..

' -
U.T.3 "Administración de Dominios"
8.- BIBLIOGRAFÍA

11
lmplantación de Sistemas Operativos". Ed. Ra-ma. José Luis Raya Cabrera, Laura Raya
González.

11
Sistemas Informáticos Multiusuario y en Red". Ed. McGraw Hill, Francisco Javier Muñoz
López.
• Wikipedia
l Q C.F.G.S. Administración de Sistemas Informáticos en Red Pá gina 53
U.T.3 "Administración de Dominios"
• No confiar este equipo para la delegación. Si activamos esta casilla, estaremos
indicando que no se permite delegar ningún servicio en este equipo.
• Confiar en este equipo para la delegación de cualquier servicio... si activamos esta
casilla, indicaremos que se permite la delegación a servicios únicamente con el
protocolo Kerberos (para ver más información sobre este protocolo, entrar en el
siguiente enlace: http:/[es.wíkipedia.org{wiki/Kerberos).
• Confiar en este equipo para la delegación sólo a Jos servicios especificados. Al activar
esta casilla, estamos indicando que se permite la delegación a servicios concretos a este
equipo. Indicamos entonces si lo hacemos únicamente con el protocolo Kerberos o con
cualquier protocolo de autenticación. Entrando en Agregar, podremos seleccionar los
servicios en los que queremos permitir la delegación.
• Expandido. Si activamos esta casilla, veremos todos los nombres principales de servicio
que están asociados al servicio seleccionado para la delegación.
En la ficha Ubicación, veremos una pantalla en la que podremos indicar el lugar dónde se
encuentra el equipo.
En la ficha Administrado por, veremos (igual que en el caso de los grupos), el usuario o
grupo responsable de la administración de este equipo y sus datos. Podremos cambiarlo,
borrarlo .. .
En la ficha Marcado, veremos una pantalla en la que se podrá configurar el uso del Acceso
telefónico a redes del equipo. No es objeto de este temario.
En la ficha Seguridad, podremos configurar Jos permisos sobre este equipo.
7·3·- Cómo eliminarlos.
Para eliminar un equipo del dominio, simplemente, abrimos su menú contextua!, y
seleccionamos Eliminar.
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página 52
' .
' .
U.T.3 "Administración de Dominios"
Donde crearíamos el equipo. Lo único que deberíamos tener en cuenta al crear la
cuenta, es que luego tendríamos que configurar el cliente con la cuenta que ya tenemos
creada.
7.2.- Cómo modificarlos
Para modificar las cuentas de equipo o hacerlas miembro de algún grupo, debemos abrir
el menú contextua! del equipo en cuestión, y entrar en sus propiedades.
En la ficha General, vemos todos los datos del equipo, y podremos indicar la descripción
del mismo en función de lo que consideremos necesario.
Si entramos en la ficha Sistema Operativo, encontraremos la información sobre el
sistema operativo que tiene instalado el cliente en cuestión.
En la ficha Miembro de, veremos a qué grupos pertenece, y podremos agregar si
queremos que pertenezca a algún grupo más.
En la ficha Delegación (únicamente en Windows Server 2008), encontramos el siguiente
cuadro de diálogo:
1º C.F.G.S. Administración de Sistemas Informát icos en Red Página 51
U.T.3 "Administración de Dominios"
7.1.- Cómo crearlos.
Normalmente, cuando unimos un equipo a un dominio, se crea una cuenta para él de
forma automática en la carpeta correspondiente, de acuerdo con la tarea que va a realizar y
con los permisos necesarios. Vamos a comprobar en nuestra carpeta Computers que
efectivamente está el equipo que hemos configurado como cliente para realizar las prácticas.
Usuarios-,· eq.Mpos de Active Direcf fÑóffi&e: :f;".; ..... "li •
ffi '.:::;¡ COilSUtasgu.,.cl<>das •
El !ASIROOS.Iocol
Buitin

{tl Domain Controlers
[+J [:;) ForeignSetuntvPrinclpals
!±1 g LostArd'OU"Jd
Vemos que se ha creado de forma automática, al añadir el equipo al dominio. Si
queremos crear un equipo nuevo, abrimos el menú contextua! de la carpeta correspondiente y
le damos a Nuevo, Equipo
De esta forma, nos aparece el siguiente cuadro de diálogo:
11
1
C.F.G.S. Administración de Sistemas Informáticos e n Red Página 50
U.T.3 "Administración de Dominios"
OTRAS OPERACIONES CON LOS GRUPOS.
Podremos Cambiar el nombre, Mover, Eliminar, Enviar un correo al grupo, simplemente
abriendo su menú contextua!, dónde veremos todas las opciones posibles con dicho grupo.
z.- LOS EQUIPOS
' . U=rios y eQUipos de Active
!l3 Consultas 9U"'dadas
B !ASIRDOS.locol
:;:j &.iltn
&3 G.'.j COfri>U!er>
ill Clofnúl Conlrollers
lB id For olgnSorurityl'rindpols
lB i::J losiAndFO<XId
!Jl Data
¡;¡ ;::'l Symm

t!1 tflOS Quotbs
Las cuentas de equipo, representan a un equipo y se denominan (como ocurría con los
grupos) principales de seguridad en el directorio activo, ya que son objetos del Directorio
Activo, a los que se asignan automáticamente identificadores de seguridad para iniciar sesiones
en la red y tener accesos a los recursos.
Una cuenta de equipo permite iniciar sesiones en dominios con una identidad que se
puede autentificar y autorizar para tener acceso a los recursos del dominio. Cada equipo que se
conecta a la red, debe tener su propia cuenta y se utiliza para:
../ Autentificar la identidad del equipo .
../ Autorizar o denegar el acceso a los recursos del dominio .
../ Administrar otros principios de seguridad .
../ Auditar las acciones realizadas con la cuenta de equipo.
A una cuenta de equipo se le pueden conceder permisos y derechos para el dominio donde
se está creando. Debe crearse en Active Directory y se guarda en equipos que sean
controladores de dominio.
Cuando instalamos el Directorio Activo, se han creado dos carpetas para almacenar las
cuentas de equipo, lo que no significa que no se puedan almacenar en otras carpetas. Las
creadas en la instalación son: Domain Controllers, en la que se almacenarán todas las
cuentas de los equipos que sean controladores de dominio, y Computers, en la que se
almacenarán todas las demás cuentas de equipos.
1º C.F.G.S. Administración de Sis temas Informáticos en Red Página 49
U.T.3 "Administración de Dominios"
En la ficha Seguridad, establecemos los permisos sobre ese grupo:
Y en la ficha Editor de Atributos, encontramos el detalle de los atributos configurados
para el grupo con el que estamos trabajando.
1!! C.F.G.S. Administración de Sistemas Informáticos en Red Página 48
U.T.3 "Administración de Dominios"
Donde encontramos los usuarios, equipos, otros grupos ... que pertenecen al grupo que
estamos modificando. La forma de agregar objetos al grupo, es entrando en Agregar, de la
misma forma que lo hacemos siempre.
En la ficha Miembro de, se ve una pantalla que muestra los grupos a los que pertenece
el grupo seleccionado. Igual que en la pantalla anterior, podremos agregar los grupos a los que
queramos que pertenezca el grupo seleccionado.
Si entramos en la ficha Administrado por, veremos la siguiente pantalla:
Donde indicaremos el usuario o grupo responsable de la administración de este grupo y sus
datos. Podremos cambiarlo, modificarlo o borrarlo, entrando en Cambiar.
En la ficha Objeto, vemos la siguiente pantalla, que nos muestra información sobre el
objeto y podremos protegerlo de accidental.
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 47
U.T.3 "Administración de Dominios"
3 Ueuarios y e¡;¡-..ipos de Active t'Wed
1
· ·-1$· ....: • • . .,t',(f
1
.. \n,.t. .• , · ..::,·::-
ffi Consultas Adn"i11st'ador U5uario adm:n:slrad ...
S . de t "ll'e&s: Gn..¡lo · I..Wver"'AI A.c;br.b:tradote:s de 1& •..
l_j flultln . do.,,...,. Gl\o>Ode Sc...,;ciad • -.rsaJ desi;>n>do> del._ ...
Cor.-outer!O
1

ft tF...l Conu-ones a\Controledores dor.'lln:o Gt\c)o Gc Tod.·•s bscontrole<:b"es de dooir'io d ...
!!.l dt domino de. .. Gf\4'0 de · C-k\bal riert"b'os de: este Ql"t4?0 son cont ..•
: . G=odo - .. adotcs dc0t6
!!l .•
5
,_.,., ¡ li3,0n<Updat<f'n>lty Oent.sri<Sq.JI! Iiot\en-opano ...
'· a. B-1MA .........
8-12'J NTCSQuotas: ': ... • .. .
Tadaolos..,..;,es yes....,.,..de .. .
l.Jsulrio
, li!.Cowodcr.,,c.o.!n dc a>nt ... Gno>oóe .......,lld·Domnoloc.ol los lriembros deeste¡¡'\.llQroPtJ<d .. .
de repbd6ndc t0<1l .. ·!)ornO'joloc.ol Los n; erubrosde eslogr-puedenr . . .
U5u.Y1o r'ltc9'od, p.wa ei6CCCSO c:om. ••
: Gn.,>odo-- · Giobal Todos los..,1tedosdel-
. de: S«VVdd de de ...
t
del aeadot.:. d. .. Gno>o de seQL<idod • Glo!>al Los -os do cste QnC10 pueden .• ,

COMO MODIFICARLOS.
Para modificar un grupo del tipo y del ámbito que sea; añadir grupos y/o hacer miembro
a los grupos de otros grupos, seguimos los pasos siguientes:
1.- Abrimos el menú contextua! del grupo que queremos modificar, y seleccionamos
Propiedades, donde vemos el cuadro de diálogo siguiente:
En la ficha General, encontramos los datos referentes a la definición del grupo; también
podremos añadir las notas que consideremos necesarias, que expliquen para qué se utiliza el
grupo, o cualquier aclaración que se considere necesaria.
En la ficha Miembros, encontramos la siguiente información:
1 º C.F.G.S. Administración de Sistemas Informáticos en Red Página 46
U.T.3 "Administración de Dominios"

Gn.code •
6<\ClOdt- · Gid>al
Gru;»dr ·G&obel
!llibCor.b"'-'do<es""o"'"'"''"'··· ..
Gr.,. dt "'>'ódod. ll«rinOioal

CUenb inttvade P«il .. acirr.inbtra:i .•.
••
...
- • .., ..
Todos los de: d:ftHo eJ...
los de estt Qn0 soo cant ...
dtONS
or.:s qut tltl".et\per!NfO .•.
LOJ; IOl"' tOI"lt. ..
T(ldeJ los 'erJicb'es v est&cbncs Ce .•.
l oo:; r*n".twos de estt: 0'\.c:o no p.otd •..
riefrbros dteru: 9:-'UPO puedenr ...
Cotn".a W\leQ!'id.i p.IW6 et MCHO Cor:'l...

••
• ..•
...
UOJorlo
Grupo ele tewurid&d- loQol ft:r•tkf«n de este g1.100 p¡.ocdtn, •.

Nos aparece el cuadro de diálogo siguiente:
Ponemos nombre a nuestro grupo; seleccionando el tipo de grupo que queremos crear
y el ámbito del mismo, en función de Jo que hemos visto en apartados anteriores.
• Nombre del grupo. Puede tener hasta 64 caracteres y puede incluir mayúsculas y
minúsculas.
• Nombre del grupo (anterior a Windows 2000). Corresponde al nombre que aparecerá
en un sistema operativo anterior a Windows 2000 y puede incluir también mayúsculas y
minúsculas.
• Ámbito del grupo. Visto en apartados anteriores.
• Tipo de grupo. Indicamos si el grupo es de seguridad o de distribución, como hemos
visto en apartados anteriores.
Una vez rellenados los campos, al darle a aceptar, se crea un grupo que no tiene ningún
miembro.
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página 45
U.T.3 "Administración de Dominios"
• Grupos creados en la carpeta Users. Pertenecen al tipo dominio local, globales o
universales, y si se accede a ellos, en el apartado Descripción, se muestra su utilidad.
Usuarosy-
!Ew c.....-....... -
8 J.ASIROOS.bc.el
l:.i B'Mn

¡;r, DoMai> con .. -.
f:9 •
&1 ¡J lostAn<l'oln:t
rtl 11! Pl"C!9f'6mOobt
@ W

@ NTOS Quot21s

Cruood< ._;.¡.,¿ ·ln•·ersol .. di! la .......
Gn.lJ)O de ·l.Jr'ive-fA! AdrnMtndores dtl es""···
Grwo de $Qlídad • Globol Adonmulldo<., dd doo,....
Gn.<>o de ,...nlod · Qoba! Todos los mnu-.s di! domo1o d ...
.. ,...., .. ,de<icnW>ode ... Los-oode..-..,gnc>e><onconl ..
Grupo Oomno locel G!L.'POde de OHS
GruDo de- ·Global "triles DNS que tsenen penn.."SSPl!ro .••
..,._
Cr\4)0 de idod • Global
Usuorio
los ót este g'\4)0 son ml\t. .•
TodM tos strYidores y e.sQdt'l"'es de ...
Gru;>o óe • Oomrio klall Los mien'brcn de Of\!PO no •.•
GnJpo los tnletnbros: de vupo pvcden r ..•
UsiJliOO .•.
segurdad · Global Todos los def dominio
UsUIIflO CUc:r.ta de seni Oo de cenb'o de- Wtl'i .••
u.uario
l.lsuario
IJs;.JOrio
LoJ ,....os de este. vupo pueden •..
L05 rriembros de: 17\41'0 puedM ...
Grupo ú · leal los dt puedm .•.
c...po de • Qoblll Todos los usUO<los dd dorrorio
6.3.- Los grupos globales, universales y locales de dominio.
Son cuentas a las que se pueden conceder permisos y derechos en el Directorio Activo,
creadas en equipos que disponen de Windows Server, que sean controladores de dominio.
COMO CREARLOS
Para crear grupos globales, universales o de dominio local, debemos seguir los
siguientes pasos:
1.- Entramos en Usuarios y equipos de Active Directory dentro de las Herramientas
Administrativas.
2.- Abrimos el menú contextua! de la carpeta del dominio en la que queremos crear el grupo,
seleccionamos Nuevo, Grupo.
1 Q C.F.G.S. Administración de Sistemas Informáticos en Red Página 44
U.T.3 "Administración de Dominios"
• Grupos locales. Estos grupos únicamente pueden crearse en equipos que no tienen
instalado Active Directory. Pueden tener como miembros cuentas locales del equipo en
el que se crean y, si el equipo forma parte de un dominio, podrán tener también cuentas
y grupos del propio dominio y de los dominios de confianza; también pueden utilizarse
para conceder permisos en el equipo en el que se crea el grupo.
6.1.- Cambiar el ámbito de un grupo.
Al crear un nuevo grupo, éste se configura de forma predeterminada como grupo de
seguridad de ámbito global, independientemente del dominio. Se podrán realizar los
siguientes cambios de ámbito de un dominio:
• De global a universal. Esta conversión sólo se permite si el grupo global que se desea
convertir NO es miembro de otro grupo de ámbito global.
• De local a universal. Será posible esta conversión, si el grupo de dominio local que se va
a convertir no tiene como miembro a otro grupo de dominio local.
• De universal a global. Esta conversión sólo se permite si el grupo universal que se desea
convertir no tiene como miembro otro grupo universal.
6.2.- Cuentas de grupo creadas en la instalación.
Los grupos se utilizan para agregar usuarios, grupos o equipos de forma que se les
puedan asignar, más fácilmente, privilegios y hacer más sencilla su administración. Por tanto, se
puede incorporar un usuario, grupo o equipo a uno o a varios grupos teniendo, en cada uno de
ellos, unos permisos determinados que le permitirán realizar distintas funciones.
Cuando se instala el sistema operativo, y se instala Active Directory, se crean distintos
grupos de forma predeterminada:
• Grupos creados en la carpeta Builtin. Pertenecen al tipo integrado local y si se accede a
ellos, en el apartado Descripción, se muestra su utilidad.



lf.: Dan.&in Cc.nlrokrs
5 3

Datl!
¡¡¡ Svstem
.. :'J L!serr;

..,. . :X .
! Gru;» de se;¡urL. LM _,dmlrmrtdore' tien:n &o:eso cOtrPe: bv Sinrcstnco.
t DCOMAccess Gt\.lpo dt de. este 'e i)Vedtn a entid.l.
' Jitereac:besde ::onbnll. dt bosque d •.• (;rvpo de &oepo!i. . . lot Mlen'bros de dt t .
Grupode Sot-pLñ. •.
. .. . ...
.. 8¿ns_n.'5RS Qwo de u ;¡u;... Gn.l)o usado PO< lnttmen, formoton S.l\1i:<s.
l Ciruoo deseyuri ..•
, del re¡;stro dt IJ'I!embrCK de: puederl loter rt'Cistros de t\'e .
1;t\¡po de:seQ0!1. . . .•
.te.Opttadotcs C".n.:po mle:riJrosen t skeWpop.Jeden poio.i . •
. ••• .. eklorr .•
, ... • .•
f ...
f de Gr\rpo de St QIXI... LM eérnMb' ar wvidCJres del dominio
' ót: lleendu de:Terml':tal S... Gtvpo de L011 miembros deo J)I.Jtden KtualrM las ruentA.
. . •
S!,.Usua.i:i: COMdsti:Ju1dos GfWIO dt .. Q::::ie, y ;..nr o'J)ebs de C ••
1 Gn.'PO de se;vi ..• ..
•. R¿. utu61'ios ddn-:ñ tOI' dt Glsten& Q\.oO dt ::.t;ui... l M t:'lot:fl'titOSde rstc IQn.(IO a bs dotos de{.
! det u:gstro dt Crv;xl de mitn-.brw de este 91-00 puede:') Qllu.da • •
1!! C.F.G.S. Administración de Sistemas Informáticos en Red Pági na 4 3
U.T.3 "Administración de Dominios"
En Windows server, podemos encontrar dos tipos de grupos:
• Grupos de seguridad. Son los grupos sobre los que vamos a definir permisos sobre los
recursos y los objetos. Se usan para asignar derechos y permisos.
• Grupos de distribución. Son grupos en los que no es posible habilitar la seguridad. Estos
grupos, sólo se pueden utilizar con aplicaciones de correo electrónico, para enviar
correo electrónico a los grupos de usuarios y no para asignar derechos ni permisos.
En cualquier momento, podemos convertir un grupo de seguridad en un grupo de
distribución y viceversa.
Cada grupo de seguridad o de distribución, tiene un AMBITO que identifica el alcance de
aplicación del grupo. Se clasifican en cuatro tipos en función de su ámbito de aplicación:
• Grupos de ámbito universal. Este tipo de grupos, que únicamente puede crearse en
servidores que tengan instalado Active Directory, puede tener como miembros a otros
grupos universales, grupos globales y cuentas de cualquier dominio y se le pueden
conceder permisos en cualquier dominio.
Se utilizan para asignar permisos a recursos relacionados en varios dominios. Un grupo
de ámbito universal tiene las siguientes características:
./ Pertenencia abierta: Se pueden añadir miembros desde cualquier dominio .
./ Acceso a recursos en cualquier dominio. Se puede utilizar un grupo universal
para asignar permisos para acceder a los recursos que están ubicados en
cualquier dominio.
• Grupos de ámbito global. Este tipo de grupos, sólo puede crearse en servidores que
tengan instalado Active Directory. Pueden tener como miembros a grupos globales y
cuentas únicamente del dominio en el que se ha definido el grupo, y se le pueden
conceder permisos en cualquier domino.
Se utilizan frecuentemente para organizar los usuarios que comparten requisitos de
acceso similares a la red. Un grupo global tiene las siguientes características:
./ Pertenencia limitada: Se pueden añadir miembros solamente desde el dominio
en el cual se ha creado el grupo global.
./ Acceso a recursos en cualquier dominio: Se puede utilizar un grupo global para
asignar permisos para acceder a los recursos que están ubicados en cualquier
dominio.
• Grupos de ámbito local de dominio. Sólo pueden crearse en servidores que tengan
instalado Active Directory. Se utilizan frecuentemente para asignar permisos a los
recursos. Un grupo local de dominio tiene las siguientes características:
../ Pertenencia abierta: Se pueden añadir miembros desde cualquier dominio .
./ Acceso a recursos en un dominio: Se puede utilizar un grupo local de dominio
para asignar permisos para acceder solamente a los recursos que se ubican en el
mismo dominio donde S ( ~ ha creado el grupo local de dominio.
1 Q C.F.G.S. Administración de Sistemas Informáticos en Red Página 42
U.T.3 "Administración de Dominios"
Los perfiles del usuario contienen la configuración de escritorio y
otro tipo de información relacionada con su cuenta de usuario. Se
puede crear un perfU diferente en cada equipo o seleccionar el
mismo perfd móvil para todos los equipos que se utmcen
E_erfaes almacenados en este equipo:
CUENTEUNO\Administr. .. 1,01 MB l ocal local
Para crear nuevas cuentas de usuario, abra Cuentas de usuario en
Panel de control .
Aceptar J 1 Cancelar
CÓMO ASIGNAR UN PERFIL SÚPER-OBLIGATORIO A UN USUARIO
Es similar a los perfiles obligatorios que acabamos de ver, pero solamente están
disponibles para equipos cuyo sistema operativo es Windows Vista, o Windows 7
6.- LOS GRUPOS
Las cuentas de grupos representan a un conjunto de usuarios dentro del Directorio
Activo. Son objetos del Directorio Activo, y se les asignan automáticamente una serie de
identificadores de seguridad.
En definitiva, un grupo es una colección de cuentas de usuario. Los grupos simplifican la
administración permitiendo asignar los permisos y derechos a un grupo de usuarios en lugar de
tener que asignar los permisos a cada cuenta de usuario individual. los usuarios pueden ser
miembros de más de un grupo.
Nuevamente, debemos tener muy clara la diferencia entre permisos y derechos.
Cuando se asignan permisos, se da a los usuarios la capacidad de acceder a recursos específicos
y se define el tipo de acceso que tienen. Por ejemplo, si varios usuarios necesitaran leer el
mismo archivo, se añadirían sus cuentas de usuario a un grupo. Entonces se dará a ese grupo el
permiso de leer el archivo. Los derechos permiten a los usuarios realizar t areas de si stema,
tales como cambiar la hora en un equipo, realizar copias de seguridad o restaurar archivos, o
iniciar una sesión localmente.
12 C.F.G.S. Administración de Sistemas Informáticos en Red Página 41
U.T.3 "Administración de Dominios"
lj¡ Documentos
~ Imágenes
fJif Música
{!f Cambiados reóentem ...
m Búsquedas
~ Acceso público
~ ~ - Datos de programa
. ! ~ ~ ~ Elementosreóentes ·
Ú Entorno de red
J) Escritorio
.;tlFavoritos
J : ~ Impresoras
J)·Menú !nido
J ~ Mis doCUfl)entos
.t· Plantillas
29/01/2fJ12 21:29
2S{Ol/'l012 21:29
26/01/2fJ12 22:16
29/01/XJ12 21.:30
29/0l/2012 21:29
26/01/2012 22:16
26/0 1/2JJ 12 22: 16
29/0l/2JJ12 21:29
26/01/2012 22:21
Carpeta de archi. ..
Carpeta de ardlí ...
Carpeta de archi •..
Carpeta de archi ...
Carpeta de archi •. .
Carpeta de orchi ...
Carpeta de archi .. •
Carpeta de archi ...
Carpeta de archi. . .
29/01/201221:30 Opdonesdecon .. , lKB
Al cambiar el nombre, nos aparecerá el siguiente cuadro de diálogo:
Hacemos clic en Si.
En este momento, el perfil ya es obligatorio.
Accedemos con el usuario en concreto desde el equipo cliente, y posteriormente, si queremos
comprobar que efectivamente dicho usuario tiene un perfil obligatorio, como Administrador,
en el equipo cliente, vemos desde las propiedades de Mi pe, los perfiles de usuario que han
entrado al sistema:
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página 40
U.T.3 "Administración de Dominios"
CÓMO ASIGNAR UN PERFIL OBLIGATORIO A UN USUARIO
Si lo que queremos es que un usuario pueda acceder desde cualquier equipo conectado
al dominio, pero que no pueda realizar ningún cambio en su perfil (realmente podrá real izar
cambios, pero no permanecerán cuando dicho usuario apague el equipo)¡ lo que tendremos
que hacer es asignarle un perfil obligatorio.
Para asignar un perfil obligatorio, en primer lugar, tendremos que crear un perfil móvil
cómo acabamos de ver en el apartado anterior, y acceder desde el equipo cliente como ya
hemos visto.
Una vez que tenemos las carpetas correspondientes al perfil del usuario creadas en el
servidor, como vemos en la siguiente imagen (os recuerdo que si no se ven todas las carpetas,
debemos entrar en Herramientas, Opciones de carpeta, y marcar o desmarcar las opciones
adecuadas para ver todas las carpetas, documentos y sus extensiones.):
~
Documentos
. ~ e Datos de programa 29/01/2D12 21,29 Carpeta de archí ...
fi;¡ Imágenes ;Qj Elementos redentes 29/01/2012 21:29 Carpeta de archi,. ,
l'.f Música
. ¿,, Entorno de red 26/01/2012. 2.2.: 16 Carpeta de archl. ..
¡; Cambiados redentem ...
~ ~ ~ Escritorio 29/01/2012 21:30 Carpeta de arc:hi ...
fB
Búsquedas
¡lt Favoritos. 2!3/01/2012 21:2.9 Carpeta de archi .. .
i" Impresor a:; 26/01/2012 22.:16 Carpeta de archi ., .
Acceso público
J ~ f"lenú Inid(> 26/0 1/20 12 22.: 16 Carpeta de archl ...
·JJ f>'lis. dorumentos 29/01/2012 21:29 Carpeta de arcni, , •
:o Pl<lr)tillas 2f>/O 1j20 12 22:21 Carpeta de archi ...
J . ~ SendTo
29/0 1/20 12 21:29 Carpeta de archi ...
: . . ~ J NTUSER.DAT 29í01/2012 21:30 ArchivoDAT 512KB
Lj ntuser .dat.LOG 29/01/2012 21:30 Documento de t ... lKB
; ~ ntuser .Jni 29/01/2012 21:30 Opdones de con ... lKB
Una vez que tengamos todas las carpetas visibles, debemos "transformar" este perfil
móvil en obligatorio. Para ello, localizamos el fichero NTUSER.DAT que es donde se almacenan
toda la información acerca del perfil; y cambiamos su extensión (lo renombramos) por
NTUSER.MAN. Con MAN (abreviatura de Mandatory), hacemos que dicho perfil pueda usarse
desde cualquier equipo que pertenezca al dominio, pero que no se guarde ninguna
modificación que sea realizada en él.
12 C.F.G.S. Administración de Sistemas Informáticos en Red Página 39
U.T.3 "Administración de Dominios"
En la ventana que aparece, podremos ver que efectivamente, el perfil con el que hemos
accedido al cliente es Móvil:
Luego con este usuario, al haberle asignado un perfil móvil, nos aseguramos que pueda
acceder desde cualquier equipo que esté conectado al dominio, y además cualquier cambio
que realice en su perfil, quedará grabado en la carpeta correspondiente del usuario dentro del
dominio.
1 º C.F.G.S. Administración de Sistemas Informáticos en Red Página 38

usuario:
!;;_ontraseña:
U.T.3 "Administración de Dominios"
-·-····-······-··········--··:.- .. -............ ' .......• ·- . .. .. - - 1
Conectarse a: l tASIRDOS

O Iniciar sesión usanQo una (Onexión de acceso telefónico
[ 1 Cal)celar J[ BPagar. . 1 [ Qpciones « )
5· Una vez que el usuario ha entrado por primera vez al cliente, se crearán en el Servidor,
en la carpeta que hemos compartido las carpetas correspondientes al perfil del usuario:
DoOJmentos
Jmá9enes
fi 1'1ÚSICa
(F Cambiados reáentem ...
m Búsquedas
}/ Acuso púboco
h Mení Iniáo
.U l'iis docunentos
¡¡
(
·'
2f./01/Ul12 22:24
2f.(Ol/2IJ12 23:07
2h(D1/Ul 12 23:06
26/01/2IJ12 22:16
26/01/2012 23:06
Carpeta de archi. ..
(<lfP<'tl!l de archi .. .
CNJ>eta de archi .. .
de arcll., .
Si no vemos todas las carpetas, entraremos en Herramientas, Opciones de carpeta, y
marcaremos o desmarcaremos las opciones correspondientes.
6. Si queremos comprobar que efectivamente el usuario con el que hemos accedido al
equipo cliente tiene configurado un perfil móvil, entraremos como Administrador al
equipo cliente, y entraremos en las propiedades de Mi PC, en la ficha Opciones
Avanzadas, en el apartado correspondiente a Perfiles de usuario
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página 37
U.T.3 "Administración de Dominios"
su ficha Perfil, donde tendremos que poner la ruta correspondiente al perfil que
queremos utilizar.
En la ruta de acceso al perfil, escribimos la siguiente ruta:
\\NOMBRE DEL SERVIDOR\RUTA COMPLETA DE LA CARPETA\%username%
Donde %username% será sustituido de forma automática por el nombre del usuario, la
primera vez que dicho usuario acceda al dominio desde cualquier equipo cliente.
En cuanto a la Carpeta particular, marcamos Conectar, le asignamos una unidad de red,
y escribimos la misma ruta que hemos indicado para el acceso al perfil. De esta forma,
conectamos de forma permanente el usuario a su perfil guardado en el servidor.
Le damos a Aceptar, y el usuario ya estará configurado.
4. A continuación, debemos acceder desde un equipo cliente con el usuario que acabamos
de configurar:
12 C.F.G.S. Administración de Sistemas Informáticos en Red
Página 36
U.T.3 "Administración de Dominios"
2. En ese momento, la carpeta queda compartida:
Si entrásemos en esta carpeta, comprobaríamos que en est e momento se encuentra
vacía.
11[) Dorumentos
Imágenes
ID
3· Como Administrador, entramos en las propiedades del cualquier usuario al que le
queramos apli car el perfil móvil que acabamos de guardar, y nos vamos directamente a
1!! C.F.G.S. Administración de Sistemas Informáticos en Red Página 35
U.T.3 "Administración de Dominios"
En ella vamos a seleccionar el usuario sobre el que hemos realizado los cambios y cuyo
perfil queremos copiar a la carpeta compartida PERFILES creada en el servidor, para poder
utilizar este perfil en otros usuarios. Para ello, con el usuario marcado, pinchamos en Copiar a,
donde vemos el siguiente cuadro de diálogo:
Donde seleccionaremos la carpeta que hemos creado, entrando en Examinar, y una vez
seleccionada, le damos a Aceptar. Nos avisará de que el contenido de la carpeta será eliminado,
pulsamos en Continuar, y ya hemos copiado el perfil de dicho usuario.
Podremos utilizar este perfil preconfigurado en tantos usuarios como queramos.
DEBEMOS TENER EN CUENTA, QUE 51 TRABAJAMOS CON UNA CONEXIÓN DE RED LENTA,
ES ACONSEJABlE UTILIAR El PERFIL lOCAl DE CADA EESTACIÓN DE TRABAJO EN LUGAR DEl
MÓVIL.
CÓMO ASIGNAR UN PERFIL MÓVIL A UN USUARIO
Para crear un perfil móvil:
1. Creamos en el servidor una carpeta y la compartimos, asignándole en nivel de permisos,
Copropietario.
1!! C.F.G.S. Administración d e Sistemas Informáticos en Red Página 34
U.T.3 "Administración de Dominios"
A continuación, vamos a entrar en el Panel de Control, Sistema, Configuración avanzada
del sistema,
Una vez que entramos en Configuración de Perfiles de usuario, vemos la siguiente
pantalla:
1 º C.F.G.S. Administraci ón de Sistemas Informáticos en Red Página 33
U.T.3 "Administración de Dominios"
3.- Una vez que hayamos realizado todos los cambios deseados, cerramos la sesión con el
usuario creado, y volvemos a iniciar sesión con el administrador. Creamos una carpeta en el
servidor, que designaremos para guardar los perfiles, y la compartimos.
19/01/2008 10:40 Ci

En la ventana que aparece, pinchamos en el botón de Uso compartido avanzado, donde
obtenemos la siguiente ventana:
En el botón Permisos, asignamos los permisos que consideremos oportunos a los
diferentes usuarios que pensemos que tengan acceso a esta carpeta. Le damos a Aplicar y
Cerrar.
4.- A continuación, entramos nuevamente en las propiedades del usuario que hemos creado y
sobre el que hemos modificado el perfil, y nos situamos en su pestaña Perfil (entraremos en
Usuarios y equipos del dominio, y sobre el usuario, con el botón derecho, entramos en
propiedades). Ahí, vamos a rellenar la ruta de acceso a su perfil, conforme hemos visto que se
ha de crear en el apartado anterior.
P C.F.G.S. Administración de Sistemas Informáticos en Red Página 32
U.T.3 "Administración de Dominios"
• Ruta de acceso local. Indica el directorio local privado del usuario donde almacenará sus
archivos y programas, que tendrá el formato: C:\nombre del subdirectorio\nombre del
usuario.
• Conectar. Permite conectar a una letra de unidad a un directorio de red compartido y
conectarse a dicho directorio al inicio de sesión con el formato \\nombre del
servidor\nombre compartido del subdirectorio privado\nombre del usuario.
CÓMO CREAR UN PERFil PRECONFIGURADO DE USUARIO
Podemos crear un perfil de usuario que se pueda copiar a otros usuarios¡ para ello
seguimos los siguientes pasos:
1.- En primer lugar, creamos un usuario que nos servirá únicamente para preparar el perfil
preconfigurado. Nos conectamos al equipo con dicho usuario.
Debemos tener en cuenta qué tipo de usuario hemos creado en el equipo, ya que por
defecto, sólo se permite el inicio de sesión local a un determinado número de usuarios. Dichos
usuarios se especifican en una directiva de seguridad local, a la cual accedemos a través de
Herramientas administrativas, Directivas de Seguridad local, Directivas locales, Asignación de
derechos de usuario.
conr10u"'""" de seourldad
[á de a.ten!a _
¡,.Q Otectr.:a de contrasBlM
Oiredh:a de bloq;.J!o ru!ntll
[tJ Cfl Di'ectiv., Kerbtros
El O.octivas locales
¡¡¡ ;'Ji DirectiVa aud.Wria

[+] .. ·-·-
8 de WmOO.ws con avan!ada
Ü O.ec':lvas de Aaninlstrodor de !.st21s de redes
El 2'] Directivas de clave púbka
[¡J Directivas dr: restrkdón de software
ffi sogurldod lP en Equipo loco!
·. . , l'llnido de: cerno U:rvido
Dtne¡¡ar el ir1do de oesión CllmO tr"""jo .. .
. it) Oene9or .J ir1do de sesión loc.almontt
·' Den!9M illdo di! a través de Ter ...
: prooromas Admlnistrl!dores
, f,BForzar Oerre oo Ztema remoto de serv ...
· fJá Geno<or auditorios de segu-idad SERVlOO LOCAL.Senñcio de red
. ;ji¡¡ Hal>liw confianza con •1 e<l\JW y !los ru... Administradores
de seg.widad de armr.!OS y... Actr<nstradores,Opers. d• serv .••
-..ión como ¡¡causo PO< lotg Adrrinlstrl!dores,Operadores de ...
lrítiar sesión como
la etiQueU. do l.l'l objeto
, ""'' velores de- entorno firmwa-e
acceso all>Ó'niniStrador de a ed ...
Penn br él1n Oj de !;eslón local Admlrli!:b'adores,Oper!:. de a;e •.
Perrritir Inicio de -..ión a través de Termi. .. Admiristrodores
!fj Qút« eQUipo do le estación de occplomi... Administradores
; tareas de mantenimiento del vol.. . Administradores
' ii1i un sínbolo (token) de riv.J d.. . SER\1100 LOCAL,Secvicio de red
wdWcs ydrec:t:orios
· iSl Sinaorizor los datos dd servicio de &roe •. .
Sul:>lbntN i!l un diente la avte.ntkbd&-1 SERVICIO LOCAL ;Servido de re ...
1
• •
!.B Tenor •«eso• desde la red Todos,Usuarios ... ·
,llij Tornor posesión de ordivos y otr<n objetos
Si entramos en esta directiva, para configurarla debemos tener acceso a internet. La
forma más cómoda de crear un perfil, es crear un usuario dentro del grupo de Administradores.
2.- Cuando nos hayamos conectado, se habrá copiado el perfil Default User a dicho usuario
como perfil local. Una vez que estemos dentro, configuramos el escritorio de la forma que nos
dé la gana, cambiando fondo, colores, accesos directos ... , y guardamos los cambios en el perfil
local del usuario.
1
2
C.F.G.S. Administ r ación de Sis temas Informáticos en Red
Pá gina 31
U.T.3 "Administración de Dominios"
Todos los scripts de inicio de sesión que se van a utilizar desde la ficha Perfil de un usuario
únicamente se ejecutarán para los usuarios a los que se les haya indicado expresamente y se
han de guardar por defecto en \windows\sysvol\sysvol\<nombre del dominio>\scripts (sysvol,
se crea cuando instalamos el Directorio Activo.
~ La ruta de acceso local
Indica el directorio local privado de cada usuario donde puede almacenar sus archivos y
programas. Así mismo, es el directorio predeterminado que se utilizará en el Símbolo del
sistema y en todas las aplicaciones que no tienen definido un directorio de trabajo. Su
utilización es incompatible con conectar a una unidad de red.
~ Conectar a una unidad de red.
Indica la letra deseada que estará conectada al directorio de red, es decir, a un directorio
compartido, privado de cada usuario, donde puede almacenar sus archivos y programas en el
servidor. Debe ser creado antes de especificar su ruta en el cliente. Su uso es incompatible con
la ruta de acceso local.
~ La ficha perfil.
Para estJblecer todos los datos correspondientes al perfil de un usuario, tenemos que
acceder a las propiedades de dicho usuario, y entramos en la ficha Perfil:
• Ruta de acceso al perfil. Se utiliza para indicar la ruta de acceso de red para activar un
perfil móvil u obligatorio para el usuario seleccionado. Dicha ruta, tendrá el siguiente
formato: \\nombre del servidor\nombre compartido de carpeta de perfiles\nombre de
usuario.
Si no se rellena, tomará el perfil que se creó por defecto al dar de alta al usuario y
realizar su primera conexión (Default), que será un perfil local. La carpeta compartida
tiene que ser un directorio nuevo y distinto al suyo de la carpeta Usuarios en Windows
Server 2008, o de Documents and settings en Windows Server 2003.
• Script de inicio de sesión. Se usa para indicar el nombre de un archivo donde se guarda
el script de inicio de sesión del usuario seleccionado.
1º C.F.G.S. Administración de Sistemas Infor máticos en Red Página 30
U.T.3 "Administración de Dominios"
Desde donde podremos, además de ponerle una contraseña nueva, desbloquear la cuenta de
usuario si ha sido bloqueada por un número excesivo de intentos de inicio de sesión.
5.2.- Los perfiles móviles y obligatorios
En temas anteriores, hemos hablado de perfiles de usuario y también se vio cómo crear un
perfil local. Una vez que hemos instalado un dominio, podemos ver el resto de perfiles de
usuario que podemos encontrar.
)> Los perfiles móviles.
Es el perfil que se asigna a cada usuario, que puede modificarlo como quiera, y dichos cambios
permanecerán al finalizar la conexión. Cuando un usuario cambia su perfil; dichos cambios se
guardan temporalmente en los archivos ntuser.dat.LOG1 y ntuser.dat.LOG2; de forma que
cuando finalice su sesión, se copiarán en el archivo ntuser.dat (creado durante la creación del
controlador de dominio), de esta manera, los cambios permanecerán para la próxima vez que
inicie una sesión.
)> Los perfiles obligatorios.
Este tipo de perfiles tiene la misma estructura que los perfiles móviles, pero asegura que los
usuarios trabajen en un entorno común. Por lo tanto aunque realicen cambios, cuando cierren
la sesión, dichos cambios se perderán; sólo el Administrador puede realizar cambios en estos
perfiles.
)> Los perfiles súper-obligatorios.
Son perfiles obligatorios, pero que aseguran que los usuarios trabajen con su propio perfil, y
sólo con ese; es decir, si al iniciar sesión, no se puede cargar el perfil, no podrá iniciar sesión en
el equipo.
)> Los scripts de inicio de sesión.
Se entiende por script de inicio de sesión (llamado en Windows Server 2003 Secuencias de
comandos de inicio de sesión) a un archivo de proceso por lotes (BAT) que se ejecuta
automáticamente cuando el usuario inicia una sesión de red.
12 C.F.G.S. Administración de Sistemas Informáticos en Red Página 29
U.T.3 "Administración de Dominios"
Entramos en "Horas de inicio de sesión", y ahí encontramos la siguiente ventana:
Simplemente haremos doble clic sobre el cuadrado que nos interese, y le permitiremos o
denegaremos inicio de sesión.
OTRAS OPERACIONES CON LAS CUENTAS DE USUARIO
Prácticamente cualquier operacton que queramos realizar con una cuenta de Usuario de
Dominio, podemos realizarla desde su menú contextua!: Cambiarle el nombre, restablecer la
contraseña, agregarla a un grupo ... , simplemente pinchando la opción adecuada de su menú
contextua!; por ejemplo si tenemos que restablecer la contraseña, pinchamos en el menú
contextua!, y se abre la siguiente ventana:
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 28
U.T.3 "Administración de Dominios"
Si vamos entrando en todas las pestañas, podemos ir viendo qué podemos configurar
en cada una de ellas.
En la pestaña General, Dirección, Teléfonos, Organización, encontramos los datos
personales y laborales del usuario que tenemos en el dominio. En el resto de pestañas,
podemos configurar permisos, atributos.. . concretos para ese usuario seleccionado. Por
ejemplo, si quisiéramos limitar el número de horas de uso de determinado usuario, entraríamos
en la pestaña Cuenta
1!! C.F.G.S. Administración de Sistemas Informáticos en Red Página 27
U.T.3 "Administración de Dominios"
forma similar. A la derecha vemos el nombre del dominio donde lo estamos creando
(sufijo UPN) pero si tuviésemos más de un dominio, podemos pulsar el triángulo que
hay a la derecha del campo, y seleccionar otro.
• Nombre de inicio de sesión de usuario (anterior a Windows 2000), aquí se indicará el
nombre de usuario que utiliza para iniciar sesiones con versiones de Windows más
antiguas ( 95, 98, NT), sólo se cambiará si es distinto que el anterior, como mucho
admite 20 caracteres.
4· Una vez finalizado el registro, pulsamos en Siguiente, y encontraremos el cuadro de
diálogo de Nuevo objeto, donde rellenaremos lo correspondiente a la contraseña del
usuario, en función de lo que le queramos configurar.
s. Cuando finalicemos, pulsamos en Siguiente, nos mostrará un resumen del proceso
realizado, y le daremos a Finalizar.
Una vez creado el usuario del dominio, si abrimos su menú contextua(, y pinchando en
Propiedades, podremos realizar diversas operaciones de gestión sobre el usuario, aparece la
siguiente pantalla:
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página 26
Usuar\os y equipos: de
::.:J CorlSI..IItas
8 :ft; lASIRDOS.k>cal
oo G B<Aitin
!'-! d COfrlllVIm
tti QJ Domai."''
\E ¡_:::) Fc.retQnSecurityPrindpcJs
t±i CJ LootAndFound
l'-J Proorom De te
i.+j System
• e¡ !'!m
00 D NTDS Quotas
U.T.3 "Administración de Dominios"
Grupo de seguridad - un.versal
Grupo de secp-idad - Universal
d... Grupo de • G:ob61
lil c:ontrolac:k>re... Grupo de segyrld•d · Global
...

. . .

O .• •
del d .. .
S! Grupo derep .. .
S:tGrupo de rep ..•

de . . .
!. krbt¡¡t
li!,Propletllrios •.•
:!!!,Publcadores ...
R ••.
del ...
Grupo de seguridad • Global
Grupo de <egYridad - Domínl<i loco!
Grupo de segurldod • C4obol
de · Urt,.,.s.t
Grupo de seouridad · Global
Grupo de seguridad -Dominio rol
Grupo de oe¡¡urldad -Dominio loc.>l
Usuori<>
Grupo de seguridad - Global
Usuario
Grupo de seguridad • Global
Grupo de seouridad • O<lmilio local
Grupo de seguridad -Dominio local
Grupo de seguridad -Global
Administradores desigmd ...
Adtrnstradore designad •. .
Todos los controladores d .•.
los miembros de este: gru .. .
Grupo de admirolstrodores .. .
Cbentes DNS que benen p .•.
Los miemos dr estegru •.•
Toda$ los ser.lidores y est. ..
Los miemos de em ll'U ...
Los mlrmbros de este Qfu •• •
Cu!nta ''legrada pNa el .. .
Todos los Invitados del do .. .
Cuenta de servióo de ctn ...
Los miembros de estegru, ..
los miembros de estegru .. .
los sen.1dores de este g .. .
Todos lc.s usucrios del do .. .
3· Abrimos el menú contextua! de Users, y ahí elegimos Nuevo, Usuario. Aparece una
ventana como la siguiente:
En esta ventana, encontramos los espacios correspondientes para rellenar los datos del
usuario que estamos creando; debemos considerar lo siguiente:
• Nombre, puede tener una longitud de hasta 28 caracteres.
• Iniciales, hasta 6 caracteres.
• Apellidos, hasta 29 caracteres.
• Nombre completo, hasta 64 caracteres.
• Nombre de inicio de sesión del usuario, inicialmente, lo más lógico es diseñar una
norma para establecer los nombres de los usuarios, para que todos se identifiquen de
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Pági na 25
U.T.3 "Administración de Dominios"
5.1.- Los usuarios globales o del dominio.
Un Usuario global o usuario del dominio, es una cuenta que puede ser administrada
desde el servidor, mediante la concesión de permisos y derechos para el dominio en el que se
está creando. Se crea en los Servicios de dominio del Directorio Activo y se guarda en equipos
que son controladores de Dominio; es decir, se almacenan en el Servidor de DNS.
5.2.- Los perfiles móviles y obligatorios.
CREACIÓN Y MODIFICACIÓN DE USUARIOS DEL DOMINIO
Una vez que hemos creado nuestro dominio, y queremos compartir y usar los recursos
de forma común a través de nuestra red, debemos crear los usuarios. Para ello, seguimos los
siguientes pasos:
1. Entramos en las Herramientas administrativas, y ahí, entramos en Usuarios y equipos
de Active Directory, donde veremos la siguiente pantalla:
' ¡r-e<
! W Computers
i Domaln Con t ...
""-'¡
L;.:;; ForeignSeOJr. ..
, r· ':'i LostAndFound
Prooram Data
System
,-e¡
w.; Users
i."; NIDS Quot.s

Contenedor
Unidad organizativa
Contenedor
lostAndFound
Contenedor
Contenedor
Contenedor
msDS-<¿uotaContlliner
infrestrudureUpdate
Defaultcc
Default cc
Default ce
Defaull ce
Default lo•
Bu1tin sys
Default ce
Quota Spf
2. Pinchamos en el signo que hay a la izquierda del dominio, y se desplegará su
contenido. Hacemos clic sobre Users, que se encuentra en el panel izquierdo, y en ese
momento, en el panel derecho, aparecerán los usuarios y grupos que hay dados de alta
en el Directorio Activo.
1º C.F.G.S. Administración de Sistemas Informáticos en Red
Página 24
U.T.3 "Administración de Dominios"
Una vez que hayamos desmarcado esta casilla, podremos eliminar la Unidad
Organizativa.
S·· LOS USUARIOS
Las cuentas de usuario representan a una persona y se denominan principales de
seguridad dentro del directorio Activo, ya que son objetos del directorio a los que se asignan
identificadores de seguridad para iniciar sesiones en la red y tener acceso a los recursos.
Una cuenta de usuario, permite que un usuario inicie sesiones en equipos o dominios
con una identidad que se puede autentificar y autorizar para tener acceso a los recursos del
dominio.
Debemos tener una cuenta creada para cada usuario que se conecta al dominio, ya que
una cuenta de usuario en el dominio, se utiliza para:
./ Autentificar la identidad del usuario .
./ Autorizar o denegar el acceso a los recursos del dominio .
./ Administrar otros principales de seguridad (otras cuentas de usuario) .
./ Auditar las acciones realizadas con la cuenta de usuario que ha accedido al Dominio.
En Windows Server, los usuarios pueden ser de dos tipos:
• Usuarios globales o usuarios del dominio. Estas cuentas se crean en los Servicios de
Dominio del Directorio Activo, se guardan en los controladores de dominio y pueden
usarse para conectarse a los dominios en que están creadas, y a los dominios que se
han denominado de confianza.
• Usuarios locales. Estas cuentas se crean y guardan en equipos que no son
controladores de dominio y, por tant o, no pueden usarse para conectarse a ningún
dominio.
Windows Server, al igual que otras versiones de Windows, crea durante el proceso de
instalación dos cuentas de usuario, que pueden usarse para iniciar una sesión y tener acceso a
los recursos; estas cuentas, obviamente son:


La cuenta de usuario Administ rador, que permite administrar el equipo en el que se
creó. Esta cuenta puede ser renombrada o deshabilitada, pero no puede ser eliminada ni
quitada del grupo local de Administradores. Es importante, sobre todo, proteger esta
cuenta con una contraseña especial, así como crear otras cuentas de administradores.
Debemos evitar en la medida de lo posible, iniciar una sesión como Admi nistrador en el
servidor, para evitar ataques y problemas de seguridad.
La cuenta de usuario Invitado. Normalmente, esta cuenta está deshabilitada, y
tratándose de un servidor, debería permanecer de esta manera. Esta cuenta sí puede
eliminarse del equipo.
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página 23
U.T.3 "Administración de Dominios"
¡··-·---·--«- ·-·----·-•-•••----- •Loo ••-• - -----••••••••-----··- • •••'- •• - ' - ·-·---··-
!.
Si pulsamos en Si, podemos encontrarnos el siguiente cuadro de diálogo:
Evidentemente, si el usuario con el que hemos iniciado sesión no pertenece al grupo
Administradores, no podremos realizar esta acción, pero sí además, al crear nuestra unidad
organizativa hemos señalado la casilla "proteger contra eliminación accidental", no nos
permitirá eliminarla hasta que un usuario administrador "desactive" esta casilla.
Para ello, en el menú contextua! de la Unidad organizatíva, abrimos sus propiedades,
desmarcando la casilla dentro de la pestaña Objeto.
1
11
C.F.G.S. Administración de Sistemas Informáticos en Red Pági na 22
U.T.3 "Administración de Dominios"
4.2.- Cómo mover una unidad organizativa.
Para mover una unidad organizativa de un dominio, debemos seguir los pasos
siguientes, que en líneas generales coinciden para ambos Windows Server 2003 y 2008:
1.- Entramos en Usuarios y equipos de Active Directory dentro de Herramientas
Administrativas del menú Inicio. Una vez ahí, nos situamos sobre la unidad organizativa que
queramos mover; abrimos en este momento su menú contextua! con el botón derecho del
ratón, y seleccionamos Mover.
2.- En ese momento, se abre una pantalla en la que nos permite el contenedor al que deseamos
mover la unidad organizativa seleccionada.
Computem
Domain ControAm
ForeignSecuil)'f'rincipals
-
Una vez que decidamos en qué contenedor vamos a incluir nuestra unidad organizativa,
en función de lo que contenga, le damos a aceptar, y nuestra unidad organizativa, aparecerá en
el nuevo contenedor al que la hemos movido. Debemos tener en cuenta, que para realizar esta
acción, es necesario que hayamos iniciado la sesión como Administrador.
4·3·- Cómo eliminar una unidad
Para eliminar una unidad organizativa, hay que tener en cuenta si fue creada con la
opción Proteger contenedor contra eliminación accidental (recordemos que esta opción
solamente la encontraremos en Windows Server 2008). Si ha sido así, previamente tendremos
que desactivar esta opción; para ello, seleccionamos Características avanzadas del menú Ver,
vemos las propiedades de la unidad organizativa que queremos eliminar, y en la ficha Objeto,
desactivamos dicha casilla y hacemos clic en Aceptar. Una vez realizado este proceso, ya
podremos eliminar la unidad organizativa, simplemente seleccionando Eliminar, en el menú
contextua! de la unidad organizativa que queremos eliminar. Aparece la siguiente ventana:
12 C.F.G.S. Administración de Sistemas Informáticos en Red Página 21
U.T.3 "Administración de Dominios"
3· En la pantalla que aparece, escribimos el nombre que le queramos dar a nuestra unidad
organizativa. Una vez que le demos a Aceptar, aparecerá una nueva carpeta en el panel
izquierdo.
Usuer!O$ y equipas
ilJ Coooulw ¡¡uordado•
e é-':3 la!r.iouJI
@j 'd""@IS*'i!.i'
lll t:! ruHin
Con';lUt.ers
!ti !31 Doman Controlen
(+) Gn
Hl C"1 Users
4· Una vez creada la unidad organizativa, podremos crear dentro de ella los objetos que
deseemos.
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 20

U.T.3 "Administración de Dominios"
• Si dos partes de la misma red están separadas por un vínculo lento que hace
prácticamente imposible que el tráfico pueda atravesarlo, es conveniente dividir la red
en dominios independientes
• Si se necesita reflejar la estructura de la organización, es conveniente dividir el dominio
en unidades organizativas en lugar de crear dominios independientes.
• Si se desea delegar el control administrativo en pequeños conjuntos de usuarios, grupos
y recursos, es conveniente dividir el dominio en unidades organizativas; además, en el
caso de futuros cambios en la organización solamente tendremos que modificar algunas
unidades organizativas y no todo el dominio.
4.1.- Cómo crear una unidad organizativa.
Para crear una unidad organizativa en un dominio, debemos seguir los pasos siguientes,
que en líneas generales coinciden para ambos Windows Server 2003 y 2008:
1. Entramos a las Herramientas administrativas de nuestro servidor, y pinchamos en
Usuarios y equipos de Active Directory.
2. Nos situamos en el dominio en el que queremos crear la unidad organizativa, y abrimos
su menú contextua!, ahí, seleccionamos Nuevo y elegimos Unidad organizativa. En
Windows Server 2008, debernos activar la casilla Proteger contenedor contra
eliminación accidental para evitar el borrado accidental de la unidad organizativa que
estamos creando (en Windows Server 2003, no está disponible esta opción)
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 19
U.T.3 "Administración de Dominios"
2.- Marcamos el Protocolo TCP/IP y escribe dentro de sus propiedades y le pondremos la
dirección IP que corresponda.
3.- Por otro lado, si seleccionamos Propiedades del menú contextua! Equipo, veremos el
nombre del equipo y el dominio o grupo de trabajo al que pertenece.
4.- Entramos en Cambiar la configuración, y cambiaríamos ahí el nombre del equipo y el
dominio al que pertenece.
3· 3. - Desde Windows 7
Para conectar una estación de trabajo que tiene instalado Windows 7 instalado, a un
servidor, se deben seguir los pasos siguientes:
1.- En las Propiedades del menú contextua( de Red, seleccionamos Cambiar configuración del
adaptador, después, entramos en Propiedades del menú contextua! de Conexión de área local.
2.- Marcamos el Protocolo TCP/IP y escribe dentro de sus propiedades y le pondremos la
dirección 1 P que corresponda.
3.- Por otro lado, si seleccionamos Propiedades del menú contextua! Equipo, veremos el
nombre del equipo y el dominio o grupo de trabajo al que pertenece.
4.- Entramos en Cambiar la configuración, y cambiaríamos ahí el nombre del equipo y el
dominio al que pertenece.
4·- LAS UNIDADES ORGANIZATIVAS.
Las unidades organizativas, son contenedores del Directorio Activo en los que se
pueden colocar usuarios, grupos, equipos y otras unidades organizativas. Lo único que no
pueden contener dichas unidades organizativas son objetos de otros dominios.
Es el ámbito o unidad más pequeña a la que se puede asignar derechos o a la que se
puede delegar el control administrativo. Con las unidades organizativas, se pueden crear
contenedores dentro de un dominio que representen las estructuras lógicas y jerárquicas
existentes dentro de una organización. De esta forma, se puede administrar la configuración y
el uso de cuentas y recursos en función de un modelo organizativo determinado.
Con ellas, se pueden ver más fácilmente los objetos del directorio de un dominio y
simplificar su administración. También podremos distribuir las tareas administrativas del
dominio entre varios administradores, de forma que sus responsabilidades coincidan en la
mayor medida posible con las que tienen asignadas en la organización.
Si necesitamos decidir la división de una parte determinada de la red en dominios o
unidades organizativas, se han de tener E ~ n cuenta las siguientes recomendaciones:
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 18
U.T.3 "Administración de Dominios"
3·- CONEXIÓN DE LA ESTACIÓN DE TRABAJO
Una vez que se ha instalado el servidor, hay que proceder a conectar las estaciones de
trabajo a dicho servidor para que autentique a los usuarios y se puedan utilizar sus recursos.
Para ello tenemos que configurar la estación de trabajo con la IP correspondiente, y la dirección
IP del servidor DNS que tengamos instalado; así como incluir el equipo correspondiente en el
dominio en lugar de estar incluido en un grupo de trabajo.
3.1.- Desde Windows XP
Para conectar a un servidor Windows Server 2003/2008, desde una estación de trabajo
que tiene instalado Windows XP, seguiremos los siguientes pasos:
1. - Entramos en Panel de control y elegimos Conexiones de Red, y dentro del menú contextua!
de Conexiones de área local, entramos en Propiedades. Dentro del protocolo TCP/IP ,
configuramos lo que nos interese, Obtener una dirección IP automáticamente, si hemos
instalado un servidor DHCP en nuestro Server, o le asignaremos una IP estática (con su
correspondiente máscara y la dirección IP del router) según convenga; pero en cualquier caso,
debemos indicar la dirección IP de Windows Server 2003/2008 como servidor DNS preferido.
2.- Para incluir el equipo en el dominio, tenemos que abrir el menú contextua! de Mi PC, y en las
Propiedades, dentro de la ficha Nombre del equipo, veremos el nombre del equipo y el grupo
de trabajo al que pertenece, pinchamos en el botón Cambiar, activamos la casilla Dominio, y ahí
escribimos el nombre correspondiente. Posiblemente nos pedirá el nombre de una cuenta de
usuario y contraseña con permisos, para unir el equipo al dominio. Una vez indicados, nos dará
la bienvenida al dominio.
Bienvenido al dominio lASIRDOS .
.......
' "''Wr=nw·-.,..... .,. .. ,..J
Al reiniciar, indicaras el nombre de un usuario del dominio, su cont raseña y el dominio al
que deseas conectarse, al aceptar ya estarás conectado al servidor.
3.2.- Desde Windows Vista.
Para conectar una estación de trabajo que tiene instalado Windows Vista instalado, a un
servidor, se deben seguir los pasos siguientes:
1.- Selecciona Propiedades del menú contextua! de Red, que está dentro de Inicio;
seleccionamos Administrar conexiones de red y después seleccionamos Propiedades del
menú contextua! de Conexión de área local.
1 º C.F.G.S. Administración de Sistemas Informáticos en Red Página 17
U.T.3 "Administración de Dominios"
Wcación de la b...., de datos, llfdiwos de n>glslro y SYSVOL l
Eapocfique lo• c.,....., que wtendrón lo ba"' de d"'o• del corlrolodor de ... ·
domWio de fodrve lliredO<)', Io' orc:IV'1os de y SYSVOL
10.- A continuación, aparecerá una pantalla para que indiquemos la contraseña del
administrador para el controlador de dominio. A efectos prácticos conviene que sea la misma
que la del inicio de sesión. Al seguir con el proceso, nos mostrará una pantalla con el resumen
de las selecciones realizadas; donde nos ofrece la posibilidad de Exportar configuración para
utilizarla en otras operaciones. Una vez pulsado Siguiente, comenzará el proceso.
-·------ -·-===-
11.- Transcurrido el tiempo necesario, reiniciará el equipo.
NOTA: para u degradar" un servidor (disminuir su nivel y transformarlo en un servidor miembro
o un servidor independiente, debemos seguir los mismos pasos que en el caso de Windows
Server 2003. Inicio, Ejecutar, dcpromo.
1º C.F.G.S. Admini str ación de Sist emas Infor máticos en Red Página 16
U.T.3 "Administración de Dominios"
E:stablecer el nivel funcionol del ~
Sdecc;one el rivel l..nclonol dd bo>CJJe.
g.- En la siguiente pantalla podríamos modificar (si quisiéramos) el lugar donde se va a ubicar la
base de datos, los archivos de registro y SYSVOL. Si no quisiéramos realizar ninguna
modificación, daríamos a Siguiente y quedarían las carpetas que vienen por defecto.
1 º C.F.G.S. Administración de Sistemas Informáticos en Red Página 15
U.T.3 "Administración de Dominios"
Beoir uno de lq>iementlldón
Puede oel!lr lXI cortrolador df: dornm par11 \JI'\ botque oxi:terte o un
"""vo.
Cuando le demos a siguiente en esta pantalla, podemos recibir el siguiente mensaje:
La cuenta de. administrador local se convier te en la cuenta de
W administrador del dominio ruando se un dominio nuevo. El
nuevo dominio no se puede crear porque la contraseña de la
wento de administrador local no cumplt; los requisitos.
Actualmente, la contraseña del Administrador local está en blanco,
lo que puede acarrear problemas de 5e9lJridad. Se recomienda Qut!!
pre,.;one Ctri+Alt+Supr, ejecute la herramienta de la línea d"
comandos net user, o use Usuarios y grupos locales pari!!
esti!!blecer una contraseña segur& para la cuenta de Acininistrador
local antes de crear el dominio nuevo.
El asistente no nos dejará seguir con la instalación hasta que pongamos una contraseña
adecuada a la cuenta de administrador.
8.- Una vez que le damos a Siguiente, debemos tener en cuenta que es muy recomendable que
instalemos el servidor DNS en el primer controlador de dominio. Si el equipo no tiene asignada
una dirección IP estática, nos avisará de esta situación en una pantalla en la que debemos
seleccionar No, asignaré direcciones IP estáticas; de esta forma volveremos a la pantalla
anterior, y la dejaremos en espera¡ para de esta forma asignar la dirección IP estática a nuestro
servidor, y seguir con la instalación. Si hubiésemos asignado la dirección IP estática a nuestro
servidor, en la pantalla del asistente para la instalación de los servicios de dominio daríamos a
Siguiente directamente. Seguiríamos el proceso cómo nos vaya indicando, dando los datos que
nos pide el asistente
1
2
C.F.G.S. Administración de Sistemas Informáti cos en Red
Página 14
·.
U. T.3 "Administración de Dominios"
6.- En la pant alla que aparece, podemos ir dando a Siguiente, o activar la casilla Usar la
instalación en modo avanzado.
Asi stente para la instalación de los
Servicios de dominio de Active
Este ¡y..;,;terte le a¡vdo a instalar lo!; Ser;ic:ios de dominio
de Adive Director¡ IAO OS) en e<te oentido<. haOendo"""
este oea .., c:ortrolado< de dorrno de ktive DWedOI)'.
p.,.. coninuar. haga die en Sigljerte.
P"
MóslnfC>t!TIOOón acen:a de lo• C>Pdoneo-
la k'l!IBl§dón en modo
Mi s i1formeción acen::e de lo' Seryicios de dpmi1io de
Adrve Director<
7.- En cualquiera de los casos, deberemos seleccionar Crear un dominio nuevo en un bosque
nuevo, y vamos dando a Siguiente hasta que nos pregunte en una de las pantallas el nivel
funcional del dominio; es decir si queremos un nivel funcional de Wi ndows Server 200 0, 2003 ó
2008. Seleccionar cualquier Server puede ser determinante para añadir controladores de
dominio procedentes de otro Windows Server.
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 13
U.T.3 "Administración de Dominios"
4.- Cuando la hayamos leído, pulsamos en Siguiente, y nos mostrará una nueva pantalla en
donde nos indicará unos mensajes de aviso. El más importante es que, después de finalizar la
instalación, deberemos utilizar el Asistente para la instalación de los servicios de dominio
(dcpromo.exe) para convertir el servidor en un controlador de dominio completamente
funcional. Le damos a Instalar y comenzará el proceso; una vez finalizado el mismo, deberá
aparecer una pantalla donde nos indicará si ha habido algún problema durante la instalación.
6t' dorn:lftk) de. AdtYe Olm:tory ti Instalación mrTeeta
los S9*ni ts 5en'lr:os de fundón se
de. dominio 4e tMrfftoty
¡J) \M ti ;.:,slt:'lt:t DOtA.. N-.O:.dón dt loG c:artio dt Ad\'t Oi'ectDry (dalrtmO. txe)
pen CD"To'C'I'1r d --.idor en"' :fe :aben te f\n:So:W.
Or:ne. este e hiót d PGt6 i& nsmtadO..-. '*: m SctW:IoJ de dotnHo de .Active

En el caso de Windows Server 2008, no nos pedirá que introduzcamos el CD de
instalación en ningún momento.
s.- Una vez instalado, vamos a Inicio, Ejecutar, y escribimos ahí dcpromo, y abrimos así el
Asistente para la instalación de los Servicios de dominio.
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 12
i í:fJ Oiac¡nóstico
[!J Conr.guradón
El l:!j
U.T.3 "Administración de Dominios"
Obten;• lnformadón Q<!1efai delestodo del seMdor, reolice tare"" pmopales de y
69'09UO o qoite funciones y carocttristios de sorJidor.
Jf&
.... ... ,,. • ... -- ·" ••• ,,. __;.::: -.. .,_ ·-··.-.. ... , .¡.."!•. :
lnfonn..Wn del equipo

de equjx>:
SER\1DOR2
C...,. de trahojo: WORIIGROU'
Conexión de «ca Drccoón tpy.4 por
IOQI: 01-!CP, !Pv6 habilitoéo
Id. del P'Oduclo: 92516.002-2500SS5-76105
Información de seguridad
At.ttvado
CMoblar ... -.
V<J wnexione:; de red
Esoitorio renoto
iif lr a Fre...,. de Wndows
ConfiQ!sar
•! Blr..car rue•as lindones
l -· · - - · - - ---------·· ·. - - - - . - . . - -----

[::1
;i'!:él, •
2.- Pulsamos sobre Funciones del panel izquierdo, después, en Agregar Funciones, y ya vemos
la pantalla inicial del asistente. Es una pantalla explicativa de los pasos preliminares necesarios
para poder realizar el proceso. Una vez leída y comprobado que todo está preparado,
pulsamos en Siguiente.

s.MbOHCP
S<r"<!or016
0 Se:l"\."id<Y 'Ntb {I!S)
O Tem!t'!al Sert1ttt
O ',Wicfoofl.'t SV1tr 1.-\)d,ue
3.- Seleccionamos Servicios de dominio de Act ive Directory, en la pantalla anterior, y pulsamos
en Siguiente, y encontraremos nuevamente una pantalla explicativa.
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 11
U.T.3 "Administración de Dominios"
instalación del directorio activo. Cuando haya finalizado, nos mostrará una pantalla para que
vuelva a iniciar sesión. Cuando iniciemos nuestra sesión nuevamente, realizará los ajustes
finales. Seguiremos los pasos que nos vaya indicando el proceso.
7.- Una vez instalado, nos mostrará la pantalla Administre su servidor en la que nos indica las
funciones configuradas en el servido·r.
Administrar las funciones de su
servidor
utlic:e las herramientas e ínforrMCión aqU agreoar o
qufl:ar fu'lc:lones y realizar las: tareas: que o
diario.
Su servidor se corllas ft.nciooes siguientes:
Agreoar o QUit"' f unc.Sn
w ::::-.=:·de

Administrar USO«ios y
eQUpc>s en Active Directory
Administrar dominios y
·-- confiNlZas
Admirlstr or sitios y servicios
,;.pentes
Administrar est e servidor
ONS
= ,;.pentes
Mós herr-as
Wlndom Updote
lriormación del equipo y del
nornbre de -
Corh;¡uroclón de seopldad
mejor oda de Internet Explorer
Adminlstrac.ión de servidores
Ayuda y soporte técrlco
Microsoft T echNet
Kts de implementad6n y
recursos
Lista de tareas adn"inislrativas
Comunidades de Whdows
Server
Lo ruevo
Programa StrateQk: Tect-nology
Protectlon Program
8.- Si hemos observado la instalación, además de instalar el Directorio Activo, se ha instalado un
servidor DHCP y un servidor DNS.
NOTA: Si en un momento determinado, quisiéramos eliminar un controlador de
dominio, (es decir quisiéramos "degradarlo" a equipo común) simplemente tendríamos que
escribir en Inicio, ejecutar: dcpromo, y ahí seguir los pasos que nos va indicando el asistente.
2. 2.- Windows Server 2008
Para instalar el Directorio Activo en el único servidor de la red y configurarlo como el
controlador principal de Dominio, seguiremos los pasos siguientes:
1.- Iniciamos una sesión en e l servidor como administ rador y veremos la pantalla siguiente¡ si no
apareciese esta pantalla, la vemos en lnido, Herramientas Administrativas, Administrador del
Servidor.
1º C.F.G.S. Administración de Sistemas Infor máticos en Red Página 10
U.T.3 "Administración de Dominios"
Nombre de domjnio Dire:ctory
Un dominio de Active OlrectOfy se ldentfic6 por t.n nocrbe DNS.
Escriba el nonbre ONS para el nuevo domnio.
tjamlre de dominO de Active Directarv:
-- ---- ·- -· ·- ... -
Ejemcllodei.Clrori>re ............,s,locol
AJ usar t. extensión al final cWnonbe de don'Wlí:l de Active Oirectory, el dotrink) nterno
permanecetá separado de su domWllo de l.rtemet .
4. - En este momento, Indicaremos el nombre que queramos dar a nuestro dominio (si no
tenemos registrado ningún dominio en Internet, es conveniente finalizarlo con local. Y le damos
a Siguiente, apareciendo la siguiente pantalla:

Nombrelletlllos
Los dentes con ver sOleS de Wndows distlrt"s de Wndows 2000, Wndows XP y f M'l\a de servido' es
wndows Setver 2003l.tilarAn el nombre de dornno NetSJOS.
El nombre NetBIOS predeterminado del nombre de dominio ONS.
Nombte de domno DNS:
Par a cambior d nombre NetSIOS Ln notrore nuevo en el sigUiente cuodro de texto.
de dominio NetBIOS:

.
.
5.- En ella podemos cambiar el nombre NetBIOS del dominio (es el que aparecerá con versiones
antiguas de Windows). Pulsamos Siguiente, si no hemos indicado una IP estática para nuestro
servidor antes de comenzar el proceso, nos pedirá esa IP estática en este momento, pero si ya
la hemos indicado la lP estática de nuestro equipo, pasará a una pantalla resumen de las
selecciones realizadas. Una vez revisadas, pulsamos en Siguiente; en ese momento dará
comienzo el proceso.
6.- En determinado momento del proceso, nos pedirá que insertemos el CD de Windows Server
2003. Lo insertamos y pulsamos Aceptar. Reiniciará varias veces el equipo y continuará con la
1 º C.F.G.S. Administración de Sistemas Informáticos en Red Página 9
U.T.3 "Administración de Dominios"
2.-INSTALACIÓN DEL DIRECTORIO ACTIVO (ACTIVE DIRECTORY)
Una vez instalado el sistema operativo servidor, si dicho equipo va a ser un controlador
de dominio, ha de configurarse como tal, y lo primero que debemos hacer es instalar el
Directorio Activo. Podemos encontrar dos posibilidades:
• Que el servidor que estamos configurando sea el único en la red.
• Que en la red en la que está el servidor haya otros controladores de dominio
funcionando.
2.1.- Windows Server 2003
Para instalar el Directorio Activo en el único servidor de la red y configurarlo como el
controlador principal de un dominio, seguimos los pasos siguientes:
1.- Iniciamos una sesión en el servidor como administrador, y aparece la pantalla siguiente¡ si no
apareciese dicha pantalla, entramos en Panel de control, Herramientas administrativas,
Administre su servidor.
Administrar las funciones de su
servidor
Después de hobcr U\0 l l.l"d6n, wefvo o esto pAgr.e
Plll'• obtener e Wormad6n q..e le avudat.!nen les
tarus ad'*Wstntivas IJJe re*:• • <larb.
2.- Pulsamos en Agregar o quitar función.
"!'l!i
Ayud. y scpc:rte
... de __ ,
........
COIYIU'lldaciM de Wln6owl:
s.r-
Lo........
...... ..,.l<r«oO< T""""""'
PrctcctionProvrem
3.- Nos aparecerá una pantalla explicativa de los pasos preliminares necesarios para poder
realizar el proceso. Una vez leída y comprobado que todo está preparado, pulsamos en
Siguiente, en ese momento, comenzará a detectar la configuración del servidor. Una vez
detectada, aparece una pantalla en la que seleccionaremos la opción Configuración típica para
un servidor principal, pulsamos Siguiente, y aparece la siguiente pantalla
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página 8
U.T.3 "Administración de Dominios"
En Windows Server 2008, lo incluiremos en el dominio tras instalar Active Directory.
2.8.- En Windows Server 2003, pulsa en la ficha Nombre del equipo y verás una pantalla donde
se encuentra el nombre completo del equipo y el grupo de trabajo al que pertenece. Pulsamos
en Cambiar, indicamos el nombre que deseamos dar al equipo (Nombre del equipo) y
pulsamos en Aceptar.
1
2
C.F.G.S. Administración de Sistemas 1 nformáticos en Red Página 7
U.T.3 "Administración de Dominios"
ANTES DE PROCEDER A INSTALAR EL DIRECTORIO ACTIVO, E INSTALAR UN CONTROLADOR
DE DOMINIO SE HA DE PROCEDER A EN PRIMER LUGAR PLANIFICAR QUÉ QUEREMOS
ORGANIZAR DENTRO DE NUESTRA RED, Y CÓMO VAMOS A INSTALAR NUESTROS
SERVIDORES; Y EN SEGUNDO LUGAR SE HA DE PROCEDER A INDICAR UNA DIRECCIÓN IP
ESTÁTICA PARA EL EQUIPO QUE VA A EJERCER COMO SERVIDOR, Y COMPROBAR QUE EL
NOMBRE DEL EQUIPO SEA EL ADECUADO (CUIDADO, PORQUE DESPUÉS DE INSTALAR EL
DIRECTORIO ACTIVO, NO ES POSIBLE CAMBIAR EL NOMBRE DEL EQUIPO.
1.6.- Cómo cambiar el nombre al equipo
Antes de configurar el servidor para hacerlo controlador de un dominio, es posible
cambiar el nombre que se indicó para el equipo durante el proceso de la instalación. Para ello,
sigue los pasos siguientes:
1.- Selecciona Propiedades del menú contextua! del Equipo ó MiPC.
2.A.- En Windows Server 2008, verás el nombre del equipo y el grupo de trabajo al que
pertenece. Pulsamos en Cambiar la configuración, selecciona Cambiar, modifica el nombre del
equipo y pulsa en Aceptar. Transcurrido un momento, el equipo nos indicará que debemos
reiniciar el equipo, pulsamos en Aceptar, en Cerrar y reiniciamos el equipo.
Ad!M'Vs-trador d-! dfsposith-os
con¡;o....d6n do A<:ceso remoto
ConfiQtndi.n • del

Vea tambié-n
V•r Información bUla &ei'Cll oqulpo
----------·- --···· --------------- -------·· .. --· ------------ - -·--·----· - ---
Copyright if: 2007 f\tcrc.soft Corport!!ton. Reservados todos los derechos.
SlStefT.a ..-·--- - --- ·--·---- --···· ..- --------······--···--···-·· ..···---···--·--·--·-··--·-···--··--------·----·-·-·-··- - ·-·--·······
Procesodo<: ln'.oi(;QCore(TM)2DuoCPU E7200 3.0'1GHz
M<mo!1a I ,OOGB
TI)O do "''"""''
Sistema. de 32 bits
Confi!¡tsad6n d• nombre, domno y grupo de trabajo deleQU:>o
Wl!HlQSllJKZ l lZJ
folo.-e cO<I'(llelo do •<P-Po: WIIHlQSll.li<ZI3ZJ
o.saipciÓn d.! eQLipo:
Gn.,x> de trobojo: WCRKGROlP

'r. Quedan 53 di<S po<a rool2ar io octi"·1Klón. Attrv. v..r.:m,. .nora.
Id. del proa..cto: 925J5.Q8NSOOBS5· 76105 Com!>ar la d<!ve de P'l!ductD
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 6
U.T.3 "Administración de Dominios"
* Dominio. Es la estructura fundamental. Permite agrupar todos los objetos que se
administrarán de forma estructurada y jerárquica.
~ Unidad organizativa. Es una unidad jerárquica inferior del dominio, puede estar
compuesta por una serie de objetos, por otras unidades organizativas, o por ambas.
~ Grupos. Son conjuntos de objetos del mismo tipo. Se utilizan, fundamentalmente, para
la asignación de los derechos de acceso a los recursos.
,._ Objetos. Son representaciones de los recursos de red: usuarios, ordenadores,
impresoras, etc.
• Se denomina árbol de dominios del Directorio Activo a una estructura jerárquica de
dominios que comparten un espacio de nomenclatura contiguo, un esquema común y
un catálogo global común. Un espacio de nomenclatura, es el conjunto de nombres que
representan a un dominio y un espacio de nomenclatura contiguo significa que la
primera parte del dominio es común.
• Un bosque es una colección de árboles de directorio que, aunque no comparten un
espacio de nomenclatura contiguo, tienen un esquema común y un catálogo global.
• En Windows server 2003/2008, los servidores dentro del dominio pueden tener uno de
los papeles siguientes:
o Controladores de dominio: Pertenecen al dominio y contienen una copia de las
cuentas de usuario y de otros datos del Directorio Activo. Es obligatorio que haya
al menos un controlador de dominio en cada uno de ellos. Un controlador de
dominio de sólo lectura (RODC) es un nuevo tipo de controlador de dominio
disponible en Windows Server 2008, diseñado para implementar principalmente
en entornos en donde no se puede garantizar la seguridad física del servidor..
o Servidores miembro. Pertenecen al dominio y no contienen una copia de las
cuentas de usuario y de otros datos del Directorio Activo. Se utilizan para
almacenar los archivos y otros recursos de la red.
o Además de estos dos tipos, fuera de un dominio puede haber servidores
independientes que pertenezcan a grupos de trabajo.
• Para establ ecer una tolerancia a fallos, proporciona un servicio de replicación que
distribuye los datos del directorio por toda la red.
• El directorio Activo utili za los nombres DNS para:
o Resolver los nombres de equipos en direcciones IP.
o Asignar nombre a los dominios.
• Por ello es necesario que en cada bosque haya, al menos, un servidor DNS.
1
2
C.F.G.S. Administración de Sistemas Informáticos en Red Página S
U.T.3 "Administracíón de Dominios"
1.3.- El protocolo LDAP
lDAP (Lightweight Directory Access Protocol, Protocolo ligero de Acceso a
Directorios) es un protocolo utilizado para acceder a un servicio de directorio ordenado y
distribuido para buscar información en un entorno de red. También se considera una base de
datos en la que pueden realizarse consultas.
Un directorio es una estructura jerárquica que almacena información acerca de los
objetos existentes en la red y un servicio de directorio proporciona métodos para almacenar
los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red.
1.4.- Los Dominios
los dominios son un sistema que posibilita dividir redes extensas en redes parciales
reducidas que simplifican el trabajo de administración. Comprenden un grupo de ordenadores,
usuarios y recursos de la red que cuentan con una base de datos de seguridad común.
Al igual que los servicios de directorio, coloca los recursos de varios servidores en una
única estructura organizativa. Así, a los usuarios se les conceden privilegios de conectarse a un
dominio en lugar de conectarse a servidores independientes.
Los servidores que forman parte de un dominio muestran sus servicios a los usuarios y
éstos pueden conectarse a aquellos a los que se les ha concedido permiso.
Cuando sea necesario configurar varios dominios, los administradores pueden
establecer relaciones de confianza entre los dominios. Dichas relaciones simplifican la
administración de la red, ya que un usuario necesitará tener únicamente una cuenta.
El acceso de un usuario a los recursos de un dominio es supervisado por un controlador
de dominio (en el que se dispone de una cuenta y una contraseña que es usada para controlar
el acceso a los recursos).
1.5. - El djrectorio Activo.
El Directorio Activo es el servicio de directorio incorporado en Windows server
2003/2008, y se encarga de almacenar información acerca de los objetos que forman parte de
la red y facilita la búsqueda y utilización de esa información por parte de usuarios y
administradores.
Cuenta con las siguient es características.
• Incorpora un directorio que es un almacén de datos para guardar información acerca
de los objetos. Estos objetos incluyen normalmente recursos compartidos como
servidores, archivos, impresoras y las cuentas de usuario y de equipo de red.
• Su estructura se basa en los siguientes conceptos:
12 C.F.G.S. Administración d e Si ste mas Informáticos e n Red Página 4

U.T.3 "Administración de Dominios"
1.- CONCEPTOS PREVIOS
1.1.- La estructura de trabajo en grupo
Los grupos de trabajo son conceptualmente contrarios a los servicios de directorio; ya
que los grupos de trabajo son dirigidos por los usuarios cuando reúnen los recursos de sus
ordenadores, mientras que los servicios de directorio se administran de forma centralizada.
En ambos casos, simplemente necesitamos una conexión en red, pero en el caso de los
grupos, si nos encontramos en grandes organizaciones, vamos a tener dos problemas
principales:
• La difícil localización de algunos recursos.
• Los recursos se comparten por un número limitado de usuarios.
1.2.- La estructura cliente-servidor
Un servidor es un ordenador que permite compartir sus recursos con otros ordenadores
que están conectados a él. Los servidores pueden ser de varios tipos:
• Servidor de archivos. Mantiene los archivos en subdirectorios privados y compartidos
para los usuarios de la red.
• Servidor de impresión. Tiene conectadas una o más impresoras que comparte con los
demás usuarios.
• Servidor de comunicaciones. Permite enlazar diferentes redes locales o una red loca l
con grandes ordenadores.
• Servidor de correo electrónico. Proporciona servicios de correo electrónico para la red.
• Servidor web. Proporciona un lugar para guardar y administrar los documentos HTML
que pueden ser accesibles por los usuarios de la red a través de los navegadores.
• Servidor FTP. Se utiliza para guardar los archivos que pueden ser descargados por los
usuarios de la red.
• Servidor proxy. Se utiliza para monitorizar y controlar el acceso entre las redes. Cambia
la dirección IP de los paquetes de los usuarios para ocultar los datos de la red interna a
internet y cuando recibe contestación externa, la devuelve al usuario que la ha
solicitado. Su uso reduce la amenaza de piratas que visualicen el tráfico de la red para
conseguir información sobre los ordenadores de la red interna.
Según el sistema operativo de red que se utilice y las necesidades de la empresa, puede
ocurrir que los distintos tipos de servidores residan en el mismo ordenador o se encuentren
distribuidos entre aquellos que forman parte de la red.
No es recomendable utilizar un servidor como estación de trabajo. Vamos a entender
como estación de trabajo el resto de ordenadores conectados a la red. A diferencia de un
ordenador aislado, la estación de trabajo tiene una tarjeta de red, y está físicamente conectada
por medio de cables al servidor.
1 Q C.F.G.S. Administración de Sistemas Informáticos en Red Página 3
U.T.3 "Administración de Dominios"
IN DICE DE CONTENIDOS
1.- CONCEPTOS PREVIOS ................................................... .......................................................................... 3
1.1.- La estructura de trabajo en grupo .................................................................................................... 3
1.2.- La estructura cliente-servidor ........................................... ............. .............. .. ................................... 3
1.3.- El protocolo LDAP ............................................................................................................................ 4
1.4.- Los Dominios .................................................................................................................................... 4
1.5.- El directorio Activo ......................................................................................................... .................. 4
1.6.- Cómo cambiar el nombre al equipo .................................................................................................. 6
2.-INSTAlACJÓN DEL DIRECTORIO ACTIVO (ACTIVE DIRECTORY} ................................................................ 8
2.1.- Windows Server 2003 ..... ............................................................................ ........... ............. ......... .... 8
2.2. - Windows Server 2008 ............................................... ...................................................................... 10
3.- CONEXIÓN DE lA ESTACIÓN DE TRABAJO .......................................................... ........... ...... ........ .......... 17
3.1.- Desde Windows XP ............ .. ...... .................................................... ........ ............. ............................ 17
3.2.- Desde Windows Vista ...................................................................................................................... 17
3.3.- Desde Windows 7 .................................................................................... ....................................... 18
4. - LAS UNIDADES ORGANIZATIVAS ........................................................................................................... 18
4.1.- Cómo crear una unidad organizativa ...................................................................... .......... ............... 19
4.2.- Cómo mover una unidad organizativa ............................................................................................. 21
4.3.- Cómo eliminar una unidad organizativa ....................................... .... .. .......................... ................... 21
5.- LOS USUARIOS ............................ .................... .............................................. .......... .............................. 23
5.1.- Los usuarios globales o del dominio ................................................... ..... ........................................ 24
5.2.- Los perfiles móvil es y obligatorios ........................................ ................................................ .... ..... .. 29
6.-LOS GRUPOS ...... ..... ..... ... ......... .......... ............................. ......... .... ..... ......... ........... ... ............................. .41
6.1.- Cambiar el ámbito de un grupo ............................................... ........ ................................................ 43
6.2. - Cuentas de grupo creadas en la instalación ..................................................................................... 43
6.3.- Los grupos globales, universales y locales de dominio ....................... .............................................. 44
7.- LOS EQUIPOS ............ .......... .... .............................................................................................................. .49
7.1.- Cómo crearlos ......... ..... ........................................................................... , ........................ ......... ...... 50
7.2.- Cómo modificarlos ........................... , .. ..................................................... ...................................... .51
7.3.- Cómo eliminarlos . ... ............... ... ... .... , .............................................................................................. 52
8.- BIBUOGRAFfA .............................. .. ... .. ........... ... ............................................................................ , ...... .53
1º C.F.G.S. Administración de Sistemas Informáticos en Red Página 2
U.T.3 "Administración de Dominios"
U.T. 3· ADMINISTRACIÓN DE DOMINIOS
A<;tive Dirédory
Domoirt SeT"tEE'r
. bf:Qonizotionól unas·-
Users, Gr-oups. Mothlnes
1 º C.F.G.S. Administración de Sistemas Informáticos en Red Página 1

Sign up to vote on this title
UsefulNot useful