Está en la página 1de 11

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO

Profesor: Luis Alfonso Jimnez Piedrahita

Dominios
Hasta el momento hemos visto a Windows Server 2008 como una estacin de trabajo o equipo independiente en la
Red. De ahora en adelante lo vamos a ver en la faceta de servidor.
En este orden de ideas, vamos a comenzar con la definicin de lo que es un Directorio Activo.
Directorio Activo Active Directory (AD)

Introduccin a Directorio Activo

El directorio activo lo podemos definir con una estructura en rbol en donde el sistema operativo permite administrar
todos los elementos que componen la Red de una empresa, es un lugar similar a un directorio telefnico en donde
vamos a encontrar todos los objetos relacionados con la Red.
Toda esta informacin se almacena en una Base de Datos Central de tal forma que los administradores pueden
utilizar esta informacin para establecer polticas de acceso a los recursos de la Red.
El directorio activo se utilizar para administrar todos los recursos pblicos localizados en la Red.

Caracterstica

El directorio activo se caracteriza por lo siguiente:

Escalabilidad
Puede crecer y soportar un elevado nmero de objetos
Integracin con el DNS
Los nombres de dominio son nombres DNS y tienen que estar registrados en l
Active Directory usa DNS como servicio de nombres y de localizacin
Es necesario instalar DNS antes de poder instalar Active Directory
Extensible
Permite personalizar las Clase s y objetos que estn definidas dentro de Active Directory segn las
necesidades propias
Seguridad
Incorpora las caractersticas de seguridad de W2008-Server, por ejemplo, se puede controlar el acceso a
cada objeto
Multimaestro
No distingue entre controladores de dominio primarios o secundarios
Cualquier controlador de dominio puede procesar cambios del directorio
- Las actualizaciones o modificaciones realizadas en un controlador se replican al resto, siendo todos iguales
Flexible
- Permite reflejar la organizacin lgica y fsica de la empresa u organizacin donde se instala
- Permite que varios dominios se conecten en una estructura de rbol o de bosque

Definicin de Dominio.

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

En las redes actuales, con la aparicin de los nuevos sistemas operativos para redes, aparecen nuevos conceptos,
estos conceptos revolucionan el mundo de las redes y debemos adoptarlos y hacer uso de ellos en nuestras
funciones diarias.
Uno de los conceptos nuevos es Dominio. Resulta que el Dominio es un nombre con el cual identificamos la Red de
una empresa. Recordemos que un Red est conformado por el Servidor, las estaciones de trabajo, usuarios,
impresoras, el mismo sistema operativo, etc. Todo lo anterior estara referenciado por un nombre y ese nombre es
el Dominio.
Entonces, los Dominios en la actualidad, fuera de representar el nombre de una Red corporativa, hace referencia en
Internet a un Servidor que aloja un Sitio Web(Web Site) al cual accedemos desde Internet, bsicamente el nombre
del Dominio de una Red corporativa es igual al nombre o Sitio Web en Internet de la misma empresa. De todas
formas no es necesario que sean iguales, se puede tener un Dominio diferente en Internet y otro diferente para la
Red corporativa.

Composicin de los Nombres de Dominio.

Los nombres de Dominio tiene la siguiente estructura de nombres:


Nombre: es el nombre que le vamos a dar al Dominio.
Clase de Dominio: es una identificacin que se hace a nivel mundial utiliza para clasificar los diferentes tipos de
Dominios, en la actualidad existen diversos tipos de Dominio como por ejemplo:
Clase de Dominio
.es
.eu
.ru
.mx
.co
.edu
.gov y .gob
.mil
.net
.fm
.tv

Utilizacin
Para servicios de Espaa
Regin de Europa
Servicios en Rusia
Servicios en Mxico
Servicios en Colombia
Orientado al sector de la educacin
Referente a sitios del Gobierno y entidades publicas
Ejrcito Americano
Servicios de Red
Estaciones de Radio
Estaciones de Televisin

Sufijo del Pas: es parte de la Clase de Dominio y algunos de ellos son utilizados como sufijo indicador del pas al
cual pertenece el Dominio.
Ejemplo de nombres de Dominios.
Nombre
Cocacola
ElColombiano
Cesde
Eafit

Clase de Dominio
.Com
.Com
.Edu
.Edu

Sufijo Pas
Ninguno
.co (Opcional)
.co
.co

Para solo colocar algunos, existe un Dominio que se llama .Local, el cual resulta de no colocarle la Clase de Dominio
al Dominio, entonces lo que hace el sistema operativo es que le coloca el .Local.
Ejemplo:
EmpresaXYZ.local

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

Microsoft recomienda colocarle la Clase de Dominio al Dominio de la Red corporativa, ya que podra convertirse en
algn momento en un Servidor Conectado a Internet y por ende, ser un Web Site o Sitio Web.
La nica diferencia que vamos a encontrar entre un Dominio de Internet con un Dominio Empresarial es el hecho de
que el Dominio de Internet comienza con WWW y el de la empresa o Red no.
Podemos entonces representa un Dominio de la siguiente forma o figura:

Dominio A
Dominio B

Cada una de las figuras anteriores representa un Dominio, segn esto, entonces tendramos dos Dominios Dominio A y
Dominio B.
Otro de los trminos que debemos entender es el de Controlador de Dominio, es la figura central de la Red, es decir, es
el Servidor, es el equipo principal de la Red, el que contiene toda la informacin de la Red, informacin como la de los
usuarios que estn creados, as como los grupos de trabajo, unidades organizativas, equipo conectados al Dominio,
Impresoras y dems objetos que se pueden registrar en un Dominio.
Entonces un Dominio debe tener un Controlador de Dominio, entendiendo bien la cosa, tenemos entonces que una Red
corporativa est representada por un nombre y a ese nombre le llamaremos Dominio el cual posee como mnimo un
Controlador de Dominio, sea, un Servidor.

Dominio A
CD=Controlador de Dominio
Dominio B
CD=Controlador de Dominio

Por ltimo tenemos el termino Servidores Miembros, estos son servidores o equipos con sistema operativo instalado
pero que no ejercen ninguna funcin de control en la Red, son simplemente equipos cuya funcin es limitada o nula, solo
hace parte de la Red como servidores prestadores de servicios bsicos como almacenamiento de datos, servidor de
archivos o de impresoras, etc.

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

Active Directory

Instalacin de Active Directory (Directorio Activo), Dominio o Controlador de Dominio principal.

Continuando con lo que ya hemos hecho, vamos entonces a proceder a la instalacin del Directorio Activo, Dominio o
Controlador de Dominio en nuestro PC, en su defecto lo podemos hacer en el PC Virtual creado con VirtualBOX.

Pasos iniciales.
Antes de proceder con la instalacin, se debe realizar lo siguiente:
-

Configuracin de la Tarjeta de Red.

a. Presionamos clic el icono red y luego seleccionamos Centro de Redes y Recursos Compartidos

Icono de
Red

b. Luego seleccionamos Ver Estado, el cual nos lleva la ventana de estado de la conexin de rea
local y de ah seleccionamos propiedades de la tarjeta de Red.

c. En esta ventana de propiedades del TCP/IP, seleccionamos el protocolo de Internet versin 4


(TCP/IPv4) y desactivamos el de la versin 6 (TCP/IPv6).
Nota: en su defecto podemos seleccionar la opcin Administrar conexiones de red y sobre la
conexin de red que tenemos, presionamos clic derecho y seleccionamos
Propiedades/Procolo de Internet Versin 4(TCP/IPv4) y llegamos a la misma ventana.
d. Seleccionamos la opcin Usar la siguiente direccin IP. Y podemos usar la siguiente:
i.
Direccin IP: 192.168.1.100
ii.
Mascara de Subred: 255.255.255.0
iii.
Puerta de Enlace: 192.168.1.100
iv.
Servidor DNS Preferido: 192.168.1.100
v.
Servidor DNS Alternativo: Vacio.
e. Presionamos clic en Aceptar, Cerrar y en Cerrar, y por ltimo cerramos la ventana de Centro de
Redes y Recursos Compartidos.
Explicacin: resulta compaeros que cuando estamos creando el Directorio Activo, el servidor necesita de una
direccin IP fija con la cual configura todos los servicios en el servidor en especial, el servicio de DNS que es
de vital importancia en una Red.
Ms adelante se hablara del mismo tema, por ahora procedamos a colocar los datos anteriores.

Luego de configurar la tarjeta de Red con la IP fija, seguimos con procedimiento de instalacin del Dominio con su
Active Directory que es muy sencillo.

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

1. Seleccionamos la opcin ejecutar o bsqueda y escribimos el comando DCPROMO, este comando nos
permite instalar nuestro Controlador de Dominio y de una vez nos instala el Active Directory y el DNS.

2. El asistente verifica que los Servicios del Active Directory esten instalados y en caso de no estarlos, procede a
realizar la instalacin.

3. Desde pues de instalar los servicios del Active Directory, da comienzo al asistente de instalacion del Dominio, al
cual presionamos clic en Siguiente para continuar.
4. El asistente no presenta una ventana informandonos de la compatibilidad del sistema operativo con las versiones
anteriores, presionamos clic en Siguiente.
5. Determinamos la configuracin de Dominio a instalar, Bosque Existente o Crear un Dominio nuevo en un
Bosuqe nuevo, en nuestro caso seria la segunda opcin y luego presionamos clic en Siguiente.
6. Debemos escribir el nombre de nuestro Dominio con la extensin que hayamos elegido para el mismo, para
nuestro ejemplo se llamara Clase .Net y luego presionamos clic en Siguiente.
7. El asistente procede a veficar que el nombre seleccionado para nuestro Dominio no este usandose en la red.
8. Determinamos el nivel de funcionalidad del Dominio, es para determinar si vamos a trabajar solo con servidores
Windows 2008 o vamos a trabajar con otras versiones anteriores, por defecto esta el nivel funcional con
Windows 200 Server, nosotros vamos a utilizar Windows Server 2008 y luego presionamos clic en Siguiente.
9. Debemos verificar que la opcion DNS este seleccionada ya que es muy importante instalarlo a inicio,
presionamos entonces clic en Siguiente.
10. El asistente nos muestra un mensaje informandonos que no se puede crear una delegacion para el servidor DNS
porque no encuentra un DNS que se este ejecutando en el equipo y que debemos crear una manualmente, este
mensaje sale porque es primera vez que se esta instalando, para continuar presionamos clic en Si

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

11. Se nos permite indicar el lugar en donde se van a instalar la Base de Datos del Active Directory y todos sus
compomentes que por defecto es en la carpeta C:\Windows\... dejamos tal y cual esta y presionamos clic en
Siguiente.
12. Se pide una contrasea a utilizar en caso de tener que reparar el Active Directory, debemos colocar una la cual
puede ser la misma que se le coloco al usuario Administrador. Presionamos clic en Siguiente.
13. Por ultimo llegamos al resumen de la instalacin y presionamos clic en Siguiente ya que estamos listos y
seguros de lo que vamos a instalar.
El proceso de instalacin comienza y nos coloca una ventana indicando todo lo que el asistente va instalando,
finalizado el proceso de instalacin, el asistente reinciar el computador.
Una vez reiniciado el computador, el Dominio ya queda instalado y nos presenta la siguiente ventana en la cual se
aprecia el nombre del Dominio (Clase) instalado y seguido el nombre del usuario Adminsitrador.
En estos momentos tenemos ya listo uno de los elementos que conforman una Red, el servidor, claro est que antes de
convertirlo era una estacin de trabajo que paso a ser servidor de la Red.

Verificacin de su correcta creacin e instalacin del Active Directory.


Una vez creado e instalado el Directorio Activo, debemos verificar si quedo correctamente instalado y funcionando, para
esto debemos realizar la siguiente verificacin.

Verificar que la configuracin de la tarjeta de red no se haya modificado, en caso tal, debemos volver a
colocar los datos previamente ingresados. Recordemos entonces, que para hacer hay que hacer los
siguiente:
Configuracin de la Tarjeta de Red.
a. Debemos entrar a las propiedades del protocolo TCP/IP y verificar que los datos suministrados
anteriormente este iguales, en caso de haber alguna cambio, debemos corregirlos.
b. Los datos de la tarjeta de Red debes ser los siguientes:
Direccin IP: 192.168.1.100
Mascara de Subred: 255.255.255.0
Puerta de Enlace: 192.168.1.100
Servidor DNS Preferido: 192.168.1.100, posiblemente la configuracin que aparece es
127.0.0.1, debemos cambiarla a la sugerida.
Servidor DNS Alternativo: Vacio.
c. Presionamos clic en Aceptar, Cerrar y en Cerrar.

Luego vamos a activar la consola de comandos o smbolo del sistema, al realizar esto se abre una ventana
tipo DOS, es decir, una ventana de fondo negro y letra blanca y en la cual vamos a escribir lo siguiente con el
fin de verificar si el Dominio, Directorio Activo o controlador de Dominio qued bien creado y funcionando
correctamente.
o

Ping Clase .Net y presionamos Enter, el comando realiza una peticin al DNS para verificar que el
nombre del Dominio est bien registrado y nos debe dar respuesta(4) positiva(s) en su defecto nos
da una respuesta(4) negativa(s) indicando que no encuentra el Domino respectivo. Salimos entonces
de la ventana de comandos o smbolo del sistema escribiendo el comando EXIT y presionamos
luego Enter.

Vemos entonces que tenemos respuesta satisfactoria por ende el Dominio quedo bien creado e instalado.

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

Tambin debemos verificar que las funciones del Active Directory y DNS estn instaladas, para esto abrimos el programa
Administrador del Servidor.
Desinstalacin del Dominio y el Active Directory

Desinstalacin del Directorio Activo.

Bueno ya hemos visto como se instala un Controlador de Dominio, Active Directory o Dominio, ahora debemos ver como
se desmonta o se elimina un Dominio. El proceso es sencillo, basta con seguir el procedimiento inicial para la
creacin de un Dominio pero en lugar de instarlo se selecciona que se va a quitar y se contina con el proceso de
desinstalacin.

Procedimiento a Seguir
1.
2.
3.
4.

Quitar los servicios de Active Directory


Quitar el DNS
Desmontar el Controlador de Dominio
Eliminar la carpeta de DNS del disco duro.

Tips.
1.

Otra forma de desinstalar el Directorio Activo es por medio del comando DCPROMO desde la ventana de
Ejecutar y le adicionamos el parmetro /forceremoval.
Usuarios del Active Directory

Usuarios en Directorio Activo


Ya hemos visto la introduccin, definicin y creacin de usuarios en forma local, bsicamente cuando tenemos instalado
el Directorio Activo o Dominio, el manejo de los usuario es lo mismo. Vamos a ver en qu se diferencian.
Todo se administra dentro de la herramienta Usuarios y Equipos del Active Directory, en esta herramienta podemos
tener acceso a la base de datos en donde se va a almacenar todos los objetos que van a conformar la Red
corporativa, estos objetos son Usuarios, Grupos de Trabajo, Unidades Organizativas, Estaciones de Trabajo,
Controladores de Dominio, etc.
Expliquemos un poco el contenido de la ventana de Usuarios y Equipos del Active Directory como primera
instancia, en esta ventana encontramos el nombre del Dominio (en este caso AcmeVirtual.Com), seguido de unas
carpetas que por defecto se crean cuando se instala el Directorio Activo, estas carpetas son Builtin, Computers,
Domain Controllers, ForeignSecurityPrincipals y Users. Desde que no se especifique otra cosa, todo la
administracin de una Red se realiza con estas carpetas.
Para efecto de nuestra Clase , vamos a estar trabajando en la carpeta Users, en ella vamos a crear nuestros usuarios y
grupos de trabajo, esta carpeta por defecto contiene unos usuarios propios del Directorio Activo y unos Grupos de
Trabajo que ms adelante vamos a estudiar.
Esta herramientas la vamos a estar trabajando bastante de ahora en adelante en la mayora de nuestras actividades
administrativas de la Red.

Creacin de Usuarios

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

Vamos a ver la creacin de usuario en Windows Server 2008 como Controlador de Dominio o Servidor de la Red.
Una vez determinada el formato de nombres a utilizar, se procede de la siguiente forma.
1. Haga clic en Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory.
2. Haga clic en Users. En la ventana de la derecha, ver una lista de los usuarios actuales del Controlador de
Dominio. Normalmente los nicos usuarios que deben de estar son el Administrador y el usuario Invitado y este
debe tener una X indicando que esta deshabilitado.
3. Haga clic derecho en Users y seleccione Nuevo, Usuario.
4. Introduzca la siguiente informacin:
Inicialmente la ventana nos permite ingresar los datos bsicos del usuario que vamos a crear y debemos
ingresar esta informacin que ms adelante nos puede servir cuando estemos realizando alguna gestin
administrativa que lo requiera, la informacin a ingresar es: Nombre, Apellidos, Nombre Completo e
Iniciales(Opcional).
Nombre de Inicio de Sesin de Usuario: este es en realidad el nombre del usuario que vamos a utilizar
para iniciar sesin de trabajo en el Controlador de Dominio o en las Estaciones de trabajo para acceder a
los recursos de la Red desde una estacin de trabajo. Como pueden ver, el nombre del usuario va a
quedar asociado a el nombre de Dominio actual y automticamente se le va a crear una alias para el
buzn del Correo electrnico cuando lo instalemos ( Usuario@AcmeVirtual.Com).
En la parte de abajo vemos que tambin se crea un nombre de usuario compatible con sistemas anteriores al
actual.
Luego presionamos Clic en Siguiente, y procedemos a ingresar la contrasea, esta contrasea tiene las
caractersticas, debe ser de mnimo 7 caracteres, debe tener letras, nmeros y caracteres especiales.
Por ejemplo, ft5yH7 o qwe123*.
5. Establezca las opciones que se adapte a sus necesidades:
El usuario debe cambiar la contrasea en el siguiente inicio de sesin: Si est activada, el usuario
debe cambiar su contrasea la prxima vez que inicio de sesin. Le recomendamos que desactive este
modo que usted tenga el control total de la contrasea.
El usuario no puede cambiar la contrasea: si la primera opcin no est marcada, podr establecer
esta opcin. Le recomendamos consultar esta opcin de manera que slo el administrador de la mquina
puede modificar la contrasea de los usuarios.
La contrasea nunca caduca: esto indica que la contrasea que se le coloque al usuario nunca va a
caducar.
Cuenta deshabilitada: cuando est activada, el usuario ya no ser vlido.
Y siguiendo con el ejercicio, chequearemos la opcin la contrasea no caduca
6. Haga clic en Crear para agregar el nuevo usuario y por ultimo clic en Finalizar.
De forma predeterminada, los usuarios nuevos se agregan al grupo de Usuarios del Dominio.
7. El procedimiento se realizar para cada uno de los usuario que se vayan a crear en el Dominio.

Usuarios equivalentes al Administrador.


Es bueno tener siempre a la mano un usuario diferente al Administrador, con las mismas caractersticas, con el fin de
tener una segunda alternativa o usuario para administrar el Dominio y seguir trabajando con este usuario en lugar de
usar el usuario Administrador, es un buen mtodo de seguridad que actualmente usamos.
El procedimiento para crear un usuario equivalente al Administrador es el siguiente:
1. Activamos la herramienta Usuarios y Equipos del Active Directory.

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

2. Seleccionamos la carpeta Users, sobre el usuario Administrador, presionamos clic derecho y seleccionamos la
opcin Copiar, el sistema procede a pedirnos los datos para el nuevo usuario (la misma forma vista
anteriormente) la diferencia es que el nuevo usuario queda con todas las caractersticas del usuario
Administrador, con todos los privilegios, permisos, derechos y funciones.

Propiedades de los usuarios de Directorio Activo

Ya teniendo instalado el Dominio, las propiedades de los usuarios cambian sustancialmente, se incrementan las
opciones o propiedades que sobre ellos recaen.
Vamos a describir algunas de ellas, las que nos interesaran por el momento y las otras las vemos despus en su
debido momento.
Ficha de Cuenta: esta ficha de propiedades contiene la informacin de la cuenta del usuario que anteriormente
vimos, esta informacin es el nombre del usuario, opciones de la cuenta, si caduca o no caduca la cuenta, la
hora de inicio de sesin e iniciar sesin en
De esta ventana nos interesa ms que todo la opcin Hora de Inicio de Sesin que nos permite indicar el horario de
trabajo para el usuario de tal manera que fuera de dicho horario no pueda ingresar a la Red.
La caducidad de la cuenta, el indicar desde donde puede el usuario iniciar sesin, ya que es muy til para encasillar
o restringir al usuario para que su inicio de sesin solo sea desde loso equipos que nosotros lo indiquemos.
Ficha Perfil: la cual utilizaremos cuando veamos un poco ms los perfiles para los usuarios.
De resto, las dems fichas son ms bien de informacin que veremos ms adelante por medio de un ejercicio.
Grupos en Directorio Activo
Los grupos dentro del Directorio Activo, se diferencian de los grupos locales en que estos se utilizan para mejorar la
administracin de la Red y sus recursos. Ver introduccin a los Grupos de Trabajo en el Mdulo Anterior.

Creacin de grupos

Para la creacin de grupos de trabajo en el Directorio Activo, vamos a realizar el siguiente procedimiento.
1. Haga clic en Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory.
2. Haga clic en Users. En la ventana de la derecha, ver una lista de los grupos actuales del Controlador de
Dominio.
3. Haga clic derecho en Users y seleccione Nuevo, Grupo.
4. El sistema nos presenta una ventana, ver imagen 41, en la cual se debe colocar el nombre del grupo de trabajo
as como su descripcin y debemos, adicionalmente, indicar el mbito del grupo (Dominio Local o Global) y el
tipo de grupo de trabajo que va a ser (Seguridad o Distribucin), normalmente cuando trabajamos con un
Dominio, el mbito es Global y el Tipo es Seguridad.
5. Luego de indicar lo anterior, presionamos clic en Aceptar.
El grupo de trabajo ya queda creado, lo nico que nos hace falta es asignar los usuarios que van a pertenecer a dicho
grupo de trabajo.
Asignacin de Usuario a un Grupo de Trabajo
1. Primero que todo debemos presionar doble clic en el nombre del grupo de trabajo

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

2. Seleccionar la ficha Miembros, y presionar clic el botn Agregar, el asistente nos presenta la siguiente
ventana en la cual escribimos el nombre del usuario y:
Despus de escribir el nombre podemos presionar clic en el botn comprobar nombre para que el
sistema busque o valide el nombre del usuario que se escribi.
O, podemos presionar clic en el botn Avanzadas y luego el botn Buscar y el sistema nos mostrara
todos los usuario que estn registrados y de los cuales podemos seleccionar todos los que van a
pertenecer al grupo. Luego presionamos clic en Aceptar y luego otra vez Aceptar y vemos ya el usuario
o usuarios agregados al grupo, en nuestro caso se agreg el usuario Estudiante.
Como podemos ver, el procedimiento es similar al antes visto, nico que cambiara es el mbito, ya deja de ser local y
pasa a ser de Dominio.
Unidades Organizativas
Una Unidad Organizativa (Organizational Unit, OU), es un contenedor de objetos, es similar a una carpeta o directorio
en un sistema de archivos tradicional. Dentro de una Unidad Organizativa pueden crearse cuentas de usuario, de
grupo, de equipo, de recurso compartido, de impresora compartida, etc., adems de otras unidades organizativas.
El objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio,
agrupndolos de forma coherente. En el Directorio Activo, las unidades organizativas permiten:
1. Delegar la administracin. Cada Unidad Organizativa puede administrarse de forma independiente. Se puede
otorgar la administracin total o parcial de una Unidad Organizativa a un usuario o grupo de usuarios cualquiera.
Esto permite delegar la administracin de subconjuntos del Dominio a ciertos usuarios que posean el nivel de
responsabilidad adecuada.
2. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada Unidad Organizativa
pueden vincularse polticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a
los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones
distintas a subconjuntos de usuarios y equipos del dominio, en funcin exclusivamente de la Unidad Organizativa
donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de nomina para que slo puedan
utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informtica.
En muchas organizaciones de pequeo o medio tamao resulta ms adecuado implementar un modelo de dominio
nico con mltiples unidades organizativas que un modelo de mltiples dominios. Si es necesario, cada unidad
puede administrarse independientemente, con uno o varios administradores delegados y comportamientos
(polticas) diferentes.
Creacin de Unidades Organizativas
La creacin de una Unidad Organizativa es similar a la creacin de un grupo de trabajo, para nuestro trabajo veamos
cmo se crea una y lo que podemos hacer con ella.
Los pasos son bastante sencillos.
1. Debemos abrir la herramienta Usuario y Equipos del Active Directory. Inicio, Programas, Herramientas
administrativas y Usuarios y Equipos del Active Directory.
2. Nos ubicamos en el Dominio y presionamos clic derecho Nuevo/Unidad Organizativa.
3. Vemos entonces una ventana en la cual debemos colocar el nombre de la Unidad Organizativa, recordemos que
la idea o el objetivo de las unidades organizativas es la de agrupar administrativamente la informacin de la Red,
as que debemos dar un nombre acorde a lo que deseamos hacer. Para nuestro caso, le daremos el nombre de
SISTEMAS, y presionamos clic en aceptar.
4. Como podemos observar en la Imagen 47, la Unidad Organizativa, quedo creada a nivel del Dominio (Como se
recomienda) y est vaca.
5. Procedemos entonces, a crear dentro de ella los usuarios y grupos de trabajo necesarios para conformar la
divisin empresarial.
Veamos por medio de un ejercicio tomando como base el organigrama de una empresa cualquiera. Por ejemplo.

10

FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO


Profesor: Luis Alfonso Jimnez Piedrahita

En el organigrama anterior, podemos entonces dividir la empresa en varias unidades organizativas y dentro de ellas
crear los diferentes usuarios y/o grupos de trabajo. Veamos entonces como hacerlo.
Unidades Organizativas a crear
- Direccin General
- Direccin Comercial
- Produccin
- Direccin de Finanzas
- Departamento de Tecnologa de la Informacin
Y para nuestra mejor administracin, en cada una de las Unidades Organizativas creadas, procedemos a crear los
usuario y/o grupo de trabajo que a cada una de ellas pertenecen, e inclusive, se puede crear otras unidades
organizativas, si es el caso.
En la imagen anterior vemos sealadas las unidades organizativas creadas, lo nico que nos faltara seria agregar los
usuario y/o grupos que van a pertenecer a cada una de ellas. El procedimiento es sencillo, lo nico que cambiara
seria que en lugar de hacerlo dentro de la carpeta Users lo haramos dentro de cada una de las Unidades

11