Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pgina 1 de 17
Esta gua es una introduccin a la administracin del servicio Active Directory y del complemento Usuarios y equipos de Active Directory de Windows Server 2003. En esta pgina Introduccin Introduccin Usar el complemento Dominios y confianzas de Active Directory Usar el complemento Usuarios y equipos de Active Directory Recursos adicionales
Introduccin
Guas detalladas
Las guas detalladas de desarrollo de Microsoft Windows Server 2003 proporcionan experiencia prctica para muchas configuraciones de sistemas operativos. Las guas comienzan estableciendo una infraestructura de red comn a travs de la instalacin de Windows Server 2003, la configuracin de Active Directory, la instalacin de una estacin de trabajo Windows XP Professional y, por ltimo, la incorporacin de esta estacin de trabajo a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red comn. Si no desea seguir esta infraestructura de red comn, tendr que efectuar las modificaciones pertinentes mientras utiliza estas guas. La infraestructura de red comn requiere que se sigan las instrucciones de las guas siguientes.
Parte I: Instalar Windows Server 2003 como un controlador de dominio Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio
Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas detalladas adicionales. Tenga en cuenta que algunas guas detalladas pueden tener requisitos previos adicionales adems de los requisitos de infraestructura de red comn. Todos los requisitos adicionales se indicarn en la gua detallada especfica.
Microsoft Virtual PC
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio fsico o mediante tecnologas de creacin de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina virtual permite a los usuarios ejecutar varios sistemas operativos simultneamente en un nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones heredadas y los escenarios de consolidacin de servidores. En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarn en un entorno de laboratorio fsico, aunque la mayora de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas. La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y datos mencionados aqu son ficticios. No se pretende indicar, ni debe deducirse ninguna relacin con compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares o datos reales. Esta infraestructura comn est concebida para su uso en una red privada. El nombre ficticio de la compaa y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura comn no
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 2 de 17
estn registrados para su uso en Internet. No debe utilizar estos nombres en una red pblica ni en Internet. El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es mostrar cmo funciona la administracin de cambios y configuracin de Windows Server 2003 con Active Directory. No se ha diseado como un modelo para configurar Active Directory en una organizacin.
Principio de la pgina
Introduccin
Esta gua es una introduccin a la administracin del servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administracin del servicio de directorio. Puede utilizar las herramientas estndar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administracin nicas. Puede combinar varias herramientas en una nica consola. Tambin puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas especficas. Las herramientas administrativas de Active Directory slo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory estn disponibles en el men Herramientas administrativas:
Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory
Tambin puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administracin de Windows Server 2003. El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No est disponible de forma predeterminada en el men Herramientas administrativas y debe agregarse manualmente. Para los administradores avanzados y los especialistas de soporte tcnico de redes, existen muchas herramientas de lnea de comandos que pueden utilizar para configurar, administrar y solucionar problemas de Active Directory. Tambin puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalacin del sistema operativo se incluyen varias secuencias de comandos de ejemplo.
Requisitos previos
Parte 1: Instalar Windows Server 2003 como un controlador de dominio Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio Gua detallada de configuracin de controladores de dominio adicionales
En servidores independientes con Windows Server 2003 o estaciones de trabajo Windows XP Professional, las herramientas administrativas de Active Directory son opcionales. Puede instalarlas desde Agregar o quitar programas en el Panel de control, con el Asistente para componentes de Windows o desde el ADMINPAK incluido el CD de Windows Server 2003.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 3 de 17
Principio de la pgina
El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fcil de usar para que los usuarios inicien sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al que tambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer rbol del bosque. En sta y en las dems guas detalladas de esta serie, el sufijo UPN predeterminado es contoso.com. Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesin. Tambin puede simplificar los nombres de inicio de sesin de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN slo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre vlido de dominio DNS. Para agregar sufijos UPN adicionales 1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botn secundario del mouse (ratn) en l y, a continuacin, haga clic en Propiedades. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar. Haga clic en Aceptar para cerrar la ventana.
2.
3.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 4 de 17
el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, slo est disponible un subconjunto de las caractersticas de Active Directory para todo el dominio y todo el bosque. El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos ni historial de Id. de seguridad (SID). Cuando el dominio est establecido en modo nativo, se pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque. Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrn incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrn agregar a dicho dominio. La funcionalidad de dominio habilita caractersticas que afectan a todo el dominio y slo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opcin predeterminada), Windows 2000 nativo, Windows Server 2003 versin provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto. Para elevar la funcionalidad del dominio 1. Haga clic con el botn secundario del mouse en el objeto de dominio (en el ejemplo, contoso.com) y, a continuacin, haga clic en Elevar el nivel funcional del dominio. En la lista desplegable Seleccione un nivel funcional del dominio disponible, seleccione Windows Server 2003 y, a continuacin, haga clic en Elevar. Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de nuevo en Aceptar para finalizar el proceso. Cierre la ventana Dominios y confianzas de Active Directory.
2.
3.
4.
Principio de la pgina
2.
En la Figura 2 se muestran los componentes clave del complemento Usuarios y equipos de Active Directory.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 5 de 17
Equipos
Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre stos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versin anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos. Contiene informacin de sistemas y servicios de Active Directory.
Sistema
Usuarios
Contiene todos los usuarios del dominio. En una actualizacin, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.
Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Usuario Descripcin Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso. Un objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar sesin como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrnico. Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, sta es la cuenta de equipo. Las unidades organizativas se utilizan como contenedores para organizar de manera lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administracin de cantidades grandes de objetos. Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio. Una impresora compartida es una impresora de red que se ha publicado en el directorio.
Contacto
Equipo
Unidad organizativa
Grupo
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 6 de 17
sustituya Contoso.com. Para agregar una unidad organizativa 1. 2. 3. Haga clic en el signo + situado junto a Cuentas para expandirlo. Haga clic con el botn secundario del mouse en Cuentas. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construccin como el nombre de la nueva unidad organizativa y, a continuacin, haga clic en Aceptar.
Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes:
Unidad organizativa Ingeniera bajo Cuentas. Unidad organizativa Fabricacin bajo Cuentas. Unidad organizativa Consumidor bajo la unidad organizativa Fabricacin. (Para ello, haga clic con el botn secundario del mouse en Fabricacin, seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.) Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricacin. Haga clic en Fabricacin para que su contenido se muestre en el panel de la derecha.
2.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 7 de 17
3. 4.
Haga clic en Siguiente para continuar. Escriba pass#word1 en los cuadros Contrasea y Confirmar contrasea y, despus, haga clic en Siguiente. Nota: a menudo, el papel que desempean las contraseas en la proteccin de la red de una organizacin se subestima y no se tiene en cuenta. Las contraseas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organizacin. La familia Windows Server 2003 dispone de una nueva caracterstica que requiere contraseas complejas para todas las cuentas de usuario de nueva creacin. Para obtener informacin sobre esta caracterstica, consulte la gua detallada de configuracin de directivas de contrasea.
5.
Acaba de crear una cuenta para Juan Garca en la unidad organizativa Construccin. Para agregar informacin adicional sobre este usuario 1. Seleccione Construccin en el panel de la izquierda, haga clic con el botn secundario del mouse en Juan Garca en el panel de la derecha y, a continuacin, haga clic en Propiedades. Agregue ms informacin sobre el usuario en el cuadro de dilogo Propiedades en la ficha General como se muestra en la Figura 5 y, a continuacin, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la informacin opcional del usuario que se puede definir.
2.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 8 de 17
2.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 9 de 17
3.
Crear un grupo
Para crear un grupo 1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, haga clic en Nuevo y despus en Grupo. En el cuadro de dilogo Nuevo objeto Grupo, escriba Herramientas para el nombre. Revise el tipo y el mbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuracin predeterminada y, a continuacin, haga clic en Aceptar para crear el grupo Herramientas.
2. 3.
El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribucin se pueden utilizar para confeccionar listas de distribucin de correo electrnico. El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede contener el grupo. mbito Dominio local Global Universal Visibilidad Dominio Bosque Bosque Puede contener Grupos Usuario, Dominio local, Global o Universal Grupos Usuarios o Global Grupos Usuarios, Global o Universal
3. 4.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 10 de 17
5.
En la pantalla Propiedades de herramientas, compruebe que Juan Garca es un miembro del grupo de seguridad Herramientas y, despus, haga clic en Aceptar.
2.
3.
2.
3.
4.
5.
Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido.
2.
3.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 11 de 17
Nota: cuando se rellene la carpeta compartida ES, su contenido estar disponible a los usuarios finales mediante bsquedas en el directorio. Los usuarios pueden asignar tambin este recurso compartido como una unidad de red. 4. Cierre el cuadro de dilogo Buscar carpetas compartidas.
2.
3.
4.
5.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 12 de 17
archivo y, despus, haga clic en Siguiente. 6. En la pgina Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuacin, haga clic en Siguiente. Para Ubicacin en la pgina Ubicacin y comentario, escriba Oficinas centrales Edificio 4 Oficina 2200. Haga clic en Siguiente para continuar. Haga clic en Siguiente para imprimir una pgina de prueba y, despus, haga clic en Finalizar para completar la instalacin. Cuando se le indique, escriba Impresin de prueba como nombre del archivo para la pgina de prueba de la impresora. Cuando termine, haga clic en Aceptar.
7.
8.
9.
3. 4.
5.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 13 de 17
Active Directory
7. 8.
Haga clic en Finalizar para completar la instalacin de la impresora. Cierre la ventana Impresoras y faxes.
Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 o Windows XP en Active Directory. La manera ms sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque tambin se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandos publicar todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32.
2. 3.
Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active Directory
1. Haga clic con el botn secundario del mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y despus en Impresora. Aparece el cuadro de dilogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido y, a continuacin, haga clic en Siguiente.
2.
Los usuarios finales podrn realizar operaciones perfectamente integradas desde las impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar los controladores de impresora directamente desde el servidor.
2. 3.
4.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 14 de 17
De forma opcional, es posible seleccionar a qu usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio.
3.
4.
Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidad organizativa Recursos.
2.
3.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 15 de 17
Controladores de dominio. 4. Haga clic con el botn secundario del mouse en HQ-CON-DC-02 y, despus, haga clic en Administrar. El sistema se puede administrar ahora de forma remota, como se ilustra en la Figura 11.
Figura 11. Administrar un equipo de forma remota Ver la imagen a tamao completo
5.
Grupos anidados
Los grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamento con un mantenimiento mnimo. Colocar cada grupo de cuentas de equipo en un nico grupo de recursos de toda la empresa no es una solucin eficaz, ya que para ello es necesario crear y mantener un gran nmero de vnculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de cuentas que representan las divisiones administrativas de la empresa. Por ejemplo, el grupo de cuentas superior podra llamarse "Todos los empleados", y estara asociado a un grupo de recursos que otorga acceso a los recursos y a los directorios compartidos. El siguiente nivel podra contener grupos de cuentas que representaran las principales divisiones de la empresa. Cada grupo de este nivel es miembro de Todos los empleados y est asociado a un grupo de recursos que otorga acceso a los recursos compartidos y a otros recursos pertinentes de la divisin que representa. Dentro de una divisin, el siguiente nivel de grupos de cuentas podra representar los departamentos. Los recursos compartidos del departamento podran incluir calendarios de proyectos, calendarios de reuniones, calendarios de vacaciones o cualquier otra informacin de red pertinente a todo el departamento. Los grupos de cuentas de departamento son todos miembros del grupo de cuentas de divisin. Dentro de un departamento, la estructura de administracin puede organizarse en grupos de seguridad en cualquier nivel necesario de especificidad. stos podran ser grupos de cuentas de equipo que representaran nodos secundarios del rbol jerrquico de la organizacin. Con esta jerarqua de grupos establecida, puede asignar a un nuevo empleado acceso inmediato a los recursos del equipo, del departamento, de la divisin y de la compaa en su totalidad colocando al empleado en un grupo de cuentas de equipo. Este sistema admite el principio de mnimo acceso, ya que el nuevo empleado no puede ver los recursos de los equipos contiguos, de otros departamentos o de otras divisiones.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 16 de 17
2. 3. 4.
5.
6. 7.
8.
2.
3.
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008
Pgina 17 de 17
4.
2. 3.
4.
5.
Principio de la pgina
Recursos adicionales
Para obtener ms informacin, consulte los siguientes recursos:
Conceptos de diseo de Active Directory en http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/enus/dpgdss_overview.asp (en ingls) Soluciones de Microsoft para la administracin: Gua de operaciones para administrar el servicio de directorio Active Directory en la plataforma Windows Server en http://www.microsoft.com/downloads/details.aspx?familyid=84dfe61e-fb7b-4673-89b855bcc801b431&displaylang=en (en ingls) Para obtener la informacin ms reciente sobre Windows Server 2003, consulte el sitio Web de Windows Server 2003 en http://www.microsoft.com/windowsserver2003
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ad...
17/03/2008