Windows Server 2003

Indice del Contenido
CAPTULO 01
Instalacion de Windows Server 2003
Familia Windows 2003 Server

Innovaciones, cambios en Windows 2003
Server 2003 Standard Edition : instalacin y configuracin
Requisitos a nivel hardware
Instalacin : Tipos, atendida , desatendida , licenciamiento, activacin ,
inicio dual
Migracin desde NT 4.o Server , desde Windows 2000 Server
Sistema de archivos soportados
Instalacin de Active Directory
Herramientas de Administracin MMC
CAPTULO 02
Active Directory en Windows Server 2003
Server 2003 y Active Directory:

Roles de Servidores :Servidor Independiente, Member Server, Domain
Controller
Emulacin P.D.C:
Active Directory : Objetos,(atributos y valores ) ,clases , Unidades
Organizativas, Esquema,Arbol de Dominio, Bosque,
Servidor raz , el catlogo global y Maestro de Operaciones
Espacio de Nombres DNS
Cambiar de Nombre a un Dominio
Niveles Funcionales : de Dominio y de Bosque
Delegacin de control en un dominio y Herencia
Conectividad y replicacin. Escalabilidad
CAPTULO 03
Creacion de Usuarios y Grupos
Usuarios y equipos Active Directory

Creacin de usuarios,
Contraseas Predeterminadas
Edicin de propiedades de los usuarios:
Logon Bad
Control de Acceso
Perfil de los usuarios: Mvil mandatorio , predeterminado
Polticas de cuentas
Grupos en Active Directory
Tipos: Seguridad y de Distribucin
Ambito de Grupo
Grupos Locales de Dominio
Grupos Globales
Grupos Universales
Reglas de Anidamiento
CAPTULO 04
Administracion de Discos
Administracin de Discos
Herramienta de Administracin de Discos
Tipos de Almacenamiento de Discos: Bsicos y Dinmicos
Actualizacin de disco Bsico a Dinmico
Manejo de Volmenes: Simple, Distribuido, Espejo, Seccionado,
con tolerancia R.A.I.D. 5
Montaje de un volumen
Cuotas de Discos
Administracin de Fragmentacin de Discos
Disco de Reparacin de Emergencia
CAPTULO 05
Sistema de Archivos
Gestin de Recursos en la red: Seguridad de Permisos, carpetas compartidas

Control de acceso a los recursos
Carpetas compartidas
Administracin de permisos de carpetas compartidas, herencia
Recursos comunes: C$, D$, ADMIN$, PRINT$,IPC$,REP$,NETLOGON
Aspectos de los permisos NTFS
Permisos estndar y especiales ; niveles de permiso, herencia
Movimiento y copia de archivos , propiedad
CAPTULO 06
Administracion atravez de MMC
Gestin de Operaciones Cotidianas y D.F.S.

Uso de MMC , creacin de consolas administrativas personalizadas
Uso de inicio de sesin secundario: Run as
Instalacin local de Herramientas Administrativas
Nuevas Herramientas Administrativas de linea de comandos de Windows Server
2003
Carpetas Compartidas del Sistema de Archivos Distribuidos, ventajas D.F.S.
D.F.S. Autnomos y D.F.S. de Dominio
Creacin de Raz D.F.S. y vnculos
Administracin D.F.S. .
CAPTULO 07
Politicas de Grupo GPOs
Polticas de seguridad y Directivas de Grupo (G.P.O.)

Componentes de directiva de grupo
Ambito del G.P.O.
Directivas de Usuario y Equipo
Directivas Locales
Creacin de Objetos de Directiva de Grupo
I3
CAPTULO 08
Servicios de Impresion
Administrando impresoras
Permisos y control de acceso
Configuracin de parmetros de la impresora
Instalacin de software
Publicando paquetes para los usuarios
Agregacin del paquete de publicacin al GPO
CAPTULO 09
TCP/IP en Windows Server 2003
TCP/IP con Windows Server 2003

Arquitectura TCP / IP y Modelo OSI
Clases de Direcciones A, B, C, D y E. IP esttico y dinmicos
Direccionamiento IP, parmetros: IP, mscara de subred, direccin red,
direccin de broadcast
Subredes : caractersticas , ventajas V.L.S.M
Ipconfig, ping, route print, nslookup y tracert
CAPTULO 10
DHCP Dynamic Host Configuration
Servidores DHCP (Dynamic Host Configuration Protocol)

Consideraciones de seguridad
Configuracin de mbitos: activacin y Autorizacin
Ips reservados , excluidos
Vigencia y caducidad de mbitos
Agente de retransmisin D.H.C.P.
CAPTULO 11
DNS Domain Name System
Servidores de nombres
Servidores DNS
Registros y ficheros DNS
Creacin de Zonas: Zonas directas ,Zonas Inversas
Configuracin de un Servidor D.N.S. solo Cach
CAPTULO 12
WINS Windows Internet Name System
Servidores de nombres
Servidores DNS
Registros y ficheros DNS
Creacin de Zonas: Zonas directas ,Zonas Inversas
Configuracin de un Servidor D.N.S. solo Cach
CAPTULO 13
IIS Internet Information Server 6.0
Servidores Web , servicios de IIS 6

Configuracin Website por Defecto, usando el Administrador de Servicios
de Internet
Publicacin pginas Web
Control de acceso a los Websites
Servidores Multihoming . Alojamiento mltiple
Publicacin de pginas Web
Administracin de : Sitio, directorio, archivo
Administracin de Sitio F.T.P.: Propiedades , Administracin de Sitio
N.N.T.P
CAPTULO 14
Monitoreo y Optimizacion
Monitoreo y Rendimiento con Performance Monitor

Uso del administrador de tareas task manager
Event viewer ,visor de sucesos
Terminal server y control remoto, escritorios remotos
Network Monitor trafico de red
Uso del registry : origen , uso de datos, estructura
Editores de registro Claves , Subclaves, almacenamiento de datos
Backup,Copia de seguridad y Restore recuperacin del registro
CAPTULO 15
Implemetacion y Administracion Remota
Monitoreo y Rendimiento con Performance Monitor

Uso del administrador de tareas task manager
Event viewer ,visor de sucesos
Terminal server y control remoto, escritorios remotos
Network Monitor trafico de red
Uso del registry : origen , uso de datos, estructura
Editores de registro Claves , Subclaves, almacenamiento de datos
Backup,Copia de seguridad y Restore recuperacin del registro
I5
INTRODUCCION
Introduccion a Windows Server 2003
Windows Server 2003 incluye toda la funcionalidad que el cliente espera de un

sistema operativo de servidor Windows de misin crtica, tal como seguridad,
fiabilidad, disponibilidad y escalabilidad. En conclusin, Microsoft ha mejorado y
ampliado los sistemas operativos de servidor Windows para que su organizacin
experimente los beneficios de Microsoft .NET - software para conexin de
dispositivos, sistemas, personas e informacin.
Funciones del Servidor

Windows Server 2003 es un sistema operativo de propsitos mltiples capaz de
manejar una gran gama de funciones de servidor, sobre la base de sus necesidades,
tanto de manera centralizada como distribuida. Algunas de estas funciones del
servidor son:
Servidor de archivos e impresin.
Servidor Web y aplicaciones Web.
Servidor de correo.
Terminal Server.
I7
Servidor de acceso remoto/red privada virtual (VPN).
Servicio de directorio, Sistema de dominio (DNS), y servidor DHCP.
Servidor de transmisin de multimedia en tiempo real (Streaming).
Servidor de infraestructura para aplicaciones de negocios en lnea (tales como

planificacin de recursos de una empresa y software de administracin de
relaciones con el cliente).
Windows Server 2003 cuenta con cuatro beneficios principales:
Seguro
Windows Server 2003 es el sistema operativo de servidor ms rpido y ms seguro
que ha existido. Windows Server 2003 ofrece fiabilidad al:
Proporcionar una infraestructura integrada que ayuda a asegurar que su

informacin de negocios estar segura.
Proporcionar fiabilidad, disponibilidad, y escalabilidad para que usted pueda

ofrecer la infraestructura de red que los usuarios solicitan.
Productivo
Windows Server 2003 ofrece herramientas que le permiten implementar,
administrar y usar su infraestructura de red para obtener una productividad
mxima.
Windows Server 2003 realiza esto al:
Proporcionar herramientas flexibles que ayuden a ajustar su diseo e

implementacin a sus necesidades organizativas y de red.
Ayudarle a administrar su red proactivamente al reforzar las polticas, tareas
automatizadas y simplificacin de actualizaciones.
Ayudar a mantener bajos los gastos generales al permitirles a los usuarios
trabajar ms por su cuenta.
Conectado
Windows Server 2003 puede ayudarle a crear una infraestructura de
soluciones de negocio para mejorar la conectividad con empleados, socios,
sistemas y clientes Windows Server 2003 realiza esto al:
Proporcionar un servidor Web integrado y un servidor de transmisin de
multimedia en tiempo
real para ayudarle a crear ms rpido, fcil y seguro una Intranet dinmica y sitios
de Internet.
Proporcionar un servidor de aplicaciones integrado que le ayude a desarrollar,
implementar y administrar servicios Web en XML ms fcilmente.
Brindar las herramientas que le permitan conectar servicios Web a
aplicaciones internas, proveedores y socios.
0
Mejor economa
Windows Server 2003, cuando est combinado con productos Microsoft como
hardware, software y servicios de los socios de negocios del canal brindan la
posibilidad de ayudarle a obtener el rendimiento ms alto de sus inversiones de
infraestructura.
Windows Server 2003 lleva a cabo esto al:
Proporcionar una gua preceptiva y de fcil uso para soluciones que

permitan poner rpidamente la tecnologa a trabajar.
Ayudarle a consolidar servidores aprovechando lo ltimo en
metodologas, software y hardware para optimizar la implementacin de
su servidor y bajar el coste total de propiedad (TCO)
Tecnologas Bsicas de Windows Server 2003

Windows Server 2003 contiene tecnologas bsicas construidas sobre la base de las
fortalezas de Windows 2000 Server para ofrecer un sistema operativo rentable y
superior. Aprenda sobre diferentes y nuevas tecnologas y caractersticas que hacen
de Windows Server 2003 una plataforma de servidor ideal para organizaciones de
cualquier tamao. Conozca como este sistema operativo de servidor seguro puede
hacer que su organizacin y sus empleados sean ms productivos y estn mejor
conectados.
Seguro
Windows Server 2003 cuenta con la fiabilidad, disponibilidad, escalabilidad y
seguridad que lo hace una plataforma altamente segura.
Disponibilidad Windows Server 2003 ofrece una disponibilidad mejorada

de soporte a clustering. Los servicios de clustering han llegado a ser esenciales
para las organizaciones en cuanto a implementacin de negocios crticos,
comercio electrnico y aplicaciones de negocios en lnea, porque proporcionan
mejoras significativas en disponibilidad, escalabilidad y manejabilidad. La
instalacin y configuracin de clustering es ms fcil y ms robusta en Windows
Server 2003, mientras que algunas caractersticas de red mejoradas en el
producto ofrecen mejor recuperacin de fallos y un tiempo productivo alto del
sistema.
La familia de Windows Server 2003 soporta clusters de servidor de hasta 8 nodos. Si

uno de los nodos en un cluster no se puede usar debido a un fallo o por
mantenimiento, inmediatamente otro nodo empieza a dar servicio, un proceso
conocido como recuperacin de
I1
fallos. Windows Server 2003 tambin soporta balanceo de carga de red, el cual
nivela el trfico de entrada dentro del Protocolo de Internet (IP), a travs de los
nodos en un cluster.
Escalabilidad Windows Server 2003 ofrece escalabilidad a travs de "Scale-up",
habilitado por multiprocesamiento simtrico (SMP) y "Scale-out", habilitado por

clustering. Pruebas internas indican que, comparado con Windows 2000 Server,
Windows Server 2003 da hasta un 140 por ciento de mejor desempeo en la
administracin de archivos y un rendimiento ms significativo en varias otras
caractersticas incluyendo servicio Microsoft Active Directory, servidor Web y
componentes Terminal Server as como servicios de red. Windows Server 2003
abarca desde soluciones de procesador nicas hasta sistemas de 32 vas. Esto
soporta procesadores tanto de 32-bits como de 64 bits.
Fiabilidad Los negocios han hecho crecer la tradicional red de rea local (LAN) al
combinar redes internas, externas y sitios de Internet. Como resultado de esto, el

aumento de seguridad en los sistemas es ahora ms crtica que antes. Como parte
del compromiso de Microsoft de brindar computacin segura, la compaa ha
revisado intensamente la familia Windows para identificar posibles fallos y
debilidades. Windows Server 2003 ofrece muchas mejoras y caractersticas nuevas e
importantes de seguridad incluyendo:
El tiempo de ejecucin Esta funcin del software es un elemento clave de

Windows Server 2003 que mejora la fiabilidad y ayuda a asegurar un entorno
seguro. Esto reduce el nmero de fallos y huecos de seguridad causados por errores
comunes de programacin. Como resultado, hay menor vulnerabilidad de que
ocurran ataques. El tiempo de ejecucin de lenguaje comn tambin verifica que
estas aplicaciones puedan correr sin errores y chequea permisos de seguridad
vlidos, asegurando que el cdigo realice solamente las operaciones
correspondientes.
Internet Information Services 6.0 Para incrementar la seguridad del
servidor Web, Internet Information Services (IIS) 6.0 est configurado para una
mxima seguridad la instalacin por defecto est "asegurada". Caractersticas de
seguridad avanzadas en IIS 6.0 incluyen: servicios de criptografa selectiva,
advanced digest authentication, y acceso configurable de control de procesos. Estas
son algunas de las muchas caractersticas de seguridad en IIS 6.0 que le permiten
llevar a cabo negocios con seguridad en la Web.
Productivo
En numerosas reas, Windows Server 2003 tiene capacidades que pueden hacer que su
organizacin y empleados sean ms productivos, como:
Servicios de impresin y archivos En el corazn de cualquier

organizacin TI, la habilidad que se tenga de administrar eficientemente los
recursos de archivo e impresin, es lo que permitir que estos estn disponibles y
seguros para los usuarios. Al aumentar las redes en tamao con ms usuarios
localizados en sitios, en ubicaciones remotas, o en compaas de socios, los
administradores de TI enfrentan cada vez ms carga pesada. La familia Windows
ofrece servicios inteligentes de manejo de archivos e impresin con una
funcionalidad y rendimiento elevado, permitindole reducir TCO.
Active Directory Active Directory es un servicio de directorio de la familia de

Windows Server 2003. Esto almacena informacin acerca de objetos en la red y
hace que esta informacin sea fcil de encontrar por los administradores y usuarios
proporcionando una organizacin lgica y jerrquica de informacin en el directorio.
Windows Server 2003 trae muchas mejoras para Active Directory, hacindolo ms
verstil, fiable y econmico de usar. En Windows Server 2003, Active Directory
ofrece una escalabilidad y rendimiento elevado. Esto tambin le permite mayor
flexibilidad para disear, implementar y administrar el directorio de su organizacin.
Servicios de Administracin Mientras que la computacin se ha proliferado
en ordenadores de sobremesa y dispositivos porttiles, el coste real de
mantenimiento de una red distribuida de ordenadores personales ha aumentado
significativamente. Reducir el mantenimiento da a da a travs de la automatizacin,
es la clave para reducir costes de operacin. Windows Server 2003 contiene varias
herramientas importantes de administracin automatizada como Microsoft Software
Update Services (SUS) y asistentes de configuracin de servidor para ayudar a
automatizar la implementacin. La Administracin de Polticas de Grupo se hace ms
fcil con la nueva Consola para Administracin de Polticas de Grupo (GPMC),
permitiendo que ms organizaciones utilicen mejor el servicio Active Directory para
sacar beneficio de sus poderosas caractersticas de administracin. En conclusin,
las herramientas de lneas de comandos permiten que los administradores realicen
la mayora de las tareas desde la consola de comandos.
Administracin de almacenamiento Windows Server 2003 introduce
caractersticas nuevas y mejoradas herramientas para la administracin del
almacenamiento, haciendo que sea ms fcil y ms seguro manejar y dar
mantenimiento a discos y volmenes, respaldar y recuperar datos, y conectarse a una
red de almacenamiento (SANs).
Terminal Services Terminal Services, componente de Microsoft Windows
Server 2003, se construye en el modo de servidor de aplicaciones en Windows
2000 Terminal Services. Terminal Services le permite enviar aplicaciones en
Windows, virtualmente a cualquier dispositivo - incluyendo a aquellos que no
pueden correr Windows.
Conect ado
Windows Server 2003 incluye caractersticas y nuevas mejoras
Servicios Web XML IIS 6.0 es un componente importante de la familia

Windows. Los administradores y desarrolladores de aplicaciones Web demandan
una plataforma Web rpida que sea tanto escalable como segura. Las mejoras
significativas de arquitectura en IIS abarcan un modelo de procesos nuevo que en
gran medida aumenta la fiabilidad, la escalabilidad y el desempeo. IIS est
instalado predeterminadamente en estado seguro (Lock down). La seguridad se
incrementa debido a que el administrador del sistema habilita y deshabilita
funciones del sistema de acuerdo a requerimientos de la aplicacin.
I3
Comunicaciones y redes Las comunicaciones y redes nunca han sido tan
crticas para las organizaciones que enfrentan el reto de competir en el mercado

global. Los empleados necesitan conectarse a la red desde cualquier lugar y
cualquier dispositivo. Socios, vendedores y otros fuera de la red necesitan
interactuar eficientemente con recursos clave, y la seguridad es ms importante
que nunca. Las nuevas caractersticas y mejoras en redes en la familia de Windows
Server 2003 incrementan la versatilidad, manejabilidad y fiabilidad de
infraestructura de red.
Servicios empresariales UDDI. Windows Server 2003 incluye servicios
empresariales UDDI, una infraestructura dinmica y flexible para servicios Web
XML. Esta solucin basada en estndares le permite a las compaas llevar a cabo
sus propios servicios internos UDDI para redes de uso interno y externo. Los
desarrolladores pueden encontrar y reutilizar fcil y rpidamente los servicios Web
disponibles dentro de la organizacin. Los administradores TI pueden catalogar y
administrar los recursos programables de su red. Con servicios empresariales
UDDI, las compaas pueden crear e implementar aplicaciones ms inteligentes y
seguras.
Servicios de Windows Media Windows Server 2003 incluye los servicios
de medios digitales ms poderosos de la industria. Estos servicios son parte de la
nueva versin de la plataforma de tecnologas de Microsoft Windows Media que
tambin incluyen un nuevo reproductor de Windows Media, un codificador de
Windows Media, codecs de audio y video y un paquete para desarrollo de software
de Windows Media.
Mejor economa
Microsoft dise Windows Server 2003 para ayudar a las compaas a darle valor aadido
a sus negocios al mantener costes bajos. La alta fiabilidad de Windows Server 2003
ayuda a controlar costes al reducir fallos y tiempo de inactividad. Windows Server 2003
tiene la flexibilidad de escalar segn la demanda.
Las herramientas poderosas de administracin y configuracin en Windows Server 2003
le permiten a los negocios implementar y administrar sistemas tan fcil y eficientemente
como sea posible. La compatibilidad con aplicaciones heredadas y productos de otras
compaas har que las organizaciones no pierdan su inversin de infraestructura
existente. Con la familia de Windows Server 2003, las organizaciones se benefician de
una plataforma poderosa y robusta que ayuda a darle a los negocios valor hoy en da y
en el futuro.
CAPTULO 1
Instalacin de Windows Server 2003
La instalacion y configuracion de Windows Server 2003 es similar al proceso de

instalacion de Windows 2000 Server, por lo que los administradores expertos en
este ultimo podran utilizar sus conocimientos para Ilevarlo a cabo. Sin embargo,
hay un importante numero de mejoras:
NUEVO ASISTENTE PARA INSTALACION

El nuevo asistente para la instalacion de Windows Server 2003 conserva la mayor
parte del diseo del asistente para la instalacion de Windows 2000 Server .No
obstante su diseo ha mejorado para que sea mas facil encontrar informacin y
tareas relacionadas con la instalacion.
El nuevo asistente refleja el diseo basado en tareas de Windows Server 2003
,mediante la agrupacin de las tareas comunes con documentacin e informacin
necesarias para ayudar a los administradores a realizarlas.
ACTUALIZACION DINAMICA
Ahora el asistente proporciona a los usuarios la opcion de descargar archivos de
instalacion y controladores actualizados de Microsoft. Esta opcion tambien se
puede incluir en una secuencia de comandos como parte de una instalacion
desatendida.
COMPROBACION DE COMPATIBILIDAD
El asistente permite a los usuarios realizar una prueba de compatibilidad detallada
en sus Pcs ,como parte del proceso de comprobacin de compatibilidad ,Usted
puede visitar el sitio web de Microsoft en busca de actualizaciones dinamicas
,Existe tambien una herramienta adicional que puede utilizar para comprobar
compatibilidad de aplicaciones Application Compatibilty Toolkit
I5
ASISTENTE PARA LA INSTALACION
Antes de instalar Windows Server 2003, complete las siguientes tareas:

Verificar que todo el hardware est listado en la HCL.
Verificar que los componentes cumplan el mnimo hardware requerido.
Seleccionar el sistema de archivos para la particin, en cual instalar
Windows Server 2003, a menos que usted necesite una configuracin dual boot de
formato usando NTFS.
Determinar si utilizar Per Device o Per User como modo de licenciamiento.
Determinar el nombre del dominio al que Usted quiere agregar o el workgroup que
crear. Si va a usar un dominio, el nombre estar en formato DNS: server.domain (donde
server es el nombre de su computadora y dominio es el nombre del dominio al cual
pertenece su computadora). Si agrega a un workgroup, el nombre estar en formato
(NetBIOS).
Crear una cuenta de computadora en el dominio, usando el nombre de la computadora
que Usted est instalando. Aunque un administrador de dominio puede crear una cuenta
de computadora antes de la instalacin, Usted puede crear tambin una cuenta de
computadora durante la instalacin si tiene privilegios administrativos en el dominio. Por
defecto, los usuarios pueden crear hasta 10 cuentas de computadora en el dominio.
Determinar la contrasea para la cuenta del Administrador local.
INSTALANDO DESDE EL COMPACT DISC
La instalacin de Windows Server 2003 desde compact disc implica encender la

computadora de compact disc o floppy disks y proceder con varios wizards. Aunque el
proceso de instalacin no es perceptiblemente diferente de Windows NT 4.0 o Windows
2000, tener experiencia con el proceso de la instalacin de Windows Server 2003 le
ayudar a realizar este proceso ms eficientemente.
FUNCIONAMIENTO DEL PROGRAMA DE INSTALACION

La porcin de modo texto de instalacin en Windows Server 2003 no es diferente a la
porcin de instalacin en modo texto de Windows NT 4.0 y Windows 2000. Realizar una
instalacin implica los pasos siguientes:
I7
Para comenzar la instalacin hay que apagar la computadora, insertar el CD-ROM en la

lectora y encender la computadora. Como alternativa, se puede correr Winnt.exe. Una
versin mnima de Windows Server 2003 se copia en memoria y entonces la porcin de
instalacin en modo texto se inicia. TIP: Si utiliza un floppy de DOS con carga de Drivers
para la lectora de CD-ROM, asegrese de cargar el driver SmartDrive. De lo contrario, la
instalacin puede demorar ms de lo normal.
Seleccionar la particin en la cual instalar Windows Server 2003.
Particionar el disco consiste en dividir el disco fsico de tal manera que cada seccin
funcione como una unidad individual. Cuando usted crea las particiones en un disco,
usted divide el disco en una o ms reas que pueden ser formateadas para ser usadas
por un sistema de archivos, Cuando usted realiza una instalacin el programa de
instalacin examina el disco duro para determinar la configuracin existente, y ofrece las
siguientes opciones:
Crear una nueva particin en un disco duro no particionado. Si el disco duro no

esta particionado, usted puede crear y puede definir el tamao de la particin
asignada a Windows Server 2003.
Una nueva particin en un disco duro previamente particionado. Si el disco
duro se encuentra particionado, pero tiene suficiente espacio libre (no particionado),
Usted puede crear una nueva particion para Windows Server 2003 en el espacio no
particionado.
Instale en la particin existente. Si el disco duro tiene una particin existente que
es lo suficientemente grande, usted puede instalar Windows Server 2003 en esta
particin. Si hay algn sistema operativo en la particin existente, durante la
ejecucin de una nueva instalacin se borra este sistema operativo.
Eliminar la particin existente. Si el disco duro tiene una particin existente. Usted
puede eliminarla para crear ms espacio no particionado en el disco para crear una
particin apropiada para Windows Server 2003. al eliminar la particin existente borra
cualquier dato almacenado en esa particin.
Seleccionar un sistema de archivos para la particin nueva. Tambin se puede elegir dar
formato a la particin nueva.
La instalacin copia archivos al disco y graba parmetros de configuracin. Luego se
reinicia la computadora y se inicia el Wizard de instalacin la locacin por defecto de los
archivos de la instalacin es la carpeta Windows.
WIZARD DE INSTALACION DE WINDOWS SERVER 2003

Despus de instalar las caractersticas de seguridad y configurar los dispositivos, el
Wizard le solicitar la siguiente informacin:
Configuracin Regional
Nombre y organizacin
Product key (de 25 caracteres)
Modo de Licenciamiento
Nombre para la computadora y contrasea para la cuenta del Administrador local.
Componentes opcionales de Windows Server 2003.
La siguiente tabla describe algunas de las opciones que estn disponibles en el Wizard.
Certificate Services.
Permite crear y solicitar certificados digitales para la Autentificacin X.509

Los certificados proporcionan medios comprobables de identificar ausuarios
en redes no-seguras, tales como Internet.
Fax Services.
Permite enviar y recibir faxes desde su computadora.
Indexing Service.
Permite hacer bsquedas dinmicas con texto completo de los datos que se
almacenan en la computadora o la red.
Message Queuing
Soporta aplicaciones que envan mensajes a las colas. Tambin permite

comunicar aplicaciones a travs de redes heterogneas y con computadoras
que pueden estar temporalmente fuera de lnea.
Remote Installation
Services
Permite la instalacin remota de Windows XP Professional, Windows 2000 y

Windows Server 2003 sobre una conexin de red.
Remote Storage
Permite que el usuario utilice las libreras de cintas como extensiones de

volmenes NTFS, moviendo datos automticamente y desde medios de cinta.
Terminal Server
Configura la computadora para permitir que los usuarios mltiples utilicen

una o ms aplicaciones remotamente. Asimismo est disponible durante la
instalacin, por ejemplo RIS y Servidor de Aplicacin.
Terminal Server
Licensing
Configura el servidor como Terminal Services License Server y eso

proporciona licencias del cliente.
I9
Update Root
Certificates
Descarga automticamente la lista ms actual de root certificates desde

Windows Update, si fuese necesario.
Windows Media
Services
Permite hacer stream de contenido multimedia para usuarios.
Despus de seleccionar componentes opcionales, el Wizard de Windows Server 2003 le

pedir ajustar la fecha y la hora, lo que es crtico para operaciones de rplica de bases de
datos de Windows Server 2003.
SELECCIONANDO EL SISTEMA DE ARCHIVOS
Una vez que Usted haya creado la particion donde planea instalar Windows Server 2003,
la instalacion permitira que seleccione el sistema de archivos para darle formato.
Windows Server 2003 soporta sistema de archivos NTFS y FAT16/FAT32.
NTFS
Utilizar NTFS para las particiones, requiere :
Seguridad a nivel de archivo y carpeta ,NTFS permite controlar el acceso a los

achivos y carpetas
Compresin de disco ,NTFS permite comprimir archivos para crear mas espacio
disponible.
Cuotas de disco ,NTFS permite controlar el uso del disco por el usuario
Encriptacin de archivos, NTFS permite encriptar archivos y carpetas
La version de NTFS en Windows Server 2003 soporta remote storage y mounting de

volumenes en carpetas. Microsoft Windows 2000, Windows XP Profesional, Windows
Server 2003 y Windows NT son los unicos sistemas operativos que pueden tener acceso a
datos sobre un disco duro local que tenga formato NTFS.
Para compatibilidad en NTFS y Windows NT 4.0 en configuraciones de doble boot
Windows NT 4.0 requiere Service Pack 4 minimo.se recomienda usar Service pack 6.
10
FAT y FAT32
Normalmente, Usted no utilizara FAT o FAT32 para dar formato a la particin del
sistema, a menos que requiera un dual boot entre Windows Server 2003 y otro sistema
operativo. FAT y FAT32 no ofrecen las caractersticas de seguridad que provee NTFS. Si
Usted requiere las caractersticas de NTFS, particularmente seguridad a nivel archivos y
carpetas, es recomendable que use sistema NTFS. Si elige dar formato a la particin
usando FAT, la instalacin automticamente dar formato a particiones que son mayores
de 2 GB en FAT32
.SELECCIONANDO
EL MODO DE LICENCIAMIENTO
Modelo de licenciamiento para Windows Server 2003

Cada copia instalada del software de servidor requiere la compra de una licencia de
servidor de Windows.
Se requiere una Licencia de Acceso para Cliente de Windows (CAL de Windows) para
poder acceder al uso del software del servidor.
No se requiere una CAL si el acceso al servidor es a travs de Internet y no est
"autentificado" -por ejemplo el acceder a un sitio Web para obtener informacin general
donde no se intercambian credenciales de identificacin.
Una CAL de Windows (Per Server) puede an ser designada para su uso con un solo
servidor, autorizando acceso por medio de cualquier dispositivo o usuario, cuando la
modalidad de software de licencia para el servidor est definida en "Per Server". En esta
modalidad, el nmero de CAL's de Windows es igual al numero mximo de conexiones
corrientes.
Una CAL de Windows (Per Device o Per User) puede ser designada para su uso con
cualquier nmero de servidores, autorizando el acceso por medio de un dispositivo
especfico o usuario, cuando la modalidad de licencia del software de servidor est
definida en "Per Device o Per User" (nteriormente llamada modalidad "Per Seat").
Se requiere una licencia de Acceso de Cliente a Terminal Server (CAL TS) para utilizar
un Servidor Terminal u hospedar una sesin de interfase de usuario grfica remota (GUI),
excepto para una sesin de consola. En Windows 2000, haba una excepcin a este
requerimiento de licencia y eso cambiar.
I 11
DETERMINANDO PERTENENCIA A WORKGROUP O DOMINIO
Durante la instalacin, Usted debe elegir un dominio o un workgroup como grupo de

seguridad para la pertenencia de la computadora.
DOMINIO
Durante la instalacin Usted puede agregar la computadora a un dominio existente como
member server, operacin que requiere lo siguiente:
Un nombre de Dominio. Un ejemplo de un nombre de dominio DNS vlido es
.microsoft.com.
Una cuenta de computadora. Antes de unir una computadora a un dominio, tiene que
existir una cuenta para esa computadora en el Dominio. Usted puede crear la cuenta
antes de la instalacin o, si tiene privilegios administrativos en el dominio, puede crear
esta cuenta durante la instalacin. Si la cuenta de la computadora se crea durante la
instalacin, el programa de instalacin le pedir que ingrese usuario y contrasea con
autoridad para agregar cuentas de computadoras al dominio.
Un domain controller disponible y un server corriendo el servicio DNS Server. Por lo
menos un domain controller y un DNS server deben estar online al momento de agregar
una computadora al dominio
WORKGROUP
Usted puede agregar la computadora a un workgroup, nicamente si est en una red
pequea sin un dominio o si se est preparando para agregar a un dominio ms adelante.
El nombre del workgroup que Usted asigne puede ser el nombre de un workgroup
existente o de un workgroup nuevo que cree durante la instalacin
INSTALACION DE COMPONENTES DE NETWORKING

Despus de recopilar la informacin sobre su computadora, el Wizard lo guiar a travs
de la instalacin de componentes para networking. Este segmento del proceso de
instalacin comienza con la deteccin de las tarjetas de red. Despus de configurar los
adaptadores de red, la instalacin localiza el server corriendo el servicio de DHCP Server
en la red. Para continuar con el Wizard, se deben seguir los pasos siguientes:
En primer lugar tiene que instalar componentes de networking en configuracin tpica o
personalizada. La instalacin tpica incluye:
12
Cliente para Redes Microsoft

Compartir archivos e impresoras para Redes Microsoft
Internet Protocol (TCP/IP) en una instalacin tpica, que se configura para direccin IP
dinmica. Para configurar TCP/IP, deber elegir una instalacin custom.
Agregar a workgroup o a dominio.
FIN DE LA INSTALACION
Despus de instalar los componentes de networking, el programa de instalacin termina
de la siguiente manera:
Copia los archivos restantes, por ejemplo los accesorios y BITMAPS.
Aplica la configuracin que Usted especific anteriormente.
Guarda la configuracin al disco duro local.
Quita archivos temporales y reinicia la computadora.
VERSIONES CON WINDOWS SERVER 2003
I 13
Windows Server 2003 presenta cuatro versiones con diferentes funcionalidades que estan
descritas debajo:
El sistema operativo servidor fiable ideal para satisfacer las necesidades diarias de
empresas de todos los tamaos, proporcionando la solucin ptima para compartir
archivos e impresoras, conectividad segura a Internet, implementacin centralizada de
aplicaciones y un entorno de trabajo que conecta eficazmente a empleados, socios y
clientes. Soporta hasta 4 procesadores y 4 Gb de Memoria RAM.
La plataforma preferida tanto por las grandes compaas como por las de tamao medio
para implementar aplicaciones de forma segura, as como servicios Web. Integrndose en
infraestructuras aportando fiabilidad, mejores rendimientos y un elevado valor
empresarial, se presenta tanto en 32 como en 64 bit. Soporta hasta 8 procesadores,
hasta 64 Gb de memoria RAM y permite clustering de hasta 8 nodos.
Es el servidor escogido para aplicaciones crticas de negocio as como las consideradas de

misin crtica, que exigen los ms altos niveles de uptime, escalabilidad y fiabilidad. Slo
disponible a travs del Datacenter Program de la mano de los fabricantes y proveedores
de servicios lderes del mercado, se presenta en las versiones de 32 y 64 bit. y permite
escalar por encima de las 8 vas o procesadores alcazando hasta 64 procesadores en
paralelo.
14
Optimizado especficamente para albergar y servir pginas web, manteniendo las

funcionalidades esenciales que garantizan la fiabilidad, seguridad y facilidad de gestin
caractersticas de Windows Server. Es la edicin adecuada para implementar servidores
web dedicados a bajo coste.
El soporte en cuanto a memoria, procesadores y funcionalidad varia en las diferentes versiones. Es
por ello que Usted debera tener en cuenta las necesidades al momento de la eleccion del Sistema
operativo.
Server
CPU / RAM
2 CPU
4 GB
Caracteristicas Nuevas
Caracteristicas:
NLBS
Personal Firewall
Web Server
Enterprise Server
Datacenter
2 CPU
2GB
8 CPU
32 GB (x86)
64 GB (64-Bit)
8-64 CPU
64GB (x86)
512 GB (64-Bit)
Puede c o r r e r :
IIS 6.0
.NLBS
DNS, DHCP,
WINS
All f e a t u r e s f r o m
Standard p l u s :
a8-node Clustering
&64-bit Version
All f e a t u r e s f r o m
Enterprise, plus:
Datacenter program
-Datacenter HCL
-Maintenance
Multi-instance support
Limitaciones:
, No DC Promo
,No Aplicaciones
No TS App
Mode
REQUERIMIENTOS
I 15
Windows Server 2003 Requerimientos del Sistema

R equerimien
TTTt
Standard
133 MHz
Velocidad
del
CPU Minima
Enterprise
133 MHz para arquitectura x86
733 MHz para arquitectura
Itanium
Datacenter
Web
400 MHz para arquitectura 133 MHz

x86
733 MHz para arquitectura
Itanium
Velocidad del
CPU
RAM Minima
550 MHz
733 MHz
733 MHz
550 MHz
128 MB
128 MB
512 MB
128 MB
RAM
Recomenda
256 MB
256 MB
1 GB
256 MB
4 GB
RAM Maxima
Sopo r te
Multiprocesado
r SMP
Espacio Minimo
en Disco
16
Hasta 4
32 GB for para arquitectura

x86
64 GB para arquitectura
x86

Itanium

Itanium
Hasta 8
Requerido 8 Minimo
2 GB
Hasta 2
M a x i m o 64
1.5 GB
1.5 GB para arquitectura x86

2.0 GB para arquitectura
Itanium

x86
Itanium
1.5 GB
En el asistente de configuracin de Windows Server 2003 usted puede configurar lo

siguiente.
Directorio activo. Usted puede configurar el servidor como un Controlador de

dominio y configurar el Domain Name System (DNS) si este no estuviera habilitado.
Servidor de archivos. Usted puede crear las carpetas compartidas a ser
almacenadas en el servidor.
Servidor de Impresin. Usted puede configurar las impresoras locales o de red y
publicarlas en el Directorio Activo.
Servidor de Web/Media. Usted puede usar el Web/media server para obtener una
fuerte presencia en la intranet como en la extranet. Esto incluye el uso del IIS
(Internet Information Server) para configurar los servicios Web o FTP en su intranet o
Extranet Corporativa permitiendo la publicacin de contenido multimedia.
Interconexin Usted puede seleccionar los servicios de soporte de red que su
empresa requiera, tales como DHCP, WINS y otros.
Servidor de la aplicacin. Usted puede preparar la computadora como un servidor
de la aplicacin.
Opciones Avanzadas de Configuracin. Usted puede configurar las opciones
avanzadas, tales como el message queuing, Las herramientas de soporte tal como el
network monitor y otros servicios avanzados.
I 17
Identificando los Errores de la configuracin

La siguiente tabla lista los errores de la configuracin comunes y las posibles soluciones.
Problema
Solucin
Media errors
Use un disco compacto diferente. para solicitar el

disco compacto de reemplazo, contctese con su
proveedor Microsoft Regional.
Reemplace la unidad de CD-ROM con una que este
soportada. Pruebe otro mtodo de instalar Windows
2003, como instalar a travs de la red, y entonces
agregue el driver de CD-ROM.
Use el programa de instalacin para crear una
particin que use el espacio existente en el disco
duro. Usted tambin puede eliminar y crear las
particiones tan grandes como sea necesario para la
instalacin.
En el asistente de configuracin de Windows 2003,
regrese a la pagina de configuracin de la Red y
verifique la instalacin del protocolo y adaptador de
red apropiado. Verifique que el adaptador de red
tiene la configuracin apropiada, tal como el tipo
del transreceptor, y que el nombre de computadora
local es nico en la red.
verifique que el nombre de dominio y la direccin IP
son correctos.
Verifique que el servidor que ejecuta el servicio DNS
y el controlador de dominio se encuentren activos.
Si usted no puede ubicara a un controlador de
dominio, puede unirse a un grupo de trabajo y
posteriormente puede unirse al dominio.
Verifique que el adaptador en red y el protocolo se
encuentran correctamente configuradas.
Si usted est reinstalando Windows 2003 y est
usando el mismo nombre de computadora, elimine
y luego recree la cuenta de computadora.
Verifique que Windows 2003 halla detectado todos
los componentes de hardware y que
estos se
encuentren la lista de compatibilidad de hardware
HCL.
Non-supported
drive
CD-ROM
Insufficient disk space
Failure of dependency
service to start
Inability to connect to
the domain controller
Failure of Windows 2003

to install or start
18
CAPTULO 02
Active Directory en Windows Server 2003c
Active
Directory
Para tomar ventaja de la potencia de Windows Server 2003 es necesario comprender
el funcionamiento del servicio de Directorio Activo (Active Directory) y como este
servicio nos proporciona la funcinabilidad que las empresas requieren para alcanzar
sus objetivos. Esta seccin pretende lograr un entendimiento del Active Directory
desde los siguientes enfoques:
Almacen El servicio de directorio activo almacena la informacin de los
objetos que conforman la red en una estructura jerrquica, permitiendo que
esta informacin este disponible para los administradores, usuarios y
aplicaciones.
Estructura El Active Directory permite organizar la red, es decir los recursos y
objetos que la componen a travs de componentes que los confinen tales como
unidades administrativas, dominios, rboles, bosques etc. Este capitulo describe
como la estructura y funcin de estos componentes y como esta arquitectura
permite a los administradores satisfacer las necesidades en un entorno empresarial.
Active Directory Services

Desde un punto de vista de las tecnologas de informacin un directorio es una
estructura jerrquica que almacena informacin tanto de los recursos como objetos
que conforman la red. Los recursos como impresoras, directorios compartidos,
volmenes, equipos pueden se incluidos en el Active Directory junto con objetos tales
como usuarios grupos, polticas de seguridad, etc.
Un Servicio de directorio permite que la informacin almacenada en l este disponible
para los administradores, usuarios, aplicaciones y servicios de red. Permitiendo a
estos acceder al los recursos de manera transparente, es decir sin importar donde se
encuentren ubicados los recursos , el servicio de directorio Active Directory
proporciona la estructura y las funciones para organizar, administrar y controlar el
acceso a los recursos de red.
Active Directory proporciona tambin la capacidad de administrar centralmente la red
de Windows Server 2003. Esta capacidad significa que puede almacenar
centralmente informacin acerca de la empresa, por ejemplo, informacin de
usuarios, grupos e impresoras, y que los administradores pueden administrar la red
desde una sola ubicacin. Active Directory admite la delegacin del control
administrativo sobre los objetos de l mismo. Esta delegacin permite que los
administradores asignen a un grupo determinado de administradores, permisos
administrativosespecficos para objetos, como cuentas de usuario o de grupo.
I 19
Active Directory es el servicio de directorio de una red de Windows Server 2003,

mientras que un servicio de directorio es aquel que almacena informacin acerca
de los recursos de la red y permite que los mismos resulten accesibles a los usuarios
y a las aplicaciones. Los servicios de directorio proporcionan una manera coherente
de nombrar, describir, localizar, tener acceso, administrar yasegurar la informacin
relativa a los recursos de red.
Funcionalidad
Active Directory proporciona funcionalidad de servicio de directorio, como medio para
organizar, administrar y controlar centralmente el acceso a los recursos de red.
Asimismo hace que la topologa fsica de red y los protocolos pasen desapercibidos,
de manera que un usuario de una red pueda tener acceso a cualquier recurso sin
saber dnde est el mismo o cmo est conectado fsicamente a la red. Un ejemplo
de este tipo de recurso es una impresora.
Active Directory est organizado en secciones que permiten el almacenamiento de
una gran cantidad de objetos. Como resultado, es posible ampliar Active Directory a
medida que crece una organizacin, permitiendo que una organizacin que tenga un
nico servidor con unos cuantos centenares de objetos, crezca hasta tener miles de
servidores y millones de objetos.
Un servidor que ejecuta Windows Server 2003 almacena la configuracin del sistema,
la informacin de las aplicaciones y la informacin acerca de la ubicacin de los
perfiles de usuario en Active Directory. En combinacin con las directivas de grupo,
Active Directory permite a los administradores controlar escritorios distribuidos,
servicios de red y aplicaciones desde una ubicacin central, al tiempo que utiliza una
interfaz de administracin coherente.
Adems, Active Directory proporciona un control centralizado del acceso a los
recursos de red, al permitir que los usuarios slo inicien sesin una sola vez para
obtener pleno acceso a los recursos mediante Active Directory.
Estructura Lgica de Active Directory
20
Active Directory proporciona el almacenamiento seguro de la informacin sobre

objetos en su estructura jerrquica lgica. Los objetos de Active Directory
representan usuarios y recursos, como por ejemplo, las computadoras y las
impresoras. Algunos objetos pueden llegar a ser contenedores para otros objetos.
La estructura lgica de Active Directory incluye los siguientes componentes:
Objectos.
Estos son los componentes bsicos de la estructura lgica.
Clases de Objectos.
Son las plantillas para los tipos de objetos que se pueden

crear en Active Directory. Cada clase de objeto es definida
por un grupo de atributos, los cuales definen los valores
posibles que se pueden asociar a un objeto. Cada objeto
tiene una combinacin nica de los valores de atributos.
Unidades Organiza.
Usted puede utilizar estos container objects para organizar

otros objetos con propsitos administrativos. Organizando
objetos en Organizational Unit, se hace ms fcil localizar y
administrar objetos. Usted puede tambin delegar la
autoridad para administrar las Organizational Unit. Estas
ltimas pueden contener otras Organizational Units para
simplificar
la
administracin
de
objetos.
Dominios
Son las unidades funcionales core de la estructura lgica de

Active Directory, y asimismo es una coleccin de los objetos
administrativos definidos, que comparten en una base de
datos comn del directorio, polticas de la seguridad y
relaciones de confianza con otros Domains. Los Dominios
proporcionan
las
tres
funciones
siguientes:
Un
lmite
administrativo
para
los
objetos
Medios de administrar la seguridad para los recursos
Una unidad de rplica para los objetos
Arboles
Son Dominios agrupados en estructuras de jerarqua. Cuando

se agrega un segundo dominio a un arbol, se convierte en
hijo
del
Dominio
Raiz.
El
dominio
al
cual
un
Dominio hijo se une, se llama Dominio Pariente. El Dominio
hijo puede tener sus propios Dominios hijos, y su nombre se
combina con el nombre de su Dominio Pariente para formar
su propio y nico nombre, Domain Name System (DNS). Un
ejemplo de ellos sera corp.nwtraders.msft. De este modo, un
arbol tiene un Namespace contiguo.
Bosque
Un Bosque es una instancia completa de Active Directory, y

consiste en uno o ms arboles. En un solo two-level tree, el
cual se recomienda para la mayora de las organizaciones,
todos los Dominios hijos se hacen hijos del bosque del
dominio raiz para formar un arbol contiguo. El primer dominio
en el bosque se llama bosque raiz del dominio, y el nombre
de ese dominio se refiere al bosque, por ejemplo,
nwtraders.msft. Por defecto, la informacin en Active
Directory se comparte solamente dentro del bosque. De esta
I 21
manera, la seguridad del bosque estar contenida en una

sola instancia de Active Directory.
La estructura fsica de Active Directory
En contraste con la estructura lgica y los requisitos administrativos de los modelos,

la estructura fsica de Active Directory optimiza el trfico de la red, determinando
cmo y cundo ocurre la replicacin y el trfico de logon. Para optimizar el uso del
ancho de banda de la red Active Directory, Usted debe entender la estructura fsica
del mismo.
Los elementos de la estructura fsica de Active Directory son:
Domain controllers. Estas computadoras corren Windows Server 2003 o Windows
2000 Server y Active Directory. Cada Domain Controller realiza funciones de
almacenamiento y replicacin, y adems soporta solamente un domain. Para
asegurar una disponibilidad contnua de Active Directory, cada domain debe tener
ms de un Domain Controller.
Active Directory sites. Los sites son grupos de computadoras conectadas. Cuando
Usted establece sites, los Domain Controllers que estn dentro de un solo site
pueden comunicarse con frecuencia. Esta comunicacin reduce al mnimo el estado
de la latencia dentro del site, esto es, el tiempo requerido para un cambio que se
realice en un Domain Controller y sea replicado a otros domain controllers. Usted
crea sites para optimizar el uso del ancho de banda entre domain controllers en
diversas locaciones.
Active Directory partitions. Cada Domain Controller contiene las siguientes
particiones de Active Directory:
Domain Partition, que contiene la rplica de todos los objetos en ese domain. Esta
particin es replicada solamente a otros Domain Controllers en el mismo domain.
Configuration Partition, que contiene la topologia del forest. La topologa registra
todas las conexiones de los Domain Controllers en el mismo forest.
Schema Partition, que contiene el schema del forest. Cada forest tiene un schema
de modo que la definicin de cada clase del objeto sea constante. Las particiones
Configuration y Schema Partitions son replicadas a cada Domain Controller en el
forest.
Application Partitions Opcionales. que contienen los objetos relacionados a la
seguridad y son utilizados por una o ms aplicaciones. Las Application Partitions son
replicadas a Domain Controllers especficos en el forest.
22
Qu son los Operations Masters
Cuando un cambio se realiza en un dominio el cambio se replica a todos los

Controladores de dominio del mismo. Algunos cambios, por ejemplo los que se
hacen en el schema, son replicados a todos los dominios en el bosque. Este tipo de
replicacin es llamada Multimaster Replication.
Operaciones Single Master

Durante la replicacin multimaster, puede ocurrir un conflicto de rplica donde se
originen actualizaciones concurrentes en el mismo atributo del objeto y en dos
Controladores de dominio. Para evitar conflictos de rplica, Usted puede utilizar
Single Master Replication, la cual asigna un Controlador de dominio como el
nico y en el que se pueden realizar cambios de directorio.
De esta manera, los cambios no pueden ocurrir en diversos lugares de la red al
mismo tiempo. Active Directory usa Single Master Replication para los cambios
importantes, por ejemplo, la adicin de un nuevo domain o cambios al schema del
bosque.
Operations Master Roles

Las operaciones que utilizan Single Master Replication van junto a roles especficos
en el forest o en el domain. Estos roles se llaman Operations Master Roles. Para
cada Operation Master Role, solamente el Domain Controller que tiene el rol puede
realizar los cambios asociados al directorio. El Domain Controller que es
responsable de un rol en particular se llama Operations Master para ese rol.
Active Directory, por su parte, almacena la informacin sobre el Domain Controller
que cumple un rol especifico.
Los Operations Master Roles son a nivel forest o nivel domain, y Active Directory
define cinco de ellos, los cuales tienen una localizacin por defecto.
Roles Forest-wide. nicos en el forest, los roles forest-wide son:
I 23
Schema master. Controla todas las actualizaciones al schema. El schema

contiene la definicin de clases de objetos y atributos que se utilizan para crear
todos los objetos de Active Directory, como usuarios, computadoras, e impresoras.
Domain Naming Master. Controla la adicin o el retiro de domains en el forest.
Cuando se agrega un nuevo domain al forest, solamente el Domain Controller que
tenga el rol Domain Naming Master, podr agregar el nuevo domain. Hay solamente
un Schema Master y un Domain Naming Master por forest.
Roles Domain-wide. Para cada domain en el forest, los roles domain-wide
son:
Primary domain controller emulator (PDC). Acta como un PDC Windows NT
para soportar a los Backup Domain Controllers (BDCs) que corren Windows NT en
dominios de modo mixto. Este tipo de dominio tiene Domain Controller corriendo
Windows NT 4.0. El PDC Emulator es el primer Domain Controller que se crea en un
nuevo dominio.
Relative identifier master. Cuando se crea un nuevo objeto, el Domain
Controller crea un nuevo Security Principal, que representa al objeto, asignndole
un Unique Security Identifier (SID). El SID consiste en un Domain SID, que es igual
para todos los Security Principals creados en el domain, y un relative identifier
(RID), el cual es nico para cada security principal creado en el domain. El RID
Master asigna bloques de RIDs a cada Domain Controller en el domain. El Domain
Controller entonces asigna el RID a los objetos se crean del bloque asignado de
RIDs.
Infrastructure master. Cuando los objetos se mueven de un domain a otro, el
Infrastructure Master actualiza las referencias al objeto en ese domain y la
referencia al objeto en el otro dominio. La referencia del objeto contiene el Object
Globally Unique Identifier (GUID), el Distinguished Name y el SID. Active Directory
actualiza peridicamente el Distinguished Name y el SID, en la referencia al objeto
para reflejar los cambios realizados en el objeto real, por ejemplo, movimientos en
y entre domains o la eliminacin del objeto.
Cada domain en el forest tiene su propio PDC Emulator, RID Master e Infrastructure
Master.
Transferencia de Operations Master Roles
Usted colocar los Operations Master Roles en un bosque cuando implemente una
estructura de bosque y dominio. Los Oerations Master Roles se transfieren,
24
solamente cuando se realiza un cambio importante en la infraestructura del

dominio. Tales cambios incluyen el desarme de un Domain Controller que haya
tenido un rol, y la adicin de un nuevo Domain Controller que satisfaga mejor las
operaciones de un rol especfico.
La transferencia de Operations Master Roles implica mover el rol de un Domain
Controller a otro. Para transferir roles, los dos Domain Controllers deben estar
funcionando y conectados a la red.
Ninguna prdida de datos ocurre cuando Usted transfiere Operations Master Role.
Active Directory replica el actual Operation Master Role al nuevo Domain Controller,
asegurando que el nuevo Operation Master Role obtendr la informacin necesaria
para dicho rol. Esta transferencia utiliza el mecanismo de la rplica del directorio.
Qu es el servicio de directorio
Un servicio de directorio es un depsito estructurado de la informacin sobre

personas y recursos en una organizacin. En una red Windows Server 2003, el
servicio de directorio es Active Directory.
Active Directory tiene las siguientes capacidades:
Permite a usuarios y aplicaciones tener acceso a la informacin sobre
objetos. Esta informacin se almacena en forma de valores atributos. Usted
buscar objetos basndose en su clase, atributo, valor del atributo, localizacin
dentro de la estructura de Active Directory, o cualquier combinacin de estos
valores.
Hace transparentes la topologa y los protocolos fsicos de la red. De esta
manera, un usuario en una red puede tener acceso a cualquier recurso, por ejemplo
a una impresora, sin saber dnde est el recurso o dnde est conectado
fsicamente con la red o Permite el almacenamiento de un nmero muy grande de
objetos. Dado que se organiza en particiones, Active Directory puede ampliarse
mientras que una organizacin crece. Por ejemplo, un directorio puede ampliarse de
un solo servidor con algunos objetos a millares de servidores y millones de objetos.
I 25
Qu es el Esquema?
El Esquema de Active Directory contiene las definiciones de todos los objetos, como
por ejemplo usuarios, computadoras e impresoras almacenados en Active Directory.
Sobre Domain Controllers corriendo Windows Server 2003, hay solamente un
Schema para todo el bosque. De esta manera, todos los objetos que se crean en
Active Directory cumplen con las mismas reglas.
El Schema tiene dos tipos de definiciones: Object Classes y atributos. Un ejemplo
de Object Classes son los usuarios, la computadora y la impresora, que describen
los objetos posibles que se pueden crear en el directorio. Cada Object Class es una
coleccin de atributos. Los atributos se definen separadamente de los Object
Classes. Cada atributo se define solamente una vez y puede ser utilizado en
mltiples Object Classes. Por ejemplo, el atributo de la descripcin se utiliza en
muchos Object Classes, pero se define solamente una vez en el Schema para
asegurar consistencia.
Asimismo Usted puede crear nuevos tipos de objetos en Active Directory
extendiendo el Schema. Por ejemplo, para un aplicacin E-mail Server, se podra
ampliar el User Class en Active Directory con nuevos atributos que contengan
informacin adicional, como la direccin y el e-mail de los usuarios.
Sobre Domain Controllers Windows Server 2003, Usted puede revertir cambios al
Schema desactivndolos y permitiendo a las organizaciones, de esta forma, mejorar
el uso de las caractersticas de extensibilidad de Active Directory.
Tambin se puede redefinir una clase o atributo del Schema, por ejemplo, cambiar
la sintaxis de la secuencia de Unicode del atributo llamado SalesManager a
Distinguished Name.
26
Qu es el Global Catalog?
El global Catalog es un repositorio de informacin que contiene un subconjunto de

atributos de todos los objetos en Active Directory. Los miembros del grupo Schema
Admins pueden cambiar los atributos que son almacenados en el Global Catalog,
dependiendo de los requerimientos de la organizacin.
El Global Catalog contiene:
Los atributos que se utilizan con ms frecuencia en queries, por ejemplo, first
name, last name y logon name de los usuarios.
La informacin que es necesaria para determinar la localizacin de cualquier
objeto en el directorio.
Un subconjunto por defecto de los atributos para cada tipo de objeto.
Los permisos de acceso para cada objeto y atributos, que son almacenados en el
Global Catalog. Si Usted busca un objeto y no tiene los permisos apropiados para
verlo, el objeto no aparecer en los resultados de la bsqueda. Los permisos de
acceso aseguran que los usuarios puedan encontrar solamente los objetos a los
cuales les han asignado el acceso.
El Global Catalog Server es un Domain Controller que procesa eficientemente
queries intraforest al Global Catalog. El primer Domain Controller que Usted crea en
Active Directory se convierte automticamente en Global Catalog Server. Usted
puede configurar Global Catalog Servers adicionales para balancear el trfico para
logon y queries.
El Global Catalog permite a usuarios realizar dos funciones importantes:
Buscar informacin en Active Directory en todo el forest, sin importar la
localizacin de los datos.
Usar informacin del membership del Universal Group en el proceso de logon a la
red.
Los Global Catalog Servers replican su contenido en un esquema de replicacin.
Hasta Windows 2000 estas rplicas eran del tipo full sync, pero a partir de Windows
Server 2003 se hacen de modo partial sync, es decir, solo se replican cambios en
lugar de enviar el catalogo completo.
Para poder utilizar esta nueva caracterstica de Windows Server 2003, Usted puede
tener el nivel funcional del forest en modo Windows 2000 o Windows server 2003,
I 27
pero solamente se harn rplicas parciales entre los servidores Global Catalog que
corran Windows Server 2003.
Distinguished y Relative Distinguished Names?
LDAP utiliza un nombre que representa objetos en Active Directory por una serie de
componentes que se relacionan con la estructura lgica. Esta representacin es
llamada Distinguished Name del objeto, e identifica el domain donde se localiza el
objeto y la trayectoria completa por la cual el objeto es alcanzado. El Distinguished
Name debe ser nico en el Active Directory forest.
El Relative Distinguished Name de un objeto identifica nicamente el objeto en
su container. Dos objetos en el mismo container no pueden tener el mismo nombre.
El Relative Distinguished Name siempre es el primer componente del Distinguished
Name, pero puede no ser siempre un Common Name.
Para un usuario llamado Suzan Fine de Sales Organizational Unit en Contoso.msft
domain, cada elemento de la estructura lgica se representa en el siguiente
Distinguished Name:
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
CN es el Common Name del objeto en su container.
OU es la Organizational Unit que contiene el objeto. Puede haber ms de un valor
de OU si el objeto reside en una Organizational Unit anidada a ms niveles.
DC es el Domain Component, por ejemplo .com. o .msft.. Hay siempre al menos
dos Domain Components, pero posiblemente ms si el domain es un child domain.
Los domain components de los Distinguished Name estn basados en Domain Name
System (DNS).
Active Directory Snap-ins y Herramientas
Windows Server 2003 proporciona un nmero de snap-ins y herramientas
command-line para administrar Active Directory. Usted puede tambin administrar
Active Directory usando Active Directory Service Interfaces (ADSI). ADSI es una
interfaz simple de gran alcance para crear scripts reutilizables para administrar
Active Directory.
Nota: La herramienta ADSI Edit puede instalarse, desde el CD de Windows Server
2003. La misma se encuentra en la carpeta \Support\Tools.
28
La tabla siguiente describe los

administracin de Active Directory.
snap-ins
administrativos
comunes
para
Snap-in
Descripcin
Active
Directory
Users and
Computers
Es una Microsoft Management Console (MMC) que se

utiliza para administrar y publicar la informacin en
Active Directory. Usted puede administrar cuentas de
usuario, grupos, y cuentas de computadora, agregar
computadoras al domain, administrar polticas de
cuentas, derechos de usuario, y polticas de auditoria.
Active
Directory
Domains
and Trusts
Es una MMC que se utiliza para administrar Domain

Trusts y Forest Trusts, agregar sufijos user principal
name, y cambiar niveles de funcionamiento de domains
y
forest.
Active Directory Sites and Services Es una MMC que
usted utiliza para administrar replicacion de directorio.
Active
Directory
Schema
Es una MMC que se utiliza para administrar el Schema.

No est disponible por defecto en el menu
La tabla siguiente describe las herramientas de command-line .

Herramienta
Descripcin
Dsadd
Agrega objetos a Active Directory, tales como

computadoras, usuarios, grupos, organizational units
y contactos.
Dsmod
Modifica objetos en active Directory, tales como

computadoras,
servidores,
usuarios,
grupos,
organizational units y contactos.
Dsquery
Corre queries en Active Directory segn criterios

especificados. Usted puede correr queries contra
servidores, computadoras, grupos, usuarios, sites,
organizational units, y particiones.
Dsmove
Mueve objetos dentro de un dominio, a una nueva

localizacin en Active Directory o renombra un solo
objeto sin moverlo.
Dsrm
Suprime un objeto de Active Directory.
Dsget
Muestra atributos seleccionados de una computadora,

contacto, grupo, organizational unit, servidor o
usuario de Active Directory.
Csvde
Importa y exporta datos de Active Directory usando

formato separado por comas.
Ldifde
Crea,
modifica
borra
objetos
Puede
tambin
I 29
extender el Schema de Active Directory y exportar

informacin de usuarios y grupos a otras aplicacione
Instalacin de Active Directory
Antes de instalar Active Directory, Usted debe asegurarse que la computadora est
configurada como Domain Controller, cumpliendo con los requisitos de hardware y
del sistema operativo. Adems, el Domain Controller deber tener acceso al DNS
Server, que deber cumplir con ciertos requisitos para soportar la integracin con
Active Directory.
La lista siguiente identifica los requisitos para la instalacin de Active
Directory:
Una computadora corriendo Windows Server 2003 Standard Edition, Enterprise
Edition o Datacenter Edition. Web Edition no soporta Active Directory.
Un mnimo de 250 megabytes (MB) de espacio en disco.200 MB para la base de
datos de Active Directory y 50 MB para logs de transacciones de Active Directory.
Los requisitos de tamao del archivo para la base de Active Directory y los archivos
log, dependen del nmero y el tipo de objetos en el domain. Se requerir el espacio
de disco adicional si el Domain Controller tambin es Global Catalog Server.
Una particin o un volumen con formato NTFS y con sistema de archivos. La
particin NTFS se requiere para la carpeta SYSVOL.
Los privilegios administrativos necesarios para crear un domain, si es que Usted
est creando uno en una red existente Windows Server 2003.
TCP/IP instalado y configurado para utilizar DNS.
Un DNS Server autoritativo para el DNS Domain y soporte para los requisitos
enumerados en la siguiente tabla.
SRV Resource Records (Mandatory) Service Locator Resource (SRV). Son
registros DNS que identifican los servicios especficos que ofrecen las computadoras
en una red Windows Server 2003. El DNS Server que soporta la instalacin de
Active Directory necesita soporte de SRV Resource Records. De lo contrario, Usted
deber configurar el DNS localmente durante la instalacin de Active Directory o
configurar el DNS manualmente despus de la instalacin de Active Directory.
Dynamic Updates (Opcional). Microsoft recomienda que los servidores DNS
tambin soporten actualizaciones dinmicas. El protocolo dinmico de actualizacin
permite a los servidores y a los clientes, en un ambiente DNS, agregar y actualizar
la base de datos del DNS automticamente, lo que reduce esfuerzos
30
administrativos. Si Usted utiliza software DNS que soporta SRV Resource Records
pero que no soporta el protocolo dinmico de actualizacin, deber ingresar los SRV
Resource Records manualmente en la base DNS.
Incremental Zone Transfers (Opcional). En una transferencia incremental de
zona, los cambios realizados en una zona en el Master DNS Server, deben ser
replicados a los DNS Servers secundarios de esa zona. Las transferencias
incrementales de la zona son opcionales, pero se recomiendan porque ahorran
ancho de banda de la red, replicando solamente los registros nuevos o modificados
entre los DNS Servers, en vez del archivo de base de datos entero de la zona.
El proceso de instalacin de Active Directory
El proceso de la instalacin realiza las siguientes tareas:

Inicia el protocolo de autenticacin Kerberos version 5
Aplica la politica Local Security Authority (LSA). Esta configuracin indica
que el server es un Domain Controller.
Crea las particiones de Active Directory. Una particin del directorio es una
porcin del Directory Namespace. Cada particin del directorio contiene una
jerarqua o subtree de los objetos del directorio en el rbol del directorio. Durante la
instalacin, se crean las particiones siguientes en el primer domain controller del
forest:
Schema Directory Partition
Configuration Directory Partition
Domain Directory Partition
Forest DNS Zone
Domain DNS Zone Partition
I 31
Las particiones, entonces, se actualizarn a travs de la rplica, en cada uno de los

Domain Controllers creados subsiguientemente en el forest.
Crea la base de datos y los logs de Active Directory. La locacin por defecto
para la base de datos y los archivos de logs es systemroot\Ntds.
Crea el forest root domain. Si el servidor es el primer Domain Controller en la
red, el proceso de la instalacin crea el Forest Root Domain, y entonces le asignar
los Operations Master Roles al Domain Controller, incluyendo:
Primary Domain Controller (PDC) Emulator
Relative Identifier (RID) Operations Master
Domain-Naming Master
Schema Master
Infrastructure Master
Crea la carpeta compartida del volumen del sistema. Esta estructura de
carpetas reside en todos los Windows Server 2003 Domain Controllers y contiene
las siguientes carpetas:
La carpeta compartida SYSVOL, que contiene informacin de Group Policy.
La carpeta compartida Net Logon, que contiene los logon scripts para
computadoras que no corren Windows Server 2003.
Configura pertenencia al site apropiado para el Domain Controller. Si la IP
del servidor que Usted est promoviendo a Domain Controller est dentro de una
subnet definida en Active Directory, el wizard colocar el Domain Controller en el
site asociado con la subnet. Si no se define ningn objeto de subnet o si la IP del
servidor no est dentro del rango de la subnet presente en Active Directory, el
servidor se colocar en el site Default-First-Site-Name. El primer site se instala
automticamente cuando Usted crea el primer Domain Controller en el forest. El
wizard de instalacin de Active Directory crea un objeto servidor del Domain
Controller en el site apropiado. El objeto servidor contiene la informacin requerida
para la rplica y asimismo contiene una referencia al objeto de la computadora en
la OU Domain Controllers, representando que el Domain Controller est siendo
creado.
Permite seguridad en el Directory Service y en File Replication Folders.
Esto implica controlar el acceso de usuario a objetos de Active Directory Objects.
Aplica el password para la cuenta del administrador. Usted utiliza la cuenta
para iniciar el Domain Controller en Directory Services Restore Mode.
Cmo crear la estructura del Forest y el Domain?

Usted utiliza Active Directory Installation Wizard para crear la estructura de forest y
domain. Cuando instale Active Directory por primera vez en una red, tendr que
crear el Forest Root Domain, y despus de ello utilizar el wizard para crear trees y
Child Domains adicionales.
El Active Directory Installation Wizard guar a Usted en el proceso de la instalacin
y le solicitar la informacin necesaria, la vara segn las opciones que seleccione.
32
Para crear el Forest Root Domain, deber realizar los siguientes pasos:
1. Hacer click en Inicio, despus en Ejecutar y escribir dcpromo. Luego
presionar Enter.
2. En la pgina Bienvenido, hacer click en Siguiente.
3. En la pgina Operating System Compatibility, hacer click en Next.
4. En la pgina Domain Controller Type, hacer click en Domain controller
for a new domain, y despus hacer click en Next.
5. En la pgina Create New Domain, hacer click en Domain in a new forest, y
despus en Next.
6. En la pgina New Domain Name, ingresar el DNS Name para el nuevo
domain (nwtraders.msft), y despus hacer click en Next.
7. En la pgina NetBIOS Domain Name, verificar NetBIOS Name
(NWTRADERS),
y
despus
hacer
click
en
Next.
El nombre NetBIOS identifica el domain a las computadoras de cliente
corriendo versiones anteriores de Windows y Windows NT. El wizard verifica
que le nombre NetBIOS sea nico. Si no lo es, le pedir cambiar el nombre.
8. En la pgina Database and Log Folders, especificar la localizacin en la
cual se desea instalar las carpetas de la base de datos y de los logs. Despus
hacer click en Next.
9. En la pgina Shared System Volume, especificar la locacin en la cual se
desea instalar la carpeta de SYSVOL, o hacer click en Browse para elegir
una locacin, y despus hacer click en Next.
10. En la pagina DNS Registration Diagnostics, verificar si un servidor
existente de DNS es autoritario para este forest o, en caso de necesidad,
hacer click en Install and configure the DNS server on this computer,
and set this computer to use this DNS server as its preferred DNS
server, y despus hacer click en Next.
11. En la pagina Permissions, especificar se si asignan los permisos por defecto
en los objetos usuario y grupo compatible con los servidores que funcionan
con versiones anteriores de Windows o Windows NT, o solamente con los
servidores Windows Server 2003.
12. Cuando se pregunte, especificar el password para Directory Services Restore
Mode. Los Domain Controllers Windows Server 2003 mantienen una versin
pequea de la base de datos de cuentas de Microsoft Windows NT 4.0. La
nica cuenta en esta base de datos es la cuenta del administrador y la
misma se requiere para la autentificacin al encender la computadora en
Directory Services Restore mode, porque Active Directory no se inicia de
este modo.
13. Repasar la pgina Summary, y despus hacer click en Next para comenzar
la instalacin.
14. Cuando se pregunte, reiniciar la computadora.
Cmo agregar un Domain Controller adicional

Para llevar a cabo esta prctica Usted necesitar dos computadoras o dos Virtual
PC, con un Domain Controller instalado (Prctica 1) y un Windows Server 2003.
El procedimiento es similar a la creacin de un nuevo Domain Controller; solamente
se debe seleccionar, en la primera pantalla del wizard, la opcin Add additional
Domain Controller for existing domain. El resto del proceso se puede realizar
de dos formas:
I 33
1. Over the network: Esto requiere, en el caso que Usted tenga gran cantidad
de objetos, un enlace con ancho de banda suficiente o bastante tiempo para
la replica inicial.
2. Replicate from Media: Esta nueva caracterstica de Windows Server 2003,
permite realizar la replica inicial por medio de un backup, de la siguiente
manera:
Primero debe realizar un backup del System State en el Domain
Controller existente.
Luego debe hacer llegar ese backup a la computadora destino.
En la computadora destino deber realizar la operacin de restore en
una locacin alternativa ( Elija una carpeta ej: C:\NTDSRestore)
Por ltimo corra el wizard dcpromo /adv
El wizard le permitir seleccionar la opcin From Media
Cmo renombrar un Domain Controller

En Windows Server 2003, Usted puede renombrar un Domain Controller
despus que haya sido instalado. Para renombrar un Domain Controller, deber
tener derechos de Domain Admin.
Cuando Usted renombre un Domain Controller, deber agregar el nuevo
nombre del Domain Controller y remover el nombre viejo de las bases de DNS y
Active Directory. El renombrado de un Domain Controller es solamente posible
si el Domain Functional Level es configurado como Windows Server 2003.
Para renombrar un Domain Controller, deber realizar los siguientes pasos:
1. En Control Panel, hacer doble-click en System.
2. En el cuadro System Properties, en Computer Name, hacer click
change
3. Cuando se pregunte, confirmar si se desea renombrar el Domain
Controller.
4. Incorporar el nombre de computadora completo (incluyendo el primary
DNS suffix), y despus hacer click en OK.
Usted podr cambiar el Primary DNS suffix de un Domain Controller cuando
renombre el Domain Controller. Sin embargo, el cambiar el Primary DNS suffix
no mueve el Domain Controller a un nuevo Active Directory domain. Por
ejemplo, si Usted renombra dc2.nwtraders.msft a dc1.contoso.msft, la
computadora sigue siendo un Domain Controller del dominio nwtraders.msft,
aunque su Primary DNS suffix es contoso.msft. Para mover un Domain
Controller a otro domain, Usted debe primero degradar el Domain Controller y
entonces promoverlo en el nuevo dominio.
Solucionar problemas en la instalacin de Active

Directory
Al instalar Active Directory, Usted puede encontrar problemas. stos pueden
ser credenciales incorrectas de seguridad, el uso de nombres que no son
nicos, una red no fiable o recursos escasos.
34
A continuacin se describen algunos problemas comunes que Usted puede

llegar a encontrar mientras instala Active Directory, y algunas estrategias para
resolverlos.
Tener acceso negado mientras que crea o agrega Domain Controllers.

Cerrar la sesin y despus iniciar con una cuenta que pertenezca al grupo local
de administradores. Las credenciales deben ser de un usuario que sea miembro
de Domain Admins o Enterprise Admins.
El nombre DNS o NetBIOS del domain no es nico Cambiar el nombre a
un nombre nico.
El domain no puede ser contactado Comprobar que haya conectividad de
red entre el servidor que Usted est promoviendo a Domain Controller y que
por lo menos haya un Domain Controller en el dominio. Utilizar el comando ping
desde command prompt para probar la conectividad con cualquier Domain
Controller del dominio. Verificar que el DNS proporcione la resolucin de
nombres, por lo menos a un Domain Controller en el dominio.
Zonas DNS Active Directory Integrated
Una ventaja de integrar el DNS y Active Directory es la capacidad de integrar

zonas de DNS en la base de datos de Active Directory. Una zona es una porcin
del Domain Namespace, que agrupa registros lgicamente, permitiendo
transferencias de zona de stos registros para funcionar como una unidad.
Zonas Active Directory Integrated
Los DNS Servers almacenan la informacin que es utilizada para resolver
nombres de host a direcciones IP y direcciones IP a nombres de host, usando
una base de datos en formato de archivo que tenga una extensin .dns para
cada zona.
I 35
Las Zonas Active Directory Integrated son primarias y stub, y se

almacenan como objetos en la base de Active Directory. Usted puede
almacenar objetos de zona en Active Directory Application Partition o en Active
Directory Domain Partition. Si los objetos de zona se almacenan en Active
Directory Application Partition, solamente los Domain Controllers que suscriban
a esa Application Partition pueden participar en la rplica de esta particin. Sin
embargo, si los objetos de zona se almacenan en Active Directory Domain
Partition, se replican a todos los Domain Controllers en el dominio.
Ventajas de Zonas Active Directory Integrated

Las Zonas Active Directory Integrated ofrecen las siguientes ventajas.
Multimaster replication. Cuando Usted configura Zonas Active Directory
Integrated, las actualizaciones dinmicas al DNS se basan en el modelo
multimaster. En este modelo, cualquier servidor autoritativo DNS, por ejemplo
un Domain Controller corriendo DNS Server, es primario para la zona. Dado que
la Master Copy de la zona se mantiene en la base de Active Directory (la cual se
replica completamente a todos Domain Controllers), la zona se puede actualizar
por los DNS Servers funcionando en cualquier Domain Controller del dominio.
Secure dynamic updates. Debido a que las zonas de DNS son objetos de
Active Directory en Zonas Active Directory Integrated, Usted puede aplicar
permisos a los registros dentro de esas zonas y tambin puede controlar qu
computadoras pueden actualizar sus registros. De esta manera, las
actualizaciones que utilizan el protocolo dinmico de actualizacin pueden venir
solamente de las computadoras autorizadas.
Verificacin de Zona integrada con Active Directory
Durante esta prctica Usted verificar si su DNS Server, tiene la zona integrada
con Active Directory.
Para verificar DNS:
1. Abrir la consola de DNS.
2. Hacer click en el nombre del server.
3. Hacer click en la zona a verificar.
4. Hacer click derecho en la zona, y despus en Properties.
5. En el cuadro zone type, verificar Active Directory Integrated
6. Para cambiar el tipo de zona, hacer click en Change.
Funcionalidad de Forest y Domain
36
En Windows Server 2003, la funcionalidad de forest y domain proporciona una

manera de permitir caractersticas nuevas forest-wide o domain-wide de Active
Directory en su ambiente de red. Diversos niveles de la funcionalidad del forest
y del dominio estn disponibles, dependiendo de su ambiente de red.
Funcionalidad de Dominio
La funcionalidad del dominio habilita las caractersticas que afectarn el dominio
entero y solamente ese dominio. Cuatro niveles funcionales de dominio estn
disponibles:
Windows 2000 mixed. ste es el nivel funcional por defecto. Usted puede
levantar el nivel funcional del dominio a Windows 2000 native o Windows
Server 2003. Los dominios Mixed-mode pueden contener Windows NT 4.0
backup Domain Controllers, pero no pueden utilizar grupos de seguridad
universales, anidamiento de grupos o capacidades de Security Identifier (SID)
History.
Windows 2000 native. Usted puede utilizar este nivel funcional si el dominio
contiene solamente Domain Controllers Windows 2000 y Windows Server 2003.
Aunque los Domain Controllers funcionen en Windows 2000 Server, no estn
preparados para la funcionalidad de dominio. Caractersticas de Active
Directory, como grupos de seguridad universales, anidamiento de grupos y
capacidades de Security Identifier (SID) History, estn disponibles.
Windows 2003 Server. Este es el nivel funcional ms alto para un dominio.
Usted puede utilizarlo solamente si todos los Domain Controllers en el dominio
funcionan en Windows Server 2003. Todas las caractersticas de Active
Directory para el dominio estn disponibles para su uso.
Windows 2003 Interim. Este nivel es un nivel funcional especial que
soporta Domain Controllers Windows NT 4.0 y Windows server 2003.
Funcionalidad de forest
La funcionalidad de forest habilita caractersticas a travs de todos los dominios
dentro de su forest. Dos niveles funcionales de forest estn disponibles:
Windows 2000 y Windows Server 2003. Por defecto, los forests funcionan en
nivel funcional Windows 2000. Usted puede elevar el nivel funcional del forest a
Windows Server 2003, para que habilite las caractersticas que no estn
disponibles en el nivel funcional Windows 2000, incluyendo:
I 37
Relaciones de confianza entre forest

Replicacin mejorada
Importante: Usted no puede bajar el nivel funcional del dominio o del forest
despus que se haya elevado.
Requisitos para habilitar nuevas caractersticas en Windows Server
2003
Adems de las caractersticas bsicas de Active Directory en Domain Controllers

individuales, nuevas caractersticas forest-wide y domain-wide estn disponibles
cuando se cumplen ciertas condiciones.
Para habilitar las nuevas caractersticas domain-wide, todos los Domain
Controllers en el dominio deben correr Windows Server 2003, y el nivel funcional
del dominio se debe elevar a Windows Server 2003. Usted debe ser
administrador del dominio para elevar el nivel funcional del dominio.
Para habilitar las nuevas caractersticas forest-wide, todos los Domain Controllers
en el forest debern correr Windows Server 2003, y el nivel funcional del forest
se debe elevar a Windows Server 2003. Usted debe ser Enterprise Administrator
para elevar el nivel funcional del forest.
Cmo elevar el nivel funcional

Elevar la funcionalidad del forest y del dominio a Windows Server 2003 habilita
ciertas caractersticas, por ejemplo, forest trusts, que no est disponible en otros
niveles funcionales. Usted puede elevar la funcionalidad del forest y del dominio
usando Active Directory Domains and Trusts.
Para elevar el nivel funcional del dominio, debe realizar los siguientes pasos:
1.
Abrir Active Directory Domains and Trusts.
2.
Hacer click derecho en la consola, en el nodo para el nivel funcional de
dominio que usted desea elevar, y despus hacer click en Raise Domain
Functional Level.
3.
Seleccionar el nivel funcional Windows Server 2003 en el cuadro Select an
available domain functional level, y despus hacer click en Raise.
Para elevar el nivel funcional del forest, deber realizar los siguientes pasos:
38
1.
En Active Directory Domains and Trusts, en la consola, hacer click derecho
en Active Directory Domains and Trusts, y despus click en Raise Forest
Functional Level.
2.
En el cuadro Select an available forest functional level, seleccionar
Windows Server 2003, y despus hacer click en Raise.
Cmo funcionan los Trusts entre Forests
Windows Server 2003 soporta cross-forest trusts, el cual permite que los
usuarios en un bosque tengan acceso a recursos en otro bosque. Cuando un
usuario intente tener acceso a un recurso en un trusted bosque, Active Directory
primero localizar el recurso.
Despus de localizar el recurso, el usuario podr ser autenticado y tener acceso
al recurso. Entender cmo este proceso trabaja, le ayudar a localizar problemas
que pueden presentarse con cross-forest trusts.
Cmo es accedido un recurso

Lo que sigue es una descripcin de cmo un cliente Windows XP Professional
localiza y tiene acceso a un recurso en otro bosque que tenga Windows Server
2003 .
1. Un usuario que inicia sesin al dominio vancouver.nwtraders.msft intenta
tener acceso a una carpeta compartida en el forest contoso.msft. La
computadora del usuario contacta al KDC en un domain controller en
vancouver.nwtraders.msft y solicita un service ticket usando el SPN de la
computadora, donde reside el recurso. Un SPN puede ser el nombre de DNS de
un host o dominio, o puede ser el Distinguished Name de un Service Connection
Point Object.
2. El recurso no se encuentra en vancouver.nwtraders.msft y el Domain
Controller de vancouver.nwtraders.msft realiza queries al Global Catalog para ver
si el recurso est situado en otro dominio en el forest. Dado que el Global
Catalog contiene solamente la informacin sobre su propio forest, no encuentra
el SPN. El Global Catalog entonces comprueba su base de datos para saber si
hay informacin sobre forest trusts establecidos con su forest. Si el Global
Catalog encuentra uno, compara los name suffixes que estn listados en el forest
I 39
trust TDO para el suffix de destino SPN. Despus de encontrar una igualdad, el
Global Catalog proporciona la informacin de routing sobre cmo localizar el
recurso al Domain Controller en vancouver.nwtraders.msft.
3. El Domain Controller en vancouver.nwtraders.msft enva una referencia para
su dominio Parent, nwtraders.msft, a la computadora del usuario.
4. La computadora del usuario contacta al Domain Controller en nwtraders.msft
por la referencia al Domain Controller del Forest Root Domain del forest
contoso.msft.
5. Usando la referencia del Domain Controller en nwtraders.msft, la
computadora contacta al Domain Controller en el forest contoso.msft para el
pedido de servicio al service ticket.
6. El recurso no est situado en el Forest Root Domain del forest contoso.msft, y
por eso el Domain Controller contacta a su Global Catalog para buscar el SPN. El
Global Catalog busca el SPN y lo enva al Domain Controller.
7. El Domain Controller enva la referencia seattle.contoso.msft a la computadora
del usuario.
8. La computadora del usuario contacta al KDC en el Domain Controller en
seattle.contoso.msft y negocia el ticket para el acceso del usuario al recurso en
el dominio seattle.contoso.msft.
9. La computadora enva el server service ticket a la computadora en la cual
est el recurso compartido, donde se leen las credenciales de seguridad del
usuario y se construye el access token, que da el acceso de usuario al recurso.
Replicacin en Active Directory
Replicacin dentro de Sites

Los puntos dominantes de la replicacin de Active Directory dentro de site son:
La replicacin ocurre cuando hay:
Una adicin de un objeto a Active Directory.
Una modificacin de los valores de un atributo de objeto.
Un cambio de nombre de un contenedor de objetos.
Una eliminacin de un objeto del directorio.
40
Change notification. Cuando un cambio ocurre en un domain controller, el

domain controller notifica a sus replication partners en el mismo site. Este
proceso se llama change notification.
Replication latency. Retrasa entre el tiempo que ocurre un cambio y el
tiempo que la actualizacin alcanza a todos los Domain Controllers en el site. Por
defecto la Replication Latency es 15 segundos.
Urgent replication. En lugar de esperar los 15 segundos por defecto, los
atributos sensibles de seguridad que se actualizan disparan un inmediato
mensaje de change notification.
Convergence. Cada actualizacin en Active Directory eventualmente propaga
a todos los Domain Controllers en el site que contiene la particin en la cual la
actualizacin fue hecha. Esta propagacin completa se llama convergence.
Propagation dampening. El proceso de prevenir la rplica innecesaria. Cada
Domain Controller asigna a cada cambio de atributo y objeto un Update
Sequence Number (USN) para prevenir la rplica innecesaria.
Conflicts. Cuando actualizaciones concurrentes que originan en dos rplicas
master separadas son inconsistentes, los conflictos pueden presentarse. Active
Directory resuelve tres tipos de conflictos: atributo, Contenedores eliminados, y
conflictos de Relative Distinguished Name (RDN).
Globally unique stamp. Active Directory mantiene un stamp que contiene el

version number, timestamp, y server globally unique identifier (GUID) que Active
Directory creado durante la actualizacin originaria.
Linked Multivalued Attributes

El proceso por el cual linked multivalued
dependiendo del nivel funcional del forest:
attributes
se
replican
vara,
Cuando el nivel funcional del forest es menor que Windows Server 2003,
cualquier cambio que fuera realizado a un atributo de miembros de grupo dispara
la rplica de la lista entera del atributo miembro. El multivalued member
attribute se considera un solo atributo con el fin de la rplica en este caso. Esta
rplica aumenta la probabilidad de sobreescribir un cambio del atributo miembro
que otro administrador realiz en otro domain controller, antes que el primer
cambo fuera replicado.
Cuando el nivel funcional del forest se cambia a Windows Server 2003, un valor
individual replica cambios a linked multivalued attributes. Esta funcionalidad
mejorada replica solamente cambios del atributo miembro de grupo y no a la
lista entera del atributo de miembro.
De esta forma se elimina la restriccin de 5000 usuarios mximo por grupo, esta
restriccin estaba dada en Windows 2000 por el valor mximo que puede tener
el atributo de miembros de un grupo.
Generacin automtica de la topologa de replicacin
I 41
Cuando usted agrega Domain Controllers a un site, Active Directory usa el

Knowledge Consistency Checker (KCC) para establecer una trayectoria de la
rplica entre Domain Controllers.
El KCC es un proceso que funciona en cada Domain Controller y genera la
topologa de la rplica para todas las particiones del directorio que se contengan
en ese Domain Controller. El KCC corre en los intervalos especficos cada 15
minutos por defecto y disea las rutas de replicacin entre Domain Controllers de
las conexiones ms favorables que estn disponibles en ese momento.
Creando y Configurando Sites
Usted utiliza sites para controlar el trfico de replicacin, trfico de logon y las
queries del cliente al Global Catalog Server.
Qu son los sites
42
En Active Directory, los sites ayudan a definir la estructura fsica de una red. Una
o ms subnets TCP/IP en una rango definido de direcciones define un site, el cual
define alternadamente un grupo de Domain Controllers que tienen velocidad y
costo similares. Los Sites consisten en objetos server, que contienen objetos de
conexin que permiten la rplica.
Qu son objetos subnet
Los objetos subnet identifican las direcciones de red las cuales utilizan las
computadoras en los sites. Una subnet es un segmento de una red TCP/IP a la
cual se asigna un sistema de direcciones lgicas IP. Dado que objetos subnet
representan la red fsica, stos hacen sites. Por ejemplo, si tres subnets estn
situados en tres campus en una ciudad, y estos campus estn conectados con
high-speed, conexiones altamente disponibles, usted podra asociar cada una de
esas
subnets
a
un
site.
Un site puede consistir en una o ms subnets. Por ejemplo, en una red que tiene
tres subnets en Redmond y dos en Pars, usted puede crear un site en Redmond,
un site en Paris, y entonces agregar las subnets a los sites respectivos.
Qu son los Site Links
Los Site Links son conexiones que usted puede hacer entre sites para:
Habilitar la replicacin
Manejar los horarios en los cuales usted quiere replicar,
Mmanejar un costo de acuerdo al enlace que este utilizando, y el protocolo
de replicacin IP (RPC) o SMTP.
Creando y Configurando Sites y Subnets

Para crear un sitio deber realizar los siguientes pasos:
1. Abrir Active Directory Sites and Services del menu Herramientas
Administrativas
2. Hacer click derecho en Sitios en la consola, y despus hacer click en
Nuevo Sitio.
3. lngresar el nombre del nuevo site en el cuadro Nombre.
4. Hacer click en un site link object, y despus hacer click en OK dos veces.
Para crear un subnet object, deber realizar los siguientes pasos:
1. En Active Directory Sites and Services, en la consola, hacer doble-click en
Sites, hacer click derecho en Subnets, y despus hacer click en New
Subnet.
2. En el cuadro Address, ingresar la direccin IP de la subnet.
3. En el cuadro Mask, ingresar la subnet mask que describe el rango de
direcciones de la subnet.
4. Seleccionar el site a asociar con la subnet, y despus hacer click en OK.
Backup de Active Directory
I 43
Hacer backup de Active Directory es esencial para mantener la base de datos de

Active Directory. Usted puede hacer backup de Active Directory usando una
graphical user interface (GUI) y herramientas command-line tools, que provee
Windows Server 2003.
Usted con frecuencia debe hacer backup del System State data en Domain
Controllers de modo que pueda restaurar los datos ms actuales. Estableciendo
un schedule regular de backup, Usted tiene una mejor ocasin de recuperacin
de datos cuando sea necesario.
El System State Data en un Domain Controller incluye los siguientes
componentes:
Active Directory. El System State Data no contiene Active Directory a menos
que el servidor en el cual Usted est haciendo backup del System State Data sea
un Domain Controller. Active Directory est presente solamente en Domain
Controllers.
The SYSVOL shared folder. Esta carpeta compartida contiene plantillas de
Group Policy y logon scripts. La carpeta compartida SYSVOL est presente
solamente en domain controllers.
The registry. Este repositorio base de datos contiene la informacin sobre la
configuracin de la computadora.
System startup files. Windows Server 2003 requiere estos archivos durante su
fase de encendido inicial. Incluyen los boot y archivos de sistema que estn
protegidos por Windows file protection.
The COM+ Class Registration database. La base de datos Class Registration
contiene informacin sobre Component Services applications.
The Certificate Services database. Esta base de datos contiene los
certificados del servidor que Windows Server 2003 utiliza para autenticar
usuarios. Esta base solamente est presente si el servidor est funcionando
como certificate server.
Para realizar la operacin de backup usted puede utilizar la herramienta provista
por Windows Server 2003:
44
1. Hacer click en Backup en el menu Start, All Programs, Accessories,

System Tools.
2. Hacer click en Next en la pgina Welcome to the Backup or Restore
Wizard.
3. En la pgina Backup or Restore, hacer click en Backup files and
settings, y despus hacer click en Next.
4. En la pgina What to Back Up, hacer click en Let me choose what to
back up, y despus hacer click en Next.
5. En la pgina Items to Back Up, expandir My Computer, seleccionar el
System State, y despus hacer click en Next.
6. En la pgina Backup Type, Destination, and Name, hacer click en
Browse, seleccionar una locacin para el backup, hacer click en Save, y
despus hacer click en Next.
7. En la pgina Completing the Backup or Restore Wizard, hacer click en
Finish.
8. En la pgina Backup Progress, hacer click en Close.
Restauracin de Active Directory
Usted puede utilizar uno de los tres mtodos para restaurar Active Directory de
medios de backup: primary restore, normal (nonauthoritative) restore, y
authoritative restore.
Primary restore. Este mtodo reconstruye el primer domain controller en el
dominio cuando no hay otra manera de reconstruir el dominio. Realizar un
primary restore solamente cuando todos los domain controllers en un domain se
perdieron, y usted desea reconstruir el dominio usando el backup.
Normal restore. Este mtodo reinstala los datos de Active Directory al estado
antes del backup, actualiza los datos con el proceso normal de rplica. Realizar
un normal restore solamente cuando usted desea restaurar un solo domain
controller a un buen estado previamente conocido.
Authoritative restore. Usted realiza este mtodo en tndem con un restore
normal. Un restore autoritativo marca datos especficos y evita que la rplica
sobreescriba esos datos. Los datos autoritativos entonces se replican a travs del
dominio.
I 45
Para realizar un primary restore de Active Directory, deber realizar los

siguientes pasos:
1. Reiniciar su domain controller en Directory Services Restore Mode.
2. Iniciar la utilidad de Backup.
3. Hacer click en Advanced Mode en la pgina Welcome to the Backup
or Restore Wizard,
4. En la pgina Welcome to Backup Utility Advanced Mode, sobre
Restore and Manage Media, seleccioar qu desea restaurar, y despus
hacer click en Start Restore.
5. En el cuadro Warning, hacer click en OK.
6. En el cuadro Confirm Restore, hacer click en Advanced.
7. En el cuadro Advanced Restore Options, hacer click en When
restoring replicated data sets, mark the restored data as the
primary data for all replicas, y despus hacer click en OK dos veces.
8. En el cuadro Restore Progress, hacer click en Close.
9. En el cuadro Backup Utility, hacer click en Yes.
46
C AP
PTULO 03
Creacion de Cuentas de Usuarios y GruposC
Una de sus funciones como administrador de red son administrar las cuentas de usuario
y de equipos. Estas cuentas son objetos del Directorio Activo y deben utilizarlas para
permitir que los usuarios inicien la sesin en la red y obtengan acceso a los recursos .
Como administrador de red, usted puede dar a los usuarios acceso a diferentes recursos
de la red. Por tanto,deben crear cuentas de usuario para identificar y autenticar a los
usuarios, de modo que obtengan acceso a la red.
La asignacin de permisos y derechos sobre los recursos de la red se controlan a travs
de las cuentas de usuario y grupo. en esta seccin se expondr la creacin de cuentas de
usuario y los procedimientos para la creacin de grupos en un grupo de trabajo y
dominios
Administracin de cuentas de usuario de dominio
Las cuentas de usuario que se manejan en Windows Server 2003 son las cuentas de
usuario local y la cuentas de usuario del dominio
Cuentas de usuario local
Las cuentas de usuario locales son creadas con la herramienta de administracin

Computer Management y almacenadas localmente en cada computador ejecutando
Windows XP profesional o Windows Server 2003 que no desempeen el rol de
controladores de dominio. Esta cuenta permiten el acceso a los recurso almacenados en
estos equipos.
I 47
Cuentas de usuario del dominio

Las cuentas de usuario de dominio se almacenan en el Active Directory en la particin o dominio
donde han sido creadas por lo cual permiten el acceso a los recursos del dominio sobre los que se les
halla concedido acceso. Estas cuentas permiten acceder a cualquier recurso en el rbol al que
pertenezca el dominio. Una cuenta de usuario es un objeto que contiene toda la informacin que
define a un usuario y puede ser local o de dominio. Incluye el nombre de usuario y la
contrasea con los que el usuario inicia la sesin y los grupos de los que la cuenta es
miembro.
Se puede utilizar una cuenta de usuario para:
Permitir que alguien inicie la sesin en un equipo basandose en la identidad de la

cuenta de usuario.
Permitir que los procesos y servicios se ejecuten dentro de un contexto de

seguridad especifico.
Administrar el acceso de un usuario a los recursos, por ejemplo, los objetos del
Directorio Activo y sus propiedades, carpetas, archivos, directorios y colas de
impresin compartidos.
Nombre Asociado a un Usuario
Existen cuatro tipos de nombres asociados a las cuentas de usuario de dominio. En el

Directorio activo cada cuenta de usuario tiene un nombre de inicio de sesin de usuario, un
nombre de inicio de sesion de un nombre de inicio de sesin de usuario de versiones
anteriores a Windows2000 (nombre de la cuenta del Administrador de cuentas de seguridad
(SAM, Security Accounts Manager), un nombre principal de inicio de sesin de usuario y un
nombre completo segn el Protocolo ligero de acceso a directorios (LDAP, Lightweight
Directory Access Protocol).
Nombre de inicio de sesion de usuario

Al crear una cuenta de usuario, el administrador escribe un nombre de inicio de sesin de
usuario. debe ser nico en el bosque en el que se crea la cuenta de usuario. Suele utilizarse
como nombre completo relativo. Los usuarios utilizan este nombre slo en el proceso de
inicio de sesin. Obtienen acceso con el nombre de inicio de sesin de usuario, una
contrasea y el nombre de dominio en diferentes campos de la pantalla de inicio de sesin. Los
nombres de inicio de sesin de usuario pueden:
48
Contener hasta 20 caracteres en maysculas y minsculas (el campo admite ms de

20 caracteres, pero Windows Server 2003 slo reconoce 20).
Incluir una combinacin de caracteres alfanumricos y especiales, excepto los
especificados a continuacin: " / \ [ ] : ; | = , + * ? < >.
Nombre de inicio
de
sesin
en
versiones
anteriores a
Windows 2000
Nombre principal
de inicio de sesin
de usuario
Puedetilizar una cuenta de usuario del sistema basico de entrada y

salida de red (NetBIOS, Network Basic Input/Output System)
para iniciar la sesin en un dominio de Windows desde un equipo con
un sistema operativo anterior a Windows 2000 mediante un nombre
con el formato NombreDominio\NombreUsuario. Tambien puede
utilizarlo para iniciar la sesin en dominios de Windows desde equipos
con Microsoft
Windows 2000 o Windows XP, o incluso desde servidores con
Windows Server 2003, pero el nombre de inicio de sesin para las
versiones anteriores a Windows 2000 debe ser nico en el dominio.
Los usuarios pueden iniciar la sesin con el comando Ejecutar como
o en una pantalla de inicio de sesin secundaria.
Un nombre de inicio de sesin para versiones anteriores a Windows
2000 pueden ser nwtraders\jayadams.
El nombre principal de usuario (UPN, User Principal Name) esta
formado por el nombre de inicio de sesin de usuario y el sufijo del
nombre principal de usuario, unidos por el smbolo @. El UPN debe
ser nico en el bosque.
La segunda parte del UPN es el sufijo del nombre principal de
usuario. este puede ser el nombre del dominio en el Sistema de
nombres de dominio (DNS, Domain Name System), el nombre DNS
de cualquier dominio del bosque o un nombre alternativo creado por
un administrador solo para iniciar la sesin. Los usuarios pueden
utilizarlo para iniciar la sesin con el comando Ejecutar como o en
una pantalla de inicio de sesin secundaria.
Un ejemplo de UPN es Jayadams@nwtraders.msft.
El nombre completo relativo segn el LDAP nicamente identifica el
objeto en su contenedor primario. Los usuarios nunca utilizan este
nombre, pero los administradores lo emplean para agregar usuarios a la
red desde una linea de comando o una secuencia de comandos. Todos los
objetos utilizan la misma convencin de nomenclatura de LDAP, por lo que
todos los nombres completos relativos deben ser nicos en su unidad
organizativa.
Nombre de Completo
LDAP
ejem CN jayadams,CN=users,dc=nwtraders,dc=msft
.
I 49
Convencion de Nomenclatura
Una convencin de nomenclatura establece cmo deben identificarse las cuentas de usuario
de un dominio.
Una convencin coherente facilita recordar los nombres de inicio de sesin de usuario y
buscarlos en las listas. Por eso,es bueno acostumbrarse a cumplir la convencin de
nomenclatura en uso de una red que admite un gran nmero de usuarios.
Directrices
Tenga en cuenta las siguientes directrices a la hora de crear una convencin de
nomenclatura.
Si hay un gran nmero de usuarios, la convencin para los nombres de inicio de

sesin de usuario debe adaptarse a los empleados con nombres que se repitan. Una
manera para seguir la nomenclatura en estos casos es utilizar el nombre y la inicial del
apellido y a continuacin, agregar letras del apellido para evitar nombres duplicados.
Por ejemplo, para dos usuarios con el nombre Judy Lew, un nombre de usuario puede
ser Judy1 y el otro, Judyle.
En algunas empresas, es til identificar a los empleados temporales con sus cuentas
de usuario. Para ello, agregue un prefijo al nombre de inicio de sesin de usuario,
por ejemplo una T y un guin (-). Por ejemplo, T-Judyl.
Los nombres de usuario para cuentas de dominio deben ser nicas en el Directorio
Activo. Los nombres de inicio de sesin de usuario deben ser nicos en el bosque en el
que se crea la cuenta de usuario.
Ubicar una cuenta de usuario dentro de una jerarquia
50
Puede ubicar las cuentas de usuario en cualquier dominio del bosque y en cualquier unidad
organizativa del dominio. Normalmente, las jerarquias se basan en fronteras geopoliticas o
en modelos empresariales. Al estructurar la jerarquia del Directorio Activo y administrar los
permisos sobre sus objetos y propiedades,
puede especificar de forma precisa las cuentas que pueden obtener acceso a la informacin
del Directorio Activo y el nivel de permisos de cada una. Ubique las cuentas de usuario en
una jerarquia del Directorio Activo basada en la forma de administracin de las cuentas.
Diseo Geopolitico En un diseo geopolitico, se sita a los usuarios en dominios que
coincidan con su ubicacin fsica. Las estructuras de los dominios geopoliticos establecen
controladores de dominio que admiten usuarios del dominio cercano a los usuarios. Esto
reduce el tiempo de inicio de sesin para los usuarios y les permite iniciarla en caso de no
poder conectarse a la red de area extensa (WAN, wide area network).
Diseo Empresarial Cuando la jerarquia de los dominios se basa en modelos
empresariales,se ubica al personal de ventas en un dominio llamado ventas y al de fabricacin
en el dominio Fabricacin.
Opciones de contrasea de una cuenta de usuario
Como administrador de red tendra que administrar las opciones de contrasea de las cuentas
de usuario. Estas opciones pueden establecerse al crear la cuenta o bien a traves del cuadro
de dialogo Propiedades de la cuenta de usuario.
Opciones de contrasea
El administrador podra establecer las siguientes opciones para proteger el acceso al
dominio o a un equipo.
El usuario debe cambiar la contrasea al iniciar una sesin de nuevo. Se

utiliza cuando un usuario nuevo inicia la sesin en un sistema por primera vez o
cuando el administrador restablece una contrasea olvidada por el usuario.
El usuario no puede cambiar la contrasea. Utilicela cuando desee controlar

en que momento se puede cambiar la contrasea de una cuenta.
I 51
La contrasea nunca caduca. Esta opcin evita que caduque la contrasea.

Por seguridad, no utilice esta opcin.
La cuenta esta deshabilitada. Evita que el usuario inicie la sesin con la

cuenta en la que se establece la opcin.
Como crear cuentas de usuario

Las cuentas de usuario de dominio permiten a los usuarios iniciar la sesin en un
dominio y obtener acceso a los recursos de toda la red, y las cuentas de usuario locales
permiten iniciar la sesin y obtener acceso a los recursos slo del equipo en el que se
crea la cuenta local. Como administrador de red, debera crear cuentas de usuario local
y de dominio para administrar el entorno de red.
Procedimiento para crera cuentas de usuario de dominio
1. Haga clic en Inicio, seleccione Herramientas administrativas y, despues, haga clic
en Usuarios y equipos de Active Directory.
2. En el arbol de la consola, haga doble clic en el nodo de dominio.
3. En el panel de detalles, haga clic con el botn secundario del mouse (ratn) en la
unidad organizativa en la que desea agregar el usuario, seleccione Nuevo y, a
continuacin, haga clic en Usuario.
4. En el cuadro de dialogo Nuevo objeto: Usuario, en el cuadro Nombre, escriba el
nombre del usuario.
5. En el cuadro Iniciales, escriba las iniciales del usuario.
6. En el cuadro Apellidos, escriba los apellidos del usuario.
7. En el cuadro Nombre de inicio de sesin de usuario, escriba el nombre con el que
el usuario iniciar la sesin.
8. En la lista desplegable, haga clic en el sufijo UPN que debe agregar al nombre de
inicio de sesin de usuario despues del smbolo @.
9. Haga clic en Siguiente.
10. En los cuadros Contrasea y Confirmar contrasea, escriba la contrasea del usuario.
11. Seleccione las opciones de contrasea adecuadas.
12. Haga clic en Siguiente y, a continuacin, en Finalizar.
52
Practicas Recomendadas
Hay varias cuestiones relativas a la creacin de cuentas de usuario que reducen los riesgos
para la seguridad en un entorno de red.
Cuentas de usuario local

Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas de usuario
locales:
No habilite cuentas de Invitado.
Cambie el nombre de la cuenta Administrador.
Limite el nmero de personas que pueden iniciar la sesin de forma

local. Utilice contraseas seguras.
I 53
Cuentas de usuario de dominio
Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas de usuario de

dominio:
Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente.
Exija que los usuarios cambien la contrasea de sus cuentas la primera

vez que inicien sesin.
Una medida de seguridad recomendable es que no inicie la sesin

en su equipo con credenciales de administrador.
Cuando inicie la sesin en su equipo sin credenciales de administrador,

es recomendable que utilice el comando Ejecutar como para realizar
tareas de administracin.
Cambie el nombre o deshabilite las cuentas de Invitado y

Administrador en cada dominio para evitar los ataques a la
seguridad.
De forma predeterminada, el trafico en las herramientas administrativas de Active Directory

queda firmado y cifrado mientras se transmite por la red. No deshabilite esta funcin.
Cuentas de Equipo
Cualquier equipo en el que se ejecute Windows NT 4 ,Windows 2000, Windows XP o Windows
Server 2003, que pertenezca a un dominio tiene una cuenta de equipo. Igual que las cuentas
de usuario, las de equipo proporcionan un medio para la autenticacin y auditoria de acceso
del equipo a la red y a los recursos del dominio.
En el Directorio Activo, los equipos son principios de seguridad, igual que los usuarios.
Esto significa que los equipos deben disponer de cuentas y contraseas. Para que el Directorio
Activo autentique completamente a un usuario, este debe tener una cuenta de usuario valida e
iniciar sesin en el dominio desde un equipo que disponga de una cuenta de equipo valida.
Nota No se pueden crear cuentas para equipos en los que se ejecuta Windows 95, Windows
98, Windows Milenium o Windows XP Home Edition, porque estos sistemas operativos no
cumplen los requisitos de seguridad del Directorio Activo.
Razones para Crear Cuentas de Equipo

Los equipos son responsables de realizar tareas clave, como autenticar el inicio de sesin de
un usuario, distribuir las direcciones de Protocolo de Internet (IP, Internet Protocol),
mantener la integridad del Directorio Activo y exigir el cumplimiento de las directivas de
seguridad. Para obtener acceso total a estos recursos de red, los equipos deben disponer de
cuentas validas en el Directorio Activo. Las dos principales funciones de una cuenta de
equipo son preservar la seguridad y realizar tareas de administracin.
Seguridad
54
Debe crearse una cuenta de equipo en el Directorio Activo para que

los usuarios puedan beneficiarse de todas las funciones del Directorio
Activo. Al crear una cuenta de equipo, Este podra utilizar procesos de
autenticacin avanzados como la autenticacin Kerberos y la
seguridad IP (IPSec, Internet Protocol Security) para cifrar el
trafico IP.
El equipo tambien necesita una cuenta de equipo
para especificar cmo aplicar y guardar la auditoria.
Administracin
Las cuentas de equipo facilitan al administrador la tarea de

Administrar la estructura de la red. El administrador se sirve de
cuentas de equipo para administrar la funcionalidad del entorno de
escritorio, automatizar el desarrollo de software usando el Directorio
Activo y mantener el inventario de hardware y software utilizando
Microsoft Systems Management Server (SMS). Las cuentas de equipo
de un dominio tambien se utilizan para controlar el acceso a los
recursos.
Cuentas de Equipo en un Dominio
Los
administradores
designan
la
ubicacin de las
cuentas de
equipo
Cuentas de equipo
previamente
agregadas
Los
usuarios
designan
la
ubicacin de las
cuentas de equipo
Cuando el administrador crea una cuenta de equipo, elige la unidad

organizativa donde va a crearla. Si un equipo se une a un dominio, se
crea la cuenta de equipo en el contenedor de equipos y el administrador
puede trasladar la cuenta a la unidad organizativa correcta si es
necesario.
De forma predeterminada, los usuarios del Directorio Activo pueden
agregar hasta 10 equipos al dominio utilizando los permisos de su
cuenta de usuario. Esta configuracin puede modificarse. Si el
administrador agrega directamente una cuenta de equipo al Directorio
Activo, un usuario puede agregar un equipo al dominio sin utilizar
ninguna de las 10 cuentas de equipo asignadas.
El hecho de agregar un equipo a un dominio con una cuenta creada

previamente se denomina agregacin previa: significa que los equipos se
agregan a una unidad organizativa en la que el administrador tiene
permisos para agregar cuentas de equipo. Normalmente, los usuarios no
tienen permisos especificos de agregacin previa de una cuenta de
equipo, pero pueden agregar un equipo al dominio mediante la cuenta de
equipo previamente agregada.
Cuando un usuario agrega un equipo a un dominio, la cuenta de equipo
se agrega al contenedor de equipos en el Directorio Activo. Esto se realiza mediante un
servicio que agrega la cuenta en nombre del usuario. La cuenta del sistema tambien registra
cuantos equipos ha agregado cada usuario al dominio. De forma predeterminada, un usuario
I 55
autenticado tiene permiso para agregar estaciones de trabajo a un dominio y puede crear
hasta 10 cuentas de equipo en el dominio.
Opciones de Cuenta de un Equipo
Existen dos caracteristicas opcionales que puede habilitar cuando crea una cuenta de
equipo. Puede asignar una cuenta como si fuera un equipo con un sistema operativo
anterior a Windows 2000 o como un controlador de dominio de reserva (BDC, Backup
Domain Controller).
Version anterior a
Windows 2000
Active la casilla de verificacin Asignar la cuenta de este equipo como

un equipo anterior a Windows 2000 para asignar una contrasea basada
en el nombre del equipo. Si no la activa, la contrasea se asignara de forma

aleatoria como contrasea inicial para la cuenta. La contrasea cambia automaticamente cada cinco dias
entre el equipo y el dominio en el que esta ubicada la cuenta. Esta opcin garantiza que un equipo con
una versin anterior a Windows 2000 sera capaz de interpretar si la contrasea cumple los requisitos
adecuados.
Controlador de
Active la casilla de verificacin Asignar la cuenta de este equipo como un
Dominio de reserva controlador de dominio de reserva si pretende utilizarlo como tal.
Debera utilizar esta funcin si todavia esta en un entorno mixto con un
controlador de dominio de Windows Server 2003 y un controlador de
dominio de reserva (BDC) de Windows NT 4.0. Despues de crear la cuenta
en el Directorio Activo, puede unir el BDC al dominio durante la instalacin
de Windows NT 4.0.
56
Como Crear una cuenta de Equipo

De forma predeterminada, los miembros del grupo Operadores de cuentas pueden crear
cuentas de equipo en el contenedor de equipos y en las unidades organizativas nuevas. Sin
embargo, no pueden crear cuentas de equipo en los contenedores Builtin,
DomainControllers, ForeignSecurityPrincipals, LostAndFound, Program Data, System o
Users.
Procedimiento
Para crear una cuenta de equipo:

1. En Usuarios y equipos de Active Directory, en el rbol de la
consola, haga clic con el botn secundario del mouse en
Computers o en el contenedor en el que desea agregar el equipo,
seleccione Nuevo y, a continuacin, haga clic en Equipo.
2. En el cuadro de dilogo Nuevo objeto: Equipo, en el cuadro
Nombre de equipo, escriba el nombre del equipo.
3. Seleccione las opciones adecuadas y haga clic en Siguiente.
4. En el cuadro de dilogo Administrado, haga clic en Siguiente.
5. Haga clic en Finalizar.
Nota. Para realizar este procedimiento, debe ser miembro del grupo Operadores de cuentas,
del grupo Administradores de dominio, del grupo Administradores de organizacin de Active
Directory o que hayan delegado en usted la autoridad adecuada. Una prctica de seguridad
recomendada es que considere la idea de utilizar Ejecutar como para realizar este
procedimiento.
Utilizar una linea Para crear una cuenta de equipo mediante el comando dsadd de
computer
comando
1.
Abra un smbolo del sistema.
2. Escriba dsadd computer NombreDominioEquipo [-samid
NombreSAM] [-desc Descripcin] [-loc Ubicacin] [-memberof
NombreDominioGrupo ..] [{-s Servidor | -d Dominio}] [-u
NombreUsuario] [-p {Contrasea | *}] [-q] [{-uc | -uco | uci}]
I 57
Propiedades de Usuario y Equipo
Como administrador de sistemas, sera responsable de crear cuentas de usuario y de

equipo en el Directorio Activo. Tambien sera responsable de su mantenimiento. Para llevar
a cabo estas tareas, debe familiarizarse con las distintas propiedades de cada cuenta de
usuario y de equipo.
Es importante que los administradores de sistemas se familiaricen con las propiedades de
las cuentas de usuario para poder administrar la estructura de la red. Los usuarios pueden
utilizar las propiedades de la cuenta de usuario como una nica fuente de informacin
sobre
los usuarios, tal como la lista de telefonos, o para buscar
usuarios basandose en elementos como la ubicacin en la
oficina, el jefe o el nombre del departamento. Los
administradores de sistemas pueden utilizar las
Propiedades
de propiedades de una cuenta de usuario para determinar el
comportamiento de la misma en una sesin de servidor de
cuenta de usuario
Terminal o como hacer que el usuario obtenga acceso a la
red a
traves de una conexin de acceso telefnico.
Propiedades de
Para mantener las cuentas de
equipo debe encontrar la ubaci
Cuenta de equipo fsica del equipo. Las propiedades mas utilizadas para las cuentas de
equipo en el Directorio Activo son Ubicacin y Administrado por. La
propiedad Ubicacin es til porque documenta la ubicacin fsica del
equipo en la red. La ficha Administrado por enumera las personas
responsables del servidor.
58
El cuadro de dialogo Propiedades de una cuenta de equipo contiene informacin nica de

cada cuenta de equipo almacenada en el Directorio Activo. Cuanto mas completa sea la
informacin del cuadro de dialogo Propiedades, mas sencillo sera buscar los equipos en
el Directorio Activo.
La siguiente tabla muestra las propiedades mas usadas en las cuentas de equipo
Ficha
Propiedades
General
Nombre de equipo, nombre DNS, descripcin y funcin.
Sistema operativo
Nombre y versin del sistema operativo que se ejecuta en el

equipo y la ltima actualizacin instalada.
Miembro de
Los grupos del dominio local y cualquier grupo al que pertenezca

el equipo.
Ubicacin
La ubicacin del equipo.
Administrado por
Nombre, ubicacin de la oficina, calle, ciudad, estado o provincia,

pais o regin, telefono y fax de la persona que administra el equipo.
Objeto
Nombre cannico del objeto, clase de objeto, fecha de su creacin,

fecha de modificacin y nmeros de secuencia de actualizacin (USN
U pda te Sequ en ce Nu mber ).
Seguridad
Usuarios y grupos que tienen permisos para obtener acceso al
Marcado
Permiso de acceso remoto, opciones de devolucin de llamada
equipo.
y
de enrutamiento.
I 59
Plantilla de Usuario
Puede simplificar el proceso de creacin de cuentas de usuario si crea una plantilla de

cuenta de usuario. Una plantilla de cuenta de usuario es una cuenta que tiene una
configuracin muy utilizada y propiedades ya configuradas.Para cada cuenta de usuario
nueva, slo necesitara agregar la informacin que sea exclusiva del usuario. Por ejemplo, si
todo el personal del departamento de Ventas debe ser miembro de 15 grupos y todos
tienen el mismo responsable, puede crear una plantilla que contenga la pertenencia a todos
los grupos y el responsable. Cuando se copie la plantilla para un nuevo empleado del
departamento, conservara la pertenencia a los grupos y el responsable que hubiera en la
plantilla.
Propiedades
Direccin
Cuenta
Propiedades copiadas a una cuenta nueva de usuario de dominio

Todas las propiedades, excepto Direccin postal.
Todas las propiedades, excepto Nombre de inicio de sesin, que se copia del cuadro
de dialogo Copiar objeto: Usuario.
Perfil
particular
Se copian todas las propiedades,excepto Ruta de acceso al perfil y Carpeta

que se modifican para reflejar el nombre de inicio de sesin del nuevo usuario.
Organizacin
60
Se copian todas las propiedades, excepto Ttulo.
Miembro de
Se copian todas las propiedades.
Instrucciones para crear Plantillas
Tenga en cuenta las siguientes recomendaciones a la hora de crear plantillas de

cuentas de usuario:
Cree una clasificacin independiente para cada departamento de su grupo

empresarial.
Cree un grupo independiente para cada empleado temporal con restricciones de

inicio de sesin y en la estacin de trabajo.
Establezca fechas de caducidad de la cuenta para los empleados temporales, para

evitar que obtengan acceso a la red cuando terminen el contrato.
Deshabilite la plantilla de la cuenta.
Identifique la plantilla de la cuenta. Por ejemplo, escriba T_ delante del nombre

de la cuenta para identificarla como una plantilla.
Para crear una cuenta que pueda utilizar como plantilla, deber crear una cuenta de
usuario, configurarla como desee, deshabilitarla y copiarla cuando necesite crear un
usuario nuevo.
para crear una plantilla de cuenta de usuario:
1.
Cree una cuenta nueva de usuario de dominio o copie una existente.

2. Escriba el nombre de usuario y de inicio de sesin para la cuenta nueva y, a
continuacin, haga clic en Siguiente.
3. Escriba y confirme la contrasea, establezca los requisitos de contrasea, active la
casilla La cuenta esta deshabilitada si es necesario y haga clic en Siguiente.
4.
Compruebe la informacin de la cuenta nueva y haga clic en Finalizar.
I 61
Razones para habilitar y Deshabilitar cuentas de

usuario y de equipo
Despues de crear las cuentas de usuario, se suelen realizar tareas administrativas para
garantizar que la red sigue cumpliendo los requisitos de la empresa. Estas tareas incluyen
habilitar y deshabilitar cuentas de usuario y de equipo. Al habilitar o deshabilitar una cuenta,
concede o restringe el acceso a la misma.
Para que un entorno sea seguro, el administrador de sistemas debe deshabilitar las cuentas
de los usuarios cuando estos no vayan a utilizarlas durante un periodo de tiempo largo,
aunque las necesiten mas adelante. A continuacin se exponen algunos ejemplos en los que
sera necesario habilitar o deshabilitar una cuenta:
Si el usuario va a permanecer ausente dos meses, se tendra que deshabilitar la

cuenta cuando el usuario deje el trabajo y habilitarla cuando vuelva.
Cuando se agregan a la red cuentas que se van a utilizar en el futuro o por razones
de seguridad, se tendra que deshabilitar las cuentas hasta que sean necesarias.
Cuando no desee que se autentique a los usuarios desde un equipo compartido, se tendra
que deshabilitar la cuenta.
62
Cuando se deshabilita una cuenta, el usuario no puede iniciar la sesin con ella. La cuenta
aparece en el panel de detalles con una X sobre el icono de la cuenta.
Para habilitar y deshabilitar una cuenta de usuario o de equipo mediante Usuarios y
equipos del Directorio Activo :
1. En Usuarios y equipos de Active Directory, en el rbol de la consola, seleccione el
contenedor o el usuario que contiene la cuenta que desea habilitar o deshabilitar.
2. En el panel de detalles, haga clic con el botn secundario del mouse en la cuenta de
usuario.
3. Para deshabilitarla, haga clic en Deshabilitar cuenta.
4. Para habilitarla, haga clic en Habilitar cuenta.
Para deshabilitar o habilitar la cuenta de usuario local mediante Administracin de equipos:
1.
En Administracin de equipos, expanda Herramientas del sistema.

2. En Herramientas del sistema, expanda Usuarios y grupos locales, y luego, haga
clic en Usuarios.
3. Haga clic con el botn secundario del mouse en la cuenta de
usuario y, a
continuacin, haga clic en Propiedades.
4. En el cuadro de dilogo Propiedades, active la casilla de verificacion Cuenta
deshabilitada y, a continuacin, haga clic en Aceptar.
Cuenta de Usuario bloqueada
Una cuenta de usuario se bloquea cuando ha sobrepasado el umbral de bloqueo de la cuenta

para un dominio. Esto ocurre porque el usuario ha intentado muchas veces obtener acceso
a la cuenta con una contrasea incorrecta o porque un pirata informatico ha intentado
descubrir las contraseas de usuario y ha activado la directiva de bloqueo de la cuenta.
I 63
Los usuarios autorizados pueden bloquear una cuenta al escribir mal

la contrasea, al olvidarla o al haber intentado cambiarla en un equipo despues de iniciar la
sesin en otro. El equipo en el que se escribe una contrasea incorrecta intenta
continuamente autenticar al usuario. Y puesto que la contrasea que se esta utilizando es
incorrecta, la cuenta finalmente se bloquea.
La configuracin de seguridad del Directorio Activo determina el nmero

de intentos fallidos de inicio de sesin que provoca el bloqueo de una cuenta. El usuario no
podra utilizar la cuenta bloqueada hasta que el administrador la restablezca o hasta que el
tiempo de bloqueo finalice. Cuando una cuenta de usuario se bloquea, aparece un mensaje
de error y no se permite al usuario que realice mas intentos de inicio de sesin.
Un usuario puede bloquear una cuenta si intenta iniciar la sesin muchas veces
con una contrasea incorrecta. Los intentos con contrasea incorrecta seproducen cuando:
El usuario inicia la sesin en la pantalla correspondiente pero proporciona una

contrasea incorrecta.
El usuario inicia la sesin con una cuenta local y proporciona una cuenta de usuario
de dominio y una contrasea incorrectas cuando intenta obtener acceso a los
recursos de la red.
El usuario inicia la sesin con una cuenta local y proporciona una cuenta de usuario
de dominio y una contrasea incorrectas cuando intenta obtener acceso a los
recursos de la red con el comando runas.
Tipos de busqueda
Puesto que todas las cuentas de usuario se encuentran en el Directorio Activo, los
administradores pueden buscar las que administran. Ademas, tambien puede buscar otros
objetos del Directorio Activo, como equipos, impresoras y carpetas compartidas. Una vez
haya encontrado estos objetos, puede administrarlos desde el cuadro
Resultado de la bsqueda.
Administrar
objetos desde
Resultado de la
64
Una vez finalizada la bsqueda, se muestran los resultados y puede

realizar tareas de administracin de los objetos encontrados. Las
funciones administrativas disponibles dependen del tipo de objeto
Busqueda
cambiarles
encontrado. Por ejemplo, si busca cuentas de usuario, podra

el nombre, eliminarlas, deshabilitarlas, restablecer la contrasea,
moverlas a otra unidad organizativa o modificar sus propiedades.
Para administrar un objeto desde el cuadro Resultado de la
bsqueda, haga clic con el botn secundario del mouse en un objeto
y seleccione una accin del men.
Buscar usuarios,
la
El Directorio Activo proporciona informacin de todos los objetos de
Contactos y grupos
red, como personas, grupos, equipos, impresoras, carpetas

compartidas y unidades organizativas. Resulta muy sencillo buscar
usuarios, contactos y grupos mediante el cuadro de dialogo Buscar
Usuarios, contactos y grupos.
Buscar equipos
Utilice Buscar: Equipos para buscar equipos en Active Directory

mediante criterios como el nombre asignado al equipo o el sistema
operativo del mismo. Una vez haya encontrado el equipo que desea,
puede administrarlo si hace clic con el botn secundario del mouse
en el cuadro Resultado de la bsqueda y, luego, hace clic en
Administrar.
Buscar impresoras
Buscar carpetas
compartidas
para
Bsqueda
Cuando una impresora compartida esta publicada en el Directorio

Activo, puede utilizar Buscar: Impresoras para buscarla mediante
criterios como el nmero de activo, el lenguaje que utiliza la
impresora o si admite impresin a doble cara. Una vez encontrada la
impresora que desea, puede conectar con ella si hace clic con el
botn secundario del mouse en la impresora en el cuadro
Resultado de la bsqueda y, luego, hace clic en Conectar o doble
clic en la impresora.
Cuando una carpeta compartida aparece publicada en el
Directorio Activo, puede utilizar Buscar: Carpetas compartidas
buscarla mediante criterios como palabras clave asignadas a ella, el
nombre de la carpeta o el nombre de la persona que la administra.
Una vez encontrada la carpeta que desea, puede abrir el Explorador
de Windows para ver la ubicacin de la carpeta si hace clic con el
botn secundario del mouse en la carpeta dentro del cuadro
Resultado de la bsqueda y, luego, hace clic en Explorar.
El Directorio Activo puede buscar objetos conocidos como
equipos,impresoras y usuarios. Tambien puede buscar otros objetos,
como unidades organizativas especificas o plantillas de certificado.
Utilice Bsqueda personalizada para crear consultas de bsqueda
personalizada utilizando opciones de bsqueda avanzada o para crear
consultas de bsqueda avanzada mediante LDAP, que es el protocolo
de acceso principal para el Directorio Activo.
Consultas comunes Puede utilizar Consultas comunes para realizar consultas

administrativas comunes en el Directorio Activo. Por ejemplo,
I 65
puede buscar de forma rapida cuentas de usuario o de equipo

deshabilitadas.
Opciones avanzadas Para cada opcin de bsqueda, excepto Consultas comunes, hay
una ficha consulta Opciones avanzadas que puede utilizar para
crear una bsqueda mas detallada.
Por ejemplo, puede buscar todos los usuarios de una ciudad o codigo
postal desde la ficha Opciones avanzadas.
Consultas Comunes
La funcin de bsqueda es una de las caracteristicas clave del Directorio Activo. La bsqueda
permite encontrar objetos en el Directorio Activo basandose en unos criterios determinados
y recuperar propiedades especificas de los objetos encontrados.
Procedimiento
Para iniciar una bsqueda basica :

1. En Usuarios y equipos de Active Directory, en el men Accin,
haga clic en Buscar.
2. En el cuadro de dialogo Buscar Usuarios, contactos y grupos,
en el cuadro Buscar, seleccione el tipo de objeto que desea
buscar.
3. En los cuadros de criterio, escriba el texto que desea buscar.
Los tipos de criterio de bsqueda estaran
dependiendo del tipo de objeto que seleccione.
disponibles
En el Directorio Activo se puede buscar objetos conocidos, como equipos, impresoras y

usuarios, y otros objetos, como unidades organizativas especificas o plantillas de certificado.
Utilice el cuadro de dialogo Buscar: Bsqueda personalizada para crear consultas de
bsqueda personalizada mediante opciones de bsqueda avanzada o para crear consultas de
bsqueda avanzada mediante LDAP, que es el protocolo de acceso principal para el
Directorio Activo.
La consulta LDAP de la presentacin incluye los siguientes elementos:
l=Denver
Donde I es la propiedad de ciudad o el atributo de ubicacin de la cuenta de usuario.
66
(ObjectClass=user)(ObjectCategory=person)
Para buscar un usuario, la consulta debe contener la expresin de bsqueda

(&(objectClass=user)(objectCategory=person)). Esto es porque la clase de
equipo es una subclase de la clase de usuario. Una consulta que slo contenga
(objectClass=user) devuelve objetos de usuario y de equipo.
UserAccountControl:1.2.840.113556.1.4.803:=2
Esto especifica los indicadores que controlan la contrasea, la opcin de bloqueo, la opcin
de habilitar o deshabilitar, la secuencia de comandos y el comportamiento de la direccin
principal del usuario. Esta propiedad tambien contiene un indicador que especifica el tipo de
cuenta del objeto. El indicador que se utiliza en el ejemplo es para las cuentas
deshabilitadas.
Usuarios y equipos del Directorio Activo cuenta con una carpeta Consultas guardadas en
la que puede crear, editar, guardar y organizar consultas guardadas. Antes de poder
utilizar consultas guardadas, los administradores necesitaban crear secuencias de
comandos de Interfaces de servicios del Directorio Activo (ADSI, Active Directory
Service Interface) personalizadas para realizar una consulta sobre objetos comunes. A
menudo se trataba un proceso largo que exiga saber cmo ADSI utiliza filtros de
bsqueda LDAP para resolver una consulta.
Las consultas guardadas utilizan cadenas LDAP predefinidas para buscar slo en las
particiones de dominio especificadas. Puede restringir las bsquedas a un nico objeto de
contenedor. Tambin puede crear consultas guardadas personalizadas que contengan un
filtro de bsqueda LDAP.
Todas las consultas se almacenan en la carpeta de consultas guardadas llamada dsa.msc,
que se almacena en Usuarios y equipos del Directorio Activo. Una vez que haya creado
correctamente un conjunto de consultas guardadas personalizadas, puede copiar el archivo
.msc en otros controladores de dominio de Windows Server 2003 que esten en el mismo
dominio y volver a utilizar el conjunto de consultas guardadas. Tambien puede exportarlas a
un archivo XML (Lenguaje marcado extensible). Entonces podra importarlas a otras consolas
de Usuarios y equipos del Directorio Activo ubicadas en controladores de dominio de
Windows Server 2003 que esten en el mismo dominio.
I 67
Introduccin a los Grupos
Antes de aplicar las estrategias para la administracin de grupos Windows Server 2003 a
nivel de grupos de trabajo o dominios es necesario entender su propsito bsico y como
estos funcionan.
Como funcionan los Grupos

Un grupo es una coleccin de cuentas de usuario y de equipo que le permite administrar
los recursos a los que estos usuarios pueden acceder, tales como carpetas e impresoras
compartidas. Los grupos permiten atorgar permisos de manera mas rpida y simple ya
que los permisos concedidos a los grupos son heredados por sus miembros.
Los grupos:
Simplifican la administracion al facilitar la concesion de permisos para

recursos a todo un grupo en lugar de a cada una de las cuentas de usuario
individualmente.
Pueden estar basados en Active Directory o ser locales, de un equipo

individual.
Se distinguen por su ambito y tipo.
Pueden anidarse, es decir, se puede agregar un grupo a otro.
El ambito de un grupo determina si el grupo comprende varios dominios o se limita a

uno solo. Los ambitos de grupo permiten utilizar grupos para la concesion de permisos.
El ambito de grupo determina:
68
Los dominios desde los que puede agregar miembros al grupo.
Los dominios en los que puede utilizar el grupo para conceder permisos.
Los dominios en los que puede anidar el grupo en otros grupos.
El ambito de un grupo determina cuales son los miembros del grupo. Las reglas de
pertenencia controlan los miembros que puede contener un grupo y los grupos de los que
puede ser miembro. Los miembros de un grupo estan formados por cuentas de usuario,
cuentas de equipo y otros grupos.
Para asignar los miembros correctos a los grupos y para anidar un grupo, es
importante conocer las caractersticas del ambito de grupo. Existen los siguientes
ambitos de grupo:
Global
Local de dominio
Universal
Local
Puede utilizar los grupos para organizar las cuentas de usuario, de equipo y otras cuentas
de grupo en unidades administrables. Trabajar con grupos en lugar de con usuarios
individuales, ayuda a simplificar la administracion y el mantenimiento de la red.
Existen los siguientes grupos en Active Directory:
Grupos de seguridad
Puede utilizar los grupos de seguridad para asignar derechos y permisos de usuario a
grupos de usuarios y equipos. Los derechos especifican las acciones que pueden realizar
los miembros de un grupo de seguridad en un dominio o bosque, y los permisos
especifican los recursos a los que puede obtener acceso un miembro de un grupo en la
red.
Tambien puede utilizar grupos de seguridad para enviar mensajes de correo electronico a
varios usuarios. Al enviar un mensaje de correo electronico al grupo, el mensaje se envia a
todos sus miembros. Por lo tanto, los grupos de seguridad tienen funciones de grupos de
distribucion.
Grupos de distribucion
Puede utilizar los grupos de distribucion con aplicaciones de correo electronico, como
Exchange, para enviar mensajes de correo electronico a grupos de usuarios. La finalidad
principal de este tipo de grupo es recopilar objetos relacionados, no conceder permisos.
Los grupos de distribucion no tienen habilitada la seguridad, es decir, no pueden utilizarse
para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos
compartidos, cree un grupo de seguridad.
Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribucion,
estos ltimos todavia son necesarios, porque algunas aplicaciones solo pueden utilizar
grupos de distribucion.
Los grupos de distribucion y de seguridad admiten uno de los tres ambitos de grupo.
I 69
Niveles funcionales de dominio

La tabla enumera los niveles funcionales de dominio junto con los controladores de
dominio y ambitos de grupo que admite cada uno de ellos.
Las caracteristicas de los grupos de Active Directory dependen del nivel funcional de
dominio. La funcionalidad de dominio activa funciones que afectan a todo un dominio y solo
a ese dominio. Hay tres niveles funcionales de dominio disponibles: Windows 2000 mixto,
Windows 2000 nativo y Windows Server 2003. Los dominios funcionan de forma
predeterminada en el nivel funcional Windows 2000 mixto. Puede aumentar
el nivel funcional de dominio a Windows 2000 nativo o Windows Server 2003.
Grupos globales
Un grupo global es un grupo de distribucion o de seguridad que puede contener usuarios,

grupos y equipos procedentes del mismo dominio que el grupo global. Puede utilizar grupos
de seguridad globales para asignar derechos permisos de usuario a los recursos de cualquier
dominio del bosque.
70
A continuacion, se resumen las caracteristicas de los grupos globales:

Miembros
En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas
de usuario y equipo del mismo dominio que el grupo global.
En un nivel funcional nativo, los grupos globales pueden contener cuentas de

usuario, cuentas de equipo y grupos globales del mismo dominio que el grupo
global.
Puede ser miembro de

En el modo mixto, un grupo global solo puede ser miembro de grupos locales de dominio.
En el modo nativo, un grupo global puede ser miembro de grupos locales de dominio y
universales en cualquier dominio, y de grupos globales del mismo dominio que el grupo
global.
Ambito
Un grupo global es visible dentro de su dominio y de todos los dominios de confianza, en
los que se incluyen todos los dominios del bosque.
Permisos
Puede conceder permisos a un grupo global para todos los dominios del bosque.
Debido a que los grupos globales son visibles en todo el bosque, no debe
crearlos para obtener acceso a recursos especificos del dominio. Utilice
un grupo global para organizar a los usuarios que comparten las mismas tareas de trabajo y
necesitan requisitos de acceso a la red similares. Para controlar el acceso a los recursos de
un dominio, sera conveniente utilizar otro tipo de grupo.
Grupos universales
Un grupo universal es un grupo de distribucion o de seguridad que contiene usuarios,

grupos y equipos de cualquier dominio del bosque. Puede utilizar grupos de seguridad
universales para asignar derechos y permisos de usuario a los recursos de cualquier
dominio del bosque.
I 71
A continuacion, se resumen las caractersticas de los grupos universales:
No puede crear grupos universales en el modo mixto.
En el modo nativo, los grupos universales pueden contener cuentas de usuario,

cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del
bosque.
No se puede aplicar el grupo universal en el modo mixto.
En el modo nativo, el grupo universal puede ser miembro de los grupos locales de
dominio y universales de cualquier dominio.
Ambito
Los grupos universales son visibles en todos los dominios del bosque y dominios de
confianza.
Permisos
Puede conceder permisos a grupos universales para todos los dominios del bosque.
Utilice grupos universales para anidar grupos globales y poder asignar permisos
a recursos relacionados de varios dominios. Un dominio
de Windows Server 2003 debe estar en el modo Windows 2000 nativo o superior para
poder utilizar grupos universales.
Grupos Locales de Dominio
Un grupo local de dominio es un grupo de distribucion o de seguridad que puede contener

grupos universales, grupos globales, otros grupos locales de dominio de su propio dominio
y cuentas de cualquier dominio del bosque. Puede utilizar grupos de seguridad locales de
dominio para asignar derechos y permisos de usuario solo a recursos del mismo dominio en
el que se encuentra ubicado el grupo local de dominio.
A continuacion, se resumen las caracteristicas de los grupos locales de dominio:
72
En el modo mixto, los grupos locales de dominio pueden contener cuentas de usuario,
cuentas de equipo y grupos globales de cualquier dominio. Los servidores miembros no
pueden utilizar grupos locales de dominio en el modo mixto.
En el modo nativo, los grupos locales de dominio pueden contener cuentas de

usuario, cuentas de equipo, grupos globales y grupos universales de cualquier
dominio del bosque y grupos locales de dominio de su mismo dominio.
En el modo mixto, un grupo local de dominio no puede ser miembro de ningn

grupo.
En el modo nativo, un grupo local de dominio puede ser miembro de grupos

locales de dominio de su mismo dominio.
Ambito
Un grupo local de dominio solo es visible en el dominio al que pertenece.
Permisos
Puede asignar permisos a un grupo local de dominio para el dominio al que pertenece el
grupo local de dominio.
Utilice un grupo local de dominio para asignar permisos a recursos ubicados
len el mismo dominio que el grupo local de dominio. Puede colocar todos los grupos globales
que necesiten compartir los mismos recursos en el grupo local de dominio adecuado.
Grupos locales
Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creados en un

servidor miembro o en un servidor independiente.
Puede crear grupos locales para conceder permisos para los recursos que residen
en el equipo local. Windows Server 2003 crean grupos locales en una base de datos de
seguridad local. Los grupos locales pueden contener usuarios, equipos, grupos globales,
grupos universales y otros grupos locales de dominio.
Debido a que los grupos con un ambito local de dominio reciben a menudo el nombre de
grupos locales, es importante distinguir entre un grupo local y un grupo con ambito local
de dominio. Los grupos locales a veces reciben el nombre de grupos locales de equipo
para distinguirlos delos grupos locales de dominio.
I 73
A continuacion, se resumen las caracteristicas de los grupos locales:

Los grupos locales pueden contener cuentas de usuario locales del equipo en el que se
crea el grupo local.
Los grupos locales no pueden ser miembros de otro grupo.
A continuacion, se muestran algunas directrices para utilizar grupos locales: locales
Solo puede utilizar grupos locales en el equipo en el se crean los grupos locales. Los
permisos del grupo local ofrecen acceso solo a los recursos del equipo en el que se creo el
grupo local.
Puede utilizar grupos locales en los equipos que esten ejecutando actualmente
sistemas operativos clientes de Microsoft admitidos y en servidores miembros en los
que se este ejecutando Windows Server 2003.
No puede crear grupos locales en controladores de dominio, porque stos no pueden
tener una base de datos de seguridad independiente de la base de datos de Active
Directory.
Cree grupos locales para limitar la capacidad de acceso de los usuarios y grupos locales a
los recursos de la red cuando no desee crear grupos de dominio.
Donde crear grupos

En Active Directory, los grupos se crean en dominios. Puede utilizar Usuarios y equipos de
Active Directory para crear grupos. Si tiene los permisos necesarios y asocia correctamente
los usuarios y equipos con los grupos, puede crear grupos en otro dominio del bosque o en
una unidad organizativa.
un grupo tambien se caracteriza por su ambito. El ambito de un grupo determina:
El dominio desde el que se pueden agregar miembros.
El dominio en el que son validos los derechos y permisos de usuario

asignados al grupo.
Seleccione un determinado dominio, o unidad organizativa, en el que crear un grupo en

funcion de los requisitos de administracion del grupo.
Por ejemplo, suponga que el directorio tiene varias unidades organizativas, cada una de ellas
con un administrador diferente. Es posible que desee crear grupos globales en esas unidades
organizativas para que los administradores puedan administrar la pertenencia al grupo de los
usuarios incluidos en sus respectivas unidades organizativas.
Si es necesario que los grupos controlen el acceso fuera de la unidad organizativa,
puede anidar los grupos de la unidad organizativa en grupos universales (o en otros
grupos con ambito global) que puedan utilizarse en cualquier otra ubicacion del
bosque.
Puede resultar eficaz anidar grupos globales si el nivel funcional de domino se establece
en modo nativo , los dominios contienen una jerarqua de unidades organizativas y la
administracin se delega a los administradores de cada unidad organizativa.
74
Directrices para la nomenclatura de grupos
En Active Directory, hay un gran nmero de grupos de distribucion y seguridad.

Las siguientes convenciones de nomenclatura pueden ayudar a administrar estos grupos. Las
organizaciones establecen sus propias convenciones de nomenclatura para los grupos de
distribucion y de seguridad. Un nombre de grupo deberia identificar su ambito, tipo, la
finalidad de su creacion y los permisos que puede tener.
Tenga en cuenta los siguientes puntos al definir una convencion de nomenclatura para los
grupos de seguridad:
Ambito de los grupos de seguridad
Aunque el tipo y ambito de grupo se muestra como tipo de grupo en Usuarios y equipos de
Active Directory, las organizaciones suelen incorporar el ambito en la convencion de
nomenclatura del nombre de grupo.
Por ejemplo, para identificar el ambito de los grupos de seguridad, Northwind Traders
aade una letra al principio del nombre de grupo:
G IT Admins
G para grupos globales
U All IT Admins
U para grupos universales
DL IT Admins Full Control
DL para grupos locales de dominio
I 75
Posesion del grupo de seguridad

El nombre de un grupo de seguridad de dominio, ya sea universal, global o local de dominio,
debe identificar de forma clara al propietario del grupo e incluir el nombre del departamento
o equipo al que pertenece.
A continuacion, se muestra un ejemplo de convencion de nomenclatura que podria utilizar
Northwind Traders para identificar al propietario del grupo:
G Marketing Managers
Nombre de dominio
El nombre de dominio o su abreviatura se coloca al principio del nombre de grupo a
peticion del cliente. Por ejemplo:
G NWTraders Marketing
DL S.N.MSFT IT Admins Read
Finalidad del grupo de seguridad

Por ltimo, se puede incluir en el nombre la finalidad empresarial del grupo y los permisos
maximos que deberia tener el grupo en la red. Esta convencion de nomenclatura se suele
aplicar a los grupos locales o grupos locales de dominio.
A continuacion, se muestra un ejemplo de convencion de nomenclatura que podria utilizar
Northwind Traders para identificar la finalidad del grupo de seguridad: Northwind Traders
utiliza un descriptor para identificar los permisos mximos que debera tener el grupo en la
red. Por ejemplo:
DL IT London OU Admins
Grupos de Distribucion
Como los grupos de seguridad se utilizan sobre todo para la administracion de la red, solo
el personal encargado de esta tarea debe utilizar la convencion de nomenclatura. Los
usuarios finales utilizan grupos de distribucion; por lo tanto, debe interesarles la
convencion de nomenclatura.
Al definir una convencion de nomenclatura para los grupos de distribucion, tenga en
cuenta los siguientes puntos:
Nombres de correo electronico
Longitud. Utilice un alias corto. Para respetar las normas actuales de datos
descendentes, la longitud minima de este campo es de tres caracteres y la longitud
maxima, de ocho.
Palabras ofensivas. No cree grupos de distribucion con palabras que puedan

considerarse ofensivas. Si no est seguro, no utilice la palabra.
Caracteres permitidos. Puede utilizar cualquier carcter ASCII. Los nicos

caracteres especiales permitidos son el guin (-) y el carcter de subrayado (_).
76
Designaciones especiales. No utilice las siguientes combinaciones de caracteres

para los grupos de distribucion:
Un caracter de subrayado (_) al principio del nombre de grupo del alias.
Un nombre o una combinacion de nombre y apellidos que pueda confundirse
facilmente con un nombre de cuenta de usuario.
Nombres para mostrar
Alias de usuario. Con el fin de estandarizar los nombres, no incluya un alias como
parte del nombre para mostrar (por ejemplo, Informes directos de Sfeli). Incluya el
nombre completo (por ejemplo, Informes directos de Susana Felix).
Palabras ofensivas. No cree grupos de distribucin con palabras que puedan
considerarse ofensivas.
Discusiones sociales. No debera permitirse la utilizacion de grupos de distribucion para
discusiones sociales, porque el rea de carpetas pblicas es un medio ms eficaz para
transmitir y almacenar un gran nmero de comunicaciones relacionadas con discusiones
sociales. Ya que un mensaje puede ser visto por varios usuarios, se minimiza el trfico de
red y el almacenamiento de datos si se utilizan las carpetas pblicas en lugar de los
grupos de distribucion.
Longitud. La longitud mxima de este campo es de 40 caracteres. Se aceptan
abreviaturas, siempre que su significado no sea confuso.
Estilo. No ponga en maysculas toda la descripcin, pero s la primera letra del nombre
para mostrar. Utilice ortografa y puntuacion correctas.
Parte superior de la libreta de direcciones. No utilice la palabra Un/a, nmeros,
caracteres especiales (sobre todo, comillas) o un espacio en blanco al inicio de la
descripcin. Esto hace que aparezca en la parte superior de la libreta de direcciones. La
libreta de direcciones debera comenzar por nombres de usuario individuales que
empiecen por A.
Caracteres especiales. Las barras diagonales (/) se aceptan en los nombres para
mostrar, pero no al inicio de los nombres de servidor. No utilice ms de un apstrofe () y
ninguno de los siguientes caracteres especiales: " * @ # $ % | [ ] ; < > =
Posesion
Un nico grupo de distribucion puede tener un maximo de cinco copropietarios.
El nombre de un grupo local no puede coincidir con ningn otro nombre
de grupo o de usuario del equipo local que se est administrando. Un nombre de grupo
local no puede estar formado exclusivamente por puntos (.) o espacios en blanco. Puede
contener hasta 256 caracteres, en maysculas o minsculas, exceptuando los
siguientes: " / \ [ ] : ; |
I 77
Como crear un Grupo

En la mayoria de los entornos corporativos, los grupos se crearan en dominios. Active
Directory incluye caracteristicas de seguridad y seguimiento que limitan la adicion de usuarios
a grupos. Active Directory tambien ofrece a las compaias flexibilidad para utilizar grupos en
servidores miembros. Las compaias a menudo tienen servidores expuestos a Internet y
desean utilizar grupos locales en servidores miembros en lugar de grupos locales de dominio
para limitar la exposicion de los grupos internos y de los miembros de grupo.
Para crear un grupo en un dominio de Active Directory:
1. En Usuarios y equipos de Active Directory, en el arbol de consola, haga clic con el
boton secundario del mouse en la carpeta a la que desea agregar el grupo,
seleccione Nuevo y, a continuacin, haga clic en Grupo.
2. En el cuadro de dilogo Nuevo objeto Grupo, en el cuadro Nombre de grupo,
escriba el nombre del nuevo grupo.
3. En ambito de grupo, haga clic en el ambito del nuevo grupo.
4. En Tipo de grupo, haga clic en el tipo del nuevo grupo.
Procedimiento para la creacion de un grupo
local en un servidor miembro
1. En Administracion de equipos, en el arbol de consola, haga clic en Grupos.
2. En el men Accion, haga clic en Grupo nuevo.
3. En el cuadro de dialogo Grupo nuevo, en el cuadro Nombre de grupo, escriba
el nombre del nuevo grupo.
4. En el cuadro Descripcion, escriba una descripcion para el grupo nuevo.
5. Para agregar uno o varios usuarios a un grupo nuevo, haga clic en Agregar.
6. Haga clic en Crear y, despues, en Cerrar.
Administrar la pertenencia a grupos

Debido a que un gran nmero de usuarios necesitan a menudo acceso a diferentes recursos
de toda la organizacion, es posible que los administradores tengan que agregar miembros a
grupos que residen en Active Directory o en equipos locales.
Si se agregan o eliminan miembros de grupos en un equipo local, el administrador puede
utilizar Administracion de equipos para cambiar la pertenencia al grupo en el equipo local.
78
La Figura describe las propiedades Miembros y Miembro de.
Definicion de Miembros
Tom, Jo, y Kim son miembros del grupo global Administradores de Denver.
y Miembro de
El grupo global Administradores de Denver es un miembro del grupo local de dominio
administradores de UO de Denver.
Sam, Scott, y Amy son miembros del grupo global Administradores de Vancouver. El grupo
global Administradores de Vancouver es un miembro del grupo local de dominio
Administradores de UO de Denver.
La siguiente tabla resume la informacion de la Figura:
Usuario o grupo
Miembros
Miembro de
Tom, Jo, y
Administrado
res
de
Denver
Tom, Jo, y Kim

Administradores
Kim de Denver
Sam, Scott, y Amy
Administradores
Amy de Vancouver
Sam, Scott, y
Administradores de UO
de Denver de Denver
Administradores
de UO de Denver
Administrado
res
de
Vancouver
Administradores
de UO de Denver
Administradores
Administradores de Vancouver
Mediante las propiedades Miembros y Miembro de, puede determinar los grupos a los que
pertenece el usuario y los grupos a los que pertenece el grupo.
I 79
Utilizacion de los grupos en un nico dominio

Que es el anidamiento de grupos?
Mediante el anidamiento, puede agregar un grupo como miembro de otro. Puede anidar
grupos para consolidar la administracion de grupos. El anidamiento aumenta las cuentas
de miembros que se ven afectadas por una nica accion y reduce el trafico provocado por
la replicacion de los cambios en la pertenencia a grupos.
Las opciones de anidamiento varan en funcion de que el nivel funcional del dominio de
Windows Server 2003 se haya establecido como nativo o mixto. En los dominios en los que se
ha establecido el nivel funcional de dominio en Windows 2000 nativo, la pertenencia a grupos
viene determinada de la siguiente manera:
1. Los grupos universales pueden tener los siguientes miembros: cuentas de
usuario, cuentas de equipo, grupos universales y grupos globales de cualquier
dominio.
2. Los grupos globales pueden tener los siguientes miembros: cuentas de usuario,
cuentas de equipo y grupos globales del mismo dominio.
3. Los grupos locales de dominio pueden tener los siguientes miembros: cuentas de
usuario, cuentas de equipo, grupos universales y grupos globales de cualquier dominio.
Pueden tener tambin como miembros grupos locales de dominio del mismo dominio.
80
Estrategias de grupo
Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para aplicar los
diferentes ambitos de grupo. La seleccion de la estrategia depende del entorno de red de la
organizacion. En un nico dominio, la practica habitual consiste en utilizar grupos globales
y locales de dominio para conceder permisos para los recursos de red. En una red con
varios dominios, puede incorporar grupos globales y universales a su estrategia.
En A G P, se colocan cuentas de usuario (A) en grupos globales (G)
y se conceden permisos (P) a los grupos globales. Esta estrategia presenta
la limitacion de complicar la administracion cuando se utilizan varios dominios. Si los grupos
globales de varios dominios necesitan los mismos permisos, debe conceder permisos a cada
uno de los grupos globales de forma individual.
Utilice A G P para bosques con un dominio, a los que no agregara nunca otros dominios, y con
muy pocos usuarios.
A G P tiene las siguientes ventajas:
1. No se anidan los grupos y, por lo tanto, la solucion de problemas puede
simplificarse.
2. Las cuentas pertenecen a un nico ambito de grupo.
A G P tiene las siguientes desventajas:
1. Cada vez que un usuario se autentica con un recurso, el servidor debe
comprobar la pertenencia al grupo global para determinar si el usuario es an
miembro del grupo.
2. Se degrada el rendimiento debido a que el grupo global no se almacena en cache.
I 81
En A DL P, se colocan cuentas de usuario (A) en grupos locales de dominio (DL) y se

conceden permisos (P) a los grupos locales de dominio. Esta estrategia presenta una
limitacion: no permite conceder permisos para recursos que se encuentran fuera del dominio.
Por lo tanto, se reduce la flexibilidad a medida que crece la red.
Utilice A DL P para un bosque que rena los siguientes requisitos:
1. El bosque solo tiene un dominio y muy pocos usuarios.
2. No se agregaran nunca otros dominios al bosque.
3. No hay servidores miembros de Windows NT en el dominio.
A DL P tiene las siguientes ventajas:
Las cuentas pertenecen solo a un nico ambito de grupo.
No se anidan los grupos y, por lo tanto, la solucion de problemas puede simplificarse.
A DL P tiene las siguientes desventajas:
Se degrada el rendimiento debido a que cada grupo local de dominio tiene varios miembros
que deben autenticarse.
En A G DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los
grupos globales en grupos locales de dominio (DL) y, a continuacion, se conceden
permisos (P) a los grupos locales de dominio. Esta estrategia ofrece flexibilidad para el
crecimiento de la red y reduce el nmero de veces que se deben definir los permisos.
Utilice A G DL P para un bosque formado por uno o varios dominios, y en el que puede que
deba agregar futuros dominios.
A G DL P tiene las siguientes ventajas:
1. Los dominios son flexibles.
2. Los propietarios de los recursos necesitan menos acceso a Active Directory para
proteger de forma flexible sus recursos.
A G DL P tiene la siguiente desventaja:
1. Una estructura de administracion por niveles es mas compleja de configurar al
principio, pero, con el tiempo, es mas facil de administrar.
En A G U DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los
grupos globales en grupos universales (U) y estos grupos universales en grupos locales de
dominio (DL), y, a continuacin, se conceden permisos (P) a los grupos locales de dominio.
Utilice A G U DL P para un bosque con ms de un dominio, en el que los administradores
necesiten una administracion centralizada para varios grupos globales.
A G U DL P tiene las siguientes ventajas:
1. Existe flexibilidad en todo el bosque.
2. Permite una administracion centralizada.
82
AG U DL P tiene la siguiente desventaja:

1. La pertenencia a grupos universales se almacena en el catalogo global.
2. Puede ser necesario agregar mas servidores de catalogo global.
Puede existir latencia de replicacion del catalogo global. La latencia, en relacion con el
catalogo global, es el tiempo necesario para replicar un cambio en cada servidor de
catalogo global del bosque.
La utilizacion de grupos universales puede suponer una desventaja solo si tienen una
pertenencia a grupos muy dinamica, con una gran cantidad de trafico de replicacion de
catalogo global mientras se modifica la pertenencia a grupos en un bosque multidominio. En A
G U DL P, esto no supone un gran problema porque la pertenencia a grupos universales es
relativamente esttica (es decir, el grupo universal tiene como miembros a grupos globales, y
no a usuarios individuales).
Utilice la estrategia A G L P para colocar cuentas de usuario en un grupo global y conceder
permisos al grupo local. Esta estrategia presenta una limitacion: no se pueden conceder
permisos para recursos que se encuentran fuera del equipo local.
Por lo tanto, coloque las cuentas de usuarios en un grupo global, agregue el grupo global
al grupo local y, a continuacion, conceda permisos al grupo local. Puede utilizar, con esta
estrategia, el mismo grupo global en varios equipos locales.
Utilice la estrategia A G L P cuando el dominio tenga las siguientes caractersticas:
1. Se ha actualizado de Windows NT 4.0 a Windows Server 2003.
2. Contiene un dominio.
3. Tiene pocos usuarios.
4. No se agregaran mas dominios.
5. Para mantener una estrategia de grupo de Windows NT 4.0.
6. Para mantener una administracion de
administracion de recursos descentralizada.
usuarios
centralizada
una
Es recomendable que utilice A G L P con Windows Server 2003, Active Directory y

servidores miembros de Windows NT 4.0.
A G L P tiene las siguientes ventajas:
Mantiene la estrategia de grupo de Windows NT 4.0.
Los propietarios de recursos poseen pertenencia a cada grupo que necesita acceso.
A G L P tiene las siguientes desventajas:
Active Directory no controla el acceso.
Debe crear grupos redundantes en todos los servidores miembros.
No permite la administracion centralizada.
I 83
Que es la modificacion del tipo Grupo

Al crear un grupo nuevo, este se configura de forma predeterminada como grupo de
seguridad con ambito global, independientemente del nivel funcional de dominio actual.
Aunque no se puede cambiar el ambito de grupo en dominios con un nivel funcional de

dominio definido en modo mixto, puede realizar los siguientes cambios de ambito en dominios
con un nivel funcional de dominio definido en modo :
De global a universal. Solo se permite realizar este cambio si el grupo que desea cambiar no
es miembro de otro grupo global.
Nota No puede cambiar un ambito de grupo de global a local de dominio directamente.
Para realizar esta accion, debe cambiar primero el ambito de grupo de global a universal y,
a continuacion, de universal a local de dominio.
De local de dominio a universal. Solo se permite realizar este cambio
si el grupo que desea cambiar no tiene otro grupo local de dominio como miembro.
De universal a global. Solo se permite realizar este cambio si el grupo que desea cambiar no
tiene otro grupo universal como miembro.
De universal a local de dominio. No existen restricciones para realizar este cambio.
Puede convertir en cualquier momento un grupo de seguridad en un grupo de distribucion y
viceversa, pero solo si el nivel funcional de dominio se encuentra definido en modo nativo o
superior. No puede convertir un grupo si el nivel funcional de dominio se encuentra definido
en modo mixto.
Puede convertir grupos de un tipo a otro en las siguientes situaciones:
De seguridad a distribucion Una compaia se divide en dos. Los usuarios se migran de un
dominio a otro, pero mantienen sus direcciones de correo electronico antiguas. Desea enviarles
mensajes de correo electronico, mediante los grupos de seguridad antiguos, pero prefiere
eliminar el contexto de seguridad del grupo.
De distribucion a seguridad Un grupo de distribucion aumenta considerablemente y los
usuarios desean utilizarlo para tareas relacionadas con la seguridad. Sin embargo, an desean
utilizar el grupo para tareas de correo electronico.
84
Por que se debe asignar un administrador a un grupo
Active Directory permite asignar un administrador a un grupo como propiedad del grupo.
Esto le permite:
1. Controlar quien es la persona responsable de los grupos.
2. Delegar en el administrador del grupo la autoridad para agregar y eliminar usuarios
del grupo.
Debido a que, en las grandes organizaciones, se suelen agregar y eliminar personas de los
grupos con bastante frecuencia, algunas organizaciones distribuyen la responsabilidad
administrativa de agregar usuarios a grupos entre las personas que solicitan el grupo.
Al documentar quien es el administrador del grupo, la informacion de contacto de esa cuenta
de usuario queda registrada. Si se necesita alguna vez migrar el grupo a otro dominio, o si
es necesario eliminarlo, el administrador de red tiene un registro que contiene informacion
sobre el propietario del grupo y su informacion de contacto. Por lo tanto, el administrador de
red puede llamar o enviar un mensaje al administrador del grupo para notificarle el cambio
que es necesario realizar en el grupo.
Para asignar un administrador a un grupo:
1.
En Usuarios y equipos de Active Directory, en el arbol de consola, haga doble clic en

el grupo que necesita un administrador.
2.
En el cuadro de dialogo Propiedades, en la ficha Administrado por, haga clic en

Cambiar para agregar o cambiar el administrador de un grupo.
3.
En el cuadro de dialogo Seleccionar Usuario o contacto, en el cuadro Escriba el

nombre de objeto que desea seleccionar, escriba el nombre del usuario que desea
que administre el grupo y haga clic en Aceptar.
4.
Seleccione la casilla de verificacion El administrador puede actualizar la lista de

suscripciones si desea que el administrador agregue o elimine usuarios o grupos.
5.
En el cuadro de dialogo Propiedades, haga clic en Aceptar.
I 85
Grupos predeterminados en servidores miembros
La carpeta Grupos esta ubicada en un servidor miembro de la consola Usuarios y grupos

locales, que muestra todos los grupos locales predeterminados integrados y demas grupos
locales que se han creado. Los grupos locales predeterminados se crean automaticamente al
instalar Windows Server 2003. Los grupos locales pueden contener cuentas de usuario
locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales.
Grupos predeterminados en Active Directory
Los grupos predeterminados son grupos de seguridad que se crean automaticamente al

instalar un dominio de Active Directory. Puede utilizar estos grupos predefinidos para
administrar los recursos compartidos y delegar determinadas funciones administrativas en
todo el dominio.
A un gran nmero de grupos predeterminados se les asigna automaticamente un conjunto
de derechos de usuario que determinan las acciones que puede realizar cada grupo y sus
miembros en el ambito de un dominio o bosque. Los derechos de usuario autorizan a los
miembros de un grupo a realizar acciones especificas, como iniciar una sesion en un sistema
local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del
86
grupo Operadores de copia tiene derecho a realizar copias de seguridad de todos los
controladores de dominio del dominio.
Algunos grupos predeterminados estan disponibles en los contenedores Users (Usuarios) y
Builtin (Integrado) de Active Directory. El contenedor Builtin contiene grupos locales de
dominio. El contenedor Users contiene grupos globales y grupos locales de dominio. Puede
mover grupos de los contenedores Users y Builtin a otro grupo o a carpetas de una unidad
organizativa del dominio, pero no puede moverlos a otros dominios.
La siguiente tabla describe cada grupo predeterminado del contenedor Builtin que se ha
agregado a los grupos predeterminados de un servidor miembro o independiente al instalar
Active Directory.
Operadores de cuentas
Los miembros pueden crear, modificar y eliminar cuentas de usuarios, grupos y
equipos ubicadas en los contenedores Users o Computers y las unidades organizativas
del dominio, excepto la unidad organizativa Domain Controllers.
Los miembros no tienen permiso para modificar los grupos Administradores o
Administradores del dominio o las cuentas de los miembros de esos grupos.
Los miembros pueden iniciar una sesion de forma local en los controladores de
dominio del dominio y tambien apagarlos.
Agregue usuarios con precaucion, ya que este grupo tiene bastante poder en el
dominio.
Creadores de confianza de bosque de entrada dominio raiz del bosque
Los miembros pueden crear confianzas de bosque entrada unidireccionales en el
dominio raiz del bosque , Este grupo no tiene miembros predeterminados.
Acceso compatible con versiones anteriores de Windows 2000
Los miembros tienen acceso de lectura en todos los usuarios y grupos del dominio.
Se proporciona este grupo para obtener compatibilidad con versiones anteriores en los
equipos que ejecutan Windows NT 4.0 o una version anterior. Agregue usuarios a este
grupo solo si se esta utilizando el Servicio de acceso remoto (RAS, Remote Access
Ser vice) en un equipo con Windows NT 4.0 o una version anterior.
Operadores de servidores
Los miembros pueden iniciar una sesion de forma interactiva, crear y eliminar
recursos compartidos, iniciar y detener algunos servicios, hacer copias de seguridad
de archivos y restaurarlos, formatear el disco duro y apagar el equipo. Este grupo
no tiene miembros predeterminados. Agregue usuarios con precaucin, ya que este
grupo tiene mucho poder en los controladores de dominio.
I 87
Grupos Predeterminados
Los grupos predeterminados le ayudan a controlar el acceso a los recursos compartidos y a

delegar determinadas funciones administrativas en todo el dominio. A un gran nmero de
grupos predeterminados se les asigna automaticamente un conjunto de derechos de usuario
que autorizan a sus miembros a realizar acciones especificas en un dominio, como iniciar una
sesion en un sistema local o realizar copias de seguridad de archivos y carpetas.
Al agregar un usuario a un grupo, el usuario recibe todos los derechos de usuario y permisos
asignados al grupo para todos los recursos compartidos.
Como practica de seguridad recomendada, es conveniente que los miembros de grupos
predeterminados con un acceso administrativo amplio utilicen Ejecutar como para
realizar tareas administrativas.
Consideraciones de seguridad para los grupos predeterminados

Coloque un usuario en un grupo predeterminado solo cuando este seguro de que
desea ofrecer al usuario:
Todos los derechos de usuario asignados a ese grupo en Active Directory.
Todos los permisos asignados a ese grupo para todos los recursos
compartidos asociados a ese grupo predeterminado.
De lo contrario, cree un nuevo grupo de seguridad y asignele solo aquellos derechos de

usuario y permisos que necesite el usuario.
Como practica de seguridad recomendada, los miembros de grupos predeterminados que
tengan un acceso administrativo amplio no deberan realizar un inicio de sesion interactivo
con credenciales administrativas. En lugar de ello, los usuarios con ese nivel de acceso
deberan utilizar Ejecutar como.
88
Grupos del sistema
No puede cambiar la pertenencia a grupos del sistema. El sistema operativo es el encargado

de crearlos y no se pueden cambiar o administrar. Es importante que conozca los grupos del
sistema porque puede utilizarlos para fines de seguridad.
Los servidores con Windows Server 2003 incluyen algunas identidades especiales, ademas
de los grupos de los contenedores Users y Builtin. Normalmente, por comodidad, estas
identidades reciben el nombre de grupos del sistema.
Los grupos del sistema representan a diferentes usuarios en distintas ocasiones, en funcion
de las circunstancias. Aunque se pueden conceder derechos y permisos de usuario a los
grupos del sistema, no se pueden modificar o ver sus miembros.
Los ambitos de grupo no se aplican a los grupos del sistema. Los usuarios se asignan
automaticamente a los grupos del sistema cada vez que inician una sesion o tienen acceso a
un determinado recurso.
I 89
CAPTULO 05
Administracion de Disco en Windows 2003
S
Introduccin
Administracion de discos, un complemento de Microsoft Management Console (MMC), es
una utilidad del sistema que consolida todas las tareas de administracion de discos para
la administracion tanto local como remota de Windows Server 2003. Al ser un
complemento de MMC, Administracion de discos utiliza la interfaz, la estructura de
mens y los mens contextuales que suelen utilizar todos los productos de Microsoft.
Puede lograr acceso a Administracion de discos en la consola de Administracion de
equipos, o puede crear una consola independiente para ello.
Puede utilizar Administracion de discos para configurar y administrar el espacio
de almacenamiento y para realizar todas las tareas de administracion de discos.
Tambien puede utilizar esta herramienta para convertir el tipo de almacenamiento de los
discos, crear y extender volmenes, y realizar otras tareas de administracion de discos,
como la administracion de rutas y letras de unidad, y el mantenimiento de Windows
Server 2003.
Si crea una consola independiente y agrega el complemento Administracion de
discos, puede establecer el foco del complemento en el equipo local o en otro equipo para
administrar de forma remota ese equipo. Como miembro de los grupos Administradores u
Operadores de servidor, puede administrar discos en equipos con Windows Server 2003 y
que sean miembros del dominio, o de un dominio en el que se confa, desde cualquier otro
equipo de la red con Windows Server 2003.
Por ejemplo, puede crear una consola, agregarle varios complementos Administracion de
discos y establecer el foco de cada uno de ellos en un equipo remoto diferente. A partir de
ese momento, puede administrar el almacenamiento en disco de todos los equipos desde
una sola consola.
90
Que es la herramienta DiskPart

Con la herramienta de la linea de comandos DiskPart puede realizar muchas tareas de
administracion de discos desde la linea de comandos. Utilice DiskPart para realizar tareas
relacionadas con los discos desde la lnea de comandos como alternativa a
Administracion de discos.
DiskPart es un interprete de comandos en modo texto que permite administrar
objetos, como discos, particiones y volmenes, a traves de secuencias de comandos o
de entrada directa desde un smbolo del sistema. Los administradores suelen escribir
secuencias de comandos para realizar las tareas repetitivas.
Para poder utilizar un comando DiskPart, antes debe mostrar y seleccionar el
objeto que se desea administrar para asignarle el foco. Si un objeto tiene el foco,
todos los comandos de DiskPart que escriba actuaran sobre el.
Con los comandos list disk, list volume y list partition puede mostrar los objetos
disponibles y determinar el nmero o la letra de unidad de un objeto. Los comandos
list disk y list volume muestran todos los discos y volmenes del equipo, mientras
que el comando list partition muestra solamente las particiones del disco que tienen
foco. Si utiliza los comandos list, aparece un asterisco (*) junto al objeto que tiene el
foco.
Para seleccionar un objeto utilice su nmero o letra de unidad, como disco 0, particion 1,
volumen 3 o volumen C. Si selecciona un objeto, el foco permanecer en l hasta que
seleccione otro. Por ejemplo, si se establece el foco en el disco 0 y selecciona el volumen
8 del disco 2, el foco cambia del disco 0 al disco 2, volumen 8.
I 91
Que es una particion?
La realizacion de particiones en un disco es una forma de dividir un disco fisico en

secciones, con el fin de que cada seccion, o particion, funcione como una unidad
independiente. Puede utilizar particiones para dividir la unidad de disco duro en varias
letras de unidad, con el fin de facilitar la organizacion de los archivos de datos. A cada
particion se le asigna una letra de unidad diferente, como C o D. Despues de crear una
particion, hay que formatearla con un sistema de archivos para poder almacenar datos
en ella.
Un administrador que desee que las aplicaciones esten separadas de los archivos de
sistema puede utilizar las particiones para configurar una letra de unidad para los archivos
de aplicacion y otra para los archivos del sistema.
Cuando se adjunta un disco nuevo al equipo, primero debe inicializarlo para poder crear
particiones. Al iniciar Administracion de discos por primera vez despues de instalar un
disco nuevo, aparece un asistente que proporciona una lista de los discos nuevos
detectados por el sistema operativo. Tras finalizar el asistente, el sistema operativo inicia
el disco escribiendo una firma de disco, el marcador del final del sector (tambien
denominado palabra de firma) y un registro principal de inicio (Master Boot Record,
MBR). Si cancela el asistente antes de que se escriba la firma de disco, el estado del disco
permanecer como No inicializado.
Particiones primarias
Las particiones primarias se crean en los discos basicos. Un disco basico puede tener un
maximo de cuatro particiones primarias o tres particiones primarias y una extendida.
Las particiones primarias no se pueden subdividir. Las particiones extendidas pueden
dividirse en unidades logicas.
Unidades logicas
Las unidades logicas son similares a las particiones primarias; sin embargo, puede crear
hasta 23 unidades logicas por disco, si el sistema esta equipado con una unidad nica,
pero esta limitado a cuatro particiones primarias por disco. Puede formatear las
unidades logicas y asignarles una letra de unidad.
92
Particiones extendidas
Las particiones extendidas solo se pueden crear en los discos basicos.
A diferencia de las primarias, a las particiones extendidas no se les formatea con ningn
sistema de archivos. En su lugar, en la particion extendida se crean una o varias
unidades logicas y, a continuacion, se les formatea con un sistema de archivos.
Formatear discos
Antes de utilizar un disco, tiene que formatearlo. Al formatear un disco se configura la
particion con una tabla de asignacion de archivos. El formateado prepara el disco para la
lectura y la escritura. Si formatea un disco, el sistema operativo borra las tablas de
asignacion de archivos que tenga, lo prueba para comprobar que los sectores son
fiables, marca los sectores defectuosos y crea tablas internas de direcciones, que utiliza
posteriormente para encontrar la informacion.
Eliminar particiones
La eliminacion de una particion destruye todos los datos que contiene.
A continuacion, la particion se restaura en un espacio sin asignar. Para eliminar una
particion extendida, antes hay que eliminar del disco todas sus unidades logicas.
Asignar letras de unidad

Windows Server 2003 permite la asignacion estatica de letras de unidad a particiones,
volmenes y unidades de CD-ROM. Esto significa que se asigna una letra de unidad a
cada particion, volumen o unidad de CD-ROM especifica. A menudo, es til asignar
letras de unidad a los dispositivos extraibles, de forma que estos dispositivos aparezcan
detras de las particiones y volmenes permanentes del equipo.
Administrar letras de A a la Z
Puede utilizar hasta un maximo de 24 letras de unidad, desde C hasta Z. Las
letras de unidad A y B estan reservadas para las unidades de disquete. Sin embargo, si
solo se dispone de una unidad de disquete, puede utilizar la letra B para una unidad de
red. Si agrega un disco duro nuevo al sistema del equipo, no afectara a las letras de
unidad ya asignadas.
Preparar los discos

Para realizar particiones en un disco puede utilizar Administracion de discos o DiskPart.
Puede utilizar Administracion de discos no solo para realizar particiones en el disco, sino
tambien para formatear y asignar letras de unidad al mismo tiempo. Para realizar
particiones en un disco, antes debe eliminar las que tiene. Para hacerlo, puede utilizar
DiskPart o Administracion de discos.
I 93
Para realizar particiones en un disco con Administracion de discos:

1. En Administracion de equipos, abra Administracion de discos.
2. Haga clic con el boton secundario del mouse en una zona sin asignar de un
disco basico y haga clic en Particion nueva o haga clic con el boton secundario
del mouse en el espacio disponible de una particion extendida y, seguidamente,
haga clic en Unidad logica nueva.
3. En el Asistente para particion nueva, haga clic en Siguiente.
4. En la pagina Seleccionar el tipo de particion, haga clic en Particion primaria
y despues en Siguiente.
5. En la pagina Especificar el tamao de la particion, escriba nnn (donde nnn es
el tamao en megabytes) y haga clic en Siguiente.
6. En la pagina Asignar letra de unidad o ruta de acceso, seleccione la letra de
unidad y haga clic en Siguiente.
7. En la pagina Formatear la particion:
8. Seleccione el sistema de archivos y el tamao de la unidad de asignacion
apropiados.
Escriba la etiqueta del volumen apropiada.
Seleccione o deseleccione las casillas de verificacion Dar formato rapido
y Habilitar compresion de archivos y carpetas.
Haga clic en Siguiente y, a continuacion, en Finalizar.
Para formatear un disco con Administracion de discos:
2. Haga clic con el boton secundario del mouse en la particion, unidad logica o volumen
basico al que desee formatear o volver a formatear, y haga clic en Formatear.
3. Seleccione las opciones que desee en:
Etiqueta del volumen: asigne un nombre al disco.
Sistema de archivos: seleccione NTFS o FAT32.
Tamao de la unidad de asignacion: seleccione el tamao asignado del disco que
desea formatear.
4. Si esta seguro que el disco no tiene datos, active la casilla de verificacion Dar
formato rapido.
5. Para comprimir los archivos y carpetas del disco, solo en volmenes NTFS, active
Habilitar compresion de archivos y carpetas.
Para eliminar una particion con Administracion de discos:

2. Haga clic con el boton secundario del mouse en la particion que desea eliminar y haga
clic en Eliminar particion.
94
Sistemas de archivos FAT, FAT32 y NTFS

Windows Server 2003 es compatible con tres sistemas principales de archivos: FAT (tabla
de asignacion de archivos), FAT32 y NTFS. Esta tabla describe las caractersticas y
usos principales de cada uno de ellos.
La siguiente tabla resume las caractersticas principales de los tres sistemas de
archivos.
FAT
FAT32
Tamao de
4 gigabytes (GB) 32 GB
particion max.
Tamao
dede 16 kilobytes
(KB) a 64 KB
NTFS
2 terabytes
Solamente 4 KB Solamente
Seguridad
Atributos de
archivo
Atributos de
archivo
Archivo,
cifrado
Compresion
Ninguna
Ninguna
Archivos,
y unidades
Convertir sistemas de archivos

Como administrador de sistemas se le pide que convierta un volumen de FAT32 a NTFS.
Para llevar a cabo esta tarea, hay que realizar los pasos siguientes.
Para convertir un volumen FAT o FAT32 en NTFS:
En el simbolo del sistema, escriba convert d: /fs:ntfs (donde d: es la letra de la unidad
de disco).
Al preparar un disco para realizar particiones, se recomienda hacer una copia de seguridad
de los datos y formatear los volmenes con el sistema de archivos NTFS.
Dado que la eliminacion o creacion de particiones o volmenes destruye todos los datos
existentes, hay que asegurarse de realizar previamente una copia de seguridad de los
contenidos del disco. Al igual que si se realiza algn cambio importante en los
contenidos del disco, se recomienda hacer una copia de seguridad de todos los
contenidos del disco duro antes de trabajar con las particiones o volmenes, aunque no
se tenga intencion de realizar ningn cambio en ellos. Muchas de las caractersticas de la
familia de sistemas operativos de Windows Server 2003, como los permisos de archivos
y carpetas, el cifrado, la compatibilidad con volmenes de gran tamao y la
administracion de archivos dispersos, requieren el formato del sistema de archivos NTFS.
Este preparado formateando volmenes con el sistema de archivos NTFS.
I 95
Propiedades de los discos
Para ver las propiedades del disco, las cuales nos ofrecen informacion sobre el disco fsico
y los volmenes que contiene, puede utilizar Administracion de discos o DiskPart.
Utilice la informacion de las propiedades del disco cuando sustituya un disco duro o para
comprobar si un disco especifico esta instalado en un servidor.
Las propiedades de los discos ofrecen la informacion mas reciente acerca del disco. Para
tener acceso a esta informacion, se utiliza DiskPart o Administracion de discos para
abrir el cuadro de dialogo Propiedades del disco. Las fichas siguientes del cuadro de
dialogo Propiedades muestran las propiedades de disco:
General. Indica el nmero y la ubicacion del disco.
Volmenes. Indica el nmero del disco, su tipo, estado, estilo de particin,
capacidad, espacio sin asignar y su espacio reservado.
Ademas de la informacion de Administracion de discos, DiskPart ofrece el Id. de disco y el
tipo de disco, como IDE (integrated device electronics, electronicas de dispositivos
integradas), ATA (Advanced Technology Attachment, Tecnologa Avanzada de
Conexion) o SCSI (small computer system interface, interfaz estndar de equipos
pequeos).
Por ejemplo, para solicitar la sustitucion de un disco duro con errores, el administrador
de sistemas debe conocer el modelo, el tipo y la capacidad del disco original. Tras instalar
el disco nuevo, el administrador lo configura con el nmero de disco, las particiones, el
espacio sin asignar y el tipo de volumen.
Tras mover discos duros entre equipos, debe reexaminar los discos. Cuando
Administracion de discos reexamina las propiedades de los discos, examina si hay
cambios en la configuracion de todos los discos conectados. Tambien actualiza la
informacion acerca de los medios extraibles, de las unidades de CD-ROM, de los
volmenes basicos, de los sistemas de archivos y de las letras de unidad.
96
Ver las propiedades de los discos

Antes de reemplazar un disco duro, es importante conocer el fabricante, el nmero de
modelo y el tipo y capacidad de la unidad, con el fin de poder buscar otro exacto o
comparable. Tras instalar el disco nuevo hay que conocer el nmero de disco, el tipo de
volumen, el estilo de particion y el nmero de particiones o volmenes, con el fin de
poder restaurar el entorno del disco anterior.
Para ver las propiedades de un disco con Administracion de discos:
2. En la vista grafica o en la lista de discos, haga clic con el boton secundario del mouse
en un disco y, a continuacin, haga clic en Propiedades.
3. Haga clic en la ficha General y grabe el nmero de modelo.
4. Haga clic en la ficha Volmenes y grabe los valores siguientes:
Disco
Tipo
Estado
Estilo de particion
Capacidad
Administrar unidades montadas

Las unidades montadas facilitan la administracion y organizacion de los datos del servidor.
Por ejemplo, para asignar un nombre mas intuitivo a una unidad, se puede utilizar una
unidad montada para agregar una descripcion del disco de una particion existente. Las
unidades montadas se utilizan cuando hay dos unidades de datos relacionados que
pertenecen logicamente a una unidad. Ademas, las unidades montadas facilitan la
administracion del nmero limitado de letras de unidad con las que hay que trabajar en
un disco duro.
I 97
Una unidad montada es una unidad de almacenamiento independiente que se

administra a traves de un sistema de archivos NTFS. Con Administracion de discos
puede montar una unidad local en una carpeta vacia de un volumen NTFS local, en lugar
de en una letra de unidad. Este metodo se asemeja a la creacion de un acceso directo
que seala a una particion de disco o a un volumen.
Montar una unidad en una carpeta permite utilizar un nombre intuitivo para la carpeta,
como Datos de programa. Los usuarios pueden guardar sus documentos en la carpeta
Datos de programa, en lugar de guardarlos en una letra de unidad.
Al montar una unidad local en una carpeta vacia de un volumen NTFS, Administracion de
discos asigna a la unidad una ruta de acceso, en lugar de una letra. Las unidades
montadas no estan sujetas al limite de 24 unidades que imponen las letras de unidad,
por lo que es posible utilizar unidades montadas para tener acceso a mas de 26
unidades en el equipo. Windows Server 2003 garantiza que las rutas de acceso de las
unidades conservan su asociacion con la unidad, por lo que se pueden agregar o
reorganizar dispositivos de almacenamiento sin que se produzca ningn error en la ruta
de acceso de la unidad.
Con las unidades montadas puede unificar, en un solo sistema de archivos
logico, sistemas de archivos dispares como NTFS 5.0, un sistema de archivos FAT de 16
bits,
Ni los usuarios ni las aplicaciones necesitan informacion acerca del volumen en que se
encuentra un archivo especifico. Una ruta de acceso completa les proporciona toda la
informacion que necesitan para encontrar un archivo determinado. Puede reorganizar
volmenes, sustituir volmenes o subdividir un volumen en muchos volmenes sin que
sea necesario que los usuarios o las aplicaciones cambien la configuracion.
Las unidades montadas en NTFS son una forma comoda de agregar volmenes a un
equipo cuando no quedan letras de unidad disponibles. Tambien permiten agregar
espacio a un volumen montando otros discos como carpetas del volumen, en lugar de
volver a crear el volumen en un disco mayor.
Puede agregar volmenes nuevos al sistema sin tener que agregar letras de unidad
distintas para cada volumen. De esta forma resulta mas sencillo administrar las
letras de unidad.
98
Puede crear varias unidades montadas por volumen Por ejemplo, puede montar una
unidad en la carpeta C:\Archivos de programa. La unidad nueva se monta logicamente
bajo C:\, pero no necesita su propia letra de unidad.
Las unidades montadas facilitan la administracion del almacenamiento de datos que se
basa en el entorno de trabajo y en el uso del sistema. Por ejemplo, si queda poco
espacio en la unidad C, puede mover la carpeta Mis documentos a una unidad mayor y
montarla como C:\Mis documentos.
Aunque elimine una unidad montada, todos los archivos y carpetas permanecen en la
unidad que se monta. Por ejemplo, si monta la unidad F como C:\Temp, despues de
eliminarla, los archivos y carpetas que copia a C:\Temp siguen estando disponibles en la
unidad F.
Puede utilizar una unidad montada como puerta de enlace con un volumen.
Si crea un volumen como unidad montada, los usuarios y aplicaciones pueden hacer
referencia a la unidad montada a traves de la ruta de acceso de la unidad, como
C:\mnt\Ddrive, o a traves de una letra de unidad, como Por ejemplo, un servidor de
aplicaciones tiene una unidad C que esta a punto de quedarse sin espacio libre, una
unidad D que almacena datos y una unidad E que esta vaca. La aplicacion utiliza muy
a menudo la carpeta C:\Temp. Se puede montar la unidad E en C:\Temp para dejar
mas espacio para archivos temporales.
Administrar unidades montadas

Utilice unidades montadas para administrar mas eficientemente los recursos del
servidor.
Para crear una unidad montada con Administracion de discos:
En Administracion de equipos, abra Administracion de discos.
1.
Haga clic con el boton secundario del mouse en el volumen que desea montar y,
seguidamente, haga clic en Cambiar la letra y rutas de acceso de unidad.
2.
Haga clic en Agregar, elija Montar en la siguiente carpeta NTFS vacia y
escriba la ruta de acceso a una carpeta vaca de un volumen NTFS o haga clic en
Examinar para buscarla.
Para eliminar una unidad montada con Administracion de discos:
1.
2.
Haga clic con el boton secundario del mouse en el volumen que desea eliminar
y, seguidamente, haga clic en Cambiar la letra y rutas de acceso de unidad.
3.
Para eliminar un volumen, haga clic en l y, a continuacion, en Quitar.
I 99
Discos Basicos frente a Discos Dinamicos
Los discos basicos son el tipo de discos predeterminados de Windows Server 2003 y
ofrecen caracteristicas limitadas para la configuracion de los discos.
Los discos dinamicos proporcionan mas flexibilidad que los basicos para configurar
discos duros. Por ejemplo, la tolerancia a errores solo se puede implementar en los
discos dinamicos.
La ventaja de los discos basicos es que proporcionan un espacio separado que
se puede utilizar para organizar los datos. Un disco basico se puede dividir en cuatro
particiones primarias o en tres particiones primarias y una extendida, que contiene una o
varias unidades logicas.
Las ventajas de los discos dinamicos son:
Los discos dinamicos se pueden utilizar para crear volmenes que

abarquen varios discos.
No hay limite en el nmero de volmenes por disco que se pueden

configurar en un disco dinamico.
Los discos dinamicos se utilizan para crear discos de tolerancia a errores

que garanticen la integridad de los datos si se producen errores de
hardware.
Los discos basicos se convierten en discos dinamicos para:

Crear y eliminar volmenes simples, distribuidos, seccionados,
reflejados y RAID (Redundant Array of Inexpensive Disks)-5.
Extender volmenes simples o distribuidos.
Reparar volmenes reflejados o RAID-5.
Reactivar volmenes que abarcan ms de un disco.
100
Resultados de la conversion de discos dinamicos
Puede convertir un disco de almacenamiento basico en dinamico en cualquier momento

sin que se pierdan datos. Al convertir un disco basico en dinamico, las particiones del
disco basico se transforman en volmenes.
Los discos dinamicos se asocian con grupos de discos. Un grupo de discos es un conjunto
de discos que se administran conjuntamente. Los grupos de discos facilitan la organizacion
de discos dinamicos. Cada uno de los discos del grupo almacena copias de los mismos
datos de configuracion. Estos datos se almacenan en la zona de 1 megabyte (MB) que hay
al final de cada disco dinamico.
Durante la conversion Windows inicializa el disco con la identidad de un grupo
de discos y con una copia de la configuracion activa del grupo de discos. Windows tambien
agrega volmenes dinamicos a la configuracion, que representa las particiones anteriores y
las estructuras con tolerancia a errores del disco. Si no hay discos dinamicos o en linea ya
existentes, debe crear un grupo de discos nuevo. Sin embargo, si los hay, debe agregar el
disco convertido al grupo de discos existente.
Puede revertir discos dinamicos a discos basicos, pero pierden todos sus datos. Para
revertir un disco dinamico a un disco basico, debe eliminar los datos y volmenes del
disco dinamico, y volver a crear una particion basica del nuevo espacio sin asignar.
Convertir discos
La mayoria de las organizaciones utilizan discos dinamicos en sus servidores porque
proporcionan tolerancia a errores y porque el espacio de almacenamiento puede
extenderse si es necesario. El tipo de disco predeterminado es el basico, por lo que para
poder utilizar un disco dinamico hay que convertir un disco basico en dinamico.
I 101
Para convertir un disco basico en dinamico con Administracion de discos:

2. Haga clic con el boton secundario del mouse en el disco que desea convertir, haga clic
en Convertir en disco dinamico y siga las instrucciones.
Para revertir un disco dinamico a basico con Administracion de discos:
1. Haga copias de seguridad de todos los volmenes del disco dinamico que desea
convertir en basico.
2.
3. Haga clic con el botn secundario del mouse en los volmenes del disco dinmico que
desea revertir a disco bsico y despus haga clic en la opcion Eliminar volumen de todos
los volmenes del disco.
4. Cuando haya eliminado todos los volmenes del disco, haga clic con el botn
secundario del mouse en el disco y, a continuacin, en Convertir en disco basico.
5.
Vuelva a crear las particiones y restaure los datos al disco basico.
Que es un volumen simple
Un volumen simple es un solo volumen que reside en un disco dinamico. Los volmenes
simples se pueden crear desde el espacio sin asignar de los discos dinamicos. Un volumen
simple es similar a una particion, excepto en que no tiene los limites de tamao de esta, ni
hay ninguna restriccion en el nmero de volmenes que se pueden crear en un solo disco.
Formatos de archivo de Los volmenes simples utilizan los formatos de los sistemas de
archivos NTFS, los volmenes simples FAT o FAT32. Sin embargo, los volmenes
simples solo se pueden extender si tienen el formato de la version de NTFS que se utiliza en
Windows 2000 o en la familia de sistemas operativos Windows Server 2003. Ademas,
incluso despues de crear un volumen simple es posible agregarle espacio o extenderlo.
Puede utilizar los volmenes simples para todo el almacenamiento de datos hasta que se
necesite mas espacio en los discos. Para lograr mas espacio se puede crear un volumen
extendido, distribuido o seccionado. No obstante, para cualquier tipo de volumen, que no
sea simple, se necesita mas de un disco.
102
Volumen Simple
Si tiene intencion de ampliar el volumen en el futuro, cree un solo volumen en un disco
dinamico
Para crear un volumen simple con Administracio de discos:
2. Haga clic con el boton secundario del mouse en el espacio sin asignar del disco dinamico
en el que desea crear el volumen simple y despues haga clic en Nuevo volumen.
3. En el Asistente para volumen nuevo, haga clic en Simple y siga las instrucciones.
Para crear un volumen simple con DiskPart:
1. Abra Smbolo del sistema y escriba diskpart.
2.
En el smbolo del sistema de DISKPART, escriba list disk. Anote el nmero del
disco en el que desea crear un volumen simple.

3.
En el smbolo del sistema de DISKPART, escriba create volume simple size=n
disk=n (donde size=n es el tamao del disco en megabytes y disk=n es el nmero del
disco).
Volumen Extendido
Para aumentar el tamao de un volumen simple existente, extiendalo al espacio sin asignar del
mismo disco o de otro. Para extender un volumen simple, este no debe tener formato o tener el
formato de la versionde NTFS que se utiliza en Windows 2000 o en la familia de sistemas
operativos Windows Server 2003.
Para poder utilizar espacio adicional sin necesidad de volver a configurar los
discos duros, puede agregar espacio a los volmenes existentes en el disco duro. Las
excepciones son los volmenes que contienen alguna particion del sistema, la particion de
inicio o un archivo de paginacion activo.
Una organizacion ha aumentado el nmero de productos que vende y necesita
Mas espacio dedisco duro en la unidad D para almacenar sus nuevos folletos. En la
actualidad, el espacio de disco que se utiliza para dichos folletos es de
2 GB. El director de Marketing prevee que la unidad D se quedara sin espacio en seis meses.
Un examen de la unidad D del servidor revela que puede extenderse e incluir hasta 6 GB de
espacio sin asignar.
I 103
Volumen Distribuido
Un volumen distribuido es un volumen simple que permite crear un solo volumen logico en
funcion del espacio sin asignar que este disponible en los restantes discos dinamicos del
equipo. Con los volmenes distribuidos puede utilizar mas eficientemente el espacio de
almacenamiento. Una vez que se extiende un volumen, para eliminar una parte del mismo
hay que eliminar todo el volumen distribuido.
Los volmenes distribuidos solo pueden crearse con el sistema de archivos NTFS. Estos
volmenes no ofrecen tolerancia a errores. Si falla alguno de los discos que contiene un
volumen distribuido, falla todo el volumen y se pierden todos los datos.
Puede utilizar volmenes distribuidos para aumentar el tamao de almacenamiento cuando
hay que crear un volumen pero no se dispone de suficiente espacio sin asignar para el disco
en un solo disco. Mediante la combinacion de secciones de espacio sin asignar de varios discos,
puede crear un volumen distribuido.
Una organizacion contrata a cien becarios en practicas todos los veranos. Estos becarios
cuentan con un viejo servidor, que es el que utilizan para su trabajo. Los becarios calculan que
el proximo mes van a necesitar 10 GB de espacio de almacenamiento en su unidad D. En la
organizacion desean agregar el espacio de almacenamiento a la unidad asignada a los
becarios, pero sta solo tiene 240 MB de espacio sin utilizar. No obstante, se averigua que el
servidor de los becarios tiene 15 GB de espacio sin asignar en la unidad E. Puede distribuir la
unidad D para que incluya 10 GB de espacio de almacenamiento de la unidad E.
104
Extender un volumen simple o distribuido

Puede aumentar la capacidad de almacenamiento de un volumen simple extendiendolo a
unvolumen existente que tenga espacio sin asignar o creando un volumen distribuido.
Para extender un volumen simple o distribuido con Administracion de discos:
2. Haga clic con el botn secundario del mouse en el volumen simple o distribuido que desea
extender, haga clic en Extender volumen y siga las instrucciones que aparecern en
pantalla.
Para extender un volumen simple con DiskPart: Extender un volumen
2. En el smbolo del sistema de DISKPART, escriba list volume. Tome nota del
nmero del volumen bsico que desea extender.
3. En el smbolo del sistema de DISKPART, escriba select volume n (donde n es el volumen
bsico que desea extender en el espacio vaco contiguo del mismo disco).
4. En el smbolo del sistema de DISKPART, escriba extend size=o (donde o es el tamao
de la particin extendida en megabytes).
volumen seccionado
Los volmenes seccionados almacenan datos en dos o mas discos fisicos, para lo que se
combinan areas de espacio libre en un volumen logico de un disco dinamico. Los volmenes
seccionados, tambien conocidos como RAID 0, contienen datos que se esparcen por varios
discos dinamicos de unidades independientes. Los volmenes distribuidos no se pueden
seccionar.
Los datos que se escriben en el conjunto de bandas se dividen en bloques, que se llaman
secciones. Estas secciones se escriben simultaneamente en todas las unidades del conjunto
de bandas. La ventaja principal de la creacion de bandas es la velocidad. Para tener acceso a
I 105
datos de varios discos, se utilizan varios cabezales de unidad, lo que mejora el rendimiento
considerablemente.
Los volmenes seccionados ofrecen el mejor rendimiento de todas las
estrategias de discos, ya que los datos que se escriben en un volumen seccionado se
escriben simultaneamente en todos los discos al mismo tiempo, en lugar de
secuencialmente. En consecuencia, el rendimiento del disco es mayor en un volumen
seccionado que en cualquier otro tipo de configuracion de disco.
Los volmenes seccionados se utilizan cuando se:
Lee de bases de datos grandes o se escribe en ellas.
Cargan imagenes de programas, bibliotecas de vnculos dinamicos (DLL) o

bibliotecas en tiempo de ejecucion.
Desea ofrecer el mejor rendimiento para archivos que se utilizan muy

frecuentemente, por ejemplo, archivos de paginacion.
Ejemplo de volmenes Los volmenes seccionados se utilizan para archivos de paginacin, ya

que ofrecen el mejor rendimiento posible para archivos que se utilizan con
mucha frecuencia.
C rear volmenes seccionados

Una forma de administrar los discos es utilizar volmenes dinamicos. Por ejemplo, para
proporcionar el mejor rendimiento para tener acceso a bases de datos grandes, hay que
configurar un disco dinamico como un volumen seccionado.
Para crear un volumen seccionado con Administracion de discos:
2. Haga clic con el boton secundario del mouse en el espacio sin asignar del
disco dinamico en el que desea crear el volumen seccionado y despues haga clic en Nuevo
volumen.
3. En el Asistente para volumen nuevo, haga clic en Seccionado y siga las instrucciones
que aparecern en pantalla.
Para crear un volumen seccionado con DiskPart:
2. En el smbolo del sistema de DISKPART, escriba list disk.
Anote el nmero del disco en el que desea crear un volumen seccionado.
3. En el smbolo del sistema de DISKPART, escriba create volume strip size=n disk=n
(donde size=n es el tamao del disco en megabytes y disk=n son los nmeros de los discos
que se van a seccionar).
106
Que es un Disco Externo
Si mueve un disco dinamico de un equipo a otro, Windows Server 2003 lo considera

automaticamente un disco externo. Si Administracion de discos indica que el estado de
un disco nuevo es externo, para tener acceso a sus volmenes debe importarlo.
Es posible mover discos dinamicos a Windows Server 2003 desde cualquier equipo con
Windows 2000, Windows XP Professional o Windows XP Edicion de 64 bits, o desde otro
servidor con Windows Server 2003.
Si mueve al mismo tiempo todos los discos que contienen partes de un volumen de un equipo a
otro, el volumen y sus datos seran identicos al estado original despues de la importacion.
Todos los volmenes simples de los discos movidos vuelven a su estado original si se han
reexaminado los discos.
En los volmenes no redundantes que abarcan varios discos, si mueve solamente algunos
discos de un sistema a otro, el volumen se deshabilita durante la importacion. El volumen
tambien se deshabilita en el sistema original. Siempre que no elimine el volumen ni en el
sistema original ni en el de destino, los restantes discos se pueden mover posteriormente. Una
vez que se han movido todos los discos, el volumen vuelve a su estado original.
Si un disco falla durante un desplazamiento dentro del mismo sistema, puede parecer que es
externo. Los datos de configuracion de los discos dinamicos se almacenan en todos los discos
dinmicos, por lo que la informacion acerca de cuales son los discos que posee el sistema se
pierde al fallar todos los discos dinamicos. Por ejemplo, dado que los volmenes pueden estar
distribuidos en varios discos utilizando mecanismos simples de redundancia de distribucion y
seccion de discos, el estado de visualizacion de un volumen en el cuadro de dialogo Importar
discos externos puede llegar a ser muy complicado si no se han movido todos los discos.
Tambien pueden surgir complicaciones si se mueve un disco y posteriormente se mueven mas
discos. Por ejemplo, si mueve un espejo activo de un sistema a otro y, a continuacion, se
mueve un espejo mas, uno de los dos espejos parece estar actualizado en un sistema,
mientras que el otro parece estar actualizado en el otro sistema. Si se unen dos espejos en el
mismo sistema, ambos aparecen como actualizados, pero tienen contenidos diferentes. este
es el motivo por el que se recomienda mover simultaneamente todos los volmenes con
tolerancia a fallos y sin tolerancia a fallos que esten distribuidos en varios discos.
I 107
Compresion de Archivos
Windows admite dos tipos de compresion: Compresion de archivos NTFS y Carpeta

comprimida (en zip). Para ambos tipos de compresion se utiliza el Explorador de
Windows.
La compresion se utiliza cuando se necesita mas espacio en el disco duro. La
compresion reduce el tamao de archivos, carpetas y programas y, por
consiguiente, la cantidad de espacio que utilizan en las unidades y en los
dispositivos de almacenamiento extraibles. Tambien pueden comprimirse las
unidades de disco.
Los archivos que mas se pueden comprimir son los archivos de texto, las hojas de
calculo y los archivos de presentaciones. Los archivos que menos se pueden
comprimir son los archivos de graficos y los de video. No deben comprimirse las
carpetas y los archivos del sistema porque el rendimiento del servidor puede resultar
afectado.
Los volmenes, las carpetas y los archivos de los volmenes NTFS estan comprimidos
o descomprimidos. El estado de compresion de una carpeta no refleja necesariamente
el de sus archivos. Por ejemplo, es posible descomprimir selectivamente algunos o
todos los archivos de una carpeta comprimida.
Si un comando de una aplicacion o de un sistema operativo solicita acceso a un archivo
comprimido, Windows Server 2003 descomprime automaticamente dicho archivo. Al
cerrar o guardar el archivo, Windows Server 2003 lo vuelve a comprimir.
NTFS asigna espacio en disco en funcion del tamao del archivo descomprimido. Si
copia un archivo comprimido en una particion NTFS que no tiene espacio suficiente,
aparece un mensaje de error que indica que no hay suficiente espacio en el disco para
el archivo.
108
Los archivos y las carpetas que se comprimen con la caracteristica Carpeta

comprimida (en zip) se pueden comprimir en unidades FAT, FAT32 y NTFS. Un icono
del programa de compresion identifica los archivos y carpetas que se comprimen con
esta caracteristica.
Desde estas carpetas comprimidas puede abrir archivos directamente
algunos programas, sin necesidad de descomprimirlas. Estos archivos
comprimidos tambien pueden moverse a cualquier unidad o carpeta del
Internet o de la red, y son compatibles con otros programas y archivos de
de archivos.
y tambien
y carpetas
equipo, de
compresion
La compresion de carpetas con Carpeta comprimida (en zip) no afecta al rendimiento

global del equipo. El rendimiento solo resulta afectado cuando se obtiene acceso a
Carpeta comprimida (en zip) para comprimir un archivo.
En la tabla siguiente se comparan los dos metodos de compresion.
Atributo
Compresion de
archivos NTFS
Sistema de
Objetos que se
comprimir
NTFS
Archivos, carpetas y
unidades
NTFS o FAT, FAT32

Archivos y carpetas
Rendimiento
Se reduce
No se reduce
Proteccion
contrasea
No
Cifrado
No
Cambio del color

pantalla
No
Carpeta comprimida
I 109
Comprimir archivos o carpetas

Puede utilizar el Explorador de Windows para comprimir archivos y carpetas con
compresion de archivos NTFS o con Carpeta comprimida (en zip). Tambien puede
comprimir archivos y carpetas con el comando compact
Para utilizar la compresion de archivos NTFS para comprimir archivos o carpetas en
unidades NTFS :
1.
En el Explorador de Windows, haga clic con el boton secundario del mouse

en el archivo o carpeta que desea comprimir y haga clic en Propiedades.
2.
En el cuadro de dialogo Propiedades, en la ficha General, haga clic en

Opciones avanzadas, active la casilla de verificacin Comprimir
contenido para ahorrar espacio en disco y haga clic en Aceptar.
3.
En el cuadro de dialogo Propiedades, haga clic en Aceptar
4.
Si aparece el cuadro de dilogo Confirmar cambios de atributos, haga clic

en Aceptar.
Mover y copiar archivos y carpetas comprimidos
El hecho de mover y copiar archivos y carpetas de un volumen de disco puede cambiar

sus estados de compresion, segn el estado de compresion que tengan y el sistema en
que se hayan creado. El estado de compresion de los archivos o carpetas creados en
una particin NTFS lo controlan sus atributos de compresion.
Como muestra la seccion A de la ilustracion, al copiar un archivo o una carpeta dentro
de una particion NTFS, el archivo o la carpeta hereda el estado de compresion de la
carpeta de destino. Por ejemplo, si copia un archivo o carpeta comprimida en una
110
carpeta sin comprimir, el archivo o la carpeta se descomprime automaticamente. Mover

en particiones NTFS.
Como muestra la seccion B, al mover un archivo o una carpeta dentro de una particion
NTFS, el archivo o la carpeta conserva su estado de compresion original. Por ejemplo, si
mueve un archivo o carpeta comprimida a una carpeta sin comprimir, el archivo sigue
estando comprimido. Copiar entre particiones NTFS.
Como muestra la seccion C, al copiar un archivo o una carpeta entre particiones NTFS, el
archivo o la carpeta hereda el estado de compresin de la carpeta de destino.
La seccion C ilustra como se copia un archivo o una carpeta en una carpeta. El archivo o la
carpeta adoptan el atributo de compresion de la carpeta de destino. Por ejemplo, si copia
un archivo comprimido en una carpeta sin comprimir, el archivo se descomprime.
Como tambien muestra la seccion C, al mover un archivo o una carpeta entre particiones
NTFS, el archivo o la carpeta hereda el estado de compresin de la carpeta de destino.
Dado que Windows Server 2003 trata los desplazamientos entre particiones como
operaciones de copia y despues de eliminacion, los archivos heredan el estado de
compresion de la carpeta de destino.
Si copia un archivo en una carpeta que contiene un archivo con el mismo nombre,
el archivo copiado adopta el atributo de compresion del archivo de destino,
independientemente de cual sea el estado de compresion de la carpeta.
De forma similar a los archivos que se copian entre carpetas en los volmenes NTFS, la
seccion D muestra que los archivos que se mueve o se copian de una carpeta de un
volumen FAT a una carpeta de un volumen NTFS heredan el atributo de compresin de
la carpeta de destino. Dado que los volmenes NTFS son los nicos que admiten
compresin, los archivos comprimidos que se mueven o se copian desde un volumen
NTFS a un volumen FAT se descomprimen automticamente. De igual forma, los
archivos comprimidos que se copian o se mueven desde un volumen NTFS a un
disquete se descomprimen automticamente.
Que es el cifrado EFS
I 111
Una persona que desee realizar un ataque puede lograr acceso a un sistema
compartido iniciando otro sistema operativo. Tambien puede robar un equipo,
quitarle el disco duro, instalarlo en otro sistema y lograr acceso a los archivos
almacenados. Sin embargo, si la persona que realiza el ataque no tiene la clave para
descifrarlos, los archivos que se cifran con el Sistema de archivos de cifrado (EFS)
aparecen como caracteres ininteligibles.
EFS proporciona cifrado a nivel de archivo a los archivos creados en volmenes NTFS.
Con
EFS, puede garantizar que los datos confidenciales estn ms seguros y que ningn otro
usuario puede leerlos ni descifrarlos con facilidad.
El cifrado y descifrado son las tareas principales de EFS. La configuracion predeterminada de
EFS no requiere ningn esfuerzo administrativo (los usuarios pueden empezar a cifrar
archivos de inmediato). EFS genera automticamente un par de claves de cifrado para cada
usuario, siempre que no exista ninguna.
Los usuarios tienen a su disposicin varias opciones de cifrado y de descifrado.
Pueden cifrar y descifrar archivos con el Explorador de Windows, con el comando cipher o con
el men contextual que aparece al hacer clic con el botn secundario del mouse en un archivo
o en una carpeta.
Las carpetas marcadas para cifrar no estn realmente cifradas. Solo lo estan los archivos de
dichas carpetas, asi como los archivos que se creen o que se muevan a dichas carpetas.
Con EFS, los usuarios tienen el mismo acceso a los archivos cifrados que a los archivos sin
cifrar. Por consiguiente, si un usuario tiene acceso a un archivo cifrado que est almacenado
en disco, puede leer su contenido de forma normal. Si el usuario vuelve a guardar el archivo
en disco, EFS guarda los cambios de forma cifrada.
Efectos de mover y copiar carpetas y archivos cifrados
Todos los archivos y carpetas creados en una carpeta marcada para cifrado
se cifran automticamente. El desplazamiento o la copia de archivos y carpetas cifrados
pueden cambiar el estado de cifrado del archivo o de la carpeta, dependiendo de la
situacion.
Como muestra la seccion A de la ilustracion, si un archivo se mueve de una
carpeta no cifrada a otra cifrada, el archivo permanece cifrado.
112
Como muestra la seccion B, si se copia un archivo no cifrado en una carpeta

cifrada, ste quedar cifrado. Si se copia un archivo cifrado de una carpeta cifrada en una
no cifrada, el archivo permanece cifrado.
Si se copia un archivo cifrado de un volumen NTFS en un volumen FAT
o FAT32, el estado del archivo pasa a no cifrado. Si se copia un archivo de un volumen FAT
en una carpeta cifrada de un volumen NTFS, el archivo pasa a estar cifrado.
Cuotas de Disco
Windows Server 2003 soportan cuotas de disco para volmenes formateados
NTFS. Usted puede utilizar las cuotas de disco para monitorear y limitar el uso del
espacio en el disco. Cuando habilita cuotas de disco para uno o ms usuarios,
puede establecer dos valores: el lmite de cuota de disco y la advertencia de
cuota de disco. El lmite especifica la cantidad de espacio en disco que un usuario
tiene permiso de utilizar. La advertencia especifica un nivel en el cual un evento
puede ser registrado en el sistema.
Por ejemplo, puede establecer un lmite de cuota de disco del usuario en 50 MB, y
el nivel de advertencia de cuota de disco en 45 MB. En este caso, el usuario no
puede almacenar ms de 50 MB de archivos en el volumen. Si el usuario
almacena ms de 45 MB de archivos en el volumen, puede hacer que el sistema
de cuotas de disco registre un evento del sistema.
Las Cuotas de disco se monitorean por usuario y por volumen, y a los usuarios se
les cargan slo los archivos que les pertenecen.
Por ejemplo, si cada usuario tiene una carpeta en \\Marketing\Public que esta
limitada a 5 MB de espacio en disco y ellos copian 5 MB de archivos a su carpeta
en \\Marketing\Public\, entonces no pueden copiar sus archivos a ninguna
otra carpeta en \\Marketing\Public. Pueden mover los archivos, ms no
copiarlos.
Las cuotas aplican a un volumen NTFS especfico. Por ejemplo, si usted comparte
dos volmenes diferentes como \\Production\QA y \\Production\Public, las
cuotas se monitorean independientemente para los dos volmenes, incluso si los
volmenes son dos particiones diferentes en la misma unidad fsica. Por ejemplo,
si \\Production\QA y \\Production\Public son componentes compartidos del
mismo volumen, el volumen F, las cuotas asignadas a ese volumen aplican a los
dos componentes compartidos colectivamente, y el uso que los usuarios hagan de
ambos no puede exceder la cuota asignada al volumen F.
Los administradores de sistemas pueden utilizar la opcin Cuota del cuadro de
dilogo Propiedades para:
1. Habilitar o inhabilitar cuotas de disco en un volumen de disco.
2. Evitar que los usuarios guarden nuevos datos cuando su lmite de cuota
de disco se ha excedido.
3. Establecer el nivel de advertencia de cuota de disco y el lmite de cuota de
disco predeterminados asignados a los nuevos usuarios de volumen.
4. Visualizar la informacin de cuota de disco para cada usuario del volumen
utilizando la vista Entradas de cuota.
Uso de las Cuotas de Disco

I 113
Antes de iniciar, necesita tener por lo menos una cuenta habilitada que no sea la de
un administrador.
Para habilitar la administracin de cuotas de disco
1. Haga doble clic en Mi Computadora
2. Haga clic en el lado derecho del ratn en el volumen de disco para el
cual desea utilizar cuotas, y despus haga clic en Propiedades.
3. Aparece en pantalla la pgina Propiedades para el volumen de
disco especificado.
4. Haga clic en Cuota. Aparece en pantalla la pgina de propiedad Cuota.
Seleccione la opcin Habilitar administracin de cuotas.

Aparece un mensaje, solicitndole si desea continuar.
Haga clic en Aceptar.
Para agregar nuevas entradas de cuotas de disco para usuarios del
volumen
1.
114
En Windows Explorer o en Mi Computadora, haga clic en el lado

derecho del ratn en el volumen de disco para el cual desea agregar
nuevas entradas de cuota y despus haga clic en Propiedades.
2.
En el cuadro de dilogo Propiedades, haga clic en la opcin Cuota para

que aparezca en pantalla la pgina de Propiedad, Cuota. Asegrese de
que las cuotas estn habilitadas.
3.
Haga clic en Entradas de Cuotas.
4.
En la ventana Entradas de Cuotas, en el men Cuota, haga clic en

Nueva Entrada de Cu ota.
5.
Aparece en pantalla el cuadro de dilogo Configuraciones de Cuota.
6.
En el cuadro de texto Dominio/Nombre, teclee el nombre del dominio

(o nombre de computadora) y el nombre de un usuario que no sea el
administrador. Utilice una diagonal (\) para separar el nombre del
dominio del nombre del usuario.
7.
Cuando aparece la caja de configuraciones Agregar nueva entrada de

cuota, haga clic en Limitar espacio en disco a. Despus seleccione MB
de la lista desplegable e introduzca 5 en el campo de texto en lugar de
uno. Deje el
campo Establecer nivel de advertencia a: en 1 KB.

El valor que introduzca no puede exceder la capacidad mxima del volumen.
Haga clic en Aceptar para activar las configuraciones.
Cierre la ventana de Entradas de Cuota y haga clic en Aceptar para
Propiedades de disco local.
Nota: Usted utiliza la funcin Nueva entrada de cuotas para establecer los
umbrales y lmites de cuota antes de que el usuario realmente escriba datos en el
volumen esto es til cuando no desea utilizar los valores predeterminados de
lmite de espacio en disco y umbral de advertencia para un usuario particular.
Normalmente, los valores predeterminados de lmite de espacio en disco y de
umbral de advertencia establecidos por el administrador del volumen son suficientes
para los nuevos usuarios del volumen.
I 115
Para asignar un lmite de espacio en disco y umbral de advertencia

predeterminados para nuevos usuarios del volumen
1. En Windows Explorer o Mi Computadora, haga clic en el lado derecho
del ratn en el volumen de disco para el cual desea asignar las
configuraciones predeterminadas de lmite y umbral de advertencia y haga
clic en Propiedades.
2. Aparece en pantalla la pgina Propiedades para el volumen de disco
especificado.
3. Haga clic en Cuota. Asegrese de que las cuotas estn habilitadas.
4. En
Configuraciones
predeterminadas
para
nuevos
usuarios,
especifique las siguientes opciones: Limitar espacio en disco en: 4.5 MB.
Puede utilizar valores decimales (por ejemplo, 20.5 MB). El valor que
introduzca no puede exceder la capacidad mxima del volumen.
5. Establecer nivel de advertencia a: 1 MB
6. Haga clic en Aceptar para activar las configuraciones.
Nota: Cuando habilita cuotas de disco en un volumen, cualquier usuario con acceso
de escritura al volumen que no haya excedido su lmite de cuota, puede almacenar
datos en el volumen. La primera vez que un usuario escribe datos en un volumen
con cuotas habilitadas, los valores predeterminados para el lmite de espacio en
disco y umbral de advertencia son asignados automticamente por el sistema de
cuotas.
116
CAPTULO 05
Sistemas de Archivos en Windows 2003S
El acceso a la informacin almacenada un equipo ejecutando Windows Server 2003 se

hace a travs de carpetas o Directorios Compartidos. Por lo tanto un administrador debe
desarrollar habilidades que le permitan garantizar el acceso a estos directorios con el
grado de seguridad apropiado.
Que son los permisos?
Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo para un objeto.
Por ejemplo, puede permitir a un usuario leer el contenido de un archivo, dejar que otro
usuario realice cambios en el archivo e impedir a los demas usuarios el acceso al archivo.
Puede establecer permisos similares en impresoras para que determinados usuarios puedan
configurar una impresora y otros usuarios solo puedan imprimir en ella.
Los permisos se aplican a cualquier objeto protegido, como archivos, objetos del servicio de
directorios Active Directory y objetos del registro. Los permisos se pueden conceder a
cualquier usuario, grupo o equipo.
Puede conceder permisos para objetos a:
1. Grupos, usuarios e identidades especiales del dominio.
2. Grupos y usuarios de cualquier dominio de confianza.
3. Grupos y usuarios locales del equipo en el que reside el objeto.
I 117
Al establecer permisos, se especifica el nivel de acceso de los grupos y usuarios. Los

permisos adjuntos a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se
adjuntan a un archivo son diferentes de los que se adjuntan a una clave de registro. Sin
embargo, algunos permisos, son comunes a la mayoria de los tipos de objeto.
Los permisos siguientes son permisos comunes:
1. Permisos de lectura
2. Permisos de escritura
3. Permisos de eliminacion
Permisos Estandar y Especiales
Puede conceder permisos estandar y especiales para objetos. Los permisos estandar son los
que se asignan con mayor frecuencia. Los permisos especiales ofrecen un grado de control
mas preciso para asignar acceso a objetos.
El sistema tiene un nivel de configuracion de seguridad predeterminado para un determinado
objeto. Esta configuracion constituye el conjunto de permisos mas habituales que suele
utilizar diariamente un administrador de sistema. La lista de permisos estandar disponibles
vara en funcion del tipo de objeto para el que se esta modificando la seguridad.
Los permisos especiales conforman una lista mas detallada. Un permiso NFTS de lectura
estandar esta relacionado con los siguientes permisos especiales:
1. Mostrar lista de carpetas/leer datos
2. Leer atributos
3. Leer atributos extendidos
4. Leer permisos
Si el administrador del sistema elimina un permiso especial relacionado con un permiso
estandar, la casilla de verificacion del permiso estandar deja de estar activada. En su lugar,
se activa la casilla de verificacion del permiso especial incluido en la lista de permisos
estandar.
118
Carpetas Compartidas
Una carpeta compartida es aquella a la que pueden obtener acceso varios usuarios a traves
de la red. Una vez que se comparte una carpeta, los usuarios pueden obtener acceso a
todos sus archivos y subcarpetas, siempre que se les hayan concedido permisos.
Puede colocar carpetas compartidas en el servidor de archivos o en un equipo de la red.
Puede almacenar archivos en las carpetas compartidas segn sus categoras y funciones.
Por ejemplo, puede colocar archivos de datos compartidos en una carpeta y compartir
archivos de aplicacion en otra.
Una carpeta compartida se distingue en el Explorador de Windows por un icono de una

mano que sostiene una carpeta.
Solo se pueden compartir carpetas, no archivos individuales. Si varios usuarios necesitan
obtener acceso al mismo archivo, debe introducirlo en una carpeta y compartir esta a
continuacion.
Cuando se comparte una carpeta, se concede un permiso de lectura al grupo

Todos de forma predeterminada. Elimine el permiso predeterminado y
conceda permiso de cambio o de lectura a los grupos segn sea necesario.
Cuando se agregan usuarios o grupos a una carpeta compartida, el permiso

predeterminado es el de lectura.
Al copiar una carpeta compartida, se sigue compartiendo la carpeta

compartida original, pero no as su copia. Cuando una carpeta compartida
se mueve a otra ubicacion, deja de estar compartida.
Puede ocultar una carpeta compartida si pone un signo de dolar ($) al final del
nombre de la carpeta. El usuario no puede ver la carpeta compartida en la
interfaz de usuario, pero puede obtener acceso a ella escribiendo el nombre
UNC (Universal Naming Convention, Convencion de nomenclatura
universal). Por ejemplo \\servidor\secretos$.
I 119
Que son las carpetas compartidas administrativas?
Windows Server 2003 comparte automaticamente carpetas que permiten realizar tareas
administrativas. Se caracterizan por incluir un signo de dolar ($) al final del nombre de
carpeta. El signo de dolar permite ocultar la carpeta compartida a los usuarios que examinan
el equipo en Mis sitios de red. Los administradores pueden administrar de forma rapida
archivos y carpetas en servidores remotos utilizando estas carpetas compartidas ocultas.
Los miembros del grupo Administradores tienen, de manera predeterminada, permiso de
control total en las carpetas compartidas administrativas. No se pueden modificar los
permisos de las carpetas compartidas administrativas.
La siguiente tabla describe la finalidad de las carpetas compartidas administrativas que ofrece
automaticamente Windows Server 2003.
Carpeta
d compartida
Finalida
C$, D$, E$
Utilice estas carpetas compartidas para conectarse de forma remota a un equipo

y realizar tareas administrativas. La raiz de cada particion (que tenga una letra de
unidad asignada) del disco duro se comparte automticamente. Al conectarse a
esta carpeta, tiene acceso a toda la particion.
Admin$
Esta es la carpeta raiz del sistema, que se encuentra de forma predeterminada en

C:\WINDOWS. Los administradores pueden obtener acceso a esta carpeta
compartida para administrar Windows Server 2003 sin necesidad de conocer en que
carpeta esta instalada esta aplicacion.
Print$
Esta carpeta ofrece acceso a los archivos de controladores de impresora de los

equipos clientes. Al instalar la primera impresora compartida, la carpeta ubicada en
Systemroot\System32\Spool\Drivers se comparte con el nombre Print$. Solo los
miembros de los grupos Administradores, Operadores de servidor y Operadores de
impresion tienen permiso de control total para esta carpeta. El grupo Todos tiene
permiso de lectura para esta carpeta.
120
Quien puede tener acceso a las carpetas compartidas?
En Windows Server 2003, los nicos grupos que pueden crear carpetas compartidas son
Administradores, Operadores de servidor y Usuarios avanzados. Son grupos integrados
ubicados en la carpeta Grupo de Administracion de equipos o en la carpeta integrada de
Usuarios y grupos de Active Directory.
Como crear una carpeta compartida?

Al crear una carpeta compartida, se debe asignar un nombre a la carpeta y proporcionar un
comentario que ofrezca una descripcion de la carpeta y su contenido. Tambien se puede limitar
el nmero de usuarios que pueden obtener acceso a la carpeta, conceder permisos y compartir
varias veces la misma carpeta.
Para crear una carpeta compartida mediante Administracion de equipos:
1. En Administracion de equipos, en el arbol de consola, expanda Carpetas
compartidas y, a continuacion, haga clic en Recursos compartidos.
2. En el men Accion, haga clic en Recurso compartido nuevo.
3. Siga los pasos del Asistente para compartir una carpeta.
I 121
Carpetas compartidas publicadas
Los recursos de publicacion y las carpetas compartidas de Active Directory permiten a los
usuarios buscar en Active Directory recursos de la red, incluso aunque cambie la ubicacin
fsica de los recursos.
Por ejemplo, si se mueve una carpeta compartida a otro equipo, todos los accesos directos
que sealan al objeto de Active Directory que representa a la carpeta compartida publicada
siguen funcionando, siempre que se actualice la referencia a la ubicacion fsica. No es
necesario que los usuarios actualicen las conexiones.
Puede publicar una carpeta compartida en Active Directory a la que se pueda obtener acceso
mediante un nombre UNC. Una vez publicada una carpeta compartida, el usuario del equipo
con Windows Server 2003 puede utilizar Active Directory para buscar el objeto que representa
a la carpeta compartida y conectarse a sta.
Al publicar la carpeta compartida en Active Directory, sta se convierte en un objeto
secundario de la cuenta de equipo. Para ver las carpetas compartidas como objetos, haga
clic en Usuarios, grupos y equipos como contenedores en el men Ver de Usuarios y
equipos de Active Directory. A continuacion, en el arbol de la consola, haga clic en la cuenta
de equipo. Vera en el panel de detalles, todas las carpetas compartidas publicadas que
estan asociadas a la cuenta de equipo.
122
La informacion de publicacion de los recursos de red de Active Directory facilita a los usuarios
la bsqueda de estos en la red. Puede publicar informacion sobre carpetas compartidas e
impresoras mediante Administracion de equipos o Usuarios y equipos de Active Directory.
Para publicar una carpeta compartida como objeto del servidor:
1. En Administracion de equipos, en el arbol de consola, expanda Carpetas compartidas
y, a continuacion, haga clic en Recursos compartidos.
2. Haga clic con el boton secundario del mouse en una carpeta compartida y, a continuacion,
haga clic en Propiedades.
3. En el cuadro de dialogo Propiedades, en la ficha Publicar, seleccione la casilla de
verificacion Publicar este recurso compartido en Active Directory y, a continuacion,
haga clic en Aceptar.
Para publicar una carpeta compartida en una unidad organizativa:
1. En Usuarios y equipos de Active Directory, en el arbol de consola, haga clic con el boton
secundario del mouse en la carpeta a la que desea agregar la carpeta compartida, seale
Nuevo y, a continuacion, haga clic en Carpeta compartida.
2. En el cuadro de dialogo Nuevo objeto Carpeta compartida, en el cuadro Nombre,
escriba el nombre de la carpeta que desea que utilicen los clientes.
3. En el cuadro Ruta de red, escriba el nombre UNC que desea publicar en Active
Directory y, a continuacion, haga clic en Aceptar.
P ermisos de carpetas compartidas
Los permisos de las carpetas compartidas solo se aplican a los usuarios que se conectan a la
carpeta a traves de la red. No restringen el acceso de los usuarios a la carpeta del equipo en
el que esta almacenada. Puede conceder permisos de carpeta compartida a cuentas de
usuario, grupos y cuentas de equipo.
I 123
Entre los permisos de carpeta compartida, se incluyen: Lectura

El permiso de lectura es el permiso de carpeta compartida predeterminado y se aplica al
grupo Todos. El permiso de lectura le permite:
Ver datos de archivos y atributos.
Ver los nombres de archivos y subcarpetas.
Ejecutar archivos de programa.
El permiso de cambio incluye todos los permisos de lectura y tambien le permite:
Agregar archivos y subcarpetas.
Cambiar datos en archivos.
Eliminar subcarpetas y archivos.
Control total El permiso de control total incluye todos los permisos de lectura y cambio y,
adems, le permite cambiar los permisos de los archivos y las carpetas NTFS.
Permisos en una carpeta compartida

Utilice el siguiente procedimiento para establecer permisos en una carpeta compartida.
Para establecer permisos en una carpeta compartida mediante Administracion de equipos:
1.
En Administracion de equipos, en el arbol de consola, expanda Carpetas Compartidas
y, a continuacion, haga clic en Recursos compartidos.
2.
En el panel de detalles, haga clic con el boton secundario del mouse en la carpeta
compartida para la que desea establecer los permisos y, a continuacion, haga clic en
Propiedades.
3.
En el cuadro de dialogo Propiedades, en la ficha Permisos de los recursos

compartidos, realice una de las siguientes acciones:
Haga clic en Agregar para conceder un permiso de carpeta compartida a un grupo o

usuario. En el cuadro de dialogo Seleccionar Usuarios, Equipos o Grupos, seleccione
o escriba el nombre del usuario o grupo y, a continuacion, haga clic en Aceptar.
Haga clic en Quitar para revocar el acceso a una carpeta compartida.
4.
En el cuadro Permisos, seleccione las casillas de verificacion Permitir o Denegar

para establecer permisos individuales para el usuario o grupo seleccionado. A
continuacion, haga clic en Aceptar.
Para establecer permisos en una carpeta compartida mediante el Explorador el Explor de

Windows:
1.
En el Explorador de Windows, haga clic con el boton secundario del mouse en la
carpeta compartida para la que desea establecer los permisos y, a continuacin, haga
clic en Compartir y seguridad.
2.
En el cuadro de dialogo Propiedades, en la ficha Compartir, haga clic en Permisos.
3.
En el cuadro de dialogo Permisos, realice una de las siguientes acciones:
124
Haga clic en Agregar para conceder un permiso de carpeta compartida a un grupo o usuario. En el c
dialogo Seleccionar Usuarios, Equipos o Grupos, seleccione o escriba el nombre del usuario o gru
continuacin, haga clic en Aceptar.
Haga clic en Quitar para revocar el acceso a un recurso compartido.
4. En el cuadro Permisos, seleccione las casillas de verificacion Permitir o Denegar para establece
permisos individuales para el usuario o grupo seleccionado.
Conectarse a las Carpetas Compartidas
Una vez creada una carpeta compartida, los usuarios pueden obtener acceso a ella a traves
de la red. Los usuarios pueden obtener acceso a una carpeta compartida en otro equipo
mediante Mis sitios de red, la funcion Conectar a unidad de red o el comando Ejecutar del
men Inicio.
Para conectarse a una carpeta compartida mediante Mis sitios de red:
1. Abra Mis sitios de red y haga doble clic en Agregar un sitio de red.
2. En el Asistente para agregar sitios de red, en la pagina este es el Asistente para
agregar sitios de red, haga clic en Siguiente.
3. En la pagina Donde desea crear este sitio de red, haga clic en Elija otra ubicacion de
red y, a continuacion, haga clic en Siguiente.
4. En la pgina Cual es la direccion de este sitio de red, escriba la ruta UNC de la
carpeta compartida o haga clic en Examinar.
a.
Si hace clic en Examinar, expanda Toda la red.
b.
Expanda Red de Microsoft Windows.
c.
Expanda el dominio y el servidor al que desea conectarse.
d.
Haga clic en la carpeta compartida que desea agregar y, a continuacion, haga clic en
Aceptar.
5. Haga clic en Siguiente.

6. En la pagina Desea ponerle un nombre a este lugar, escriba el nombre del sitio de red
y, a continuacion, haga clic en Siguiente.
7. En la pagina Finalizacion del Asistente para agregar sitios de red, haga clic en
Finalizar.
I 125
Que es NTFS?
NTFS es un sistema de archivos disponible en Windows Server 2003. NTFS ofrece un
rendimiento y unas funciones que no se encuentran en FAT (file allocation table, Tabla de
asignacion de archivos) o FAT32.
NTFS ofrece las siguientes ventajas:
Fiabilidad
NTFS utiliza el archivo de registro y la informacion de punto de comprobacion para restaurar la
integridad del sistema de archivos al reiniciar el equipo. Si se produce un error de sector
defectuoso, NTFS vuelve a asignar de forma dinamica el clster que contiene este sector
defectuoso y asigna un nuevo clster para los datos. NTFS tambien marca el clster como
inservible.
Seguridad a nivel de archivos y de carpetas
Los archivos NTFS utilizan el Sistema de archivos de cifrado (EFS, Encrypting File System)
para proteger los archivos y las carpetas. Si EFS esta activado, pueden cifrarse los archivos y
las carpetas para uno o varios usuarios. Este cifrado ofrece como ventaja la confidencialidad e
integridad de los datos. En otras palabras, los datos estan protegidos frente a una
modificacion accidental o no autorizada. NTFS tambien le permite establecer permisos de
acceso a un archivo o una carpeta. Se pueden establecer permisos de lectura, de lectura y
escritura, o permisos para denegar el acceso.
NTFS tambien almacena una lista de control de acceso (ACL, access control list) con todos
los archivos y carpetas de una particion NTFS. ACL contiene una lista de todas las cuentas de
usuarios, grupos y equipos a los que se les concede acceso al archivo o carpeta y el tipo de
acceso concedido. Para un usuario que desea obtener acceso a un archivo o carpeta, ACL debe
contener una entrada, denominada ACE, para la cuenta de usuario, grupo o equipo a la que
esta asociado el usuario. ACE debe permitir de forma especifica el tipo de acceso que solicita
el usuario para poder obtener acceso al archivo o carpeta. Si no existe una entrada ACE en
ACL, Windows Server 2003 deniega el acceso del usuario al recurso.
Administracion mejorada del aumento de almacenamiento
NTFS admite cuotas de disco, que permiten especificar la cantidad de espacio en disco
disponible para un usuario. Mediante las cuotas de disco, se puede realizar un seguimiento y
controlar el uso del espacio en disco y establecer si se permite a los usuarios superar un
nivel de advertencia o el lmite de cuota de almacenamiento.
NTFS admite archivos de mayor tamao y un mayor nmero de archivos por volumen que FAT
o FAT32. NTFS tambien administra el espacio en disco de forma eficaz utilizando tamaos de
clsteres reducidos. Por ejemplo, un volumen NTFS de 30 gigabytes (GB) utiliza clsteres de
cuatro kilobytes (KB). El mismo volumen con formato FAT32 utiliza clsteres de 16 KB. Al
utilizar clsteres de menor tamao, se reduce el desaprovechamiento de espacio en los discos
duros.
Permisos a varios usuarios
Si se conceden permisos NTFS a una cuenta de usuario individual y a un grupo al que
pertenezca el usuario, se le conceden tambien varios permisos al usuario. Existen reglas para
determinar como NTFS puede combinar estos permisos mltiples con el fin de producir los
permisos efectivos del usuario.
Permisos de archivo y carpeta NTFS

126
Los permisos NTFS se utilizan para especificar que usuarios, grupos y equipos pueden obtener
acceso a los archivos y las carpetas. Los permisos NTFS tambien establecen las acciones que
pueden realizar los usuarios, grupos y equipos con el contenido de los archivos o carpetas.
Los permisos NTFS proporcionan en general todo el control de acceso que necesita para
proteger sus recursos. Sin embargo, hay situaciones en las que los permisos NTFS
estndar no proporcionan el nivel especfico de acceso que quiz desee conceder a los
usuarios. Para crear el nivel especfico de acceso, puede conceder permisos de acceso
especiales.
La siguiente tabla enumera los permisos de archivo NTFS estandar que se pueden conceder y
el tipo de acceso que brinda cada permiso.
Permiso de archivo NTFS Permite al usuario:
Control Total
Cambiar permisos, tomar posesion de objetos y realizar

las acciones autorizadas por otros permisos de archivo
NTFS.
Modificar
Modificar y eliminar el archivo y realizar las acciones

autorizadas por el permiso de escritura y el permiso de
lectura y ejecucion.
Leer/Ejecutar
Ejecutar aplicaciones y realizar las acciones autorizadas

por el permiso de lectura.
Escritura
Sobrescribir el archivo, cambiar los atributos de archivo

y ver sus permisos y posesion.
Lectura
Leer el archivo y ver sus atributos, permisos y posesion.
I 127
Efectos producidos en los permisos NTFS al copiar y

mover archivos y carpetas
Al copiar o mover un archivo o una carpeta, los permisos pueden cambiar en funcion de la
ubicacion a la que se mueva. Es importante conocer los cambios que sufren los permisos al
copiarse o moverse.
Al copiar archivos o carpetas de una carpeta a otra, o de una particion a otra, los permisos de
los archivos o carpetas pueden cambiar. Al copiar un archivo o carpeta, se producen los
siguientes efectos en los permisos NTFS:
Al copiar una carpeta o archivo en una nica particion NTFS, la copia de la

carpeta o archivo hereda los permisos de la carpeta de destino.
Al copiar una carpeta o archivo a una particion NTFS diferente, la copia de la

carpeta o archivo hereda los permisos de la carpeta de destino.
Al copiar una carpeta o archivo a una particion no NTFS, como, por ejemplo,
una particion FAT, la copia de la carpeta o archivo pierde los permisos NTFS
debido a que las particiones no NTFS no admiten este tipo de permisos.
Para copiar archivos y carpetas en una nica particion NTFS o entre particiones NTFS, debe
tener permiso de lectura para la carpeta de origen y permiso de escritura para la carpeta de
destino.
Al mover una carpeta o archivo en una particion NTFS, la carpeta o archivo conserva sus
permisos originales.
128
Al mover una carpeta o archivo a una particion NTFS diferente, la carpeta o

archivo hereda los permisos de la carpeta de destino. Al mover una carpeta o
archivo entre particiones, Windows Server 2003 copia la carpeta o archivo a la
nueva ubicacin y, a continuacion, la elimina de la antigua ubicacion.
Al mover una carpeta o archivo a una particion no NTFS, la carpeta o archivo

pierde los permisos NTFS debido a que las particiones no NTFS no admiten
este tipo de permisos.
mover un archivo o carpeta, los permisos pueden cambiar en funcion de los permisos de la
carpeta de destino. Al mover un archivo o carpeta, se producen los siguientes efectos en los
permisos NTFS:
Al mover una carpeta o archivo en una particion NTFS, la carpeta o archivo conserva sus
permisos originales.
Al mover una carpeta o archivo a una particion NTFS diferente, la carpeta o

archivo hereda los permisos de la carpeta de destino. Al mover una carpeta o
archivo entre particiones, Windows Server 2003 copia la carpeta o archivo a la
nueva ubicacion y, a continuacion, la elimina de la antigua ubicacion.
Al mover una carpeta o archivo a una particion no NTFS, la carpeta o archivo

pierde los permisos NTFS debido a que las particiones no NTFS no admiten
este tipo de permisos.
Para mover archivos y carpetas en una nica particion NTFS o entre particiones NTFS, debe
tener permiso de escritura para la carpeta de destino y permiso de modificacion para la
carpeta o archivo de origen. Es necesario tener permiso de modificacin para mover un
archivo o carpeta debido a que Windows Server 2003 elimina la carpeta o archivo de la
carpeta de origen tras copiarla en la carpeta de destino.
La siguiente tabla enumera las posibles opciones para las acciones Copiar y Mover y
describe el tratamiento del estado de compresin de un archivo o carpeta por parte de
Accion
Resultado
Copiar un archivo a una

Carpeta dentro de un volumen
I 129
Que es la herencia de permisos NTFS?
Los permisos que se conceden a una carpeta principal son heredados de forma
predeterminada por las subcarpetas y los archivos incluidos en ella. Al crear archivos y
carpetas, y al formatear una particion con NTFS, Windows Server 2003 asigna
automaticamente permisos NTFS predeterminados.
Puede evitar que los archivos y las subcarpetas hereden los permisos asignados a la carpeta
principal. Al impedir la herencia de permisos, puede:
Copiar los permisos heredados de la carpeta principal
Eliminar los permisos heredados y mantener solo aquellos que se hayan

asignado explicitamente.
La carpeta en la que impide la herencia de permisos se convierte en la nueva carpeta

principal y las subcarpetas y los archivos incluidos en ella heredan los permisos que se le
asignaron.
La herencia de permisos simplifica la asignacion de permisos a las carpetas principales, las
subcarpetas y los recursos. Sin embargo, es posible que desee impedir la herencia para que
los permisos no se propaguen desde una carpeta principal a sus archivos y subcarpetas.
Por ejemplo, puede ser necesario incluir todos los archivos del Departamento de Ventas en una
carpeta de ventas en la que todos los empleados de este departamento tengan permiso de
escritura. Sin embargo, es posible que se necesite limitar los permisos de lectura en algunos
archivos de la carpeta. Para ello, es necesario impedir la herencia y evitar as que los permisos
de escritura se propaguen a los archivos de la carpeta.
130
C opiar o eliminar permisos heredados?

Utilice el siguiente procedimiento para copiar o eliminar permisos heredados.
Para copiar o eliminar permisos heredados:
1.
En el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o
la carpeta en la que desee cambiar los permisos heredados, y, a continuacion, haga clic en
Propiedades.
2.
En el cuadro de dialogo Propiedades, en la ficha Seguridad, haga clic en Opciones

avanzadas.
3.
En el cuadro de dialogo Configuracion de seguridad avanzada, desactive la casilla de

verificacion Permitir que los permisos heredables del primario se propaguen a
este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas
indicadas aqu de forma explicita.
4.
En el cuadro de dialogo Seguridad, realice una de las siguientes acciones:
Haga clic en Copiar para copiar las entradas de permisos que se aplicaron
anteriormente del primario a este objeto.
Haga clic en Quitar para eliminar las entradas de permisos que se aplicaron
anteriormente desde el primario y mantener solo aquellos permisos asignados
explcitamente.
5.
En el cuadro de dialogo Configuracion de seguridad avanzada, haga clic en Aceptar.
6.
En el cuadro de dialogo Propiedades, haga clic en Aceptar.
Administracion de archivos y carpetas NTFS
Al administrar el acceso a archivos y carpetas, tenga en cuenta las siguientes practicas

recomendadas si concede permisos NTFS:
Conceder permisos a grupos en lugar de a usuarios. Como no es eficaz mantener cuentas
de usuario directamente, evite conceder permisos a usuarios individuales.
I 131
Utilizar permisos Denegar en las siguientes situaciones:

Para excluir a un subconjunto de un grupo que tiene permisos Permitir.
Para excluir un permiso cuando ya se han concedido permisos de control total a un usuario
o grupo.
Si es posible, no cambiar las entradas de permisos predeterminadas de los objetos del
sistema de archivos, sobre todo, en las capetas del sistema y las carpetas raz. Si se
cambian los permisos predeterminados, pueden producirse problemas de acceso inesperados
o se puede reducir la velocidad.
No denegar nunca el acceso del grupo Todos a un objeto. Si deniega el acceso de todos a un
objeto, tambien se lo deniega a los administradores. En su lugar, es recomendable que se
elimine el grupo Todos, siempre y cuando se concedan permisos para el objeto a otros
usuarios, grupos o equipos.
Conceder permisos a un objeto ubicado en el nivel mas alto posible del arbol para que la
configuracion de seguridad se propague por todo ste. Puede conceder de forma rapida y
eficaz permisos a todos los objetos secundarios o a un subrbol de un objeto principal.
Mediante esta accin, puede conceder permisos a la mayor parte de los objetos con el
menor esfuerzo. Conceda permisos adecuados para la mayora de los usuarios, grupos y
equipos.
Para simplificar la administracion, agrupe los archivos segn su funcion. Por ejemplo:
Agrupe archivos de programa en las carpetas en las que residen las aplicaciones
utilizadas habitualmente.
Agrupe en una carpeta las carpetas de datos que contienen carpetas principales.
Agrupe en una carpeta los archivos de datos compartidos por varios usuarios.
Conceder permisos de lectura y ejecucion a los grupos Usuarios y Administradores para las
carpetas de aplicacion. De esta forma, se evita que los usuarios o los virus eliminen
accidentalmente o daen los datos y archivos de aplicacion.
Solo autorizar a los usuarios el nivel de acceso que necesiten. Por ejemplo, si un usuario
necesita leer un archivo, concedale a el o al grupo al que pertenece un permiso de lectura
para ese archivo.
Conceder permisos de escritura y permisos de lectura y ejecucion al grupo Usuarios o
permisos de modificacion al grupo Creador Propietario para las carpetas de datos. Esto
permite a los usuarios leer y modificar documentos que crean otros usuarios y leer,
modificar y eliminar los archivos y las carpetas que crean ellos mismos.
132
Como administrar el acceso a archivos y carpetas

mediante permisos NTFS?
Utilice el siguiente procedimiento para cambiar los permisos estandar y especiales de

archivos y carpetas.
Para cambiar los permisos estandar:
1. En el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o
carpeta para el que desea conceder permisos, y, a continuacion, haga clic en Propiedades.
2. En el cuadro de dialogo Propiedades, en la ficha Seguridad, realice una de las siguientes
acciones:
Para conceder permisos a un grupo o usuarios que no aparece en el cuadro Nombres de
grupos o usuarios, haga clic en Agregar. En el cuadro de dialogo Seleccionar Usuarios,
Equipos o Grupos, en el cuadro Escriba los nombres de objeto que desea seleccionar,
escriba el nombre del grupo o usuario al que desea conceder los permisos y, a continuacin,
Para cambiar o eliminar permisos de un grupo o usuario existente, haga clic en el nombre
del grupo o usuario en el cuadro Nombres de grupos o usuarios y , a continuacin, realice
una de las siguientes acciones:
Para permitir o denegar permisos, seleccione la casilla de verificacion Permitir o Denegar.
Para eliminar el grupo o usuario del cuadro Nombres de grupos o usuarios, haga clic en
Quitar.
I 133
Permisos Efectivos de archivos y carpetas NTFS

Windows Server 2003 ofrece una herramienta que muestra los permisos efectivos, es decir,
los permisos acumulados basados en la pertenencia a un grupo. La informacion se calcula a
partir de las entradas de permisos existentes y se muestra en formato de solo lectura.
Los permisos efectivos tienen las siguientes caracteristicas:
Los permisos acumulados son la combinacin de los permisos NTFS de ms alto nivel
concedidos al usuario y todos los grupos de los que el usuario es miembro.
Los permisos de archivo NTFS tienen prioridad sobre los permisos de carpeta.
Los permisos Denegar suplantan a todos los permisos.
Cada objeto, ya sea de un volumen NTFS o de Active Directory, tiene un propietario. El
propietario controla el modo en que se establecen los permisos del objeto y a quin se
conceden.
Importante Si un administrador necesita arreglar o cambiar los permisos de un archivo,
debe tomar posesin del archivo.
En la familia Windows Server 2003, el propietario es de manera predeterminada el grupo
Administradores. El propietario puede cambiar en todo momento los permisos de un objeto,
incluso aunque se le haya denegado el acceso a este objeto.
La posesion puede ser tomada por:
Un administrador. De manera predeterminada, al grupo Administradores se le concede el
derecho de usuario Tomar posesion de archivos y otros objetos.
Cualquier usuario o grupo que tenga el permiso Tomar posesin en el objeto en
cuestion.
Un usuario que tenga el privilegio Restaurar archivos y directorios. La posesion se puede
transferir de las formas siguientes:
El propietario actual puede conceder el permiso Tomar posesion a otro usuario. El
usuario debe tomar posesion realmente para completar la transferencia.
Un administrador puede tomar posesion.
Un usuario que tenga el privilegio Restaurar archivos y directorios puede hacer doble clic
en Otros usuarios y grupos y seleccionar cualquier usuario o grupo al que asignarle la
posesion.
Importante Los permisos de una carpeta compartida no forman parte del clculo de los
permisos efectivos. Se puede denegar el acceso a las carpetas compartidas mediante
permisos de carpeta compartida, incluso cuando se autoriza el acceso mediante permisos
NTFS.
134
Aplicar permisos N T FS
En este ejercicio, se presenta una situacion de ejemplo en la que se le solicita que aplique
permisos NTFS. Usted y sus compaeros discutiran las posibles soluciones a la situacion.
El Usuario1 es miembro del grupo Usuarios y del grupo Ventas.
1.
El grupo Usuarios tiene permiso de escritura y el grupo Ventas tiene permiso de

lectura en la Carpeta1. Que permisos tiene el Usuario1 en la Carpeta 1?
El Usuario1 tiene permisos de lectura y escritura en la Carpeta1 porque es
miembro del grupo Usuarios, que tiene permiso de escritura, y del grupo
Ventas, que tiene permiso de lectura.
2.
El grupo Usuarios tiene permiso de lectura en la Carpeta1. El grupo Ventas tiene

permiso de escritura en la Carpeta2. Que permisos tiene el Usuario1 en el Archivo2?
El Usuario1 tiene permisos de lectura y escritura en el Archivo2 porque es
miembro del grupo Usuarios, que tiene permiso de lectura en la Carpeta1 y del
grupo Ventas, que tiene permiso de escritura en la Carpeta2. El Archivo2
hereda los permisos de la Carpeta2 y la Carpeta1.
3. El grupo Usuarios tiene permiso de modificacion en la Carpeta1. Solo el grupo Ventas puede
obtener acceso al Archivo2, pero solo para leerlo. Qu debe hacer para garantizar que el
grupo Ventas slo tiene permiso de lectura en el Archivo2?
Impida la herencia de permisos para la Carpeta2 o el Archivo2. Elimine los
permisos de la Carpeta2 y el Archivo2 que la Carpeta2 ha heredado de la Carpeta1.
Conceda slo permiso de lectura al grupo Ventas en la Carpeta2 o el Archivo2.
I 135
Como establecer los permisos efectivos en

archivos y carpetas NTFS?
Utilice el siguiente procedimiento para ver los permisos de archivos y carpetas.
Para ver los permisos efectivos de archivos y carpetas:
1.
En el Explorador de Windows, haga clic con el boton secundario del mouse en el

archivo o la carpeta en el que desee ver los permisos efectivos y, a continuacion,
haga clic en Propiedades.
2.
En el cuadro de dialogo Propiedades, en la ficha Seguridad, haga clic en

Opciones avanzadas.
3.
En el cuadro de dialogo Configuracion de seguridad avanzada, en la ficha

Permisos efectivos, haga clic en Seleccionar.
4.
En el cuadro de dialogo Seleccionar Usuario, Equipo o Grupo, en el cuadro

Escriba el nombre de objeto a seleccionar, escriba el nombre de un usuario
o grupo y, a continuacion, haga clic en Aceptar.
Las casillas de verificacion activadas del cuadro de dialogo Configuracion de

seguridad avanzada indican los permisos efectivos del usuario o grupo para ese
archivo o carpeta.
Combinacion de permisos de carpeta compartida y

NTFS
Al permitir el acceso a los recursos de red de un volumen NTFS, es recomendable utilizar

los permisos NTFS ms restrictivos para controlar el acceso a las carpetas y los archivos,
en combinacion con los permisos de carpeta compartida ms restrictivos para controlar el
acceso de red.
Al crear una carpeta compartida en una particion con formato NTFS, los permisos de la
carpeta compartida y los permisos NTFS se combinan para proteger los recursos de archivo.
Los permisos NTFS se aplican si se tiene acceso al recurso de forma local o a traves de la red.
136
Al conceder permisos de carpeta compartida en un volumen NTFS, se aplican las siguientes

reglas:
Son necesarios permisos NTFS en volmenes NTFS. El grupo Todos tiene permiso de lectura
de forma predeterminada.
Los usuarios deben tener los permisos NTFS adecuados para cada archivo y subcarpeta de
una carpeta compartida, adems de los permisos de carpeta adecuados, para obtener acceso
a estos recursos.
Al combinar estos dos tipos de permiso, el permiso resultante es la combinacin de los
permisos de carpeta compartida y los permisos NTFS mas restrictivos.
Permisos efectivos en permisos de carpeta compartida y permisos

NTFS combinados?
Utilice el Explorador de Windows para ver los permisos efectivos de las carpetas
compartidas. Para determinar los permisos efectivos, debe primero determinar los
permisos maximos de carpeta compartida y NTFS, y compararlos a continuacion.
Para determinar los permisos mximos que un usuario tiene en un archivo de un volumen
NTFS:
1.
En el Explorador de Windows, busque el archivo o la carpeta del que desea ver

los permisos efectivos.
2.
Haga clic con el boton secundario del mouse en la carpeta o el archivo y, a

continuacion, haga clic en Propiedades.
3.
En el cuadro de dilogo Propiedades, en la ficha Seguridad, haga clic en

Opciones avanzadas.
4.
En el cuadro de dialogo Configuracion de seguridad avanzada, en la ficha

Permisos efectivos, haga clic en Seleccionar.
5.
En el cuadro de dialogo Seleccionar Usuario, Equipo o Grupo, en el cuadro

Escriba el nombre de objeto a seleccionar, escriba el nombre de un usuario
o grupo y, a continuacion, haga clic en Aceptar.
Las casillas de verificacion activadas indican los permisos NTFS maximos que un usuario o
grupo tiene en ese archivo o carpeta.
Para determinar los permisos maximos que tiene un usuario en una carpeta compartida:
1.
Abra el cuadro de dialogo Propiedades de la carpeta compartida.
2.
Busque los permisos maximos que tiene un usuario en el recurso

compartido, determinando el grupo al que pertenece.
Para determinar los permisos efectivos de una carpeta compartida:

1.
Compare los permisos NTFS maximos con los permisos de carpeta compartida
maximos.
2.
Los permisos de usuario ms restrictivos que se encuentren entre los permisos

maximos de carpeta compartida y NTFS son los permisos efectivos.
I 137
Ejercicio: Establecer los permisos de carpeta

compartida y NTFS efectivos
En este ejercicio, se determinarn los permisos efectivos de carpeta compartida y NTFS.

El grfico de esta pgina muestra dos carpetas compartidas que contienen carpetas y archivos
a los que se les ha asignado permisos NTFS. Consulte cada ejemplo y determine los permisos
efectivos del usuario.
1. En el primer ejemplo, se ha compartido la carpeta Usuarios, y el grupo Usuarios tiene el
permiso de carpeta compartida Control Total. Al Usuario1, Usuario2 y Usario3 se les ha
concedido el permiso NTFS Control Total slo para sus carpetas. Todos estos usuarios son
miembros del grupo Usuarios.
Tienen los miembros del grupo Usuarios permiso de control total en todas las carpetas
principales de la carpeta Usuarios una vez que se conectan a la carpeta compartida Usuarios?
No, porque solo se le ha concedido el permiso NTFS Control Total al usuario
individual en su carpeta de inicio. Por lo tanto, solo el usuario individual tiene
permiso de control total en su carpeta de inicio.
2. En el segundo ejemplo, se ha compartido la carpeta Datos. Al grupo Ventas se le concedido
el permiso de carpeta compartida Lectura en la carpeta compartida Datos y el permiso NTFS
Control Total en la carpeta Ventas.
Cuales son los permisos efectivos del grupo Ventas al obtener acceso a la carpeta Ventas,
conectandose a la carpeta compartida Datos?
Permiso de lectura, porque, al combinar los permisos de carpeta compartida y
los permisos NTFS, se aplican los permisos mas restrictivos.
138
Caracteristica de Archivos sin conexion?

La caracteristica Archivos sin conexion es una importante funcion de administracion de
documentos que ofrece a los usuarios acceso constante, en lnea y sin conexion, a los
archivos. Cuando el cliente se desconecta de la red, todos los elementos que se han
descargado en la cache local permanecen disponibles. Los usuarios pueden seguir trabajando
como si todava estuvieran conectados a la red. Pueden continuar realizando tareas de
edicion, copia, eliminacion, etc.
Desde la perspectiva del usuario, la apariencia de los espacios de trabajo permanece
invariable, esten o no conectados a la red. Las seales visuales, como iconos, mens y Active
Directory, permanecen igual, incluida la vista de las unidades de red asignadas. Los archivos
de red aparecen en el mismo directorio de unidad de red y se puede obtener acceso a ellos,
copiarlos, editarlos, imprimirlos o eliminarlos exactamente del mismo modo que cuando
estn disponibles en lnea. Si vuelve a conectarse a la red, los archivos de servidor y cliente
se vuelven a sincronizar automticamente.
La caracteristica Archivos sin conexion ofrece las siguientes ventajas:
Conexion
Compatibilidad con usuarios moviles
Cuando un usuario movil ve la carpeta compartida sin conexion, el usuario puede todava
examinar, leer y editar los archivos, porque stos se han almacenado en la cach del equipo
cliente. Cuando el usuario se conecte mas tarde al servidor, el sistema reconciliar los
cambios efectuados con el servidor.
Sincronizacion automatica
Puede configurar una directiva y comportamiento de sincronizacion basados en el momento del
da y el tipo de conexion de red mediante el Administrador de sincronizacion. Por ejemplo,
puede configurar la sincronizacion para que se realice automaticamente cuando el usuario
inicie una sesion en una conexion de red de rea local (LAN, local area network) directa o
para que se realice nicamente a peticion del usuario cuando utilice una conexin de acceso
telefonico.
Ventajas de rendimiento
La caracteristica Archivos sin conexion ofrece ventajas de rendimiento para las redes. Los
clientes pueden, al conectarse a la red, leer todava los archivos almacenados en la cach
local, reduciendo la cantidad de datos transferidos por la red.
Ventajas de copia de seguridad
La caracteristica Archivos sin conexion soluciona el dilema al que deben enfrentarse la
mayora de las organizaciones empresariales en la actualidad. Muchas organizaciones ponen
en prctica una directiva de copia de seguridad que obliga a que todos los datos de usuario se
almacenen en servidores administrados. A menudo, el Departamento de TI de la
organizacin no realiza copias de seguridad de los datos en discos locales. Esto supone un
problema para los usuarios moviles de equipos porttiles.
Si se desea obtener acceso a los datos sin conexin, se necesita un mecanismo que replique
los datos entre el equipo porttil y los servidores. Algunas organizaciones utilizan la
herramienta Mi Maletn. Otros utilizan archivos por lotes o replican los datos manualmente.
Con Windows Server 2003, la replicacin entre cliente y servidor se administra
automticamente. Se puede obtener acceso a los archivos sin conexin y, adems, stos se
sincronizan automticamente con el servidor administrado.
I 139
Como se sincronizan los archivos sin conexion?
Un usuario puede configurar un archivo en una red para que este disponible sin conexion,
siempre que se encuentre activada la caracteristica Archivos sin conexion para la carpeta en la
que reside el archivo. Al configurar los archivos para que esten disponibles sin conexion, los
usuarios trabajan con la version de red de los archivos cuando estn conectados y, cuando no,
con una versin almacenada localmente en cache.
Cuando un usuario configura un archivo para que este disponible sin conexion, se producen los
siguientes eventos de sincronizacion al desconectarse de la red:
Cuando el usuario cierra una sesion en la red, el sistema operativo cliente Windows
sincroniza los archivos de red con una copia del archivo almacenada localmente en cache.
Mientras el equipo esta desconectado de la red, el usuario trabaja con la copia del
archivo almacenada localmente en cache.
Cuando el usuario inicia de nuevo una sesion en la red, el sistema operativo cliente
Windows sincroniza todos los archivos sin conexion que el usuario ha modificado con las
versiones de red de los mismos. Si el archivo se ha modificado en el equipo de red y del
usuario, el sistema operativo cliente Windows solicitar al usuario que seleccione que
version del archivo desea conservar.
El usuario tambien puede cambiar el nombre de uno de los archivos y conservar las dos
versiones.
140
Opciones de cache de archivos sin conexion
La caracterstica Archivos sin conexion almacena en cache los archivos de una carpeta
compartida a los que se tiene acceso con frecuencia. Esta tarea es parecida al
almacenamiento en cache de los sitios Web visitados recientemente que realiza un explorador
Web. Al crear carpetas compartidas en la red, se pueden especificar las opciones de cache
para los archivos y programas de esa carpeta. Hay tres opciones diferentes de cach.
La cache manual de documentos ofrece acceso sin conexion a los archivos y programas
especificados por el usuario. Esta opcion de cache resulta idonea para una carpeta de red
compartida que contenga archivos que utilizaran y modificarn varios usuarios. Esta opcin se
selecciona de forma predeterminada al configurar una carpeta compartida para que est
disponible sin conexion.
Si se configura la cache automtica de documentos, todos los archivos y programas de la
carpeta compartida que abra el usuario estaran disponibles sin conexion. Los archivos que
no abra el usuario no estaran disponibles sin conexion. Las copias ms antiguas se
sobrescriben automticamente con las nuevas versiones de los archivos.
Si se selecciona la casilla de verificacion Rendimiento Optimo, se activa la cache automtica
de programas, que ofrece acceso sin conexion a las carpetas compartidas que contienen
archivos que no se van a modificar. La cache automatica de programas reduce el trfico de
red, al permitir abrir directamente los archivos sin conexion. No se puede obtener acceso de
ninguna forma a las versiones de red. Si bien, el inicio y la ejecucion de los archivos sin
conexion es normalmente mas rapido que el de las versiones de red.
Cuando utilice la cache automatica de programas, asegrese de restringir los permisos de los
archivos incluidos en las carpetas compartidas a acceso de solo lectura.
I 141
Auditoria de Acceso a los recursos del sistema

Windows Server 2003 permite seguir las acciones de los usuarios y las actividades del
sistema operativo en el equipo. Analize estas actividades para evaluar el nivel de
seguridad. Entender como implementar auditoria y monitorear eventos del sistema es
crtico para detectar intentos de intrusos para comprometer la informacin en la red.
La auditoria es el proceso de seguir las acciones del usuario o las actividades del sistema
operativo (Llamados eventos) en una computadora. Cuando un evento de auditoria ocurre,
Windows Server 2003 escribe un registro del evento en el registro de seguridad.
Una auditoria de entrada es un registro de seguridad que contiene la siguiente
informacin:
1. La accin realizada.
2. El usuario que realizo la accin.
3. El xito o error del evento y cuando ocurri.
4. Informacin adicional, como la computadora desde la cual la accin fue intentada.
Polticas de auditoria
Una poltica de auditoria define la clase de eventos de seguridad que Windows Server
2003 registra en el registro de seguridad de cada computadora. Windows Server 2003
registra un evento en el registro de seguridad de cada equipo donde el evento ocurrio.
Establezca una politica de auditoria por equipo para:
142
Para seguir el xito o fracaso de un evento, tales como intentos de logeo, intentos
de un usuario especfico de leer cierto archive especfico, cambio de cuenta de
usuario o membresa de grupo y cambios en las configuraciones de seguridad.
Minimice el uso desautorizado de recursos.
Mantener un registro de las actividades del usuario y del administrador.
Seleccionando un Evento para Auditoria
El primer paso para implementar una poltica de auditoria es escoger que tipo de
evento se desea auditoriar en Windows Server 2003.
La siguiente tabla muestra los eventos que se pueden auditoriar :
Evento
Account Logon
Ejemplo
Una cuenta es autentificada por la base de datos de seguridad.
Cuando un usuario se conecta en un equipo, el equipo registra un
evento de AccountLogon. Cuando un usuario se logea al dominio
se registra un evento de AccountLogon.
Account
Management
Un administrador crea, cambia o borra una cuenta de usuario o

grupo. Una cuenta de usuario es renombrada, deshabilitada o
activada o un password se establece o se cambia
Directory
Service Access
Un usuario obtiene acceso a un objeto Active Directory. Para

registrar este tipo de acceso, debes configurar un objeto Active
Directory especifico.
Logon
Un usuario inicia o termina su sesin en un equipo, o un

usuario realiza o cancela una conexin en la red al equipo. El
evento se registra en el equipo al cual el usuario accede, sin
importar si se uso una cuenta local o de dominio.
Object Access
Un usuario obtiene acceso a un archivo, flder o impresora.El

administrador debe configurar archivos, flder o impresoras
especificas para auditoria.
I 143
Policy Change
Un cambio es hecho en las opciones de seguridad del

usuario(opciones de password, configuraciones de logeo de
cuentas),derechos de usuario, o Polticas de auditoria.
Privilege Use
Un usuario hace uso de sus derechos, tales como cambio de la

fecha del sistema (Esto no esta relacionado con derechos de
logeo y salida del sistema) , o un administrador toma la
propiedad de un archivo.
Process Tracking
Una aplicacion realize una accion. Esta informacin es

normalmente usada por programadores que desean seguir los
detalles durante la ejecucin de una aplicacin.
System
Un usuario reinicia o apaga un equipo, o incluso cuando un

evento afecta la seguridad de Windows Server2003 o la del
registro de seguridad.
Planeando una poltica de auditoria

Auditoreando tantos tipos de eventos puede crear un exceso de sobrecarga. Esto puede
reducir el rendimiento del sistema. Se recomienda solo auditoriar aquellos eventos que
proveen informacin util para los esfuerzos de seguridad.
Use las siguientes pautas cuando planee una poltica de auditoria:
1. Determine los equipos que se va a auditar. Planee que se va a auditar en cada
equipo pues Windows Server 2003 registra los eventos auditados en cada equipo
por separado. De esta forma puede auditar frecuentemente equipos que contienen
informacin importante o critica, pero no puedes auditoriar de manera frecuente
equipos clientes que son usados exclusivamente por aplicaciones de productividad.
2. Determine el tipo de evento a auditoriar:
Acceso a archivos y carpetas
Logeo y salida de usuarios del sistema
Reinicio o apagado de equipos
Cambios decuentras de usuarios y grupos
3. Determine cuando auditoriar eventos existoso o fracasados, o ambos. Seguir
eventos exitosos pueden indicar como Windows Server 2003 o usuarios acceden a
ciertos archivos o impresoras. Puede usar esta informacin para planeamiento de
resource. Seguir eventos fallidos pueden alertarlo a uno de possibles problemas de
seguridad.
4. Determine cuando necesita seguir un trend o uso del sistema. Si es asi, plane
guarder el registro de eventos. A algunas empresas se les requiere que mantengan
un record de acceso a recursos e informacin.
5. Revice los registros de seguridad frecuentemente. Establezca un programa de
revision y revice los registros de seguridad peridicamente. Configurando solo la
auditoria no alerta de brechas de seguridad.
144
Estableciendo una poltica de auditoria

Despus de haber establecido una poltica de auditoria en un solo equipo, puedes
implementar auditoria en objetos del sistema de archivo, objetos del Active
Directory, e impresoras. Para asignar una poltica de auditoria a un solo equipo,
configure las opciones del Audit Policy para la computadora bajo polticas locales o
de grupo. Tambin puedes configurar las opciones de auditoria como parte de una
plantilla de seguridad y usar el Security Configuration and Analysis para aplicar las
opciones de auditoria o importar la plantilla a una poltica de grupo.
Para establecer una poltica de auditoria, haga lo siguiente:

1. Cree una consola MMC y agregue el Group Policy snap-in. Seleccione Local
Computer como un objeto de Group Policy.
2. En la parte de Local Computer Policy, expande Computer Configuration,
expande Windows Settings, expande Security Settings, expande Local
Policies, y luego click en Audit Policy. La consola muestra las opciones de
la poltica de auditoria en el panel de detalle.
3. Seleccione el tipo de evento a auditar, y luego click en Security en el men
de Action
4. Seleccione Success o Failure, o ambos, y luego click en OK.
Importante Necesitas ser un miembro del grupo de administradores para

configurar una poltica de auditoria.
I 145
Auditoriando acceso a recursos

Cuando realiza una auditoria con propsito de seguridad, normalmente auditoria acceso a
archivos de objetos del sistema e impresoras.
Auditoriando el acceso a archivos de objetos del sistema

Para auditar el acceso de usuarios archivos del sistema, realice los siguientes pasos:
1. Establezca una poltica de auditoria para revisar el acceso a objetos, los cuales
incluye archivos y flderes.
2. Habilite auditoria para un archive o flder especifico, especificando el tipo de
acceso a auditor. Solo puedes auditor el acceso para archivos y flderes que estn
en volmenes NTFS. El sistema de archivos FAT no soporta auditoria
Cuando especifique las opciones de auditoria para un archivo de sistema especifico. Use
las siguientes sugerencias:
1. Registre eventos fallidos para operaciones de lectura para determinar cuando un
usuario esta tratando de tener acceso a un archivo al cual no tiene permiso.
2. Registre eventos exitosos o fracasados en operaciones de Delete (Borrado) cuando
evalue archivos confidenciales y de archivo
3. Registre eventos exitosos o fracasados en eventos de cambio de permisos (Change
Permissions) y en operaciones de toma de propiedad (Take Ownership) para uso
confidencial y personal de los archivos de usuario. Estas operaciones pueden
indicar que alguien esta tratando de modificar la seguridad para acceder a
informacin a la cual no tienen acceso. Si un administrador toma posesin de un
archivo de un usuario para tener acceso a el, esta configuracin asegura que esto
se registre.
4. Registre eventos exitosos o fracasados en eventos para todas las operaciones
realizadas cuando se auditoriaba a miembros del grupo de invitados (Guests
group). Esto debe hacerse especialmente en archivos y flderes a los cuales un
invitado no debe tener acceso.
5. Realice auditoria en el acceso a archivos y flderes
en computadoras que
contengan informacin compartida que debe ser asegurada.
146
CAPTULO 07
Politicas de Grupo (GPO) en Windows 2003P
Use las politicas de seguridad para reforzar la seguridad de una red . Estas politicas de
seguridad definen las expectativas de la empresa respecto al correcto uso de las
computadoras y los procesos para prevenir y responder a incidentes de seguridad. Ademas
de esto es importante que el administrador de red asegure los escritorios y servicios en las
estaciones de trabajo. Al aplicar politicas de seguridad, uno puede prevenir que los
usuarios daen las configuraciones del sistema y puedes proteger areas sensibles de la
red. La manera mas efectiva de aplicar politicas de seguridad es usando las plantillas de
seguridad (security templates). Un security template es un archivo de texto que contiene
todas la politicas de seguridad ya configuradas, para que uno las aplique inmediatamente.
Windows Server 2003 provee adema herramientas de configuracin de seguridad para
analizar y configurar configuraciones de seguridad para las computadoras y usuarios.
Implementando politicas de seguridad
Implemente una de dos maneras de poltica de seguridad: a travs de una poltica de

sistema local (Local System Policy) en un solo equipo o una poltica de grupo (Group
Policy) en un domino para afectar a varios equipos. El mtodo que use depender del
I 147
tamao de su organizacin y de sus necesidades de seguridad. Organizaciones pequeas o

aquellas que no usan el servicio de directorio activo son capaces de configurar la
seguridad manualmente en una base individual. Si su organizacin es muy grande, o
requiere de altos niveles de seguridad, considere usar una poltica de grupo (Group
Policy), para establecer las polticas de seguridad
Usted utiliza Group Policy en Active Directory para centralizar el manejo de usuarios y
computadoras en una empresa. Configurando Group Policy puede centralizar policies para
una organizacin entera, dominio, sitio u organizational unit, y asimismo puede
descentralizar la configuracin de Group Policy, configurndolo para cada departamento en
el nivel organizational unit.
Usted puede asegurarse que los usuarios tengan los ambientes que requieren para realizar
sus trabajos y hacer cumplir las polticas de las organizaciones, incluyendo reglas de
negocio, metas y requisitos de seguridad. Adems, puede bajar el Total Cost of Ownership
controlando ambientes del usuario y de computadora, de modo tal que se reduzca el nivel
de ayuda tcnica a los usuarios y la productividad perdida de los mismos a causa de sus
errores.
Qu es Group Policy?
Group Policy le otorga control de administracin sobre los usuarios y las computadoras de
su red, y por lo tanto le permite definir el estado del ambiente de trabajo de los usuarios
una sola vez, confiando en Microsoft Windows Server 2003 para hacer cumplir
continuamente la configuracin de Group Policy que defini. Tambin podr aplicar
configuraciones de Group Policy a travs de una organizacin entera o a grupos especficos
de usuarios y de computadoras.
Qu son User y Computer Configuration Settings?

Usted puede hacer cumplir los Group Policy Settings para las computadoras y los usuarios
usando Computer Configuration y User Configuration en Group Policy.
148
Group Policy Settings

para usuarios incluye configuraciones especficas del sistema operativo, configuraciones de
escritorio, configuraciones de seguridad, opciones de aplicaciones assigned y published,
configuraciones de aplicaciones, opciones de folder redirection, y scripts de user logon y
logoff. Los Group Policy Settings de usuario se aplican cuando los usuarios inician sesin
en la computadora y durante un ciclo de actualizacin peridico.
Group Policy Settings modifica el ambiente de escritorio del usuario para los requisitos
particulares o hace cumplir lockdown policies en usuarios, y est contenido debajo de
User Configuration
en el editor de Group Policy Object.
Debajo de User Confiugration, tambin se encuentran:

La carpeta Software Settings: contiene configuraciones de software que se aplican a
los usuarios sin importar en qu computadora inicien sesin. Esta carpeta tambin
contiene configuraciones que se coloquen all de Independent Software Vendors (ISVs).
La carpeta Windows Settings: contiene configuracin Windows que se aplica a los
usuarios sin importar en qu computadora inicien sesin. Esta carpeta tambin contiene
los siguientes puntos: Folder Redirection, Security Settings y Scripts.
Group Policy Settings para las computadoras incluye la manera en que el sistema
operativo se comporta, el comportamiento de escritorio, configuraciones de seguridad,
scripts de startup y shutdown, opciones de aplicaciones assigned a la computadora y
configuraciones de aplicaciones. Las Group Policy relacionadas a la computadora, se
aplican cuando el sistema operativo se inicializa y durante un ciclo peridico de
actualizacin. En general, las configuraciones de computadora Group Policy toman
precedencia al estar en conflicto con Group Policy de usuario.
I 149
Las Group Policy Settings que modifican el ambiente para requisitos particulares de
escritorio y para todos los usuarios de una computadora, o que hacen cumplir las polticas
de seguridad en las computadoras de una red, se contienen debajo de Computer
Configuration en el editor de Group Policy Object.
Debajo de Computer Configuration, tambin se encuentran:
La carpeta Software Settings: contiene las configuraciones de software que se aplican a
todos los usuarios que inicien sesin en la computadora. Esta carpeta posee configuracin
de instalacin de software y puede contener otras configuraciones que se coloquen all de
ISVs.
La carpeta Windows Settings: contiene configuraciones Windows que se aplican a todos
los usuarios que inicien sesin en la computadora. Esta carpeta tambin contiene los
siguientes puntos: Security Settings y Scripts.
Security Settings est disponible debajo de la carpeta Windows Settings que se
encuentra debajo de Computer Configuration y User Configuration en el editor de Group
Policy Object. Security Settings o Security Policies son las reglas que Usted configura en
una computadora o las computadoras mltiples que protegen recursos en una
computadora o una red. Con Security Settings, Usted puede especificar Security Policy de
una organizational unit, domain o site.
Configurando Local Computer Policy Settings

Para agregar Group Policy Object Editor a una CustomMMC deber:
1. Abrir una CustomMMC.
2. Agregar el snap-in Group Policy Object Editor.
3. Guardar la CustomMMC.
Para evitar que los usuarios apaguen el servidor usando Local Policy Setting
deber:
1. Expandir, en la CustomMMC, el snap-in Local Computer Policy.
2. Expandir, en la consola, User Configuration. Expandir Administrative
Templates y despus hacer click en Start Menu and Taskbar.
3. Hacer doble-click en Remove and prevent access to the Shut Down
command, del panel de los detalles
4. Hacer click en Enabled del cuadro Remove and prevent access to the Shut
Down command Properties, y despus hacer click en OK.
5. Cerrar y guardar todos los programas y hacer log off.
Para probar la policy deber:
1. Iniciar sesin como User con una contrasea.
2. Hacer Click en Start y verificar que el botn Shut Down se haya quitado del men
Start.
3. Cerrar y guardar todos los programas y hacer log off.
Las herramientas usadas para crear GPOs
150
Active Directory Users and Computers

Usted puede abrir el editor de Group Policy Object desde Active Directory Users and
Computers para administrar GPOs para dominios y organizational units. En el cuadro
Properties para un dominio u organizational unit, hay una lengeta Group Policy, con la
cual se puede manejar GPOs para el dominio u organizational units.
Active Directory Sites and Services
Usted puede abrir el editor de Group Policy Object desde Active Directory Sites and
Services para manejar GPOs de sites. En el cuadro Properties para el site, hay una
lengeta Group Policy, con la cual se puede manejar GPOs para el site.
Group Policy Management Console
La Group Policy Management Console es un sistema de interfases programables para el
manejo de Group Policy, as como las MMC snap-in que se construyen en estas interfases
programables tambin. Los componentes de Group Policy Management, por su parte,
consolidan la administracin de Group Policy a travs de la empresa.
La Group Policy Management Console combina la funcionalidad de componentes mltiples
en una sola interfaz de usuario (UI). La UI se estructura para emparejar la manera en que
se utiliza y maneja Group Policy. Asimismo incorpora la funcionalidad relacionada con
Group Policy de las herramientas siguientes en una sola MMC snap-in:
Active Directory Users and Computers
Active Directory Sites and Services
Resultant Set of Policy (RSoP)
Group Policy Management tambin proporciona las siguientes capacidades extendidas que
no estaban disponibles en herramientas anteriores de Group Policy. Con Group Policy
Management, Usted puede:
Hacer Back up y restore de GPOs.
Copiar e importar GPOs.
Usar filtros Windows Management Instrumentation (WMI).
Generar reportes de GPO y RSoP.
Bscar para GPOs.
Group Policy Management vs. default Group Policy tools
Antes de Group Policy Management, Usted administraba Group Policy usando una variedad
de herramientas Windows, incluyendo Active Directory Users and
Computers, Active Directory Sites and Services y RSoP. Pero ahora, Group Policy
Management consolida la administracin de todas las tareas base de Group Policy en una
sola herramienta. Gracias a esta administracin consolidada, la funcionalidad de Group
Policy ya no es requerida en las otras herramientas.
I 151
Despus de instalar Group Policy Management, Usted an utiliza cada una de las
herramientas de Active Directory para sus propsitos previstos de administracin de
directorio, por ejemplo, crear un usuario, computadora y grupo. Sin embargo, usted puede
utilizar Group Policy Management para realizar todas las tareas relacionadas con Group
Policy. La funcionalidad de Group Policy ya no estar disponible con las herramientas de
Active Directory cuando instale Group Policy Management.
Group Policy Management no sustituye al editor de Group Policy Object. Usted todava
debe editar GPOs, usando el editor de Group Policy Object. Group Policy Management
integra la funcionalidad de edicin proporcionando acceso directo al editor de Group Policy
Object.
Cmo crear una GPO?

Utilice los procedimientos siguientes para crear un nuevo GPO o un link a una GPO
existente, usando Active Directory Users and Computers, y para crear una GPO en un site,
dominio u organizational unit.
Para crear una GPO nueva o hacer un link a una GPO existente usando Active
Directory Users and Computers:
1. Hacer click derecho en el contenedor de Active Directory (dominio u
organizational unit), que est en el Active Directory Users and Computers, para
crear una GPO. Despus hacer click en Properties.
2. Elegir una de las opciones siguientes, en el cuadro Properties, sobre la lengeta
Group Policy:
3. Para crear una GPO nueva, hacer click en New, ingresar un nombre para la GPO
nueva y presionar ENTER.
4. Para hacer un link a una GPO existente, hacer click en Add y seleccionar la
GPO de la lista.
La GPO o el link que usted crea, se exhibe en la lista de GPOs que estn linkeadas al
contenedor de Active Directory.
Qu es un GPO Link?
152
Todas las GPOs se almacenan en un contenedor de Active Directory llamado Group Policy
Objects. Cuando una GPO es utilizada por un site, dominio u organizational unit, la GPO es
linkeada al contenedor Group Policy Objects. Consecuentemente, Usted puede centralizar
la administracin y el deploy de GPOs a muchos dominios u organizational units.
Cuando Usted crea un GPO link a un site, dominio u organizational unit, podr realizar dos
operaciones separadas: crear la GPO nueva y linkearla al site, dominio u organizational
unit. Al delegar permisos para linkear una GPO al dominio, organizational unit o site, Usted
tendr que modificar los permisos para el dominio, organizational unit o site que desee
delegar.
Por defecto, solamente miembros de los grupos Domain Admins y Enterprise Admins
tienen los permisos necesarios para linkear GPOs a domains y organizational units.
nicamente los miembros del grupo Enterprise Admins tienen los permisos para linkear
GPOs a sites. Miembros del grupo Group Policy Creator Owners pueden crear GPOs, pero
no pueden linkear.
Cuando Usted crea una GPO en el contenedor Group Policy Objects, la GPO no se aplica a
ningn usuario o computadora hasta que el GPO link sea creado. Usted puede crear una
unlinked GPO usando Group Policy Management y tambin puede llegar a crear unlinked
GPOs en una organizacin grande, donde un grupo cree GPOs y otro grupo cree links de
GPOs al site, dominio u organizational unit.
Cmo crear un GPO Link?

Para realizar esta prctica deber instalar previamente GPMC. (Vea el punto 4.3 ms
adelante) Utilice los procedimientos siguientes para crear y linkear GPOs.
Para linkear una GPO cuando usted lo crea:
1. En la Group Policy Management de la consola, expandir el forest conteniendo el
dominio en el cual Usted desea crear y linkear la GPO. Expandir Domains y realizar uno
de los siguientes pasos:
Para crear una GPO y linkearla al dominio, hacer click derecho en el dominio y
despus hacer click en Create and Link a GPO Here.
Para crear una GPO y linkearla a una organizational unit, expandir el dominio que
contiene la organizational unit, hacer click derecho en la organizational unit, y despus
hacer click en Create and Link a GPO Here.
I 153
2. En el cuadro New GPO, ingresar el nombre para la GPO nueva y despus hacer click en
OK.
Para linkear una GPO existente al site, dominio u organizational unit:
1. En Group Policy Management de la consola, expandir el forest conteniendo el
dominio en el cual Usted desea linkear una GPO existente. Expandir Domains y el
dominio.
2. Hacer click derecho en el dominio, site u organizational unit. Despus hacer click en
Link an Existing GPO.
3. En el cuadro Select GPO, hacer click en la GPO que Usted desea linkear y despus
hacer click en OK.
Cmo se heredan permisos de Group Policy

La orden en la cual Windows Server 2003 aplica GPOs depende del contenedor de Active
Directory al cual es linkeada la GPO. Las GPOs se aplican primero al site, despus a
dominios y por ltimo a organizational units en los dominios.
Un contenedor child hereda GPOs del contenedor parent. Esto significa que un contenedor
child puede tener muchos Group Policy Settings aplicados a sus usuarios y computadoras,
sin tener un GPO linkeado a l. Sin embargo, no hay jerarqua de dominios como en las
organizational units, por ejemplo, las parent organizational units y child organizational
units.
Las GPOs son acumulativas, implicando que estn heredadas. La herencia de Group Policy
es el orden en el cual Windows Server 2003 aplica GPOs. Este orden y la herencia de GPOs
determinan, en ltima instancia, qu configuraciones afectan a usuarios y computadoras.
Si hay GPOs mltiples que se fijan en el mismo valor, por defecto la GPO que se aplic
ltima, tomar precedencia.
Usted puede tambin tener GPOs mltiples linkeadas al los mismos contenedores. Por
ejemplo, puede tener tres GPOs linkeadas a un solo dominio. El orden en el cual se aplican
las GPOs puede afectar el resultado de la configuracin de Group Policy. Hay tambin un
orden o prioridad de Group Policy y de GPOs para cada contenedor.
Qu sucede cuando hay conflicto de GPOs?
154
Las combinaciones complejas de GPOs pueden crear conflictos y consecuentemente

requerir modificar el comportamiento de la herencia por defecto. Cuando una
configuracin de Group Policy se configura para una organizational unit parent y la misma
configuracin de Group Policy no se configura para la organizational unit child, los objetos
de esta ltima heredan la configuracin de Group Policy de la organizational unit parent.
Cuando se configura una Group Policy para ambas, organizacional unit parent y
organizational units child, las configuraciones para estas organizational units se aplican. Si
las configuraciones son incompatibles, la organizational unit child conserva sus propia
configuracin de Group Policy. Por ejemplo, una configuracin de Group Policy para la
organizational unit se aplica por ltimo a la computadora o el usuario sobreescribe la que
est en conflicto de configuracin de Group Policy para un contenedor, que es de ms alta
jerarqua en Active Directory.
Si el orden de herencia por defecto no resuelve las necesidades de su organizacin, Usted
puede modificar las reglas de herencia para GPOs especficas. Windows Server 2003
proporciona las dos siguientes opciones para cambiar el orden de herencia por defecto:
No Override
Esta opcin se utiliza para prevenir que contenedores child eliminen una GPO con prioridad
ms alta de configuracin. Esta alternativa es til para hacer cumplir GPOs que
representen reglas de negocio de la organizacin. La opcin No Override se fija sobre una
base individual de GPO. Usted puede fijar esta opcin en una o ms GPOs segn lo
requiera. Cuando se fija ms de una GPO en No Override, la GPO ms alta en la jerarqua
de Active Directory, fijada en No Override, tomar precedencia.
Block Policy inheritance
Esta opcin se utiliza en contenedores child para bloquear herencia de todos los
contenedores parent. Es til cuando una organizational unit requiere una nica
Configuracion de Group Policy. Block Policy inheritance se fija basandose en el
contenedor, En caso de conflicto, la opcion No override toma siempre precedencia sobre
la opcion Block Policy inheritance.
Bloqueo de Deployment de GPO
I 155
Usted puede prevenir en un contenedor child la herencia de cualquier GPO de los

contenedores parent, habilitando Block Policy inheritance en el contenedor child. De
esta manera, evita que el contenedor herede todas las configuraciones Group Policy. Esto
es til cuando un contenedor de Active Directory requiere configuraciones nicas de Group
Policy y Usted desea asegurarse que las configuraciones de Group Policy no se hereden.
Por ejemplo, se puede utilizar Block Policy inheritance cuando el administrador de una
organizational unit deba controlar todas las GPOs para ese container.
Al usar Block Policy inheritance, deber considerar lo siguiente:
No se puede elegir selectivamente qu GPOs bloquea. Block Policy inheritance afecta
todas las GPOs de todos los contenedores parent, excepto las GPOs configuradas con la
opcin No Override sin GPMC instalada y Enforced con GPMC instalada.
Block Policy inheritance no bloquea la herencia de una GPO linkeada a un contenedor
parent, si el link se configura con la opcin No Override.
Cmo configurar Group Policy Enforcement
Importante: Antes de instalar Group Policy Management, la opcin Enforced se llama No

Override en Active Directory Users and Computers.
Para configurar enforcement de GPO link deber:
1. En Group Policy Management de la consola, expandir el forest con el link en el cual
Usted desea configurar el enforcement. Luego, seguir uno de siguientes pasos:
Para configurar enforcement de GPO link a un dominio, expandir Domains y el
dominio que contiene el GPO link.
156
Para configurar enforcement de GPO link a una organizational unit, expandir

Domains y el dominio que contiene la organizational unit. Despus expandir la
organizational unit que pueda incluir parent o child organizational unit y que contenga el
GPO link.
Para configurar enforcement de GPO link a un site, expandir Sites, y luego expandir
el site que contiene el GPO link.
2. Hacer click derecho en el GPO link y despus hacer click en Enforced para permitir o
inhabilitar el enforcement.
Filtrado de Deployment de GPO
Por defecto, todos los Group Policy Settings contenidos en las GPOs, afectan al contenedor
y se aplican a todos los usuarios y computadoras de ese contenedor, el cual no puede
producir los resultados que Usted desea. Usando la caracterstica de filtrado, se puede
determinar qu configuraciones se aplican a los usuarios y a las computadoras en el
contenedor especfico.
Usted puede filtrar el deployment de GPO fijando permisos en el GPO Link para determinar
el acceso de lectura o negar el permiso en la GPO. Para que los Group Policy Settings se
apliquen a una cuenta de usuario o de computadora, la cuenta debe tener por lo menos el
permiso de lectura para una GPO. Los permisos por defecto para una GPO nueva tienen el
siguiente Access Control Entries (ACEs):
Authenticated Users. Permitir read y permitir apply Group Policy
Domain Admins, Enterprise Admins and SYSTEM. Permitir read, Permitir Write, Permitir
Create All Child objects, Permitir Delete All Child objects
Usted puede utilizar los siguientes mtodos de filtrado:
Explicitly deny
Este mtodo se utiliza al negar el acceso a la Group Policy. Por ejemplo, Usted podra
negar explcitamente el permiso al grupo de seguridad de los administradores, lo cual
prevendra a los administradores en la organizational unit de la recepcin de GPO Settings.
Remove Authenticated Users
I 157
Usted puede omitir a los administradores de la organizational unit del grupo de seguridad,
lo cual significa que no tienen ningn permiso explcito para la GPO.
Administracin del entorno de usuario

La administracin del entorno de usuario implica controlar lo que stos pueden hacer
cuando inician sesin en la red. Esto se hace a travs de Group Policy, controlando las
computadoras de escritorio, las conexiones de red y las interfaces de usuario. Usted
maneja los ambientes de usuario para asegurarse que los mismos tengan lo necesario
para realizar sus trabajos. De esta manera, no podrn corromper o configurar
incorrectamente sus ambientes.
Cuando Usted configura y maneja ambientes de usuario de forma centralizada, puede
realizar las siguientes tareas:
Manejar los usuarios y las computadoras. Esto es posible controlando la
configuracin de escritorio del usuario con policies basadas en registry. As, Usted se
asegura que los usuarios tengan los mismos ambientes, incluso si ellos inician sesin de
diversas computadoras. Asimismo, Usted puede controlar cmo Microsoft Windows
Server 2003 maneja el user profiles, el cual conoce la forma en que los datos personales
de un usuario estn disponibles. Con redirecting user folders de los discos duros locales
del usuario a una localizacin central en un servidor, Usted puede asegurarse que los
datos del usuario estn disponibles para ellos, sin importar la computadora desde la cual
inicien sesin.
Deploy software. El software se instala en las computadoras o en los usuarios con
servicio de directorio Active Directory. Con la instalacin del software, Usted puede
asegurarse que los usuarios tengan sus programas requeridos, service packs, y hotfixes.
Qu son los Group Policy Settings Enable o Disable
Si Usted inhabilita un policy setting, est inhabilitando la accin del policy setting. Por
ejemplo, los usuarios por defecto pueden tener acceso al Control Panel. Para ello, Usted no
necesita inhabilitar el policy setting Prohibit access to the Control Panel, a menos que
previamente haya aplicado un policy setting habilitndolo. En esta situacin, Usted habr
fijado otro policy setting para deshabilitar el aplicado previamente.
158
Esto es provechoso cuando se heredan policy settings y no se desea usar filtrado para
aplicar policy settings a un grupo y a otro no. Usted puede aplicar una GPO que permita
un policy setting en la parent organizational unit y otro policy setting que deshabilite la
GPO en la child organizational unit.
Si Usted permite un policy setting, estar consintiendo la accin del policy setting. Por
ejemplo, para revocar a alguien acceso al Control Panel, Usted puede permitir el policy
setting Prohibit access to the Control Panel.
Un GPO lleva a cabo los valores que cambian registry para los usuarios y las
computadoras que estn conformes al GPO. La configuracin por defecto para un policy
setting es Not Configured. Si Usted desea fijar a una computadora o a un usuario un
policy setting, de nuevo al valor prefijado o de nuevo a la local policy, deber seleccionar
la opcin Not Configured. Por ejemplo, Usted puede permitir un policy setting para
algunos clientes, y al usar la opcin Not Configured, la policy invertir a la policy por
defecto, o local policy setting.
Algunas GPOs requieren proporcionar una cierta informacin adicional despus de permitir
el objeto. Ciertas veces Usted puede necesitar seleccionar un grupo o una computadora si
el policy setting necesita volver a dirigir al usuario a una cierta informacin. Otras veces,
para permitir proxy settings, Usted deber proporcionar el nombre o la direccin Internet
Protocol (IP) del proxy server y el nmero de puerto. Si el policy setting es multi-valued y
los settings estn en conflicto con otro policy setting, el conflicto de multi-valued settings
se substituyen por el ltimo policy setting que fue aplicado.
Cmo editar un Group Policy Setting

Como administrador de sistemas, Usted debe editar Group Policy settings. Utilice el
siguiente procedimiento para realizar esta tarea.
1. En Group Policy Management de la consola, navegar los Group Policy Objects.
2. Hacer click derecho en la GPO y despus en Edit.
3. En el editor de Group Policy Object, buscar el Group Policy setting que se
desear editar, y despus hacer doble-click.
4. En el cuadro Properties, configurar el Group Policy setting y despus hacer click
en OK.
Qu son los scripts de Group Policy Settings
Usted puede utilizar los scripts de Group Policy para configurar scripts centralizados que
corran automticamente cuando la computadora se inicia y se apaga, y tambin cuando
los usuarios inician sesin y la cierran. Usted puede especificar cualquier script que corra
en Windows Server 2003, incluyendo archivos batch, programas ejecutables y scripts
soportados por Windows Script Host (WSH).
Para ayudar al usuario a manejar y configurar sus ambientes, deber:
Correr scripts que realicen las tareas que Usted no puede realizar con otros Group Policy
settings. Por ejemplo, configurar el entorno de usuario con conexiones de red, conexiones
de impresora, shortcuts a aplicaciones y documentos corporativos.
Limpiar los escritorios cuando los usuarios cierran la sesin y apagan la computadora.
Usted puede quitar las conexiones que agreg con los scripts de logon o startup, de modo
que la computadora est en el mismo estado que cuando el usuario la encendi.
I 159
Correr scripts pre-existentes, fijados para manejar los ambientes de usuario hasta que se
configure con otro Group Policy settings que remplace esos scripts
Nota: Desde Active Directory Users and Computers, Usted puede asignar scripts de logon
individualmente a las cuentas del usuario en el cuadro Properties de cada uno de ellos.
Sin embargo, Group Policy es el mtodo preferido para correr scripts porque se pueden
manejar
estos
scripts
centralizados
junto
con
startup,
shutdown,
y logoff scripts.
Cmo asignar Scripts con Group Policy

Para implementar script Usted utiliza Group Policy, agregndolo a la configuracin
apropiada en un Group Policy template. Esto indica que el script puede correr durante el
startup, shutdown, logon o logoff.
Para agregar un script a la GPO deber:
1. En Group Policy Management, editar la GPO.
2. En el editor de Group Policy Object de la consola, buscar User
Configuration/Windows Settings/Scripts (Logon/Logoff).
3. En el panel de detalles, hacer doble-click en Logon.
4. En el cuadro Logon Properties, hacer click en Add.
5. En el cuadro Add a Script, configurar cualquiera de las configuraciones siguientes
que se desee utilizar. Despus, hacer click en OK:
Script Name. Ingresar el path del script o hacer click en Browse para localizar el
archivo de script en la carpeta compartida Netlogon del Domain controller.
Script Parameters. Ingresar los parmetros que se desean utilizar, de la misma
manera que se ingresara en command line.
6. En el cuadro Logon Properties, configurar cualquiera de las siguientes
configuraciones que se deseen utilizar:
Logon Scripts for. Esta lista enumera todas los scripts que estn actualmente
asignados a la GPO seleccionada. Si se asignan mltiples scripts, stos sern
procesados en el orden que se especific. Para mover el script en la lista,
hacer click en el script y despus Up o Down.
Qu es Folder Redirection
Cuando Usted redirecciona folders, cambia la locacin de las carpetas del disco duro local
de la computadora del usuario, a una carpeta compartida en un servidor de la red.
Despus de redireccionar una carpeta a un servidor, sta seguir apareciendo como local
para el usuario. Cuatro son las carpetas que forman parte del user profile y que se pueden
redireccionar: My Documents, Application Data, Desktop y Start Menu.
Almacenando datos en la red, los beneficios de los usuarios son la disponibilidad creciente
y los backup frecuentes de sus datos. Redireccionar carpetas tiene los siguientes
beneficios:
Los datos en las carpetas estn disponibles para el usuario, sin importar la computadora
cliente desde la que el usuario inicie sesin.
Los datos en las carpetas se almacenan centralizados, y por esto es ms fcil la
administracin y el backup para su resguardo.
160
Los archivos que se localizan adentro de carpetas redireccionadas, como los archivos de
un roaming user profile, no se copian y no se guardan en la computadora del usuario que
inicia sesin. Esto significa que cuando el usuario inicia sesin en la computadora cliente,
no se utilizar espacio de almacenamiento para esos archivos y los datos que puedan ser
confidenciales no quedan en dicha computadora.
Los datos se almacenan en una carpeta compartida de red que puede ser parte de las
reas rutinarias de backup. Esto es ms seguro porque no requiere ninguna accin de
parte del usuario.
Como administrador, Usted puede utilizar Group Policy para configurar disk quotas,
limitando la cantidad de espacio que es tomado por los usuarios.
Carpetas que pueden ser redireccionadas
Usted puede redireccionar las carpetas My Documents, Application Data, Desktop y Start
Menu. Una organizacin debe redireccionar estas carpetas para preservar datos y
configuraciones importantes del usuario. Hay varias ventajas al redireccionar cada una de
estas carpetas, que varan segn las necesidades de la organizacin.
Usted puede utilizar redireccin para cualquiera de las siguientes carpetas en el user
profile:
My Documents
La redireccin de My Documents es particularmente ventajosa porque la carpeta
tiende a realizarla en un plazo grande.
La tecnologa Offline Files da el acceso a usuarios a My Documents, incluso cuando
los usuarios no estn conectados a la red. Esto es particularmente til para gente que
utiliza las computadoras porttiles.
Application Data
Los Group Policy setting controlan el comportamiento de los Application Data cuando el
caching del lado del cliente est habilitado. Esta configuracin sincroniza los datos de
aplicaciones centralizados en un servidor de la red con la computadora local.
Consecuentemente, el usuario puede trabajar en lnea o fuera de lnea. Si algunos cambios
se realizan a los datos de aplicacin, la sincronizacin actualiza los datos del aplicativo
sobre el cliente y el servidor.
Desktop
Usted puede redireccionar el escritorio y todos los archivos, shortcuts y carpetas a un
servidor centralizado.
Start Menu
Cuando se redirecciona el Start Menu, sus subfolders tambin se redireccionan.
Configuraciones requeridas para configurar Folder Redirection
Hay tres configuraciones disponibles para Folder Redirection: none, basic y advanced.
Basic Folder Redirection es para los usuarios que deben redirigir sus carpetas a un rea
comn o para los usuarios que necesitan que sus datos sean privados.
Usted tiene las siguientes opciones bsicas para Folder Redirection:
Redirect folder to the following location
Todos los usuarios redireccionan sus carpetas a un rea comn donde pueden ver o
I 161
utilizar otros datos en carpetas redirecionadas. Para hacer esto, elija la configuracin
Basic y configure la Target folder location to Redirect folder to the following
location. Es aconsejable utilizar esta opcin para todas las carpetas que contengan los
datos que no son privados.
Create a folder for each user under the root path
Para los usuarios que necesitan sus carpetas redireccionadas con datos privados, elija
configuracin Basic y configure Target folder location to Create a folder for each
user under the root path. Es aconsejable utilizar esta opcin para los usuarios que
necesitan sus datos privados, como los gerentes que guardan datos personales sobre
empleados.
Cuando Usted selecciona Advanced . specify locations for various user groups,
las carpetas son redireccionadas a diferentes locaciones, basadas en grupos de seguridad
de los usuarios.
Las opciones avanzadas para Folder Redirection son las siguientes:

Select a group(s). Aqu es donde se especifica a quin aplicar la redireccin.
Target Folder Location. Aqu se pueden elegir cualquiera de las siguientes opciones:
Create a folder for each user under the root path. Utilizar para los datos
confidenciales.
Redirect to the following location. Utilizar para los datos compartidos.
Redirect to the local userprofile location. Utilizar para los usuarios que utilizan una
mezcla de computadoras cliente que no son parte de Active Directory por un lado y s lo
son por otro.
Root Path. En este cuadro, se especifica el servidor y el nombre de la carpeta compartida
a la que se desear redireccionar.
Para configurar Folder Redirection deber:
1. En Group Policy Management, editar o crear la GPO.
2. En el editor de Group Policy Object de la consola, expandir User
Configuration, expandir Windows Settings, y despus expandir Folder
Redirection. Los conos para las cuatro carpetas que pueden ser redireccionadas
se muestran.
3. Hacer click derecho en la carpeta que se desea redireccionar y despus hacer click
en Properties.
4. En el cuadro Properties, de la lengeta Setting, hacer click en una de las
siguientes opciones:
Basic - Redirect everyone's folder to the same network share point.
Todas las carpetas afectadas por esta GPO se almacenan en la misma carpeta
162
compartida de red. Advanced - Redirect personal folders based on the user's

membership in a Windows Server 2003 security group.
Las carpetas se redireccionan a otras compartidas de la red y basadas en los
miembros de grupos de seguridad. Por ejemplo, carpetas que pertenecen a los
usuarios del grupo de contabilidad se redireccionan al servidor de contabilidad, y
las carpetas que pertenecen a los usuarios en el grupo de comercializacin se
redireccionan al servidor de comercializacin.
5. En el cuadro Properties, hacer Click en Add.
6. Bajo Target folder location, en el cuadro Root path, ingresar el nombre de la
carpeta compartida en la red a utilizar, o hacer click en Browse para localizarla.
7. En la lengeta Settings, configurar las opciones que se desean utilizar y despus
hacer click en OK.
Qu es Gpupdate
Gpupdate es una herramienta command-line que actualiza los local Group Policy settings
y Group Policy settings almacenados en Active Directory, incluidas las configuraciones de
seguridad. Por defecto, las configuraciones de seguridad se actualizan cada 90 minutos en
un puesto de trabajo o un servidor, y cada cinco minutos en un Domain Controller. Usted
puede correr gpupdate para probar una Group Policy setting o aplicar inmediatamente un
Group Policy setting
Gpupdate tiene los siguientes parmetros.
/Target:{Computer | User} Especifica la actualizacin solamente de usuario o
computadora para sus policy settings. Por defecto, la policy de usuario y computadora son
actualizadas.
/Force Reaplica todos los policy settings. Por defecto, solamente los policy
settings que han cambiado se reaplican.
/Wait:{Value} Fija el nmero de segundos para esperar el procesamiento de policy.
Por defecto, es de 600 segundos. El valor ' 0 ' significa no esperar. El valor ' - 1 ' significa
esperar indefinidamente.
/Logoff Causa un logoff despus de actualizar la configuracin de Group Policy settings.
/Boot Provoca que la computadora se reinicie despus de la actualizacin de Group
Policy settings.
/Sync Provoca que la prxima configuracin de policy setting se aplique
sincrnicamente.
Qu es Gpresult
Debido a que Usted puede aplicar niveles traslapados de policy settings a cualquier
computadora o usuario, Group Policy genera un reporte que resulta de aplicar policies al
logon. Gpresult exhibe el reporte que resulta de aplicar policies que se hacen cumplir en
la computadora para el usuario especificado al logon.
I 163
El comando gpresult exhibe los Group Policy settings y el Resultant Set of Policy (RSoP)
para un usuario o una computadora. Usted puede utilizar gpresult para ver qu
configuraciones de la GPO son efectivas y localizar problemas en la aplicacin.
Gpresult tiene los siguientes parmetros.
/s Computer Especifica el nombre o direccin IP de una computadora remota. Por
defecto es la computadora local.
/u Domain/User El comando funciona con los permisos de la cuenta del
usuario que se especifica User o Domain/User. El defecto son los permisos del usuario que
se encuentre autenticado en la computadora y que ejecute el comando.
/p Password Especifica el password de la cuenta del usuario que se especifica en el
parmetro /u.
/user TargetUserName Especifica el nombre del usuario del que se exhiben los datos
RSoP.
/scope {user|computer} Exhibe los policy settings del usuario o computadora. Los
valores vlidos para el parmetro /scope son user o computer. Si se omite el parmetro
/scope, gpresult exhibe a ambos, usuario y computadora.
/v Especifica que la salida exhibir informacin verbose de la policy.
/z Especifica que la salida exhibir toda la informacin disponible acerca de Group Policy.
Administracin de instalacin de Software

Windows Server 2003 incluye una caracterstica llamada Instalacin y mantenimiento de
software que utiliza el servicio de Active Directory, Group Policy y Microsoft Windows
Installer para instalar, mantener y quitar software en las computadoras en su
organizacin. Usando el mtodo de administracin e instalacin de software basado en
policy, Usted puede asegurarse que los programas que los usuarios requirieran para
realizar sus trabajos, estn disponibles siempre y donde sea necesario.
La instalacin del Software y el proceso de mantenimiento
Usted puede utilizar Group Policy para manejar el proceso de instalacin de software
centralizado a partir de una localizacin. Adems, Group Policy settings puede aplicarse a
los usuarios o computadoras en un site, dominio u organizational unit para instalar
automticamente, actualizar o quitar software. Aplicando Group Policy settings al
164
software, Usted puede manejar varias fases de la instalacin del software sin instalar
software en cada computadora individualmente.
La lista siguiente describe cada fase en la instalacin del software y proceso de
mantenimiento:
1. Preparation. Primero hay que instalar el software usanado la estructura corriente de
Group Policy object (GPO), y tambin identificar los riesgos al usar la infraestructura
actual para instalar software. Para preparar los archivos que permitan a un programa ser
instalado con Group Policy, Usted debe copiar los archivos Windows Installer package para
un programa a un software distribution point, el cual puede ser una carpeta compartida en
un servidor. Asimismo puede adquirir el archivo Windows Installer package del vendedor
del programa o crear el archivo package usando una utilidad de terceras partes.
2. Deployment. Aqu hay que crear una GPO que instala el software en la computadora y
linkea la GPO a un contenedor apropiado de Active Directory. El software estar instalado
cuando la computadora se encienda o cuando un usuario inicie el programa.
3. Maintenance. El software se actualiza con una nueva versin o reinstalando el
software con un service pack o un software update. De esta maner, estar
automticamente actualizado o reinstalado cuando la computadora se encienda o cuando
el usuario inicie el programa.
4. Removal. Para eliminar el software que no es requerido, se necesita quitar el software
package setting de la GPO que originalmente instal el software. El software entonces se
quitar automticamente cuando la computadora se encienda o cuando un usuario inicie
sesion.
Qu es Windows Installer
Para habilitar Group Policy para instalacin y administracin de software, Windows Server
2003 usa Windows Installer. Este componente automatiza la instalacin y el retiro de
programas, aplicando un sistema de reglas centralmente definidas durante el proceso de
la instalacin, Windows Installer contiene dos componentes:
Windows Installer service. Este servicio del lado del cliente automatiza completamente
la instalacin del software y proceso de la configuracin. El servicio Windows Installer
puede tambin modificar o reparar un programa instalado existente. Para instalar un
programa lo hace directamente del Cd-ROM o usando Group Policy. Para ello, el servicio
Windows Installer requiere un Windows Installer package.
Windows Installer package. Este archivo package contiene toda la informacin que el
Windows Installer service requiere para instalar o quitar software. El Archivo contiene:
Un archivo Windows Installer con una extencin .msi.
Archivos fuente externos, que son requeridos para instalar o quitar el software.
Informacin estndar sobre el software y el package.
Archivos del producto o una referencia a un punto de instalacin donde residen los
archivos del producto.
Las ventajas de usar tecnologia Windows Installer incluye:
Custom installations. Caractersticas opcionales de un aplicativo. Por ejemplo, clip art o
un diccionario, puede ser visible en un programa sin que la caracterstica sea instalada.
Aunque los comandos de men son accesibles, la caracterstica no est instalada hasta
que el usuario acceda al men de comandos. Este mtodo de instalacin ayuda a reducir
la complejidad y la cantidad de espacio de disco duro que el programa utiliza.
Resilient applications. Si un archivo crtico se borra o se corrompe, el programa
adquiere automticamente una nueva copia del archivo de la fuente de la instalacin, sin
requerir la intervencin del usuario.
I 165
Clean removal. Windows Installer quita aplicaciones sin dejar archivos hurfanos o
inadvertidamente romper otro aplicativo, por ejemplo, cuando un usuario borra un archivo
compartido que otro aplicativo requiera. Tambin, Windows Installer quita todas las
configuraciones de registry relacionadas y almacena las transacciones de instalacin en
una base de datos y archivos de log subsecuentes.
Descripcin del proceso de Software Deployment
Cuando Usted instala software, est especificando cmo se instalan los aplicativos y cmo
se mantienen los mismos en su organizacin.
Para instalar nuevo Software, utilizando Group Policy, deber:
1. Crear un software distribution point. Esta carpeta compartida en su servidor
contiene el package y los archivos del software para instalar. Cuando el software se
instala en una computadora local, el Windows Installer copia archivos a la
computadora.
2. Utilizar la GPO para instalar software. Usted debe crear o realizar cambios
necesarios a la GPO para el contenedor en donde desea instalar el aplicativo. Al
mismo tiempo puede configurar la GPO para instalar software para una cuenta de
usuario o de computadora. Esta tarea tambin incluye seleccionar el tipo de
instalacin que se requiere.
3. Cambiar las caractersticas de la instalacin del software. Dependiendo de
sus requisitos, Usted puede cambiar las caractersticas que fueron fijadas durante
la instalacin inicial del software.
166
Assigning Software vs. Publishing Software
Los dos tipos de instalacin son: asignar software y publicar software.

Usando la asignacin de software, Usted se asegura que el software est siempre
disponible para el usuario. Cuando ste inicie sesin, aparecern Start menu shortcuts y
desktop icons para el aplicativo. Por ejemplo, si el usuario abre un archivo que utiliza
Microsoft Excel en una computadora que no tiene Excel, pero Excel ha sido asignado al
usuario, Windows Installer instala Excel en la computadora cuando el usuario abre archivo.
Adems, el asignar software hace al software resilient. Si por cualquier razn el usuario
quita el software, Windows Installer lo reinstalar la prxima vez que el usuario inicie
sesin e inicie el aplicativo.
Usando la publicacin de software, Usted se asegura que el software est disponible para
que los usuarios lo instalen en sus computadoras. Windows Installer no agrega shortcuts
en el escritorio del usuario o en el Start menu, y no realiza entradas en registry local.
Dado que los usuarios deben instalar el published software, Usted
puede publicar software solamente a los usuarios y no a las computadoras.
Usted puede asignar y publicar software usando uno de los mtodos de la tabla siguiente:
Mtodo de
instalacin
Mtodo 1
Mtodo 2
Asignacin
Configurando
al
usuario.
Cuando
Usted
asigne
software a un usuario, el
software se anunciar en el
escritorio del mismo cuando
inicie sesin. La instalacin
no comenzar hasta que el
usuario haga doble-click al
inicio de la aplicacin o a un
archivo asociado con la
aplicacin. Este es un mtodo
llamado
activacin
de
documento. Si el usuario no
Configurando la computadora. Cuando

Usted
asigne
software
a
una
computadora, ningun aviso ocurrir.
En su lugar, el software se instalar
automticamente
cuando
la
computadora se encienda. Asignando
software a una computadora Usted se
asegura que ciertos aplicativos estn
siempre
disponibles
en
esa
computadora, sin importar quin la
utiliza. Usted no puede asignar
software a una computadora que sea
domain controller.
I 167
activa
el
aplicativo,
el
software no es instalado. De
esta forma, se ahorra espacio
en el disco duro y tiempo.
Usando Add or Remove
Programs. Un usuario puede
abrir el Control Panel y hacer
doble-click en Add or Remove
Publicacin Programs para exhibir los
aplicativos disponibles. El
usuario puede seleccionar un
aplicativo y entonces hacer
click en Add.
Usando la activacin de documentos.

Si usted publica un aplicativo en
Active Directory las extenciones de
nombre de archivo de los documentos
soportados por la aplicacin sern
asociadas en el directorio.
Cmo utilizar una GPO para instalar Software

Despus de crear un software distribution point, Usted deber crear una GPO que instale
esos aplicativos, y despus linkear la GPO al contenedor que contenga los usuarios o
computadoras en donde desee instalar el software.
Importante: No asignar ni publicar un Windows Installer package ms de una vez en la
misma GPO. Por ejemplo, si Usted asigna Microsoft Office XP a computadoras que son
afectadas por una GPO, no deber asignar ni publicar a los usuarios afectados por la
misma GPO.
Para utilizar una GPO para instalar software, tendr que realizar los siguientes pasos:
1. Crear o editar la GPO.
2. Bajo User Configuration o Computer Configuration (dependiendo si Usted est
asignando el software a los usuarios o a las computadoras o publicndolo a los
usuarios), expandir Software Settings, hacer click derecho en Software
Installation, marcar New, y despus hacer click en Package.
3. En el cuadro File Open, hacer browse al software distribution point, usando el
nombre
Universal
Naming
Convention
(UNC).
Por
ejemplo,
\\ServerName\ShareName, seleccionar el archivo package y despus hacer
click en Open.
4. En el cuadro Deploy Software, seleccionar el mtodo de instalacin y despus
hacer click en OK.
Cmo cambiar las opciones para la instalacin de Software
Un GPO puede contener varias configuraciones que afecten cmo un aplicativo es

instalado, manejado y quitado. Usted puede definir las configuraciones por defecto global
para los nuevos packages en la GPO, tambin puede cambiar algunas de estas
configuraciones ms adelante, editando las propiedades del package en la extensin de la
instalacin de software. Despus de instalar un software package, recin podr cambiar
las caractersticas de la instalacin que fueron fijadas durante la instalacin inicial del
168
software. Por ejemplo, Usted puede prevenir a usuarios la instalacin del software package
usando la activacin de documento.
Para configurar las opciones implcitas para la instalacin del software, deber realizar los
siguientes pasos:
1. Crear o editar la GPO.
2. Bajo User Configuration o Computer Configuration, expandir Software
Settings, hacer click derecho en Software Installation y despus en
Properties.
3. En la lengeta General, configurar las opciones siguientes de la instalacin de
software:
Default package location
When adding new packages to user settings
Installation user interface options
4. En la lengeta Advanced, seleccionar la opcin Uninstall the application when
they fall out of the scope of management.
Para cambiar las caractersticas de la instalacin de software, deber:
1. En Software Installation, hacer click derecho en el package instalado, y despus
hacer click en Properties.
2. En el cuadro Properties de la lengeta Deployment, cambiar las siguientes
opciones:
Deployment type
Deployment options
Installation user interface options
Qu es la modificacin de Software
Las modificaciones se asocian a un Windows Installer package en la instalacin anterior que utilice
ese Windows Installer package para instalar o modificar el aplicativo.
I 169
Instalar varias configuraciones de un aplicativo, permite a diversos grupos en su

organizacin utilizar un paquete de software de diversas maneras. Usted puede utilizar
modificaciones de software o archivos .mst (tambin llamado archivos de
transformacin) para instalar varias configuraciones de un aplicativo. Un archivo .mst es
un custom software package que modifica cmo Windows Installer instala el .msi package
asociado.
Windows Installer aplica modificaciones a packages en el orden que Usted especifique.
Para guardar modificaciones en un archivo .mst, deber correr el custom installation
wizard y elegir el archivo .msi en el cual desea basar la transformacin. Usted deber
determinar el orden en el cual aplicar las transformaciones a los archivos antes de asignar
o publicar el aplicativo.
Ejemplo: Una organizacin grande, por ejemplo, puede querer instalar Microsoft Office
XP, pero los requisitos por departamento para el Office suite varian extensamente en la
organizacin. En lugar de configurar manualmente cada uno de los departamentos, Usted
puede utilizar diferentes GPOs y archivos .mst en combinacin con los archivos .msi por
defecto, para que cada departamento instale varias configuraciones de Office XP. En este
ejemplo, Usted puede correr el Office XP custom installation wizard del Office Resource Kit
para crear el archivo de transformacin.
Tipos de actualizacin de Software
Las tareas en una organizacin son dinmicas y variadas. Usted puede utilizar Group
Policy para instalar y administrar software upgrades que cumplan con requisitos
departamentales en su organizacin. Las actualizaciones implican tpicamente cambios
importantes al software y tienen nuevos nmeros de versin. Generalmente, un nmero
substancial de archivos cambia para una actualizacin.
Varios acontecimientos en el ciclo de vida de un aplicativo pueden accionar la
necesidad de una actualizacin, incluyendo lo siguiente:
Una nueva versin del software se lanza y contiene nuevas y mejoradas caractersticas.
Parches y seguridad o realces funcionales se han hecho al software desde el lanzamiento
pasado.
Una organizacin decide utilizar un software de diversos vendedores.
170
Hay tres tipos de actualizaciones:

Mandatory upgrades. Estas actualizaciones substituyen automticamente una vieja
versin del software con la nueva version. Por ejemplo, si los usuarios utilizan actualmente
la versin del programa 1.0, se quita esta versin, y la versin del programa 2.0 se instala
la prxima vez que la computadora se encienda o el usuario inicie sesin.
Optional upgrades. Estas actualizaciones permiten que los usuarios decidan cundo
actualizar la nueva versin. Por ejemplo, los usuarios pueden determinar si desean
actualizar a la versin 2.0 del software o continuar usando la versin 1.0.
Selective upgrades. Si algunos usuarios requieren una actualizacion pero no otros, Usted
puede crear GPOs mltiples para que se apliquen a los usuarios que requieran la
actualizacin y crear los paquetes de software apropiados en ellas.
Cmo actualizar el Software instalado

Usted utiliza la instalacin de software para establecer el procedimiento de actualizacin
de software a la versin actual.
Para instalar una actualizacin, deber:
1. Instalar la versin siguiente del software.
2. Abrir Software Installation, hacer click derecho en la nueva versin, y despus
hacer click en Properties.
3. En el cuadro Properties de la lengeta Upgrades, en la seccin Packages that
this package will upgrade, hacer click en Add, y despues seleccionar la versin
anterior (actual) del software. Usted puede actualizar un aplicativo usando la GPO
actual o seleccioando una GPO especfica. Si ambas versiones del programa tienen
un Windows Installer Package de forma nativa, este paso se realizar
automticamente.
4. Hacer Click en Package can upgrade over existing package o Uninstall the
existing package, then install the upgrade package, y despues hacer click en
OK.
5. Seleccionar el tipo de actualizacin:
Para realizar un mandatory upgrade, seleccionar el cuadro Required upgrade for
existing packages, y despus hacer click en OK.
Para realizar un optional upgrade, limpiar el cuadro Required upgrade for
existing packages, y despus hacer click en OK.
Cmo funciona la reinstalacin de Software
I 171
Redeployment es la aplicacin de service packs y actualizaciones de software al software

instalado. Usted puede instalar un package instalado forzando la reinstalacin del
software. La reinstalacin puede ser necesaria si el software package instalado
previamente
es
actualizado
pero
sigue
teniendo
la
misma
versin,
o si hay problemas de interoperabilidad o virus que la reinstalacin del software arregle.
Cuando Usted marca un archivo package para reinstalacin, el software se anuncia a cada
uno de los que se ha concedido el acceso al aplicativo, ya sea a travs asignacin o
publicacin. Entonces, dependiendo de cmo el package original haya sido instalado, uno
de estos tres escenarios ocurrir:
Cuando usted asigne software a un usuario, el Start menu, los shortcuts de escritorio y
la configuracin de registry sern relevantes al software y actualizados la prxima vez que
el usuario inicie sesin. La prxima vez que el usuario inicie el software, el service pack o
actualizacin de software se aplicar automticamente.
Cuando usted asigne software a una computadora, el service pack o actualizacin de
software se aplicar automticamente la prxima vez que la computadora se encienda.
Cuando Usted publique e instale software, el Start menu, los shortcuts de escritorio y la
configuracin de registry, sern relevante al software y actualizados la prxima vez que el
usuario inicie sesin. La prxima vez que el usuario inicie el software, el service pack o
actualizacin de software se aplicar automticamente.
Cmo reinstalar Software

Usted utiliza la instalacin de software para establecer el procedimiento de reinstalacin
del mismo. Antes de reinstalar, asegrese que el servicio incluya un nuevo archivo
Windows Installer package (.msi ). De lo contrario, Usted no podr reinstalar el software,
porque solamente el nuevo archive package contiene las instrucciones para instalar los
archivos nuevos que el service pack o actualizacin de software contiene.
Para reinstalar un software, deber:
Obtener el service pack o actualizacin de software del vendedor del aplicativo y colocar
los archivos en las carpetas apropiadas de instalacin.
1. Editar la GPO que originalmente instal el software.
2. Abrir Software Installation, hacer click derecho en el nombre del archive package,
marcar All Tasks, y despus hacer click en Redeploy Application.
3. En el cuadro de dilogo, hacer click en Yes.
Mtodos para quitar Software instalado
172
Puede ser necesario quitar el software si una versin no es soportada en adelante o si los
usuarios no requieren ms el software. Usted puede forzar el retiro del software o dar a
los usuarios la opcin de continuar, usando el viejo software.
Hay dos mtodos de remocin:

Forced removal. Usted puede forzar la remocin del software, lo cual automticamente
remover el software de la computadora la prxima vez que la computadora se encienda o
la prxima vez que un usuario inicie sesin, en caso de un Group Policy setting de usuario.
El software se remover antes que aparezca el escritorio del usuario.
Optional removal. Usted puede quitar el software de la instalacin del mismo sin forzar
el retiro fsico del software. El software no se quita realmente de las computadoras. El
software no aparece ms en Add or Remove Programs, pero los usuarios pueden
todava utilizarlo. Si los usuarios remueven manualmente el software, no podrn
reinstalarlo.
Para quitar software instalado, deber:
1. Abrir la GPO que fue utilizada originalmente para instalar el software.
2. En Software Installation, hacer click derecho al nombre del package, marcar All
Tasks, y despus hacer click en Remove.
3. En el cuadro Remove Software, hacer click a una de las siguientes opciones, y
despus hacer click en OK.
Immediately uninstall the software from users and computers.
Allow users to continue to use the software, but prevent new installations.
Group Policy Management Console (GPMC)

Conjuntamente con Microsoft Windows Server. 2003, Microsoft est lanzando una nueva
herramienta Group Policy Management que unifica la administracion de Group Policy. La
Microsoft Group Policy Management Console (GPMC) proporciona una sola solucin para
manejar todas las areas relacionadas a Group Policy. Consiste en un nuevo Microsoft
Management Console (MMC) snap-in y un sistema de interfases de scripting para la
administracin de Group Policy. La GPMC ayuda manejar una empresa con ms eficacia.
I 173
La Group Policy Management Console (GPMC) es una herramienta nueva para manejar
Group Policy en Windows Server 2003.
La GPMC:
Permite que usted maneje Group Policy para mltiples forests, dominios y organizational
units a partir de una interfaz constante.
Exhibe los links, herencia y delegacin de Group Policy
Muestra los contenedores a los cuales se aplican policy.
Proporciona reportes HTML de las configuraciones.
Proporciona las herramientas para mostrar el Resultant Set of Policies (RSoP) y
experimentar con combinaciones propuestas de policies.
GPMC Requisitos del Sistema
GPMC ayuda a manejar dominios Windows Server 2003 con Active Directory service.
En cualquier caso, la computadora en la cual corre GPMC debe funcionar con uno de los
sistemas operativos siguientes:
Windows XP Professional con Service Pack 1 (SP1) y Microsoft .NET Framework. Adems,
es requerido un hotfix post-SP1 (QFE Q326469). Este QFE actualiza su versin de
gpedit.dll a version 5.1.2600.1186, la cual se requiere para GPMC. Este QFE se incluye con
GPMC y la instalacin de GPMC le pregunta sobre su instalacin. Sin embargo, si el
lenguaje de GPMC no concuerda con el lenguaje de su sistema operativo, GPMC no
instalar el QFE y se necesitar obtener e instalar por separado este QFE, que ser
incluido en Windows XP Service Pack 2.
174
Instalacin de GPMC
La instalacin de GPMC es un proceso simple que implica la ejecucin de un Windows
Installer (.MSI) package. Los archivos necesarios sern instalados en la carpeta
\Program Files\GPMC. Para ello:
1. Hacer Doble-click en gpmc.msi package y en Next.
2. Aceptar el End User License Agreement (EULA), y hacer click en Next.
3. Hacer Click en Close para terminar la instalacin.
Sobre la terminacin de la instalacin, la lengeta Group Policy que apareca en las
pginas de propiedades de sites, dominios y organizational units (OUs) en el Active
Directory snap-ins, es actualizada para proporcionar un acceso directo a la GPMC. La
funcionalidad que existi previamente en la lengeta original de Group Policy no estar
ms disponible; toda la funcionalidad para manejar Group Policy estar disponible a travs
de la GPMC.
Para abrir el GPMC snap-in directamente, utilizar alguno de los mtodos siguientes:
Hacer Click en Start, click Run, ingresar GPMC.msc, y despus hacer click en OK.
Hacer Click en el acceso Group Policy Management en la carpeta Administrative
Tools del Start Menu o en el Control Panel.
Crear una consola custom MMC
1. Hacer Click en Start, click Run, ingresar MMC, y despus hacer click en OK.
2. En el menu File, hacer click en Add/Remove Snap-in, hacer click en Add,
seleccionar Group Policy Management, hacer click en Add, hacer click en Close,
y despus hacer click en OK.
Para reparar o quitar GPMC, usar Add or Remove Programs en Control Panel.
Alternativamente, correr el gpmc.msi package, seleccionr la opcin apropiada, y hacer
click en Finish.
Group Policy Modeling y Group Policy Results
I 175
Windows Server 2003 tiene una nueva caracterstica de gran alcance: Group Policy
Management. Esta permite que el usuario simule la aplicacin de policy que sera aplicada
a los usuarios y a las computadoras antes aplicar realmente policies. Esta caracterstica,
es conocida como Resultant Set of Policy (RSoP). El Modo de planeamiento en Windows
Server 2003, se integra en GPMC como Group Policy Modeling. Esto requiere un domain
controller Windows Server 2003 en el forest porque la simulacin es realizada por un
servicio que est solamente presente en domain controllers Windows Server 2003.
Sin embargo, usando esta caracterstica, Usted puede simular el resultant set of policy
para cualquier computadora en el forest, incluyendo las que funcionan con Microsoft
Windows 2000.
Esta caracterstica permite que los administradores determinen el resultant set of policy
que fue aplicada a una computadora especfica y (opcionalmente) el usuario que inici
sesin en esa computadora. Los datos que se presentan son similares a los datos de
Group Policy Modeling. Sin embargo, son diferentes a Group Policy Modeling puesto que no
son una simulacin. Es el resultado real de resultant set of policy obtenido de la
computadora destino. Tambin difiere Group Policy Modeling, con los datos de Group
Policy Results que se obtienen del cliente, y no se simula en el domain controller. El cliente
debe correr Windows XP, Windows Server 2003 o superior.
Administrando mltiples Forests
Mltiples forests pueden ser agregados fcilmente a la consola. Para ello deber:
1.
Hacer click derecho al nodo de la raz Group Policy Management, y
seleccionar Add Forest
2.
Especificar el nombre DNS o NetBIOS del dominio deseado en el forest que no se
haya cargado en GPMC, y hacer click en OK.
El forest especificado aparecer como nodo secundario en la consola y ser cargado en la
consola con el dominio que fue incorporado en el cuadro Add Forest.
Para quitar un nodo de forest, simplemente haga click derecho en el nodo, y seleccione
Remove. Por defecto usted puede agregar solamente forest a la GPMC si hay 2-way trust
con el forest del usuario que corre la GPMC.
176
Contenido de Dominios
Dentro de cada dominio, GPMC proporciona una vista basada en policy de Active Directory
y los componentes asociados a las Group Policy, por ejemplo, GPOs, WMI filters y GPO
links. La visin en GPMC es similar a la visin en Active Directory Users and Computers
MMC snap-in, que muestra la jerarqua de OU. Sin embargo, GPMC difiere de este snap-in
porque en vez de mostrar usuarios, computadoras y grupos en OUs, exhibe las GPOs que
estn linkeadas a cada contnedor.
Cada nodo de dominio en GPMC exhibe los puntos siguientes:
Todas las GPOs linkeadas al dominio.
Todas las top-level OUs y una vista del rbol de OUs y GPOs linkeadas a cada una de las
OUs.
Los contenedores de Group Policy Objects muestran todas las GPOs en el dominio.
El contenedor WMI Filters muestra todos los WMI Filters en el dominio.
I 177
Reportes de configuracin de GPO

La lengeta de configuracin de GPO o GPO link en GPMC, muestra un informe HTML que
exhibe todas las configuraciones definidas en la GPO. Haciendo click en esta lengeta se
genera un informe de las configuraciones en la GPO. Este informe puede ser generado por
cualquier usuario con acceso de lectura al GPO. Sin GPMC, usuarios que no tenan acceso
de escritura a un GPO no podrn leer y revisar configuracion en esa GPO. Esto es porque
el editor de Group Policy Object requiere que el usuario tenga permisos de lectura y
escritura al abrir la GPO.
Los informes HTML tambin hacen fcil que el administrador tenga visin de todas las
configuraciones que se contengan en un GPO de un vistazo. Seleccionando la opcin
Show All arriba del informe, ste se ampla completamente y se muestran todas las
configuraciones.
Para ver o guardar un informe directamente en un browser Web, Usted debe utilizar
Internet Explorer 6 o Netscape 7. Netscape 7 no soporta la funcionalidad que permita
mostrar u ocultar datos en informes.
178
Operaciones con GPO

Las operaciones GPO se refieren a la capacidad de backup (export), restore, import y
copy de GPOs. Hacer backup de GPO consiste en hacer copia de los datos de GPO al
sistema de archivos. Observar que la functin Backup tambin sirve como la funcin de la
exportacin para GPOs.
El Restore de GPO toma un backup existente y recrea la GPO en el dominio. El propsito
del restore es reajustar un GPO especfico de nuevo al estado idntico que tenia cuando
era realizado el backup. Por lo tanto, la operacion de restore no puede ser utilizada para
transferir GPOs a travs de dominios. Para esta operacin debe utilizar la importacin de
GPO la operacin de copy.
Backup
El Backup de GPO pone una copia de todos los datos relevantes de GPO en una
localizacin especificada del sistema de archivos. Los datos relevantes incluyen:
El GPO GUID y dominio.
Configuraciones GPO.
La Discretionary Access Control List (DACL) de la GPO.
Los WMI filter link.
La operacin de backup solamente hace backup de componentes de la GPO que estn en
Active Directory y en la estructura de archivo de GPO en SYSVOL. La operacin no captura
los datos almacenados fuera del GPO, por ejemplo WMI filters e IP Security policies. stos
son objetos separados con su propio sistema de permisos y es posible que un
administrador cualquiera que realiza el backup o el restore, pueda no tener los permisos
requeridos en esos otros objetos.
I 179
Los administradores pueden hacer backup de una o ms GPOs usando los mtodos
siguientes:
Hacer click derecho en la GPO bajo el nodo Group Policy objects y elegir Back up
del men de contexto.
Hacer click derecho en una o ms GPOs en la lengeta Contents del nodo Group Policy
objects y elegir Back up del men de contexto. Esto hace backup de las GPO(s)
seleccionadas.
En el nodo Group Policy Objects, hacer click derecho y elegir la opcin Back Up All
Esto hace backup de todas las GPOs en el dominio.
Use los GPO backup scripts. Usted puede escribir sus el propios scripts o puede utilizar la
muestra de scripts incluida con GPMC en la carpeta GPMC\scripts . Hay dos scripts
BackupGPO.wsf y BackupAllGPOs.wsf que se incluyen con GPMC, los cuales usted
pueden utilizar para hacer backup de GPOs.
Restore
La operacin de Restore de GPO restaura la GPO a un estado anterior y puede ser utilizada
en los casos siguientes: se realiza backup a la GPO perose ha removido desde entonces, o
la GPO est viva y se desea volverla a un estado anterior.
La operacin de restore substituye los componentes siguientes de una GPO:
Configuraciones de GPO.
ACLs en la GPO.
Los WMI filter links.
Usted puede realizar un restore de GPOs usando cualquiera de los mtodos siguientes:
Para hacer restore una GPO existente, hacer click derecho a la GPO en el contenedor
Group Policy objects y seleccionar Restore from Backup Esto abre el Restore
Group Policy Object Wizard.
Usar los GPO restore scripts. Usted puede escribir sus propios scripts o utilizar las
muestras de scripts includas con GPMC en la carpeta GPMC\scripts
Hay dos scripts RestoreGPO.wsf y RestoreAllGPOs.wsf.
180
Import
La operacin de importacin transfiere configuracin en una GPO existente de Active
Directory, usando un backup de GPO en la localizacin del sistema de archivos como su
fuente. Las operaciones de importacin se pueden utilizar para transferir configuraciones a
travs de GPOs dentro del mismo dominio, a travs de dominios en el mismo forest o en
forest separados.
Las operaciones de importacin son ideales para emigrar Group Policy a travs de
ambientes donde no hay confianza.
Las operaciones de importacin se pueden realizar usando cualquiera de los mtodos
siguientes:
Hacer click derecho en la GPO bajo el nodo Group Policy Objects y hacer click en Import
Settings. Esto iniciar un wizard que lo guiar en el proceso de seleccionar el backup y
opcionalmente especificando una tabla de migracin si es apropiado.
Usar cualquiera de los scripts ImportGPO.wsf o ImportAllGPOs.wsf que se incluyen
con GPMC.
I 181
CAPTULO 08
Servicios de Impresin en windows 2003 P
Funcionamiento de la impresin
Si agrega una impresora que esta conectada a una red a traves de un adaptador de red,
puede implementar la impresion de las siguientes formas:
Agregue una impresora directamente al equipo de cada usuario sin utilizar ningn equipo
servidor de impresion.
Agregue la impresora una vez a un equipo servidor de impresion y conecte todos los usuarios
a la impresora a traves del equipo servidor de impresion.
Imagine un grupo de trabajo pequeo que tiene pocos equipos y una impresora que esta
conectada directamente a la red. Cada usuario de la red agrega la impresora a su carpeta
Impresoras y faxes sin compartir la impresora y define su propia configuracin de los
controladores.
Esta configuracion tiene los siguientes inconvenientes:
Los usuarios no conocen el estado real de la impresora.
Cada equipo tiene su propia cola de impresion que muestra solamente los trabajos de
impresion enviados desde ese equipo.
182
No puede determinar donde esta su trabajo de impresion en relacion con los trabajos de
impresion de los restantes equipos.
Los mensajes de error, como los atascos de papel o las bandejas de papel vacas, slo
aparecen en la cola de impresin del trabajo de impresion activo.
Todos los procesos de un documento enviado a imprimir se realizan en dicho equipos
Los equipos con Windows Server 2003 funcionan como servidores de impresin. El equipo
agrega la impresora y la comparte con los restantes usuarios. Los equipos con Microsoft
Windows XP Profesional tambin pueden funcionar como servidores de impresin. Sin
embargo, no admiten los servicios de Macintosh ni de NetWare, y estn limitados a 10
conexiones en una sola red de rea local (LAN, Local Area Network).
La impresion con servidor de impresion tiene las siguientes ventajas:
El servidor de impresion administra la configuracion del controlador de la impresora.
Aparece una sola cola de impresion en todos los equipos conectados a la impresora, lo que
permite que todos los usuarios vean donde estan sus trabajos de impresion en relacion con los
restantes que estan esperando para imprimirse.
Dado que aparecen mensajes de error en todos los equipos, todo el mundo conoce el
estado real de la impresora.
Una parte del procesamiento pasa del equipo cliente al servidor de impresion.
Se puede tener un solo registro para los administradores que deseen auditar los sucesos de
la impresora.
Instalar y compartir impresoras

En un entorno dometico, los usuarios utilizan principalmente una impresora local conectada
s equipo cliente. Sin embargo, en las empresas, los equipos cliente utilizan un servidor de
impresin centralizado que redistribuye los trabajos de impresin a un dispositivo de
impresin. Con un servidor de impresin, los administradores de red pueden centralizar la
administracin de todas las impresoras y dispositivos de impresin
Impresora local y una impresora de red
I 183
A los administradores de sistemas se les pide que creen dos tipos de impresoras: locales y de
red. Para compartirlas y que puedan utilizarlas otros usuarios, antes hay que crear ambos tipos
de impresoras.
Las impresoras locales se crean para imprimir en un dispositivo de impresion conectado
localmente a traves de un puerto paralelo (LPT, Line Printer Terminal), bus serie universal
(USB, Universal Serial Bus) o de infrarrojos (IR, Infra-Red). Tambin imprimen en dispositivos
de impresion de red que utilizan el protocolo de Internet (IP, Internet Protocol) o IPX. Adems,
tambin admiten Plug and Play.
Las impresoras de red imprimen en una impresora de red con los protocolos
IP, IPX o AppleTalk. Tambin imprimen en impresoras que redirigen el trabajo a un dispositivo
de impresin.
La siguiente tabla presenta las ventajas e inconvenientes de utilizar una impresora
local o una impresora de red.
Ventajas
Inconvenie
ntes
Impresora local
Impresora de red
El
dispositivo
de
impresin est
muy prximo al equipo
del
usuario
Muchos usuarios
pueden
tener
acceso
a los dispositivos
de impresin
La tecnologa Plug and

Play puede
Hace falta un dispositivo
de impresin para cada
equipo
Los controladores deben

instalarse
manualmente en cada
impresora
local
La seguridad se
limita
a
la
seguridad
fsica del
dispositivo de
impresin
Las impresoras locales

necesitan
ms ciclos de reloj del
procesador
para imprimir
184
Las
impresoras
de red
admiten
la
distribucin
de controladores
de
impresora
actualizados
i
li
Requisitos de hardware para configurar servidores de impresion
Existen ciertos requisitos de hardware para configurar un entorno de impresion eficiente.

Independientemente de que se vaya a utilizar una impresora local o una impresora de red, si
no se cumplen los requisitos mnimos de hardware, la impresion en red puede ser muy poco
eficiente.
La configuracion de la impresion en una red con Windows Server 2003 requiere los siguientes
elementos:
Al menos un equipo que funcione como servidor de impresion y que utilice uno de los
sistemas operativos de la familia de Windows Server 2003
Si se espera que el servidor de impresion vaya a administrar muchos trabajos de impresion,
se recomienda dedicar un servidor exclusivamente a la impresion. El servidor de impresion
puede utilizar cualquier sistema operativo de la familia de Windows Server 2003. Utilice uno
de estos productos cuando tenga que dar soporte a un gran nmero de conexiones, ademas
de a los clientes Macintosh, UNIX y NetWare.
Memoria RAM suficiente para procesar los documentos
Si un servidor de impresion administra muchas impresoras o documentos muy grandes, es
posible que necesite memoria RAM adicional, mas de la que Windows Server 2003 requiere
para otras tareas. Si un servidor de impresion no tiene suficiente memoria RAM (Random
Access Memory) para su carga de trabajo, es posible que disminuya el rendimiento de la
impresion.
Espacio de disco suficiente en el servidor de impresion para almacenar documentos
Hay que tener suficiente espacio en el disco para garantizar que Windows Server 2003 puede
almacenar los documentos que se envian al servidor de impresion hasta que este los envia al
dispositivo de impresion.
Esto es fundamental cuando los documentos son grandes o cuando se acumulan muchos
documentos. Por ejemplo, si 10 usuarios envian al servidor de impresion un documento
grande cada uno al mismo tiempo, debe tener espacio en disco suficiente para guardarlos
todos hasta que los envie al dispositivo de impresion.
I 185
Instalar y compartir una impresora local

Para instalar y compartir una impresora local se utiliza el Asistente para agregar impresoras,
que se encuentra en la carpeta Impresoras y faxes. En el Asistente para agregar impresoras,
tambien se pueden agregar y configurar los puertos de la impresora. Este asistente solicita
que se instale un controlador de impresora, si es necesario, o que se reemplace el existente.
Tambien permite conectarse a una impresora remota compartida e instalar su interfaz de
software en el equipo, siempre que se desee control local y se disponga de los permisos
correctos. Si lo hace, el proceso de impresion omite el servidor de impresion de la
impresora remota, para lo que procesa localmente los trabajos de impresion y redirige la
salida a una impresora remota.
Conecte la impresora al puerto adecuado del equipo, segn la documentacion del fabricante de
la impresora, y verifique que esta lista para imprimir.
1. Conecte la impresora al equipo.
2. En el Panel de control, en la carpeta Impresoras y faxes,
haga clic en Agregar una impresora.
3. En el Asistente para agregar impresoras, en la pagina Este es el
Asistente para agregar impresoras, haga clic en Siguiente.
4. En la pagina Impresora local o de red, haga clic en
Impresora local conectada a este equipo.
5. Active la casilla de verificacion Detectar e instalar mi
impresora Plug and Play automaticamente y, a
continuacion, haga clic en Siguiente.
6.
Dependiendo de la impresora que vaya a instalar, aparece el
mensaje Nuevo hardware encontrado o el Asistente para
hardware nuevo encontrado, que notifica que se ha detectado la
impresora y que ha comenzado la instalacion.
7.
8.
Siga las instrucciones que aparecen en pantalla para completar la

instalacion de la impresora.
El icono de la impresora se agrega a la carpeta Impresoras y faxes.
Si no puede instalar la impresora con Plug and Play o si la impresora esta conectada al
equipo con un puerto serie (COM):
1. En el Panel de control, en la carpeta Impresoras y faxes, haga clic en Agregar
una impresora.
2. En el Asistente para agregar impresoras, en la pgina Este es el Asistente para
agregar impresoras, haga clic en Siguiente.
3. En la pagina Impresora local o de red, haga clic en Impresora local conectada
a este equipo.
4. Desactive la casilla de verificacion Detectar e instalar mi impresora Plug and Play
automaticamente para no tener que esperar a que finalice la bsqueda de otra
impresora y haga clic en Siguiente.
5. Siga las instrucciones que aparecen en pantalla para terminar de instalar la impresora,
para lo que tiene que seleccionar el puerto de la impresora, el fabricante y el modelo de
la misma y escribir el nombre de la impresora.
186
En Windows Server 2003, el Asistente para agregar impresoras comparte

la impresora y, de forma predeterminada, la publica en el servicio de directorios de Active
Directory, a menos que se active la casilla de verificacion No compartir esta impresora de
la pgina Compartir impresora del Asistente para agregar impresoras.
Instalar y compartir una impresora de red

En organizaciones grandes, la mayoria de dispositivos de impresion tienen una interfaz de red.
El uso de estos dispositivos tiene varias ventajas. Hay mayor fexibilidad sobre el sitio en que
se ubican las impresoras. Ademas, las conexiones de red transfieren los datos a mas
velocidad que las conexiones por cable de impresora.
Para instalar una impresora de red:
1. En la carpeta Impresoras y faxes, haga clic en Agregar una impresoras
2. En el Asistente para agregar impresoras, en la pagina Este es el Asistente para
agregar impresoras, haga clic en Siguiente.
3. En la pagina Impresora local o de red, haga clic en Impresora local conectada
a este equipo.
4. Desactive la casilla de verificacion Detectar e instalar mi impresora Plug and Play
automaticamente y haga clic en Siguiente.
5. Cuando el Asistente para agregar impresoras le pida que seleccione el puerto de la
impresora, haga clic en Crear puerto nuevo.
6. Haga clic en el tipo de puerto apropiado de la lista y siga las instrucciones.
De forma predeterminada, en la lista slo aparecen Local Port (Puerto local) y Standard
TCP/IP Port (Puerto TCP/IP estndar).
Para compartir una impresora de red:
1. En la carpeta Impresoras y faxes, haga clic con el boton secundario del mouse en la
impresora que desea compartir y haga clic en Compartir.
2. En la ficha Compartir, haga clic en Compartir esta impresora y escriba el nombre de
la impresora compartida.
Si comparte la impresora con usuarios que tengan hardware o sistemas operativos
diferentes, haga clic en Controladores adicionales. Haga clic en el entorno y el sistema
operativo de los restantes equipos
y, seguidamente, haga clic en Aceptar para instalar los controladores adicionales.
Si ha iniciado la sesin en un dominio de Windows 2000
o de Windows Server 2003, puede poner la impresora a disposicin de los restantes usuarios
del dominio haciendo clic en Mostrar lista en el directorio para publicar la impresora en
Active Directory.
3. Haga clic en Aceptar, o si ha instalado controladores adicionales, haga clic en Cerrar.
Administrar el acceso a las impresoras con permisos

de impresoras compartidas
La mayoria de las impresoras de las empresas no cumplen las normas
de seguidad para impresoras, ya que limitar quien puede utilizar una impresora puede ser
contraproducente en un entorno de trabajo. No obstante, para algunas impresoras debe
habilitarse una seguridad estricta, como para las que imprimen los cheques de las nominas o
I 187
las de gran capacidad que se utilizan para trabajos de impresion de calidad fotografica o
folletos encuadernados. La seguridad
de las impresoras debe configurarse de tal forma que las personas adecuadas puedan
utilizarlas con el nivel de acceso que necesitan para realizar su trabajo.
Permisos de impresoras compartidas
Windows proporciona los siguientes niveles de permisos de impresoras compartidas:

1. Imprimir
2. Administrar impresoras
3. Administrar documentos
Si se han concedido varios permisos a un grupo de usuarios, se aplica el menos restrictivo. Sin
embargo, si se aplica un permiso Denegar este tiene prioridad sobre los restantes permisos.
Esta es una breve explicacion de los tipos de tareas que pueden realizar los usuarios en cada
nivel de permiso:
Imprimir
El usuario puede conectarse a una impresora y enviar documentos a dicha impresora. De
forma predeterminada, el permiso Imprimir se concede a todos los miembros del grupo
Todos.
Administrar impresoras
El usuario puede realizar las tareas asociadas con el permiso Imprimir y tiene total
control administrativo de la impresora. Puede pausarla y reiniciarla, cambiar la
configuracion de la cola de impresion, compartirla, ajustar sus permisos y cambiar sus
propiedades. De forma predeterminada, el permiso Administrar impresoras se concede
a los miembros de los grupos Administradores y Usuarios avanzados.
De forma predeterminada, los miembros de estos grupos tienen acceso total, lo que significa
que se les conceden los permisos de Imprimir, Administrar documentos y Administrar
impresoras.
188
Administrar documentos
El usuario puede pausar, reanudar, reiniciar, cancelar y reorganizar el orden de los
documentos que envian los restantes usuarios. Sin embargo, el usuario no puede enviar
documentos a la impresora ni controlar el estado de esta. De forma predeterminada, el
permiso Administrar documentos se concede a los miembros del grupo Creator /Owner.
Si se concede a un usuario el permiso de Administrar documentos, este no puede tener
acceso a los documentos existentes que estan esperando para imprimirse. Solo puede tener
acceso a los documentos enviados a la impresora despues de que le hayan concedido el
permiso.
Windows asigna permisos de impresoras a seis grupos de usuarios. Dichos grupos son:
Administradores, Creator /Owner, Todos, Usuarios avanzados, Operadores de impresion y
Operadores de servidores. De forma predeterminada, a cada grupo se le concede una
combinacion de permisos
de Imprimir, Administrar documentos y Administrar impresoras, como muestra la tabla
siguiente.
Grupo
Imprimir
Administrar
documentos
Administradores
Creator /Owner
Administrar
impresoras
X
Todos
Usuarios
Operadores de
impresin
Operadores de
servidores
Razones para modificar los permisos de impresoras compartidas
Cuando se instala una impresora compartida en una red, se le asignan permisos

predeterminados que permiten a todos los usuarios imprimir. Tambin se puede habilitar que
ciertos grupos administren los documentos que se envan a la impresora y que otros grupos
I 189
gestionen la impresora. Es posible denegar explcitamente el acceso a la impresora a usuarios

o a miembros de grupos.
Es posible que desee limitar el acceso de algunos usuarios concediendo permisos de impresora
especficos. Por ejemplo, se puede conceder el permiso imprimir a todos los usuarios no
administrativos de un departamento y conceder los permisos de imprimir y Administrar
documentos a todos los directores. El resultado es que todos los usuarios y directores pueden
imprimir documentos, pero estos ltimos tambien pueden cambiar el estado de impresion de
todos los documentos enviados a la impresora.
En algunos casos, es posible que tenga que dar acceso a una impresora a un grupo de
usuarios. Sin embargo, en el grupo puede haber unos pocos usuarios que no desee que
tengan acceso a la impresora. En ese caso, puede conceder permisos al grupo y denegar el
permiso a usuarios determinados del mismo. Por ejemplo, puede conceder a ciertos miembros
de un grupo la posibilidad de imprimir documentos y denegar a otros el acceso a la impresora,
con el fin de obligarles a utilizar otra.
Administrar el acceso a las impresoras

Los permisos de impresoras compartidas deben cambiarse a medida que cambia el entorno de
red.
Para administrar el acceso a las impresoras mediante la concesion o denegacion de permisos
para utilizarlas:
1.
En la carpeta Impresoras y faxes, haga clic con el boton secundario del mouse en
la impresora en la que desea establecer permisos y haga clic en Propiedades.
2.
En el cuadro de dialogo Propiedades, en la ficha Seguridad, lleve a cabo una de las

siguientes acciones:
Para cambiar o quitar los permisos a un usuario o grupo existente, en Nombres de
grupos o usuarios, haga clic en el nombre del usuario o del grupo.
Para conceder permisos a un usuario o grupo nuevo, haga clic en Agregar. En el
cuadro de dialogo Seleccionar Usuarios, Equipos o Grupos, escriba el nombre del
usuario o del grupo al que desea conceder permisos y haga clic en Aceptar.
3.
190
En Permisos, active la casilla de verificacion Permitir o Denegar de cada permiso que

desea conceder o denegar.
Controlador de impresora
Un controlador de impresora es el software que utilizan los programas para comunicarse

con las impresoras y con los trazadores graficos. Los controladores de impresora
convierten la informacion que se envia desde el equipo en comandos que entiende la
impresora. Normalmente, los controladores de impresora de una plataforma no son
compatibles con los de las restantes, por lo que hay que instalar varios en el servidor de
impresion para que admitan hardware y sistemas operativos diferentes. Por ejemplo, si un
equipo utiliza Windows XP y se comparte una impresora con usuarios cuyos equipos
utilizan Microsoft Windows 3.1, es posible que haya que instalar varios controladores de
impresora.
Los controladores de impresora constan de los tres tipos siguientes de archivos:
Archivo de configuracion o de interfaz de la impresora
Este archivo muestra los cuadros de dialogo Propiedades y Preferencias

de impresion cuando se configura la impresora.
Este archivo tiene la extension dll.
Archivo de datos
Este archivo proporciona informacion acerca de las capacidades de una impresora

especfica, entre las que se incluyen su resolucion, si puede imprimir en ambas
caras de la pgina y el tamao de papel que puede aceptar.
Este archivo puede tener las extensiones .dll, .pcd, .gpd o .ppd.
Archivo de controlador grafico de la impresora

Este archivo convierte los comandos de la interfaz de controlador de dispositivo (DDI,
Device Driver Interface) en comandos que puede entender la impresora. Cada
controlador convierte un lenguaje de impresora diferente. Por ejemplo, el archivo
Pscript.dll convierte el lenguaje de las impresoras PostScript.
Este archivo tiene la extension .dll.
Los archivos de controladores de impresora, que suelen ir acompaados de un archivo de
Ayuda, trabajan conjuntamente para que la impresin sea posible. Por ejemplo, al instalar
una impresora nueva, el archivo de configuracin lee el archivo de datos y muestra las
opciones disponibles de la impresora. Al imprimir, el archivo de controlador grfico de la
I 191
impresora consulta en el archivo de configuracin las selecciones, con el fin de poder crear
los comandos adecuados para la impresora.
Es recomendable que utilice solamente controladores de dispositivo con los logotipos
Diseado para Microsoft Windows XP o Diseado para Microsoft Windows 2003
Server. La instalacion de controladores de dispositivo que no tienen el certificado digital de
Microsoft puede deshabilitar el sistema, permitir que entren virus en su equipo o perjudicar de
cualquier otra forma el funcionamiento correcto del equipo en la actualidad o en el futuro.
Instalar controladores de impresora
Si administra un servidor de impresion, recibira ocasionalmente controladores de impresora

actualizados de los fabricantes de los dispositivos de impresion. A menudo, estos
controladores cuentan con revisiones, pero antes de instalarlas en el servidor de impresion
deben probarse a conciencia.
Para instalar controladores de impresora nuevos o actualizados:
impresora en la que desea cambiar los controladores y haga clic en Propiedades.
2. En el cuadro de dialogo Propiedades, en la ficha Opciones avanzadas, haga clic en
Controlador nuevo.
3. En el Asistente para agregar controladores de impresora, en la pagina este es el
Asistente para agregar controladores de impresora, haga clic en Siguiente.
4. Siga uno de estos procedimientos:
Si el controlador nuevo o actualizado est en la lista, seleccione el fabricante de
impresoras apropiado y el modelo de la impresora.
Si el controlador de impresora no est incluido en la lista o si el fabricante de la impresora le
ha enviado un controlador nuevo o actualizado en CD o en disco, haga clic en Utilizar
disco. Escriba la ruta de acceso donde se encuentra el controlador y haga clic en Aceptar.
5. Haga clic en Siguiente y siga las instrucciones que aparecen en pantalla para terminar
la instalacin del controlador de impresora.
192
Agregar controladores de impresora en los sistemas operativos de otros clientes
Si comparte una impresora con usuarios que utilicen Windows 95, Windows 98 o Windows NT
4.0, puede instalar controladores de impresora adicionales en su equipo, con el fin de que
dichos usuarios se puedan conectar a su impresora sin que tengan que instalar los
controladores que faltan en sus sistemas. Los controladores se encuentran en el disco
compacto de soporte de Windows Server 2003. No se incluyen los controladores de impresora
para Windows NT 3.1 3.5, pero stos se pueden obtener del fabricante del dispositivo de
impresion.
Para agregar controladores de impresora para otras versiones de Windows:
1.
En la carpeta Impresoras y faxes, haga clic con el boton secundario del mouse en la
impresora en la que desea instalar controladores adicionales y haga clic en
Propiedades.
2.
En el cuadro de dialogo Propiedades, en la ficha Compartir, haga clic en

Controladores adicionales.
3.
En el cuadro de dialogo Controladores adicionales, active la casilla de verificacion de

otros entornos y sistemas operativos, y haga clic en Aceptar.
Implementar las ubicaciones de las impresoras

Las ubicaciones de impresoras permiten a los usuarios buscar y conectarse a dispositivos
de impresion de los que estan fisicamente proximos.
La implementacion de las ubicaciones de impresora:
Permite instalar impresoras con gran facilidad en una consulta preparada.
Permite a los usuarios utilizar una jerarqua para buscar impresoras en otras
ubicaciones haciendo clic en Examinar.
Cuando se implementan ubicaciones de impresora, una bsqueda de impresoras publicadas
en Active Directory devuelve una lista de las impresoras que se encuentran en la misma
ubicacion fsica (por ejemplo, en el mismo edificio o en la misma planta) que el equipo cliente
que utiliza el usuario para realizar la bsqueda.
I 193
La capacidad de seguimiento de ubicacion de esta impresora se basa en la suposicion de que

los dispositivos de impresion que estan fisicamente ubicados cerca de un usuario se
encuentran en la misma subred IP de Internet que el equipo cliente del usuario. Las subredes
son subdivisiones de una red IP. Cada subred posee su propia direccion de red nica.
En Active Directory, las subredes IP se representan mediante objetos subred, que contienen
un atributo de Ubicacion que se utiliza en las bsquedas de impresoras. Active Directory
utiliza el valor del atributo Ubicacion como cadena de texto para mostrar la ubicacion de la
impresora. Por consiguiente, cuando un usuario busca una impresora y se implementa la
ubicacion de una impresora, Active Directory:
Busca el objeto subred que corresponde a la subred en la que se encuentra

el equipo del usuario.
Usa el valor del atributo Ubicacion del objeto subred como cadena de texto
para buscar todas las impresoras publicadas que tienen el mismo valor que el
atributo Ubicacion.
Devuelve al usuario una lista de impresoras cuyo valor del atributo

Ubicacion coincide con el que se define para el objeto subred. El usuario ya
se puede conectar a la impresora ms cercana.
Ademas, los usuarios tambien pueden buscar impresoras en cualquier ubicacion. Esto
resulta til si necesitan buscar y conectarse a una impresora de una ubicacion fsica
diferente de aquella en la que trabajan normalmente.
Ubicaciones de impresoras
Para poder implementar ubicaciones de impresora, la red de Windows Server 2003

debe tener lo siguiente:
Una red Active Directory configurada con un mnimo de un sitio y dos o ms subredes IP
Las redes con una subred no necesitan seguimiento de ubicacin de impresora. Dado que las
subredes IP se utilizan para identificar la ubicacin fsica de una impresora, en una red con
una sola subred lo habitual es que todas las impresoras estn cerca de los usuarios.
Un esquema de direcciones IP que corresponda al diseo geogrfico y fsico de su red
Los equipos y las impresoras que se encuentran en la misma subred
194
IP, tambien deben encontrarse, aproximadamente, en la misma ubicacion fsica. Si esto no

ocurre en su red, no puede implementar ubicaciones de impresora.
Un objeto subred para cada sitio
El objeto subred, que representa una subred IP en Active Directory, contiene un atributo
Ubicacion que se utiliza en las bsquedas de impresoras. El valor de este atributo se utiliza
durante las bsquedas en Active Directory para encontrar las impresoras que se encuentran
cerca de la ubicacin fsica del equipo cliente del usuario.
Equipos cliente que puedan buscar Active Directory
Los usuarios con equipos cliente con Windows 2000 Profesional, o con las versiones
anteriores de Windows en las que esta instalado el software cliente Active Directory, pueden
utilizar ubicaciones de impresora al buscar impresoras.
Es posible agregar informacion al cuadro Ubicacion de la ficha General del cuadro de
dialogo Propiedades de la impresora aunque este deshabilitada la ubicacion de la
impresora.
Sin embargo, es posible que esto dificulte la localizacion de las impresoras por parte de los
usuarios. Si los usuarios buscan una impresora en la decima planta y la ubicacion de
impresoras esta deshabilitada, necesitan saber exactamente que deben escribir en el cuadro
de dialogo Buscar Impresoras. Cuando se habilita la ubicacion de impresoras, se rellena
automticamente el cuadro Ubicacion del cuadro de dialogo Buscar Impresoras.
Convenciones de nomenclatura para ubicaciones de impresoras
La clave para implementar ubicaciones de impresoras es desarrollar una convencion de

nomenclatura para las ubicaciones de las impresoras que se corresponda con el diseo
fisico de su red. Los nombres de las ubicaciones de impresora deben corresponderse con
una subred IP. La convencion de nomenclatura se utiliza para determinar los valores de
los atributos Ubicacion tanto para el objeto subred como para el objeto impresora.
La presentacion Definicon de nombres de ubicacion explica la relacion entre los atributos
Ubicacion de las subredes y de las impresoras.
I 195
Para habilitar las ubicaciones de impresora, cree una convencion de nomenclatura

para ellas, siguiendo las siguientes reglas:
Los
nombres
de
las
ubicaciones
tienen
la
forma
Nombre/Nombre/Nombre/Nombre/... (la barra (/) debe ser el carcter divisorio).
Un nombre puede constar de cualesquiera caracteres, excepto la barra (/). ! El nmero
maximo de niveles en un nombre es de 256.
La longitud maxima de Nombre es de 32 caracteres.
la longitud maxima del nombre completo de una ubicacion es de 260 caracteres.
Dado que los nombres de las ubicaciones los utilizan los usuarios finales, deben ser simples y
faciles de reconocer. Evite el uso de nombres especiales que solo conoce el personal de
administracion de las instalaciones. Para facilitar la lectura del nombre, evite el uso de
caracteres especiales en los nombres y procure que no tengan mas de 32 caracteres para que
toda la cadena del nombre pueda verse en la interfaz del usuario.
Ejemplo
Tenga en cuenta que la profundidad del arbol varia en funcion de la complejidad de la

organizacion y de la cantidad de detalle disponible en las redes IP. La convencion de
nomenclatura de este ejemplo incluye mas niveles que los que se utilizan en una
organizacion pequea de una sola ciudad o de un solo edificio. El nombre completo de la
primera planta (Floor1) del Edificio 1 (Building1) en London es London/Building1/Floor1 y el
nombre completo de RemoteOffice1 en Vancouver es Vancouver/RemoteOffice1.
Configurar las ubicaciones de impresoras
Para configurar inicialmente las ubicaciones de las impresoras, hay que tener acceso de
lectura y escritura a los objetos sitio y subred de Active Directory, con el fin de poder crear
objetos subred, asignar una ubicacion al objeto subred y asociar el objeto subred con un sitio.
Al asignar ubicaciones a una impresora, debe hacer coincidir la ubicacion de la impresora con
la del objeto subred.
Una vez que un ingeniero de sistemas garantiza que la red cumple los requisitos
para implementar ubicaciones de impresora y se crea una convencion de nomenclatura, el
ingeniero de sistemas realiza las siguientes tareas para configurar las ubicaciones de las
impresoras:
1. Activar el seguimiento de ubicacin de impresora mediante el uso de Directiva de grupo.
196
El seguimiento de ubicaciones de impresora llena el campo de bsqueda Ubicacin

cuando un usuario busca una impresora en Active Directory. El valor que se usa para
llenar el campo de bsqueda es el mismo que se especifica en el atributo Ubicacin del
objeto subred que corresponde a la subred IP en que se encuentra el equipo del usuario.
2. Crear un objeto subred en Active Directory. Si no existe ningn objeto subred,
utilice Sitios y servicios de Active Directory para crearlo.
3. Definir el atributo Ubicacion del objeto subred. Use la convencion de
nomenclatura que desarrollo para los nombres de ubicaciones de impresora como
valor de este atributo.
Definir la ubicacion de impresoras
Antes de definir el atributo Ubicacion de una impresora, hay que determinar lo siguiente:
La direccin IP de la impresora para determinar el atributo Ubicacin del objeto subred
Tras determinar el nombre correcto de la ubicacion, puede agregarlo al atributo Ubicacion de
la impresora. Si va a configurar una impresora nueva, el ingeniero de sistemas le dara una
copia impresa del dispositivo de impresion que contiene la direccin IP y el control que debe
utilizarse. Si va a agregar el nombre de la ubicacion a una impresora existente, puede
determinar la direccin IP del dispositivo de impresion mirando el puerto TCP/IP en que esta
imprimiendo la impresora.
La ubicacion de la subred
Para determinar la direccion IP de una impresora existente:
1. En la carpeta Impresoras y faxes, haga clic con el boton secundario del
impresora cuyo atributo Ubicacion desea definir y haga clic en Propiedades.
mouse en la
2. En el cuadro de dialogo Propiedades, en la ficha Puertos, haga clic en el puerto TCP/IP

que se utiliza para la impresora y, seguidamente, haga clic en Configurar puerto.
3. En el cuadro de dilogo Configurar monitor de puertos TCP/IP estandar, escriba la
direccin IP encontrada en Nombre de impresora o direccin IP y haga clic en Aceptar.
4. En el cuadro de dilogo Propiedades, haga clic en Cerrar.
Para determinar la ubicacion de subredes:
1. En Sitios y servicios de Active Directory, en el rbol de la consola, expanda Sites (Sitios) y, a
continuacin, expanda Subnets (Subredes).
2. Haga clic con el botn secundario del mouse en la red que tenga la direccion IP del
dispositivo de impresion y despues haga clic en Propiedades.
3. Fjese en la ficha Ubicacion y escriba el atributo Ubicacion del objeto subred.
I 197
4. Haga clic en Aceptar.

Para definir el atributo Ubicacion de la impresora:
impresora cuyo atributo Ubicacion desea definir y haga clic en Propiedades.
2. En el cuadro de dialogo Propiedades, en la ficha General, en el cuadro Ubicacion,
escriba la ubicacin de la impresora o haga clic en Examinar para buscarla.Se recomienda
que sea ms preciso al describir la ubicacion de la impresora que la ubicacion de la subred.
Por ejemplo, para la ubicacion de subred US/NYC, puede escribir la siguiente ubicacin de la
impresora US/NYC/Floor42/Room4207.
Encontrar impresoras
El seguimiento de ubicacion se utiliza cuando algn usuario consulta Active Directory. Para
iniciar la consulta, el usuario hace clic en Inicio, Buscar, Otras opciones de bsqueda,
Impresoras, equipos o personas y Una impresora en la red. Los usuarios tambin
pueden hacer clic en la opcion Buscar una impresora en el directorio del Asistente para
agregar impresoras para iniciar el cuadro de dialogo Buscar Impresoras.
Si esta habilitado el seguimiento de ubicacion, en primer lugar el sistema determina en qu
lugar fsico de la organizacion se encuentra el equipo cliente. Mientras esto sucede, el cuadro
Ubicacion del cuadro de dialogo Buscar Impresoras muestra Comprobando. Una vez
que se determina la ubicacion, se escribe en el cuadro Ubicacion. Si no se puede
determinar la ubicacion, el cuadro Ubicacion se deja en blanco.
Cuando el usuario hace clic en Buscar ahora, Active Directory muestra todas las impresoras
que coinciden con la consulta del usuario y que se encuentran en la ubicacin del usuario.
Los usuarios pueden cambiar el valor del cuadro Ubicacion haciendo clic en Examinar.
Por ejemplo, imagine que una organizacion se encuentra en un edificio con varias plantas y
que cada una de estas plantas est configurada como una subred. Si un usuario que se
encuentra en la primera planta no logra encontrar ninguna impresora a color en su planta,
Floor 1, puede cambiar la ubicacin a Organization 1/Floor 2, o incluso a Organization 1,
para aumentar el alcance de la bsqueda.
198
Para buscar una impresora:

1.
En la carpeta Impresoras y faxes, haga clic en Agregar una impresora.
2.
En el Asistente para agregar impresoras, en la pagina este es el Asistente

para agregar impresoras, haga clic en Siguiente.
3.
En la pagina Impresora local o de red, haga clic en Una impresora de red o

una impresora conectada a otro equipo y, a continuacion, en Siguiente.
4.
En la pagina Especifique una impresora, conectese con la impresora

deseada siguiendo uno de los tres metodos siguientes:
Bsquela en Active Directory siguiendo estos pasos:
i.
Haga clic en Buscar una impresora en el directorio y, a continuacion,

Siguiente.
Si es necesario, cambie la ubicacion predeterminada de la impresora que aparece en el

cuadro Ubicacion, para lo que debe hacer clic en Examinar y elegir la ubicacion
adecuada.
ii.
En el cuadro de dialogo Buscar Impresoras, haga clic en Buscar ahora.
iii.
En la lista que aparece, haga clic en la impresora a la que desea conectarse y

Escriba el nombre de la impresora o bsquelo siguiendo estos pasos:
i.
Haga clic en Conectarse a esta impresora.
ii.
En el cuadro Nombre, escriba el nombre de la impresora utilizando el formato

\\NombreServidorImpresin\NombreImpresoraCompartida y haga clic en
Siguiente. En la pagina Buscar impresora, en el cuadro Impresoras
compartidas, busque la impresora y haga clic en Siguiente.
Conectese a una impresora en Internet o en la intranet siguiendo estos pasos:
i.
Haga clic en Conectarse a una impresora en Internet o en su red

domestica u organizacion.
ii.
En el cuadro Direccion URL, escriba la direccion URL de la impresora utilizando

el formato http:/NombreServidorImpresin/Printers y haga clic en
Siguiente.
5. Siga las instrucciones que aparecen en pantalla para terminar de conectarse a la

impresora. El icono de la impresora aparece en la carpeta Impresoras y faxes.
Administracion de colas de impresion

El componente principal de la interfaz de impresion es la administracion de colas de
impresin. La administracion de colas de impresion es un archivo ejecutable que
administra todo el proceso de impresion. La administracion del proceso de impresion
comprende:
Determinar la ubicacion del controlador de impresora adecuado.
Cargar dicho controlador.
Agrupar las llamadas de funcion de alto nivel en un trabajo de impresion.
I 199
Programar el trabajo de impresion para imprimir.

La administracion de colas de impresion se carga al iniciarse el sistema y contina
ejecutndose hasta que se apaga el sistema operativo.
La administracion de colas de impresion toma los archivos que se van a imprimir, los
almacena en el disco duro y, cuando la impresora esta lista, los envia a ella. Tambien se
pueden registrar los eventos del proceso, o desactivar el registro durante periodos de alta
demanda con objeto de minimizar el espacio en disco requerido y mejorar el rendimiento
del servicio de administracion de colas de impresion.
Los archivos que esperan imprimirse se renen en una carpeta de colas de impresion
ubicada en el disco duro del servidor de impresion. De forma predeterminada, esta
carpeta se encuentra en DirectorioRazdelSistema\ System32\Spool\Printers.
Sin embargo, el disco que alberga esta carpeta tambien alberga los archivos de sistema
de Windows. Dado que el sistema operativo tiene acceso con frecuencia a esos archivos,
el rendimiento de Windows y las funciones de impresion pueden verse reducidos.
Si su servidor de impresion solo atiende a una o dos impresoras con bajos
volmenes de trfico, la ubicacin predeterminada de la carpeta de colas de
impresion es adecuada. Sin embargo, si es necesario atender altos volmenes de
trafico, un gran nmero de impresoras o trabajos de impresion de gran tamao,
debera reubicar la carpeta de colas de impresion. Para un mejor resultado, mueva
la carpeta de colas de impresion a una unidad que tenga su propio controlador de
entrada y salida (E/S), lo cual reduce el impacto de la impresion en el resto del
sistema operativo.
La solucion de administracion de colas de impresion debe permitir generar los
siguientes tipos de salida de dispositivo de manera acorde a las necesidades de la
organizacion.
Trabajos de impresion esenciales para el negocio en tiempo real. Se trata
de trabajos usualmente breves que deben imprimirse en un determinado periodo de
tiempo, o de lo contrario pueden causar perjuicios econmicos. Un ejemplo de ello son
los listados de seleccion para un muelle de carga.
Trabajos de impresion esenciales para el negocio, programados a una hora
determinada. Ejemplos de ellos son la publicacin de los estados financieros de gran
tamao que se imprimen durante la noche. Ningn empleado espera junto a la
impresora a que se acabe de imprimir, pero, si no estn hechos a la maana siguiente,
ello supone un problema.
A peticion. Esta categora incluye la impresin de escritorio ms habitual. Los
trabajos impresos pueden no ser imprescindibles para la marcha del negocio, pero el
usuario necesita disponer de ellos en un determinado periodo de tiempo.
200
Por que cambiar la ubicacion de la cola de impresion
Cambie la ubicacion de la administracion de colas de impresion para hacer

lo siguiente:
Mejorar el rendimiento
Los servidores de impresion deben tener espacio en disco y memoria RAM suficientes para
administrar los trabajos de impresion. Idealmente, cuente con un minimo de dos discos, uno
para el sistema operativo, los archivos de inicio y el archivo de paginacion, y otro que
contenga la carpeta de colas de impresion. Con ello se asla la carpeta de colas de impresion
del sistema operativo, lo cual aumenta el rendimiento y la estabilidad del sistema. Para
mejorar la eficiencia, agregue una o mas unidades de disco para el archivo de paginacion.
Resolver los problemas de espacio en disco
Los servidores de impresion crean una cola de impresion para administrar las peticiones de
impresion. Los documentos pueden tener 20 megabytes (MB) de tamao si contienen
graficos incrustados. Por ello, es conveniente aprovechar espacio en disco de una unidad que
no sea la utilizada para el sistema operativo. Ello le ayuda a asegurarse de no utilizar todo el
espacio en disco disponible en las particiones del sistema o de inicio, lo cual puede crear
problemas con el archivo de intercambio. Si configura la cola de impresion en el mismo disco
que el sistema operativo, Windows no tendra espacio en disco suficiente para grabar el archivo
de intercambio, lo cual puede crear problemas con el rendimiento general de la impresora.
I 201
Reducir la fragmentacin de la particion de inicio
Cuando un archivo se envia a imprimir a una impresora de red, se crea

un archivo de cola de impresion que se elimina casi inmediatamente. Este proceso se repite cientos o miles de
veces durante una jornada de trabajo normal. Si la carpeta de colas de impresion se encuentra en un volumen
compartido con otros datos, ste puede quedar fragmentado. Se puede eliminar la fragmentacion si se ubica
la carpeta de colas de impresion en un volumen dedicado para la impresora. Una vez impresos todos los
archivos de cola, se eliminan del volumen y se pueden iniciar nuevos trabajos de impresin en un disco vaco.
Garantizar la seguridad
Si se configuran los trabajos de impresion para que no se eliminen despus de imprimirse, es conveniente
situarlos en un disco o volumen diferente, para que la carpeta de colas de impresion no herede los cambios en
la seguridad de ninguna de sus carpetas principales. Tambien es conveniente trasladar la carpeta de colas de
impresion de las impresoras que imprimen datos confidenciales, como las nominas (salarios) o informes
financieros, con el fin de poder auditar todas las transacciones del disco que contiene la carpeta.
Administrar las cuotas de disco
En los discos que contienen el sistema operativo, las cuotas no se suelen configurar para aumentar el
rendimiento. Sin embargo, puede resultar conveniente limitar el nmero de trabajos de impresion que los
usuarios o grupos envian al servidor de impresion, para que ningn usuario ocupe todo el espacio en disco
disponible en un servidor. Si esto ocurre, los dems usuarios no podrn imprimir hasta que la cola de impresion
libere algunos documentos.
Mejorar la confiabilidad
Normalmente, la particin de inicio de un equipo se encuentra en una unidad de disco reflejada (RAID 1). Para
un mayor rendimiento y capacidad de recuperacin, puede ser conveniente mover la carpeta de colas de
impresin a un volumen con RAID 5, con el fin de reducir la posibilidad de que haya un nico punto de posibles
errores de un subsistema de disco
Administracion de colas de impresion

Puede que desee trasladar la ubicacion de la carpeta de colas de impresion para aumentarel
rendimiento del servidor causando menos fragmentacion en la particion de inicio, o mover
los archivos de cola de impresion a otra particion con mas espacio en disco.
Para cambiar la ubicacion de la carpeta de colas de impresion:
1.
En Impresoras y faxes, en el men Archivo, haga clic en Propiedades del

servidor.
2.
En el cuadro de dialogo Propiedades de Servidor de impresion, en la ficha

Opciones avanzadas, en el cuadro Carpeta de cola de impresion, escriba la ruta
de acceso y el nombre de la nueva carpeta de colas de impresin para el servidor de
impresin y haga clic en Aceptar.
3.
Detenga y reinicie el servicio de cola de impresion.
Nota La ubicacion de la carpeta de colas de impresion se cambiara de inmediato y no se

imprimiran los documentos pendientes de imprimir. Se recomienda esperar que se hayan
terminado de imprimir todos los documentos antes de cambiar la carpeta de colas de
impresion.
202
Que son las prioridades de impresora
Establezca las prioridades entre impresoras para asignar prioridades a los documentos
que se imprimen en un mismo dispositivo de impresion. Para ello, cree varias impresoras
que sealen al mismo dispositivo de impresion. Los usuarios podran entonces enviar
sus documentos mas importantes a una impresora de alta prioridad y sus documentos
de menor importancia a otra de baja prioridad. Los documentos enviados a la impresora
de mayor prioridad se imprimiran en primer lugar.
Para establecer las prioridades entre impresoras, realice las tareas siguientes:
Haga que dos o mas impresoras sealen al mismo dispositivo de impresion (el mismo
puerto). El puerto puede ser un puerto fisico del servidor de impresion o un puerto que
seale a un dispositivo de impresion conectado a una interfaz de red.
Establezca una prioridad diferente para cada una de las impresoras conectadas al
dispositivo de impresion y a continuacion haga que diferentes grupos de usuarios
impriman en diferentes impresoras. Tambin puede hacer que los usuarios enven sus
documentos de alta prioridad a la impresora de mayor prioridad, y sus documentos de
baja prioridad a la impresora de menor prioridad.
En la ilustracion de la diapositiva, el Usuario1 enva sus documentos
a la impresora con la menor prioridad, 1, y el Usuario2 enva sus documentos a la
impresora con la prioridad mas alta, 99. En este ejemplo, los documentos del Usuario2
se imprimiran antes que los del Usuario1.
Se puede acelerar la impresion de aquellos documentos que deban imprimirse
inmediatamente. Los documentos enviados por los usuarios con niveles de prioridad
mayores pueden ubicarse delante de una cola de documentos
de menor prioridad en espera para imprimirse. Si dos impresoras logicas estan
asociadas al mismo dispositivo de impresion, Windows Server 2003 enruta en primer
lugar los documentos con la mayor prioridad a la impresora.
Para utilizar las prioridades de impresora, cree varias impresoras logicas para un mismo
dispositivo de impresion fsico. Asigne a cada una de ellas un nivel de prioridad distinto y
despus cree un grupo de usuarios que corresponda a cada impresora. Por ejemplo, los
usuarios del grupo 1 pueden tener derechos de acceso a la impresora de prioridad 1, los
usuarios del grupo 2 a la impresora de prioridad 2, etc.
I 203
Como establecer las prioridades de impresora
Las prioridades de impresora se usan a menudo si dos o ms impresoras imprimen en un

mismo dispositivo de impresion. Utilice los procedimientos siguientes para establecer las
prioridades de impresora.
Para establecer diferentes prioridades de impresora en grupos diferentes:
1. En Impresoras y faxes, haga clic con el boton secundario del mouse en la impresora
para la que desee establecer una prioridad y haga clic en Propiedades.
2. En el cuadro de dialogo Propiedades, en la ficha Opciones avanzadas, en el
cuadro Prioridad, establezca un nivel de prioridad, siendo 1 el nivel mas bajo y 99 el
mas alto.
3. Haga clic en Aceptar.
4. Haga clic en Agregar impresora para agregar una segunda impresora logica que
corresponda a la misma impresora fisica.
5. En la ficha Opciones avanzadas, en el cuadro Prioridad, establezca una prioridad
mayor que la de la primera impresora logica.
204
Programar la disponibilidad de una impresora
Una forma de utilizar eficientemente las impresoras es programar horas de impresion

alternativas para documentos largos o para cierto tipo de documentos.
Considere programar la disponibilidad de las impresoras en las situaciones siguientes:
1. Programe la disponibilidad de la impresora si el trfico de red es alto durante el da y
puede posponer la impresion de los documentos de mayor tamao dirigiendolos a una
impresora que solo imprima fuera de las horas de oficina. La administracion de colas
de impresion continuara aceptando documentos, pero no los enviara a la impresora
de destino hasta la hora de inicio designada.
2. En lugar de dedicar un dispositivo de impresion real solo para la impresion fuera de las
horas de oficina, lo cual no es un uso eficiente de los recursos, puede crear varias
impresoras logicas para el mismo dispositivo de impresion. A continuacion puede
configurar cada una de ellas para diferentes horas. Una impresora puede estar
disponible de 18:00 a 6:00 y la otra puede estar disponible las 24 horas del da.
Despus puede pedir a los usuarios que enven sus documentos largos a la impresora
disponible slo fuera del horario de oficina, y todos los dems documentos a la
impresora disponible a tiempo completo.
I 205
Directrices para programar la disponibilidad de una

impresora
Si programa la disponibilidad de una impresora, los usuarios y administradores de sistemas eben

conocer los requisitos de seguridad y el soporte tecnico adicional que puede necesitar el
servidor de impresion.
Considere las siguientes guias de actuacion a la hora de programar la disponibilidad de una
impresora:
Utilice la seguridad para limitar quien puede utilizar la impresora durante las horas
disponibles.
Puede que desee limitar cuando utiliza un grupo determinado un dispositivo de impresin y
darle a otro grupo acceso al mismo dispositivo en todo momento. Para ello, configure varias
impresoras para que impriman en el mismo dispositivo de impresin. Tambin debe configurar
seguridad adicional para aislar el grupo que necesita acceso a la impresora en todo momento.
Informe a los usuarios de los momentos en los que las impresoras estn disponibles con el fin
de reducir las llamadas de soporte tecnico cuando la impresora no esta disponible.
Muchos usuarios estan acostumbrados a tener una impresora disponible todo el tiempo. Cuando
imprimen en una impresora con limitacion programada, puede que intenten volver a imprimir su
trabajo y despues llamen al Departamento de Soporte Tecnico para averiguar por que no se
imprime su trabajo. Informe a estos usuarios de que su trabajo de impresin se encuentra en el
servidor de impresion a la espera de ser enviado al dispositivo de impresin y que no deben
reimprimir su trabajo.
Configure dos impresoras con diferentes programaciones para que impriman en el mismo
dispositivo de impresion.
Si un dispositivo de impresion debe estar disponible para un grupo
de personas todo el tiempo y para otros grupos solo en horas determinadas, configure dos
impresoras para que impriman en el mismo dispositivo de impresion.
Mantenga suficiente espacio en disco libre para albergar los trabajos de impresion en cola
que esperen ser impresos.
Al programar una impresora para que est disponible slo a ciertas horas, tenga en cuenta que
los usuarios pueden continuar imprimiendo
en la impresora fuera del horario de oficina y que la impresora albergar los trabajos de
impresin hasta sus horas de disponibilidad. Debido a que la impresora alberga los trabajos de
206
impresion fuera del horario de oficina, debera disponer de espacio en disco suficiente para ello.
Si esto supone un problema y no dispone de espacio en disco adicional, establezca cuotas de
disco en el volumen que contiene la cola de impresin.
Programar la disponibilidad de una impresora
Utilice el procedimiento siguiente para programar la disponibilidad de una impresora.

Para programar la disponibilidad de una impresora:
1.
En Impresoras y faxes, haga clic con el botn secundario del mouse en la

impresora que desee configurar y haga clic en Propiedades.
2.
En el cuadro de dilogo Propiedades, en la ficha Opciones avanzadas, haga clic

en Disponible desde.
3.
En los dos cuadros situados a la derecha de Disponible desde, escriba una hora de
inicio y fin, como 18:00 y 6:00, y haga clic en Aceptar.
I 207
CAPTULO 09
TCP/IP en Windows Server 2003T
Introduccin
Windows Server 2003 esta preparado para integrase a mltiple plataformas posee
caractersticas que permiten su integracin en entornos multiplataforma. Windows
server 2003 incorpora clientes para las principales plataformas del mercado entre las
que podemos destacar los clientes para Mac y Novell Netware as mismo se incluye
como parte del sistema protocolos que cubren
las principales necesidades de
interconexin. As mismo se incluyen Tecnologas mejoradas como NDIS 5 que al
igual que su versin previa permite el enlace simultaneo de varios protocolos a un
adaptador de red tanto como la aplicacin de tecnologas para el control del servicio
QoS, En esta seccin se har una revisin de las propiedades TCP-IP como una de las
tecnologas de interconexin mas importante de momento.
Configurando las Propiedades TCP/IP

Hablar de TCP/IP es hablar de un conjunto de protocolos que estn orientados a la
interconexin de redes en un esquema global las caracterstica que vamos a
desarrollar estn en el marco del protocolo IP V4 usado en Internet como protocolo de
comunicaciones.
La configuracin del protocolo TCP/IP se puede realizar de forma manual o de forma
automtica la cual se realiza a travs de servidores DHCP los cuales asignan de modo
dinmico direcciones IP a sus clientes. Para entender por qu DHCP es til para
configurar el Protocolo TCP/IP (Transmission Control Protocol/Internet Protocol) en
computadoras cliente; en esta seccin
vamos a comparar la instalacin la
configuracin automtica versus la configuracin manual del protocolo TCP/IP.
Configuracin automtica del TCP/IP

Usando un servidor DHCP para configurar automticamente las direcciones IP permite
a los administradores de red controlar la asignacin de direcciones IP evitando que los
usuarios manipulen esta informacin. El servidor DHCP proporciona toda la
informacin necesaria de configuracin automticamente a los clientes DHCP. Esto
permite asegurar que los clientes de la red usan la informacin de configuracin
correcta, a la vez que se elimina una fuente comn de problemas. Finalmente, DCHP
actualiza automticamente la informacin de configuracin del cliente para reflejar los
cambios en la estructura de la red y la reubicacin de usuarios en otras redes, sin la
necesidad reconfigurar manualmente las direcciones IP de los clientes.
Nota en el servidor DHCP asigna por omisin solo direcciones IP, es necesario
configurar al servidor DHCP para asignar otros parmetros necesarios para la
208
correcta configuracin del protocolo TCP-IP. Tales como el Default Gateway,

Direcciones IP de los Servidores DNS.
Habilitando los Clientes DHCP

Para habilitar el soporte DHCP en una computadora cliente que ejecuta Windows
2000, usted debe configurar las propiedades de TCP/IP en esa computadora para que
la computadora obtenga una direccin IP automticamente.
Usted puede configurar los equipos cliente para obtener las direcciones de IP
automticamente desde un servidor de DHCP. de cualquiera de los siguientes
sistemas operativos:
Windows XP Professional
Windows 2000 Professional o Windows 2000 Server
Microsoft Windows NT Server versin 3.51 o posterior, o Windows NT Workstation

versin 3.51 o posterior
Microsoft Windows 95, 98 Millenium Edition.
Para configurar un equipo ejecutando Windows

siguientes pasos:
como cliente DHCP ejecute los
1. Abra el cuadro de dialogo Properties de la conexin de red que ud. Desee

configurara como cliente DHCP.
2. Haga Click sobre la opcion Internet Protocol (TCP/IP), y luego haga click
sobre el boton Properties.
3. En el cuadro de dialogo Internet Protocol (TCPIIP) Properties en la ficha

General, hago click sobre la opcin Obtain an IP address automatically.
I 209
4. Si ud quiere asignar las direcciones de los servidores DNS usando el servidor

DHCP, S click Obtain DNS server address automatically.
5. Haga Click dos veces en el boton OK.
La Configuracin manual del TCP/IP

Cuando usted configura el TCP/IP manualmente en su red, usted debe ingresar una
direccin IP en cada computadora cliente. Esto significa que los usuarios pueden
ingresar una direccin IP incorrecta o no vlida en lugar de usar una direccin IP
vlida de la red.. Usar una direccin incorrecta puede producir problemas en los que
puede ser muy difcil de detectar la causa.
Tambin, la asignacin manual de direcciones IP, mscara del subred o puerta de
enlace predefinida pueden generar problemas de comunicacin, producidos al ingresar
valores incorrectos al momento de la digitacin de alguno de estos valores. Mas aun
generan gastos o sobre costos administrativos en redes donde las computadoras se
mueven frecuentemente de una subred a otra.
1. Abra el cuadro de dialogo Properties de la conexin de red que usted. Desee
configurara como cliente DHCP.
2. Haga Click sobre la opcion Internet Protocol (TCP/IP), y luego haga click
sobre el botn Properties.
3. En el cuadro de dialogo Internet Protocol (TCP/IP) Properties en la ficha
General, haga click sobre la opcin Use the following IP address.
210
4. Ingrese los valores para IP address, Subnet mask y opcionalmente el valor

del Default gateway.
5. Opcionalmente puede ingresar las direcciones IP correspondientes a los
servidores en la seccin Use the following DNS server addresses para el
Preferred DNS Server y Alternate DNS Server.
6. Haga Click dos veces en el botn OK.
Importante Si usted est preparando su servidor para ser un servidor DNS o
servidor WINS, usted podra esta tentado para usar una direccin de IP esttica o
manual. Si bien es cierto es un mtodo aceptable, un mejor mtodo es reservar una
direccin asignada desde un servidor DHCP con una duracin de arriendo ilimitada,
esto permite al administrador tener control sobre todo el rango de direcciones IP.
Este paso le da un arriendo permanente en la direccin de IP que usted asigno, y de
otro lado hace fcil la configuracin mecanizada del cliente permitiendo al mismo
tiempo al administrador DHCP tener un control total sobre las direcciones de los
servidores que se mueven o se retiran de su subred.
Configuracin de opciones avanzadas

Las configuraciones avanzadas nos permiten configurar caractersticas opcionales que
permiten tomar ventaja de caractersticas disponibles en Windows 2000 as como de
los servicios de infraestructura de la red por ejemplo la definicin de servidores WINS,
Filtrado de protocolos y otras. Estas definiciones prevalecen ante cualquier valor
asignado automticamente a travs de servidores DHCP.
Configuracin de mltiples valores IP y Gateway para un Equipo

Configurar mltiples direcciones IP en un computador se como Multihomed computer
esto permite que este ordenador puede comunicarse indistintamente con 2 redes por
ejemplo se le asignen direcciones publicas y privadas. Otro posible ventaja se da a
I 211
nivel del servidor Web de Microsoft IIS (Internet Information Server) el cual podr
albergar Web Sites asociados a direcciones IP independientes.
Para configurar mltiples direcciones IP a un equipo haga click en el botn Advanced
y luego en la ficha IP Settings desde el cuadro de dialogo Internet Protocol
(TCP/IP) Properties. Desde esta ficha se puede tambin definir los valores para el
default gateway indicandose adicionalmente el valor de la mtrica asociada a cada
valor de gateway definido, la mtrica permite indicar cual ser el valor utilizado por
default ya que el sistema usar el gateway con menor mtrica de no responder
intentara con el siguiente de su lista. La siguiente figura muestra el cuadro de dialogo
para definir los valores de mltiples direcciones IP y gateways para un adaptador de
red.
Configuracin Para el Domain Name System (DNS)

La ficha DNS permite definir los valores para el sistema de nombres de dominio o
DNS este cuadro de dialogo permite definir mltiples DNS Server en el orden en que
sern usados si el primero de la lista no responde consultara al siguiente, as
sucesivamente hasta terminar la lista o recibir respuesta de algn servidor DNS
consultado.
Use los botones Add, Edit, y Remove debajo del cuadro DNS server addresses,
in order to use para agregar o modificar los servidores DNS que usted quiera
usar para esta conexin. Use las flecha hacia arriba o abajo cerca del cuadro de
direcciones de servidores DNS para cambiar el orden en el cual se realizaran las
solicitudes de bsqueda DNS.
212
Seleccione las opciones para los nombres no calificados.
Append Primary and Connection Specific DNS Suffixes Limita la

resolucin de nombres no calificados a los sufijos de dominio y los
sufijos de conexiones especificas. De manera que si el sufijo principal es
mkt.pe.corp.amazig.com y usted ejecuta el comando ping websrv01, el
servidor DNS buscara por websrv01.mkt.pe.amazing.com. Si se
especifica tambin un nombre especifico de conexin (bajo la opcin
DNS Suffix for This Connection) tal como vnt.amazing.com, el
servidor DNS realizara una bsqueda websrv01.mkt.amazing.com y
websrv01.vnt.amazing.com.
Append Parent Suffixes of the Primary DNS Suffix Incluye sufijos

primarios (Primary DNS suffixes) hasta el dominio de segundo nivel en
la resolucin de un nombre no calificado. De esta forma si el sufijo
DNS primario es mkt.pe.corp.amazing.com y usted ejecuta el comando
ping websrv01, El servidor DNS ejecutara una bsqueda con las
siguientes entradas:
websrv01.mkt.pe.corp.amazing.com
websrv01.pe.corp.amazing.com
websrv01.corp.amazing.com
websrv01.amazing.com
Append These DNS Suffixes (in order) Especifica los unicos sufijos
de dominio a anexar a los nombres de dominio no calificados durante
un proceso de resolucin de nombres. Si se especifican sufijos de
dominio en esta lista, los sufijos principal (primary) y de conexiones
especificas (connection-specific) no se utilizan.
Para sobre escribir el nombre DNS primario del dominio especificado para el
equipo en la ficha identificacin de red de la herramienta propiedades del sistema
del panel de control hay que escribir el nombre DNS que desea utilizar en el
cuadro de texto DNS Suffix for this Connection.
I 213
Para evitar que el nombre DNS completo de su servidor se registre en el servidor

DNS, desactive la casilla de verificacin Register This Connection's Addresses
In DNS.
Para registrar la direccin IP para su conexin de red en el servidor DNS
basndose en el nombre del dominio de la conexin asi como en el FQDN de su
servidor, seleccin la casilla de verificacin Register This Connection's DNS
Suffix in DNS. El nombre de dominio de la conexin es ingresado en el cuadro de
texto DNS Suffix for this connection o asignado por un servidor DHCP.
Configurando los servidores WINS

Para configurar los parmetros de configuracin de WINS para su equipo, pulse la
ficha de WINS en el cuadro de dialogo Advanced TCP/IP Settings mostrado en
la siguiente figura.. Si los servidores WINS estn operando en su red, usted debe
agregar sus direcciones en esta lista. El definir los servidores WINS le permitir
mejores resultado al comunicarse con equipos que estn ejecutando algn sistema
operativo Microsoft Windows 2000 o anterior. Como con las otras fichas del cuadro
de dialogo Advanced TCP/IP Settings use los botones Add, Edit, y Remove
para modificar su lista de servidores WINS.
Para habilitar el uso del archivo LMHOSTS para resolver nombres NetBIOS a
direcciones IP, seleccione la casilla de verificacin LMHOSTS Lookup, y haga click en
el botn Import LMHOSTS para importar un archivo LMHOSTS. No se recomienda el
uso de LMHOSTS debido al costo administrativo de mantenerlo actualizado no
compensa la mnima reduccin de trafico en la red.
214
En la probabilidad, de que
usted necesite comunicarse con equipos clientes
ejecutando versiones de sistemas operativos Microsoft anteriores a Windows 2000,
asegrese que la casilla de verificacin para Enable NetBIOS Over TCP/IP se
encuentre seleccionada. Slo desactive esta casilla de verificacin
si usted se
comunica exclusivamente con otras computadoras ejecutando Windows 2000 o
computadoras que se basan nicamente en el servidor DNS para la resolucin de
nombres (por ejemplo, UNIX). Tambin, note que cualquier aplicacin que usa
NetBIOS no trabajar si usted desactiva NetBIOS Over TCP/IP.
Configurando las Opciones de las configuraciones Avanzada de TCP/IP

Si usted necesita configurar cualquier opcin del protocolo TCP/IP, haga click en la
ficha Options en el cuadro de dialogo Advanced TCP/IP Settings Seleccione una
opcin que usted quiera configurar, y luego haga click en Properties. Para mayor
informacin sobre propiedades TCP/IP y conexiones seguras sobre TCP/IP, consulte
sobre IPSec en la ayuda en lnea.
I 215
Configurando el FQDN
La configuracin del Fully Qualified Domain Name (FQDN) permite definir el nombre
completamente calificado de dominio. Un nombre de dominio completamente
calificado incluye los nombres de todos los dominios de la red retrocediendo hacia a la
raz para indicar claramente la ubicacin en el rbol namespace del dominio. Un
ejemplo de un FQDN es mkt.acorp.com.pe o london.uk.europe.bcorp.com.
Para configurar el nombre FQDN del equipo siga los siguientes pasos:
1. Desde el cuadro de dialogo System properties haga click sobre la ficha
network Identification
2. Haga click sobre el botn properties lo que le mostrara el cuadro de dialogo
Identification Changes
3. Ingrese el nombre del equipo (Computer name) recuerde que este nombre
debes ser unico en la red y el nombre del grupo o dominio al que desea asociar
a su equipo.
4. Haga click sobre el botn more el que le mostrara el cuadro de dialogo DNS
Suffix and NetBIOS Computer Name.
5. Ingresar el sufijo DNS principal para su equip (Primary DNS Suffix of this
computer) y verifique el nombre NetBIOS asociado a su equipo el cual debe
coincidir con el nombre del equipo (Computer name) como se muestra en la
siguiente figura.
6. Para finalizar cierre cada ventana pulsando sobre el botn OK.
El nombre FQDN del equipo estara formado por el nombre del equipo (Computer
name) y el sufijo DNS principal (Pimary DNS suffix).
216
CAPTULO 10
DHCP Dynamic Host Configuration Protoc.nD
Un Servidor DHCP usa un proceso que otorga direcciones IP otorgando direcciones IP

a las computadoras clientes por un perodo especfico. Las asignaciones de direccin
IP son normalmente temporales, por ello los clientes de DHCP deben peridicamente
intentar renovar las direcciones IP que les han sido concedidas. conocer los detalles
del proceso que el servidor DHCP usa en la generacin y renovacin nos proporciona
la base necesaria para implementar eficazmente la asignacin dinmica de direcciones
IP en un entorno de red.
Cada vez que un cliente de DHCP que no posee una direccin IP se inicia solicita una
direccin IP de un servidor de DHCP. Cuando el servidor DHCP recibe la solicitud,
selecciona una direccin IP de un rango de direcciones definido en su base de datos.
El servidor DHCP ofrece esta direccin al cliente DHCP.
Si el cliente acepta la oferta, el servidor de DHCP otorga la direccin IP al cliente por
un perodo definido de tiempo. La duracin predefinida de un otorgamiento (lease) de
direccin IP es de ocho das, pero esta duracin es configurable. El cliente usa la
direccin IP para acceder la red.
La informacin de DIRECCIN IP enviada por el servidor de DHCP al cliente de DHCP
puede contener varios elementos que pueden incluir:
1. Una direccin IP.
2. Una mscara de subred.
3. Valores opcionales, como:
La direccin de la puerta de enlace predeterminada,
Las direcciones IP de los servidores DNS.
Las direcciones IP de los servidores del servicio WINS.
I 217
Configuracin automtica TCP/IP

Cuando Usted configura un DHCP Server para dar soporte a clientes DHCP, ste
provee automticamente la informacin de la configuracin a clientes DHCP y tambin
se asegura que los clientes de la red utilicen la configuracin correcta. Adems, si
Usted necesita realizar un cambio en la configuracin IP de varios clientes, podr
realizarlo una vez en el DHCP Server, para que el DCHP actualice automticamente la
configuracin del cliente reflejando el cambio.
El DHCP administra la asignacin y el release de la configuracin IP, concediendo la
configuracin IP al cliente. El estado del DHCP lease depende del tiempo en que el
cliente pueda utilizar los datos de la configuracin IP antes de liberarla y despus de
renovar los datos. El proceso de asignar la configuracin IP se conoce como DHCP
Lease Generation Process, y el proceso de renovar los datos de la configuracin IP
se conoce como DHCP Lease Renewal Process.
La primera vez que un cliente DHCP se agrega a la red, el mismo debe solicitar la
configuracin IP al DHCP Server para que, cuando ste reciba la solicitud, el server
seleccione una direccin IP del rango de direcciones que el administrador ha definido
en el scope. El DHCP Server ofrece la configuracin IP al cliente de DHCP. Si el cliente
acepta la oferta, el DHCP Server asignar la direccin IP al cliente por un perodo de
tiempo especificado. El cliente entonces utilizar la direccin IP para tener acceso a la
red.
El proceso DHCP Lease Generation
218
El Proceso de otorgamiento DHCP

El proceso de otorgamiento de una direccin IP a travs de un DHCP usas cuatro
pasos para proporcionar una direccin IP a sus clientes:
1.
2.
3.
4.
IP
IP
IP
IP
lease
lease
lease
lease
request (Solicitud)
offer (Oferta)
selection (Seleccin)
acknowledgement (reconocimiento)
IP Lease Request (solicitud)

El proceso de generacin de una direccin IP empieza cuando una computadora del
cliente se inicia o configura el protocolo TCP/IP por primera vez. El proceso de
asignacin tambin empieza cuando una computadora cliente intenta renovar su
asignacin y se niega (generalmente cuando usted mueve una computadora cliente a
otra subred).
El proceso empieza cuando el cliente inicializa una versin limitada de TCP/IP y
transmite un mensaje difundido (broadcast) DHCPDISCOVER solicitando a un servidor
DHCP una direccin IP. El cliente no tiene una direccin IP todava, por ello usa
0.0.0.0 como la direccin de la fuente. Y debido a que el cliente no conoce la direccin
IP del servidor de DHCP, usa 255.255.255.255 (broadcast) como la direccin del
destino. Este mensaje difundido es atendido por toda la subred.
Este mensaje tambin contiene la direccin MAC (media access control) que es la
direccin de hardware de la tarjeta adaptadora de red del cliente. El mensaje tambin
contiene el nombre de la computadora cliente para que los servidores de DHCP
puedan determinar qu cliente envi la solicitud.
IP Lease offer (Oferta)

Todos los servidores de DHCP que tienen una direccin IP vlida para el segmento de
red en el que el cliente se conecta responden con un mensaje llamado DHCPOFFER
que incluye la siguiente informacin:
1. La direccin del hardware del cliente
2. Una direccin IP ofrecida
3. Una mscara de subred
4. La duracin del otorgamiento
5. Un identificador del servidor DHCP que otorga la direccin IP
Cada uno de los DHCP que respondieron la solicitud reserva la direccin IP ofrecida
para que no se ofrezca a otro cliente DHCP previa a la aceptacin del cliente que la
solicito.
El cliente DHCP espera uno segundo por una oferta. Si no recibe una oferta, l re
enva la solicitud cuatro veces a intervalos de 2, 4, 8, y 16 segundos, ms una
longitud aleatoria de tiempo. entre 0 y 1,000 milisegundos.
Si el cliente no recibe una oferta despus de cuatro demandas, usa una direccin IP
aleatoria en le rango reservado de 169.254.0.1 a 169.254.255.254 (solo clientes
Windows 2000) El uso de una de estas direcciones auto configurables permite que
estos clientes que no encontraron un servidor DHCP disponible sean capaces de
comunicarse entre ellos. El cliente de DHCP contina en su esfuerzo por encontrar un
servidor de DHCP cada cinco minutos. Usted puede desactivar esta caracterstica si
agrega la entrada IPAutoconfigurationEnabled en la siguiente clave de Registro del
sistema:
I 219
IP Lease Selection (Seleccin)

El cliente DHCP responde a la primera oferta que recibe transmitiendo un mensaje de
DHCPREQUEST para aceptar la oferta. El mensaje de DHCPREQUEST incluye la
identificacin del servidor DHCP cuya oferta es aceptada. Todos los otros servidores
DHCP retractan sus ofertas y retienen sus direcciones IP para otras demandas de
otorgamiento de direcciones IP.
IP Lease Acknowledgement (reconocimiento)
El servidor de DHCP que emite la oferta aceptada transmite un DHCP reconocimiento
mensaje (DHCPACK) para reconocer el otorgamiento exitoso. Este mensaje contiene
un otorgamiento vlido para la direccin IP e informacin adicional de configuracin.
Cuando el cliente de DHCP recibe el reconocimiento, se inicializa el protocolo TCP/IP
usando la informacin de la configuracin que el servidor de DHCP proporciono. El
cliente tambin enlaza (Bind) el protocolo TCP/IP a los servicios de la red y adaptador
en red, permitindole al cliente comunicar en la red.
El Proceso DHCP de Renovacin de Otorgamiento
A intervalos especficos, un cliente de DHCP intenta renovar su otorgamiento para
asegurar que tiene la informacin de la configuracin actualizada.
La Renovacin automtica del otorgamiento
Un cliente DHCP intenta renovar su otorgamiento automticamente cuando el 50 por

ciento de la duracin del otorgamiento expira. Para Intentar una renovacin del
otorgamiento (lease renewal), el cliente DHCP enva un mensaje de DHCPREQUEST
directamente al servidor de DHCP del cual obtuvo su otorgamiento.
Si el servidor DHCP est disponible, renueva el arriendo y le enva un mensaje de
DHCPACK al cliente con la nueva duracin del arriendo y cualquier actualizacin de los
parmetros de la configuracin. El cliente actualiza su configuracin cuando recibe el
reconocimiento. Si el servidor de DHCP es no se encuentra disponible, el cliente
contina usando sus parmetros de la configuracin actual.
Si un cliente de DHCP no puede renovar su arriendo al 50 por ciento del intervalo, el
cliente contina usando sus parmetros de la configuracin actuales. Transmite un
mensaje difundido de DHCPDISCOVER para actualizar su otorgamiento de direccin
cuando 87.5 por ciento de la duracin del arriendo actual expiran. En esta fase, el
cliente DHCP acepta un otorgamiento que es emitido por cualquier servidor de DHCP.
si un servidor DHCP responde con un mensaje de DHCPOFFER para actualizar el
otorgamiento actual del cliente, el cliente puede renovar su arriendo basado en el
servidor que ofreci el mensaje y contina el funcionamiento.
220
Si el otorgamiento expira. el cliente debe discontinuar el uso de la direccin IP

otorgada inmediatamente. El cliente DHCP entonces inicia el proceso de solicitud de
una direccin IP con algn DHCP server en un esfuerzo por obtener una nueva
direccin IP.
Nota Cuando usted reinicia un cliente DCHP este intenta renovar
automticamente la direccin IP que tena cuando fue apagado. Si la solicitud
de otorgamiento no tiene xito, el cliente intenta contactase con puerta de
enlace predefinida
Si la puerta de enlace predefinida responde y el
otorgamiento an est vigente, el cliente de DHCP usa la misma configuracin
IP hasta su prximo intento de renovacin de otorgamiento. Si el cliente de
DHCP no puede renovar el arriendo o contactarse con la puerta de enlace
predefinida, deja de usar la direccin de IP actual. El cliente usa una direccin
IP en el rango reservado de 169.254.0.1 a 169.254.255.254 e intenta contactar
a un servidor DHCP cada cinco minutos.
Renovacin manual del Otorgamiento
Usted puede forzar la renovacin manual de la direccin IP generalmente esto es
necesario si usted necesita actualizar inmediatamente la informacin de la
configuracin proporcionada por el servidor DHCP. Por ejemplo, si usted quiere que
los clientes DHCP obtengan inmediatamente la direccin de un nuevo servidor DNS
recientemente instalado desde el servidor DHCP, renueve el arriendo del cliente
para cambiar esta configuracin.
Para renovar el arriendo manualmente use el comando ipconfig con el modificador
/renew. Esto enva un mensaje de DHCPREQUEST al servidor DHCP para que se
actualicen las opciones de configuracin y renovar el tiempo del arriendo.
Nota Usted puede usar el comando ipconfig con el modificador /release para
liberar un arriendo (por ejemplo, si usted est reubicando un cliente en otra
subnet). Esto enva un mensaje de DHCPRELEASE al servidor DHCP para que
libere el arriendo del cliente, de esta manera la direccin otorgada al cliente
queda disponible para otro cliente en l a subnet. Despus de que usted invoca
esta orden, el cliente ya no puede comunicar a travs del protocolo TCP/IP.
Configurando el Servicio DHCP
El servicio DHCP as como su proceso de instalacin y configuracin han sido
mejorados presentando nueva caractersticas de seguridad la presente seccin
tiene como finalidad indicar los requisitos de software que debe cumplir un
servidor Windows 2000 para actuar como un servidor DHCP, indicar los pasos
necesarios para la instalacin del servicio y describir el proceso de autorizacin del
servidor DHCP.
Requisitos para los Servidores de DHCP
El servicio DHCP de Windows Server 2003 tiene los siguientes requisitos de
software para el servidor.
Los requisitos para el Servidor DHCP
Todos los Servidores incluyen el servicio de DHCP. Por consiguiente, un servidor
que ejecuta cualquiera de las versiones de Windows Server 2003 puede ejecutar
el servicio DHCP. DHCP requiere:
La instalacin del servicio de DHCP
Una direccin IP esttica, una mascara de subnet, y la direccin de la

puerta de enlace predefinida.
Un rango de direcciones IP vlido para arriendo o asignacin a los clientes.

I 221
Para agregar el servicio DHCP Server deber:

1.
2.
3.
Iniciar sesin usando una cuenta administrativa.

Hacer click en Inicio y despus en Panel de Control.
Abrir las Herramientas Administrativas en el Panel de Control y hacer click
derecho en Manage Your Server seleccionando Run as.
4.
Seleccionar The following user en el cuadro Run As e ingresar una cuenta de
usuario y password que tenga los permisos apropiados para realizar la tarea,
haciendo click en OK.
5.
Hacer click Add or remove a role de la ventana Manage Your Server.
6.
Hacer click en Next de la pgina Preliminary Steps.
7.
Seleccionar DHCP server en el wizard Configure Your Server, y en Next.
8.
Hacer click en Next de la pgina Summary of Selections,
9.
Hacer click en Cancel del wizard New Scope para no crear el scope en ese
momento.
10. Hacer click en Finish del wizard Configure Your Server.
La siguiente lista muestra detalla los pasos para la instalacin del servicio DHCP,
2. En el Control Panel, haga doble-click en el icono Agregar o quitar Programas,
haga click en la opcin Agregar o quitar Componentes de Windows.
2.
222
En el asistente Componentes de Windows, en la pagina de Windows

Components, bajo la opcion Componentes, haga click en Servicios de
Red, y luego haga click en Detalles.
3.
En el cuadro dialogo Servicios de Red, bajo la opcin Subcomponentes

de Servicios de Red, seleccione la casilla de verificacin para el Dynamic
Host Configuration Protocol (DHCP), y luego haga click en OK.
4.
haga Click sobre el botn Siguiente.
I 223
Autorizando el Servicio DHCP
Usted debe autorizar un servidor de DHCP antes de que el servidor pueda

emitir los arriendos a los clientes de DHCP. El requerir una autorizacin para
los servidores DHCP impide a los servidores DHCP no autorizados a ofrecer
direcciones IP potencialmente no vlidas a los clientes. Este requisito proporciona
un gran grado control al administrador de la red sobre los arriendos de direcciones
IP asignadas en una red basada en Windows Server 2003.
La autorizacin de DHCP es el proceso de registrar el servicio DHCP Server
en un dominio Active Directory Service, con el propsito de dar soporte a clientes
DHCP. La autorizacin DHCP es solo para DHCP Servers corriendo Windows Server
2003 y Windows 2000 en Active Directory.
Por qu autorizar el DHCP Server
Autorizar al DHCP Server provee la capacidad de controlar la adicin de los DHCP

Servers al dominio. La autorizacin debe ocurrir antes que el DHCP Server pueda
otorgar leases a clientes DHCP. Solicitar la autorizacin de DHCP Servers previene
que DHCP Servers desautorizados ofrezcan direcciones IP invlidas a clientes.
Si Usted est configurando un DHCP Server, la autorizacin debe ocurrir como
parte del dominio Active Directory. Si Usted no autoriza el DHCP Server en Active
Directory, el servicio DHCP no se podr iniciar correctamente y entonces el DHCP
Server no podr responder a los pedidos de clientes. El DHCP Server controla el
direccionamiento IP enviado a los clientes DHCP en la red. Si el DHCP Server se
configura incorrectamente, los clientes recibirn una configuracin incorrecta de
direccionamiento IP.
224
Por qu un DHCP Server autorizado requiere el Directorio

Activo
Active Directory se requiere para autorizar un DHCP Server. Con Active Directory,
los DHCP Servers no autorizados no pueden responder a los pedidos de clientes. El
servicio DHCP Server, en un servidor miembro de Active Directory, verifica su
registracin con un Domain Controller de Active Directory. Si el DHCP Server no
est registrado, el servicio no se iniciar y consecuentemente el DHCP Server no
asignar direcciones a clientes.
Stand-alone DHCP Server
Un DHCP Server corriendo Windows Server 2003, se inicia si incluso no est

autorizado. Si el DHCP Server est instalado como stand-alone server no es
miembro del Directorio Activo. Y si est situado en una subnet donde DHCPINFORM
no ser transmitido a otros DHCP Servers autorizados, el servico DHCP Server
inicializar y proveer leases a clientes en la subred.
Un stand-alone server enva un paquete broadcast DHCPINFORM. Si no hay
respuesta al paquete DHCPINFORM, entonces el servicio DHCP Server inicializar y
comenzar a atender a los clientes. Si un DHCP Server autorizado recibe un
paquete DHCPINFORM, responde con un paquete DHCPACK y entonces el servicio
DHCP Server parar. Un stand-alone DCHP Server continuar funcionando si recibe
un DHCPACK de otro DHCP Server que no sea miembro del Directorio Activo.
Cmo autorizar el servicio DHCP Server

Para autorizar el servicio DHCP Server, un miembro del grupo Enterprise
Administrators lo agrega a una lista de DHCP Servers, los cuales pueden dar
servicio a clientes DHCP en el dominio.
Para autorizar el servicio DHCP Server deber:
1. Abrir la consola DHCP.

2. Seleccionar el server en la consola
3. Hacer click en Authorize del men Action
4. Para verificar que el DHCP server est autorizado: en la consola, presionar F5
para refrescar la vista, y verificar que el DHCP Server ahora se visualice con una
flecha verde hacia arriba.
Qu son los DHCP Scopes?

Un scope es un rango de direcciones vlidas IP que estn disponibles para asignar
a computadoras cliente en una subset en particular. Usted puede configurar un
scope en el DHCP Server para determinar el pool de direcciones IP que ese server
asignar a clientes.
Los scopes determinan las direcciones IP que se asignan a los clientes. Usted debe
definir y activar un scope antes que los clientes puedan usar el DHCP Server para
una configuracin dinmica TCP/IP. Asimismo puede configurar tantos scopes en el
DHCP Server como lo necesite para su ambiente de red.
I 225
Creando y configurando un Scope

Para habilitar la asignacin dinmica de direcciones IP, usted debe proporcionar un
rango de direcciones IP vlidas que el servidor de DHCP puede usar para emitir los
arriendos a los clientes. Usted realiza esta tarea despus de la instalacin y
autorizacin del servidor DHCP en la red.
Entendiendo cmo crear y configurar este rango de direcciones IP le permite
asignar automticamente a los clientes DHCP informacin de direccionamiento IP
tal como las direcciones DNS, puerta de enlace prederminada y de esta forma
minimizar el costo administrativo asociado con el mantenimiento de esta
informacin.
Las Opciones del scope

Usted tambin puede configura un rango con opciones adicionales que el servidor
DHCP debe proporcionar junto con la direccin IP otorgada. Por ejemplo, usted
puede configurar un rango IP para proporcionar la puerta de enlace
predeterminada a las computadoras cliente. Esta informacin variable es llamada
Scope option o opcin del rango.
El servidor DHCP aplica las opciones del rango a las computadoras cliente en un
orden especfico. Esto da Como resultado que usted pueda configurar al servidor
DHCP para que asigne las opciones con variados niveles de autoridad de tal
manera que ciertas opciones tengan precedencia sobre otras opciones.
Reservaciones
Otra opcion disponible es la posibilidad de configurar determinadas direcciones
para que el servidor DHCP siempre proporcione la misma direccin 1P a una
computadora en particular. Por ejemplo, usted puede reservar una direccin de IP
para una computadora que requiere una IP que no cambie tal, como un servidor
IIS o DNS, debido a que las dems computadoras requieren de una direccin fija
que usan una su direccin IP para conectar a con los computadores que brindan
estos servicios. Estos direcciones IP permanentes asignaciones se les conoce como
las reservaciones del cliente.
Usando el Nuevo asistente para la configuracin del scope

Usted crea un rango usando el Nuevo asistente para rangos (New Scope
wizard). Para iniciar el nuevo asistente para el rango, abra el snap-in DHCP desde
el men de las Herramientas Administrativas luego haga click derecho en el
nombre del servidor DHCP en el que usted quiere crear el nuevo rango, y luego
pulse el botn Nuevo Scop.
Propiedades de Scope
Network ID: El Network ID para el rango de direcciones IP
Subnet mask: La subnet mask para el Network ID
Network IP address range: El rango de direcciones IP disponibles para los clientes
Lease duration: El perodo de tiempo que el DHCP Server asigna a la direccin del
cliente
Router: La direccin del Default Gayeway

Scope name: Identificador para propsitos administrativos
Exclusion range: El rango de direcciones IP en el scope excluidas para la asignacin.
Cada subred puede tener un DHCP scope que contenga un solo y continuo rango
de direcciones IP. Direcciones especficas o grupos de direcciones se pueden
excluir del rango del DHCP scope. En general, solamente un scope puede ser
asignado a una subnet. Si ms de un scope se requiere en una subnet, los scopes
debern crearse
226
Activando un rango
Despus de que usted crea el rango, usted debe activarlo es decir hacerlo
disponible para las asignaciones del arriendo, para activar un scope en DHCP.
haga click derecho en la entrada para el scope y luego haga click en la opcin
Activar scope que usted requiere.
Configurando un rango con las Opciones

Usted puede configurar un rango para proporcionar una variedad de
informacin junto con la direccin IP arrendada por el servidor DHCP. Por
ejemplo, usted puede configurar el servidor de DHCP para asignar
adicionalmente la direccin de un router (puerta de enlace predeterminada)
para permitir a los clientes comunicarse por la subnets.
Opciones de rango comnes

El Nuevo asistente para la configuracin del rango le permite configurar las
opciones del rango comunes para proporcionar la informacin de configuracin
IP adicional que ser entregada junto con el arriendo del cliente.
La siguiente tabla describe las opciones que usted puede configurar:
Opcin
Descripcin
Router
Puerta de enlace Indica la direccin IP de la puerta de

enlace predeterminada
Domain Name El nombre del DNS domain al cual la equipo cliente pertenece
DNS y WINS
Server
Las direcciones IP correspondientes a los servidores DNS y

WINS que los clientes usan para la resolucin de nombres
URL , FQDN y NetBIOS.
I 227
Opciones del rango soportadas por el servidor DHCP

La siguiente lista describe las opciones del alcance adicionales soportadas por los
clientes de DHCP que ejecutan sistemas operativos de Microsoft. Usted puede
usar cualquiera de estas opciones si los clientes requieren la informacin
adicional para los funcionamientos de la red apropiados.
1. La direccin IP del router. Para assignar esta informacin, configure
la opcin 003 correspondiente a la direccin de IP del router
predefinido. Este router normalmente es llamado la puerta de enlace
predefinida o default gateway.
2. La direccin IP de uno o mas Servidores DNS. Indica las

direcciones IP de los servidores DNS disponibles para los clientes. Para
asignar esta informacin, configure la opcin 006 DNS e indique las
direcciones IP de uno o ms servidores de DNS.
3. El Nombre de dominio DNS. Un nombre de dominio DNS define el
dominio a que una computadora cliente pertenece. La computadora
cliente puede usar esta informacin para actualizar su direccin IP en
un servidor DNS con la finalidad que otras computadoras puedan
localizar al cliente. Para otorgar esta informacin, configure la opcin
015 para definir el nombre de Dominio DNS e indique nombre de
dominio DNS apropiado.
4. La direccion IP de uno o ms servidores WINS disponibles a
los clientes. El cliente usa un servidor WINS para resolver nombres
NetBIOS (Network Basic Input/Output System) sistema bsico de
entrada/Salida para otorgar este parmetro. configure la opcin 044
WINS/NBNS con la direccin IP de uno o ms servidores WINS.
5. El Tipo de resolucin de nombres NetBIOS sobre TCP/IP. Para
asignar esta informacin, configure la opcin 046 WINS/NBT e indique
el tipo de nodo apropiado para la resolucin NetBIOS. El tipo de
resolucin de nombres determina el orden en que un cliente usa los
servidores de nombre NetBlOS y la difusin (broadcast) para resolver
los nombres NetBIOS a direcciones IP.
Configurando las opciones adicionales del rango

Para configurar un rango con las opciones adicionales:
1. Abra la herramienta de administracin DHCP desde el men Herramoentas
Administrativas.
2. En la consola de administracin haga, click sobre el nombre de servidor
DHCP en el cual ud. Quiere configurar las opciones de rango adicionales, y
luego espere a que se actualice el estado del rango.
3. En la consola de administracin, expanda la entrada del servidor DHCP
(haciendo click sobre el smbolo +), y luego expanda la entrada del rango
(scope) del mismo modo.
4. Haga click el las opciones del rango (Scope Options), Luego click derecho en
Scope Options, y luego haga click en Configure Options.
228
5. En el cuadro de dialogo Opciones de ambito, sobre al ficha General- en

la lista de Opciones Disponibles, active las casilla de verificacin ubicada
a la izquierda de la opcin que Ud. desea configurar.
6. En el cuadro de dialogo (Data Entry)correspondiente a la opcin,
especificando la informacin apropiada para dicha opcin.
I 229
Personalizando el Uso de Opciones del Rango

Usted puede configurar las opciones del rango para que se apliquen a todos los
clientes DHCP, a un grupo de clientes, o a un solo cliente. Se pueden configurar las
opciones del rango en cuatro niveles; servidor , rango , clase , y cliente reservado
las propiedades TCP/IP que son especificado en el cliente prevalecen sobre
cualquier informacin que el servidor DHCP proporcione.
Nivel Servidor
Se aplican a todas las clientes de DHCP que obtienen una direccin IP del servidor
DHCP. Usted debe configurar las opciones al nivel servidor si todos los clientes en
todas las subredes requieren la misma informacin de configuracin. Por ejemplo,
usted podra configurar a todos los clientes para usar el mismo servidor de DNS o
servidor WINS. Para configurar las opciones al nivel servidor, en la consola de
administracin DHCP, expanda el servidor que usted desea configurar, haga click
derecho sobre las Opciones de Servidor y luego haga click en Configure Options.
Nivel Rango
Slo estn disponibles para clientes que obtienen una direccin de ese rango. Por
ejemplo, cada subred requiere un rango diferente, y usted puede definir una nica
direccin IP para la puerta de enlace predeterminada para cada rango. Las opciones
que usted configura a nivel rango prevalecen sobre las opciones que estan
configuradas al nivel del servidor. Para configurar las opciones a nivel rango, en la
consola de administracin del DHCP, expanda el rango que usted desea configurar.
Haga click derecho sobre Las opciones del rango y luego haga click en configurar las
opciones (Configure Options).
Nivel Clase
Slo estn disponibles a clientes que se identifican al servidor de DHCP como
pertenecientes a una clase en particular. Por ejemplo, computadoras cliente puede
recibir opciones diferentes que todos los otros clientes en la red. Las opciones que
usted configura a nivel de clase prevalecen sobre de opciones que usted configura a
nivel rango o servidor. Para configurar las opciones al nivel clase, en el cuadro de
dialogo de las Opciones del Servidor o Rango, en la ficha Avanzada (Advanced),
seleccione la clase del vendedor (Vendor Class) o la clase usuario(User Class), y luego
bajo las Opciones Disponibles (Available Options), configure las opciones apropiadas.
Nivel Cliente reservado

Se aplican a clientes especficos. Por ejemplo, usted puede configurar una opcin al
nivel cliente reservado para que un cliente DHCP especifico use una direccin de
router especfica para acceder los recursos fuera de su subnet. Las opciones que
usted configura al Nivel cliente reservado prevalecen sobre las opciones que usted
configura a cualquier otro nivel. Para configurar las opciones al nivel cliente
reservado, en la consola de administracin del DHCP, expanda el rango que contiene
la direccin del cliente, haga click sobre el botn Reservaciones (Reservations) , luego
haga click derecho sobre el campo para el cliente, y luego sobre las Opciones de
configuracin (Configure Options).
230
Reservando direcciones IP para Computadoras Cliente

Usted configura una reservacin del cliente para reservar una direccin IP especfica
para ser usado por una computadora cliente DHCP, con la finalidad de que la
computadora de cliente siempre tenga la misma direccin.
Nota Si Su estructura de red le permite a un cliente recibir una direccin IP desde
mltiples servidores DHCP, usted debe configurar una reservacin del cliente a cada
uno de los servidores. Esto impide al cliente obtener una informacin de direccin IP
diferente, dependiendo de que servidor DHCP responda a la demanda de obtencin o
arriendo de direccin IP.
Para configurar una reservacin del cliente:
1. Abra la consola de administracin DHCP desde el men de Herramientas
Administrativas.
2. En el rbol de la consola, expanda el servidor que usted desea configurar, luego
expanda el scope en dnde usted quiere agregar una reservacin, y entonces
pulse el botn las Reservaciones
3. Haga click derecho en el botn Reservaciones y luego pulse el botn la Nueva
Reservacin .
4. En el cuadro de dialogo Nueva Reservacion, en el campo para nombre de
Reservacin, escriba un nombre para identificar al cliente.
El nombre asocia la direccin del hardware del adaptador de red a un cliente.
5. en el campo para direccin IP, escriba la direccin IP que usted quiere reservar
para un cliente especfico.
6. En el campo para la direccin MAC, teclee la direccin del hardware (MAC
address) del adaptador de la red del equipo cliente. No use las guiones u otro
separador en la direccin del hardware.
7. En el campo Comentario, escriba un comentario opcional para el cliente.
8. Bajo los tipos soportados, haga click para seleccionar el mtodo que el cliente
usa, y entonces haga click en Agrega . Algunas computadoras cliente ms antiguas
que estn ejecutando un sistema operativo distinto de Microsoft pueden usar el
BOOTP ms antiguo en lugar de DHCP. Tambin, el servidor de instalacin remota de
Windows Server 2003 (RIS) los clientes usan el protocolo BOOTP cuando ellos se
inicializan. Pulse el botn Ambos, a menos que usted quiera que las computadoras
cliente puedan usar slo un protocolo especfico para recibir una direccin de IP.
Actualizacin dinmica DNS

De manera predeterminada, la implementacin de DHCP est configurada para
permitir la actualizacin dinmica de los servidores de nombres DNS que sean
compatibles con el protocolo de actualizacin dinmica. Como resultado, DHCP
actualiza automticamente los registros PTR (puntero) con las direcciones IP
asignadas a los equipos clientes . Esta caracterstica reduce considerablemente el
trabajo administrativo necesario para mantener los servidores de nombres DNS
actualizados.
La configuracin de DHCP para permitir la actualizacin dinmica de los servidores
DNS se realiza en la ficha DNS del cuadro de dilogo Propiedades de un servidor
DHCP como se muestra en la siguiente figura.
I 231
Estn disponibles las siguientes opciones de actualizacin dinmica:

1. Automatically update DHCP client information in DNS. Seleccione
esta opcin cuando sea necesario actualizar DNS dinmicamente con las
asignaciones de los clientes DHCP.
2. Update DNS only if DHCP clients requests. Actualiza las zonas de
bsqueda DNS directa e inversa segn el tipo de peticin que realiza el
cliente durante el proceso de concesin. Cuando un cliente DHCP se conecta
a la red, negocia el procedimiento de actualizacin dinmica con un servidor
DHCP. El cliente DHCP siempre propone la actualizacin del registro de
recurso A (host), mientras que el servidor DHCP actualiza el registro de
recurso PTR. Esta opcin est seleccionada de manera predeterminada.
3. Allways update DNS. Actualiza las zonas de bsqueda DNS directas e
inversas cuando un cliente adquiere una concesin, cualquiera que sea
el tipo de concesin.
4. Discart Forwards (Name to address) lookups when lease expire.
Esta opcin quita las entradas de registro A del cliente cuando la
concesion DHCP caduca, esto ocurre incluso si el cliente esta
desconectado o no esta disponible.
5. Enable Updates for DNS clients that do not support dynamic
updates , cuando se selecciona esta opcion el servidor DHCP registra
los registros A y PTR en DNS para los clientes que no admitan las
actualizaciones dinmicas.
Nota: si no se selecciona Actualizar DNS unicamente a peticin del cliente DHCP y
Habilitar actualizaciones para clientes DNS que no sean compatibles con
actualizaciones dinmicas.El cliente DHCP siempre intenta actualizar los registros A y
PTR.
232
CAPTULO 11
DNS Domain Name System
Introduccin
El Sistema de nombres de dominio (DNS, Domain Name System) forma parte
integral de las comunicaciones cliente-servidor en las redes que utilizan el Protocolo
de control de transmisin/Protocolo Internet (TCP/IP, Transmission Control
Protocol/Internet Protocol). Windows Server 2003 utiliza DNS como mtodo principal
para la resolucin de nombres.
Domain Name System (DNS) es una base de datos jerrquica distribuida, que
contiene mapeos de nombres de host DNS a direcciones IP. DNS habilita la
localizacin de computadoras y servicios usando nombres alfanumricos, ms fciles
de recordar. DNS tambin habilita la localizacin de servicios de red, como E-mail
Servers y Domain Controllers en Active Directory.
Con DNS, los nombres de host residen en una base de datos distribuida en mltiples
servers, disminuyendo la carga en un servidor y la capacidad para administrar este
sistema de nombres. Asimismo, dado que se distribuye la base de datos de DNS, su
tamao es ilimitado y el funcionamiento no se degrada cuanto ms servidores se
agregan. InterNIC es responsable de delegar la responsabilidad administrativa de
porciones del Namespace de dominio, y tambin de registrar nombres de dominio.
Estos ltimos son administrados a travs del uso de la base de datos distribuida y
almacenada en Name Servers, localizados en toda la red. Cada Name Server contiene
archivos de base de datos que poseen informacin para una regin, dominio etc.,
creando as la jerarqua.
El Domain Namespace es un rbol de nombres jerrquico que utiliza DNS para

identificar y localizar un host en un dominio dado, concerniente a la raz del rbol. Los
nombres en la base de datos DNS establecen una estructura lgica llamada Domain
Namespace, que identifica la posicin de un dominio en el rbol y su dominio superior.
La convencin principal es simplemente sta: para cada nivel de dominio, un perodo
I 233
(.) se utiliza para separar a cada descendiente del subdominio y de su dominio de

nivel superior.
El Fully Qualified Domain Name (FQDN) es el nombre de dominio DNS que indica
con certeza la localizacin del host al que se refiere, y su ubicacin en el Domain
Namespace.
Instalacin del servicio DNS

Para que Active Directory y el software de cliente asociado funcionen correctamente,
primero debe instalar y configurar un servidor DNS.
Antes de instalar el servicio Servidor DNS, debe configurar TCP/IP con una direccin
IP esttica
Realice la siguiente configuracin TCP/IP en el equipo donde va a instalar el servicio
Servidor DNS:
1. Asigne una direccin IP esttica en el cuadro de dilogo Internet Protocol
(TCP/IP) Propiedades.
2. compruebe las direcciones DNS del cuadro de dialogo DNS server addresses, in
orden of use Para esto click en el botn Avanced en el cuadro de dilogo
Internet Protocol (TCP/IP) Properties. En la ficha DNS del cuadro de dilogo
Avanced TCP/IP Settings,
3. Configure el nombre de dominio y de host DNS del servidor en el que va a instalar
el servicio Servidor DNS.
Puede instalar el servicio Servidor DNS durante o despus de la instalacin de
Windows Server 2003, o durante la instalacin de Active Directory. Si instala este
servicio durante la instalacin de Active Directory, deber crear manualmente una
zona de bsqueda inversa y definir el atributo de zona como Permitir
actualizaciones despus de la instalacin.
Para instalar el servicio Servidor DNS :
1. Abra Agregar o quitar programas desde el Panel de control y haga click
en Agregar o Quitar Componentes de Windows
2. En la pgina del asistente Asistente para componentes de Windows,
haga clic en Servicios de Red y despus en el botn Detalles.
234
3. Desde el cuadro Servicios de Red Active la casilla de Detalles Domain Name

System (DNS), haga clic en OK y despus en Siguiente.
4. Si se le pide, proporcione la ruta de acceso completa a los archivos de

distribucin de Windows Server 2003 y haga clic en Siguiente.
El proceso de instalacin del servicio Servidor DNS realiza las siguientes acciones:
1. Instalacin del Servidor DNS y lo inicia automticamente (sin reiniciar el
equipo).
2. Instala la consola DNS y agrega el acceso directo DNS al men
Herramientas Administrativas. La consola DNS se utiliza para
administrar servidores DNS locales y remotos.
3. Agrega al Registro la siguiente clave para el servicio Servidor
I 235
DNS:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\DNS
4.
Crea la carpeta razDelSistema\System32\Dns.
La carpeta DNS contiene los archivos de base de datos DNS que se describen en la
siguiente tabla:
Tipo de archivo
Descripcin
nombreDeDominio.dns El archivo de base de datos de zona utilizado para
z.y.x.w.in-addr.arpa
Cache.dns
Boot
convertir nombres de host en direcciones IP para una

zona.
El archivo de bsqueda inversa utilizado para
convertir direcciones IP en nombres de host.
El archivo de cach que contiene la informacin de
host necesaria para resolver nombres fuera de
dominios con autoridad. El archivo predeterminado
contiene registros para todos los servidores raz de
Internet.
El archivo que controla cmo se inicia el servicio
Servidor DNS, el archivo de inicio es opcional
porque la configuracin de inicio est almacenada
en el Registro.
Configuracin de zonas
Una zona es una parte del espacio de nombres de dominio definida por los registros
de recursos que estn almacenados en un archivo de base de datos de zona. Un
archivo de base de datos de zona almacena informacin que se utiliza para convertir
nombres de host en direcciones IP y direcciones IP en nombres de host. Con Windows
Server 2003, puede crear zonas principales estndar y zonas secundarias estndar.
La transferencia de zona es el proceso de replicar un archivo de base de datos de
zona hacia mltiples servidores DNS. Windows Server 2003 admite transferencias de
zona incrementales adems de transferencias de zona completas.
Despus de instalar Active Directory, tambin puede crear zonas integradas de Active
Directory. Las zonas integradas de Active Directory son zonas principales
almacenadas en Active Directory y replicadas durante la replicacin de Active
Directory en lugar de mediante transferencias de zona.
Tambin puede configurar las zonas para aprovechar mejor los recursos de red. Por
ejemplo, puede configurar zonas para actualizaciones dinmicas. Puede utilizarse el
protocolo de actualizacin dinmica de DNS para actualizar automticamente el
archivo de base de datos de zona sin la intervencin del administrador.
Configuracin de zonas integradas de Active Directory

Windows Server 2003 integra DNS y Active Directory. El Active Directory utiliza un
espacio de nombres basado en DNS, lo que elimina la necesidad de crear y mantener
distintos servicios de nominacin.
236
En las zonas integradas en el Active Directory, los datos de zona se almacenan como
un objeto de Active Directory y se replican como parte de la replicacin del dominio
en lugar de mediante transferencias de zona.
Nota: Las zonas integradas de Active Directory slo se pueden crear en servidores
DNS que estn configurados para ejecutar el protocolo de actualizacin dinmica .
Creacin de zonas integradas de Active Directory

Para agregar una zona integrada de Active Directory, abra la consola DNS, haga clic
con el botn secundario del mouse (ratn) en el nombre del servidor apropiado y,
despus, haga clic en Crear una zona nueva. En el Asistente para zona nueva, haga
clic en Siguiente. En la pgina Tipo de zona, haga clic en Almacenar la zona en
Active Directory y, despus, en Siguiente. El asistente le pedir que especifique si
el tipo de bsqueda de zona es directa o inversa.
Si selecciona Zona de bsqueda directa, el Asistente para creacin de zona nueva

le pedir que especifique el nombre de la zona. Cuando termine de especificar la
informacin de zona, el asistente crear automticamente la zona, el archivo de base
de datos de zona y los registros de recursos SOA y NS (nombre del servidor). El
contenido del archivo de base de datos de zona se replica en todos los controladores
del dominio.
Si selecciona Zona de bsqueda inversa,
le pedir que especifique la identificacin
compruebe el nombre de la zona. Cuando
zona, el asistente crear automticamente
zona y los registros de recursos SOA y NS.
el Asistente para creacin de zona nueva

de red y la mscara de subred, y que
termine de especificar la informacin de
la zona, el archivo de base de datos de
I 237
Conversin de zonas existentes

Puede convertir una zona principal estndar existente en una zona integrada de
Active Directory. Es importante tener en cuenta la siguiente informacin antes de
convertir una zona existente en una zona integrada de Active Directory:
1. El servidor que aloja la zona principal estndar debe ser un controlador de
dominio.
2. Las zonas integradas de Active Directory se almacenan en Active Directory.
Cuando almacena una zona en Active Directory, el archivo de base de datos de
zona se copia a Active Directory y se elimina del servidor principal de la zona.
Para convertir una zona principal estndar en una zona integrada de Active Directory,
abra el cuadro de dilogo Propiedades de la zona que desee convertir. Haga clic en
la ficha General y, despus, en Cambiar. En el cuadro de dilogo Cambiar tipo de
zona, haga clic en Active Directory integrado y, despus, Haga clic en Aceptar en
el cuadro de dilogo Propiedades.
238
Configuracin de la transferencias de zona

Las transferencias de zona copian la informacin de los archivos de base de datos de
zona desde el servidor maestro a un servidor secundario.
Inicio de transferencias de zona

El proceso de transferencia de zona se inicia cuando se produce una de las siguientes
situaciones:
1. Un servidor maestro enva al servidor o servidores secundarios una
notificacin de que se ha producido un cambio en una zona.
2. El servidor secundario consulta un servidor maestro para ver si ha habido
cambios en el archivo de base de datos de zona. Esto ocurre cuando se
inicia el servicio Servidor DNS en el servidor secundario o cuando caduca
el intervalo de actualizacin del servidor secundario.
Tipos de transferencias de zona
Para proporcionar disponibilidad y tolerancia a errores en la resolucin de nombres,

los datos de la zona deben estar disponibles desde ms de un servidor DNS de una
red. Por ejemplo, si se utiliza un solo servidor DNS y ste no responde, las consultas
de nombres fallarn. Cuando se configura ms de un servidor para alojar una zona, se
requieren transferencias de zona para replicar y sincronizar los datos de la zona entre
todos los servidores que estn configurados para alojarla.
Transferencia de zona
La transferencia de zona es el proceso en el que un archivo de zona se replica en otro
servidor DNS. Las transferencias de zona se producen cuando las asignaciones de
nombres y direcciones IP cambian en el dominio. Cuando esto ocurre, los archivos de
zona modificados se copian desde un Master Server a sus servidores secundarios.
El proceso de transferencia de zona se inicia cuando se produce una de las
siguientes situaciones:
Un servidor maestro enva al servidor o servidores secundarios una
notificacin anunciando que se ha producido un cambio en la zona. Cuando el servidor
secundario recibe la notificacin, consulta los cambios en el Master Server.
Cada servidor secundario consulta peridicamente un servidor maestro para
comprobar si hubo cambios en el archivo de zona, incluso si no se le ha notificado
ningn cambio. Esto ocurre cuando se inicia el servicio Servidor DNS en el servidor
secundario o cuando transcurre el intervalo de actualizacin en el servidor secundario.
I 239
Los dos mtodos para replicar informacin de zona son los siguientes:
Transferencia de zona completa (AXFR). Replica el archivo de base de datos de
zona completo.La mayor parte de las implementaciones de DNS utilizan y admiten
AXFR. Cuando caduca el intervalo de actualizacin en un servidor secundario, ste
consulta al servidor maestro mediante una consulta AXFR. El servidor secundario
detecta si su copia local de una zona es la misma que la copia del servidor maestro
mediante la comparacin de los nmeros de serie de la zona.
Transferencia de zona incremental (IXFR). Replica nicamente los cambios
realizados en el archivo de base de datos de zona. IXFR es una implementacin
reciente de DNS, definida en un documento RFC, que se incluye en Windows Server
2003 y puede reducir la cantidad de datos de zona que se transfieren durante la
replicacin. IXFR utiliza tambin nmeros de serie para determinar si se han
producido cambios en un archivo de base de datos de zona. No obstante, si ha
habido cambios, slo se transfieren los registros de recursos que han cambiado, no
todo el archivo de base de datos de zona. Los cambios y las adiciones se mantienen
en la memoria cach hasta que el servidor secundario haya recibido toda la
informacin actualizada. En Windows Server 2003, la informacin de una zona se
actualiza mediante transferencias de zona incrementales (IXFR), que slo
replican los cambios realizados en el archivo de zona, en lugar de replicar todo el
archivo. Los servidores DNS que no admiten IXFR solicitan el contenido entero de
un archivo de zona cuando inician una transferencia de zona. Esto se conoce como
AXFR o transferencia de zona completa.
Un servidor que responde a la solicitud de transferencia de zona registra la versin
ms reciente de la zona y las diferencias entre esa copia y otras versiones antiguas.
Cuando el servidor reciba una solicitud con un nmero de serie antiguo, enviar slo
los cambios necesarios para actualizar la versin del cliente. No obstante, el servidor
puede responder con una transferencia de zona completa si se produce alguna de las
siguientes situaciones:
1. La suma de los cambios es mayor que la zona completa.
2. El nmero de serie del cliente es inferior al nmero de serie de la versin ms
antigua de la zona que existe en el servidor. Slo se mantiene un nmero
limitado de versiones anteriores de la zona en el servidor por razones de
rendimiento.
3. El servidor que responde a la solicitud IXFR no reconoce el tipo de consulta. Si el
servidor no reconoce la consulta, el cliente iniciar automticamente una consulta
AXFR en su lugar.
Configurando propiedades de transferencias de zona

Puede controlar con qu frecuencia y cundo se produce una transferencia de zona
mediante la modificacin del registro de recursos de inicio de autoridad (Start Of
Authority SOA). Para ello, modifique la configuracin de las opciones siguientes en
la ficha Inicio de autoridad (SOA), en el cuadro de dilogo Propiedades de la
zona:
240
Nmero de serie. Realiza un seguimiento de las actualizaciones del archivo de base

de datos de zona. Los nmeros de serie indican si se han realizado cambios en
archivos de base de datos de zona.
Intervalo de actualizacin. Controla con qu frecuencia un servidor secundario
consulta si hay datos nuevos al servidor maestro.
Intervalo de reintento. Si un servidor secundario no puede ponerse en contacto con
el servidor maestro, el intervalo de reintento determina cunto tiempo va a esperar el
servidor secundario antes de intentar de nuevo ponerse en contacto con el servidor
maestro.
Expira despus de. Controla el intervalo de tiempo que un servidor secundario va
a utilizar los datos de zona que posee para responder a consultas cuando no se
pueda poner en contacto con el servidor maestro.
Al final del intervalo de caducidad, si el servidor secundario no puede ponerse en
contacto con el servidor maestro, dejar de efectuar la resolucin de nombres.
TTL para este registro. Especifica el perodo de vida (TTL, Time to Live) o el
intervalo de tiempo mnimo durante el que va a ser vlida la respuesta a una
consulta. El servidor DNS que proporciona la informacin de resolucin de nombres
especifica el intervalo de TTL para dicha informacin.
Configuracin de la notificacin DNS

Puede configurar un servidor maestro para que incluya una lista de uno o varios
servidores secundarios a los que se debe notificar siempre que se actualice un archivo
de base de datos de zona.
Si un servidor secundario recibe una notificacin del servidor maestro acerca de que
se han realizado cambios en el archivo de base de datos de zona, inicia una
transferencia de zona para asegurarse de que sus registros estn actualizados.
I 241
Para configurar la lista de notificacin, abra el cuadro de dilogo Propiedades de la

zona, haga clic en la ficha Transferencias de zona y, a continuacin, haga clic en el
botn Notificar.
Puede seleccionar la notificacin automtica de todos los servidores enumerados en la
ficha Servidores de nombres o la notificacin automtica de los servidores que
especifique individualmente en el cuadro de dilogo Notificar.
Configuracin de zonas para Actualizaciones Dinmicas

DNS se dise originalmente para admitir nicamente cambios estticos en una base
de datos de zona. Debido a las limitaciones de diseo de un servicio DNS esttico,
slo se podan agregar, quitar o modificar registros de recursos manualmente.
La implementacin de DNS en Windows Server 2003 es compatible con el protocolo
de actualizacin dinmica de DNS. Este protocolo permite a los equipos cliente
actualizar automticamente servidores DNS, de forma que los registros de recursos
puedan actualizarse sin la intervencin del administrador. Para habilitar las
actualizaciones dinmicas, el cliente debe estar configurado para realizar
actualizaciones dinmicas y la zona debe estar configurada para permitir que se
hagan actualizaciones dinmicas.
Si desea configurar una zona para actualizaciones dinmicas, abra el cuadro de
dilogo Propiedades de la zona y seleccione la ficha General. Las opciones que
quedan disponibles al seleccionar Permitir actualizaciones dinmicas se describen
en la siguiente tabla:
242
La opcin Slo con seguridad aparece nicamente cuando se trata del tipo de zona
integrada de Active Directory. Con las actualizaciones dinmicas seguras, el servidor
DNS con autoridad slo acepta actualizaciones de equipos cliente y servidores que
estn autorizados para enviar actualizaciones dinmicas. Las actualizaciones
dinmicas seguras proporcionan las siguientes ventajas:
1. Protegen las zonas y los registros de recursos de la modificacin por
parte de usuarios sin autorizacin.
2. Le permiten especificar exactamente qu usuarios y grupos pueden
modificar zonas y registros de recursos.
Los clientes interactan directamente con el servidor DNS para actualizar el registro
de recursos (A) directo. Cuando el servidor DHCP est configurado para realizar
actualizaciones dinmicas, actualiza el registro de recursos (PTR) inverso para los
clientes y los registros de recursos A y PTR para equipos cliente que ejecuten un
sistema operativo distinto de Windows Server 2003.
I 243
Si el servidor DHCP no est configurado para realizar actualizaciones dinmicas, los

clientes actualizan los registros de recursos A y PTR.
Protocolo de actualizacin dinmica

El protocolo de actualizacin dinmica permite a los equipos cliente actualizar
automticamente sus registros de recursos en un servidor DNS sin necesidad de
intervenir el administrador. De forma predeterminada, los equipos con Windows 2000,
Windows XP y Windows Server 2003 se configuran para realizar actualizaciones
dinmicas cuando tambin se configuran con una direccin IP esttica.
Proceso de actualizacin dinmica

Cuando un servidor DHCP asigna una direccin IP a un cliente DHCP basado en
Windows Server 2003, se produce el siguiente proceso:
1. El cliente inicia un mensaje de solicitud DHCP en el que solicita una direccin
IP. Este mensaje incluye el nombre de dominio completo.
2. El servidor DHCP devuelve al cliente un mensaje de confirmacin DHCP, en el
que se otorga una concesin de direccin IP.
3. El cliente enva al servidor DNS una solicitud de actualizacin DNS de su propio
registro de bsqueda directa, el registro de recursos A (direccin).
4. El servidor DHCP enva actualizaciones para el registro de bsqueda inversa
del cliente DHCP, el registro de recursos PTR (puntero). Para realizar esta
operacin, el servidor DHCP utiliza el nombre de dominio completo que obtuvo
en el primer paso.
Actualizaciones dinmicas para clientes con versiones

anteriores de Windows
Los equipos cliente que ejecutan versiones anteriores de Windows no admiten
actualizaciones dinmicas. Debe configurar el servidor DHCP para que actualice
siempre los registros de recursos A y PTR de esos clientes.
En tal caso, se produce el proceso siguiente:
1. El cliente inicia un mensaje de solicitud DHCP al servidor DHCP, en el que
solicita una direccin IP. A diferencia de los mensajes de solicitud DHCP de los
clientes DHCP basados en Windows 2000, la solicitud no incluye un nombre de
dominio completo.
2. El servidor devuelve al cliente un mensaje de confirmacin DHCP, en el que se
otorga una concesin de direccin IP.
3. El servidor DHCP enva al servidor DNS actualizaciones de los registros de
recursos A y PTR del cliente.
244
Qu es un Query DNS?
Una Query es una solicitud de resolucin de nombre enviado a un DNS Server. Hay
dos tipos de Query: Recursiva e Iterativa.
Cmo funciona una Query Recursiva?
Una Query Rrecursiva es una solicitud de resolucin al DNS Server, en el caso que
el cliente realice la Query directamente al DNS Server. La nica respuesta aceptable a
una Query Recursiva es la respuesta completa o la respuesta en donde el nombre no
puede ser resuelto. Una Query Recursiva nunca se redirecciona a otro DNS Server. Si
el DNS consultado no obtiene la respuesta de su propia base o del cache, la respuesta
es un error, indicando que no puede resolver el nombre.
Cmo funciona una Query Iterativa?
A diferencia de las Querys Recursivas, cuando un cliente realiza un pedido de

resolucin y el DNS Server no obtiene la respuesta de su propia base o del cache, la
Query Iterativa consulta a otros DNS Servers en nombre del cliente para devolver la
respuesta. Ejemplo: si usted necesita acceder a un sitio Web en Internet,
normalmente consultara al DNS de su ISP, y ste ltimo se encargara de contactar a
otros DNS Servers hasta lograr la respuesta. Pero analice lo siguiente: es imposible
en Internet que el DNS de su ISP contenga todas las resoluciones posibles en toda la
red Internet, y por eso las bases de DNS se distribuyen y se resuelven nombres de
forma Iteractiva.
I 245
Cmo funciona el caching de DNS Server
Caching es el proceso temporal de almacenar la informacin reciente, y resulta en un

subsistema especial de la memoria para un acceso ms rpido.
Cuando un server est procesando una Query Recursiva, puede ser que se requiera
enviar varias Querys para encontrar la respuesta definitiva. En el peor de los casos
para resolver un nombre, el server local comienza en el Root DNS y trabaja hacia
abajo hasta que encuentra los datos solicitados.
El server guarda la informacin de la resolucin en su cache por un tiempo
determinado. Este periodo de tiempo se denomina Time to Live (TTL) y es
especificado en segundos. El administrador del server que contiene la primary zone
donde estn los datos, decide el valor del TTL. Cuanto ms pequeo sea el valor del
TTL, le ayudar a mantener datos ms consistentes en caso de cambios. Sin
embargo, esto tambin generar ms carga de trabajo sobre el Name Server.
Despus que el DNS Server guarda en cache los datos, el TTL comienza a decrecer
hacia abajo hasta llegar a 0 (zero) y en ese punto el registro es eliminado del cache
de DNS Server. Mientras el valor de TTL est activo, el DNS Server resuelve los
pedidos utilizando el registro de cache.
Cmo configurar propiedades del servicio DNS Server?

Para configurar propiedades del servicio DNS Server, Usted necesita actualizar los
Root Hints en el DNS Server. Los Root Hints determinan si su servidor consulta a los
root de Internet o si el root es un servidor interno.
Para actualizar los Root Hints en el DNS Server deber:
1.
2.
3.
4.
Abrir la consola de DNS.

Seleccionar el servidor apropiado en la consola DNS.
Hacer click en Propiedades del men Accion.
En Sugerencia de Raiz, Usted puede hacer click en:
Agregar, para agregar un Name Server. Agregue la IP de su servidor.
Modificar, para modificar un Name Server.
Quitar para quitar un Name Server.
Copiar desde servidor, para copiar la lista de Name Servers desde otro
DNS Server.
5. Hacer click en OK para cerrar el cuadro Propiedades.
6. Cerrar la consola DNS
246
Cmo se almacenan y se mantienen los datos DNS
Una zona es una parte contigua del espacio de nombres de dominio en el que un
servidor DNS tiene autoridad para resolver consultas DNS. El espacio de nombres
DNS se puede dividir en diferentes zonas, que almacenan informacin de nombres
acerca de uno o varios dominios DNS, o partes de ellos. Para cada nombre de dominio
DNS incluido en una zona, sta se convierte en el origen autorizado de la informacin
acerca de ese dominio.
I 247
Tipos de zonas. Los servidores DNS pueden alojar varios tipos de zona. Para
limitar el nmero de servidores DNS en la red, puede configurar uno solo que admita
o aloje varias zonas. Tambin puede configurar varios servidores para alojar una o
varias zonas con el fin de proporcionar tolerancia a errores y distribuir la carga de
trabajo administrativa y de resolucin de nombres.
Archivo de zona. Los registros de recursos que se almacenan en un archivo de
zona definen a sta. El archivo de zona almacena informacin que se utiliza para
convertir nombres de host en direcciones IP y viceversa.
Identificacin de tipos de zonas
En la tabla siguiente se describen los cuatro tipos de zonas que se pueden configurar.
Estndar Principal: Contiene una versin de lectura y escritura del archivo de zona
que se almacena en un archivo de texto estndar. Los cambios realizados en la zona
se registran en dicho archivo.
Estndar Secundario: Contiene una versin de slo lectura del archivo de zona que
se almacena en otro archivo de texto estndar. Los cambios efectuados en la zona se
registran en el archivo de zona principal y se replican en el archivo de zona
secundaria. Cree una zona secundaria estndar para crear una copia de una zona
existente y de su archivo de zona. De esta forma se puede distribuir la carga de
trabajo de la resolucin de nombres entre varios servidores DNS.
Integrada de Active Directory: En lugar de almacenar la informacin de zona en
un archivo de texto, se almacena en Active Directory. Las actualizaciones de la zona
se producen automticamente durante la replicacin de Active Directory. Cree una
zona integrada de Active Directory para simplificar el planeamiento y la configuracin
de un espacio de nombres DNS. No es necesario configurar servidores DNS para
especificar cmo y cundo se producen las actualizaciones, ya que Active Directory
mantiene la informacin de zona.
Zona Stub: La zona Stub son las copias de una zona que contienen solamente los
registros que son necesarios identificar en el servidor autoritativo DNS para esa zona.
Una zona stub contiene un subconjunto de datos de la zona que consisten en registros
SOA, NS, y A. Las zona Stub puede ser utilizada donde un servidor interno DNS
representa al Root en lugar de los Root Servers de Internet.
248
Zonas Estndar Principales

El servidor principal de una zona acta como punto de actualizacin de la zona. Las
zonas recin creadas son siempre de este tipo. Con Windows Server 2003, las zonas
principales se pueden utilizar de una de dos formas: como zonas estndar principales
o como zonas principales integradas con Active Directory. En las zonas estndar
principales, slo un servidor puede alojar y cargar la copia maestra de la zona. Si crea
una zona y la mantiene como zona estndar principal, no se permite ningn servidor
principal adicional para la zona. Slo un servidor puede aceptar actualizaciones
dinmicas y procesar los cambios de zona.
El modelo principal estndar supone un punto de concentracin de errores. Por
ejemplo, si por cualquier motivo el servidor principal de una zona no est disponible
para la red, no se puede realizar ninguna actualizacin dinmica de la zona. Tenga en
cuenta que las consultas de nombres en la zona no se ven afectadas y pueden
continuar sin interrupcin, siempre y cuando los servidores secundarios de la zona
estn disponibles para responderlas.
La adicin de una nueva zona principal a un servidor existente puede llevarse a cabo
siempre que se necesiten dominios o subdominios adicionales en el espacio de
nombres de dominio DNS. Por ejemplo, podra tener una zona para un dominio de
segundo nivel como microsoft.com y desear agregar una zona principal para el nuevo
subdominio como nwtraders.msft. En este ejemplo puede crear la zona nueva para el
subdominio con el Asistente para configuracin de zona nueva del complemento DNS.
Cuando haya finalizado, debe crear una delegacin en la zona principal del nuevo
dominio (como la zona microsoft.com) para completar la adicin del nuevo
subdominio y su zona principal.
En las zonas principales estndar, algunas veces puede ser necesario cambiar el
servidor principal designado para una zona.
Por ejemplo, supongamos que el servidor principal actual de una zona principal
estndar es Servidor A y el nuevo servidor principal de la zona es Servidor B. Para
influir en el cambio de estado del Servidor A al Servidor B, realice los siguientes
cambios de zona:
1. Agregue un nuevo registro de recursos (RR) de host (A) para el Servidor B.
2. Actualice el registro de recursos de servidor de nombres (NS) de la zona
para quitar el Servidor A e incluir el Servidor B como servidor autorizado y
configurado, que apunta al nuevo registro de recursos RR A agregado en el
paso 1.
3. Revise el nombre del campo de propietario del registro de recursos de inicio de
autoridad (SOA) para la zona del Servidor A al Servidor B.
4. Quite el registro de recursos A antiguo del Servidor A.
5. Compruebe la zona principal para asegurarse que los registros de
delegacin (registros de recursos NS o A) utilizados se actualizan para
hacer referencia al Servidor B.
I 249
Zonas Estndar Secundarias

Las especificaciones de diseo de DNS recomiendan el uso de al menos dos servidores
DNS para alojar cada zona. Para las zonas de tipo estndar principal, se necesita un
servidor secundario para agregar y configurar la zona que aparece ante otros
servidores DNS de la red. Los servidores secundarios pueden proporcionar un medio
para aliviar el trfico de consultas DNS en reas de la red en las que una zona se
consulta y utiliza mucho. Adems, si un servidor principal deja de ser operativo, un
servidor secundario puede realizar parte de la resolucin de nombres en la zona hasta
que el servidor principal est disponible.
Si agrega un servidor secundario, intente ubicarlo lo ms cerca posible de los clientes
que requieran muchos nombres en la zona. Adems, es recomendable colocar
servidores secundarios a travs de un router, ya sea en otras subredes (si se utiliza
una LAN ruteada) o en vnculos WAN. De esta manera, se usa eficazmente un
servidor secundario como copia de seguridad local en aquellos casos en los que un
vnculo de red intermedio se convierte en un punto de concentracin de errores entre
servidores y clientes DNS que utilizan la zona.
Como el servidor principal siempre mantiene la copia maestra de las actualizaciones y
cambios efectuados en la zona, el servidor secundario depende de mecanismos de
transferencia de zonas DNS para obtener su informacin y mantenerla actualizada.
Algunas cuestiones como los mtodos de transferencia de zona, ya sea mediante
transferencias de zona completas o incrementales, se simplifican cuando se utilizan
servidores secundarios. Al considerar el impacto de las transferencias de zona
causadas por los servidores secundarios, tenga en cuenta su ventaja como origen de
copia de seguridad de informacin y comprela con el costo agregado que suponen en
la infraestructura de red.
Zonas Integradas de Active Directory

En Windows Server 2003 puede agregar ms servidores principales para una zona,
mediante las caractersticas integradas de almacenamiento y replicacin de directorios
del servicio DNS. Para ello, es necesario cambiar una zona e integrarla en Active
Directory.
Para integrar una zona existente en Active Directory, cambie el tipo de una zona en el
servidor principal de origen donde se cre por primera vez. Una vez que el tipo de
zona haya cambiado de estndar principal a Integrada de Active Directory, podr
agregar la zona a otros servidores DNS. A tal efecto, deber configurarlos de modo
que usen la opcin para iniciar desde servicios de directorio cuando inicialicen el
servicio DNS.
Cuando se selecciona esta opcin, otros servidores DNS que funcionan como
controladores de dominio para el dominio de Active Directory pueden consultar el
directorio y cargar automticamente todas las zonas integradas de l, que se
almacenan en la base de datos de directorios. No se requiere ningn otro paso.
Cualquier servidor DNS que funcione como parte de Active Directory es tambin, de
manera
predeterminada,
servidor
principal
para
las
zonas
integradas
de directorio.
En las zonas principales integradas de directorio, los servidores secundarios se
admiten pero no son necesarios para ofrecer tolerancia a errores. Por ejemplo, dos
servidores DNS que funcionan como controladores de dominio de Windows Server
2003 pueden ser servidores principales redundantes para una zona y ofrecer las
mismas ventajas que supone agregar un servidor secundario, adems de otras
adicionales.
Como el archivo de zona se mantiene en el contexto de nombres de dominio de Active
Directory, los controladores de dominio deben estar en el mismo dominio para actuar
como servidores principales redundantes en una zona. Cuando sea necesario
compartir esta informacin de zona entre dominios, deber crearse un servidor de
zona secundaria estndar.
250
Qu son Resource Records y Record Types

Los archivos de zona contienen la informacin a la que un servidor DNS hace
referencia para realizar dos tareas distintas: convertir nombres de host en direcciones
IP y convertir direcciones IP en nombres de host. Esta informacin se almacena como
registros de recursos que llenan el archivo de zona. Un archivo de zona contiene los
datos de resolucin de nombres para una zona, incluidos los registros de recursos con
informacin para responder a consultas DNS. Los registros de recursos son entradas
de base de datos que incluyen varios atributos de un equipo, como el nombre de host
o el nombre de dominio completo, la direccin IP o el alias.
Los servidores DNS pueden contener los siguientes tipos de registros de

recursos:
A (host): Contiene la informacin de asignaciones de nombre a direccin IP, que se

utiliza para asignar un nombre de dominio DNS a una direccin IP de host en la red.
Los registros de recursos A tambin se conocen como registros de host.
NS (name server): Designa los nombres de dominio DNS de los servidores que
tienen autoridad en una zona determinada o que contienen el archivo de zona de ese
dominio.
I 251
CNAME (canonical name): Permite proporcionar nombres adicionales a un servidor

que ya tiene un nombre en un registro de recursos A. Por ejemplo, si el servidor
llamado webserver1.nwtraders.msft aloja el sitio web de nwtraders.msft, debe tener
el nombre comn ww.nwtraders.msft. Los registros de recursos CNAME tambin se
conocen como registros de alias.
MX (mail exchanger): Especifica el servidor en el que las aplicaciones de correo
electrnico pueden entregar correo. Por ejemplo, si tiene un servidor de correo que se
ejecuta en un equipo llamado mail1.nwtraders.msft y desea que todo el correo de
nombreDeUsuario@nwtraders.msft se entregue en este servidor, es necesario que el
registro de recursos MX exista en la zona de nwtraders.msft y apunte al servidor de
correo de ese dominio.
SOA (Start Authority): Indica el punto de partida o el punto original de autoridad
para la informacin almacenada en una zona. El registro de recursos SOA es el
primero que se crea cuando se agrega una zona nueva. Contiene tambin varios
parmetros que utilizan otros equipos que emplean DNS para determinar cunto
tiempo utilizarn la informacin de la zona y con cunta frecuencia hay que realizar
actualizaciones.
PTR (pointer): Se utiliza en una zona de bsqueda inversa creada en el dominio inaddr.arpa para designar una asignacin inversa de una direccin IP de host a un
nombre de dominio DNS de host.
SRV (service): Lo registran los servicios para que los clientes puedan encontrar un
servicio mediante DNS. Los registros SRV se utilizan para identificar servicios en
Active Directory y tambin se conocen como registros de ubicacin de servicio.
Creacin de zonas de bsqueda estndar
En la mayora de las bsquedas de DNS los clientes suelen realizar una bsqueda
directa, que es una solicitud para asignar un nombre de equipo a una direccin IP.
DNS proporciona tambin un proceso de bsqueda inversa, que permite a los clientes
solicitar un nombre de equipo en funcin de la direccin IP del equipo.
252
Creacin de una zona de bsqueda directa

Para crear una zona de bsqueda directa, haga click en Bsqueda directa en la
pgina Zona de bsqueda directa o inversa del Asistente para zona nueva. El
asistente lo gua por el proceso de asignar un nombre a la zona y al archivo de zona,
y asimismo crea automticamente la zona, el archivo de zona y los registros de
recursos necesarios para el servidor DNS en el que se crea la zona.
Creacin de una zona de bsqueda inversa

Para crear una zona de bsqueda inversa, haga click en Bsqueda inversa en la
pgina Zona de bsqueda directa o inversa del Asistente para zona nueva. El
asistente le indica cmo especificar la identificacin de la red o el nombre de zona y
cmo comprobar el nombre del archivo de zona segn la informacin de identificacin
de la red. Asimismo crea automticamente la zona, el archivo de zona y los registros
de recursos necesarios para el servidor DNS en el que se crea la zona.
El dominio in-addr.arpa es un dominio DNS especial de nivel superior que est
reservado para la asignacin inversa de direcciones IP en nombres de host DNS. Para
crear el espacio de nombres inverso, se forman subdominios en el dominio inaddr.arpa con el orden inverso de los nmeros en notacin decimal con puntos de las
direcciones IP.
Para cumplir los estndares RFC, el nombre de la zona de bsqueda inversa requiere
el sufijo de dominio in-addr.arpa. Al crear una zona de bsqueda inversa, este sufijo
se agrega automticamente al final de la identificacin de la red. Por ejemplo, si la
red utiliza el identificador de red de clase B 172.16.0.0, el nombre de la zona de
bsqueda inversa se convierte en 16.172.in-addr.arpa.
Configuracin de zonas estndar
Para cada zona, el servidor que mantiene los archivos de zona principal estndar se
llama servidor principal, y los servidores que alojan los archivos de zona secundaria
estndar se llaman servidores secundarios. Un servidor DNS puede alojar el
archivo de zona principal estndar (como servidor principal) de una zona y el archivo
de zona secundaria estndar (como servidor secundario) de otra zona.
I 253
Puede configurar uno o varios servidores DNS para alojar:

Una o varias zonas principales estndar.
Una o varias zonas secundarias estndar.
Una combinacin de zonas principales estndar y zonas secundarias estndar.
Nota: Para crear una zona secundaria estndar, debe crear primero una zona
principal estndar.
Especificacin de un Master Server DNS para una zona secundaria
Al agregar una zona secundaria estndar, debe designar uno o varios servidores DNS
en donde obtener la informacin de zona. El servidor o servidores designados se
conocen como Master Servers DNS. Un Master Server DNS transfiere informacin de
zona al servidor DNS secundario. Usted puede designar un servidor principal u otro
servidor secundario como Master Server DNS para una zona secundaria estndar.
Para especificar un Master Server DNS en la pgina Masters Servers del Asistente
para zona nueva, escriba la direccin IP del Master Server en el cuadro Direccin IP y
haga click en Agregar.
Prueba del Servidor DNS

El servicio Servidor DNS permite probar y supervisar DNS mediante la consola DNS.
Nslookup, una utilidad estndar del sector, est tambin disponible para probar el
servicio Servidor DNS y los registros de recursos.
Supervisin de servidores DNS

Puede configurar el servicio Servidor DNS para realizar consultas de forma
programada con el fin de asegurarse de que el servicio funciona correctamente.
En la consola DNS, abra el cuadro de dilogo Propiedades del servidor que desea
supervisar y haga clic en la ficha Supervisin. Puede probar un servidor DNS
mediante dos tipos de consultas:
Consulta simple. Este tipo de consulta realiza una prueba local mediante
el uso del cliente DNS para consultar a un servidor DNS.
Consulta recursiva. Este tipo de consulta prueba un servidor DNS

mediante el reenvo de una consulta recursiva a otro servidor DNS.
En Seleccionar un tipo de prueba, active Una unica consulta con este

servidor DNS, Una consulta recursiva a otros servidores DNS o ambas, y haga
clic en Probar ahora. Los resultados de la prueba aparecern en Resultados de la
prueba, en el cuadro de dilogo Propiedades del servidor.
254
Uso de Nslookup
Nslookup es la utilidad de diagnstico principal del servicio Servidor DNS y se
instala con TCP/IP. Puede utilizar Nslookup para ver los registros de recursos y las
consultas directas a cualquier servidor DNS, incluidas las implementaciones de DNS
en UNIX. Nslookup tiene dos modos:
Interactivo. Utilice este modo cuando necesite ms de un dato. Para ejecutar

el modo interactivo, en el smbolo del sistema, escriba nslookup.
Para salir del modo interactivo, escriba exit.
No interactivo. Utilice este modo cuando necesite un solo dato. Escriba la

sintaxis de Nslookup en el smbolo del sistema y se devolvern los datos.
En la tabla siguiente se describe la sintaxis de Nslookup: nslookup [-opcin...]

[equipopara-buscar | - (servidor)]
Sintaxis
Descripcin
-opcin
Especifique uno o varios comandos de Nslookup. Si

desea ver una lista de comandos, escriba un signo de
interrogacin (?) para abrir la Ayuda.
equipo -
Si es una direccin IP, Nslookup devuelve el nombre de host.

Si se trata de un nombre de host, Nslookup devuelve una
direccin IP. Si el equipo que desea buscar es un nombre y no
tiene un punto al final, se anexar al nombre el nombre de
dominio DNS predeterminado. Para buscar un equipo fuera
del dominio DNS actual, agregue un punto al final del
nombre.
-servidor
Utilice este servidor como el servidor DNS. Si se omite el

servidor, se utilizar el servidor DNS predeterminado
configurado actualmente.
I 255
Nota: Para que Nslookup funcione correctamente, debe existir un registro de

recursos PTR para el servidor DNS en la base de datos del servidor. Al iniciarse,
Nslookup realiza una bsqueda inversa de la direccin IP del servidor que
ejecuta el servicio Servidor DNS.
Caractersticas del Servicio DNS

Para determinar como el DNS Microsoft se integra con otras plataformas dentro de
una infraestructura de red existente, necesitamos conocer las caractersticas que
proporcionan los servidores DNS de Microsoft, los estndares que cumplen y la
envergadura de sus servicios.
Resolucin de nombres de dominio

El Servicio DNS de Windows Server 2003 proporciona las siguientes caractersticas
para la resolucin de nombres de dominio.
256
Resolucin de nombres de dominio. El servicio DNS resuelve

nombre de dominio completamente calificados (Fully Qualified Domain
Name - FQDN).
Resolucin de nombres NetBIOS. Los nombres de equipos que forman
el sistema de bsico de entrada y salida mas conocidos como nombres
NetBIOS son resueltos a travs de reenvi hacia servidores WINS.
CAPTULO 11
WINS Windows Internet Name Service W
El mtodo ms habitual para resolver nombres NetBIOS remotos y locales es el uso

de un servidor de nombres NetBIOS.
Cuando un usuario ejecuta determinados comandos, como net use, o hace que una
aplicacin NetBIOS interacte con la red, se inicia el proceso de resolucin de
nombres NetBIOS. En n la cach de nombres NetBIOS es donde se comprueba si se
encuentra la asignacin de nombre NetBIOS en direccin IP del host de destino. En
caso que el nombre NetBIOS no se encuentre en la cach, el cliente intentar
determinar la direccin IP del host de destino mediante otros mtodos.
Si el nombre no se puede resolver con la cach, el nombre NetBIOS del host de
destino se enva al servidor de nombres NetBIOS configurado para el host de origen.
Una vez que el nombre se convierte en una direccin IP, se devuelve al host de
origen.
WINS es la implementacin de Microsoft de un servidor de nombres NetBIOS.
Para que WINS funcione correctamente en una red, cada cliente debe:
1. Registrar su nombre en la base de datos WINS. Al iniciar un cliente, ste
registra su nombre en el servidor WINS configurado.
2. Renovar el registro a intervalos configurables. Los registros de los clientes son
temporales y, por lo tanto, los clientes WINS deben renovar regularmente su
nombre o, de lo contrario, su concesin caducar.
3. Liberar los nombres de la base de datos al cerrarse. Si el cliente WINS ya no
necesita su nombre, por ejemplo cuando se apaga, enva un mensaje para
indicar al servidor WINS que lo libere.
I 257
Una vez que se ha configurado con WINS como mtodo de resolucin de nombres, el
cliente tambin lo usar para llevar a cabo consultas de nombres NetBIOS. Para ello
debe realizar las acciones siguientes:
1. Si el cliente no puede resolver el nombre en su cach, enva una consulta de
nombre a su servidor WINS principal. Si ste no responde, el cliente enviar la
solicitud dos veces ms.
2. Si el cliente no recibe una respuesta del servidor WINS principal, vuelve a
enviar la solicitud a todos los servidores WINS adicionales, configurados en el
cliente. Si un servidor WINS resuelve el nombre, responder al cliente con la
direccin IP del nombre NetBIOS solicitado.
3. En caso que no se reciba ninguna respuesta, el servidor WINS enviar un
mensaje indicando que el nombre no se encuentra, y el cliente pasar al
siguiente mtodo de resolucin de nombres configurado.
Instalacin de WINS
Para crear un servidor WINS, instale WINS en un equipo donde se ejecute Windows
Server 2003.
Para instalar WINS deber:
1.
Hacer doble click en Add / remove programs del Panel de control.
2.
Hacer click en Add / remove Windows components.
3.
Hacer click en Network Services y en Details de la pgina Windows
components del Asistente para componentes de Windows, en Components.
4.
Activar la casilla de verificacin WINS Service En el cuadro de dilogo
Network Services, en Subcomponents, y hacer click en Ok.
5.
Hacer click en Next.
4.2. Estudio de los registros de la base de datos WINS
La opcin WINS de Microsoft Management Console (MMC) permite al usuario ver el

contenido de la base de datos WINS y buscar entradas especficas.
Apertura de la base de datos WINS
Para abrir la base de datos WINS deber:
1.
Expandir el nombre del servidor en WINS y hacer click en Active registries.
2.
Hacer click con el botn secundario del mouse en Active registries y luego
hacer click en find by owner.
3.
Hacer click en All Owners del cuadro de dilogo find by owner, en la ficha
Owners, y luego hacer click en Find.
4.2.1. Estudio de la informacin de registro de WINS
WINS muestra todos los registros de la base de datos y organiza la informacin de
registro de WINS en las columnas siguientes:
Nombre de registro. El nombre NetBIOS registrado, que puede ser un nombre
nico o puede representar a un grupo, un grupo de Internet o un equipo multitarjeta.
Tipo. El servicio que registr la entrada, incluido el identificador de tipo
hexadecimal.
Direccin IP. La direccin IP correspondiente al nombre registrado.
258
Estado. El estado de la entrada de la base de datos, que puede ser Activo, Liberado
o Desechado. Si el estado de la entrada es Desechado, sta ya no estar activa y se
quitar de la base de datos.
Propietario. El servidor WINS desde que se origina la entrada. Debido a la
replicacin, no es necesariamente el mismo servidor desde el que se est viendo la
base de datos.
Versin. Nmero hexadecimal nico, asignado por el servidor WINS durante el
registro de nombres. Los asociados del servidor lo utilizan para identificar nuevos
registros durante la replicacin.
Caducidad. Muestra la fecha de caducidad de la entrada. Cuando un replicado se
almacena en la base de datos, los datos de caducidad correspondientes se establecen
de acuerdo con la hora del servidor WINS de recepcin, adems del intervalo de
renovacin establecido en el cliente.
4.3. Replicacin de WINS
Aunque un servidor WINS puede admitir ms de 5.000 clientes en condiciones

normales de carga de trabajo, puede instalar tambin un segundo servidor para
proporcionar tolerancia a errores en la resolucin de nombres NetBIOS. Dicho
servidor permitir, al mismo tiempo, localizar el trfico de resolucin. De esta forma,
si se produce un error en uno de los servidores WINS, el otro servidor continuar
realizando la resolucin de nombres NetBIOS en la red.
Cada servidor WINS de una red mantiene su propia base de datos WINS. Por lo tanto,
si hay varios servidores WINS en la red, debern configurarse para replicar los
registros de su base de datos en el resto de los servidores WINS. La replicacin de
bases de datos WINS garantiza que un cliente WINS configurado para usar un
servidor WINS distinto, pueda resolver nombres registrados con un servidor WINS.
Por ejemplo:
El host A de la subred 1 se registra con el servidor WINS A de la subred 1.
El host B de la subred 2 se registra con el servidor WINS B de la subred 2.
Cuando se produce una replicacin de WINS, cada servidor WINS actualiza su base
de datos con la nueva entrada procedente de la base de datos del otro servidor.
Como resultado de la replicacin, ambos servidores WINS disponen de informacin
acerca de ambos hosts, y los hosts A y B pueden resolver mutuamente sus nombres
si se ponen en contacto con su servidor WINS local.
Para que se produzca la replicacin, cada servidor WINS deber configurarse con un
asociado de replicacin, como mnimo. Al configurar un asociado de replicacin para
un servidor WINS, puede especificarlo como asociado de extraccin, como asociado
de insercin o como asociado de extraccin e insercin para el proceso de replicacin.
4.3.1 Cmo funciona la replicacin Push?
I 259
Definicin
La replicacin Push es el proceso de copia de los registros actualizados desde un
WINS Server a otros, siempre que el WINS Server que contenga datos actualizados,
alcance un valor especificado de cambios.
El proceso de replicacin Push funciona de la siguiente forma:
1.
El Push Partner notifica a sus Replication Partners, siempre que el nmero de
cambios a su base de datos del WINS pase un valor especfico configurable. Por
ejemplo, Usted puede configurar el Push Partner para notificar a los Replication
Partners cuando ocurran 50 cambios en la base.
2.
Cuando los Replication Partners respondan a la notificacin con un pedido de
rplica, el Push Partner enva la rplica de las entradas nuevas en la base.
Cmo funciona una replicacin Pull?
260
La replicacin Pull es el proceso de copia de los registros actualizados desde un WINS

Server a otros WINS Servers, en intervalos especficos de tiempo.
El proceso de replicacin Pull funciona de la siguiente forma:
1.
El Pull Partner solicita los cambios en la base de WINS en intervalos de tiempo.
Por ejemplo, Usted puede configurar un Pull Partner para solicitar los cambios cada 8
horas.
2.
Los Replication Partners responden enviando las entradas nuevas de la base.
Tambin existe la posibilidad de configurar Replications Partners de modo Push/Pull.

Esto le asegura que bajo determinada cantidad de cambios, se produzca la replicacin
en intervalos de tiempo.
4.4. Prctica 11: Cmo configurar una replicacin WINS?
Para poder hacer esta prctica Usted necesitar dos instalaciones de Windows Server
2003 con el servicio de WINS instalado.
Por default, los WINS Replication Partners son configurados como Push/Pull Partners.
Para modificar esta configuracin y satisfacer las necesidades de su red, Usted puede
especificar los parmetros Push y Pull para cada Replication Partner.
Para configurar una replicacin WINS deber:
1.
Seleccionar, en la consola WINS, el WINS Server al que quiere agregar un
Replication Partner, y hacer click en Replication Partners.
2.
Hacer click en New Replication Partner del men Action,
3.
Ingresar, en el campo WINS Server, el nombre o la IP del WINS Server a
agregar como Replication Partner. (Segunda Computadora)
4.
Hacer click en OK.
Para modificar el tipo de Replication Partner deber:
1.
Expandir el WINS Server en la consola WINS.
2.
Hacer click en Replication Partners de la consola WINS.
3.
Hacer click derecho en el server apropriado del cuadro de detalles, y luego
hacer click en Properties
4.
Seleccionar una de las siguientes opciones en el cuadro Server Properties, en
Advanced, en el campo: Replication partner type:
Push.
Pull.
Push/Pull.
5.
Hacer click en OK del cuadro Server Properties.
6.
Cerrar la consola WINS.
4.5. Mantenimiento
4.5.1. Backup
Usted debe realizar tareas de mantenimiento en perodos de tiempo especfico. Para
ayudarle en esta tarea, el WINS Server puede ser configurado para realizar los
backups automticamente. Tenga en cuenta que todos los software de backup no
realizan esta tarea ya que la base de datos es un archivo con privilegios exclusivos del
sistema operativo, siempre que el servicio est iniciado.
Para especificar el directorio de backup de WINS deber:
1.
Hacer click derecho sobre el WINS Server de la consola WINS, y despus hacer
click en Properties.
2.
Ingresar el directorio donde quiere realizar los backups del WINS Server, en
General en el campo Default backup path.
4.5.2. Compactar la base de datos
I 261
Para realizar las operaciones de reparacin y/o compactacin debe utilizar la

herramienta apropiada: la base de WINS, que es un archivo que se encuentra en
\Windows\system32\Wins y su nombre es Wins.mdb. La herramienta que usted debe
utilizar es jetpack, y el comando es:
jetpack %Systemroot%\System32\Wins\Wins.mdb Temp.mdb
Donde %systemroot% es el directorio de instalacin del sistema operativo y
temp,mdb
es
una
base
temporal.
Luego debe copiar la base temporal con el nombre Wins.mdb y eliminar la base
anterior. Recuerde que para realizar esta tarea debe estar detenido el servicio de
WINS Server.
4.6. Procesos de resolucin de nombres e integracin WINS / DNS
4.6.1. Resolucin de nombres de host
El proceso de resolucin de nombres de HOST en un cliente cumple con el

siguiente diagrama:
1.
El cliente verifica si ya obtuvo la resolucin en otra oportunidad. De ser as la
resolucin se encuentra en el DNS cach local del cliente y finaliza el proceso. Si no
obtiene la resolucin, sigue al paso siguiente.
2.
El cliente realiza una query al DNS primario. Si el DNS resuelve la consulta, el
proceso finaliza. Si no obtiene la resolucin, sigue al paso siguiente.
3.
El cliente verifica si ya obtuvo la resolucin en otra oportunidad. De ser as, la
resolucin se encuentra en el NetBIOS cach local del cliente y finaliza el proceso. Si
no obtiene la resolucin, sigue al paso siguiente.
4.
El cliente realiza una query al WINS primario. Si el WINS resuelve la consulta,
el proceso finaliza. Si no obtiene la resolucin, sigue al paso siguiente.
5.
Si hasta el momento no pudo resolver el nombre, el cliente realiza un Broadcast
local. Si resuelve la consulta, el proceso finaliza. Si no obtiene la resolucin, sigue al
paso siguiente.
6.
Por ltimo tendr que consultar el archivo local HOST que se encuentra en
systemroot\system32\drivers\etc. Este archivo es una base esttica de resolucin; no
tiene extensin y tampoco se actualiza. Si este ltimo proceso no es exitoso, el cliente
no logra la resolucin.
262
Ejemplo de archivo HOST
Resolucin de nombres NetBIOS
El proceso de resolucin de nombres de NetBIOS en un cliente cumple con el

siguiente diagrama:
1.
El cliente verifica si ya obtuvo la resolucin en otra oportunidad. De ser as, la
resolucin se encuentra en el NetBIOS cach local del cliente y finaliza el proceso. Si
no obtiene la resolucin, sigue al paso siguiente.
2.
El cliente realiza una query al WINS primario. Si el WINS resuelve la consulta,
el proceso finaliza. Si no obtiene la resolucin, sigue al paso siguiente.
3.
Si hasta el momento no pudo resolver el nombre, el cliente realiza un Broadcast
local. Si resuelve la consulta, el proceso finaliza. Si no obtiene la resolucin, sigue al
paso siguiente.
4.
Por ltimo tendr que consultar el archivo local LMHOST que se encuentra en
systemroot\system32\drivers\etc. Este archivo es una base esttica de resolucin; no
tiene extensin y tampoco se actualiza. Si este ltimo proceso no es exitoso, el cliente
no lograr la resolucin.
I 263
Ejemplo de Archivo LMHOST
Introduccin a la integracin WINS y DNS
El integrar WINS con DNS habilita a los clientes a usar exclusivamente DNS para la
resolucin de nombres. Los clientes podrn acceder a los datos de WINS a travs del
DNS server. Sin embargo, el DNS Server no puede localizar recursos sin realizar una
query a WINS. En Windows Server 2003, Usted puede configurar integracin entre
WINS y DNS para habilitar a clientes no-WINS para resolver nombres NetBIOS,
usando un DNS Server.
Usted puede configurar DNS integrado con WINS Servers.
Para configurar una zona DNS para uso de WINS lookup deber:
1.
Abrir DNS en el men Administrative Tools.
2.
Expandir, en la consola DNS, el server donde est la zona a configurar,
expandir Forward Lookup Zones, y luego hacer click en la zona.
3.
Hacer click derecho en la zona, y luego en Properties.
4.
Seleccionar el cuadro Use WINS forward lookup, del cuadro Properties, en
WINS.
5.
Ingresar la direccin IP del WINS Server, del cuadro IP address, y luego hacer
click en Add.
264
CAPTULO 12
IIS Internet Information Server 6.0TER
Microsoft Internet Information Server 6.0 es un servidor Web al que se le han aadido
las caractersticas de servidor de archivos y aplicaciones, diseado para el sistema
operativo Windows Server 2003. El IIS 6.0 es el componente bsico para la
implementacin de una solucin Intranet o Internet.
Integracin con Windows Server 2003

IIS 6.0 esta totalmente integrado con Windows Server 2003. La intima integracin del
IIS con Windows Server 2003 le permite al administrador usar la seguridad integrada
y su sistema de archivos NTFS. Lo que permite la implementar de manera simple la
seguridad de la Intranet o Internet de la empresa.
Servidor de Aplicaciones
El IIS le permite a los diseadores de software que organicen un nueva generacin de
Contenido dinmico y atractivo para el WEB. IIS soporta completamente sistemas de
programacin como visual basic, VBScripts, Microsoft Java Scripts y componentes
java. Adicionalmente da soporte para CGI (Common Gateway Interfase), y winCGI
para programas basados en la web e Internet Server Aplication Programming
I 265
Interface (ISAPI). La ejecucin aislada de procesos le permite almacenar de manera

segura mltiples web sites, ya que si un site se detiene el otro no se ve afectado.
Servicios Internet
IIS proporciona soporte a estndares Internet tales como los servicios de WWW World
Wide Web, File Transfer Propotocol (FTP), Simple Mail Transfer Protocol (SMTP) y
Network News Transfer Protocol (NNTP).
Servicio WWW
Microsoft World Wide Web (WWW) soporta HTTP, permitiendo a usuarios publicar
contenido en Internet. La Web es el servicio mas grafico en la Internet y tiene las mas
sofisticadas capacidades de enlace. Sin importar si su Site esta en una Intranet o en
Internet. Los principios para la publicacin son los mismos
Servicio FTP
Microsoft File Transfer Protocol service proporciona la transferencia de archivos entre
computadores usando FTP uno de los principales protocolos de la pila TCP-IP. Los FTP
Sites permite que Ud.
Servicio SMTP
El servicio SMTP permite que el IIS se convierta en un cliente del correo SMTP esto
permite que una aplicacin web sea capaz de enviar y recibir mensajes. Adems el
administrador puede recibir correo en funcin de cientos sucesos en el Web Server.
Servicio NNTP
El Network News Transfer Protocol es un estndar comercial diseado para soportar
grupos de discusin de solo lectura, moderados o privados. Proporcionar a los
clientes acceso a discusiones
Microsoft Management Console

El Microsoft Management Console MMC es un contenedor de interfase de usuario
extensible. MMC integra las tareas administrativas del IIS y todos sus componentes
en un nico e integrado utilidad. Que permite la administracin de todos los
componentes de IIS con facilidad.
M icrosoft WWW Service

El http es el protocolo que lidera el World Wide Web (WWW) desarrollado para
satisfacer la necesidad de un protocolo universal que simplificara la manera como los
usuarios accesaban a la informacin en la Internet.
Servidores Virtuales
Mltiples nombres de dominio pueden ser almacenados en un servidor web.
Existen tres mtodos para el almacenamiento de servidores virtuales en el IIS.
1. Otener una nica direccin IP para cada nombre de dominio
2. Host Headers (Encabezado de anfitrin). permite a varios servidores virtuales
se almacenen en un nico IIS con una nica direccin IP.
3. Es asignar un nico puerto a cada servidor virtual.
266
Ventajas
Los servidores virtuales permiten almacenar mltiples servidores WWW o FTP en un
solo Equipo, reduciendo la necesidad de ubicar un equipo y software para cada Site.
Los servidores Virtuales usando Host Headers o puerto usan una nica direccin IP
para ser usada por mltiples Sites. Adicionalmente se tiene la ventaja de una
administracin centralizada.
Desventajas
Almacenar varios servidores virtuales en la misma computadora puede reducir el
rendimiento general del servidor. Los servidores virtuales que usan host headers
requieren de browsers que cumplan con la versin 1.1 del protocolo HTTP.
Directorios Virtuales
Un directorio virtual es una carpeta que para los usuarios aparenta esta en la raiz
Wwwroot (Directorio hogar). Sin embargo un directorio virtual puede esta ubicado en
realidad en cualquier en cualquier computadora del dominio Windows 2000, los
directorios virtuales pueden ser creados en carpetas o directorios ubicados en :
El Mismo volumen donde reside el directorio hogar (Wwwroot)
Otro Volumen o disco duro en el mismo equipo donde el reside el Wwwroot
Otro equipo en la red. El equipo debe estar en el mismo dominio donde se

encuentra el instalado el IIS.
Ventajas
Los directorios virtuales ofrecen al administrador la flexibilidad para decidir donde
ubicar los archivos para facilitar el mantenimiento y administracin de los contenidos
de los servidores FTP y WWW.
Desventajas
La implementacin de un directorio virtual puede significar una degradacin en el
rendimiento del sistema cuando se accesan a directorios almacenados en otro equipo.
Esta degradacin del rendimiento esta relacionado con la velocidad de transferencia
de data a travs de la red.
Local virtual directory
Los directorios virtuales ubicados en el mismo equipo en el que se esta ejecutando el
IIS.
Cuando ud configura un local virtual directory ud podr asignarle un alias al directorio,
este alias puede ser el nombre del directorio o cualquier otro nombre que lo
identifique asi como la ruta del directorio virtual.
Remote virtual directory
Los Directorios virtuales pueden esta creados en otros equipos o computadores que
no ejecutan el IIS.
Cuando ud configura un remote virtual directory ud podr asignarle un alias al
directorio, este alias puede ser el nombre del directorio o cualquier otro nombre que
lo identifique as como la ruta del directorio virtual. En formato UNC adicionalmente
tambien deberan ingresar el nombre de un usuario y su contrasea validos, todos los
visitantes que accedan al directorio virtual usarn automticamente esta cuenta de
usuario.
I 267
IIS como servidor de aplicaciones

El servidor de aplicaciones es un nuevo rol de Windows Server 2003, combinado con
las siguientes tecnologas:
Internet Information Services (IIS) 6.0
Microsoft .NET Framework
ASP.NET
ASP
UDDI Services
COM+
Microsoft Message Queuing (MSMQ)
El rol del servidor de aplicaciones combina estas tecnologas en una experiencia
cohesiva, dando a los desarrolladores y administradores Web la habilidad de hospedar
aplicaciones dinmicas, por ejemplo un aplicativo de base de datos Microsoft
ASP.NET, sin la necesidad de instalar cualquier otro software en el servidor.
Configuracin del servidor de aplicaciones

El servidor de aplicaciones es configurable en dos lugares de Windows Server 2003:
en Asistente para configurar su servidor y en Aadir/Remover Componentes .
Es un punto central para configurar roles en Windows Server 2003, y ahora incluye el
rol de servidor de aplicaciones. Para tener acceso al Asistente para configurar su
servidor, haga click en Aade o Remueve Roles del Asistente Administre su servidor.
Este rol sustituye el rol existente del servidor Web. Despus de instalar este nuevo
rol, la pgina Administre su servidor, tambin incluir una entrada para el nuevo rol.
Para instalar IIS 6.0 en Windows Server 2003, deber:
1.
Desde el control panel, hacer doble-click en Aadir/Remover Programas.
2.
Hacer click en Componentes de Windows.
3.
Seleccionar Servidor de Aplicaciones y hacer click en Detalles.
4.
Seleccionar el cuadro Internet Information Services.
5.
Introducir el CD de Windows Server 2003, una vez que se le pida.
6.
Realizar la comprobacin, una vez finalizado el proceso de instalacin.
268
7.
8.
Abrir el Internet Explorer, y escribir http://localhost.

Verificar la aparicin de la pgina de inicio de IIS 6.0.
El servidor de aplicaciones tambin se incluye en Windows Server 2003

Aadir/Remover Componentes. Asimismo las aplicaciones del servidor que pertenecen
al servidor de aplicaciones (IIS 6.0, ASP.NET, COM+, y MSMQ), pueden ser instaladas
y configurar los componentes secundarios usando Add/Remove Components. Usando
Add/Remove Components para configurar el servidor de aplicaciones, se obtiene un
control mayor sobre los componentes secundarios especficos que sern instalados.
Internet Information Server 6.0 se instala con una serie de servicios adicionales como
Extensiones de servidor Front Page 2002, Impresin de Internet , Servicio de
Protocolo de transferencia de archivos FTP , Servicios NNTP, Servicios SMTP y
servicios World Wide Web.
I 269
Configurando el servicio WWW

Todas las propiedades de la hoja pueden se accedidas usando el complemento
Internet Service Manager para la MMC (Microsoft Management Console).
1.
Desde el menu Inicio seleccione la opcin Programas y en el seleccione la

opcion Herramientas Administrativas haga click en la opcin
Administrador de Internet Information Server
2. En el panel Izquierdo haga doble click sobre el nodo IIS.
3. En el panel izquierdo haga doble click sobre el nodo nombre del equipo
4. Haga clic derecho sobre Sitios Web y escoja la opcion propiedades la caja de
dialogo del de la Sitio Web Predeterminado aparece con las fichas de la hoja de
propiedad correspondiente.
Ficha Sitio Web

Esta ficha contiene permite modificar las propiedades que identifican y permiten el
acceso al sitio Web .
Identificacion del Sitio Web
Descripcion.- Este campo permite indicar el nombre del Web Site
Direccion IP .- Este campo indicar la direccin IP asignada al Site
Puerto TCP .- Este campo determina el Puerto con el cual este servicio sera
asociado
Puerto SSL .- Este campo determina el puerto usado para la

comunicacin segura a traves del Secure Socket Layer (SSL).
Conexiones
Seleccione esta opcin para permitir el tiempo de espera de la conexin por defecto
son 120 sg.
270
Habilitar Registro
Selecina esta opcin para habilitar las caractersticas con las que se registraran los
eventos relacitivos al sitio web.
Si Ud., habilita la bitcora podr seleccionar una de estas opciones:
W3C extended log File Format
NCSA common log File Format
ODBC Logging
Rendimiento
Esta pantalla permite definir los parmetros de rendimiento para el Sitio Web.
Ajustar el rendimiento consiste en indicar cuantas conexiones por da uno espera
atender. Si el numero de definido es ligeramente superior al numero de conexiones
reales. Lo conexiones sern atendidas rpidamente mejorando el rendimiento. Si el
numero seleccionado es muy grande en relacin al numero real de conexiones
atendidas la memoria del servidor es desperdiciada reduciendo el rendimiento general
del equipo
I 271
Limitar del ancho de banda de red total disponible

Haga clic sobre la casilla de verificacin para habilitar la graduacin del ancho de
banda usado por el Web Site el valor especificado en este casillero el valor definido a
nivel de la computadora. Aun si este valor es el ms grande que el valor a nivel de la
computadora.
Conexiones de sitio Web

La casilla de verificacin HTTP Keep-Alives Enabled permite a los clientes mantener
abierta la conexin con su servidor en lugar de reabrir la conexin cliente en cada
nuevo requerimiento.
Filtros ISAPI
Usar esta ficha de propiedades para configurar las opciones de los filtros ISAPI. Los
ISAPI pueden ser usados para ejecutar aplicaciones remotas. La tabla muestra los
filtros cargados o deshabilitados.
272
Directorio Particular
Use esta ficha de propiedades para cambiar la ubicacin y propiedades del directorio
raz.
Ud puede cambiar la ubicacin del directorio raz a una de las siguientes ubicaciones:
1. Un directorio de este equipo
2. Un recurso compartido de otro equipo
3. Una redireccion a una direccion URL
I 273
Permisos de acceso
Los permisos de acceso estn disponibles cuando se esta trabajando con directorios
locales o un directorio compartido. Use estas casillas de verificacin para determinar
el tipo de acceso permitido sobre el directorio.
Lectura seleccione esta casilla de verificacin para habilitar la lectura del

contenido del directorio download
Escritura seleccione esta casilla de verificacin para habilitar a los clientes

escribir contenido en el directorio upload. O cambiar el contenido en un
archivo. Para estas tareas es necesario que el browser soporte HTTP 1.1
Control de contenido
El control de contenido aparece cuando Ud. Esta trabajando con un directorio local o
un directorio compartido.
274
Log Access seleccione esta casilla de verificacin para registrar la visitas

a este directorio en una bitcora
Directory browsing allowed seleccione esta casilla de verificacin para

mostrar al usuario unos enlaces hacia directorios y archivos de modo que el
usuario pueda navegar en la estructura de directorios. La lista de hipertexto
para los directorios es generada automticamente y enviada al usuario
cuando un browser enva una solicitud que no incluye un nombre especifico
de archivo y no hay un especificado un documento por omisin.
Index this Directory seleccione esta casilla de verificacin para indicar al

Microsoft Index Server incluir este directorio en su tarea de indexacin, esto
habilitara a los usuarios ha realizar bsquedas en funcin de palabras o

frases en los documentos del Web Site.
Front page web seleccione esta casilla de verificacin para crear una Front
page para este directorio.
Configuracin de aplicaciones
Una aplicacin esta definida como todos los directorio y archivos contenidos en un
directorio marcado como un punto de inicio de aplicacin hasta otro punto de inicio. Si
Ud. Hace su de su home directory un punto de inicio de aplicacin todos los
directorios fsicos y virtuales contenidos en su Site pueden participar en la aplicacin.
Para hacer este directorio un punto de inicio de aplicacin. Haga click en el botn
Create. Para desvincular este home Directory de la aplicacin haga click en el botn
Remove. Escriba el nombre de la aplicacin en el campo de texto Name. El nombre
apararecera en la hoja o ficha de propiedades para cualquier directorio contenido
dentro de los limites de la aplicacin.
Run in separate space Seleccione esta casilla de verificacin para

ejecutar la aplicacin en un proceso independiente del proceso de Web.
Ejecutando en forma aislada evitamos que otros procesos sean afectados si
la aplicacin falla.
Permissions esta propiedad controla cuando la aplicacin se

ejecutara en el directorio
Permisos Script
None no permite la ejecucin de ninguna aplicacin o script en este directorio
Script habilita la ejecucin de scripts sin tener activa la configuracin de

ejecutar execute.
Execute permite la ejecucin de cualquier aplicacin o scripts en el directorio
Configuracin
Para configurar las propiedades de la aplicacin haga click en el botn configuration.
Ud. puede seleccionar las siguientes hojas de propiedades:
Aplication Mappings use esta hoja o ficha de propiedades para sealar las
extensiones de nombres de archivos a las aplicaciones que procesen estos
archivos.
Active Service Pages (ASP) use esta hoja de propiedades par definir las
opciones de control de ejecucin de las ASP
ASP Debugging Use esta hoja de propiedades para definir la

propiedades de depuracin de errores para los Scripts ASP.
Other Use esta ficha de propiedades para cambiar los valores de Time-out
de los CGI Scripts.
Documentos
E sta casilla de verificacin permite definir las extensiones de los documentos que
sern mostrados cuando la solicitud de bsqueda no contenga un nombre especifico
de archivo HTML. Los documentos por omisin pueden ser el home page del directorio
o in documento ndice que contenga links al contenido del Site.
I 275
Ud. puede indicar mas de documento por omisin. Para indicar mas de un documento
haga click en agregar y escriba el nombre del documento. Cuando el browser solicita
el contenido de un Sitio sin especificar un documento el servidor web busca en el
directorio el documento por omisin en el orden en que se muestra en la lista.
Seguridad de directorios
Use la seguridad de directorio para configurar las caractersticas de identificacin de
los usuarios.
276
Autenticacion y control de acceso

Configure el control de acceso annimo para definir las condiciones del acceso
annimo al servidor. Pulsando el botn Modificar Ud acceder a las siguientes
opciones:
Autenticacion de Windows Integrada. utiliza la tecnologa de hash

para identificar a los usuarios sin enviar realmente contraseas a travs
de la red.
Autenticacion de texto implicita para servidores de dominio
funciona de manera similar a la autenticacin bsica, pero difiere de ella
en que las contraseas se envan como un valor hash. La autenticacin
de texto implcita slo est disponible para los dominios con un
controlador de dominio de Windows
Autenticacion Basica solicita a los usuarios su nombre de usuario y

contrasea, los cuales se envan sin cifrar a travs de la red.
Autenticacion de .NET Passport .NET Passport utiliza tecnologas y tcnicas

de Web estndar, como Secure Sockets Layer (SSL), redirecciones para HTTP,
cookies, Microsoft JScript, y un potente cifrado de claves simtrico para
proporcionar el servicio de inicio de sesin nico.
Comunicaciones Seguras
La comunicacin segura usa llaves para crear un certificado digital el cual es usado
para establecer una conexin segura que utiliza una seal encriptada. Use el botn
Key Manager para iniciar el proceso de recepcin de un certificado digital para este
recurso.
I 277
Restricciones de Nombres de dominio y direccion IP

use esta propiedad para permitir o denegar el acceso a dominios, rangos o
direcciones IP individuales. Para ello se usan las opciones:
O to rgado Garantiza el acceso de dominio, rango o direccin IP individual
Deneg ado Niega el acceso de dominio, rango o direccin IP individual
E ncabezados HTTP
Use esta hoja de propiedades para configurar los valores devueltos por el browser in
la cabecera de las paginas HTML.
Habilitar caducidad del contenido

Active esta casilla de verificacin para incluir informacin de caducidad o vencimiento.
Cuando Ud. incluye una fecha en material sensible tales como ofertas con vencimiento
el browser compara la fecha del sistema con la fecha de expiracin para determinar
como mostrar el contenido de esta pagina.
Encabezados HTTP personalizados
Estas propiedades permite enviar http header del web Server hacia el browser cliente.
278
Clasificacion de Contenido
Ud. puede configurar su web Server content raiting para insertar etiquetas
descriptivas en sus paginas http. Algunos browsers tales como Microsoft Internet
Explorer 3.0 pueden detectar el contenido de estas etiquetas.
Tipos MIME
Selecione el boton File Types para configurar Multipurpose Internet Mail Extensions
(MIME) . Esta opcin configura los tipos de archivos que el servicio web retornara a
los browsers.
Errores Personalizados
Permite responder al browser con mensajes personalizados ante un determinado
error. Los administradores pueden usar los errores por defecto de la versin http 1.1
o personalizarlos con su propio contenido.
I 279
Implementando la Seguridad del IIS 6.0

Internet Information Server 6.0 posee mltiples opciones de seguridad que permiten
mantener al servidor y su contenido a salvo de posibles intrusos. La seguridad del IIS
descansa en la seguridad de su sistema operativo un sistema certificable C2 para el
cual se han desarrollado muy buenos niveles de seguridad. La seguridad del IIS se
puede obtener combinando los niveles de seguridad propios del IIS y del sistema
operativo.
Asegurando las cuentas de usuarios y grupos

La seguridad de Windows Server 2003 le ayudara a proteger su servidor y sus
recursos asignados a las cuentas de usuario. Cada operacin en el servidor identifica
quien esta ejecutando la operacin.
Una manera simple mediante la cual se puede ganar acceso no autorizado a un
recurso es con una cuenta de usuario desprotegida es decir en la que no se han
habilitado las caractersticas de seguridad tales como con vencimiento de
contraseas, numero mnimo de caracteres para la contrasea. En otras palabras
asegurar las cuenta de usuario con niveles de seguridad mayores.
Desde que la cuenta del administrador tiene privilegios especiales esta es el blanco de
los intentos no autorizados de ingreso a la red. Ud. debe prestar especial atencin a
toda cuenta que posea derechos administrativos asegurndose de que estas tengan el
necesario nivel de seguridad.
Aplicando polticas de seguridad

La configuracin de una poltica de seguridad en otro de los mtodos utilizados para la
configurar el grado de seguridad que los usuarios tienen sobre los recursos. Existe
una variedad de polticas de seguridad que se pueden implementar tales como
restriccin de contraseas, derecho del sistema etc.
Seguridad de acceso a los recursos

Para asegurar el acceso a los recursos tales como archivos y directorios importantes
se debe aplicar los permisos NTFS. Los permisos NTFS permiten la asignar permisos
de acceso tanto a archivos como a directorios y afectan a los usuarios tanto
localmente como remoto. En el caso de que se diera un conflicto entre los permisos
asignado a un usuario sobre un recurso a nivel NTFS y los asignados al usuario va IIS
prevelacen los ms restrictivos.
280
Seguridad Para Los Servidores de Internet

Con el desarrollo de Internet las empresas ponen a disposicin de sus clientes
informacin a travs de Internet esto de alguna manera determina el potencial peligro
para nuestra informacin sensible.
Autenticacion de usuarios
La necesidad de verificar la identidad de los usuarios ha llevado al desarrollo de
mtodos de auteticacion que permitan asegurar la identidad del usuario antes de
darle acceso a los recursos.
Comunicacin encriptada
Otro de los mtodos que garantizan la integridad de la data es la encriptacin que se
puede usar a nivel de las empresas para asegurar o verificar sus identidades
(certificados digitales)
Auditoria
La auditoria es otra de las caractersticas que se pueden implementar para mejorar la
seguridad de la red y permite tener un registro de los eventos que podran ser el
indicio de una conexin no autorizada.
Control de acceso al web

Existen cuatro mtodos de seguridad que Ud., puede aplicar a su IIS
Acceso IP
Ud. Puede definir que direcciones IP tiene permitido el acceso al web y a que
direcciones IP se les ha denegado el acceso.
Autenticacion de Usuario
Ud. Puede definir que tipo de verificacin se aplica a los usuarios para acceder a los
recursos.
Permisos Web
Ud. puede definir que permisos tiene sobre el contenido en la web sobre cada site
especifico Ud. puede aplicar un conjunto de permisos independientes que se aplicaran
a los usuarios que acceden a este recurso.
Seguridad de Archivo
Esta opcin descansa sobre la seguridad proporcionada por el sistema de archivos
NTFS y que a diferencia de los permisos Web que se aplican a todos los usuarios estos
se pueden asignar a cada usuario.
I 281
Comunicacin encriptada
La comunicacin encriptada pretende dar privacidad a las comunicaciones en la que
se intercambia informacin sensible. La necesidad de privacidad y autenticacin sobre
redes no seguras como es el caso de Internet.
Los procesos de encriptacin o protocolos de encriptacin emplean certificados
digitales que han sido diseados para satisfacer esta necesidad.
Como trabaja la encriptacin

La encriptacin es un proceso que hace ilegible la informacin mediante la aplicacin
de algn mtodo matemtico de este modo es extremadamente difcil que se pueden
descifrar el mensaje.
El servidor web utiliza el mismo mtodo para la encriptacin de las comunicaciones
con los usuarios, luego de establecer un enlace seguro una clave de sesin especial es
asignada a la conexin Session Key es usada por ambos equipos para encriptar la
informacin.
Encriptacin con clave publica

La comunicacin con los SSL (Secure Socket Layer) utilizan una tecnica conocida
como Public Key usada para proteger a la Session Key de una probable
interrupcion durante la transmision.
El Algoritmo de la clave publica usa 2 claves diferentes una llave publica (Public
Key) y una llave Privada (Private Key)que es mantenida en forma privada por el
dueo de cada par.
Firmas digitales
Las firmas digital son usadas para verificar la autora o identidad no para enviar
mensajes, el que enva usa su llave privada para generar una firna digital que es
enviada junto con el mensaje, el receptor una vez recibido el mensaje usa la llave
publica del que enva para validar la firma. Ya que la llave publica es la nica que
puede validar la firma, la firma digital es prueba de identidad del que enva.
282
Sobres Digitales
Los sobres digitales son usados para enviar mensajes privados que solo pueden ser
entendidos por un determinado destinatario. Para crear un sobre digital el remitente
encripta el mensaje usando la clave publica del destinario. El mensaje solo puede ser
desencriptado por el destinatario haciendo uso de su llave privada por lo tanto el
destinatario es el nico capaz de descifrar el mensaje.
Certificados Digitales y SSL

Las firmas y sobres digitales asumen que la identidad del dueo de las claves usadas
para encriptar y desencriptar un mensaje estn establecidas sin lugar a dudas. El
certificado digital es el medio para garantizar este supuesto, un certificado digital es
otorgado por una autoridad de certificacin (CA Certificate Authority) solo si una CA
a verificado las claves se puede esta plenamente seguro de su valides.
I 283
Secure Socket Layer
Agegando Elementos ASP

Las ASP (Active Server Pages) le permiten a ud combinar HTML, Scripts y
componentes Actives para crear sites dinmicos. ASP proporcionan Scripts para IIS
del lado del servidor con soporte nativo para Microsoft Visual Basic Scripts y Microsoft
JScripts. El procesamiento de las ASP ocurren en el servidor. La salida de un archivo
ASP es diseado para personalizar el Web Browser.
Contenido dinamico
Usando ASP permitimos a los desarrolladores lograr con un esfuerzo relativamente
pequeo contenido dinmico que se personaliza en funcin de las preferencias del
usuario ubicacin geogrfica etc.
Facil conectividad con bases de datos

El componente Active Data Object (ADO) proporciona un acceso estndar a mltiples
fuentes de datos. IIS incluye controladores para Microsoft SQL Server, Microsoft
Access y Oracle. Usando Open Database Connectivity (ODBC) Otras fuentes de datos
son soportadas.
Solucion modular del lado del servidor

El IIS administrador puede escogen el ejecutar todas las aplicaciones en el Web
Server in la misma rea de por modularidad y eficiencia. Por omisin IIS usa
umbrales con las reas de espacio del Web Server en lugar de crear un nuevo proceso
para cada usuario. El administrador puede configurar una nica aplicacin para
ejecutarse en una rea de independiente de memoria, para asegurarse que un
problema con esta aplicacin no interfiera con las restantes que se estn ejecutando
en memoria.
284
El Servicio FTP
El Protocolo de Transferencia de archivos FTP es el protocolo usado para transferir
archivos entre dos computadoras en una red TCP-IP. FTP fue uno de los primeros
protocolos ms usado en las redes TCP/IP y el Internet. Aunque La World Wide Web
(WWW) ha reemplazado la mayora de las funciones de [FTP], todava se usa para
copiar archivos entre los clientes y servidores en la Internet.
Se usa FTP para transferir archivos entre computadoras, ambas computadoras deben
soportar sus respectivos papeles FTP. (Servidor / cliente). Por ejemplo, uno necesita
ser un cliente de FTP y el otro un servidor de FTP. El cliente de FTP puede emitir los
rdenes al servidor para descargar y cargar archivos y crear y cambiar los directorios
en el servidor.
FTP usa TCP como su transporte para todas las comunicaciones e intercambio de
datos entre el cliente y el servidor. TCP es un protocolo orientado a la conexin. lo
que significa que las sesiones de comunicaciones se establece entre el cliente y el
servidor antes de que el datos se transmitan. La conexin permanece activa durante
toda la sesin de FTP. Las sesiones orientadas a la conexin son conocidas por su
fiabilidad y caractersticas de recuperacin de error. Estos rasgos incluyen lo
siguiente:
Flow control Debido a que tanto el cliente como el servidor participan en la
transmisin de los paquetes. se elimina cualquier problema potencial de sobre carga y
elimina virtualmente la perdida de paquetes.
Acknowledgment La computadora que enva los paquetes de los datos espera un
reconocimiento (ACK) de la computadora del destino. este reconocimiento verifica que
el paquete se recibi con xito en el host destino.
Retransmission Si la computadora que transmite no recibe un ACK en un periodo
especificado de tiempo. asume que el paquete se perdi o se ha corrompido y
retransmite el paquete.
Sequencing Todos los paquetes se numeran y envan en secuencia para que la
computadora receptora pueda reorganizar los datos.
Mltiples dominios de nombres Internet pueden estar alojados en una nica
computadora ejecutando Microsoft Internet Information Server 6.0 (IIS) mediante el
uso de los servidores virtuales. Para organizar los servidores virtuales para el servicio
FTP en el IIS, usted debe obtener un nico identificador IP el cual ser asociado con
los nmeros de puerto para cada dominio de nombre Internet. Usted no puede usar
Host Headers para crear un nico servidor virtual FTP.
Ventajas
Los servidores virtuales le permiten organizar los mltiples sitios FTP en una
computadora, reduciendo la necesidad de asignar una computadora y software para
cada sitio. Los servidores virtuales hacen posible la administracin centralizada y la
actualizacin de manera simple de software del servidor.
Desventajas
Los servidores virtuales mltiples alojados en la misma computadora pueden reducir
el rendimiento general del servidor.
I 285
Directorios Virtuales FTP

Un directorio virtual es un directorio que para los usuarios parece esta ubicado en el
directorio Ftproot (directorio raz). Sin embargo, un directorio virtual puede realmente
estar en cualquier computadora del mismo dominio. Pueden crearse los directorios
virtuales para directorios ubicados en:
1. En la misma unidad de disco duro que almacena al directorio Ftproot
(Directorio Raiz).
2. En otra unidad de disco duro de dentro de la computadora local.
3. En la unidad de disco duro de otra computadora de la red. Esta computadora
debe estar en el mismo dominio que la computadora que ejecuta el IIS.
Ventajas
Los directorios virtuales ofrecen la flexibilidad de la administracin desde el WEB al
determinar donde se guardan los archivos en el servidor. Pueden guardarse los
archivos donde ellos se actualizan ms fcilmente o se acceden. Tambin, puede
agregarse la capacidad del almacenamiento adicional sin cerrar el servidor.
Desventajas
Implementar directorios virtuales puede producir una ligera cada en el rendimiento
del servicio sobre todo al acceder a directorios contenidos en la unidad de disco duro
de otra computadora. Esta cada en le rendimiento esta
Configurando el Servicio de FTP

Para acceder las FTP propiedad hojas
1.
2.
3.
4.
Desde el menu Inicio, Seleccione Programas, luego en Herramientas

Administrativas y finalmente haga click en Administrador de Internet
Information Server (IIS)
En el panel izquierdo haga doble-click en el nodo IIS.
En el panel izquierdo haga doble click en el nodo computername donde
computer name es el nombre de su equipo.
Haga click derecho en Sitios FTP, y luego haga click en Propiedades. La hoja
de propiedades FTP aparece con fichas para cada propiedad.
FTP Site
Use esta hoja de propiedad para configurar la identificacin del site FTP, especifique el
nmero de conexiones permitidas, y habilite la bitacora para el site FTP.
Identificacion de sitio FTP
286
Descripcion. Este cuadro de dilogo lista el nombre usted escoge para

el site y aparecer en la vista del rbol del Servicio de Internet.
Direccion IP . Esta caja de dilogo lista las direcciones IP asignadas al site

FTP.
Puerto TCP . Esta caja del dilogo determina el puerto en que cada servicio
correr
Conexiones de sitio FTP

Ilimitada. Seleccione esta opcin para permitir un nmero ilimitado de
conexiones simultneas.
Limitadas a . Seleccione esta opcin para limitar el nmero de

conexiones simultneas al servidor. En la caja de dilogo, teclee el
nmero de conexiones permitido.
Tiempo de espera de conexion. define la longitud de tiempo en

segundos antes del servidor desconecta a un usuario inactivo.
Habilitar Registro
Seleccione esta opcin para habilitar la caracterstica de registro de sucesos que
puede grabar su Web Site. los detalles sobre la actividad del usuario son creados y
almacenados en el formato de su eleccin.
El botn de Propiedades permite acceder a la pantalla Microsoft Loggibg
Properties En el formato apropiado del registro que usted ha escogido. Por ejemplo,
pulsando el botn WC3 se mostraran las propiedades del Formato extendido de
Archivo que le permitira escoger con que frecuencia crear los nuevos registros,
especificar el directorio del archivo para el registro , y seleccione las propiedades
extendidas adicionales para la bitacora.
I 287
C uentas de Seguridad
Use esta ficha para controlar. qu usuarios pueden acceder su servidor y para
especificar qu cuenta usara para las demandas de logon de clientes annimos.
Anonymous Connections
Seleccione el casillero de verificacin Permitir conexiones anonimas para permitir
conectarse a su servidor FTP
Mensajes
Use esta ficha de propiedades para crear los mensajes que se desplegarn en los
navegadores que visiten su site. Todos los campos del mensaje estn por defecto en
blanco.
Bienvenida. Esta caja de dilogo almacena el mensaje que se desplegar a los
clientes cuando ellos se conectan al servidor de FTP.
Salida. Esta caja de dilogo almacena el mensaje que se desplegar a los clientes
cuando ellos abandonan el servidor FTP.
N umero Maximo de Conexiones. Esta de caja de dilogo almacena el mensaje
que se mostrara a los clientes que intentan conectar cuando el servicio de FTP ha
alcanzado el numero mximo de conexiones permitido.
288
Directo rio Particular

Use esta ficha de propiedad para cambiar el directorio raz para su sitio FTP o
modificar sus propiedades. El directorio raz es la ubicacin central para los archivos
publicados en su sitio FTP. Un directorio Raiz predefinido, llamado \Ftproot, se crea
cuando usted instala el servicio de FTP.
Usted puede cambiar la ubicacin del directorio raz a una de las siguientes
ubicaciones:
Un directorio ubicado en la misma computadora
Un directorio compartido ubicado en otra computadora
Ruta de acceso local

Estos casilleros de verificacin determinan que el tipo de acceso ha concedido al al
directorio .
Lectura. Activar esta casilla de Verificacin para permitir a los clientes del Site FTP
leer o bajar (Download) los archivos guardados en un directorio raz o un directorio
virtual,
Escritura. active esta casilla de verificacin para permitir a los clientes del Site FTP la
escritura (upload) al directorio habilitado en su servidor. slo puede escribir si su
navegador soporta la caracterstica de PUT del protocolo HTTP 1.1.
Log Access. Active esta casilla de Verificacin para grabar una bitcora de la actividad
del Site.
I 289
Estilo de la lista de directorios

Seleccione UNIX o Microsoft MS DOS * para indicar qu estilo de directorio o listado
se enva a los usuarios de FTP.
Seguridad de Directorio
Use la ficha de propiedad the Directory para configurar los privilegios de acceso por
direccin de IP especfica. Esto le permite bloquear o conceder individualmente o
grupalmente acceso a su servidor.
Restricciones de Acceso TCP/IP
De forma predeterminada a todos los equipos se les :
Concedera el Acceso. Seleccione este botn para conceder el acceso por defecto a
todas las computadoras. Pulse el botn Add para listar las computadoras que se
negarn el acceso.
Denegara el Acceso. Seleccione este botn para negar el acceso por defecto a
todas las computadoras. Pulse el botn Add para listar las computadoras que se
concedern el acc
290
Arquitectura IIS 6.0

Los sitios Web y el cdigo de aplicaciones estn llegando a ser cada vez ms
complejos. Al mismo tiempo, los sitios dinmicos y los aplicativos Web pueden
contener cdigo imperfecto que se escape de la memoria o cause errores, como por
ejemplo violaciones de acceso. Por lo tanto un servidor Web debe ser el encargado
activo del ambiente runtime del aplicativo y automticamente detectar y responder a
los errores del aplicativo.
Cuando ocurre un error del aplicativo, el servidor necesitar ser tolerante a fallas,
significa que debe reciclar y recomenzar activamente el aplicativo culpable, mientras
continen haciendo cola las peticiones para el aplicativo, sin interrupcin para el
usuario. Es por ello que IIS 6.0 ofrece una nueva arquitectura fault-tolerant de
procesamiento de request que ha sido diseada para proporcionar este activo manejo
del runtime y para alcanzar la confiabilidad y la escalabilidad dramticamente
crecientes, combinando un nuevo modelo de proceso aislado llamado Worker Process
Isolation Mode. Este ltimo posee grandes mejoras de funcionamiento, como por
ejemplo Kernel Mode Queuing y Caching.
La versin anterior de IIS, IIS 5.0, fue diseada para tener un proceso llamado
Inetinfo.exe, que funcionaba como el proceso principal del servidor Web. En
comparacin, IIS 6.0 se ha rediseado en dos nuevos componentes: el Kernel-Mode
HTTP Protocol Stack (HTTP.sys) y el User-Mode Administration and Monitoring
Component. Esta arquitectura permite que IIS 6.0 separe las operaciones del servidor
Web de proceso del sitio Web y el cdigo del aplicativo - sin sacrificar performance.
HTTP.sys. El Kernel-Mode HTTP Protocol Stack, encola y parsea pedidos entrantes
HTTP, y a la vez cachea y retorna el contenido del site y la aplicacin. HTTP.sys no
carga ningn cdigo de aplicativo, simplemente parsea y rutea pedidos.
I 291
WWW Service Administration and Monitoring Component. El User-Mode

Configuration and Process Manager maneja operaciones del servidor y supervisa la
ejecucin del cdigo del aplicativo. Como HTTP.sys, este componente no carga ni
procesa ningn cdigo de aplicativos.
Antes de discutir sobre estos componentes, es importante introducir dos nuevos
conceptos de IIS 6.0: Application Pools y Worker Processes.
Los Application pools se utilizan para administrar Web sites y aplicaciones. Cada
Application Pool corresponde a una cola de peticin en HTTP.sys y al o los procesos de
Windows que procesen estas peticiones. IIS 6.0 puede soportar hasta 2,000
Application Pools por servidor, y pueden haber mltiples Application Pools funcionando
al mismo tiempo. Por ejemplo, un servidor departamental puede tener HR en un
Application Pool y finance en otros Application Pool. Asimismo un Internet Service
Provider (ISP) puede tener Web sites y aplicaciones de un cliente en un Application
Pool, y Web sites de otro cliente en un Application Pool diferente. Application Pools se
separan de otros por lmites de proceso en Windows Server 2003. Por lo tanto, un
aplicativo en un Application Pool no se afecta por aplicativos en otros Application
Pools, y una peticin del aplicativo no se puede rutear a otro Application Pool.
Asimismo los aplicativos se pueden asignar fcilmente a otros Application Pool
mientras que el servidor est funcionando.
Un Worker Process procesa pedidos de servicios de los sitios Web y aplicativos en
un Application Pool. Todo el proceso de aplicativos Web, incluyendo la carga de ISAPI
filters y extensiones, as como la autentificacin y la autorizacin, es hecho por un
nuevo WWW service DLL, el cual se carga en uno o ms Worker Processes. El Worker
Process ejecutable se llama W3wp.exe.
HTTP.sys En IIS 6.0, HTTP.sys escucha peticiones y las encola apropiadamente.

Cada cola de peticin corresponde a un Application Pool. Dado que ningn cdigo de
aplicativo funciona en HTTP.sys, no puede ser afectado por faltas en cdigo UserMode, afectando normalmente el estado del Web Service. Si un aplicativo falla,
HTTP.sys contina aceptando y haciendo cola de nuevas peticiones en la cola
apropiada hasta que uno de los siguientes eventos sucedan: el proceso se ha
recomenzado y comienza a aceptar peticiones, no hay colas disponibles, no hay
espacio en las colas o el servicio Web en s mismo ha sido cerrado por el
administrador. Puesto que HTTP.sys es un componente Kernel-Mode, la operacin que
hace es especialmente eficiente, permitiendo a la arquitectura de IIS 6.0 combinar el
aislamiento de proceso con alto rendimiento al solicitar procesos.
Una vez que el servicio de WWW note el aplicativo fallado, comienza un nuevo Worker
Process, si es que an hay peticiones excepcionales que esperan para ser mantenidas
en el Worker Process de un Application Pool. As, mientras puede haber una
interrupcin temporal en el proceso de la peticin del User-Mode, un usuario no
experimenta la falla porque las peticiones continan siendo aceptadas y encoladas.
292
WWW Service Administration and Monitoring Component

El componente WWW Service Administration and Monitoring eleva una porcin base
del servicio WWW. Como HTTP.sys, ningn cdigo del aplicativo funciona en el
componente WWW Service Administration and Monitoring. Este componente tiene dos
responsabilidades primarias: configuracin de sistema y administracin del Worker
Process.
Server Configuration
En el tiempo de la inicializacin, la porcin del Configuration Manager del servicio
WWW utiliza la configuracin en memoria de la metabase para inicializar la tabla de
ruteo del Namespace de HTTP.sys. Cada entrada en la tabla de ruteo contiene la
informacin que rutea las URLs entrantes al Application Pool que contiene el aplicativo
asociado al URL. Estos pasos de pre-registro informan a HTTP.sys que hay un
Application Pool para responder a las peticiones en una parte especfica del
Namespace, y ese HTTP.sys puede solicitar que un Worker Process se inicie para un
Application Pool cuando llegue una peticin.
Worker Process Management
En el rol de Worker Process Management, el componente WWW Service
Administration and Monitoring es responsable de controlar el curso de vida del Worker
Process que procesa las peticiones. Esto incluye la determinacin de cundo
comenzar, reciclar o reiniciar un Worker Process, si es que no puede procesar ms
peticiones (se bloquea). Es tambin responsable de la supervisin de los Worker
Processes y puede detectar cuando uno de ellos ha terminado inesperadamente.
Worker Process Isolation Mode
IIS 6.0 introduce un nuevo modo de aislamiento de aplicaciones para manejar el
proceso de Web sites y aplicaciones: Worker Process Isolation Mode. ste funciona en
todo el cdigo del aplicativo en un ambiente aislado. Los aplicativos se pueden aislar
totalmente de uno a otro, donde un error del aplicativo no afecte a otro en un proceso
diverso, usando Application Pools. Las peticiones se tiran directamente al Kernel en
vez de tener un proceso User-Mode y rutear a otros procesos User-Mode. Primero,
HTTP.sys rutea el sitio Web y las peticiones del aplicativo al correcto Application Pool.
Luego, el Worker Processes que sirve al Application Pool enva los requests
directamente a la cola del aplicativo en HTTP.sys. Este modelo elimina los saltos de
proceso innecesarios encontrados al enviar una peticin out-of-process DLLHost.exe
(al igual que el caso en IIS 4.0 y 5.0), y aumenta la performance.
Worker Process Isolation Mode evita que un aplicativo o sitio pare otro. Adems,
separando aplicativos o sitios en Worker Processes separados, simplifica el nmero de
tareas administrativas, por ejemplo, poner un site/application online o offline
(independientemente de todos los otros site/applications corriendo en el sistema).
Mejoras en la Seguridad
La seguridad ha sido siempre un aspecto importante de Internet Information Services.
Sin embargo, en las versiones anteriores del producto (e.g. IIS 5.0 en Windows 2000
Server), el servidor no fue enviado en estado "locked down" por defecto. Muchos
servicios innecesarios, por ejemplo Internet printing, estaban habilitados en la
instalacin.
Endurecer el sistema era un proceso manual y muchas organizaciones simplemente
dejaron sus ajustes del servidor sin cambios. Esto condujo a una extensa
vulnerabilidad al ataque, porque aunque cada servidor se podra hacer seguro,
muchos administradores no realizaron lo que necesitaron o no tenan las herramientas
para hacerlo.
Es por ello que Microsoft ha aumentado perceptiblemente su foco en seguridad desde
el desarrollo de versiones anteriores de IIS. Por ejemplo, a principios de 2002 el
trabajo de desarrollo de todos los ingenieros de Windows - ms de 8.500 personas fue puesto en asimiento mientras que la compaa condujo el entrenamiento intensivo
de la seguridad. Una vez que el entrenamiento fuera terminado, los equipos de
desarrollo analizaban la base del cdigo de Windows, incluyendo HTTP.sys e IIS 6.0,
I 293
para poner el nuevo conocimiento en ejecucin. Esto representa una inversin

sustancial para mejorar la seguridad de la plataforma de Windows. Adems, durante
la fase de diseo del producto, Microsoft condujo la amenaza extensa que modelaba
para asegurarse que los desarrolladores del software de la compaa entendieran el
tipo de ataques que el servidor pudo hacer frente en implementaciones del cliente.
Asimismo los expertos de terceros han conducido las revisiones independientes de la
seguridad del cdigo.
Locked Down Server
Para reducir la superficie de ataque de la infraestructura Web, la instalacin de
Windows Server 2003 no instala IIS 6.0 por defecto. Los administradores deben
seleccionar e instalar explcitamente IIS 6.0 en todos los productos Windows Server
2003, excepto en Windows Server 2003 Web Edition. Esto significa que ahora IIS 6.0
no tiene que ser desinstalado despus que Windows haya sido instalado, si no que es
necesario para el rol del servidor (por ejemplo si el servidor se instala para funcionar
como a mail o database server). IIS 6.0 tambin ser deshabilitado cuando un
servidor sea migrado a Windows Server 2003, a menos que el IIS 5.0 Lockdown Tool
est instalado antes de la migracin o se haya configurado una llave del registro.
Adems, IIS 6.0 es configurado por defecto en estado "locked down" cuando se
instala. Despus de la instalacin, IIS 6.0 acepta solamente los pedidos de archivos
estticos hasta configurarlo para servir el contenido dinmico, y todos los time-outs y
ajustes se fijan a los defectos agresivos de la seguridad. IIS 6.0 puede tambin ser
deshabilitado usando Windows Server 2003 Group Policies.
Niveles mltiples de seguridad
Abriendo funcionalidad con IIS 6.0 Web Service Extensions
En un esfuerzo de reducir la superficie de ataque de su Web Server, IIS 6.0 sirve
solamente el contenido esttico despus de una instalacin por defecto. La
funcionalidad programtica proporcionada por Internet Server API (ISAPI) Extensions
o Common Gateway Interfaces (CGI), debe ser habilitada manualmente por un
administrador de IIS 6.0. ISAPI. CGI extender la funcionalidad de sus pginas Web,
y por esta razn se referir como Web Service Extensions. Por ejemplo, para correr
Active Server Pages (ASP) en esta versin de IIS 6.0, el ISAPI pone ASP.DLL en
ejecucin, debindose habilitar especficamente como un Web Service Extension.
Usando las caractersticas de Web Service Extensions, los administradores del sitio
Web pueden permitir o inhabilitar la funcionalidad de IIS 6.0 basada en las
necesidades individuales de la organizacin. Esta funcionalidad global se hace cumplir
a travs del servidor entero.
Identidad configurable de Worker Process
Los aplicativos mltiples corriendo o los sitios en un servidor Web, ponen requisitos
adicionales en el servidor. Si un ISP recibe a dos compaas en un servidor (que
incluso pueden ser competidores), tiene que garantizar el funcionamiento de estos
dos aplicativos aislados de uno. Principalmente, el ISP tiene que cerciorarse que un
administrador malicioso para un aplicativo no pueda tener acceso a los datos del otro
aplicativo. IIS 6.0 proporciona este nivel del aislamiento con la identidad configurable
por Worker Process. Junto con otras caractersticas de aislamiento, como ancho de
banda y uso de la CPU o reciclaje almacenado en la memoria, IIS 6.0 proporciona un
ambiente a los aplicativos mltiples en un servidor para que se separen totalmente.
294
Mejoras SSL
Hay tres mejoras principales en Secure Sockets Layer (SSL) de IIS 6.0. Estas son:
Performance. IIS 5.0 ya proporcionaba el ms rpido software de implementacin
para SSL del mercado. Consecuentemente, el 50% de todos los sitios Web SSL corren
en IIS 5.0. IIS 6.0 SSL es incluso ms rpido. Microsoft ha mejorado la
implementacin de SSL para proveer ms performance y escalabilidad.
Remotable Certification Object. En IIS 5.0, los administradores no podan
manejar certificados SSL remotamente porque el cryptographic service provider y
certificate store no era remoto. Dado que los clientes manejan centenares o an
millares de servidores IIS con certificados SSL, necesitan una manera de manejar
certificados remotamente. Es por eso que el CertObject ahora permite que los clientes
realicen esto.
Selectable CryptographicService Provider. Si se habilita SSL, la performance
cae dramticamente porque la CPU tiene que realizar muchas operaciones de
criptografa intensiva. Sin embargo, ahora hay tarjetas aceleradoras basadas en
hardware que permiten sacar los datos de estos cmputos criptogrficos. Los
Cryptographic Service Providers pueden entonces poner sus propios Crypto API
providers en el sistema. Con IIS 6.0, es fcil seleccionar un Crypto API provider de
terceras partes.
Autorizacin y autentificacin
Si la autentificacin contesta a la pregunta "Quin es usted?", entonces la
autorizacin contestar a la pregunta "Qu puede usted hacer?". La autorizacin est
para permitir o negar a un usuario que realice una cierta operacin o tarea. Windows
Server 2003 integra .NET Passport como mecanismo soportado para la autentificacin
de IIS 6.0. IIS 6.0 ampla el uso de un nuevo framework de autorizacin que viene
con Windows Server 2003. Adems, los aplicativos Web pueden utilizar la autorizacin
del URL en tndem con Authorization Manager para controlar el acceso.
Integracin de .NET Passport con IIS 6.0
La integracin de .NET Passport con IIS 6.0 proporciona servicios de autentificacin
.NET Passport en el servidor Web base. .NET Passport 2.0 utiliza interfases de las
aplicaciones proporcionadas por componentes estndares Passport, por ejemplo
Secure Sockets Layer (SSL) Encryption, HTTP Redirects y cookies. Los
administradores pueden poner sus sitios y aplicativos Web a disposicin de la base
.NET Passport entera, la cual abarca cerca de 150.000.000 usuarios, sin tener que
ocuparse de la administracin de cuentas pblicas, por ejemplo la expiracin o el
aprovisionamiento de la contrasea.
Despus que haya autenticado a un usuario, con el .NET Passport Unique ID (PUID)
del usuario se podr mapear a una cuenta en Microsoft Active Directory - si tal
aprovisionamiento se ha configurado para sus sitios Web. El token es creado por la
Local Security Authority (LSA) para el usuario y el sistema de IIS 6.0 para la peticin
HTTP.
I 295
CAPTULO 15
Monitoreo y Optimizacin del Rendimiento
Como administrador de la Red Usted Monitorea los recursos del sistema en orden de
evaluar la sobrecarga del servidor , observa los cambios y las tendencias en los
recursos usados ,evalua los cambios en la configuracin del sistema y diagnostica los
problemas dados. Windows Server 2003 incluye herramientas para monitorear
recursos del sistema .Task manager presenta un conjunto de programas y procesos
que estan ejecutando en su servidor y provee un resumen del procesador y la
memoria usada por el sistema ,El Monitor del sistema y los registros de rendimiento
proveen datos detallados acerca de los recursos usados por un componente especifico
del sistema operativo que se esta ejecutando en la maquina.
Los Registros de Eventos
Failed Access
Security Event
Usuario
Registro
X
Los eventos son acciones realizadas por el usuario o cualquier ocurrencia de Windows
Server 2003 u aplicacin, estas son registrados en base a una poltica de auditoria. Se
monitorea los eventos para identificar los posibles problemas de seguridad, el uso de
recursos y errores de las aplicaciones o del mismo sistema.
296
Los eventos de seguridad, basados en una poltica de auditoria, quedan

registrados en el Security log. (Registro de Seguridad)
Los eventos del sistema, automticamente configurados por Windows 2000

son registrados en el System log. (Registro del Sistema)
Los eventos de aplicaciones quedan registrados en el Application Log.

(Registro de Aplicacin)
Despus de que un evento ha sido registrado, se le debe ver y analizar para detectar
si es de consideracin administrativa
Basados en los anlisis de los registros uno deber resolver problemas de violacin de
seguridad, problemas de direcciones o recursos que sean necesarios reubicar.
Asimismo podrs verte en la necesidad de recomendar cambios en la poltica de
auditoria, configuraciones de auditoria, de seguridad, de aplicaciones y del sistema.
El Event log permite monitorear informacin del hardware, software, problema del sistema y
seguridad.
Uno ve los registros para detectar actividades y eventos que requieran atencin. Los registros
tambin pueden ser usados como un historial de los eventos. Windows 2000 registra los eventos
en tres categoras.
El system log. Este registro contiene los eventos relacionados con los
componentes del Windows 2000. Por ejemplo: Falla en alguno de los
drivers u otro componente del sistema durante el inicio del sistema.
Windows 2000 predetermina la forma como son registrados estos eventos.
El application log. Este registro contiene los eventos provenientes de

aplicaciones o programas. Por ejemplo: Un programa de base de datos
registrara sus errores en este registro. El Program developer decide que
eventos registra. Los registros de la aplicacin Dr. Watson, el cual es un
depurador de errores, pueden ser vistos aqu. Cuando ocurre un error de
aplicacin, el Dr Watson genera un registro (Drwtsn32.log).
El security log. Este registro contiene los eventos provenientes de un

valido o invalido intento de acceso al sistema adems de situaciones tales
como la creacin, apertura o eliminacin de archivos. El administrador que
eventos sern registrados. Por ejemplo si activamos el log on auditing
todos los intentos por ingresar al sistema sern registrados.
Tipos de Eventos de Sistema y Aplicacin

Tipos de Eventos de Sistema y Aplicacin
Informacion
Alerta
Error
Hay tres tipos de eventos tanto para el system log como para el application log:
Informacion, Peligro y Error. Cada evento contiene informacin detallada, tal como el
tipo de evento y el servicio al que esta asociado. Use los eventos de informacin para
I 297
identificar con certeza ciertos eventos y tomar medidas al respecto. Los eventos del
sistema son generados por Windows 2000 y registrados en el system log .
Los eventos de aplicaciones son generalmente producidos por las aplicaciones y son
registrados en el application log. Los diseadores de sistemas y aplicaciones
determinan que eventos van a ser registrados, la siguiente tabla lista los tipos de
eventos
Tipo de evento
Descripcin
Informacin :
El correcto funcionamiento de una aplicacin, un driver o

servicio. Por ejemplo, cuando un servicio importante como el
Event log carga sin problemas, Windows 2000 registrara un
evento de informacin.
Alerta :
Un evento no puede ser muy importante en esos momentos,

pero a futuro podra representar un problema para el sistema.
Por ejemplo, Cuando el espacio en el disco es muy poco,
Windows 2000 registrara una advertencia. Un antivirus, tambin
cargara una entrada cuando identifique un virus
Error :
Un error significativo en las operaciones del sistema, tal como

perdida de informacin o
perdida de funcionalidad. Por
ejemplo,: Si un servicio falla a la hora de la carga del sistema,
Windows 2000 registrara un error.
Visualizando los Registros de Eventos
Los eventos de sistema y aplicacin son guardados en sus correspondientes

registros en orden secuencial, del ms reciente al ms antiguo. Los registros
contienen mucha informacin de los distintos eventos que ocurren. Para el
monitoreo de informacin respecto al hardware, software, problemas del
sistema y eventos de seguridad se deben ver los registros en el Event
Viewer, para facilitar esta accin se recomienda buscar por eventos
especficos
298
Ver registros localmente

Use el Event Viewer para ver informacin detallada acerca de cada evento.
Para abrir el Event Viewer, click en Inicio, seale Programas, seale
Herramientas administrativas y luego
click en el Event Viewer.
Seleccion el tipo de evento que quiere ver en el diagrama de rbol del Event
Viewer. En el panel de detalles el Event Viewer muestra todos los registros y
una informacin resumida, para ver mas al detalle cada registro doble click en
el que se desee ver.
Nota Adems de poder ver el Event Viewer localmente, uno puede ver el de
un equipo remoto. Para poder hacerlo, en el Event Viewer, hacer click
derecho en el Event Viewer (Local). Luego en el men contextual seleccionar
Connect to another computer. Seleccione el dominio en el que esta el equipo
remoto y luego seleccinelo.
Examinando las propiedades de los eventos

Adems de la fecha, la hora y el ID del evento, se pueden ver las propiedades de cada
uno, a continuacin listan las propiedades:
Propiedad
Fuente
Categora
Tipo
Usuario
Computadora
Descripcin
Informacin
Descripcin
Muestra el componente de Windows 2000 o aplicacin o
evento de seguridad que lo causo.
Define el evento, tal como lo define la fuente, para que el
programador pueda a futuro definir el evento mientras
ocurre.
Muestra el tipo de evento: Error, Warning, or Information.
Muestra el nombre del usuario si el evento se le atribuye.
Muestra el nombre exacto de la computadora donde
ocurri el evento.
En forma de texto describe el evento
Muestra nmeros binarios generados por el evento. Esta
informacin es mejor comprendida por alguien familiar a
la fuente de la aplicacin.
Ubicando eventos
Para buscar un determinado evento se debe usar el Event Viewer. Realizando las
siguientes tipo de busquedas:
Busca un determinado evento usando el comando Find en el men ver. Por

ejemplo, Si un evento en particular parece relacionado con un problema del
sistema, busca en el registro instancias del mismo evento para juzgar la
frecuencia con la que ocurre un error.
Busca un grupo de eventos filtrando el registro. Por ejemplo, Si sospechas que
un componente de hardware es el origen de una falla, filtra el registro para ver
otros eventos relacionados a ese componente. Para usar la opcion de filtro,
click derecho en Security Log, System Log o en Application Log, click en
View, y luego click en Filter.
Las propiedades usadas para filtrar un registro son las siguientes:
I 299
Propiedades
Descripcion
Tipo de evento
Fuente del evento
Categora
ID del evento
Usuario
Computer
El tipo de evento a verse.

La aplicacin o componente del cual proviene el evento.
Categora del evento
El ID de un evento
El nombre de usuario.
El nombre de la computadora.
Permite especificar el rango de tiempo de los registros a
De
ver,
a
fecha/hora
Limitando el tamao de los Archivos de Registro
Limite el tamao de los registros si el espacio en disco es un problema y

seleccione un mtodo para sobrescribir eventos ms antiguos por nuevos. El
sobrescribir eventos antiguos se llama event log wrapping, cuando esta
opcion esta activada antiguos registros se pierden. Si las necesidades de
seguridad son altas se puede escoger archivar las entradas de eventos
antiguos en lugar de sobrescribirlos.
Para configurar el tamao de los registros, se debe ir al Event Viewer, luego
mostrar las propiedades del registro deseado. En las propiedades se puede
definir el tamao de cada tipo de evento:
El tamao de cada registro, puede ir desde 64 kilobytes (KB) a 4 gigabytes
(GB). El tamao por defecto es 512 KB.
La accin que Windows2000 toma cuando un registro esta lleno, se puede
escoger Event log wrapping el cual se describe en la siguiente tabla.
300
Opcin
Descripcin
Overwrite events as needed
Perders informacin conforme el registro

se llene. Sin embargo la configuracin no
necesita mantenimiento. Escoge esta opcin
si se revisan los registros frecuentemente,

as versa los eventos antes de que sean
borrados. O escoge esta opcin si la
seguridad es baja.
Overwrite events older than x days
Ingresa el numero de das.
Podras perder informacin si el registro se
llena antes de que lo revises, pero solo
perders aquellos eventos que tengan mas
tiempo del que se halla especificado. Escoge
esta opcin si revisas el registro cada 3 o 4
das.
Do not overwrite events
Requiere que uno limpie el registro .

Cuando el registro
se llene Windows 2000 dejara de escribir
sobre el. Sin embargo, Windows 2000 no
sobrescribe ninguna entrada de seguridad.
Se usa cuando la seguridad es muy alta y
no se desea perder ningn evento.
(clear log manually)
Manejando los Registros de Eventos

Hay una gran variedad de acciones que se realizan cuando se administra los registros. Uno
puede archivar eventos, incluso determinar el formato en el que se almacenan. En algunos
casos debemos limpiar manualmente los registros
Archivando eventos
Uno archiva registros para mantener un historial de eventos pasados para
compararlos con registros de otros tiempos en orden para seguir trends. Viendo
trends nos ayuda a determinar uso de recursos y planificar crecimiento. Asimismo se
pueden usar los registros de seguridad para determinar patrones del uso no
autorizado de recursos. Muchas organizaciones tienen polticas relacionadas con el
resguardo de registros durante un tiempo especfico. Algunas organizaciones como
agencias del gobierno y bancos, resguardan sus registros acorde con lo estipulado por
la ley
Para guardar un registro o verlo, debe encontrarse en el Event Viewer. En el men
Action, seleccione una de las siguientes opciones listadas en esta tabla.
Para
Hacer
Archivar registro
Click Save Log File As, escriba el nombre.
Ver un registro grabado

Seleccione New, luego click en Log View. En el
cuadro Add Another Log View, click Saved,
luego ingrese una ruta para el registro.
Seleccin de un formato para archivar

Grabe los registros en un formato distinto para poder visualizarlos en otras
aplicaciones. Por ejemplo use una aplicacin de hoja de calculo como Microsoft Excel,
para manipular la informacin y as poder visualizar la informacin buscada mas
fcilmente. Grabe los registros en una de tres maneras distintas:
I 301
Log-file format (.evt). Permite ver los registros en el Event Viewer.

Text-file format (.txt). Permite ver la informacin en una aplicacin como Word
u otro editor de texto.
Comma-delimited text-file format (.csv). Permite ver la informacin en una
hoja de calculo o en una base de datos.
Limpieza del registro manualmente

Si selecciona la opcin Do not overwrite events (clear log manually) dentro de
las propiedades de un registro activo, peridicamente debera limpiarse el registro
cuando alcance cierto tamao o cuando un mensaje de notificacin es enviado por
Para limpiar un registro realice los siguientes pasos:
1. En el diagrama de rbol del Event Viewer, click en el registro que desea limpiar.
2. En el menu Action, click Clear all Events.
3. Click Yes para salvar el registro antes de limpiarlo.
-O- Click No para perder lo que se tenia grabado, y empezar desde cero en el registro
Task Manager para monitorear los recursos del sistema

El Task Manager provee informacin en tiempo real acerca de las aplicaciones que
estn funcionando en el sistema, los procesos y el uso de memoria u otra informacin
acerca de estos adems de estadsticas acerca del desempeo del procesador y la
memoria
Por ejemplo, usando el Task Manager se puede identificar una aplicacin o proceso
que esta usando una cantidad inapropiada de recursos del sistema. Adems, su barra
de estado nos muestra medidas acerca del sistema o un programa en actividad.
Importante Un proceso es un programa ejecutandose en cierto espacio de memoria

reservado que realize una function especifica. Un proceso puede ser parte de una
aplicacin y una aplicacin puede tener varios procesos. Winword.exe y Services.exe
son un ejemplo de procesos.
302
Monitoreando Programas
Use la etiqueta Applications del Task Manager para ver el estado de las aplicaciones
ejecutndose en el equipo y para identificar los procesos asociados a las aplicaciones.
Asimismo use esta etiqueta para cancelar cualquier aplicacin que no responda
En la etiqueta Application puedes hacer las siguientes labores:
Ver cada una de las aplicaciones que se estn ejecutando junto con su estado,
este estado es corriendo (Running) o No responde (Not Responding).
Terminar con una aplicacin que no responde. Para terminar con una
aplicacin que no responde, debe presionar CTRL+ALT+DELETE, click en Task
Manager, luego click en la etiqueta Applications, seleccione el programa que
no funciona y luego click en End Task.
Identificar un proceso asociado a una aplicacin. Para identificar un proceso
asociado a una aplicacin, seleccione la aplicacin de la cual desea averiguar
sus procesos, click derecho en la aplicacin luego seleccionar Go To Process.
La etiqueta Processes aparece y seala al proceso asociado
I 303
Monitoreo de Procesos
Use la etiqueta Processes para ver una lista de todos los procesos
ejecutndose y sus estadsticas. Las propiedades nos dan informacin sobre
cada proceso, informacin tal como tiempo total del procesador, cantidad total
de memoria en uso. La lista que aparece en la etiqueta Processes incluye a
todos los procesos que estn corriendo en su espacio de memoria asignado,
incluyendo a todas las aplicaciones y servicios del sistema. Ambos el usuario y
el sistema pueden iniciar procesos, pero solo el usuario puede terminar con un
proceso que el mismo a iniciado.
Viendo las estadsticas de los Procesos

Algunas de las estadsticas de los procesos que se encuentran en la etiqueta
Processes son descritos en la siguiente tabla.
Propiedad
Descripcin
CPU
El porcentaje de uso del procesador por parte del

proceso. Si el sistema operativo no esta ejecutando cierto
proceso ejecuta un System Idle Process, el cual es un
porcentaje del tiempo que el computador no esta
procesando otra tarea. En un sistema donde hay una baja
utilizacin, el System Idle Process se acercara a 100%.
El tiempo total, en segundos, del uso del procesador por
parte del proceso, desde que empez.
La cantidad de memoria, en kilobytes, usada por el
CPU Time
Mem Usage
proceso.
I/O Read Bytes
I/O Write Bytes
El numero de bytes ledos en el

input/output (I/O)
generados por un proceso, esto incluye archivos, network
y dispositivos I/O
El numero de bytes escritos en operaciones de
I/O
generadas por un proceso, incluyendo archivos, network y
dispositivos de I/O
Para mostrar otras propiedades, haga click en View, y luego click en

Columns. Luego seleccione la propiedad que desee que aparezca y presione.
304
Select
Usando estadsticas de los procesos para identificar

recursos usados
Use la etiqueta Process en el Task Manager para identificar recursos usados por un
programa. Luego de identificar a las aplicaciones que estn usando la mayor parte del
tiempo del procesador, mueva las aplicaciones a otra computadora para distribuir la
carga de trabajo. Ordene las columnas ascendente o descendentemente en orden
para identificar las aplicaciones que mas usan del procesador.
Por ejemplo, para reducir el alto uso del procesador por parte de una aplicacin, dle
click a la columna CPU. La primera vez que le de click a la columna esta ordena la
lista ascendentemente, dndole click nuevamente lo pondr en orden descendente.
Recuerde que solamente puede organizarlo de una forma a la vez.
Monitoreando el Rendimiento
Para monitorear el rendimiento de su computadora, use la etiqueta Performance. Esta etiqueta

muestra una vista dinmica del rendimiento de la computadora, incluyendo graficas y valores
numricos que corresponde al uso del procesador y de la memoria
Viendo las estadsticas de los procesos

Algunas de las estadsticas de los procesos que se pueden ver la etiqueta
Performance son:.
Estadstica
De procesos
Totals
Description
El numero total de handles, threads (Hilos) y procesos
ejecutandose en la computadora. Un handle es una variable
que es usada para accesar a un dispositivo u objeto como un
archivo, una ventana o un cuadro de dialogo. Un thread es
una unidad de ejecucin con un proceso.
Physical
Memory
Total: Cantidad de memoria RAM, en kilobytes, instalados
en el equipo.
Available: Cantidad de memoria, en kilobytes, disponible
para los procesos.
System Cache: Cantidad de memoria, en kilobytes, liberada
al archive de cache en demanda
Commit
I 305
Charge
Total: Cantidad de memoria virtual, en kilobytes, en uso por
todos los procesos.
Memoria Virtual es espacio en el disco duro que es usado
como memoria RAM
Limit: Cantidad de memoria virtual, en kilobytes, que puede
ser asignada a los procesos sin incrementar el tamao del
archivo de paginacin. El archive de paginacin mueve la
informacin entre la memoria fsica y el disco duro
Peak: Cantidad mxima de memoria virtual, en kilobytes,
usada en la sesin. El valor maximo puede exceder el limite
si la memoria virtual es expandida
Kernel
paginada, en kilobytes.
Memory
Total: Suma de la memoria paginada y no

Paged: Tamao de la piscina paginada, en kilobytes, alojada
en el sistema operativo
Nonpaged: Tamao de la piscine nopaginada, en kilobytes,
alojada en el sistema operativo
Usando estadisticas de rendimiento para ver procesos en el

tiempo
Use la etiqueta Performance en el Task Manager para identificar la cantidad de
recursos del sistema que el sistema operative o una aplicacion esta usando y para ver
los niveles de uso del procesador por parte del modo Kernel. El kernel es el centro de
un sistema operativo, se encarga de manejar la memoria, los archivos y los
perifericos; mantiene la configuracin de fecha y hora, ejecuta las aplicaciones y
organiza los recursos del sistema.
Para ver los niveles de tiempo del procesador en el modo kernel, ir al men View,
click Show Kernel Times.
El tiempo del procesador en el modo Kernel aparece con lineas rojas en el grafico.
Este es un porcentaje del tiempo que una aplicacin usa los servicios del sistema
operativo. El tiempo restante, en verde, es conocido como el modo usuario. Esta es la
medida del tiempo que se usa corriendo threads en el codigo de una aplicacin.
306
Usando el Monitor del Sistema para monitorear el

Rendimiento del Sistema
Si necesitas mas detalles de los que provee el Task Manager, puedes usar el
System Monitor para tener una mayor informacin acerca de tu computadora y
otras en la red. Usa el System Monitore in Perfomance en el Microsoft
Management Console (MMC) para recolectar y ver informacin en tiempo real o
a registrada sobre memoria, disco, procesador y actividades en la red. Use
esta informacin para diagnosticar como el sistema y las aplicaciones estn
funcionando y asegurarse de que esta optimizando el sistema. Por ejemplo:
Puedes determinar si tu disco se encuentra con poco espacio. La informacin
del System Monitor puede ser vista en graficas, en histogramas (Graficas de
barras) , o en forma de reporte, adems todos estos pueden ser visto en un
browser e impresos cuando son grabados en HTML (Hypertext Markup
Language)
Objetos, Instancias y Counters
Entender como los Objetos las instancias y los counter estn relacionados es vital
para poder usar de manera eficiente el System Monitor. Estos son:
Objects(Objetos). En el System Monitor, los objetos son los componentes

principales o subsistemas del sistema de la computadora. Ellos pueden ser un
hardware como un disco duro o un software como un proceso. Hay una
cantidad de objetos arreglados en Windows Server 2003.
Importante Los objetos en System Monitor no son los mismos objetos que
en el Active Directory service y no tienen conexin..
Instances (Instancias). Son mltiples objetos de un mismo tipo. Por ejemplo,

un sistema con varios procesadores, el objeto procesador tendra muchas
instancias.
Counters. Counters renen informacin de distintos aspectos sobre un objeto.

Por ejemplo, Para el objeto proceso, counters reune informacion sobre el
tiempo del procesador y el de usuario. Los Counters estn en los sistemas
operativos y continuamente renen informacin, sea esta visible o no en el
I 307
System Monitor. Si un objeto tiene mltiples instancias, counters tiene

estadsticas por cada instancia o por el total de ellas.
En System Monitor, puedes especificar que counters se visualizaran.
Agregando Contadores
A causa de que los counters continuamente recogen informacin del sistema, al

agregar counters, estas agregando sus graficas en el System Monitor. Esto te permite
monitorear el rendimiento del equipo.
Nota Rendimiento en Microsoft Management Console (MMC) tiene dos componentes:
System Monitor y el Performance Logs and Alerts.
Para agregar counters en el System Monitor, realiza los siguientes pasos:
1. Click Start, selecciona Programs, selecciona Administrative Tools, y luego dle
click en la opcin Performance.
Cuando inicies Performance por primera vez una grafica en blanco aparecer.
2. Click derecho en el panel de detalles del System Monitor, luego click en Add
Counters.
3. En la lista Performance object, seleccione un objeto al monitor..
Los objetos que son seleccionables estan basados en los servicios y
aplicaciones instalados en la computadora local. Puedes seleccionar varios
counters por objeto.
En la siguiente tabla describe algunos objetos importantes en System Monitor.
Nombre del objeto
Cache
reciente.
Memory
informacion.
Objects
Paging File
Physical Disk
Process
ejecutable.
308
Descripcin
Area en memoria que guarda informacion
RAM
usado
para
guarder
codigos
Un cierto objeto de un software en el sistema.

Archivo usado para respaldar memoria virtual
Unidad de disco duro
Objeto
que
representan
un
programa
Processor
de
Server
System
Thread
lista.
Unidad de hardware que ejecuta instrucciones

programa.
Servicio que responde a las peticiones de
informacion de un
cliente en la
red.
Counters que se aplican a todos los sistemas
de hardware y software.
La parte de un proceso que usa procesador.
Luego de seleccionar un objeto el Counter que tenga asociado aparecera en la
Nota Click en Explain para ver una descripcion de los Counters listados en el
cuadro de add Counters.
4. Click en All counters o Select counters from list para seleccionar un
Counter en especial.
5. Si un objeto tiene instancias, click All instances o en Select instances
from list para escoger una sola instancia.
6. Click Add, y luego click Close para cerrar el cuadro de Add Counters.
I 309
Visualizando Datos del Contador
Despues de agregar un Counter, puedes ver su informacin en tiempo real.

Muestra esta informacin en tres formas distintas:
Histogram. Muestra informacin en grafico de barra. Es til para visualizar
varios Counters
Report. Muestra informacin numrica en columnas. Esta vista es til para unir
informacin que se va a exportar en una hoja de clculo como Excel.
Chart. Muestra la informacin en grafico de lneas. Esta grafica es til para
monitorear informacin en tiempo real o aquella registrada en el tiempo.
Cambia y configura las propiedades del display con click derecho en el panel de
detalles del System Monitor, y luego dndole click a Properties.
Tip Si tienes muchos counters, puede ser difcil identificar la informacin de un
determinado counter. Para acentuar la lnea de un counter especifico selecciona
counter de color blanco(Por defecto) o negro(Para fondo blancos), con el mouse
deje sealado la barra de herramientas y luego presiones CTRL+H.
310
Usando Alertas
Use alertas para notificar a un usuario o administrador cuando cierta indicacin

sobrepasa un criterio. Adems, uno puede usar los registros de rendimiento
para recolectar informacin sobre recursos de hardware, servicios del sistema
y rendimiento.
Alertas
Las Alertas son utiles para notificar sobre un Counter en particular que no se
esta revisando y sin embargo deseamos que se nos notifique si este sobrepasa
o cae por debajo de un valor, para que uno pueda investigar y determiner la
causa del cambio. Por ejemplo se puede establecer alertas cuando ms del
80% del disco duro esta lleno o la cantidad de intentos de ingreso al sistema
excede un valor numrico especfico. Hay 3 tareas relacionadas con las alertas.
Ellas son:
1. Selecciona un Counter para seguir una actividad especfica del sistema.
2. Establece un valor para la actividad.
3. Especifica una accin cuando el valor que se ha definido es excedido o cae
por debajo de el:
Enva un mensaje de red.
Corre un programa.
Empieza un registro.
Nota Para correr el Performance Logs y Alerts, Debe tener el derecho para
empezar o para configurar servicios en el sistema. Un administrador tiene este
derecho por defecto.
I 311
Configurando alertas
Use Performance Logs y Alerts en la consola Performance para establecer una alerta.
Para establecer una alerta realice los siguientes pasos:
1. En el diagrama de arbol, doble-click en Performance Logs y Alerts, y luego click
en Alerts.
2. En el panel de detalles, click derecho en New Alert Setting, y luego dele un
nombre a la alerta.
3. En la etiqueta General , Ingrese una descripcion de la alerta en el cuadro
Comment.
4. Dele un click en Add para especificar si es un objeto, un counter, una instancia, o
actualizar informacin en el cuadro de Add Counters.
5. Luego de agragar Counters, especifica propiedades para el intervalo de prueba y el
valor de alerta en la etiqueta General.
6. En la etiqueta Action, aseguerese que Log an entry in the application event
log est seleccionado. Tambin puede especificar el mensaje de red a ser enviado a
la maquina de donde ocurri la alerta.
7. En la etiqueta Schedule, defina los parmetros de inicio y fin del registro en Start
scan y Stop scan, y click en OK.
Optimizando Rendimiento
Optimiza el rendimiento para que el sistema operativo y las aplicaciones usen los
recursos mas eficientemente. Un baseline es el nivel de rendimiento aceptable que
consideramos cuando el equipo maneja una carga de trabajo determinada y corriendo
todos los servicios. Un rendimiento del Baseline es un valor subjetivo, el
administradoe es el encargado de establecerlo conforme con una carga de trabajo y
uso standard. El Baseline puede ser medido en funcin del nivel de rendimiento
esperado por los usuarios, y puede ser incluido en un acuerdo de servicio establecido
con el texto.
Para mantener su Lineamiento lo ms importante de monitorear es:
Memoria.
Actividad de procesador.
Actividad de disco.
Actividad de red.
El proceso de optimizacin de rendimiento
312
La optimizacin del proceso le ayudara a determinar que acciones tomar para

mejorar el rendimiento del sistema, en respuesta a demandas del sistema. El
proceso de optimizacin empieza en un registro muy organizado.
El proceso de optimizacin incluye las siguientes tareas.
Analizar la informacin del monitoreo. Analizar la informacin monitoreada

consiste en examinar el valor de los counters que son reportados mientras el
sistema realiza varias operaciones. Durante este proceso se debe determinar:
Que programas estn activos y que programas o procesos estn manipulando
los recursos.
Sean muchos procesos ejecutndose o cierto dispositivo de hardware que
causa una reduccin en el rendimiento.
Sea que hallan efectos residuals o cuellos de botella u otro dispositivo de
hardware en desuso. Por ejemplo , si el sistema empieza a funcionar
lentamente y la actividad del disco aumenta , puede indicar problemas con el
disco duro o carencia de RAM para soportar las aplicaciones y el sistema
operativo.
Usando este tipo de anlisis se puede determinar como la carga de trabajo
afecta al sistema.
I 313
Identifica reas de un rendimiento inaceptable. Como resultado de este

anlisis podrs determinar que el sistema a veces funciona correctamente y
otras no. En general, decir si el rendimiento es aceptable o no depender de
las necesidades de trabajo. Los niveles de baseline que se escojan para la
empresa son los mejores puntos de referencia. Adems es importante recordar
que el rendimiento varia en el tiempo y el sistema de monitoreo usado
necesita incluir distintos periodos de uso del sistema.
Tomar acciones correctivas. Dependiendo de las causas de estas variaciones y
cadas de diferencia, elegirs tomar acciones correctivas o aceptar estas
variaciones y posponer acciones correctivas o mejoras de los recursos. En
algunos casos, las acciones correctivas pueden no tener el efecto esperado
para mejorar de manera considerable.
Examinando el rendimiento de la memoria
Situaciones en las que hay poca memoria pueden hacer mas lentas las
aplicaciones y servicios e impactar en el rendimiento de otros recursos del
sistema.
Estableciendo un Linea Base

Examina la cantidad de memoria usada durante una carga de trabajo normal,
para establecer un baseline de la memoria. El baseline es normalmente un
intervalo de valores entre los cuales el uso de memoria puede encontrarse.
Use los baseline para identificar trends, tales como demandas de aumento de
memoria en el tiempo o problemas que surgen despus de cierto cambio.
Usando Contadores para Examinar la Memoria

Todos los procesamientos que ocurren en el equipo ocurren en la memoria. Por
eso se debe asegurar que hay suficiente memoria para soportar las reas
diarias que ocurren en el sistema. Los siguiente counters son tiles para
monitorear los objetos de memoria:
Counter
314
Descripcin
Pages/sec
Available
Bytes
Indica el numero de paginas no solicitadas, disponibles en el

RAM y que tuvieron que ser ledas por el disco o escritas en
el para dar espacio en RAM para otras paginas. Si tu sistema
experimenta un alto rango de errores de pagina, el valor de
Pages/sec ser muy alto.
Indica cuanta memoria se encuentra libre despus de
ejecutar un grupo de procesos y que el cache ha sido
Si el valor de Available Bytes esta por debajo de los valores definidos para el
sistema y el valor de Pages/sec se dispara continuamente, es muy probable
que la actual cantidad de memoria es insuficiente para las necesidades del
sistema.
Examinando el archivo de paginacin

Una forma de darse cuenta de la falta de memoria es ver frecuentemente el
archivo de paginacin ,la paginacin es el proceso de mover memoria virtual
entre la memoria fisica y el disco.
Cuando una computadora tiene poca memoria la actividad del paging aumenta.
A causa de esto se determina que hay poca memoria. El incremento de la
actividad del paging causa un mayor trabajo del disco y compete otras
transacciones realizada por el disco.
A causa de esto el procesador es usado en menor medida o se encuentra
realizando trabajo innecesario por las interrupciones causadas por errores de
paginacin (Page Fault). Los Page Faults ocurren cuando el sistema no puede
ubicar un determinado cdigo o informacin en la memoria fsica indicada. Al
final la aplicacin y el servicio dejan de responder bien.
Nota A causa del excesivo paging puede causar un uso sustancial del disco
duro, es posible confundir la falta de memoria con un cuello de botella en el
disco causado por el archivo de paginacion.
Revisando el tamao del archivo de paginacin

Para ver que el archive de paginacin se acerca a su limite, revise el valor
actual y comprelo con su valor mximo, puede verlo en el panel de control en
el icono de System. Si ambos nmeros se encuentran muy cerca, considere
incrementar el tamao mximo de paginacin o ejecutar menos programas.
Peligro
Si el archive de paginacin llega a su tope, un mensaje de
advertencia aparece y la computadora podra dejar de funcionar.
El archive de paginacin se encuentra en el disco duro donde se instalo
Windows 2000. Para revisar el Tamao del archivo de paginacin. Para ver el
tamao del archivo de paginacin revise el archivo Pagefile.sys en Windows
Explorer. Si el espacio de disco es adecuado puede incrementar el tamao del
archivo de paginacin, el tamao recomendado suele ser 1.5 veces mayor al
total de RAM en el equipo.
Contadores que monitorean el tamao del archivo de paginacion

Puede usar los contadores del archive de paginacin para monitorear el
tamao del Pagefile.sys.
Monitorea este objeto\counter
Incrementa el tamao si
Paging File\ % Usage
El valor se encuentra muy cerca al valor

mximo del archivo de paginacin
El valor es cercano al 100%.
Paging File\ % Usage Peak
I 315
Examinando el rendimiento del procesador
Cuando examina el rendimiento del procesador, considere la labor de la

computadora y el tipo de trabajo hecho. Dependiendo en lo que este hacienda
el equipo, altos valores de uso del procesador pueden significar que estn
cumpliendo su labor eficientemente, o que tiene problemas para mantener ese
ritmo. Sin embargo si mas de unos cuantos procesos estn ocupando al
procesador, instalar un procesador mas potente mejorara el rendimiento.
Usando Contadores para examinar el rendimiento

del procesador
Los counters que son tiles para monitorear el rendimiento del procesador son:
Objeto
Counter
Descripcin
Procesador
% Processor Time
Sistema
Processor Queue Length Para mostrar la cantidad de

procesos que atiende el
procesador. Ms de dos
tareas puede indicar un
Muestra el porcentaje de
tiempo
usado
por
el
procesador para atender a
un proceso. Un porcentaje
mayor de 80% significara
Examinando los valores usados por una Estacion

Si monitoreas una Estacion con Windows XP, altos niveles de uso pueden
significar que el sistema maneja efectivamente la carga de trabajo. Por
ejemplo: Si la computadora empieza un nuevo proceso , podria usar todo el
tiempo del procesador. Sin embargo este tipo de uso puede disminuir el
rendimiento de otras aplicaciones en el equipo, se necesita tener suficiente
informacin para determinar si la cantidad de trabajo del procesador esta
evitando que otros procesos se realicen. Si es as habr que cambiar la
ubicacin de ciertas aplicaciones a otro equipo, o cambiando el proceso que se
este ejecutando.
316
Examinando los valores usados por un Servidor

Valores del procesador del servidor en 100% indican que se procesan muchas
solicitudes de clientes que pueden estar esperando por uso del procesador ,
causando un cuello de botella. Un cuello de botella ocurre cuando un
subsistema se encuentra sobrecargado con mucho trabajo que otros
subsistemas no son utilizados o estn en estado pasivo esperando que el
Subsistema sobrecargado se libere. Un uso tal alto del procesador es
inaceptable para un servidor.
Examinando rendimiento del disco
Monitore la actividad del disco para detectar cuellos de botella, para as

removerlos.
Monitoreando el PhysicalDisk y el LogicalDisk

Windows Server 2003 incluye counters que monitorean la actividad del
physical disks(Disco fisico) al igual que particiones lgicas o volmenes. El
objeto del disco logico provee counters que reportan actividad del disco fisico.
El objeto de disco logico provee counters que reportan estadisticas del logical
disks y unidades de almacenamiento. El System Monitor identifica discos
lgicos numerando al primero con 0 e identificndolos por sus letras.
Contadores para Examinar el rendimiento del disco

La siguiente tabla muestra los counters para el disco logico y para el objeto del
disco fisico, que son utiles para medir su rendimiento
Objeto
LogicalDisk
Contador
% Free Space
Descripcion
Reporta el porcentaje de espacio
libre en el disco
LogicalDisk
PhysicalDisk
Avg. Disk
Mide el tamao de las operaciones de
Bytes/Transfer I/O el disco es eficiente si transfiere
la informacion relativamente rapida
LogicalDisk
PhysicalDisk
Avg. Disk sec

/Transfer
Indica que tan rapida la informacin es

movida en sg , mide el tiempo promedio
Para la transferencia de informacin.
I 317
LogicalDisk
PhysicalDisk
Disk Byte/sec
Indica el promedio de byte que son

transferidos y es la principal medida
del disco
LogicalDisk
PhysicalDisk
Disk Transfer/sec
Indica el numero total de lecturas y

escritura por sg , sin importar
cuanta
informacion este envuelta
Examinando el rendimiento de la red
La actividad de la red puede influir no solo en el rendimiento de la red sino

tambin el del sistema. Despus de probar y optimizar la computadora del
cliente o los recursos de sistema del servidor, busque por el rendimiento de la
red, Windows Server 2003 ofrece utilidades para monitorear el rendimiento de
la red:
El Performance Monitor y el Network Monitor. Despus de
capturar y analizar la informacin , identifique las reas que necesite y luego
tome las medidas necesarias para corregirlo.
Usando el Monitor de Rendimiento

El Monitor de Rendimiento permite monitorear el rendimiento de los objetos de
la red en un servidor. La siguiente tabla describe los objetos y los contadores
usados para examinar la actividad de red de un servidor.
318
Objeto
Counter
Descripcin
Network
Interface
Output Queue
Length
Network
Interface
Packets Outbound
Discarded
Indica la longitud del paquete de salida

El valor debe ser pequeo. Paquetes
de tamao 1 o 2 son aceptables. Si
son muy grandes indica que el
adaptador espera a la red y no puede
mantener el paso con las solicitudes
del servidor
Use este counter par aver si la
red esta saturada. Si este
Counter
se
incrementa
constantemente indica que la
red esta muy ocupada que los
buffers no pueden con la
cantidad
de
paquetes
que
llegan.
Seguridad IP para Windows Server 2003

Windows Server 2003 incluye una implementacin del protocolo de Seguridad IP
de Internet Engineering Task Force. La Seguridad IP de Windows proporciona a
los administradores de red una lnea clave de defensa para proteger sus redes.
La Seguridad IP de Windows existe abajo del nivel de transporte, por lo que los
servicios de seguridad son heredados transparentemente por las aplicaciones. La
actualizacin a Windows Server 2003 proporciona protecciones de integridad,
autenticacin y confidencialidad, sin tener que actualizar las aplicaciones, ni
capacitar a los usuarios.
Windows Server2003 simplifica la instalacin y administracin de la seguridad de
red con la Seguridad IP , una implementacin solida del protocolo de Seguridad IP
(IPSec).
La necesidad de una seguridad de red basada en el protocolo de Internet (IP), ya
es grande y contina en aumento. En el mundo empresarial de hoy da
interconectado masivamente a Internet, intranets, sucursales y acceso remoto,
informacin sensible cruza las redes constantemente. El reto para los
administradores de red y otros profesionales de informtica es asegurar que este
trfico est:
A salvo de modificaciones de datos mientras est enrutado.
A salvo de interceptacin, visualizacin o copia.
A salvo de ser accesado por partes no autenticadas.
Estos aspectos se conocen como integridad, confidencialidad y autenticacin de
datos. Adems, la proteccin contra reproduccin evita la aceptacin de un
paquete reenviado.
Diseado por Internet Engineering Task Force (IETF) para el protocolo de
Internet,IPSec da soporte a la autenticacin, integridad de datos y codificacin a
nivel de red. IPSec se integra a la seguridad inherente del sistema operativo de
Windows Server 2003 a fin de proporcionar la plataforma ideal para salvaguardar
las comunicaciones de intranet e Internet.
La Seguridad IP de Microsoft Windows utiliza algoritmos de codificacin estndar
de la industria y un enfoque de administracin de seguridad completo para
proporcionar seguridad a todas las comunicaciones TCP/IP en ambos extremos
del firewall de una organizacin. El resultado es una estrategia de seguridad de
extremo a extremo que se defiende contra ataques externos e internos.
Dado que la Seguridad IP de Windows se instala abajo del nivel de transporte, los
administradores de red (y los proveedores de software) se ahorran el problema y
gastos de tratar de instalar y coordinar la seguridad de una aplicacin a la vez. Al
instalar Windows Server 2003, los administradores de red proporcionan un fuerte
nivel de proteccin para toda la red, y las aplicaciones heredan automticamente
las salvaguardas de la seguridad de Windows Server 2003. El soporte de
codificacin de la Seguridad IP de Windows se extiende tambin a las Redes
privadas virtuales (VPNs).
Los administradores de red se benefician de la integracin de IPSec por varias
razones, incluyendo:
Estndar abierto de la industriaIPSec proporciona una alternativa de
estndar abierto de la industria en cuanto a tecnologas de codificacin IP de
propietario. Los administradores de red se benefician de la interoperabilidad
resultante.
I 319
TransparenciaIPSec existe abajo del nivel de transporte, lo que hace que sea
transparente para las aplicaciones y usuarios, es decir, no hay necesidad de
cambiar las aplicaciones de red en el escritorio de un usuario cuando se
implementa IPSec en el firewall o en el enrutador.
AutenticacinLos servicios de autenticacin firmes evitan la interceptacin de
datos a travs de identidades falsas.
ConfidencialidadLos servicios de confidencialidad evitan el acceso no
autorizado a datos sensibles a medida que pasan entre las partes en
comunicacin.
Integridad de datosLos encabezados de autenticacin IP y las variaciones del
cdigo de control de autenticacin de mensajes de verificacin aseguran la
integridad de los datos durante la comunicacin.
Repeticin dinmica de clavesLa repeticin dinmica de claves durante la
comunicacin contnua ayuda a proteger contra ataques.
Enlaces seguros de extremo a extremoLa Seguridad IP de Windows
proporciona enlaces seguros de extremo a extremo para usuarios de redes
privadas, dentro del mismo dominio o a travs de cualquier dominio confiable en
la empresa.
Administracin centralizadaLos administradores de red utilizan polticas y
filtros de seguridad para proporcionar niveles de seguridad adecuados con base
en el usuario, el grupo de trabajo u otros criterios. La administracin centralizada
reduce los costos administrativos indirectos.
FlexibilidadLa flexibilidad de la Seguridad IP de Windows permite polticas que
pueden aplicarse en toda la empresa o en una sola estacin de trabajo. Estas son
todas buenas noticias para los administradores de red y otros profesionales de
informtica responsables de proteger la seguridad de la
informacin. El aumento significativo de intranets y la creciente integracin de
redes corporativas con Internet han provocado una mayor necesidad de
seguridad. A pesar de que la inquietud clsica de seguridad es proteger los datos
contra extraos, la Seguridad IP de Windows tambin proporciona proteccin
contra ataques de la fuente ms probable: el acceso no autorizado de personal
interno.
Ya sea que se establezcan perfiles de seguridad para grupos de trabajo clave o
para toda la red, el soporte de codificacin de la Seguridad IP de Windows puede
brindar a los administradores de red la tranquilidad que surge de proteger las
comunicaciones de una empresa.
Beneficios de la seguridad IP
La mayora de las estrategias de seguridad de red se han enfocado en evitar
ataques externos a la red de la organizacin. Los firewalls, enrutadores seguros y
autenticacin de seales de acceso de marcacin son ejemplos de los intentos
administrativos por eliminar amenazas externas. Sin embargo, reforzar el
permetro de una red no sirve para protegerla contra ataques originados desde
adentro.
De hecho, una organizacin puede perder una gran cantidad de informacin
sensible por ataques internos emprendidos por empleados miembros del personal
de soporte . Adems, los firewalls no ofrecen proteccin contra tales amenazas
internas. Uno de los grandes beneficios de la integracin de Windows Server
2003 con la Seguridad IP es la capacidad de proteccin contra ataques internos y
externos. De nuevo, esto se realiza en forma transparente, y no implica esfuerzos
ni costos adicionales para los usuarios individuales.
320
Desarrollar con base en la Seguridad IP

La Seguridad IP, segn define Internet Engineering Task Force (IETF), utiliza un
encabezado de autenticacin (AH) y una carga de pago de seguridad encapsulada
(ESP). El encabezado de autenticacin proporciona comunicacin de datos con
autenticacin e integridad de fuente. La carga de pago de seguridad encapsulada
proporciona confidencialidad, adems de la autenticacin e integridad. Con la
Seguridad IP, solo el emisor y el receptor conocen la clave de seguridad. Si la
autenticacin de datos es vlida, el receptor sabe que la comunicacin viene del
emisor y que no cambi durante el trnsito. La Seguridad IP de Windows se
desarrolla con base en el modelo IETF al combinar la criptografa de claves
pblicas y secretas, y al proporcionar administracin automtica de claves para
maximizar la seguridad y obtener un rendimiento efectivo total de alta velocidad.
Esto brinda una combinacin de autenticacin, integridad, no reproduccin, y
(opcionalmente) confidencialidad para lograr comunicaciones seguras. Ya que la
Seguridad IP de Windows est abajo del nivel de red, es transparente para los
usuarios
y
las
aplicaciones
existentes;
las
organizaciones
obtienen
automticamente altos niveles de seguridad de red.
Las funciones de Seguridad IP de Windows incluyen:
Soporte completo de los estndares de la industria (IETF)
Protocolos flexibles de seguridad
Fcil implementacin y administracin
Polticas flexibles de seguridad
Polticas flexibles de negociacin
Ahorro en costos
Soporte completo de estndares de la industria
Windows 2003 aprovecha totalmente los poderosos algoritmos criptogrficos
BENEFICIOS DE LA SEGURIDAD IP
estndar de la industria y las tcnicas de autenticacin. Estos incluyen:

1. La tcnica Diffie-Hellman para acordar una clave compartida.
2. El cdigo de autenticacin de mensajes de verificacin (HMAC) y sus
variantes, para proporcionar integridad y no reproduccin.
3. Estndar de codificacin de datos encadenamiento de bloques de cifras
para confidencialidad.
Tcnica Diffie-Hellman (DH)

La tcnica Diffie-Hellman (nombrada as por sus inventores Whitfield Diffie y
Martin Hellman) es un algoritmo de criptografa de claves pblicas que permite
que dos entidades se comuniquen para acordar una clave compartida. DiffieHellman se inicia con dos entidades que intercambian informacin pblica. Cada
entidad combina despus la informacin pblica de la otra junto con su propia
informacin secreta para generar un valor secreto compartido.
Cdigo de autenticacin de mensajes de verificacin

(HMAC)
HMAC es un algoritmo de claves secretas que proporciona integridad y
autenticacin. La autenticacin que utiliza la verificacin con claves produce una
firma digital para el paquete, que puede ser verificado por el receptor. Si el
mensaje cambia durante el trnsito, entonces el valor de verificacin es diferente
y el paquete IP es rechazado.
I 321
HMAC-MD5
La funcin 95 de compendio de mensajes (MD5) es una funcin de verificacin
que produce un valor de 128 bits.
HMAC-SHA
El Algoritmo de verificacin segura (SHA) es una funcin de verificacin que
produce un valor de 160 bits. A pesar de que es un poco ms lento que
HMACMD5, el HMAC-SHA es ms seguro.
DES-CBC
Estndar de codificacin de datos (DES) El encadenamiento de bloques de cifras
(CBC) es un algoritmo de claves secretas utilizado para confidencialidad. Un
nmero aleatorio se genera y utiliza con la clave secreta para codificar los datos.
Estndares soportados y referencias
Windows Server 2003 da soporte completo y emplea protocolos publicados por
Internet Engineering Task Force. La implementacin cumple con los ltimos
borradores IETF propuestos en el grupo de trabajo IPSec, incluyendo documentos
completos de arquitectura y documentos pertenecientes a formatos y
transformaciones de encabezados, adems de los borradores ISAKMP/Oakley.
La Seguridad IP de Windows Server 2003 implementa el Protocolo de asociacin
de seguridad de Internet y administracin de claves (ISAKMP), utilizando el
protocolo de determinacin de claves Oakley, que permite la repeticin dinmica
de claves.
Documento estratgico sobre Seguridad IP para Windows Server 2003 Server
5 Protocolos flexibles de seguridad
Los protocolos de seguridad desarrollan varios servicios para garantizar las
comunicaciones de red. Windows Server 2003 utiliza los siguientes protocolos de
seguridad:
1. Protocolo de asociacin de seguridad de Internet y administracin de
claves
2. Determinacin de claves Oakley
3. Encabezado de autenticacin IP
4. Protocolo de seguridad de encapsulamiento IP
5. Protocolo de asociacin de seguridad de Internet y administracin de
claves
Antes de que los paquetes IP puedan ser transmitidos de una computadora a
otra,es necesario establecer una asociacin de seguridad (SA). Una SA es un
conjunto de parmetros que define servicios y mecanismos como las claves,
necesarios para proteger las comunicaciones de un protocolo de seguridad. Debe
existir una SA entre las dos partes en comunicacin que utilizan la Seguridad IP.
El Protocolo de asociacin de seguridad de Internet y administracin de claves
(ISAKMP) define la estructura comn para dar soporte al establecimiento de
asociaciones de seguridad. ISAKMP no est vinculado a ningn algoritmo, mtodo
de generacin de claves o protocolo de seguridad especficos.
Oakley
Oakley es un protocolo de determinacin de claves que utiliza el algoritmo de
intercambio de claves Diffie-Hellman. Oakley da soporte a la Confidencialidad
perfecta de retransmisin (PFS) que asegura que si una sola clave se
compromete, solo permite el acceso a los datos protegidos por esa clave. Nunca
reutiliza la clave que protege las comunicaciones para calcular claves adicionales
y nunca usa el material original de generacin de claves para calcular otra clave.
Encabezado de autenticacin IP
El Encabezado de autenticacin IP (AH) proporciona integridad, autenticacin y no
reproduccin. La confidencialidad no es una propiedad de AH. AH utiliza un
algoritmo para calcular la verificacin de mensajes en clave (un HMAC) para cada
paquete IP.
322
Protocolo de seguridad de encapsulamiento IP

Adems de los servicios AH mencionados anteriormente, el Protocolo de
seguridad de encapsulamiento IP (ESP) proporciona confidencialidad, utilizando el
algoritmo DES-CBC.
Ya que la Seguridad IP de Windows Server 2003 es transparente para los
usuarios, no se requiere capacitacin para los mismos y este gasto es eliminado.
Administracin de claves criptogrficas

Para proporcionar seguridad, es necesario cambiar las claves criptogrficas
regularmente. Cuando un administrador del sistema tiene que hacer esto
manualmente, la administracin de claves consume demasiado tiempo. Ya sea
que las claves no se cambien con la frecuencia que una organizacin deseara o
se cambien slo en algunas computadoras importantes, la Seguridad IP de
Windows maneja automticamente la administracin de claves. Los costos de
cambiar manualmente las claves se eliminan y es posible establecer y mantener
una proteccin mxima en toda la empresa.
Instalar la seguridad IP
Windows Server 2003 se ha diseado para proporcionar muy altos niveles de
seguridad de datos, aunados a la facilidad de implementacin y administracin.
El resultado es la seguridad de la informacin en la empresa con bajos costos
totales de propiedad. Windows Server 2003 proporciona gran flexibilidad con
polticas de seguridad, de usuario y de dominio. El administrador de red puede
aplicar polticas a toda la empresa o para un solo usuario o estacin de trabajo.
Las polticas de seguridad se pueden implementar transparentemente, sin
necesidad de intervencin posterior del administrador de red y sin capacitar otra
vez a los usuarios.
A fin de establecer seguridad, un administrador de red debe llevar a cabo un
proceso de cuatro pasos:
1. Evaluar la informacin enviada a travs de la red e Internet.
2. Crear escenarios de comunicacin.
3. Determinar los modelos de seguridad requeridos por cada escenario.
4. Desarrollar polticas de seguridad utilizando el Administrador de seguridad
Evaluar la informacin
Toda la informacin enviada a travs de redes o Internet est sujeta a

interceptacin, examen o modificacin. Un administrador de sistemas puede
determinar qu clase de informacin es ms valiosa y cules escenarios de
comunicacin son los ms vulnerables.
Crear escenarios
Las organizaciones tienen ciertos patrones para sus flujos de informacin. Un

administrador de sistemas puede determinar estos patrones predecibles. Por
ejemplo, las oficinas remotas de ventas pueden enviar datos de ventas
proyectados, rdenes de compra y otra informacin financiera a su oficina matriz.
Cada uno de estos escenarios de comunicacin puede tener diferentes polticas de
Seguridad IP.
I 323
Determinar los niveles de seguridad requeridos
Los niveles de seguridad requeridos cambian, dependiendo de la sensibilidad de la

informacin y de la relativa vulnerabilidad del de transmisin.
El Administrador de seguridad permite a un administrador de red establecer
rpida y fcilmente los niveles de seguridad apropiados.
Desarrollar polticas de seguridad con el Administrador de seguridad
El Administrador de seguridad de Windows Server 2003 permite al administrador
de red establecer algoritmos de seguridad y asignarlos a grupos de computadoras
Instalar la Seguridad IP de Windows Server 2003

Las polticas se desarrollan y asignan utilizando operaciones rpidas de sealar y
hacer clic.
Polticas flexibles de seguridad
Cada configuracin de los atributos de la Seguridad IP de Windows se denomina

una poltica de seguridad. Las polticas de seguridad se desarrollan a partir de
polticas de negociacin asociadas y filtros IP. Una poltica de Seguridad IP puede
asignarse a la poltica de dominio predeterminada, a la poltica local
predeterminada o a una poltica personalizada que usted elabore. Las
computadoras en el dominio toman automticamente las propiedades de las
polticas de dominio predeterminadas y locales predeterminadas, incluyendo la
poltica de Seguridad IP asignada a dicha poltica de dominio.
Polticas flexibles de negociacin
Las polticas de negociacin determinan los servicios de seguridad que usted
desea incluir para cada tipo de escenario de comunicacin que labora para la
empresa. Un administrador de red puede elegir entre los servicios que incluyen
confidencialidad o aquellos que no lo hacen. El administrador puede establecer
mtodos mltiples de seguridad para cada poltica de negociacin. Si el primer
mtodo no es aceptable para la negociacin de seguridad, el servicio
ISAKMP/Oakley continua consultando la lista en orden descendente hasta que
encuentra uno que puede ser utilizado para establecer la asociacin.
Filtros
La filtracin permite aplicar diferentes polticas de seguridad a distintas
computadoras. Los filtros IP determinan las acciones a tomar,basados en el
destino y el protocolo de los paquetes IP individuales.
Crear una poltica de seguridad
Un ejemplo de creacin de una poltica de seguridad se puede encontrar en una
organizacin que tiene un departamento legal centralizado. Los administradores
de red pueden decidir que las comunicaciones dentro del departamento deben ser
seguras pero no confidenciales. Sin embargo, el administrador puede decidir que
las comunicaciones entre el departamento legal y otros departamentos dentro de
la organizacin deben ser tanto seguras como confidenciales. La Seguridad IP de
Windows permite establecer filtros para aplicar las polticas de seguridad
apropiadas a las comunicaciones iniciadas dentro del departamento legal. Si el
destino de la comunicacin es externo al departamento, la Seguridad IP de
Windows aplica una poltica de seguridad que proporciona seguridad y
confidencialidad. Si el paquete simplemente se traslada a otro destino dentro del
departamento legal, se aplica la seguridad sin confidencialidad.
A fin de implementar el plan de seguridad para el departamento legal, el
administrador debe emprender los siguientes pasos:
1. Crear una poltica de seguridad llamada Legal y asignarla a la poltica de
dominio predeterminada. A medida que cada computadora en la compaa
se registra dentro del dominio, el agente de polticas de la computadora
puede seleccionar en el servicio de directorio la poltica de seguridad del
departamento legal. La poltica de seguridad del departamento legal debe
tener las siguientes polticas de negociacin y filtros IP asociadas con ella:
324
2. Crear dos polticas de negociacin y asociarlas con la poltica de seguridad

del departamento legal:
La primera poltica de negociacin, Legal NP 1, se establece para un servicio
que proporciona confidencialidad cuando los usuarios en el departamento
legal se comunican con usuarios de otros departamentos (los datos
transferidos son confidenciales, autnticos y no modificables: protocolo de
seguridad ESP).
La segunda poltica de negociacin, Legal NP 2, se establece para un servicio
que proporciona nicamente autenticacin y proteccin contra modificacin
cuando los usuarios del departamento legal se comunican entre s (Los datos
transferidos son autnticos y no modificables: protocolo de seguridad AH).
3. Crear dos filtros IP y asociar cada uno de ellos con una poltica de
negociacin:
Los usuarios en el departamento legal estn en la red 157.55.0.0 con una
mscara de subred 255.255.0.0. Los usuarios de otros departamentos estn
en la red 147.20.0.0 con una mscara de subred de 255.255.0.0. El primer
filtro IP, Legal 1, es para usuarios en el departamento legal que se comunican
con usuarios de otros departamentos. Este est asociado con la poltica de
negociacin Legal NP1. El administrador establece las propiedades del filtro
con los siguientes valores:
La direccin IP especificada para la fuente (emisor de datos) es 157.55.0.0.
Esta direccin coincide con cualquier direccin IP dentro de la red del
departamento legal, ya que en realidad es una direccin de subred IP.
La direccin IP especificada para el destino (receptor de datos) es 147.20.0.0.
Ya que el plan de seguridad de la compaa estipul proteger todos los datos
enviados a travs del protocolo IP, el tipo de protocolo es Cualquiera.
Los usuarios del departamento legal que se comuniquen con otros dentro del
mismo departamento utilizan el segundo filtro IP, Filtro 2 Legal IP. Este se
asocia con la poltica de negociacin Legal NP 2, y las propiedades del filtro
se establecen con los siguientes valores:
1. La direccin IP especificada para la fuente (emisor de datos) es
157.55.0.0.
2. La direccin IP especificada para el destino (receptor de datos) es
157.55.0.0.
3. El tipo de protocolo se establece en Cualquiera.
Cuando un usuario dentro del departamento legal enva informacin a cualquier
otro usuario, las direcciones fuente y destino de los paquetes IP se revisan con
base en los filtros IP de la poltica de seguridad legal. Si las direcciones coinciden
con uno de los filtros, la poltica de negociacin asociada determina el nivel de
Seguridad IP para la comunicacin.
Por ejemplo, si un usuario en el departamento legal con una direccin IP
157.55.2.1 enva datos a un usuario en 147.20.4.5, coincidira con el filtro IP
Legal 2. Esto significara que la comunicacin se enva en el nivel de seguridad
especificado por la poltica de negociacin Legal NP1, que proporciona
autenticacin y proteccin contra modificaciones (no modificable) y
confidencialidad durante la comunicacin.
I 325
Tecnologa de Encriptacin EFS

EFS se basa en la encriptacin de clave pblica, que aprovecha la arquitectura
CryptoAPI en Windows. Cada archivo se encripta utilizando una clave generada
de manera aleatoria, que es independiente del par de clave privada/pblica del
usuario, evitando as varias formas de ataque con base en criptonalisis.
La encriptacin de archivos puede utilizar cualquier algoritmo de encriptacin
simtrico. La primera versin del EFS expone DES como el algoritmo de
encriptacin. Las versiones futuras permitirn esquemas de encriptacin
alternos. El EFS tambin soporta la encriptacin y desencriptacin en
archivos almacenados en servidores de archivos remotos.
Nota: En este caso, el EFS slo resuelve la encriptacin de datos en disco. No
encripta datos que se transfieren a travs de la red. Windows proporciona
protocolos de red como SSL/PCT para encriptar el acceso a datos en la red.
El EFS est integrado firmemente con el NTFS. Cuando se crean archivos
temporales, los atributos del archivo original se copian a los archivos
temporales, siempre que los archivos estn en el volumen NTFS. Si encripta
un archivo, el EFS tambin encripta sus copias temporales. El EFS reside en el
kernel del sistema operativo y utiliza una agrupacin de no bsqueda para
almacenar las claves de encriptacin de archivo lo cual asegura que nunca
estn en el archivo de bsqueda.
Interaccin del usuario

La configuracin predeterminada del EFS permite que los usuarios inicien la
encriptacin de archivos sin esfuerzo administrativo. El EFS genera
automticamente un par de clave pblica para la encriptacin de archivos
para un usuario, en caso de que no exista.
La encriptacin y desencriptacin de archivos se soporta sobre una base de
directorio completo o por archivos. La encriptacin de directorios se refuerza
de manera transparente. Todos los archivos (y subdirectorios) creados en un
directorio marcado para encriptacin se encriptan automticamente. Cada
archivo tiene una clave de encriptacin nica, lo que lo hace seguro para
volver a nombrarlo. Si renombra un archivo desde un directorio encriptado a
un directorio no encriptado en el mismo volumen, el archivo permanece
encriptado. Los servicios de encriptacin y desencriptacin estn disponibles
en Windows Explorer. Las herramientas de la lnea de comandos y las
interfaces administrativas tambin se proporcionan para usuarios avanzados y
agentes de recuperacin, de manera que puedan aprovechar al mximo esta
capacidad.
Un archivo no necesita desencriptarse antes de utilizarse. La encriptacin y
desencriptacin se realiza de manera transparente cuando los bytes viajan
hacia y desde el disco. El EFS detecta automticamente un archivo encriptado
y coloca una clave del usuario desde el almacn de claves del sistema. Ya que
el mecanismo de almacenamiento de claves se basa en CryptoAPI, los
usuarios tienen la facilidad de almacenar claves en dispositivos seguros, tales
como las tarjetas inteligentes.
326
La primera versin del EFS no soporta el compartir archivos. No obstante, la

arquitectura del EFS est diseada para poder compartir archivos entre cualquier
nmero de personas utilizando sus claves pblicas. Los usuarios pueden
desencriptar entonces de manera independiente los archivos mediante sus propias
claves privadas. Los usuarios pueden ser agregados fcilmente (si cuentan con un
par de clave pblica configurado) o eliminados de un grupo de con autorizacin
para compartir.
Recuperacin de datos
El EFS cuenta con soporte de recuperacin de datos. La infraestructura de
seguridad Windows 2000 refuerza la configuracin de claves de recuperacin de
datos. Puede utilizar la encriptacin de archivos slo si el sistema est configurado
con una o ms claves de recuperacin. El EFS permite que los agentes de
recuperacin configuren las claves pblicas que se utilizan para habilitar la
recuperacin de archivos. Utilizando la clave de recuperacin, slo est disponible
la clave de encriptacin del archivo generada de manera aleatoria y no una clave
privada de usuario esto asegura que ninguna otra informacin privada sea
revelada al agente de recuperacin de manera accidental.
La recuperacin de datos est pensada para la mayora de los ambientes
empresariales, en donde las organizaciones esperan poder recuperar los datos
encriptados por un empleado despus de que el empleado se retire, o cuando se
pierdan las claves de encriptacin. La poltica de recuperacin se puede definir en
el controlador de dominio de un dominio Windows. Esta poltica se refuerza en
todas las computadoras en dicho dominio. Los administradores de dominio tienen
el control de la poltica de recuperacin y pueden delegar esto a cuentas de
administradores de seguridad de datos, utilizando las funciones de delegacin del
Servicio de directorio Windows. Esto proporciona un control mejor y ms flexible
de quin est autorizado para recuperar datos encriptados. El EFS tambin soporta
diversos agentes de recuperacin, al permitir mltiples configuraciones clave de
recuperacin que proporcionen a las organizaciones redundancia y flexibilidad al
implementar sus procedimientos de recuperacin.
El EFS tambin se puede utilizar en un ambiente local. El EFS genera
automticamente claves de recuperacin y las guarda como claves de la mquina
en donde no hay dominio de Windows. Los usuarios locales tambin pueden
utilizar la herramienta de lnea de comandos para recuperar los datos, utilizando la
cuenta del administrador. Esto reduce la sobrecarga administrativa para un
usuario local.
I 327
Sistemas de Encriptacion de Archivos

Las siguientes secciones brindan al usuario escenarios que demuestran cmo
funciona el EFS.
Operaciones del usuario

La siguiente figura muestra el men de contexto Windows Explorer para los
servicios de encriptacin de archivos .
El men de contexto expone las siguientes funciones EFS para el usuario:

EncriptacinEsta opcin permite que el usuario encripte el archivo seleccionado
actualmente. Si la seleccin actual es un directorio, permite al usuario encriptar
todos los archivos (y subdirectorios) en el directorio y marcar el directorio como
encriptado.
DesencriptacinEsta opcin es lo contrario de la encriptacin. Permite que el
usuario decodifique el archivo seleccionado actualmente. Si la seleccin actual es
un directorio, permite al usuario desencriptar todos los archivos que hay en el
directorio y restablece el directorio como decriptado.
ConfiguracinLos usuarios pueden generar, exportar, importar y manejar
claves pblicas utilizadas para la encriptacin de archivos basados en EFS. La
configuracin se integra con el resto de las configuraciones de seguridad del
usuario. Esta funcin est dirigida a los usuarios avanzados que desean
administrar sus propias claves. Por lo regular, los usuarios no tienen que hacer
ninguna configuracin. El EFS genera automticamente claves para el usuario que
no cuenta con una clave configurada para uso de encriptacin de archivos.
Adems de la interfaz grfica, Windows 2000 incluye herramientas de lnea de
comandos para enriquecer la funcionalidad necesaria para las operaciones
administrativas.
Encriptacin de archivos
Todo lo que debe hacer el usuario es seleccionar uno o ms archivos y elegir
Encriptar del men de contexto Encriptacin de archivos. El EFS encripta los
archivos seleccionados.
Una vez que el archivo se encripta, ste se almacena ya encriptado en el disco.
Todas las lecturas y escrituras al archivo se desencriptan y encriptan de manera
transparente. Para saber si el archivo est encriptado, el usuario puede verificar
las propiedades en el archivo para ver que el bit de atributo est activado. Ya
que la encriptacin es transparente, el usuario puede utilizar el archivo como
328
antes. Por ejemplo, puede seguir abriendo el documento en Word y editarlo como
antes o abrir un archivo de texto utilizando N ot e p ad y hacer lo mismo.
Cualquier otro usuario que trate de abrir este archivo encriptado obtiene un error
de acceso denegado, debido a que el usuario no posee la clave para desencriptar
el archivo.
Los usuarios no debern encriptar los archivos en el directorio del sistema, pues
estos archivos se necesitan para que se inicie el sistema. Durante el proceso de
inicio, no hay una clave de usuario disponible para desencriptar los archivos. Dicha
operacin puede dejar inservible al sistema. Windows Explorer evita esto al hacer
fallar los intentos de encriptacin en archivos con el atributo del sistema.
El EFS tambin da a los usuarios la capacidad de transferir archivos encriptados a
travs de los sistemas. Las funciones de Exportar archivo encriptado e Importar
archivo encriptado son extensiones del comando Copiar en un indicador de
comandos Windows. Todo lo que el usuario debe hacer es especificar el archivo
encriptado como la fuente y otro archivo en un directorio no encriptado como el
destino con la opcin de exportar. El archivo exportado contina encriptado. El
usuario puede copiar entonces este archivo exportado a diferentes sistemas de
archivos, incluyendo FAT, cintas de respaldo o enviarlo como adjunto de un correo
electrnico como un archivo normal. Para poder utilizar el archivo en un sistema al
que se copia, el usuario especifica el archivo exportado como la fuente y un
nombre de archivo nuevo en un volumen NTFS como destino para importar el
archivo, con lo que el nuevo archivo se crea como un archivo encriptado.
Encriptacin de directorio
Los usuarios tambin pueden marcar directorios como encriptados utilizando el
men de contexto Windows Explorer. Marcar un directorio como encriptado
asegura que se encuiten todos los archivos futuros en dicho directorio de manera
predeterminada y que todos los subdirectorios futuros del mismo se marquen
como encriptados. La lista de archivos de directorio no est encintada y se pueden
enumerar archivos como siempre, en caso de que tenga suficiente acceso al
directorio.
Marcar los directorios para encriptacin es similar a encriptar archivos. Un usuario
selecciona el directorio y elige la opcin de encriptacin en Windows Explorer. En
este caso, el usuario tiene las opciones de marcar slo el directorio para
encriptacin o encriptar todos los archivos y subdirectorios bajo l. La
encriptacin de directorios brinda a los usuarios la capacidad de manejar sus
archivos importantes copindolos simplemente a directorios encriptados.
Desencriptacin de archivo o directorio
Los usuarios no necesitan desencriptar archivos o directorios para operaciones
normales debido a que el EFS brinda encriptacin y desencriptacin transparente
durante las escrituras y lecturas de datos. No obstante, dichas operaciones
pueden ser requeridas bajo circunstancias especiales en donde un usuario necesita
compartir un archivo encriptado con otros usuarios.
Los usuarios pueden desencriptar archivos y marcar directorios no encriptados
utilizando el men de contexto Windows Explorer. La operacin es similar a la
encriptacin. Realizar esta operacin en uno o ms archivos provoca que el EFS
desencripte el archivo completo y lo marque como no encriptado. En el caso de la
desencriptacin de un directorio, el men de contexto tambin brinda la opcin
de desencriptar todos los archivos y subdirectorios encriptados en dicho
directorio.
I 329
CAPTULO 15
Implemetacion y Administracion Remota A
Terminal Server
Permite el acceso de mltiples usuarios a Windows Server 2003, permitiendo que
varias personas inicien sesiones en una sola computadora simultneamente. Los
administradores pueden instalar aplicaciones basadas en Windows del Terminal
Server y ponerlas a disposicin de todos los clientes que se conecten con el servidor.
Aunque los usuarios pueden tener diversos hardware y sistemas operativos, la sesin
Terminal que se abre en el escritorio del cliente conserva el mismo aspecto y
funcionalidad para todos.
Windows Server 2003 Terminal Server consiste en cuatro componentes:

Terminal Server: Este ncleo de servidor multi-usuario proporciona la capacidad de
albergar varias sesiones simultneas de clientes en Windows Server 2003 y en
versiones futuras de Windows Server. Asimismo puede albergar en forma directa
escritorios de cliente multi-usuario compatibles, que se ejecuten en una variedad de
hardware basados o no en Windows. Las aplicaciones estndar basadas en Windows,
si estn escritas adecuadamente, no requieren ninguna modificacin para ejecutarse
en Terminal Server, y la vez se pueden utilizar todas las infraestructuras de
administracin y tecnologas estndar basadas en Windows server 2003 para
administrar los escritorios cliente.
Protocolo de presentacin remota: Este Protocolo es un componente clave de
Terminal Server y permite al cliente comunicarse con Terminal Server en una red. Se
basa en el protocolo T.120 de la Unin Internacional de Telecomunicaciones (UIT), y
es un protocolo de multi-canal que est ajustado para ambientes empresariales de
ancho de banda elevado, y que dar soporte a tres niveles de encriptacin.
330
Cliente de Terminal Server: Es el software de cliente que presenta una interfaz

Windows de 32 bits familiar, en una gran variedad de hardware de escritorio:
Nuevos dispositivos Terminal basados en Windows (incrustados).
Computadoras personales que ejecutan Windows 95,98 y NT , Windows 2000 o XP
Computadoras personales que ejecutan Windows for Workgroups 3.11.
Herramientas de administracin: Adems de todas las herramientas de
administracin familiares de Windows Server 2003, Terminal Server aade un
administrador de licencias de Terminal Services, la configuracin de Terminal Server
(MMC) y herramientas de administracin para Terminal Server y para sesiones de
clientes. Asimismo, se han agregado dos nuevos objetos al Monitor de rendimiento,
que son Sesin y Usuario, para permitir ajustarlos al servidor en un ambiente de
usuarios mltiples.
Entornos de Usuario
Despus de instalar el software de cliente, los usuarios acceden al Terminal Server

abriendo Remote Desktop Connection Client del men Programs/Accesories/
Communications. Cuando un usuario conecta e inicia sesin al Terminal Server, el
escritorio de Windows Server 2003 aparece en el escritorio del cliente. Cuando un
usuario inicia un programa, si el programa no est funcionando en forma local, es
algo totalmente transparente.
Caractersticas y ventajas
I 331
Instalacin Centralizada
Las
organizaciones
pueden
instalar
aplicaciones
de
negocios,
puesto que
el
funcionamiento de los programas se realizar enteramente en el servidor.

Proporciona las siguientes ventajas:
Menos hardware costoso. Empleados que realizan slo los trabajos que requieran
el acceso a un programa de negocio y que se puedan equipar de terminales o
computadoras menos costosas.
Acceso fcil a software nuevo o actualizado. Cuando Terminal Server se habilita
en Windows Server 2003, los administradores no tienen que instalar aplicaciones en
cada computadora de escritorio. El aplicativo ya est instalado en el servidor y los
clientes tienen acceso automtico a la nueva o actualizada versin de software.
Acceso al escritorio Windows Server 2003

Terminal Server puede extender aplicaciones basadas en una variedad de clientes.
Ejecutar aplicaciones Windows. Terminal Server puede hacer disponibles
aplicaciones Windows a una amplia gama de clientes. Estas aplicaciones basadas en
Windows pueden funcionar en diversos sistemas, en el operativo o el hardware, con
poca o ninguna modificacin.
Ampliar el uso de un equipo ms viejo. Una organizacin puede implementar
Terminal Server como tecnologa transitoria para tender un puente sobre sistemas
operativos viejos, con entornos de escritorio Windows Server 2003 y aplicaciones 32bit basadas en Windows.
Sustituir las terminales basados en texto. Dado que muchos terminales basados
en Windows pueden soportar conectividad de emulacin terminal en el mismo
dispositivo, las organizaciones pueden sustituir terminales basadas en texto por
terminales basadas en Windows. Estas ltimas permiten a usuarios que trabajan con
datos de sistemas, tener acceso a software ms nuevo basado en Windows, como por
ejemplo Microsoft Outlook.
Seguridad y confiabilidad incrementadas. Debido a que ningn programa o
datos de usuario residen en el cliente, Terminal Server puede proporcionar un
ambiente ms seguro para los datos sensibles. Tambin proporciona soporte de
encripcin multinivel, el cual se permite que siempre haya riesgo de intercepcin
desautorizada de transmisin en la conexin entre el servidor y el cliente. Hay tres
niveles de encripcin disponibles: low, medium y high. Todos estos niveles usan el
Standard Rivest-Shamir-Adleman (RSA) RC4 Encryption. Este es un estndar de
encripcin para los datos que se envan sobre redes pblicas, como por ejemplo
Internet.
Administracin y soporte mejorados

Administration Remota. Remote Desktop Administration es una nueva
caracterstica en Terminal Server para Windows Server 2003. Est diseado para
proveer a operadores y administradores, el acceso remoto a servidores Microsoft
BackOffice y Domain Controllers. El administrador tiene acceso a las herramientas
de interfaz grficas que estn disponibles en el ambiente Windows, incluso no se est
utilizando una computadora basada en Windows para administrar el servidor.
Soporte Remote. Los administradores pueden realizar soporte remoto para un
usuario que inicia sesin al Terminal Server, siguiendo la sesin del cliente desde otra
sesin de cliente. Los administradores o el personal de soporte pueden tambin
realizar acciones de teclado y de mouse a nombre de un usuario, usando Remote
Control. Remote Control puede ser til para el entrenamiento o el soporte de usuarios
en sistemas o aplicaciones nuevas.
332
Planificando la instalacin
Identificando aplicaciones de Cliente

Antes de instalar Terminal Server, identifique las aplicaciones que Usted piensa instalar en el
escritorio del cliente. La mayora de los programas que funcionan correctamente en Windows
Server 2003, se ejecutan tambin en Terminal Server.
Aplicaciones basadas en Windows

Los aplicativos que se instalan en un Terminal Server deben ser compatibles con
Windows Server 2003. Si un programa no funciona en Windows Server 2003, no
funcionar en el ambiente multiusuario de Terminal Server. Aplicaciones 32-bit
funcionan ms eficientemente que aplicaciones 16-bit, tomando ventaja completa del
hardware y el sistema operativo 32-bit. Ejecutando aplicaciones 16-bit en Terminal
Server se puede reducir el nmero de usuarios que el procesador soporte, tanto como
un 40 por ciento, y aumentar la memoria requerida por un usuario, a un 50 por
ciento.
Aplicaciones MS-DOS
Puesto que aplicaciones basadas en Microsoft MS-DOS nunca fueron diseadas para
a ambientes de trabajo mltiples, ejecutar aplicaciones MS-DOS en Terminal Server
puede retardar el funcionamiento del sistema con procesos ociosos. Si el
funcionamiento del servidor se retarda perceptiblemente cuando los usuarios utilizan
aplicaciones MS-DOS, se necesitar ajustar las configuraciones del sistema.
Terminal Server soporta las siguientes plataformas

Microsoft Windows 2000/XP/2003
Microsoft Windows NT versions 3.51 and 4.0
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows for Workgroups 3.11
Microsoft Windows CE, Handheld PC Edition 3.0
Windows CE, Handheld PC Professional Edition 3.0
Windows-based Terminals
Requisitos de Hardware
I 333
La tabla siguiente describe los requisitos de hardware especficos de cliente para

Terminal Server.
Operating System
RAM
CPU
Video
Windows 2000
32 megabytes (MB)
Pentium
VGA
Windows NT versions 3.51 o 4.0
16 MB
486
VGA
Windows 98
16 MB
486
VGA
Windows 95
16 MB
386
VGA
Windows for Workgroups 3.11
16 MB
386
VGA
Windows CE, Handheld PC/PRO
Vendor
Vendor
Vendor
Escritorio Remoto
Mediante el uso de Escritorio remoto para administracion, puede administrar uno o
varios equipos remotos desde una sola ubicacion. En una gran organizacion, puede
utilizar la administracion remota para administrar centralmente muchos equipos
ubicados en otros
edificios o incluso en otras ciudades. En una pequea
organizacin, puede utilizar la administracion remota para administrar un solo
servidor ubicado en una oficina adyacente.
Escritorio remoto para administracion proporciona acceso a un servidor desde un
equipo ubicado en otro lugar utilizando el Protocolo de escritorio remoto (RDP,
Remote Desktop Protocol). RDP transmite la interfaz de usuario a la sesion
cliente as como el teclado y las acciones del mouse desde el cliente al servidor.
Puede crear hasta dos conexiones remotas simultaneas. Cada sesion que inicie es
independiente de otras sesiones de cliente y de la sesion de consola del servidor.
Cuando utilice Escritorio remoto para administracion para iniciar sesion en el servidor
remoto, ser como si hubiera iniciado sesion en el servidor localmente.
Escritorio remoto para administracion proporciona dos herramientas que puede
utilizar para administrar un servidor remoto: Conexion a Escritorio remoto y el
complemento Escritorios remotos.Cada instancia de la herramienta Conexion a
Escritorio remoto crea su propia ventana y permite administrar un servidor
remoto por ventana. Siempre inicia una nueva sesion en el servidor. Conexion a
Escritorio remoto es una aplicacion cliente que permite conectarse a un servidor
una vez que la herramienta Escritorio remoto para administracion este
habilitada en el servidor.
Administrar las conexiones a Escritorio remoto

Como administrador de sistemas, debe supervisar usuarios, sesiones y aplicaciones
en el servidor remoto y realizar varias tareas para administrar la conexion del
servidor.
Conexin a Escritorio Remoto

El servicio de cliente de Terminal llamado Remote Desktop Connection, (RDC)
provee substancial mejora sobre versions previas, incluyendo mayor funcionalidad
atraves de una interface simplificada de usuario.
RDC es el mismo programa que usa para conectar a Windows XP Professional
ejecutando Remote Desktop, y puede ser usado para conectar a versiones
previas de Terminal Services
Para usar RDC, tipee simplemente el nombre de la computadora remota y
seleccione Connect, como se muestra en la Figura1 debajo
334
Figura 1. Conectando a una computadora remota usando Remote Desktop Connection
Figura 2. Optimizando el rendimiento sobre las conecciones lentas

Cada sesion iniciada tiene su propia sesion de escritorio y su sesion de consola de
servidor. Puede configurar la cantidad de tiempo que las sesiones del equipo
cliente pueden permanecer activas en el servidor mediante la herramienta
Configuracion de Servicios del Terminal Server.
Debe establecer un tiempo de espera de sesion para estas conexiones porque
mientras una sesion este activa, contina consumiendo recursos valiosos del
servidor.
Cuando una sesion se desconecta pero no se cierra, seguira utilizando una de las
dos conexiones disponibles con el servidor. El cierre de una sesion finaliza la sesion
que se ejecuta en el servidor. Todas las aplicaciones que esten ejecutandose en la
sesion se cerraran y los datos que no se hayan guardado se perderan. Una vez
establecida una conexion con un servidor remoto, la conexin permanece abierta
hasta que se cierre. Cuando la sesion se desconecta, esta contina ejecutandose en
el servidor. El usuario puede volver a iniciar sesion en el servidor y reanudar dicha
sesion. La sesion permanece abierta hasta que el usuario o el administrador la
cierren o hasta que se alcance el tiempo de espera configurado.
I 335
Utilice la herramienta Configuracion de Servicios del Terminal Server para establecer

los tiempos de espera adecuados.
Dispone de las siguientes opciones para este parametro:
1. Finalizar una sesion desconectada Permite establecer el tiempo maximo que
una sesion desconectada permanece abierta en el servidor
2. Limite de sesion activa Permite establecer el tiempo maximo que una sesion
de usuario puede permanecer activa en el servidor
3. Limite de Sesion inactiva Permite establecer el tiempo que una sesion puede
estar inactiva antes de cerrarse.
Configuracin del Server para el soporte de usuarios

Puesto que todo el proceso de aplicaciones ocurre en el servidor, el Terminal
Server requiere normalmente ms recursos de servidor por usuario que una
computadora ejecutando Windows Server 2003. Asegurar que su servidor pueda
acomodar su base de usuario es crucial para determinar la manera en que el
funcionamiento del servidor Terminal Server debe soportar a usuarios. En adicin,
es necesario considerar los factores siguientes: configuracin del sistema,
dispositivos perifricos y caractersticas de usuario.
336
Configuracin del Sistema

Antes de instalar Terminal Server, considere las siguientes recomendaciones:
Tipo de servidor. Se recomienda instalar Terminal Server en un Member
Server y no en un Domain Controller. Instalar Terminal Server en un Domain
Controller puede obstaculizar el funcionamiento del servidor debido a la memoria
adicional, el trfico de la red y el tiempo de procesador que requiere realizar las
tareas de un Domain Controller en el dominio.
RAM. Generalmente, un Terminal Server requiere un adicional de 4 a 10 MB of
RAM para cada sesin terminal.
File system. Se recomienda instalar un Terminal Server en una particin
formateada con NTFS File System, ya que ste proporciona la seguridad para los
usuarios en un ambiente mltiple de sesin que tienen acceso a las mismas
estructuras de datos.
Dispositivos Perifricos
Los dispositivos perifricos pueden tambin afectar el funcionamiento del
Terminal Server:
Discos duros. La velocidad de disco es crtica para el funcionamiento del
Terminal Server. Small Computer System Interface (SCSI) disk drives,
especialmente dispositivos compatibles con SCSI y Scsi-2 rpidos, tienen un
rendimiento de procesamiento perceptiblemente mejor que otros tipos de discos.
Esto es menos importante en los sistemas que no almacenan User Profiles y datos
en el Terminal Server, pero s afectar el tiempo de carga del programa inicial.
Para un rendimiento ms alto de disco, es importante considerar el uso de SCSI
Redundant Array of Independent Disks (RAID) Controller. RAID Controller pone
automticamente los datos en discos mltiples para aumentar el rendimiento del
disco y para mejorar la confiabilidad de los datos.
Adaptador de red. El adaptador de red de alta-performance es recomendado,
especialmente si los usuarios requieren acceso a datos que se almacenan en los
servidores de red o ejecutan aplicaciones client/server. Usando adaptadores
mltiples, se puede aumentar perceptiblemente el throughput de la red, y
tambin se puede incrementar la seguridad del sistema en la separacin del
acceso de cliente de servicios back-end.
I 337
Caractersticas de Usuario
Los patrones de uso de los usuarios de
computadoras
pueden
tener
un
impacto
significativo en el funcionamiento de Terminal
Server.
La prueba de funcionamiento de Microsoft
simula a usuarios en las tres categoras
siguientes:
Data-entry worker. Estos trabajadores funcionan tpicamente con un solo
aplicativo que utilizan para la entrada de datos (por ejemplo, aplicaciones de
negocio escritos en Visual Basic.
Structured-Task worker. Estos trabajadores ejecutan uno o dos programas al
mismo tiempo. Los usuarios tpicos ejecutan los programas que exige el sistema
informtico no pesado (por ejemplo, un procesador de textos y un browser). Los
programas se abren y cierran con frecuencia.
Knowledge worker. Los trabajadores de conocimiento ejecutan tres o ms
programas simultneamente, y generalmente dejan los programas abiertos.
Knowledge workers tambin pueden ejecutar programas que exigen al sistema
intensamente (por ejemplo, queries detalladas en grandes bases de datos).
Instalando Terminal Server

Para instalar Terminal Server, se debe habilitar el componente Terminal Server
luego de la instalacin, usando el asistente de componentes de Windows . Usted
puede habilitar Terminal Server de dos modos: con Terminal Application Server o
Remote Desktop Administration. Este ltimo no requiere licenciar y permite
solamente tres conexiones. Terminal Server Licensing se puede instalar con
Terminal Server o por s mismo en una otra computadora. Cuando se instale
Terminal Server Licensing, se deber especificar si el servidor de licencias servir
al dominio, Workgroup o site.
Para habilitar Terminal Server (Application), el proceso se realiza mediante el
Wizard de Windows Components. En cambio, para habilitar Remote Desktop
Administration (Instalado por defecto) debe hacerlo desde las propiedades de
System lengeta "Remote" y seleccionar la opcin "Allow users to connect
remotely to this computer".
Terminal Server se habilita agregando el componente "Terminal Server" y usando
Componentes de Windows en Aadir y agregar componentes y despues en
componentes de windows Seleccionar Terminal Server, y despus hacer click
en Siguienete y
Aceptar la configuracin por defecto, y hacer click en
Siguiente.
Al finalizar la instalacin, hacer click en Finalizar.
338
Configurando Acceso de Usuario
Los usuarios que tienen cuentas en un Terminal Server se habilitan para iniciar sesin
en el servidor por defecto.
Para inhabilitar el proceso de conexin para un usuario, se debe limpiar el cuadro
Allow logon to Terminal Server en la lengeta Terminal Services Profile del
cuadro Properties para la cuenta del usuario, y luego hacer click en Apply. En esta
lengeta, Usted tambin puede especificar home directories y user profiles para los
usuarios.
I 339
Instalando Remote Desktop Connection

Remote Desktop Connection viene incluido en Windows XP y Windows Server 2003,
pudiendo tambin ser instalado en otras computadoras por varios mtodos.
Utilizando herramientas, por ejemplo Microsoft Systems Management Server o
Windows 2000 Group Policy usando publish/assign del Windows Installer-based RDC
(.msi).
Compartiendo la carpeta %systemroot%\system32\clients\tsclient\win32 en
Windows Server 2003. (Esto se puede hacer tambin con Windows 2000 Server.)
Instalando directamente desde el CD de Windows XP o Windows Server
2003, usando 'Perform Additional Tasks' del menu autoplay . (Esto no requiere la
instalacin del sistema operativo.)
Interfaz mejorada
Las sesiones remotas usando Remote Desktop Connection puden realizarse en highcolor y full-screen con una barra de conexin para permitir la conmutacin rpida
entre la sesin remota y el escritorio local. La conexin remota se puede modificar
para requisitos particulares y para satisfacer sus necesidades, con las opciones para
pantalla, recursos locales, programas y experiencia. La configuracin de experiencia
permite que Usted elija su velocidad de conexin y opciones grficas, por ejemplo
themes o menu y window animation para optimizar la performance de conexiones con
bajo ancho de banda.
Redireccin de recursos del Client
La redireccin de recursos est disponible para los clientes Windows Server 2003 o
Windows XP Professional, y ofrece una variedad de tpo's de datos a redirigir. Para
maximizar seguridad, cada tipo de redireccin puede ser habilitado o inhabilitado por
separado por el cliente o el servidor. Tambin se exhibe un alerta de seguridad
cuando se solicita una redireccin del sistema de archivos, puerto o una Smart Card,
habilitando al usuario para rechazar la redireccin o incluso cancelar la conexin si lo
desea.
Remote Desktop Connection habilita la regeneracin de audio (por ejemplo
notificaciones de "error" o "new mail", se pueden redireccionar al cliente).
Combinaciones de teclas, como Alt-Tab y Control-Escape, son enviadas a la sesin
remota por defecto, mientras que Control-Alt-Delete es mantenido siempre por la
computadora del cliente para mantener la seguridad del servidor. Informacin Time
Zone puede tambin redirigirse del servidor a los clientes, habilitando un servidor
para manejar usuarios mltiples a travs de diferentes Time Zones. Los programas
con caractersticas de calendario pueden aprovechar la redireccin de Time Zone.
Redireccion de File System
El copiado de archivos entre el cliente y el servidor es ms fcil. Los discos del
Cliente, locales y de red, ahora estn disponibles dentro de la sesin del servidor. Los
usuarios pueden tener acceso a sus propios discos locales y transferir los archivos
entre el cliente y el servidor sin tener que salir de la sesin remota.
Redireccion de puertos e impresoras
Impresoras locales y de red instaladas en el cliente estn disponibles en la sesin
remota, con nombres sencillos. Los puertos seriales del cliente pueden ser montados
de modo que el software en el servidor pueda tener acceso al hardware conectado.
Clientes que reconocen Smart Cards-Windows 2000, Windows XP, y Windows CE
.NET- pueden proporcionar credenciales de Smart Cards para el inicio de sesin a la
sesin remota en Windows Server 2003.
340
1.
2.
3.
4.
5.
6.
7.
8.
1.
2.
1.
2.
.Instalando aplicaciones en Terminal Server

Para hacer un aplicativo disponible para usuarios mltiples, una instalacin del
aplicativo debe copiar archivos de programa a una localizacin central en el servidor,
en lugar del Home Directory de los usuarios.
Nota: a los fines de seguridad, se recomienda instalar los aplicativos en una particin
NTFS.
Hay dos mtodos para instalar programas en un Terminal Server:
Usando Add/Remove Programs en el Control Panel o el comando Change
User del Command rompt. El primero ejecuta automticamente el comando Change
User, que es el mtodo preferido para instalar programas en un Terminal Server.
Para instalar un programa usando Add/Remove Programs, deber realizar
los siguientes pasos:
Iniciar sesin en el Terminal Server como administrador y cerrar todos los
programas.
Hacer Click en Start, Settings y despus en Control Panel.
En Control Panel, hacer doble-click en Add/Remove Programs.
Hacer Click en Add New Programs y despus en CD o Floppy.
Seleccionar el archivo de setup para el aplicativo, hacer doble-click en el
ejecutable, y despus hacer click en Next.
En la pgina Change User Option, verificar si est seleccionando All users
begin with common application settings.
Instalar el programa en el disco local segn las instrucciones del programa de
instalacin.
Seguir las instrucciones en el wizard para finalizar la instalacin.
Usando el comando Change User, solamente cuando no se pueda instalar el
aplicativo usando Add/Remove Programs.
Para instalar un programa usando el comando Change User, deber realizar
los siguientes pasos:
Iniciar sesin en el Terminal Server como administrador y cerrar todos los
programas.
En una ventana de lnea de comandos, ingresar change user /install y despus
presionar ENTER.
Instalar el programa en el disco local segn las instrucciones del programa de
instalacin.
En una ventana de lnea de comandos, ingresar change user /execute cuando la
instalacin se complete.
I 341
2. Administracin Remota con Remote Desktop

Remote Desktop para administracin incluye las siguientes caractersticas y
ventajas:
Administracin grfica de servidores Windows Server 2003 y Windows 2000 desde
cualquier cliente Terminal Services. (Los clientes estn disponibles para las
computadoras que funcionen con Windows for Workgroups, Windows 95, Windows 98,
Windows CE 2.11, Windows CE.NET, Windows NT, Windows 2000, Windows XP
Professional, y Macintosh OS-X.)
Actualizaciones remotas, reinicio y promocin / desmonte de Domain Controllers.
Acceso a los servidores, utilizando conexiones de bajo ancho de banda, hasta con
128-bit de encripcin.
Instalacin y ejecucin remota de aplicaciones, con el acceso rpido a los discos
locales y a los medios (Por ejemplo, cuando se copian archivos grandes y virus
scans).
Posibilidad que dos administradores remotos puedan compartir una sesin para los
propsitos de colaboracin.
Remote Desktop Protocol (RDP). Esto incluye la impresin local y de red, redireccin
de File System, mapeo del clipboard (cut, copy y paste), redireccin de Smart Card,
redireccin de dispositivos serie, y soporte para cualquier programa de canal virtual
RDP.
2.1. Integrando Terminal Services
El componente Terminal Services de la familia Windows Server 2003 se integra
firmemente en el kernel y est disponible en cada instalacin de Windows Server
2003. Habilitar Remote Desktop for Administration no requiere espacio de disco
adicional y tiene un impacto mnimo en la performance. Solo se necesitan alrededor
de 2 megabytes (MB) de la memoria del servidor, con un impacto insignificante en el
uso de la CPU. La performance se afecta nicamente cuando se inicia una sesin
remota, similar en costo a la consola.
Es por estas razones que Microsoft recomienda habilitar Remote Desktop for
Administration en cada computadora y Domain Controller Windows Server 2003. Esto
proporcionar flexibilidad y sensibilidad sustanciales en la administracin de los
servidores de una organizacin, sin importar su localizacin.
2.2. Prctica 1: Habilitando Remote Desktop for Administration
Terminal Server y Remote Desktop for Administration ahora se configuran por
separado en Windows Server 2003, proporcionando opciones ms flexibles para la
administracin.
Remote Desktop for Administration
Remote Desktop for Administration es instalado por defecto en Windows Server 2003,
pero por razones de seguridad viene preconfigurado como deshabilitado. Se puede
habilitar con System en el control panel.
Adems de las dos sesiones virtuales que estn disponibles en Windows 2000
Terminal Services Remote Administration mode, un administrador puede tambin
conectarse remotamente con la consola verdadera de un servidor, a travs de Remote
Desktop for Administration en Windows Server 2003. Herramientas que antes no
funcionaran en una sesin virtual, porque ellas interactuaban con la 'session 0', ahora
funcionan remotamente.
342
Para habilitar Remote Desktop for Administration deber:

1. En el control panel, hacer doble-click en System.
2. Hacer click en la lengeta Remote, y despus seleccionar el cuadro Allow users to
connect remotely to this computer.
3. Hacer click en Apply y despus en OK.
Para realizar una conexin al Servidor deber:
1. Iniciar sesin normalmente en otro equipo con Windows XP Windows Server 2003.
2. En Start, Run, ingresar mstsc.exe y despus presionar ENTER.
3. En el cuadro Computer, ingresar el nombre del servidor al cual desea conectarse y
despus presionar ENTER.
Para realizar una conexin a la consola deber:
1. Iniciar sesin normalmente en otro equipo con Windows XP Windows Server 2003.
2. En Start Run, ingresar mstsc.exe /console /v:nombredelserver, y despus
presionar ENTER.
3. Verificar si luego de iniciar la sesin de consola el servidor al cual Usted se conect,
ha bloqueado la sesin activa.
Recuerde: Para realizar esta prctica debe tener al menos dos equipos, ya que es
imposible conectar la consola dentro de la misma sesin.
I 343
Herramientas de Administracin
A continuacin, una muestra limitada de las herramientas de administracin que
pueden ayudarle a manejar sesiones remotas:
Conectar con la consola

Para conectar con la consola, los administradores pueden elegir uno de los mtodos
siguientes:
Utilizar Remote Desktop Microsoft Management Console (MMC) snap-in.
Ejecutar el programa Remote Desktop Connection (mstsc.exe) con el switch
/console.
Crear pginas Remote Desktop Web Connection con la propiedad
ConnectToServerConsole.
Terminal Services Group Policy

Group Policy puede ser utilizado para administrar Terminal Services para las
computadoras que ejecuten sistemas operativos Windows Server. Terminal Services
Group Policies puede configurar conexin de Terminal Services, de User Policies y de
Terminal Server Clusters, y administrar sesiones Terminal Services.
Remote Desktops MMC

La consola Remote Desktops Microsoft Management Console (MMC) Snap-in habilita a
administradores a configurar mltiples conexiones Terminal Services. Es til tambin
para manejar muchos servidores que ejecuten Windows Server 2003 Family o
Windows 2000 Server.
Una exhibicin navegable del rbol permite que los administradores vean, controlen y
cambien rpidamente entre las sesiones mltiples de una sola ventana. Como con la
herramienta Remote Desktop Connection, las computadoras remotas tambin se
pueden configurar para ejecutar programas especficos sobre la conexin, y para
redireccionar discos locales en la sesin remota. La informacin de logon y el rea de
pantalla del cliente se pueden configurar en el snap-in. Asimismo, los administradores
pueden crear conexiones remotas a la sesin de consola de una computadora
Windows Server Operating Systems.
344
Terminal Services Manager

Esta utilidad, tsadmin.exe, se utiliza para administrar usuarios Terminal Services,
sesiones y procesos en cualquier servidor de la red ejecutando Terminal Services.
Usando esta herramienta, Usted puede conectar y desconectar, cerrar sesin,
resetear y controlar remotamente sesiones. Tambin puede utilizarla para conectarse
con otros servidores en dominios confiados, manejar sesiones sobre un servidor
remoto, enviar mensajes a los usuarios o cerrar sesiones y terminar procesos.
Terminal Services Configuration

Esta utilidad, tscc.msc, se utiliza para cambiar la configuracin de la encripcin por
defecto, y para configurar timeouts de reset y disconnect. Para configurar timeouts de
reset y disconnect para cuentas individuales, se debe utilizar la lengeta de las
sesiones en el cuadro Account Properties del usuario. Muchas de las configuraciones
se pueden fijar tambin con Terminal Services Group Policy o Windows Management
Instrumentation. En ese caso, la configuracin de Terminal Services se sobrescribe.
Event Viewer
Use Event Viewer, eventvwr.msc, para buscar los acontecimientos que pudieron haber
ocurrido como dialogos pop-up en la consola del servidor.
Command-line Utilities
Command-line utilities incluye lo siguiente:
Query User. Esta es una utilidad de lnea de comando, quser, listas usuarios activos
y desconectados.
Disconnect. Esta utilidad de lnea de comando, tsdiscon, desconecta la sesin. Un
procedimiento anlogo apaga el monitor mientras que deja funcionando de la
computadora. Desconectar, es tambin accesible con Start/Shutdown. Para volver a
conectar a la sesin, inciela simplemente al servidor, otra vez con el mismo usuario
desde Remote Desktop Connection.
Terminal Server como Servidor de Aplicaciones

El componente Terminal Services de Windows Server 2003 se estructura en la
fundacin slida proporcionada por Application Server Mode en Windows 2000
Terminal Services, e incluye las nuevas capacidades del cliente y del protocolo en
Windows XP. Terminal Services le deja entregar vitrtualmente, aplicaciones basadas
en Windows o el escritorio de Windows, a cualquier dispositivo, incluyendo los que no
pueden ejecutar Windows.
Terminal Services en Windows Server 2003 puede mejorar las capacidades de
instalacin del software de una empresa para una variedad de escenarios, habilitando
flexibilidad sustancial en infraestructura y administracin de aplicativos. Cuando un
usuario ejecuta un aplicativo en Terminal Server, la ejecucin del aplicativo ocurre en
el servidor, y solamente la informacin de teclado, mouse y display es trasmitida en
la red. Cada usuario ve solamente su sesin individual, la cual es manejada en forma
transparente por el sistema operativo del servidor, y es independiente de cualquier
otra sesin de cliente.
I 345
Beneficios
Terminal Services en Windows Server 2003 proporciona tres importantes beneficios.
Beneficio
Descripcin
Instalacin
rpida y
centralizada
de
aplicaciones.
Terminal Server es ptimo para instalar rpidamente

aplicaciones basadas en Windows a travs de la empresa,
especialmente aplicaciones que se actualizan con frecuencia,
que se utilizan con frecuencia o de administracin difcil.
Terminal Server reduce considerablemente el ancho de

banda requerido en la red para tener acceso a datos
Acceso a datos
remotamente. Usando Terminal Server para ejecutar un
utilizando
aplicativo sobre conexiones de bajo ancho de banda, por
conexiones de
ejemplo dial-up o Links WAN compartidos, resulta muy
bajo ancho de
eficaz para tener acceso remotamente y manipular grandes
banda
cantidades de datos, dado que solamente se transmite la
pantalla de datos, en lugar de los datos en s mismos.
Windows
dondequiera
Terminal Server ayuda a que los usuarios sean ms

productivos, permitiendo el acceso a los programas actuales
en cualquier dispositivo.
Caractersticas Adicionales de administracin

Las caractersticas siguientes mejoran la flexibilidad de Terminal Services en Windows
Server 2003:
Group Policy. Group Policy puede ser utilizado para controlar las propiedades de
Terminal Services. Esto habilita la configuracin de grupos de servidores
simultneamente, incluyendo la configuracin para las nuevas caractersticas, por
ejemplo per-computer Terminal Services profile path, y deshabilitando el wallpaper
mientras que est conectado remotamente.
Windows Management Interface Provider. Un proveedor completo de Windows
Management Instrumentation (WMI) habilita la configuracin por medio de scripts de
Terminal Services. Un nmero de alias de WMI son incluidos para proveer un simple
front end de tareas frecuentes, usando WMI.
Printer Management. La administracin de impresoras se ha mejorado de las
siguientes maneras:
El mapeo de Printer driver se ha realzado.
Cuando un driver no machea con el cliente, es confiado un Driver Path que permite
especificar otro standard printer drivers, el cual se agrega en los Terminal Servers.
La corriente de la impresin se comprime para mejorar la performance en enlaces
lentos entre un servidor y un cliente.
Terminal Services Manager
Terminal Services Manager mejorado, habilita una administracin ms fcil de
grandes arrays de servers, reduciendo la enumeracin automtica del servidor. Esto
da acceso directo a los servidores arbitrados por nombre, y provee una lista de
servidores preferidos.
346
Terminal Server License Manager

El Terminal Server License Manager se ha mejorado dramticamente para hacer ms
fcil activar un Terminal Server License Server, y asignarle las licencias.
Single Session Policy
Configurando Single Session Policy se permite al administrador limitar usuarios a una
sola sesin, sin importar si est activo o no (lo mismo que a travs de una granja de
servidores).
Client Error Messages
Ms de 40 nuevos mensajes de error de cliente hacen ms fcil diagnosticar
problemas de la conexin del cliente.
Mejoras en la Seguridad
El modelo de acceso a Terminal Server ahora se conforma mejor con los paradigmas
de administracin de Windows Server.
Remote Desktop Users Group
En vez de agregar a usuarios a una lista en Terminal Services Connection
Configuration (TSCC) Program, Usted simplemente los har miembros del grupo
Remote Desktop Users (RDU). Por ejemplo, el administrador puede agregar el grupo
"Everyone" al grupo RDU para permitir que todos tengan acceso al Terminal Server.
Usar un grupo verdadero de NT tambin significa que el acceso a Terminal Servers
puede ser controlado a travs Group Policy en grupos de servidores.
Security Policy Editor
Para configuraciones adicionales en Terminal Services, los derechos de usuario se
pueden asignar a los usuarios o a los grupos individuales, usando el Security Policy
Editor. Haciendo esto, Usted le da a los usuarios la habilidad de iniciar sesin al
Terminal Server, sin tener que ser un miembro del grupo Remote Desktop Users
descrito arriba.
128-Bit Encryption
Por defecto, las conexiones a Terminal Servers se aseguran con 128-bit, bi-direccional
RC4 encryption, cuando est utilizando un cliente que soporta 128-bit. (RDC es 128bit por defecto). Es posible conectar clientes ms viejos con encripcin mas baja de
128-bit, a menos que se especifique que solamente los clientes high-encryption estn
habilitados.
Software Restriction Policies
Las polticas de restriccin de software en Windows Server 2003 habilitan a los
administradores a utilizar Group Policy para simplificar el locking down de Terminal
Servers, solamente permitiendo que ciertos programas sean ejecutados por los
usuarios especificados.
Para obtener mas informacin:
Esta caracterstica de Windows sustituye la herramienta AppSec (Application
Security), utilizada en versiones anteriores de Terminal Services.
I 347
Directorio de Sesin
Terminal Servers puede ser organizado en "granjas." Esta configuracin permite
clusters de load-balancing de computadoras para ofrecer a sus usuarios un servicio de
fault-tolerant.
La nueva caracterstica Session Directory en Terminal Services habilita a los usuarios
a reconectar una sesin especifica desconectada dentro de la granja, dirigindose a
un servidor cargado cuando se conectan.
El Session Directory puede utilizar el servicio Windows Load Balancing o un Load
Balancer de terceras partes, y el servicio puede funcionar en cualquier computadora
ejecutando Windows Server 2003. Sin embargo, los miembros de la granja de
Terminal Server deben ejecutar Windows Server 2003, Enterprise Edition.
Windows System Resource Manager
Windows Server 2003 introduce un nuevo producto, que no viene con el CD de
Windows Server 2003. Esta herramienta es compatible solamente con las versiones
Enterprise y Datacenter.
Windows System Resource Manager (WSRM), permite administrar recursos de
hardware, por ejemplo memoria y procesador, asignndole a los usuarios los recursos
preestablecidos. De esta forma, Usted puede evitar que un usuario consuma recursos
por dems, ejecutando tareas innecesarias o procesos mltiples, sin limite de
recursos. Tambin puede asignar a los recursos un schedule de horarios, por ejemplo,
asignar durante el da una cantidad de recursos limitada y en horarios nocturnos, un
limite superior o sin limite segn sea el caso.
348

Windows Server 2003

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Windows Server 2003

Cargado por

Copyright:

Formatos disponibles

Indice del Contenido

Instalacion de Windows Server 2003

Familia Windows 2003 Server

Active Directory en Windows Server 2003

Server 2003 y Active Directory:

Creacion de Usuarios y Grupos

Usuarios y equipos Active Directory

Gestin de Recursos en la red: Seguridad de Permisos, carpetas compartidas

Administracion atravez de MMC

Gestin de Operaciones Cotidianas y D.F.S.

Politicas de Grupo GPOs

Polticas de seguridad y Directivas de Grupo (G.P.O.)

TCP/IP en Windows Server 2003

TCP/IP con Windows Server 2003

DHCP Dynamic Host Configuration

Servidores DHCP (Dynamic Host Configuration Protocol)

DNS Domain Name System

WINS Windows Internet Name System

IIS Internet Information Server 6.0

Servidores Web , servicios de IIS 6

Monitoreo y Rendimiento con Performance Monitor

Implemetacion y Administracion Remota

Monitoreo y Rendimiento con Performance Monitor

Windows Server 2003 incluye toda la funcionalidad que el cliente espera de un

Funciones del Servidor

Servidor de archivos e impresin.

Servidor Web y aplicaciones Web.

Servidor de acceso remoto/red privada virtual (VPN).

Servicio de directorio, Sistema de dominio (DNS), y servidor DHCP.

Servidor de transmisin de multimedia en tiempo real (Streaming).

Servidor de infraestructura para aplicaciones de negocios en lnea (tales como

Windows Server 2003 cuenta con cuatro beneficios principales:

Proporcionar una infraestructura integrada que ayuda a asegurar que su

Proporcionar fiabilidad, disponibilidad, y escalabilidad para que usted pueda

Proporcionar herramientas flexibles que ayuden a ajustar su diseo e

Proporcionar una gua preceptiva y de fcil uso para soluciones que

Tecnologas Bsicas de Windows Server 2003

Disponibilidad Windows Server 2003 ofrece una disponibilidad mejorada

La familia de Windows Server 2003 soporta clusters de servidor de hasta 8 nodos. Si

Escalabilidad Windows Server 2003 ofrece escalabilidad a travs de "Scale-up",

habilitado por multiprocesamiento simtrico (SMP) y "Scale-out", habilitado por

combinar redes internas, externas y sitios de Internet. Como resultado de esto, el

El tiempo de ejecucin Esta funcin del software es un elemento clave de

Internet Information Services 6.0 Para incrementar la seguridad del

Servicios de impresin y archivos En el corazn de cualquier

Active Directory Active Directory es un servicio de directorio de la familia de

Servicios Web XML IIS 6.0 es un componente importante de la familia

Comunicaciones y redes Las comunicaciones y redes nunca han sido tan

crticas para las organizaciones que enfrentan el reto de competir en el mercado

La instalacion y configuracion de Windows Server 2003 es similar al proceso de

NUEVO ASISTENTE PARA INSTALACION

ASISTENTE PARA LA INSTALACION

Antes de instalar Windows Server 2003, complete las siguientes tareas:

INSTALANDO DESDE EL COMPACT DISC

La instalacin de Windows Server 2003 desde compact disc implica encender la

FUNCIONAMIENTO DEL PROGRAMA DE INSTALACION

Para comenzar la instalacin hay que apagar la computadora, insertar el CD-ROM en la

Crear una nueva particin en un disco duro no particionado. Si el disco duro no

WIZARD DE INSTALACION DE WINDOWS SERVER 2003

Permite crear y solicitar certificados digitales para la Autentificacin X.509

Permite enviar y recibir faxes desde su computadora.

Soporta aplicaciones que envan mensajes a las colas. Tambin permite

Permite la instalacin remota de Windows XP Professional, Windows 2000 y

Permite que el usuario utilice las libreras de cintas como extensiones de