Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. DEFINICIN DE DOMINIO Y
SERVICIO DE DIRECTORIO
Un dominio de sistemas permite tener centralizada la
informacin administrativa de una red (cuentas de
usuarios, impresoras, directorios, etc.) y de seguridad,
en uno o varios servidores, facilitando su gestin.
Windows Server utiliza el Concepto de directorio
para implementar un dominio de sistemas.
Un directorio una estructura jerrquica que guarda
informacin sobre objetos en la red, implementada como
una gran base de datos.
El Directorio Activo es el servicio de directorio de
una red de Windows 2000/2003/2008 Server.
2
1. DIRECTORIO ACTIVO
El Directorio Activo es un servicio de red que guarda
informacin de los recursos de la red y permite
organizar, controlar y administrar de forma
centralizada el acceso a los recursos de la red.
Al instalar el Directorio Activo en un equipo Windows
Server de nuestra red, se convierte en servidor del
dominio, o controlador de dominio.
El resto de los equipos de la red actan como clientes
del servicio de directorio, y reciben toda la informacin
almacenada en los controladores de dominio (cuentas de
usuario, grupo, equipo, etc.).
3
1. VENTAJAS DEL
DIRECTORIO ACTIVO
Separa la estructura lgica de la organizacin
(dominios) de la estructura fsica (topologa de red).
Permite el acceso de los usuarios y las aplicaciones a
dichos recursos.
Permite a los administradores crear polticas a nivel
de empresa, aplicar actualizaciones a una organizacin
completa, desplegar programas en mltiples
ordenadores, etc.
Almacena informacin sobre una organizacin en una
base de datos central.
1. ESTRUCTURA DE UN
DIRECTORIO ACTIVO
Dominio. Estructura fundamental. La menor unidad
constructiva para poder utilizar DA. Permite agrupar
todos los objetos que se administran de forma
estructurada y jerrquica.
Unidad organizativa (UO). Es la unidad jerrquica
inferior del dominio, que puede estar compuesta por una
serie de objetos y/o por otras UO.
Grupos. Conjunto de objetos del mismo tipo que se
utilizan fundamentalmente para la asignacin de
derechos de acceso a los recursos.
Objetos. Forman una representacin de un recurso
de red, como pueden ser usuarios, impresoras,
ordenadores, unidades de almacenamiento, etc.
5
1. CARACTERSTICAS DEL
DIRECTORIO ACTIVO
Los dominios de Windows Server utilizan los nombres
DNS para identificar a los equipos en la red. Se desech
Netbios (protocolo propietario de Microsoft) para tal
utilidad.
Cada dominio de Windows Server queda identificado
unvocamente mediante un nombre DNS, por ejemplo
local.com
El nombre DNS siempre estar representado por un
sufijo (com, es, org, etc.) y el nombre propio del dominio
Cada equipo basado en Windows Server que forme
parte de un dominio tiene un nombre DNS cuyo sufijo es
precisamente el nombre DNS de dicho dominio
6
1. ESTRUCTURA JERRQUICA
DE DOMINIOS
Dominio Principal
local1.prueba.com
Subdominio I
prueba.com
Subdominio II
local2.prueba.com
1. FUNCIONALIDAD DE LOS
NOMBRES DNS EN EL D.A.
Resolucin de nombres. DNS permite realizar la
resolucin de nombres al convertir los nombres de host
(nombres de equipo) en direcciones IP.
Definicin del espacio de nombres. El Directorio
Activo utiliza las convenciones de nomenclatura de DNS
para asignar nombre a los dominios.
Bsqueda de los componentes del Directorio Activo.
Para iniciar una sesin de red y utilizar los recursos del
Directorio Activo, el equipo que se conecta al dominio
debe encontrar primero un controlador de dominio o
servidor de catlogo global para procesar la
autentificacin de inicio de sesin o la consulta
8
1. TRMINOS UTILIZADOS EN EL
DIRECTORIO ACTIVO
Espacio de nombres y resolucin de nombres
rbol de dominio
Bosque de dominio
1. ESPACIO DE NOMBRE Y
RESOLUCIN DE NOMBRES
Cada servicio de Directorio Activo es un espacio de
nombres.
La resolucin de nombres relaciona objetos con sus
nombres.
Podemos entender un espacio de nombres como un
rea delimitada en la cual un nombre puede ser resuelto.
La resolucin de nombres es el proceso de traduccin
de un nombre en un objeto o informacin que lo
representa. Los espacios de nombres seran prueba.com.
10
1. RBOL
Un rbol es un conjunto de uno o ms dominios que
comparten un espacio de nombres contiguo. Si existe
ms de un dominio, estos se disponen en estructuras de
rbol jerrquicas.
El primer dominio creado es el dominio raz del primer
rbol.
Cuando se agrega un dominio a un rbol existente, este
pasa a ser un dominio secundario (o hijo). Un dominio
inmediatamente encima de otro dominio dentro del
mismo rbol de dominio es su padre. Todos los dominios
que tengan un dominio raz comn se dice que forman un
espacio de nombres contiguo.
11
1. BOSQUE
Un bosque es un grupo de rboles que no comparten un
espacio de nombres contiguo, conectados a travs de
relaciones de confianza bidireccionales y transitivas.
Un dominio nico constituye un rbol de un dominio, y
un rbol nico constituye un bosque de un rbol.
Aunque los diferentes rboles de un bosque no
comparten un espacio de nombres contiguo, el bosque
tiene siempre un nico dominio raz, llamado
precisamente dominio raz del bosque, y dicho dominio
raz ser siempre el primer dominio creado por la
organizacin.
12
2. ESPECIFICACIONES DE DOMINIO
EN WINDOWS SERVER
Consideraciones iniciales previas a la instalacin del
Directorio Activo. Necesitamos saber:
1) Si instalaremos el Activo directorio en un nico
servidor o controlador de dominio de la red.
2) Si habr ms servidores o controladores de dominio
de la red adems del nuestro, donde tengamos instalado
el directorio activo
3) El nombre del ordenador donde se instalar el
Directorio Activo.
4) Inicialmente el equipo con Windows 2003 server
pertenecer a un grupo de trabajo, nombre que no tiene
mayor importancia si lo que queremos hacer es instalar el
Directorio Activo.
13
2. ESPECIFICACIONES DE DOMINIO
EN WINDOWS SERVER
Planificacin de la estructura de dominios deseada, antes
de instalar el Directorio Activo.
Si slo necesitamos 1 dominio. Un servidor controla
todo el sistema, teniendo o no dominios, o subdominios.
dominioprincipal.com
subdominio1.dominioprincipal.com
subdominio2.dominioprincipal.com
dominioprincipal2.com
2. ESPECIFICACIONES DE DOMINIO
EN WINDOWS SERVER
La estructura jerrquica de dominios se crea de
arriba hacia abajo: Primero se crea el dominio raz del
rbol (dominioprincipal.com), y despus el resto de
subdominios (subdomino1.dominioprincipal.com).
Cuando instalamos el primer controlador de dominio en
la organizacin, se crea el dominio raz del bosque, que
contiene la configuracin y el esquema del bosque
(compartido por todos los dominios de la organizacin.
Ms adelante, se pueden agregar dominios como
subdominios de dicha raz (rbol de dominios) o bien
crear otros dominios hermanos de la raz (bosque de
dominios), debajo de los cuales podemos crear
subdominios, y as sucesivamente.
15
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 1. Identificacin de red del equipo. A travs del
Panel de Control ir a: Propiedades de conexin de rea
Local/Propiedades Protocolo de Internet TCP/IP.
- Direccin IP: 192.168.1.1
- Mscara de subred: 255.255.255.0
- Puerta de enlace predeterminada:
Indicaremos la IP del router o
equipo proxy que nos proporciona el
acceso a Internet.
- Servidor DNS preferido: 127.0.0.1,
es decir, que apunte a s mismo.
17
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 2. Identificacin del equipo. Ir a: Propiedades de
Mi PC/Pestaa Nombre de Equipo. Haremos click en
Cambiar para introducir el nuevo nombre, sin espacios en
blanco ni caracteres especiales.
Introduciremos como nombre de
equipo SERVER2003.
Podemos comprobar que, por defecto,
nuestro equipo se encuentra en el
grupo de trabajo GRUPO_TRABAJO,
cuestin que no debe preocuparnos de
momento.
18
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 3. Credenciales del administrador de red. Es
necesario que el Administrador de este equipo tenga una
contrasea que cumpla los requisitos de seguridad:
8 caracteres, con maysculas, minsculas y nmeros
Esta contrasea ser la misma para el resto de
administradores de equipos a integrar en el D.A.
Para gestionar la contrasea del Administrador, ir a:
Inicio/Herramientas administrativas/Administracin de
equipos/Usuarios y grupos locales/Usuarios.
Buscaremos el usuario Administrador y seleccionaremos
Establecer contrasea.
19
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 4. Desinstalaremos los servicios previamente
instalados (IIS, Terminal Server)
Paso 5. Marcaremos la casilla que deshabilita la pantalla
de Tareas de configuracin inicial y cerramos
20
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 6. Ejecutamos el comando dcpromo, que sirve para
promover o instalar el Directorio Activo en el equipo en
el que estamos. Aparecer una pantalla en la que se
muestra el inicio del asistente de instalacin.
21
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 7. Pulsaremos en Siguiente y aparecer una
pantalla de advertencia que nos informa de
la compatibilidad del sistema operativo respecto de la
instalacin del Directorio Activo.
22
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 8. Pulsaremos Siguiente y aparecer la 1 pantalla
de configuracin. Marcaremos la casilla Controlador de
dominio para un dominio nuevo, ya que no existe ningn
controlador principal de dominio todava.
23
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 9. En la siguiente pantalla seleccionaremos la
opcin Dominio en un nuevo bosque, lo cual es lgico, ya
que de momento no tenemos nada y lo primero que hay
que hacer es crear la estructura de dominio raz, el rbol
al que pertenecer el dominio y el bosque en el que se
integrar. Pulsamos Siguiente.
24
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 10. El servicio DNS es imprescindible para el D.A.
ya que las identificaciones y validaciones de usuarios se
realizan mediante la resolucin de nombres DNS
(asociacin nombres de los equipos con sus direcciones IP)
Si servidor no encontrado
Si servidor ya instalado
25
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 11. Introducir el nombre completo de nuestro
dominio raz, que es el primero del bosque, el cual
determinar el espacio de nombres para la gestin que
realicemos desde este momento con el dominio.
Este nombre completo tiene
que ser un nombre DNS con
sufijo incluido. Por ejemplo
principal.local.com, donde:
principal nombre de
dominio raz
local.com como nombre del
bosque o espacio de nombres
26
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 12. Indicar el nombre NETBIOS del nuevo
dominio, rbol y bosque que estamos creando. Por
defecto ser el nombre del dominio sin sufijo.
Este nombre se puede cambiar,
pero se recomienda no hacerlo ya
que es el que se utiliza para
cuestiones de compatibilidad con
clientes del dominio que tengan
instalados sistemas operativos
antiguos como Windows 98.
27
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 13. Introducir la ubicacin de los archivos que
maneja el Directorio Activo. Por defecto, la ubicacin
que propone Windows Server es C:\WINNT\NTDS,
que recomendamos no modificar.
Es imprescindible que el sistema
est instalado sobre el sistema
de archivos NTFS, ya que, si no,
estos archivos no podrn
crearse y, por lo tanto, no
podremos dar de alta el dominio.
28
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 14. Indicar la ubicacin de la carpeta SYSVOL,
que es donde se almacena la copia de seguridad del
servidor de los archivos pblicos del dominio.
29
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 15. La primera opcin es para cuando tengamos un
Servidor NT 4.0 Server y los usuarios se estn validando
en l. cuando tengamos clientes tipo Windows 98 o ME,
ya que utilizan validacin NETBIOS. NT 4.0 Workstation,
2000/ XP/Vista, admiten autentificacin DNS.
La segunda opcin es slo
para una red con equipos
Windows 2000, XP o Vista.
Esta es la opcin
recomendable
30
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 16. Introducir la contrasea de administracin del
modo de restauracin del directorio activo, para que el
Administrador del equipo administre el Directorio Activo.
Se recomienda introducir la
misma clave del usuario
administrador, aunque el
mensaje diga lo contrario.
31
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 17. Pantalla resumen sobre lo que se va a realizar en
la instalacin del Directorio Activo. Pulsaremos Siguiente
y comenzar la instalacin y la configuracin del
controlador de dominio en nuestro equipo.
32
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 18. Tras unos minutos el proceso habr terminado y
nos pedir que pulsemos Finalizar. Reiniciaremos el equipo
y ya tendremos preparado nuestro sistema como un
controlador de dominio del Directorio Activo para
gestionar de forma centralizada los recursos de red.
33
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 19. El primer cambio es la inclusin del nombre de
dominio en la pantalla de login. Haremos click en
Propiedades de MiPC y en la pestaa Nombre del equipo,
comprobaremos que nuestro equipo est integrado en un
dominio.
34
3. INSTALACIN D.A. EN UN
CONTROLADOR DE DOMINIO NICO
Paso 20. En Administre su servidor podremos ver que
hemos instalado el controlador de dominio (Directorio
Activo) y El servido DNS.
35
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 0. Al desinstalar el Directorio Activo de nuestro
equipo controlador de dominio, ya no se ejecutaran los
servicios de directorio y perderemos toda la
configuracin realizada hasta el momento: cuentas de
usuario, grupos, equipos, etc., es decir, los objetos
creados hasta el momento se eliminarn, ya que la base
de datos y el catlogo global que almacena toda la
informacin desaparecer.
36
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 1. Para realizar la despromocin, procederemos de
forma similar a como realizbamos la promocin.
Iniciaremos sesin como Administrador del equipo y
ejecutaremos el comando dcpromo.
Se nos mostrar una pantalla
de inicio del asistente de
configuracin del Directorio
Activo.
37
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 2. Aparecer un pequeo cuadro de dilogo de
advertencia. Se nos indica que este controlador es un
servidor de catlogo global, es decir, que es el
controlador principal del dominio y que se utiliza para
que los usuarios se validen en l. Este mensaje indica la
peligrosidad del proceso.
38
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 3. Indicar si se trata del ltimo controlador de
dominio. Como en nuestro caso el controlador es nico, en
un bosque nico, y no existen ms bosques, podremos
realizar la operacin.
Si nuestro dominio contase con
algn otro bosque, controladores
adicionales de dominio o con
subdominios, no marcaramos esta
casilla para desinstalarlos.
Tendramos que ir eliminando los
controladores de dominio en el
orden en que se fueron creando,
siendo el primero que instalamos el
ltimo en desinstalar.
39
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 4. Aparece una pantalla con informacin sobre las
particiones en las que se ha replicado la base de datos
del Directorio Activo. Pulsamos Siguiente
40
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 5. Pantalla para confirmar la eliminacin de la
informacin contenida en las particiones de la base de
datos. Es conveniente eliminarlas, siempre y cuando el
objetivo sea eliminar completamente los servicios de
directorio del equipo Windows Server.
Marcamos la casilla Eliminar
todas las particiones....
Pulsamos Siguiente.
41
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 6. Solicitud de la contrasea del usuario
Administrador del equipo que utilizamos para la creacin
del Directorio Activo. Pulsamos Siguiente
42
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 7. En las siguientes pantallas y se inicia el proceso
de despromocin.
43
4. ELIMINACIN DE UN
CONTROLADOR DE DOMINIO
Paso 8. Finaliza la eliminacin del Directorio Activo y
reiniciamos el equipo
5. USUARIOS GLOBALES
Los usuarios que se gestionan en un Directorio Activo
son usuarios globales, y son reconocidos por todos los
equipos que forman parte de un dominio (en realidad, por
todos los ordenadores del bosque).
Las cuentas de usuario globales representan una
cuenta nica de usuario que se puede utilizar desde
cualquier ordenador integrado en el Dominio.
Cuando una persona se conecta desde un ordenador
del dominio, utilizando para ello su cuenta de usuario
global, este ordenador realiza una consulta al Directorio
Activo. Este valida las credenciales del usuario y el
resultado de la validacin es enviado al ordenador
cliente, concediendo o rechazando la conexin.
46
5. GRUPOS DE USUARIOS
Los grupos de usuario creados y almacenados en la
base de datos del Active Directory, son visibles desde
todos los equipos del dominio.
Implementan una agrupacin de usuarios u objetos
para conceder permisos de utilizacin de recursos del
dominio.
El concepto de grupo evita tener que ir concediendo
los mismos privilegios a un n determinado de equipos.
Si todos los usuarios estuvieran agrupados en un
mismo grupo, bastara con conceder privilegios al grupo
sobre un recurso de red. De esta forma todos los
usuarios del grupo heredarn los privilegios del grupo.
48
5. EQUIPOS
La base de datos del Directorio Activo de un dominio,
tambin almacena informacin relativa a los equipos que
forman parte del dominio.
Se almacena el nombre del ordenador y un
identificador nico y privado que lo identifica
unvocamente y que solo conoce el controlador de
dominio.
Gracias a esta identificacin univoca, a cada equipo se
le pueden asignar permisos y derechos.
49
5. UNIDAD ORGANIZATIVA
Son objetos del directorio que, a su vez, pueden
contener otros objetos.
Se utilizan fundamentalmente para:
Delegar la administracin de sus objetos a otros
usuarios distintos del administrador del dominio
Personalizar el comportamiento de los usuarios
y/o equipos mediante la aplicacin de directivas.
50
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
Al instalar el Directorio Activo en un controlador de
dominio, disponemos de una serie de herramientas para
administrar la base de datos, los objetos y los recursos
de la red 2003 Server:
Inicio/Herramientas administrativas
51
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
1) Administracin de equipos
Administra y configura opciones bsicas del
controlador de dominio, tales como usuarios locales,
grupos locales, espacio almacenamiento disco, recursos
compartidos, etc.
Cuando integramos un
equipo en un dominio,
esta herramienta
tiene una utilidad
menor.
52
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
Opciones Administracin de equipos:
a) Visor de eventos. Histrico de los sucesos que han
ocurrido en nuestro sistema: errores de inicio o cierre
del equipo, interrupcin de servicios, acceso a recursos.
b) Carpetas compartidas. Muestra en una sola ventana
todos los recursos compartidos desde este equipo.
c) Registro y alertas de rendimiento. Proporciona un
registro de alertas producidos en el servidor (CPU,
disco, red, memoria, etc).
d) Administrador de dispositivos. Gestiona el hardware
de nuestro equipo de la misma manera que en las
versiones Windows Vista o XP.
53
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
e) Almacenamiento. En Almacenamiento de disco
podremos gestionar los discos duros y/o volmenes de
nuestro sistema de forma muy similar a como se hace
en las versiones sobremesa.
f) Servicios y aplicaciones. Aqu se gestionan los
servicios que se estn ejecutando en nuestro equipo.
54
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
2) DNS
El servicio DNS se instala y configura automticamente
durante el proceso de instalacin del Directorio Activo.
55
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
3) Dominios y confianzas de Active Directory
Permite configurar las relaciones de confianza. Sirven
para cuando en una organizacin existan dos o ms
dominios diferentes y deseemos unificar la
administracin de toda la organizacin desde cualquiera
de los controladores de dominio existentes.
Con este tipo de
relaciones, varios
dominios se
administrarn como si
fuera uno solo.
56
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
4) Usuarios y equipos de Active Directory
Desde esta herramienta podremos administrar los
objetos del dominio (usuarios globales, grupos y equipos
del dominio). La herramienta Administracin de equipos,
se utiliza slo para la gestin de objetos locales
57
6. HERRAMIENTAS
ADMINISTRACIN DOMINIOS
Con esta herramienta podremos manejar la mayora de
los objetos que vamos a tratar: usuarios, grupos,
controladores de dominio, equipos, etc
En la opcin Users
podemos apreciar la
lista de usuarios que
ya existen en el
sistema.
58
64
66