Gr~ de se~uridod · Urt,.,.s.t Grupo de seouridad · Global Grupo de seguridad -Dominio rol Grupo de oe¡¡urldad -Dominio loc.>l Usuori<> Grupo de seguridad - Global Usuario

Grupo de seguridad • Global Grupo de seouridad • O<lmilio local Grupo de seguridad -Dominio local Grupo de seguridad -Global

Administradores desigmd ...

Adtrnstradore designad •.. Todos los controladores d .•. los miembros de este: gru .. .

Grupo de admirolstrodores .. . Cbentes DNS que benen p .•.

Los miemos dr estegru •.• Toda$ los ser.lidores y est. ..

Los miemos de em ll'U ... Los mlrmbros de este Qfu •• •

Cu!nta ''legrada pNa el .. . Todos los Invitados del do .. .

Cuenta de servióo de ctn ... Los miembros de estegru, .. los miembros de estegru .. . los sen.1dores de este g .. . Todos lc.s usucrios del do .. .

3· Abrimos el menú contextua! de Users, y ahí elegimos Nuevo, Usuario. Aparece una ventana como la siguiente:

En esta ventana, encontramos los espacios correspondientes para rellenar los datos del usuario que estamos creando; debemos considerar lo siguiente:

• Nombre, puede tener una longitud de hasta 28 caracteres. • Iniciales, hasta 6 caracteres. • Apellidos, hasta 29 caracteres. • Nombre completo, hasta 64 caracteres. • Nombre de inicio de sesión del usuario, inicialmente, lo más lógico es diseñar una

norma para establecer los nombres de los usuarios, para que todos se identifiquen de

1 2 C.F.G.S. Administración de S istemas Inform áticos en Red Página 25


5.1.- Los usuarios globales o del dominio.

Un Usuario global o usuario del dominio, es una cuenta que puede ser administrada desde el servidor, mediante la concesión de permisos y derechos para el dominio en el que se está creando. Se crea en los Servicios de dominio del Directorio Activo y se guarda en equipos que son controladores de Dominio; es decir, se almacenan en el Servidor de DNS. 5.2.- Los perfiles móviles y obligatorios. CREACIÓN Y MODIFICACIÓN DE USUARIOS DEL DOMINIO

Una vez que hemos creado nuestro dominio, y queremos compartir y usar los recursos de forma común a través de nuestra red, debemos crear los usuarios. Para ello, seguimos los siguientes pasos:

1. Entramos en las Herramientas administrativas, y ahí, entramos en Usuarios y equipos de Active Directory, donde veremos la siguiente pantalla:

' ¡r-e< ! W Computers

i ~ Domaln Con t ... ""-'¡ L;.:;; ForeignSeOJr. ..

, r· ':'i LostAndFound

~ Prooram Data

!7~ System ,-e¡ w.; Users

i."; NIDS Quot.s

~ Infr~structure

Contenedor

Unidad organizativa

Contenedor

lostAndFound

Contenedor

Contenedor

Contenedor

msDS-<¿uotaContlliner

infrestrudureUpdate

Defaultcc

Default cc Default ce

Defaull ce Default lo•

Bu1tin sys

Default ce

Quota Spf

2. Pinchamos en el signo ~<+" que hay a la izquierda del dominio, y se desplegará su contenido. Hacemos clic sobre Users, que se encuentra en el panel izquierdo, y en ese momento, en el panel derecho, aparecerán los usuarios y grupos que hay dados de alta en el Directorio Activo.

1º C.F.G.S. Administración d e Sistemas Informáticos en Red Página 24


Una vez que hayamos desmarcado esta casilla, podremos eliminar la Unidad Organizativa.

S·· LOS USUARIOS

Las cuentas de usuario representan a una persona y se denominan principales de seguridad dentro del directorio Activo, ya que son objetos del directorio a los que se asignan identificadores de seguridad para iniciar sesiones en la red y tener acceso a los recursos.

Una cuenta de usuario, permite que un usuario inicie sesiones en equipos o dominios con una identidad que se puede autentificar y autorizar para tener acceso a los recursos del dominio.

Debemos tener una cuenta creada para cada usuario que se conecta al dominio, ya que una cuenta de usuario en el dominio, se utiliza para:

./ Autentificar la identidad del usuario .

./ Autorizar o denegar el acceso a los recursos del dominio .

./ Administrar otros principales de seguridad (otras cuentas de usuario) .

./ Auditar las acciones realizadas con la cuenta de usuario que ha accedido al Dominio.

En Windows Server, los usuarios pueden ser de dos tipos:

• Usuarios globales o usuarios del dominio. Estas cuentas se crean en los Servicios de Dominio del Directorio Activo, se guardan en los controladores de dominio y pueden usarse para conectarse a los dominios en que están creadas, y a los dominios que se han denominado de confianza.

• Usuarios locales. Estas cuentas se crean y guardan en equipos que no son controladores de dominio y, por tanto, no pueden usarse para conectarse a ningún dominio.

Windows Server, al igual que otras versiones de Windows, crea durante el proceso de instalación dos cuentas de usuario, que pueden usarse para iniciar una sesión y tener acceso a los recursos; estas cuentas, obviamente son:

•

•

La cuenta de usuario Administ rador, que permite administrar el equipo en el que se creó. Esta cuenta puede ser renombrada o deshabilitada, pero no puede ser eliminada ni quitada del grupo local de Administradores. Es importante, sobre todo, proteger esta cuenta con una contraseña especial, así como crear otras cuentas de administradores. Debemos evitar en la medida de lo posible, iniciar una sesión como Administrador en el servidor, para evitar ataques y problemas de seguridad. La cuenta de usuario Invitado. Normalmente, esta cuenta está deshabilitada, y tratándose de un servidor, debería permanecer de esta manera. Esta cuenta sí puede eliminarse del equipo.



¡··-·---·--«- ·-·----·-•-•••----- •Loo ••-• - -----••••••••-----··- ••••'- •• - ' - ·-·---··-

!.

Si pulsamos en Si, podemos encontrarnos el siguiente cuadro de diálogo:

Evidentemente, si el usuario con e l que hemos iniciado sesión no pertenece al grupo Administradores, no podremos realizar esta acción, pero sí además, al crear nuestra unidad organizativa hemos señalado la casilla "proteger contra eliminación accidental", no nos permitirá eliminarla hasta que un usuario administrador "desactive" esta casilla.

Para ello, en el menú contextua! de la Unidad organizatíva, abrimos sus propiedades, desmarcando la casilla dentro de la pestaña Objeto.



4.2.- Cómo mover una unidad organizativa.

Para mover una unidad organizativa de un dominio, debemos seguir los pasos siguientes, que en líneas generales coinciden para ambos Windows Server 2003 y 2008:

1.- Entramos en Usuarios y equipos de Active Directory dentro de Herramientas

Administrativas del menú Inicio. Una vez ahí, nos situamos sobre la unidad organizativa que

queramos mover; abrimos en este momento su menú contextua! con el botón derecho del

ratón, y seleccionamos Mover.

2 .- En ese momento, se abre una pantalla en la que nos permite el contenedor al que deseamos

mover la unidad organizativa seleccionada.

Computem Domain ControAm ForeignSecuil)'f'rincipals -

Una vez que decidamos en qué contenedor vamos a incluir nuestra unidad organizativa, en función de lo que contenga, le damos a aceptar, y nuestra unidad organizativa, aparecerá en el nuevo contenedor al que la hemos movido. Debemos tener en cuenta, que para realizar esta acción, es necesario que hayamos iniciado la sesión como Administrador.

4·3·- Cómo eliminar una unidad organiza~

Para eliminar una unidad organizativa, hay que tener en cuenta si fue creada con la opción Proteger contenedor contra eliminación accidental (recordemos que esta opción solamente la encontraremos en Windows Server 2008). Si ha sido así, previamente tendremos que desactivar esta opción; para ello, seleccionamos Características avanzadas del menú Ver, vemos las propiedades de la unidad organizativa que queremos eliminar, y en la ficha Objeto, desactivamos dicha casilla y hacemos clic en Aceptar. Una vez realizado este proceso, ya podremos eliminar la unidad organizativa, simplemente seleccionando Eliminar, en el menú contextua! de la unidad organizativa que queremos eliminar. Aparece la siguiente ventana:



3· En la pantalla que aparece, escribimos el nombre que le queramos dar a nuestra unidad organizativa. Una vez que le demos a Aceptar, aparecerá una nueva carpeta en el panel izquierdo.

Usuer!O$ y equipas

ilJ [~! Coooulw ¡¡uordado• e é-':3 la!r.iouJI

@j 'd""@IS*'i!.i' lll t:! ruHin ffi ~ Con';lUt.ers !ti !31 Doman Controlen (+) Gn Foreig\.~curttyPmtipa!s Hl C"1 Users

4· Una vez creada la unidad organizativa, podremos crear dentro de ella los objetos que

deseemos.


.·


• Si dos partes de la misma red están separadas por un vínculo lento que hace

prácticamente imposible que el tráfico pueda atravesarlo, es conveniente dividir la red

en dominios independientes

• Si se necesita reflejar la estructura de la organización, es conveniente dividir el dominio

en unidades organizativas en lugar de crear dominios independientes.

• Si se desea delegar el control administrativo en pequeños conjuntos de usuarios, grupos

y recursos, es conveniente dividir el dominio en unidades organizativas; además, en el

caso de futuros cambios en la organización solamente tendremos que modificar algunas

unidades organizativas y no todo el dominio.

4.1.- Cómo crear una unidad organizativa.

Para crear una unidad organizativa en un dominio, debemos seguir los pasos siguientes, que en líneas generales coinciden para ambos Windows Server 2003 y 2008 :

1. Entramos a las Herramientas administrativas de nuestro servidor, y pinchamos en

Usuarios y equipos de Active Directory.

2 . Nos situamos en el dominio en el que queremos crear la unidad organizativa, y abrimos

su menú contextua!, ahí, seleccionamos Nuevo y elegimos Unidad organizativa. En

Windows Server 2008, debernos activar la casilla Proteger contenedor contra

eliminación accidental para evitar el borrado accidental de la unidad organizativa que

estamos creando (en Windows Server 2003, no está disponible esta opción)



2 .- Marcamos el Protocolo TCP/IP y escribe dentro de sus propiedades y le pondremos la

dirección IP que corresponda.

3.- Por otro lado, si seleccionamos Propiedades del menú contextua! Equipo, veremos el

nombre del equipo y el dominio o grupo de trabajo al que pertenece.

4.- Entramos en Cambiar la configuración, y cambiaríamos ahí el nombre del equipo y el

dominio al que pertenece.

3· 3.- Desde Windows 7

Para conectar una estación de trabajo que tiene instalado Windows 7 instalado, a un

servidor, se deben seguir los pasos siguientes:

1.- En las Propiedades del menú contextua( de Red, seleccionamos Cambiar configuración del

adaptador, después, entramos en Propiedades del menú contextua! de Conexión de área local.

2.- Marcamos el Protocolo TCP/IP y escribe dentro de sus propiedades y le pondremos la

dirección 1 P que corresponda.

3.- Por otro lado, si seleccionamos Propiedades del menú contextua! Equipo, veremos el

nombre del equipo y el dominio o grupo de trabajo al que pertenece.

4.- Entramos en Cambiar la configuración, y cambiaríamos ahí el nombre del equipo y el

dominio al que pertenece.

4·- LAS UNIDADES ORGANIZATIVAS.

Las unidades organizativas, son contenedores del Directorio Activo en los que se

pueden colocar usuarios, grupos, equipos y otras unidades organizativas. Lo único que no

pueden contener dichas unidades organizativas son objetos de otros dominios.

Es el ámbito o unidad más pequeña a la que se puede asignar derechos o a la que se

puede delegar el control administrativo. Con las unidades organizativas, se pueden crear

contenedores dentro de un dominio que representen las estructuras lógicas y jerárquicas

existentes dentro de una organización. De esta forma, se puede administrar la configuración y el uso de cuentas y recursos en función de un modelo organizativo determinado.

Con ellas, se pueden ver más fácilmente los objetos del directorio de un dominio y

simplificar su administración. También podremos distribuir las tareas administrativas del

dominio entre varios administradores, de forma que sus responsabilidades coincidan en la

mayor medida posible con las que tienen asignadas en la organización.

Si necesitamos decidir la división de una parte determinada de la red en dominios o

unidades organizativas, se han de tener E~n cuenta las s iguientes recomendaciones:



3·- CONEXIÓN DE LA ESTACIÓN DE TRABAJO

Una vez que se ha instalado el servidor, hay que proceder a conectar las estaciones de

trabajo a dicho servidor para que autentique a los usuarios y se puedan utilizar sus recursos.

Para ello tenemos que configurar la estación de trabajo con la IP correspondiente, y la dirección

IP del servidor DNS que tengamos instalado; así como incluir el equipo correspondiente en el

dominio en lugar de estar incluido en un grupo de trabajo.

3.1.- Desde Windows XP

Para conectar a un servidor Windows Server 2003/2008, desde una estación de trabajo

que tiene instalado Windows XP, seguiremos los siguientes pasos:

1.- Entramos en Panel de control y elegimos Conexiones de Red, y dentro del menú contextua!

de Conexiones de área local, entramos en Propiedades. Dentro del protocolo TCP/IP ,

configuramos lo que nos interese, Obtener una dirección IP automáticamente, si hemos

instalado un servidor DHCP en nuestro Server, o le asignaremos una IP estática (con su

correspondiente máscara y la dirección IP del router) según convenga; pero en cualquier caso,

debemos indicar la dirección IP de Windows Server 2003/2008 como servidor DNS preferido.

2.- Para incluir el equipo en el dominio, tenemos que abrir el menú contextua! de Mi PC, y en las

Propiedades, dentro de la ficha Nombre del equipo, veremos el nombre del equipo y el grupo

de trabajo al que pertenece, pinchamos en el botón Cambiar, activamos la casilla Dominio, y ahí

escribimos el nombre correspondiente. Posiblemente nos pedirá el nombre de una cuenta de

usuario y contraseña con permisos, para unir el equipo al dominio. Una vez indicados, nos dará

la bienvenida al dominio.

~ Bienvenido al dominio lASIRDOS .

.r ·····A~~¡;t~~ ....... ~ ' "''Wr=nw·-.,.. ... .,. .. ,..J

Al reiniciar, indicaras el nombre de un usuario del dominio, su cont raseña y el dominio al

que deseas conectarse, al aceptar ya estarás conectado al servidor.

3.2.- Desde Windows Vista.

Para conectar una estación de trabajo que tiene instalado Windows Vista instalado, a un

servidor, se deben seguir los pasos siguientes:

1.- Selecciona Propiedades del menú contextua! de Red, que está dentro de Inicio;

seleccionamos Administrar conexiones de red y después seleccionamos Propiedades del

menú contextua! de Conexión de área local.



Wcación de la b...., de datos, ~ llfdiwos de n>glslro y SYSVOL i¡:r\ili~ l Eapocfique lo• c.,....., que wtendrón lo ba"' de d"'o• del corlrolodor de ... · domWio de fodrve lliredO<)', Io' orc:IV'1os de ~po>IR> y SYSVOL

10.- A continuación, aparecerá una pantalla para que indiquemos la contraseña del

administrador para el controlador de dominio. A efectos prácticos conviene que sea la misma

que la del inicio de sesión. Al seguir con el proceso, nos mostrará una pantalla con el resumen

de las selecciones realizadas; donde nos ofrece la posibilidad de Exportar configuración para

utilizarla en otras operaciones. Una vez pulsado Siguiente, comenzará el proceso.

-·------ -·-===-

11.- Transcurrido el tiempo necesario, reiniciará el equipo.

NOTA: para u degradar" un servidor (disminuir su nivel y transformarlo en un servidor miembro o un servidor independiente, debemos seguir los mismos pasos que en el caso de Windows

Server 2003. Inicio, Ejecutar, dcpromo.

1º C.F.G.S. Admini stración de Sist emas Informáticos en Red Página 16


E:stablecer el nivel funcionol del ~ Sdecc;one el rivel l..nclonol dd bo>CJJe.

g.- En la siguiente pantalla podríamos modificar (si quisiéramos) el lugar donde se va a ubicar la

base de datos, los archivos de registro y SYSVOL. Si no quisiéramos realizar ninguna

modificación, daríamos a Siguiente y quedarían las carpetas que vienen por defecto.



Beoir uno corligoo>c~ón de lq>iementlldón Puede oel!lr lXI cortrolador df: dornm par11 \JI'\ botque oxi:terte o un bo~ """vo.

Cuando le demos a siguiente en esta pantalla, podemos recibir el siguiente mensaje:

~ La cuenta de. administrador local se convier te en la cuenta de W administrador del dominio ruando se cre~ un dominio nuevo. El nuevo dominio no se puede crear porque la contraseña de la wento de administrador local no cumplt; los requisitos.

Actualmente, la contraseña del Administrador local está en blanco, lo que puede acarrear problemas de 5e9lJridad. Se recomienda Qut!! pre,.;one Ctri+Alt+Supr, ejecute la herramienta de la línea d" comandos net user, o use Usuarios y grupos locales pari!! esti!!blecer una contraseña segur& para la cuenta de Acininistrador local antes de crear el dominio nuevo.

El asistente no nos dejará seguir con la instalación hasta que pongamos una contraseña

adecuada a la cuenta de administrador.

8.- Una vez que le damos a Siguiente, debemos tener en cuenta que es muy recomendable que instalemos el servidor DNS en el primer controlador de dominio. Si el equipo no tiene asignada

una dirección IP estática, nos avisará de esta situación en una pantalla en la que debemos seleccionar No, asignaré direcciones IP estáticas; de esta forma volveremos a la pantalla

anterior, y la dejaremos en espera¡ para de esta forma asignar la dirección IP estática a nuestro servidor, y seguir con la instalación. Si hubiésemos asignado la dirección IP estática a nuestro

servidor, en la pantalla del asistente para la instalación de los servicios de dominio daríamos a

Siguiente directamente. Seguiríamos el proceso cómo nos vaya indicando, dando los datos que

nos pide el asistente


·.


6.- En la pantalla que aparece, podemos ir dando a Siguiente, o activar la casilla Usar la

instalación en modo avanzado.

Asistente para la instalación de los Servicios de dominio de Active

Este ¡y..;,;terte le a¡vdo a instalar lo!; Ser;ic:ios de dominio de Adive Director¡ IAO OS) en e<te oentido<. haOendo""" este oea .., c:ortrolado< de dorrno de ktive DWedOI)'. p.,.. coninuar. haga die en Sigljerte.

P" ~~eñiñOdO~ MóslnfC>t!TIOOón acen:a de lo• C>Pdoneo~sen la k'l!IBl§dón en modo o\.=Mz~do.

Mi s i1formeción acen::e de lo' Seryicios de dpmi1io de Adrve Director<

7.- En cualquiera de los casos, deberemos seleccionar Crear un dominio nuevo en un bosque

nuevo, y vamos dando a Siguiente hasta que nos pregunte en una de las pantallas el nivel

funcional del dominio; es decir si queremos un nivel funcional de Windows Server 200 0 , 2003 ó

2008. Seleccionar cualquier Server puede ser determinante para añadir controladores de

dominio procedentes de otro Windows Server.



4.- Cuando la hayamos leído, pulsamos en Siguiente, y nos mostrará una nueva pantalla en donde nos indicará unos mensajes de aviso. El más importante es que, después de finalizar la

instalación, deberemos utilizar el Asistente para la instalación de los servicios de dominio

(dcpromo.exe) para convertir el servidor en un controlador de dominio completamente

funcional. Le damos a Instalar y comenzará el proceso; una vez finalizado e l mismo, deberá

aparecer una pantalla donde nos indicará si ha habido algún problema durante la instalación.

-~ro) ~ 6t' dorn:lftk) de. AdtYe Olm:tory ti Instalación mrTeeta

los S9*ni ts 5en'lr:os de fundón se n.~:

co,trola6~ de. dominio 4e ~ tMrfftoty

¡J) \M ti ;.:,slt:'lt:t DOtA .. N-.O:.dón dt loG ~~:)e c:artio dt Ad\'t Oi'ectDry (dalrtmO.txe) pen CD"To'C'I'1r d --.idor en"' eot~treCacb" :fe ~ID :aben te f\n:So:W.

Or:ne. este ~ e hiót d ~~ PGt6 i& nsmtadO..-. '*:m SctW:IoJ de dotnHo de .Active ~r(~omo.c.xc:),

En el caso de Windows Server 2008, no nos pedirá que introduzcamos el CD de

instalación en ningún momento.

s.- Una vez instalado, vamos a Inicio, Ejecutar, y escribimos ahí dcpromo, y abrimos así el

Asistente para la instalación de los Servicios de dominio.

1º C.F.G.S. Administración d e Sistemas Informáticos en Red Página 12

i í:fJ ~ Oiac¡nóstico [!J ®'~ Conr.guradón El l:!j ~na...,ionto


Obten;• lnformadón Q<!1efai delestodo del seMdor, reolice tare"" pmopales de adrrrls~adó.' y 69'09UO o qoite funciones y carocttristios de sorJidor.

Jf& A)\xlzsderest.~T~Cndt!Pet~~ .... "'~--,-,..... ... ~ ,,. • ... :~.-: -~ -~- -- ·" -~ ••• ,,. __ ;.::: -~' -.. ~-- .,_ ·-··.-.. ... , .¡.."! •. : -~-":.:--

(~) lnfonn..Wn del equipo

Nonb-e~lo de equjx>:

SER\1DOR2

C...,. de trahojo: WORIIGROU'

Conexión de «ca Drccoón tpy.4 ~ por IOQI: 01-!CP, !Pv6 habilitoéo

Id. del P'Oduclo: 9 2516.002-2500SS5-76105

(~) Información de seguridad

At.ttvado

-~ CMoblar ~do! ... -. ~ V<J wnexione:; de red

~.Configurar Esoitorio renoto

iif lr a Fre...,. de Wndows

~ ConfiQ!sar acbJ:alizaóone~;

•! Blr..car rue•as lindones l -· ·- - · - - ---------·· ·. - - - - . - . . - -----

r.~.·, [::1

::;~;¡~;}~Ji~?i~~~;g;,;;;~;<;(¡';,;.[;:;x~i:au~+~;!;t;-,;1;!.~:'. ;i'!:él, , ,~;:fk.~' : i•,

2.- Pulsamos sobre Funciones del panel izquierdo, después, en Agregar Funciones, y ya vemos

la pantalla inicial del asistente. Es una pantalla explicativa de los pasos preliminares necesarios

para poder realizar el proceso. Una vez leída y comprobado que todo está preparado,

pulsamos en Siguiente.

~dt: fa'll

s.MbOHCP S<r"<!or016

0 Se:l"\."id<Y 'Ntb {I!S)

O Tem!t'!al Sert1ttt O ',Wicfoofl.'t SV1tr 1.-\)d,ue Stor\~>CU

3.- Seleccionamos Servicios de dominio de Act ive Directory, en la pantalla anterior, y pulsamos

en Siguiente, y encontraremos nuevamente una pantalla explicativa.



instalación del directorio activo. Cuando haya finalizado, nos mostrará una pantalla para que

vuelva a iniciar sesión. Cuando iniciemos nuestra sesión nuevamente, realizará los ajustes

finales. Seguiremos los pasos que nos vaya indicando el proceso.

7.- Una vez instalado, nos mostrará la pantalla Administre su servidor en la que nos indica las

funciones configuradas en el servido·r.

Administrar las funciones de su servidor utlic:e las herramientas e ínforrMCión aqU inc.~ p~r~ agreoar o qufl:ar fu'lc:lones y realizar las: tareas: admintstratlv~ que re4~2a o diario.

Su servidor se conf~Q<X6 corllas ft.nciooes siguientes:

~ Agreoar o QUit"' func.Sn

w ::::-.=:·de ~) ::as..:.=~=.de

~ Administrar USO«ios y eQUpc>s en Active Directory

~ Administrar dominios y ~· ·-- confiNlZas

~ Admirlstr or sitios y servicios

~ ~:: ~lónsos ,;.pentes

~ Administrar este servidor ONS

~ ~-= = ,;.pentes

Mós herr-as

Wlndom Updote

lriormación del equipo y del nornbre de

Corh;¡uroclón de seopldad mejor oda de Internet Explorer

Adminlstrac.ión de servidores

Ayuda y soporte técrlco

Microsoft T echNet

Kts de implementad6n y recursos

Lista de tareas adn"inislrativas

Comunidades de Whdows Server

Lo ruevo

Programa StrateQk: Tect-nology Protectlon Program

8.- Si hemos observado la instalación, además de instalar el Directorio Activo, se ha instalado un

servidor DHCP y un servidor DNS.

NOTA: Si en un momento determinado, quisiéramos eliminar un controlador de

dominio, (es decir quisiéramos "degradarlo" a equipo común) simplemente tendríamos que

escribir en Inicio, ejecutar: dcpromo, y ahí seguir los pasos que nos va indicando el asistente.

2. 2.- Windows Server 2008

Para instalar el Directorio Activo en el único servidor de la red y configurarlo como el

controlador principal de Dominio, seguiremos los pasos siguientes:

1.- Iniciamos una sesión en e l servidor como administ rador y veremos la pantalla siguiente¡ si no

apareciese esta pantalla, la vemos en lnido, Herramientas Administrativas, Administrador del

Servidor.

1º C.F.G.S. Administración de Sistemas Infor máticos en Red Página 10


Nombre de domjnio d~ Actlv~ Dire:ctory Un dominio de Active OlrectOfy se ldentfic6 por t.n nocrbe DNS.

Escriba el nonbre ONS c~leto para el nuevo domnio.

tjamlre de dominO de Active Directarv:

l.t~l~:~al -- ---- ·- -· ·- ... -Ejemcllodei.Clrori>re DNSc~o: ............,s,locol

AJ usar t. extensión ~.lo<ar' al final cW nonbe de don'Wlí:l de Active Oirectory, el dotrink) nterno permanecetá separado de su domWllo de l.rtemet .

4.- En este momento, Indicaremos el nombre que queramos dar a nuestro dominio (si no

tenemos registrado ningún dominio en Internet, es conveniente finalizarlo con local. Y le damos

a Siguiente, apareciendo la siguiente pantalla:

--~~~r~ Nombrelletlllos

Los dentes con ver sOleS de Wndows distlrt"s de Wndows 2000, Wndows XP y ~ f M'l\a de servido' es wndows Setver 2003l.tilarAn el nombre de dornno NetSJOS.

El nombre NetBIOS predeterminado p~oviene del nombre de dominio ONS.

Nombte de domno DNS:

Par a cambior d nombre NetSIOS prcdetcr~, esa~ Ln notrore nuevo en el sigUiente cuodro de texto.

t~Dmbre de dominio NetBIOS:

• . .

5.- En ella podemos cambiar el nombre NetBIOS del dominio (es el que aparecerá con versiones

antiguas de Windows). Pulsamos Siguiente, si no hemos indicado una IP estática para nuestro

servidor antes de comenzar el proceso, nos pedirá esa IP estática en este momento, pero si ya

la hemos indicado la lP estática de nuestro equipo, pasará a una pantalla resumen de las

selecciones realizadas. Una vez revisadas, pulsamos en Siguiente; en ese momento dará

comienzo el proceso.

6.- En determinado momento del proceso, nos pedirá que insertemos el CD de Windows Server

2003. Lo insertamos y pulsamos Aceptar. Reiniciará varias veces el equipo y continuará con la



2.-INSTALACIÓN DEL DIRECTORIO ACTIVO (ACTIVE DIRECTORY)

Una vez instalado el sistema operativo servidor, si dicho equipo va a ser un controlador

de dominio, ha de configurarse como tal, y lo primero que debemos hacer es instalar el

Directorio Activo. Podemos encontrar dos posibilidades:

• Que el servidor que estamos configurando sea el único en la red.

• Que en la red en la que está el servidor haya otros controladores de dominio

funcionando.

2.1.- Windows Server 2003

Para instalar el Directorio Activo en el único servidor de la red y configurarlo como el

controlador principal de un dominio, seguimos los pasos siguientes:

1.- Iniciamos una sesión en el servidor como administrador, y aparece la pantalla siguiente¡ si no

apareciese dicha pantalla, entramos en Panel de control, Herramientas administrativas,

Administre su servidor.

Administrar las funciones de su servidor Después de hobcr «J'C9~ U\0 l l.l"d6n, wefvo o esto pAgr.e Plll'• obtener herran~rrtas e Wormad6n q..e le avudat.!nen les tarus ad'*Wstntivas IJJe re*:• • <larb.

2.- Pulsamos en Agregar o quitar función.

"!'l!i

Ayud. y scpc:rte l~o

... de __ ,

........ COIYIU'lldaciM de Wln6owl: s.r-Lo ........

...... ..,.l<r«oO< T""""""' PrctcctionProvrem

3.- Nos aparecerá una pantalla explicativa de los pasos preliminares necesarios para poder

realizar el proceso. Una vez leída y comprobado que todo está preparado, pulsamos en

Siguiente, en ese momento, comenzará a detectar la configuración del servidor. Una vez

detectada, aparece una pantalla en la que seleccionaremos la opción Configuración típica para

un servidor principal, pulsamos Siguiente, y aparece la siguiente pantalla



En Windows Server 2008, lo incluiremos en el dominio tras instalar Active Directory.

2.8.- En Windows Server 2003, pulsa en la ficha Nombre del equipo y verás una pantalla donde

se encuentra el nombre completo del equipo y el grupo de trabajo al que pertenece. Pulsamos

en Cambiar, indicamos el nombre que deseamos dar al equipo (Nombre del equipo) y

pulsamos en Aceptar.

12 C.F.G.S. Administración de Sistemas 1 nformáticos en Red Página 7


ANTES DE PROCEDER A INSTALAR EL DIRECTORIO ACTIVO, E INSTALAR UN CONTROLADOR

DE DOMINIO SE HA DE PROCEDER A EN PRIMER LUGAR PLANIFICAR QUÉ QUEREMOS

ORGANIZAR DENTRO DE NUESTRA RED, Y CÓMO VAMOS A INSTALAR NUESTROS

SERVIDORES; Y EN SEGUNDO LUGAR SE HA DE PROCEDER A INDICAR UNA DIRECCIÓN IP

ESTÁTICA PARA EL EQUIPO QUE VA A EJERCER COMO SERVIDOR, Y COMPROBAR QUE EL

NOMBRE DEL EQUIPO SEA EL ADECUADO (CUIDADO, PORQUE DESPUÉS DE INSTALAR EL

DIRECTORIO ACTIVO, NO ES POSIBLE CAMBIAR EL NOMBRE DEL EQUIPO.

1.6.- Cómo cambiar el nombre al equipo

Antes de configurar el servidor para hacerlo controlador de un dominio, es posible

cambiar el nombre que se indicó para el equipo durante el proceso de la instalación. Para ello,

sigue los pasos siguientes:

1.- Selecciona Propiedades del menú contextua! del Equipo ó MiPC.

2.A.- En Windows Server 2008, verás el nombre del equipo y el grupo de trabajo al que

pertenece. Pulsamos en Cambiar la configuración, selecciona Cambiar, modifica el nombre del

equipo y pulsa en Aceptar. Transcurrido un momento, el equipo nos indicará que debemos reiniciar el equipo, pulsamos en Aceptar, en Cerrar y reiniciamos el equipo.

~ Ad!M'Vs-trador d-! dfsposith-os

~ con¡;o....d6n do A<:ceso remoto

~ ConfiQtndi.n •~an¡arla del sisterr~

Vea tambié-n

V•r Información bUla &ei'Cll ~1 oqulpo

EdJdónde YindoM K·~~-- ----------·- --···· --------------- -------·· .. --· ------------ - -·--·----· - ---

Copyright if: 2007 f\tcrc.soft Corport!!ton. Reservados todos los derechos.

SlStefT.a .. -·--- - --- ·--·---- --···· .. - --------······--···--···-·· .. ···---···--·--·--·-··--·-···--··--------·----·-·-·-··- - ·-·--·······

Procesodo<: ln'.oi(;Q Core(TM)2DuoCPU E7200 ~2.S3GHz 3.0'1GHz

M<mo!1a (R~M/ : I ,OOGB

TI)O do "''"""'' Sistema. operatr\~ de 32 bits

Confi!¡tsad6n d• nombre, domno y grupo de trabajo deleQU:>o

Wl!HlQSllJKZ l lZJ

folo.-e cO<I'(llelo do •<P-Po: WIIHlQSll.li<ZI3ZJ

o.saipciÓn d.! eQLipo:

Gn.,x> de trobojo: WCRKGROlP

Ac.tiv~:::ióndtWindO'A'S----------------

'r. Quedan 53 di<S po<a rool2ar io octi"·1Klón. Attrv. v..r.:m,. .nora.

Id. del proa..cto: 925J5.Q8NSOOBS5·76105 Com!>ar la d<!ve de P'l!ductD



* Dominio. Es la estructura fundamental. Permite agrupar todos los objetos que se

administrarán de forma estructurada y jerárquica.

~ Unidad organizativa. Es una unidad jerárquica inferior del dominio, puede estar

compuesta por una serie de objetos, por otras unidades organizativas, o por ambas.

~ Grupos. Son conjuntos de objetos del mismo tipo. Se utilizan, fundamentalmente, para

la asignación de los derechos de acceso a los recursos.

,._ Objetos. Son representaciones de los recursos de red: usuarios, ordenadores,

impresoras, etc.

• Se denomina árbol de dominios del Directorio Activo a una estructura jerárquica de

dominios que comparten un espacio de nomenclatura contiguo, un esquema común y

un catálogo global común. Un espacio de nomenclatura, es el conjunto de nombres que

representan a un dominio y un espacio de nomenclatura contiguo significa que la

primera parte del dominio es común.

• Un bosque es una colección de árboles de directorio que, aunque no comparten un

espacio de nomenclatura contiguo, tienen un esquema común y un catálogo global.

• En Windows server 2003/2008, los servidores dentro del dominio pueden tener uno de

los papeles siguientes:

o Controladores de dominio: Pertenecen al dominio y contienen una copia de las

cuentas de usuario y de otros datos del Directorio Activo. Es obligatorio que haya

al menos un controlador de dominio en cada uno de ellos. Un controlador de

dominio de sólo lectura (RODC) es un nuevo tipo de controlador de dominio

disponible en Windows Server 2008, diseñado para implementar principa lmente

en entornos en donde no se puede garantizar la seguridad fís ica del servidor..

o Servidores miembro. Pertenecen al dominio y no contienen una copia de las

cuentas de usuario y de otros datos del Directorio Activo. Se utilizan para

almacenar los archivos y otros recursos de la red.

o Además de estos dos tipos, fuera de un dominio puede haber servidores

independientes que pertenezcan a grupos de trabajo.

• Para establecer una tolerancia a fallos, proporciona un servicio de replicación que

distribuye los datos del directorio por toda la red.

• El directorio Activo utiliza los nombres DNS para:

o Resolver los nombres de equipos en direcciones IP.

o Asignar nombre a los dominios.

• Por ello es necesario que en cada bosque haya, al menos, un servidor DNS.

12 C.F.G.S. Administración de Sistemas Informáticos en Red Página S

U.T.3 "Administracíón de Dominios"

1.3.-El protocolo LDAP

lDAP (Lightweight Directory Access Protocol, Protocolo ligero de Acceso a

Directorios) es un protocolo utilizado para acceder a un servicio de directorio ordenado y

distribuido para buscar información en un entorno de red. También se considera una base de

datos en la que pueden realizarse consultas.

Un directorio es una estructura jerárquica que almacena información acerca de los

objetos existentes en la red y un servicio de directorio proporciona métodos para almacenar

los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red.

1.4.- Los Dominios

los dominios son un sistema que posibilita dividir redes extensas en redes parciales

reducidas que simplifican el trabajo de administración. Comprenden un grupo de ordenadores,

usuarios y recursos de la red que cuentan con una base de datos de seguridad común.

Al igual que los servicios de directorio, coloca los recursos de varios servidores en una

única estructura organizativa. Así, a los usuarios se les conceden privilegios de conectarse a un

dominio en lugar de conectarse a servidores independientes.

Los servidores que forman parte de un dominio muestran sus servicios a los usuarios y

éstos pueden conectarse a aquellos a los que se les ha concedido permiso.

Cuando sea necesario configurar varios dominios, los administradores pueden

establecer relaciones de confianza entre los dominios. Dichas relaciones simplifican la

administración de la red, ya que un usuario necesitará tener únicamente una cuenta.

El acceso de un usuario a los recursos de un dominio es supervisado por un controlador

de dominio (en el que se dispone de una cuenta y una contraseña que es usada para controlar

el acceso a los recursos).

1.5. - El djrectorio Activo.

El Directorio Activo es el servicio de directorio incorporado en Windows server

2003/2008, y se encarga de almacenar información acerca de los objetos que forman parte de

la red y facilita la búsqueda y utilización de esa información por parte de usuarios y

administradores.

Cuenta con las siguientes características.

• Incorpora un directorio que es un almacén de datos para guardar información acerca

de los objetos. Estos objetos incluyen normalmente recursos compartidos como

servidores, archivos, impresoras y las cuentas de usuario y de equipo de red.

• Su estructura se basa en los siguientes conceptos:

12 C.F.G.S. Administración d e Sis te m as Informáticos e n Red Página 4

-·


1.- CONCEPTOS PREVIOS

1.1.- La estructura de trabajo en grupo

Los grupos de trabajo son conceptualmente contrarios a los servicios de directorio; ya

que los grupos de trabajo son dirigidos por los usuarios cuando reúnen los recursos de sus ordenadores, mientras que los servicios de directorio se administran de forma centralizada.

En ambos casos, simplemente necesitamos una conexión en red, pero en el caso de los

grupos, si nos encontramos en grandes organizaciones, vamos a tener dos problemas

principales:

• La difícil localización de algunos recursos.

• Los recursos se comparten por un número limitado de usuarios.

1.2.- La estructura cliente-servidor

Un servidor es un ordenador que permite compartir sus recursos con otros ordenadores

que están conectados a él. Los servidores pueden ser de varios tipos:

• Servidor de archivos. Mantiene los archivos en subdirectorios privados y compartidos

para los usuarios de la red.

• Servidor de impresión. Tiene conectadas una o más impresoras que comparte con los

demás usuarios.

• Servidor de comunicaciones. Permite enlazar diferentes redes locales o una red loca l

con grandes ordenadores.

• Servidor de correo electrónico. Proporciona servicios de correo electrónico para la red.

• Servidor web. Proporciona un lugar para guardar y administrar los documentos HTML

que pueden ser accesibles por los usuarios de la red a través de los navegadores.

• Servidor FTP. Se utiliza para guardar los archivos que pueden ser descargados por los

usuarios de la red.

• Servidor proxy. Se utiliza para monitorizar y controlar el acceso entre las redes. Cambia

la dirección IP de los paquetes de los usuarios para ocultar los datos de la red interna a

internet y cuando recibe contestación externa, la devuelve al usuario que la ha

solicitado. Su uso reduce la amenaza de piratas que visualicen el tráfico de la red para

conseguir información sobre los ordenadores de la red interna.

Según el sistema operativo de red que se utilice y las necesidades de la empresa, puede

ocurrir que los distintos tipos de servidores residan en e l mismo ordenador o se encuentren

distribuidos entre aquellos que forman parte de la red.

No es recomendable utilizar un servidor como estación de trabajo. Vamos a entender

como estación de trabajo el resto de ordenadores conectados a la red. A diferencia de un

ordenador aislado, la estación de trabajo tiene una tarjeta de red, y está físicamente conectada

por medio de cables al servidor.



IN DICE DE CONTENIDOS

1.- CONCEPTOS PREVIOS ................................................... .......................................................................... 3

1.1.- La estructura de trabajo en grupo .................................................................................................... 3 1.2.- La estructura cliente-servidor ........................................... ............. .............. .. ................................... 3 1.3.- El protocolo LDAP ............................................................................................................................ 4 1.4.- Los Dominios .................................................................................................................................... 4 1.5.- El directorio Activo ......................................................................................................... .................. 4 1.6.- Cómo cambiar el nombre al equipo .................................................................................................. 6

2.-INSTAlACJÓN DEL DIRECTORIO ACTIVO (ACTIVE DIRECTORY} ................................................................ 8 2.1.- Windows Server 2003 ..... ............................................................................ ........... ............. ......... .... 8 2.2.- Windows Server 2008 ............................................... ...................................................................... 10

3.- CONEXIÓN DE lA ESTACIÓN DE TRABAJO .......................................................... ........... ...... ........ .......... 17 3.1.- Desde Windows XP ............ .. ...... .................................................... ........ ............. ............................ 17

3.2.- Desde Windows Vista ...................................................................................................................... 17 3.3.- Desde Windows 7 .................................................................................... ....................................... 18

4.- LAS UNIDADES ORGANIZATIVAS ........................................................................................................... 18 4.1.- Cómo crear una unidad organizativa ...................................................................... .......... ............... 19 4.2.- Cómo mover una unidad organizativa ............................................................................................. 21 4.3.- Cómo eliminar una unidad organizativa ....................................... .... .. .......................... ................... 21

5.- LOS USUARIOS ............................ .................... .............................................. .......... .............................. 23 5.1.- Los usuarios globales o del dominio ................................................... ..... ........................................ 24

5.2.- Los perfiles móviles y obligatorios ........................................ ................................................ .... ..... .. 29

6.-LOS GRUPOS ...... ..... ..... ... ......... .......... ............................. ......... .... ..... ......... ........... ... ............................. .41 6.1.- Cambiar el ámbito de un grupo ............................................... ........ ................................................ 43 6.2.- Cuentas de grupo creadas en la instalación ..................................................................................... 43

6.3.- Los grupos globales, universales y locales de dominio ....................... .............................................. 44

7.- LOS EQUIPOS ............ .......... .... .............................................................................................................. .49 7.1.- Cómo crearlos ......... ..... ........................................................................... , ........................ ......... ...... 50 7.2.- Cómo modificarlos ........................... , .. ..................................................... ...................................... .51 7.3.- Cómo eliminarlos . ... ............... ... ... .... , .............................................................................................. 52

8.- BIBUOGRAFfA .............................. .. ... .. ........... ... ............................................................................ , ...... .53



U.T. 3· ADMINISTRACIÓN DE DOMINIOS

A<;tive Dirédory Domoirt SeT"tEE'r

. bf:Qonizotionól unas·-Users, Gr-oups. Mothlnes
