Está en la página 1de 517

Windows Server 2003

Divisin Empresas

Contenido del curso.


CONTENIDOS DEL CURSO.....................................................................................................................1
UNIDAD 1 INTRODUCCIN A WINDOWS 2003 SERVER.......................................................9
CARACTERSTICAS PRINCIPALES.....................................................................................................................9
Directiva de trabajo............................................................................................................................9
IntelliMirror...........................................................................................................................................10
Servicios de Terminal Server.........................................................................................................10
Interoperatividad................................................................................................................................10
Seguridad del sistema y de la red...............................................................................................11
Soporte de hardware........................................................................................................................11
Disponibilidad y fiabilidad...............................................................................................................11
Active Directory..................................................................................................................................11
Almacenamiento y soporte de sistemas de archivos..........................................................12
Comunicaciones.................................................................................................................................12
Ampliacin............................................................................................................................................13
Necesidad de planificacin............................................................................................................14
VERSIONES: WEB, STANDARD, ENTERPRISE, DATACENTER......................................................................15
DEFINICIN DE LA RED WINDOWS 2003: CONCEPTO DE DOMINIO Y RELACIN DE CONFIANZA COMO
UNIDADES CENTRALES DE LA RED WINDOWS 2003.................................................................................16
rboles y bosques..............................................................................................................................16
Definicin de un convenio de denominacin..........................................................................18
El convenio de denominacin organizativo.............................................................................18
El convenio de denominacin geogrfico................................................................................19
Determinacin de la resolucin de nombres..........................................................................20
Uso de distintos espacios de nombres interno y externo..................................................21
Planificacin de una estructura de Dominios..........................................................................22
Dominios y unidades organizativas............................................................................................23
Diseo de una estructura de dominios.....................................................................................23
Creacin de unidades organizativas..........................................................................................25
UNIDAD 2 INSTALACIN Y CONFIGURACIN DE WINDOWS 2003 SERVER............26
PROCEDIMIENTOS DE INSTALACIN.............................................................................................................27
Planificacin de las particiones....................................................................................................27
Recogida de informacin de la red.............................................................................................28
Licencias y activacin del producto............................................................................................29
Instalacin de Windows Server 2003.........................................................................................30
EL ASISTENTE DE CONFIGURACIN DEL SERVIDOR.....................................................................................43
EL SUBSISTEMA DE ALMACENAMIENTO MASIVO: CONFIGURACIN DE LOS DISCOS: DISCOS BSICOS Y
DISCOS DINMICOS. PARTICIONES: TIPOS. TOLERANCIA A FALLOS DEL SUBSISTEMA DE DISCOS:
NIVELES RAID SOPORTADOS........................................................................................................................45
SISTEMAS DE FICHEROS: CONCEPTO Y TIPOS SOPORTADOS: FAT32, NTFS...........................................46
FAT y FAT32..........................................................................................................................................46
NTFS........................................................................................................................................................46
CARACTERSTICAS DE NTFS EN WINDOWS 2003: ATRIBUTOS, SEGURIDAD LOCAL -PERMISOS NTFS-,
ENCRIPTACIN, COMPRESIN, CUOTAS DE DISCO......................................................................................47
HERRAMIENTAS A LA ARQUITECTURA INTERNA: MICROSOFT MANAGEMENT CONSOLE..........................49
UNIDAD 3 INTRODUCCIN A LA ARQUITECTURA INTERNA DE WINDOWS 2003.
............................................................................................................................................................................50
DIAGRAMA DE BLOQUES DEL SISTEMA OPERATIVO: MODOS DE EJECUCIN: USUARIO Y PROTEGIDO....51
GESTIN DE MEMORIA EN WINDOWS SERVER 2003: MEMORIA VIRTUAL...............................................52

-1-

Windows Server 2003

Divisin Empresas

GESTIN

DE LOS PROCESOS: EL ADMINISTRADOR DE TAREAS. INTRODUCCIN AL MANEJO DE


PROCESOS EN WINDOWS SERVER 2003...................................................................................................53
EL REGISTRO DE WINDOWS SERVER 2003: ESTRUCTURA, FUNCIONALIDAD Y GESTIN.......................54

UNIDAD 4 INSTALACIN Y CONFIGURACIN DE WINDOWS 2003 SERVER...........59


TCP/IP COMO TRANSPORTE PREDETERMINADO: FUNDAMENTOS..............................................................59
DNS COMO ESPACIO DE NOMBRES: FUNDAMENTOS, FUNCIONAMIENTO, INSTALACIN Y RESOLUCIN
DE PROBLEMAS. MODELOS DE IMPLANTACIN DEL ESPACIO DE NOMBRES. DNS COMO BASE DEL
ESPACIO DE NOMBRES DE DIRECTORIO ACTIVO. ZONAS DNS: TIPOS, TRANSFERENCIA DE ZONAS.....60
WINS: EL ESPACIO DE NOMBRES NETBIOS: FUNDAMENTO, FUNCIONAMIENTO E IMPLEMENTACIN.....66
SERVICIOS DE RED ADICIONALES: DHCP. DEFINICIN, FUNDAMENTOS, CONFIGURACIN,
IMPLANTACIN Y MODELOS A SEGUIR E INTEGRACIN DNS, DHCP, WINS..........................................69
IPV6: INTEGRACIN EN WINDOWS 2003...................................................................................................72
UNIDAD 5 LOS SERVICIOS DE DIRECTORIO EN WINDOWS SERVER 2003...............74
DEFINICIN DE LOS SERVICIOS DE DIRECTORIO: EL DIRECTORIO ACTIVO................................................75
COMPONENTES DE DIRECTORIO ACTIVO: ESTRUCTURA JERRQUICA (CONTENEDORES Y OBJETOS
FINALES) Y ESQUEMA DE ACTIVE DIRECTORY..........................................................................................75
ESTRUCTURA LGICA DE ACTIVE DIRECTORY............................................................................................75
LA ESTRUCTURA FSICA DE ACTIVE DIRECTORY.........................................................................................75
LOS ROLES DE LOS CONTROLADORES DE DOMINIO: SERVIDORES DE CATLOGO GLOBAL, MAESTROS DE
OPERACIONES. REGLAS PARA SU UBICACIN Y CONFIGURACIN. NOVEDADES DE WINDOWS 2003
RESPECTO DE LOS SERVIDORES DE CATLOGO GLOBAL.............................................................................75
HERRAMIENTAS PARA EL MANTENIMIENTO Y REPARACIN DEL DIRECTORIO ACTIVO..............................75
HERRAMIENTAS PARA EL MANTENIMIENTO Y REPARACIN DEL DIRECTORIO ACTIVO..............................75
COPIA DE SEGURIDAD Y RESTAURACIN DEL DIRECTORIO ACTIVO: RESTAURACIONES AUTORITATIVAS Y
NO AUTORITATIVAS........................................................................................................................................75
UNIDAD 6: ADMINISTRACIN DE CUENTAS Y RECURSOS................................................75
INSTALAR Y CONFIGURAR LAS HERRAMIENTAS ADMINISTRATIVAS..............................................................75
Que son las herramientas administrativas..............................................................................75
Como instalar las herramientas administrativas...................................................................75
Que es MMC?.....................................................................................................................................75
Como crear una MMC personalizada?......................................................................................75
Practica: Configurando las Herramientas administrativas.................................................75
Como solucionar problemas con la instalacin y configuracin de las herramientas
administrativas...................................................................................................................................75
CREANDO UNA UNIDAD ORGANIZATIVA......................................................................................................75
Que es una unidad organizativa?..............................................................................................75
Modelo jerrquico de las unidades organizativas.................................................................75
Nombres asociados con unidades organizativas...................................................................75
Como crear una Unidad Organizativa........................................................................................75
Practica: Creando una unidad organizativa.............................................................................75
MOVIENDO OBJETOS DEL DOMINIO..............................................................................................................75
Cuando hacer un movimiento de objetos en el dominio?................................................75
Como mover objetos en el dominio............................................................................................75
Practica: Moviendo objetos de dominio en el Active Directory........................................75
Evaluacin: Creando unidades organizativas.........................................................................75
UNIDAD 7: ADMINISTRANDO CUENTAS DE USUARIOS Y EQUIPOS.............................75
CREANDO CUENTAS DE USUARIOS...............................................................................................................75
Que es una cuenta de usuario?..................................................................................................75
Nombres asociados con cuentas de usuario del dominio..................................................75
Recomendaciones para la creacin de convenciones de nombres de cuentas de
usuario...................................................................................................................................................75

-2-

Windows Server 2003

Divisin Empresas

La ubicacin de una cuenta de usuario en una jerarqua..................................................75


Opciones para las contraseas de las cuentas de usuario................................................75
Cuando restringir o hacer cambios de contrasea..............................................................75
Como crear cuentas de usuarios.................................................................................................75
Practica: Creando cuentas de usuario.......................................................................................75
CREANDO CUENTAS DE EQUIPO...................................................................................................................75
Que es una cuenta de equipo?...................................................................................................75
Por que crear una cuenta de equipo?......................................................................................75
Donde son creadas las cuentas de equipo en un dominio................................................75
Opciones de cuentas de equipos.................................................................................................75
Como crear una cuenta de equipo..............................................................................................75
Prctica: Creando una cuenta de equipo..................................................................................75
MODIFICANDO LAS PROPIEDADES DE LAS CUENTAS DE USUARIOS Y EQUIPOS........................................75
Cuando modificar las propiedades de las cuentas de usuarios y equipos..................75
Propiedades asociadas con las cuentas de usuarios...........................................................75
Como modificar las propiedades de las cuentas de usuarios y equipos......................75
CREANDO UNA PLANTILLA DE CUENTA DE USUARIO...................................................................................75
Que es una plantilla de cuentas de usuarios?......................................................................75
Cules son las propiedades de una plantilla?.......................................................................75
Sugerencias para crear plantillas de cuentas de usuarios................................................75
Como crear una plantilla de cuenta de usuario.....................................................................75
Prctica: creando una plantilla de cuenta de usuario..........................................................75
HABILITAR Y DESHABITAR CUENTAS DE USUARIOS Y EQUIPOS...................................................................75
Porque habilitar y deshabilitar cuentas de usuarios y equipos?...................................75
Como habilitar y deshabilitar cuentas de usuarios y equipos..........................................75
Cules son las cuentas de usuario bloqueadas?.................................................................75
Como bloquear una cuenta de usuario.....................................................................................75
Practica: Habilitar y deshabilitar cuentas de usuarios y equipos....................................75
RESTABLECER CUENTAS DE USUARIOS Y EQUIPOS.....................................................................................75
Cuando restablecer contraseas de usuarios.........................................................................75
Como restablecer contraseas de usuarios............................................................................75
Cuando restablecer cuentas de equipo.....................................................................................75
Como restablecer cuentas de equipo........................................................................................75
Prctica: restablecer una contrasea de cuenta de usuario.............................................75
LOCALIZANDO CUENTAS DE USUARIOS Y EQUIPOS EN EL ACTIVE DIRECTORY.........................................75
Tipos de bsquedas..........................................................................................................................75
Como buscar objetos en Active Directory................................................................................75
Como buscar utilizando consultas comunes...........................................................................75
Utilizando una consulta personalizada......................................................................................75
Prctica: Localizando cuentas de usuarios y equipos..........................................................75
CONSULTAS GUARDADAS..............................................................................................................................75
Que es una consulta guardada?.................................................................................................75
Como crear una consulta guardada...........................................................................................75
Prctica: creando consultas almacenadas...............................................................................75
Evaluacin: Administrando cuentas de usuarios y equipos..............................................75
UNIDAD 8: ADMINISTRANDO GRUPOS........................................................................................75
CREANDO GRUPOS........................................................................................................................................75
QU SON LOS GRUPOS?.............................................................................................................................75
Que es el nivel funcional de un dominio?...............................................................................75
Cules son los grupos globales?................................................................................................75
Cules son los grupos universales?..........................................................................................75
Cuales son los grupos locales de dominio?...........................................................................75
Cules son los grupos locales?...................................................................................................75
DONDE CREAR GRUPOS................................................................................................................................75

-3-

Windows Server 2003

Divisin Empresas

Recomendaciones para nombrar grupos..................................................................................75


Como crear un grupo........................................................................................................................75
Prctica: creando grupos................................................................................................................75
ADMINISTRANDO GRUPOS Y MIEMBROS DE GRUPOS..................................................................................75
Las propiedades Miembros y Miembros de..............................................................................75
Como saber de que grupo las cuentas de usuario son miembro de..............................75
Como agregar y remover miembros de un grupo.................................................................75
Prctica: administrando miembros de un grupo....................................................................75
Estrategias para utilizar grupos...................................................................................................75
Que son grupos anidados?...........................................................................................................75
Estrategias de grupos......................................................................................................................75
Para discutir en clase: Utilizando grupos en solo un dominio..........................................75
Prctica: Agregando grupos globales a grupos locales de dominio...............................75
MODIFICANDO GRUPOS................................................................................................................................75
Qu es modificar el mbito del grupo y los tipos de grupos?........................................75
Como cambiar el alcance y el tipo de grupo...........................................................................75
Practica: Cambiando el alcance y tipo de grupo...................................................................75
Porque asignar un administrador a un grupo?.....................................................................75
Como asignar un administrador a un grupo............................................................................75
Practica: Asignar un administrador a un grupo......................................................................75
Utilizando los grupos predeterminados....................................................................................75
Grupos predeterminados del servidor miembro....................................................................75
Grupos predeterminados de Active Directory........................................................................75
Cuando utilizar los grupos predeterminados.........................................................................75
Consideraciones de seguridad para grupos predeterminados.........................................75
Grupos de sistema.............................................................................................................................75
Discusin en clase: Utilizando grupos predeterminados VS nuevos grupos creados
..................................................................................................................................................................75
Sugerencias para administrar grupos........................................................................................75
Evaluacin: Crear y administrar grupos....................................................................................75
UNIDAD 9: ADMINISTRANDO ACCESOS A RECURSOS........................................................75
VISIN GENERAL DE ADMINISTRACIN DE ACCESOS A RECURSOS............................................................75
Control de acceso en Microsoft Windows Server 2003.......................................................75
Qu son los permisos?...................................................................................................................75
Cules son los permisos estndar y especiales?.................................................................75
ADMINISTRANDO ACCESO A CARPETAS COMPARTIDAS...............................................................................75
Qu es una carpeta compartida?..............................................................................................75
Qu es la administracin de carpetas compartidas?.........................................................75
Quin puede acceder a carpetas compartidas?..................................................................75
Cmo crear una carpeta compartida?.....................................................................................75
Qu es la publicacin de carpetas compartidas?................................................................75
Cmo se publica una carpeta compartida?...........................................................................75
Permisos en carpetas compartidas.............................................................................................75
Cmo se establecen permisos en una carpeta compartida?..........................................75
Como conectarse a carpetas compartidas?..........................................................................75
Practica: Manejando accesos para carpetas compartidas.................................................75
ADMINISTRANDO EL ACCESO A LOS ARCHIVOS Y CARPETAS COMPARTIDAS UTILIZANDO PERMISOS
NTFS.............................................................................................................................................................75
Que es NTFS?....................................................................................................................................75
Permisos NTFS de archivos y carpetas......................................................................................75
Efectos de los permisos NTFS cuando copia y mueve archivos en carpeta................75
Qu es la herencia de permisos NTFS?...................................................................................75
Como copiar quitar permisos heredados..................................................................................75

-4-

Windows Server 2003

Divisin Empresas

Sugerencias para administrar el acceso a archivos y carpetas utilizando permisos


NTFS........................................................................................................................................................75
Como administrar el acceso a archivos y carpetas utilizando los permisos NTFS. . .75
Prctica: administrando el acceso a archivos y carpetas utilizando permisos NTFS
..................................................................................................................................................................75
DETERMINAR PERMISOS EFECTIVOS.............................................................................................................75
Cules son los permisos efectivos NTFS en archivos y carpetas....................................75
Discusin en clase: Aplicando permisos NTFS........................................................................75
Como determinar permisos efectivos NTFS en archivos y carpetas..............................75
Prctica: determinar los permisos efectivos NTFS en archivos y carpetas.................75
Efectos de combinar carpetas compartidas y permisos NTFS.........................................75
Como determinar los permisos efectivos en combinacin con permisos NTFS y
carpetas compartidas.......................................................................................................................75
Prctica: Determinar los permisos efectivos y los permisos de carpeta compartida
..................................................................................................................................................................75
ADMINISTRANDO EL ACCESO A ARCHIVOS COMPARTIDOS UTILIZANDO CONFIGURACIN DE CACHE.......75
Qu son los archivos fuera de lnea?.......................................................................................75
Como son sincronizados los archivos fuera de lnea............................................................75
Opciones de la configuracin de cach.....................................................................................75
Como utilizar configuracin de cach........................................................................................75
Prctica: Utilizando configuracin de cach............................................................................75
Evaluacin: Administrando el acceso recursos......................................................................75
UNIDAD 10: IMPLEMENTANDO LA IMPRESIN.......................................................................75
INTRODUCCIN A LA IMPRESIN EN LA FAMILIA DE SERVIDORES DE WINDOWS 2003..........................75
Tipos de cliente que pueden imprimir en Servidores con Windows Server 2003.....75
Cmo funciona la impresin en un Ambiente Windows Server 2003............................75
INSTALANDO Y COMPARTIENDO IMPRESORAS.............................................................................................75
Qu es Impresora local e Impresora en red?........................................................................75
Requerimientos de Hardware para configurar un Servidor de Impresin...................75
Cmo instalar y compartir una impresora local.....................................................................75
Cmo instalar y Compartir una Impresora en red.................................................................75
Prctica: Instalar y Compartir Impresoras................................................................................75
ADMINISTRANDO EL ACCESO A LAS IMPRESORAS UTILIZANDO PERMISOS DE IMPRESORA COMPARTIDA 75
Qu son los permisos de Impresora Compartida?..............................................................75
Porqu modificar los permisos de Impresora compartida?.............................................75
Cmo administrar el acceso a las impresoras........................................................................75
Prctica: Administrar el acceso a las impresoras usando los permisos de impresora
compartida...........................................................................................................................................75
ADMINISTRANDO LOS CONTROLADORES DE IMPRESORAS.........................................................................75
Qu es un Controlador de la impresora?................................................................................75
Cmo instalar Controladores de Impresora.............................................................................75
Como agregar Controladores de Impresora para clientes con otros sistemas
operativos.............................................................................................................................................75
Prctica: Administrar Controladores de Impresora...............................................................75
IMPLEMENTAR UBICACIONES DE IMPRESORA...............................................................................................75
Por qu implementar ubicaciones de Impresora?...............................................................75
Requerimientos para Implementar Ubicaciones de Impresora........................................75
Nombres para Ubicaciones de Impresoras..............................................................................75
Cmo estn configuradas las ubicaciones de impresora...................................................75
Como establecer la ubicacin de las Impresoras..................................................................75
Cmo localizar impresoras.............................................................................................................75
Prctica: Implementar ubicaciones de Impresora.................................................................75
Evaluacin: Implementado la Impresora..................................................................................75
UNIDAD 11: ADMINISTRANDO LA IMPRESIN........................................................................75

-5-

Windows Server 2003

Divisin Empresas

CAMBIANDO LA UBICACIN DEL SPOOLER DE IMPRESIN..........................................................................75


Qu es un spooler de impresin?..............................................................................................75
Por qu cambiar la ubicacin del spooler de impresin?.................................................75
Como cambiar la ubicacin del spooler de impresin.........................................................75
Prctica: Cambiar la ubicacin del Spooler de impresin..................................................75
ESTABLECIENDO PRIORIDAD DE IMPRESORAS.............................................................................................75
Qu es la prioridad de impresoras?..........................................................................................75
Como establecer Prioridad de Impresoras...............................................................................75
Prctica: Estableciendo Prioridad de Impresoras..................................................................75
PROGRAMAR LA DISPONIBILIDAD DE IMPRESORA........................................................................................75
Cuando programar la Disponibilidad de Impresoras............................................................75
Lineamientos para Programar la disponibilidad de la impresora....................................75
Como programar la disponibilidad de la impresora..............................................................75
Prctica: Programar la disponibilidad de la impresora........................................................75
CONFIGURANDO UNA COLA DE IMPRESIN.................................................................................................75
Como configurar una cola de impresin...................................................................................75
Prctica: Configurar una cola de impresin.............................................................................75
Evaluacin: Administrando la impresin...................................................................................75
UNIDAD 12: ADMINISTRANDO EL ACCESO A OBJETOS DE UNIDADES
ORGANIZATIVAS........................................................................................................................................75
LA ESTRUCTURA DE LAS UNIDADES ORGANIZATIVAS.................................................................................75
MODIFICANDO PERMISOS PARA OBJETOS DEL ACTIVE DIRECTORY............................................................75
Cuales son los permisos para objetos de Active Directory...............................................75
Caractersticas de los permisos par objetos del Active Directory...................................75
Permisos Heredados para Permisos de Objetos del Active Directory............................75
Efecto de modificar objetos en permisos heredados...........................................................75
Como modificar permisos para objetos de Active Directory.............................................75
Que son los permisos efectivos para objetos de Active Directory?................................75
Como determinar permisos efectivos para Active Directory?..........................................75
Practica: Modificando permisos para objetos de Active Directory..................................75
DELEGANDO EL CONTROL DE UNIDADES ORGANIZATIVAS.........................................................................75
Que es la delegacin de Control de una unidad organizativa..........................................75
El Asistente de Delegacin de Control.......................................................................................75
Como delegar control de una unidad organizativa...............................................................75
Practica: Delegando Control de una Unidad Organizativa.................................................75
Evaluacin: Administrando el acceso a objetos en unidades organizativas...............75
UNIDAD 13: IMPLEMENTANDO DIRECTIVAS DE GRUPO....................................................75
IMPLEMENTANDO OBJETOS DE DIRECTIVAS DE GRUPO...............................................................................75
Qu es Directiva de Grupo?........................................................................................................75
Cules son los parmetros de configuracin de Usuario y Computadora?...............75
Cmo establecer Configuracin de Directiva de Computadora Locales.......................75
Prctica: Configurando directivas en un equipo local..........................................................75
Implementando GPOs en un Dominio........................................................................................75
Herramientas usadas para crear gpos.......................................................................................75
Qu es Administracin de GPO en un Dominio?..................................................................75
Cmo Crear un GPO..........................................................................................................................75
Prctica: Creando un GPO..............................................................................................................75
Que es un Enlace de GPO?...........................................................................................................75
Cmo Crear un GPO vinculado.....................................................................................................75
Cmo los permisos de Directivas de grupo son heredados en Active Directory.......75
Prctica: Creando un Vinculo GPO..............................................................................................75
ADMINISTRANDO EL DESPLIEGUE DE DIRECTIVAS DE GRUPO...................................................................75
Que pasa cuando hay conflicto de GPOs..................................................................................75

-6-

Windows Server 2003

Divisin Empresas

Bloqueando el despliegue de un GPO........................................................................................75


Cmo bloquear el despliegue de un GPO.................................................................................75
Atributos de un vnculo de GPO...................................................................................................75
Cmo configurar la implementacin de Directivas de grupo...........................................75
Filtrando el despliegue de GPO....................................................................................................75
Discusin en clase: Modificando herencia de Directivas de Grupo................................75
Como configurar el filtrado de Directivas de Grupo............................................................75
Prctica: Administrando La lista de Directiva De grupo....................................................75
Evaluacin: Implementando Directivas de Grupo.................................................................75
UNIDAD 14 ADMINISTRANDO EL AMBIENTE DE USUARIO USANDO DIRECTIVAS
DE GRUPO.....................................................................................................................................................75
CONFIGURAR LAS DIRECTIVAS DE GRUPO...................................................................................................75
Por qu utilizar una directiva de grupo?.................................................................................75
Por qu habilitar y deshabilitar las directivas de grupo?.................................................75
Cmo editar el ajuste de una directiva de grupo..................................................................75
Prctica: Editando los ajustes de directiva de grupo...........................................................75
ASIGNAR SCRIPTS A LAS DIRECTIVAS DE GRUPO........................................................................................75
Qu son los ajustes de configuracin de Scripts de directiva de grupo?...................75
Cmo asignar Scripts a una directiva de grupo.....................................................................75
Prctica: asignando Scripts con directiva de grupo.............................................................75
CONFIGURAR LA REDIRECCIN DE CARPETAS.............................................................................................75
Qu es el redireccionamiento de carpetas?..........................................................................75
Archivos que pueden ser redireccionados...............................................................................75
Ajustes requeridos para configurar la redireccin de una carpeta.................................75
Como configurar el redireccionamiento de carpetas...........................................................75
Prctica: Configurando la redireccin de una carpeta........................................................75
Determinar las directivas de grupo aplicadas........................................................................75
Qu es Gpudate..................................................................................................................................75
Qu es un Gpresult............................................................................................................................75
Qu es un reporte de directiva de grupo?.............................................................................75
Cmo utilizar reportes de directiva de grupo.........................................................................75
Prctica: Usando reportes de directiva de grupo..................................................................75
Qu es el modelado de directiva de grupo?..........................................................................75
Cmo utilizar el modelado de directiva de grupo?.............................................................75
Prctica: utilizando el Asistente para modelado de directiva de grupo.......................75
Qu son los resultados de directiva de grupo?...................................................................75
Cmo utilizar los Resultados de directiva de grupo?........................................................75
Prctica: Usando el Asistente para Resultados de directiva de grupo..........................75
Practica: Usando reportes de directiva de grupo..................................................................75
UNIDAD 15: INTRODUCCIN A LA SEGURIDAD EN WINDOWS SERVER 2003.......75
PANORAMA GENERAL DE LA SEGURIDAD EN WINDOWS SERVER 2003...................................................75
Qu son los derechos de usuario.................................................................................................75
Derechos de usuario Vs. Permisos..............................................................................................75
Usando derechos asignados a grupos predeterminados....................................................75
Cmo asignar derechos de usuario............................................................................................75
Prctica: Asignando derechos de usuario................................................................................75
UTILIZANDO PLANTILLAS DE SEGURIDAD PARA ASEGURAR COMPUTADORAS............................................75
Qu es una poltica de seguridad?............................................................................................75
Qu son las plantillas de seguridad?........................................................................................75
Qu son las configuraciones de plantillas de seguridad?................................................75
Cmo crear una plantilla de seguridad personalizada........................................................75
Cmo importar una plantilla de seguridad..............................................................................75
Prctica: Usando plantilla de seguridad para asegurar computadoras........................75

-7-

Windows Server 2003

Divisin Empresas

PROBANDO DIRECTIVAS DE SEGURIDAD EN UNA COMPUTADORA..............................................................75


Qu es la herramienta para la configuracin y en anlisis de seguridad?................75
Cmo probar la seguridad en una plantilla..............................................................................75
Prctica: Probando la seguridad de la computadora...........................................................75
CONFIGURACIN Y AUDITORIA.....................................................................................................................75
Qu es una auditoria........................................................................................................................75
Qu es una poltica de auditoria..................................................................................................75
Tipos de eventos a auditar.............................................................................................................75
Lineamientos generales para la planeacin de una poltica de auditoria....................75
Como habilitar una Directiva de auditoria...............................................................................75
Cmo habilitar auditoria para archivos y carpetas...............................................................75
Prctica: Habilitando auditoria para archivos y carpetas...................................................75
Cmo habilitar Auditoria para objetos de Active directory................................................75
Prctica: Habilitando auditoria para una unidad organizacional.....................................75
Buenas prcticas para la configuracin de auditoria...........................................................75
Administrando el registro de seguridad....................................................................................75
Qu son los archivos de registro..................................................................................................75
Eventos de seguridad comunes...................................................................................................75
Tareas asociadas con la administracin de archivos de registro de seguridad.........75
Como administrar la informacin del archivo de registro de seguridad......................75
Cmo visualizar los eventos del registro de seguridad.......................................................75
Prctica: Administrando la informacin del archivo de bitcora.....................................75
Evaluacin: Administrando configuraciones de seguridad................................................75

-8-

Windows Server 2003

Divisin Empresas

Unidad 1: Introduccin a Windows 2003 Server


Introduccin
En esta sesin, conocer las caractersticas principales de Windows
Server 2003, las diferentes versiones y los elementos que le permitan
planificar una red con Windows Server 2003.
Objetivo de la sesin
Despus de completar esta sesin, usted ser capaz de:
Explicar los conceptos, versiones y caractersticas bsicas
Windows 2003 Server.

de

Caractersticas principales.
El paso de Microsoft Windows NT a Microsoft Windows 2000 supone un
cambio radical. Si ya ha dado ese salto, es conciente de la gran
necesidad
de formacin asociada con las nuevas interfaces de
administracin de Microsoft Windows 2000 Server. Afortunadamente, el
paso de Windows 2000 Server a Microsoft Windows Server 2003 en
menos difcil, muchos de los cambios quedan tras bambalinas y no
afectan al modo en que el administrador realiza su trabajo. En
consecuencia, aunque hay mejoras en la fiabilidad, las posibilidades de
ampliacin, la seguridad y la administracin de las redes de gran
tamao y complejas, Windows Server 2003 presenta algunos mtodos
muy familiares para el tratamiento de las redes y de los usuario.
La implementacin de Windows Server 2003 con Microsoft Windows XP
profesional es la mejor manera de aprovechar al mximo las tecnologas
que almacenan de manera inteligente los datos de los usuarios, las
aplicaciones, los archivos de sistema y los parmetros administrativos
de los clientes en los servicios. Estas tecnologas ayudan a administrar el
software en las maquinas
clientes
y proporcionan
de manera
transparente una disponibilidad y una seguridad mejores para los datos
de los usuarios.
La consola de administracin de Microsoft (Microsoft Management
Console, MMC) alberga herramientas administrativas que aparecen
como consolas. Estas herramientas, compuestas de una o varias
aplicaciones, se crean con mdulos denominados complementos. Este
diseo permite la personalizacin de las herramientas de modo que se
puedan delegar determinadas tareas administrativas a usuarios o a
grupos.

Directiva de trabajo.
La directiva de trabajo es una tecnologa de gestin empleada para
especificar opciones de configuracin de los escritorios de grupos de
-9-

Windows Server 2003

Divisin Empresas

computadoras y de usuarios. Las directivas de grupo se guardan como


objetos de directiva de grupo (Group Policy Objects, GPO) que, a su vez,
asocian con objetos del Active Directory, como los emplazamientos, los
dominios o las unidades organizativas (organizacional Units, OUs). Las
directivas de grupo pueden incluir opciones de seguridad y de
mantenimiento de software y opciones de las secuencias de comandos
que controlan el inicio y el cierre de las computadoras.

IntelliMirror
Intellimirror es una tecnologa potente que ayuda a gestionar el cambio
y la configuracin. En otras palabras, una vez configurados los clientes
y los servidores, los cambios en el hardware, el software y los usuarios
se manejan de manera automtica, empleando reglas de toda la red
desde una sola ubicacin central.

Servicios de Terminal Server


Los servicios de Terminal Server permiten que las aplicaciones basadas
en Windows se ejecuten en computadoras que normalmente no pueden
ejecutar aplicaciones Windows de gran tamao. Todo el procesamiento
de la aplicacin y el almacenaje de los datos tienen lugar en el servidor;
la maquina cliente solo necesita poder ejecutar un cliente ligero, que
exige cantidades muy pequeas de memoria y de espacio de
almacenamiento en disco. (En Windows los clientes pueden ser a la vez
delgados o gordos.) Esto permite que las maquinas no muy potentes
(que necesiten ejecutar
aplicaciones
de empresa de manera
independiente) utilicen los recursos del servidor. Con el empleo de
complementos de otros fabricantes, incluso las maquinas de MS-DOS,
UNIX y Apple Macintosh pueden ser clientes.

Interoperatividad
La red tpica de las empresas medianas o grandes es completamente
heterognea, por lo que la interoperatividad de los diferentes sistemas
operativos es impredecible. Para obtener una mejor interoperatividad
Windows Server 2003:

Se comunica de manera nativa con los sistemas UNIX y NetWare


de Novell, mediante el protocolo de control de transmisiones
/protocolo
de Internet (Transmisin control protocolo/Internet
protocol, TCP/IP).
Ofrece servicio para el comportamiento de archivos e impresoras
con sistemas UNIX, Netware y Macintosh.
Soporta el software de conectividad abierta de bases de datos
(Open Databases connectivity, ODBC), la tecnologa de consolas
de mensajes de Microsoft (Microsoft Message Queuing, MSMQ) y
muchos protocolos estndar de comunicacin, como el protocolo
de transferencia de archivos (File trnsfer Protocol, FTP), el
- 10 -

Windows Server 2003

Divisin Empresas

protocolo de transferencia de noticias por la red ( Network News


Transfer,NNTP), el protocolo de transferencia de hipertexto
(Hypertex transfer protocol,http) y el protocolo sencillo de
transporte de correo (simple Mail Transport protocol,SMTP),de
modo que las aplicaciones nuevas puedan interoperar con el
software y los datos ya existentes.

- 11 -

Windows Server 2003

Divisin Empresas

Seguridad del sistema y de la red


La seguridad esta disponible en Windows Server 2003 para cualquier
configuracin, desde un simple grupo de trabajo hasta sistemas
servidores para empresas. El nfasis en la seguridad y el hecho de que
los mecanismos de seguridad impregnen cada rincn de Windows Server
2003 no deberan construir una sorpresa. La seguridad es un asunto
cada vez ms importante prcticamente en todas las empresas. Las
intranets, las extranets y el acceso telefnico a redes, por no mencionar
la eventual actuacin incorrecta del usuario, son amenazas tanto para
la informacin como para la infraestructura. Al mismo tiempo, un
dispositivo de seguridad demasiado complejo pone a prueba la paciencia
de administradores y usuarios por igual. Windows Server 2003 trata de
resolver estas necesidades contradictorias con un sistema de seguridad
que es realmente seguro y, sin embargo, fcil de administrar y
transparente para el usuario.
Windows Server 2003 incluye soporte completo para el protocolo de
seguridad del MIT kerberos versin 5, lo que proporciona un nico
acceso a los recursos empresariales basados en Windows Server 2003.

Soporte de hardware
Windows Server 2003 incluye centenares de controladores nuevos de
impresoras, mdems y dems hardware, que hacen la instalacin y la
configuracin del hardware mas eficientes. Antes de Windows 2000
haba que escoger entre la estabilidad con Windows NT y la
compatibilidad de hardware con Microsoft Windows 98. Sin embargo, con
Windows 2000, el soporte de hardware para los sistemas operativos
empresariales mejoro de manera espectacular y se conservo la
estabilidad. Esta misma combinacin, junto a varias mejoras en los
campos, se halla presente en Windows Server 2003.

Disponibilidad y fiabilidad.
La disponibilidad de la tolerancia de un sistema de software a los fallos,
mientras que la tolerancia a los fallos es la capacidad de un sistema
para conservar la integridad de los datos
en caso de eventos
catastrficos. La fiabilidad es la posibilidad de que el sistema siga
trabajando como se estipulo. En conjunto la disponibilidad y la fiabilidad
miden la capacidad del sistema para asegurar que los datos estn
disponibles y correctos bajo una gran carga
de trabajo u otras
condiciones adversas.

Active Directory
Un servicio de directorio es una herramienta que conecta los directorios
de toda la red y acta como una gran gua de telfono para los usuarios.
Empleando entradas de tipo (por ejemplo, Dnde estn las
- 12 -

Windows Server 2003

Divisin Empresas

impresoras?) los usuarios pueden recibir un listado de los recursos de


impresin. Todas las versiones de Windows Server 2003 excepto
Windows Server 2003 Web Edition, incluye Active Directory como
servicio de directorio.
Active Directory combina los convenios de denominaciones de X.500, el
sistema de nombres de dominio ( Domain Name System, DNS) como
dispositivo de bsqueda y el protocolo de acceso a directorios
Lightweight(Lightweight Directory Access protocol,LDAP) como protocolo
central. Active Directory permite la existencia de un nico punto de
administracin para todos los recursos, incluidos los usuarios, los
archivos, los dispositivos perifricos, las conexiones con host, las bases
de datos, el acceso a Web, los servicios y los recursos de red. Soporta un
espacio de nombres jerrquico para la informacin de las cuentas de los
usuarios, los grupos y las maquinas y puede abarcar y administrar otros
directorios para reducir las cargas y los costes
administrativos
asociados con el mantenimiento de varios espacios de nombres.

Almacenamiento y soporte de sistemas de archivos.


Windows Server 2003 aade caractersticas al amplio soporte de
almacenamiento y de sistemas de archivos ofrecido por Windows 2000
Server. Junto a la lista de caractersticas valiosas de Windows 2000
Server, como NTFS, administracin de discos (Disk Mnagement) y el
sistema cifrado de archivos (Encrypting file System, NFS).

Comunicaciones.
La comunicacin
es el alma de los negocios
y no solo
las
comunicaciones de red, por importantes que sean. Windows Server 2003
incluye numerosas modificaciones diseadas para hacer mas fcil y
fiable la comunicacin.
Soporte de almacenamiento
Windows Server 2003

y de sistemas

Caractersticas
Compartimiento
remotos

de archivos en

Explicacin
de

Permite el compartimiento
de
documentos archivos por Internet (a travs de
cortafuegos, encaminadotes, etc.)a
los servidores http.

Mejoras en la gestin de archivos

Proporciona opciones mejoradas


de carpeta, incluidas las mejoras
en las personalizaciones de las
vistas de las carpetas y un mayor
tamao de las miniaturas.

- 13 -

Windows Server 2003

Divisin Empresas

El nuevo soporte de lnea de


comandos incluye utilidades para
Soporte de la lnea de comandos a
la configuracin de discos; lo ms
la administracin de los discos.
destacable es que incluye el nuevo
comando DiskPart.

Tabla de particin GUID

Nuevo estilo de particiones de


disco, la tabla de particin GUID
para las versiones de 64 bits de
Windows Server 2003; proporciona
una mejor integridad de las
estructuras de datos
de la
particin.

Para las conexiones dentro y fuera de la empresa Windows Server 2003


ofrece las herramientas siguientes:

Por medio del soporte de Internet integrado en el sistema


operativo los usuarios pueden enviar correo electrnico, mantener
conversaciones y consultar grupos de noticias.
Los servicios de equipo puntos de comparticin permiten a los
grupos compartir archivos, participar en discusiones y comunicar
gran variedad de informacin mediante paginas Web. Los
administradores manejan la seguridad del sitio y de la subweb.
[Los servicios de equipo SharePoint no se instalan de manera
predeterminada, y se necesitan los servicios de informacin de
Internet (Internet Informatin Service, IIS) para la instalacin.]
Windows Server 2003 proporciona soporte cliente para el estndar
industrial red privada virtual (VPN,Virtual Private Network) por
medio de dos protocolos: el protocolo de tnel punto a punto
(PPTP,Point-to-point Tunneling protocol) y el protocolo de tnel de
nivel 2 (L2TP,Layer two Tunneling Protocol). Estos protocolos
permiten a los clientes y a las sucursales conectarse a otra red
(como puede ser su red corporativa) a travs de Internet.

Ampliacin.
Las versiones de 64 bits de Windows Server 2003, Enterprise Edicin y
Windows Server 2003, Datacenter Edicin, disponibles para los sistemas
Intel Itanium, permiten el procesamiento de alto nivel, como los grficos
3D, el comercio electrnico y las aplicaciones multimedia, se aumenta el
limite de memoria direccionable, lo que permite que se instale mas
memoria en cada maquina. Esto reduce la cantidad de paginacin, lo
que aumenta el rendimiento del sistema. Las herramientas de
administracin son compatibles tanto con las versiones de 32 bits como
con las de 64 bits de los sistemas operativos, mediante una interfaz del
modelo distribuido de objetos componentes (Distributed Component
Object Model, DCOM) o mediante una interfaz SOAP.
- 14 -

Windows Server 2003

Divisin Empresas

La adicin de memoria en caliente (Hot Add Memory) permite a los


administradores aadir memoria a la memoria disponible del sistema sin
tener que interrumpir el funcionamiento normal del sistema. No necesita
reiniciar la maquina y, por tanto, no supone tiempo de parada. Por
supuesto, el hardware del servidor debe soportar esta caracterstica, y
solo se halla disponible para Windows Server 2003, Enterprise Edition y
para Windows Server 2003, Datacenter Edition.

Necesidad de planificacin.
Si esta diseando una red o realizando modificaciones en una ya
existente, la planificacin es un componente tedioso pero esencial del
trabajo. Antes de ningn trabajo de implementacin hay que completar
la planificacin. Pocos disfrutan de esta tarea y a muchos los desagrada
activamente, pero es importante comprender que cada minuto y cada
hora pasados planificando se recompensaran cien veces a quien las
sufri (o a sus herederos y sucesores).
A veces resulta difcil apreciar las ventajas de una planificacin
cuidadosa hasta que se tiene la desgracia de tener que dar soporte a
una instalacin mal planificada.

- 15 -

Windows Server 2003

Divisin Empresas

Versiones: Web, Standard, Enterprise, Datacenter.


Hay cuatro versiones de Windows Server 2003, aparte de Microsoft
Windows Small Business Server, que es una categora en si mismo.
Microsoft Windows Server 2003 Standard Edition esta diseado
para satisfacer los requisitos de las pequeas y mediana empresa e
incluye todas las capacidades de compartimiento de archivos e
impresoras, conectividad segura con Internet y colaboracin necesarias
para lograrlo.
Microsoft Windows Server 2003 Enterprise Edition esta pensado
para las medianas y grandes empresas y proporciona una
infraestructura empresarial estable, que permite la implantacin de
aplicaciones por lneas de negocio y resulta adecuado para las
soluciones de comercio electrnico de alto rendimiento.
Microsoft Windows Server 2003 Web Edition esta optimizado para
el albergue de sitios Web, servicios Web y aplicaciones.
Microsoft Windows Server 2003 Datacenter Edition esta diseado
para soluciones criticas empresariales que exigen un rendimiento
excelente y una estabilidad absoluta bajo grandes cargas de trabajo,
como las exigidas por las aplicaciones de bases de datos empresariales
y el procesamiento de elevados volmenes de transacciones.
Bajo las cuatro versiones se halla la misma plataforma estable y potente
para la tecnologa.NET, que es expresado de la manera ms sencilla
posible. Una infraestructura preconstruida para la creacin de
aplicaciones basadas en Internet.

- 16 -

Windows Server 2003

Divisin Empresas

Definicin de la red Windows 2003: concepto de


dominio y relacin de confianza como unidades
centrales de la red Windows 2003.
Para planificar como debera quedar la estructura de espacios de
nombres y dominios es necesario analizar la organizacin y tratar de
comprender sus necesidades de denominacin fundamentales. Este
proceso requiere una profunda comprensin del tipo de organizacin que
se trata y quienes son los actores, adems de algunas conjeturas
razonables acerca de a donde se dirigir la organizacin en el futuro.

rboles y bosques
Como primer paso es necesario entender la diferencia entre los dos tipos
bsicos de espacios de nombres, rboles y bosques, para decidir como
se adaptan a la organizacin.
rboles.
El espacio de nombre rbol, como aparece en la figura, es un espacio de
nombres nico y contiguo, donde cada nombre del espacio de nombres
desciende directamente de un nico nombre raz. Este sencillo tipo de
diseo de denominacin es propio para una organizacin esencialmente
cohesiva que tiene un nico nombre bajo el cual puede haber muchas
divisiones diferentes y diversos negocios. Muchos pequeos o medianos
negocios encajan bien en este modelo. Incluso negocios muy grandes
pueden ajustarse cmodamente a una estructura en rbol si la
organizacin esta bastante centralizada y se la conoce por un nico
nombre.
Microsoft.com

Eng.Microsoft.com

Dev.Eng.Microsoft.com

Desing.Dev.Eng.Microsoft.com

corp.Microsoft.com

Qa.Eng.Microsoft.com

Finance.corp.Microsoft.com

- 17 -

Hr.corp.Microsoft.com

Windows Server 2003

Divisin Empresas

Una estructura de rbol ofrece un espacio de nombres nico y contiguo,


derivado de una nica raz.
Como se puede observar en la figura, con un espacio de nombres
estructurado en rbol, cada rama del rbol tiene un nombre que
desciende directamente de la raz del rbol. Este convenio facilita el
encontrar cualquier hoja o rama del rbol rastreando la estructura de su
nombre.
Bosques.
Un espacio de nombres en bosque, como el que se muestra en la figura,
es una coleccin de rboles esencialmente iguales, sin una nica raz en
el espacio de nombres. El espacio de nombres en rbol es apropiado
para una organizacin que tenga mltiples lneas de negocio, cada uno
con su propio nombre independiente e identificable. Generalmente sern
grandes empresas, especialmente aquellas que hayan crecido por medio
de adquisiciones. Por lo general no disponen de un grupo de sistemas de
informacin nico y central que gestiona cada organizacin y cada
divisin
tiene
normalmente
una
identidad
e
infraestructura
esencialmente independiente.
Como se puede observar en la figura, con un espacio de nombres en
rbol se tiene esencialmente un grupo de rboles parejo, cada uno con
su espacio de nombres contiguos, pero con rboles que no se ajustan a
un espacio de nombres contiguo global. No se pueden rastrear
directamente los nombres de todas las hojas hasta una nica raz.
Sample.com

Usa.Sample.com

Wa.Usa.Sample.com

Ja.Sample.com

Ny.Usa.Sample.com

- 18 -

Windows Server 2003

Divisin Empresas

Example.co
m

Usa.Example.co
m
eu.Example.com

Fr.eu.Example.com

Gb.eu.Example.com

Un espacio de nombres estructurado en rbol.

Definicin de un convenio de denominacin.


Tanto si se va a tener un nico rbol o un bosque de rboles como
espacios de nombres global, es necesario tomas algunas decisiones
sobre como se llamaran las distintas ramas del rbol. Esta podra ser con
facilidad una de las decisiones mas difciles y polticamente delicadas
que se tendrn que tomar al disear toda la estructura de
denominacin. Hay que prepararse para sufrir algunas reuniones largas
y desagradables al ir introduciendo a los jugadores crticos en el proceso
de decisin.
Existen esencialmente dos tipos de convenios de denominacin:
organizativo y geogrfico. Ambos tienen sus defensores y existe un
argumento para cada eleccin.

El convenio de denominacin organizativo.


Por medio de un convenio de denominacin se podra modelar el espacio
de nombres de la misma forma que esta estructurada la organizacin.
As, la raz del rbol podra ser Microsoft.com, con un primer nivel que
consista
en
admin.microsoft.com,
finanzas.microsoft.com,
rrhh.microsoft.com, etc.
Se muestran a continuacin las ventajas e inconvenientes
modelo organizativo.
Ventajas

Refleja la organizacin de la compaa.


Se entiende fcilmente.
Posee un camino natural de crecimiento.
Permite organizar los recursos por tipo de necesidad.
- 19 -

de un

Windows Server 2003

Divisin Empresas

- 20 -

Windows Server 2003

Divisin Empresas

Inconvenientes

Resulta difcil de ajustar cuando las estructuras y nombres de la


organizacin cambian.
Puede ser polticamente delicado.
Es difcil el soporte de divisiones que se dividen y mezclan.
Puede resultar difcil de implementar si las divisiones de la
organizacin tienen mltiples ubicaciones de sus sitios.

El convenio de denominacin geogrfico.


Por medio de un convenio de denominacin geogrfico se podra
modelar el espacio de nombres sobre las divisiones geogrficas de la
organizacin. Por ejemplo, con la misma raz Microsoft.com, se podra
tener un primer nivel que consista en corp.microsoft.com,
nortam.microsoft.com, Europa.microsoft.com, frica.microsoft.com, etc.
Bajo este primer nivel, podra desglosarse cada entrada en los pases o
estados/provincias individuales, dependiendo del tamao y complejidad
de la organizacin.
Se muestran a continuacin las ventajas e inconvenientes del convenio
de denominacin geogrfico.
Ventajas

Es apoltico.
Emplear nombres que tienden a ser persistentes.
Ofrece mayor flexibilidad.

Inconvenientes.
No refleja la naturaleza de la organizacin.
Puede requerir ms dominios para satisfacer las necesidades de
seguridad.

- 21 -

Windows Server 2003

Divisin Empresas

Determinacin de la resolucin de nombres.


Una segunda decisin que se debe tomar si se desea que el espacio de
nombres utilizado internamente sea el mismo que el que se presenta al
mundo exterior. Se podra pensar que los nombres deberan ser los
mismos, pero en realidad puede haber razones de peso para optar por
espacios de nombres internos y externos diferentes.
Uso del mismo espacio de nombres interno y externa.
Si se tiene un nico espacio de nombres, las maquinas tienen los
mismos nombres en la red interna y en Internet. En otras palabras, se
obtiene un nico nombre de la autoridad de registro en Internet
correspondiente y se mantiene un nico espacio de nombre DNS, auque
solo un subconjunto de los nombres ser visible desde fuera de la
compaa.
Si se utiliza el mismo nombre de los espacios de nombres interno, y
externo se debe asegurar que la capacidad de resolver nombres desde
fuera de la compaa se limita a maquinas fuera del cortafuego que se
supone que son visibles externamente. Hay que asegurarse de que
ningn servidor de Active Directory reside fuera del cortafuego. Sin
embargo tambin es necesario asegurarse de que las maquinas internas
puedan resolver nombres y acceder a recursos en ambos lados del
cortafuego.
A Continuacin se muestran ventajas e inconvenientes
mismo espacio de nombres de forma interna y externa.

de utilizar el

Ventajas.

Proporciona consistencia en las denominaciones interna y externa.


Permite registrar los nombres una nica vez.
Permite a los usuarios tener una identidad de acceso y de correo
electrnico nica.

Inconvenientes.

Necesita una configuracin del servidor Proxy compleja.


Requiere el mantenimiento de distintas zonas que tienen los
mismos nombres.
Implica que los usuarios deben ser concientes de las diferentes
vistas de los recursos, dependiendo de donde se encuentre.

- 22 -

Windows Server 2003

Proxy/cortafuegos.

Divisin Empresas

Finance.corp.Microsoft.com

Microsoft.com
Eng.Microsoft.com

www.Microsoft.com
suppport.Microsoft.co
m

DNS fuera de
Microsoft.
mismo
espacio

corp.Microsoft.com
Espacio de nombres y DNS dentro
de Microsoft.
interno
y externo, el DNS debe

Con el
de nombres
zonas diferentes dependiendo de donde venga la solicitud.

tener

Uso de distintos espacios de nombres interno y externo.

Microsoft.com

Proxy/cortafue
gos.

Si se establecen espacios de nombres interno y externo distintos, la


presencia pblica debera ser Microsoft.com, mientras que internamente
se podra usar msn.com. Todos los recursos que residen fuera de la red
de la compaa podran tener nombres que terminen en Microsoft.com,
como www.microsoft.com. Sin embargo, dentro de la red de la compaa
se podran utilizar un espacio de nombres independiente que tuviera
msn.com como raz, como se muestra en la figura.

www.Microsoft.com

Finance.corp.msn.c
om
Eng.msn.com

support.Microsoft.com

Corp.msn.com

Espacio de nombres y DNS


externos

Espacio de nombres y DNS


internos

Red pblica con espacios de nombres independieres.


- 23 -

Windows Server 2003

Divisin Empresas

Con espacios de nombres interno y externo distintos, los nombres DNS


de las maquinas disponibles pblicamente son diferentes de los visibles
solo desde dentro del cortafuego. Una consideracin con este escenario:
hay que registrar tanto el nombre pblico como el privado con la
autoridad de nombres de Internet correspondiente. Se puede pensar que
no es necesario preocuparse sobre el nombre que es solo interno si no
se tiene intencin de exponerlo en Internet. Sin embargo, lo que se esta
haciendo realmente es asegurarse de que nadie mas utilice el mismo
nombre, lo que podra causar problemas de resolucin a los clientes
internos.
A continuacin se muestran ventajas e inconvenientes de utilizar
distintos espacios de nombres de forma interna y externa.
Ventajas

Proporciona una distincin clara entre lo que es interno y lo que es


externo.
Ofrece un mantenimiento y configuracin de Proxy mas sencillos.
Facilita a los usuarios la comprensin de las diferencias entre los
espacios de nombres interno y externo.

Inconvenientes.
Requiere que se registren dos espacios de nombres.
Implica que los nombres de los usuarios difieran de sus nombres
de correo electrnico.

Planificacin de una estructura de Dominios


Despus de haber establecido todo el diseo del espacio de nombres, es
necesario disear la estructura de dominios que le de soporte. Cada
rama del espacio de nombres se divide bien en un dominio, bien en una
OU. El que una rama sea un dominio o una OU depender de mltiples
consideraciones, incluyendo la necesidad de replica, poltica de
seguridad, disponibilidad de recursos, calidad de la conexin etc.

- 24 -

Windows Server 2003

Divisin Empresas

Dominios y unidades organizativas


Los rboles de red de Windows 2003 estn formados por dominios y
unidades organizativas. Cada uno proporciona fronteras administrativas
entre las ramas del rbol, pero tiene implicaciones y requisitos de
recursos diferentes.
Dominios.
La unidad principal de Active Directory de Windows Server 2003 es el
dominio, al igual que en Windows 2000 y Windows NT. Todos los objetos
de la red forman parte de un dominio, y la poltica de seguridad es
uniforme a lo largo de un dominio. A diferencia de Windows NT, la
seguridad de Windows 2000 y Windows Server 2003 se basan en la
versin 5 de kerberos, y las relaciones de confianza son transitivas. En
las relaciones transitivas, si un dominio A confa en un dominio B y un
dominio B confa en un dominio C, entonces el dominio A tambin confa
en el dominio C.
Unidades organizativas.
El concepto OU es nuevo en Windows 2000. Tiene algunas de las
caractersticas de un dominio pero sin la sobrecarga de recursos. Una OU
esta contenida en un dominio y acta como contenedor de objetos de
servicios de directorio. Forma una rama del espacio de nombres
contiguo,
y
puede
contener
otros
dominios,
como
finanzas.corp.microsoft.com, y tambin puede contener OUs como
hr.corp.microsoft.com. La OU no requiere un controlador de dominio
independiente ni esta implicada en la replica.
La analoga ms cercana a una OU en el modelo de dominios de
Windows NT es el dominio de recursos pero sin la sobrecarga del
controlador de dominio que se requera bajo Windows NT. En los casos
en los que no se necesita una poltica de seguridad independiente para
un contenedor administrativo dado, la OU proporciona una frontera
apropiada que consume pocos recursos. Por otra parte, una OU se puede
convertir, si es necesario, en un dominio.

Diseo de una estructura de dominios.


Una ves que se a diseado el espacio de nombres y todos los
involucrados se han registrado en el, se puede empezar a disear e
implementar la estructura de dominios. El diseo de la estructura de
dominios se corresponder con el diseo del espacio de nombres, si bien
se puede tomar la decisin de que ciertas fronteras del espacio de
nombres requieran solo OUs, no dominios completos. La decisin entre
una unidad organizativa un dominio debera basarse en si es necesaria
una poltica de seguridad independiente para las entidades en los limites
del espacio de nombres. Si es un limite concreto del espacio de nombres
no requiere una poltica de seguridad diferente de la de su padre,
- 25 -

Windows Server 2003

Divisin Empresas

probablemente una OU resultara una divisin apropiada ya que requiere


menos recursos para su implementacin.

- 26 -

Windows Server 2003

Divisin Empresas

Diseo de una estructura de dominio en rbol.


Si se va a crear un espacio de nombres nico y contiguo y, por tanto,
una estructura de dominios puramente en rbol, se deseara crear los
dominios en orden jerrquico, comenzando por la parte superior del
rbol. El primer dominio ser el dominio raz y tendr por lo general, o
todos los usuarios en el (para modelos pequeos con un nico dominio)
o ningn usuario en absoluto (si se utiliza un dominio estructural como
dominio raz). Para los que estn familiarizados con los modelos de
dominios de Windows NT 4, este patrn se corresponde
aproximadamente con el modelo de dominio maestro nico, con una
importante diferencia. Los usuarios no necesitan (y muy a menudo no
deberan) residir en un nico dominio maestro, si no que deberan residir
en el lugar real que les corresponde en la estructura de dominios.
A medida que se ramifica el rbol del espacio de nombres, se crearan
dominios
o unidades organizativas para cada rama del rbol. La
decisin sobre si crear una OU o un DC depender de todo el modelo de
seguridad, la calidad de la conexin a la ubicacin, y variedad de otros
factores, incluyendo las consideraciones polticas de la planificacin
original del espacio de nombres. Si se tiene alguna duda en algn punto,
basta con crear una OU, que se puede actualizar fcilmente a un
dominio mas tarde y no es necesario un servidor separado para crear la
OU.
Diseo de una estructura de dominios en un bosque.
La estructura de bosque de rboles se utiliza a menudo para adaptarse a
un espacio de nombres existente que no es contiguo y no se puede
hacer contiguo de forma sencilla. Al final habr mltiples dominios raz,
todos al mismo nivel. Bajo cada uno de esos dominios raz se tendr un
espacio de nombres contiguo para ese rbol. Cada rama del espacio de
nombres ser bien un dominio (con el requisito que conlleva de uno o
mas controladores de dominio) o una unidad organizativa. Generalmente
se crea cada rbol de arriba a abajo, y cada rama del rbol tendr
automticamente una relacin de confianza transitiva con las otras
ramas del rbol.
Los rboles del bosque compartirn los mismos esquemas, configuracin
y catalogo global, con relaciones de confianza transitivas Kerberos, entre
todos los miembros del bosque. La jerarqua de confianza en el bosque
considerado como un todo seguir el orden en que los rboles se unan al
bosque. Este hecho es transparente a los usuarios pero puede ser
modificado por el administrador para mejor la gestin y otros aspectos
relacionados.
Directivas para la seguridad de los dominios.
Dentro de cada dominio, los requisitos, la poltica y la configuracin de
seguridad son consistentes. Si se necesitan modificar los requisitos y la
poltica de seguridad para una subunidad dentro de un dominio, ser
- 27 -

Windows Server 2003

Divisin Empresas

necesario crear esa subunidad como otro dominio, no como OU.


Conviene recordar esta limitacin al planificar el espacio de nombres al
completo ser necesario tener una rama independiente del espacio de
nombres para poder tener una poltica de seguridad independiente.
Qu se entiende por poltica de seguridad? Qu implica?
Por el momento se presentara un breve resumen. La poltica de
seguridad incluye:

Requisitos de acceso.
Certificados.
Caducidad y longitud mnima de las contraseas.
Tarjetas inteligentes u otros complementos de autenticacin.
Restricciones de la maquina o segn la hora del da.

Muchas de estas cosas podrn mantenerse constantes a lo largo de toda


la organizacin, pero puede haber ciertas reas que requieran una
seguridad significativamente mayor que la que se necesita en el resto
de la organizacin. Se es as, conviene planificar que las reas que
requieren precauciones extra se encuentren en un dominio
independiente para que su seguridad ms restrictiva no se imponga
toda la organizacin.

Creacin de unidades organizativas.


En las situaciones donde no es necesario crear dominios independientes
por motivos de seguridad pero se quiere mantener un nivel
independiente en el espacio de nombres, se creara una OU
independiente. De este modo, se podr tener un dominio llamado
nortan.microsoft.com que se quisiera dividir en unidades de negocio
dentro de la regin. Se podran crear dominios de ventas, soporte,
educacin, recursos humanos, produccin y finanzas independientes
bajo nortan.microsoft.com. Sin embargo, la sobrecarga de los dominios
independientes (y sus controladores necesarios) para cada una de esas
unidades no es necesaria, especialmente si todas ellas comparten una
nica poltica de seguridad. As que basta con crear una OU para cada
una de ellas. Si mas adelante decide actualizar a dominio alguno de
ellas, se puede hacer fcilmente.
Las OUs establecen fronteras tiles para propsitos administrativos. Se
puede delegar varias tareas y privilegios administrativos al
administrador de una OU especifica, liberando al administrador del
dominio y proporcionando a la OU el control local de sus propios
recursos.

- 28 -

Windows Server 2003

Divisin Empresas

- 29 -

Windows Server 2003

Divisin Empresas

Unidad 2: Instalacin y configuracin de


Windows 2003 Server
Introduccin
En esta sesin aprender como instalar y configurar Windows Server
2003.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Conocer los requerimientos para la instalacin de Windows Server


2003 de acuerdo a las caractersticas de los servidores Microsoft
Comprobar los procedimientos para la instalacin de Windows
Server 2003 de acuerdo a las caractersticas de los servidores
Microsoft.
Identificar los diferentes tipos de ficheros soportados por Windows
2003 Server de acuerdo a las caractersticas de los servidores
Microsoft.
Identificar las caractersticas de ficheros de NTFS en Windows
Server 2003 de acuerdo a las caractersticas de los servidores
Microsoft.

Requisitos del sistema.


Antes de instalar Windows Server 2003 hay que verificar que se dispone
del hardware adecuado. Esto implica tanto cumplir los requisitos
mnimos del sistema (y si es posible superarlos si se requiere que el
servidor realice algn trabajo real) como verificar la lista del hardware
compatible ( HCL, hardware compatibility list) de Microsoft para
asegurarse de que se soportan tanto el equipo como los perifricos.
La siguiente tabla enumera los requisitos mnimos del sistema para
Windows Server 2003 junto con algunas recomendaciones prcticas para
el hardware mnimo necesario.

- 30 -

Windows Server 2003

Divisin Empresas

Requisitos mnimos para obtener un rendimiento adecuado


Mnimo

Mnimo recomendado

Intel Pentium 133

Uno o mas procesadores Intel


Pentium II 550 o ms rpidos ( o
procesadores
compatibles

comprubese la HCL)

128 MB de RAM mnimo, 4-64 GB


256 MB de RAM como mnimo.
mximo (segn la versin)
Monito sper VGA

Monitor sper VGA con resolucin


mnima de 800 X 600

Teclado y ratn u otro dispositivo Teclado y ratn u otro dispositivo


sealador.
sealador.
1051 MB de espacio en disco

2.5 GB de espacio libre en un disco


duro de 7200 rpm o mas rpido

CD-ROM de inicio

CD-ROM de inicio 12x o mas rpido


o unidad de DVD-ROM.

Disquetera de 1.44 MB

Disquetera de 1.44 MB.

Uno o mas adaptadores de red

Uno o ms adaptadores de red PCI


Fast Ethernet con soporte del
entorno de ejecucin previa al
inicio
(preboot
execution
Enviroment, PXE).

Procedimientos de instalacin.
Planificacin de las particiones
Antes de instalar Windows hay que determinar el modo en que se desea
establecer las particiones de los discos duros una sola particin para
las instalaciones clientes funciona bien en la mayor parte de las
implementaciones.
Aunque una sola particin es la opcin ms sencilla para los servidores,
se obtiene flexibilidad (y seguridad) creando una particin de 3 a 4 GB
para el sistema operativo y otra particin con el resto del espacio
disponible. De esta manera, el sistema operativo de las aplicaciones de
los datos (especialmente la carpeta Inetpub correspondiente a Internet
information Service) y permite el uso en el servidor de servicios como
servicios de instalacin remota (Remote installation Service, RIS), que
deben instalarse en particiones que no sean del sistema.
- 31 -

Windows Server 2003

Divisin Empresas

Tambin se puede seguir esta estrategia, ms o menos, para los


servidores con varios discos. Si el primer disco duro es pequeo, se le
puede hacer una sola particin para Windows, emplear otros discos
para los datos y para las aplicaciones que no se pueden instalar en la
misma unidad que Windows (como RIS). En caso contrario, se puede
dividir el primer disco en dos particiones (una de ellas, una particin de
4 GB para Windows) y crear particiones que ocupen todo el espacio
disponible en los dems discos.
Por supuesto la mayor parte de los servidores serios utilizan alguna
forma de array redundante de discos independientes (redundant array of
independet disks, RAID). Los RAID de hardware pueden tratarse
sencillamente como un solo disco: si se utiliza el RAID para el disco del
sistema, hay que crear en el una particin de 4 GB para Windows y dejar
el resto para los datos y las aplicaciones.
Aunque los RAIDs de Hardware conllevan el mximo rendimiento y la
solucin RAID ms sencilla, Windows tambin soporta RAIDs basados en
software que no necesitan ninguna controladora de disco RAID
especifica, por lo que se ahorra dinero en ellos. No obstante, los RAIDs
basados en software (as como la distribucin, las imgenes y las
secciones de disco basados en software) pueden crear problemas con el
programa de instalacin de Windows, ya que el programa de instalacin
tiene dificultades con el manejo de los volmenes dinmicos. Aunque la
mayor parte de las actualizaciones funcionaran sin problemas, no se
puede llevar a cabo una instalacin limpia en un volumen dinmico a
menos que este conectado estrechamente. (Solo los volmenes
dinmicos que se actualizaron a partir de volmenes bsicos estn
conectados estrechamente.)

Recoleccin de informacin de la red


Despus de determinar como se quieren configurar las particiones de las
unidades de disco, hay que localizar todos los controladores para el
hardware. Despus, hay que registrar (o crear) los siguientes
parmetros.

Nombre de la computadora en el sistema de nombres de


dominio (DNS, Domain Name System)

Este nombre puede contener letras maysculas o minsculas, numero


guiones. El nombre DNS del host no debe sobrepasar los 15 caracteres si
se pretende que nombre del NetBios sea el mismo que el nombre DNS
(una buena idea para mantener la compatibilidad con sistemas de
Windows 95, Windows 98 y Windows NT.

Nombre del dominio o grupo de trabajo al que debe unirse (si se


encuentra en una red) Si la computadora se halla en un dominio
- 32 -

Windows Server 2003

Divisin Empresas

de Windows, hay que tener en cuenta que el nombre de ese


dominio. En las redes de igual hay que tener en cuenta el
nombre del grupo de trabajo al que pertenece la computadora.

Direccin IP del equipo. Es necesario siempre que la red no


tenga un servidor de protocolo de configuracin dinmica de
host (DHCP, Dynamic Host Configuration Protocol).

Licencias y activacin del producto


Hay dos problemas con las licencias que los administradores afrontan
con Windows Server 2003 el tipo de licencia y la activacin del
producto.
Tipos de licencias.
Hay dos tipos de licencias para los servidores de Windows, por servidor y
por puesto. Con las licencias por puesto cada cliente que tiene acceso al
servidor debe tener su propia licencia de acceso de cliente (CAL, Client
Access Licence). Los clientes con una CAL pueden conectarse a cualquier
nmero de servidores, lo que hace de este mtodo el mtodo de licencia
ms habitual para las compaas que tienen ms de un servidor
Windows. Tambin se suele elegir la licencia por puesto cuando se utiliza
servicios de termina Server/Server, en cuyo caso debe utilizar el mtodo
por servidor).
Las licencias por servidor exigen que el servidor tenga una CAL para
cada conexin simultnea. Por ejemplo, si se escoge el modo de licencia
por servidor con 50 conexiones simultaneas, el servidor podr soportar
un mximo de 50 conexiones de clientes simultneos. Este mtodo de
licencia resulta adecuado para empresas que utilizan un nico servidor
Windows o para servidores de Internet o de acceso remoto cuyos
equipos clientes puede que no tenga licencia como clientes de red de
Windows.
Si no se esta seguro del modo de licencia que se debe emplear,
conviene escoger por servidor. Se puede pasar una sola vez de por
servidor a por puesto (sin coste adicional), pero no de por puesto a por
servidor.
Activacin del producto.
Las copias de Microsoft Office XP, Windows XP y Windows Server 2003
que se venden al por menor en cajas hacen uso de activacin del
producto, lo que significa que hay que activar el software va Internet (o
por telfono) para que funcione. El software con licencia por volumen
esta exento de la activacin del producto. Durante la activacin se crea
una asociacin de hardware que identifica de manera no univoca el
hardware del sistema.
- 33 -

Windows Server 2003

Divisin Empresas

Instalacin de Windows Server 2003.


Instalacin de Windows en discos en blanco
Si no hay ninguna copia de Windows instalada en el servidor hay que
iniciar el sistema con el CD-ROM de Windows. Para iniciar desde el CDROM de Windows hay que introducir el CD-ROM en la unidad y reiniciar
el sistema.
Cuando se solicite que presione cualquier tecla presione una sin
importar cual sea, solo es para iniciar la instalacin de Windows. Si la
instalacin no comienza de manera automtica puede que haga falta
configurar el orden de inicio de de la BIOS para indicar al sistema que
utilice la unidad de CD-ROM antes que la de disco duro.
Fases de la instalacin.
El proceso de instalacin de Windows consta de varias fases que varan
algo en funcin del modo en que se inicia la instalacin.
Si se instala desde Windows, la instalacin recopila informacin y copia
los archivos que necesita para iniciar la computadora en el modo de
texto de la instalacin y despus la reinicia en modo texto. Entonces se
puede (opcionalmente) seleccionar la particin correspondiente para
instalar Windows, despus de los cual se instala una versin mnima de
Windows en el disco duro y reinicia la computadora en el asistente para
la instalacin de Windows en la interfaz grafica de usuario (Graphical
User Interface, GUI), que recopila ms informacin, configura los
dispositivos y termina de copiar los archivos. Despus de esto las
instalacin esta completa, y el equipo se reinicia en Windows.
Si se inicia el sistema desde el CD-ROM de Windows, la instalacin se
inicia directamente en el modo de texto, en el que se elige la particin
en que se desea instalar Windows. El programa de instalacin instala
entonces Windows en el disco duro e inicia el asistente para la
instalacin de Windows basado en la interfaz grafica de usuario. El
asistente recopila informacin, configura los dispositivos y termina de
instalar los archivos en la computadora. El programa de instalacin
reinicia la computadora cuando ha concluido.
Si ya se dispone de una copia de Windows 2000, Windows NT 4 o
Windows 98 instalado en el servidor, la manera mas sencilla de instalar
Windows Server 2003 es ejecutar la versin de 32 Bits del programa de
instalacin (winnt32.exe). Para ello, hay que seguir los siguientes pasos.
1. Hay que desconectar el servidor de Internet, aunque este
destinado a ser servidor Web (se puede dejar conectado a red
local, ya que se supone que se halla ubicada en bien resguardo
tras un cortafuegos,)

- 34 -

Windows Server 2003

Divisin Empresas

2. Desde Windows, hay que introducir el CD-ROM de Windows que se


vaya a instalar (Standard Editon, Web Edition, etc.) y pulsar el
botn instalar Windows correspondiente, como se puede observar
en la figura. Si no aparece esta pantalla, hay que lanzar setup.exe
desde el CD-ROM de Windows o Winnt32.exe desde la carpeta
\i386 del CD-ROM.

3. Para instalar Windows desde la red hay que lanzar el programa


winnt32.exe desde la unidad de red que contenga los archivos de
instalacin de Windows y luego seguir normalmente con la
instalacin.
4. Hay que escoger instalacin nueva avanzada en el cuadro tipo de
instalacin, que se muestra en la figura siguiente.

- 35 -

Windows Server 2003

Divisin Empresas

5. Se debe leer el contrato de licencia, escoger la opcin acepto este


contrato y pulsar siguiente.

- 36 -

Windows Server 2003

Divisin Empresas

6. Hay que escribir la clave del producto del embalaje del CD-ROM de
Windows y luego pulsar siguiente.

7. Ventana opciones de instalacin, hay que pulsar el botn opciones


avanzadas si se desea modificar los parmetros de copia de
archivos del programa de instalacin de Windows. Luego hay que
actualizar el cuadro de dialogo opciones avanzadas, para modificar
los siguientes parmetros y pulsar aceptar cuando se acabe.

El origen de los archivos de instalacin de Windows (un CDROM o una ubicacin de red)

El nombre de la carpeta en la que se desea instalar


Windows.

Si se deben copiar todos los archivos de instalacin en el


disco duro antes de reiniciar el programa de instalacin (de
modo que los archivos sigan estando disponibles aunque el
origen de red de los archivos de instalacin deje de estarlo
durante la instalacin, como ocurre si el adaptador de red no
esta soportado por Windows Server 2003).

Si se desea especificar la particin del disco duro empleada


para Windows.

8. Hay que pulsar el botn opciones de accesibilidad si se desea


activar durante la instalacin el empleo de ampliador de Microsoft
- 37 -

Windows Server 2003

Divisin Empresas

o de narrador de Microsoft para los usuarios con dificultades de


visin.
9. Hay que seleccionar el lenguaje principal del men desplegable,
seleccione la casilla de verificacin instalar compatibilidad para
idiomas de Asia oriental para instalar el soporte para los conjuntos
de caracteres de Asia oriental y luego pulsar siguiente.

10.
Si se solicita, hay que seleccionar Usar sistema de archivos
NTFS para actualizar la unidad a NTFS y luego pulsar siguiente.
11.
En la pantalla obtener los archivos actualizados de la
instalacin hay que seleccionar la opcin si, descargar los archivos
de la instalacin actualizados y luego pulsar siguiente. El
programa de instalacin de Windows se conecta a Internet,
descarga los archivos de instalacin de Windows actualizados que
haya y copia los archivos de instalacin a la computadora. Una vez
que el programa de instalacin acabe de copiar los archivos,
reiniciara la computadora en la siguiente parte de la instalacin
basada en texto.
12.
Hay que cargar controladores especiales de unidades de
almacenamiento masivo (como los controladores de unidades con
la interfaz de pequeos sistemas informticos [Small Computer
System Interface, SCSI] o de unidad RAID) o una HAL
personalizada, hay que pulsar F6 cuando la cuando la
computadora reinicie en la parte basada en texto del programa de
- 38 -

Windows Server 2003

Divisin Empresas

instalacin. Para especificar manualmente una HAL diferente hay


que pulsar F5.

13.
Cuando aparezca la pantalla este el programa de instalacin
de Windows hay pulsar <Enter> para continuar con la instalacin.

- 39 -

Windows Server 2003

Divisin Empresas

14.
Hay que leer el acuerdo de licencia y pulsar F8 para
continuar, si es que aparece esa pantalla continuar con la
instalacin.

- 40 -

Windows Server 2003

Divisin Empresas

15.
En la pantalla siguiente se pide que escoja el disco y la
particin en los que se desea instalar Windows, (las opciones de
escoger particiones solo aparece cuando hay particiones
existentes en caso contrario solo nos mostrara la particin actual
del disco como se puede observar en la figura).

16.
Para eliminar la particin seleccionada hay que pulsar la
tecla D; para crear una particin nueva hay que seleccionar un
espacio libre de particiones y pulsar la tecla C.
17.
Una vez se haya acabado de modificar las particiones hay
que seleccionar la particin en la que se desea instalar Windows y
pulsar <Enter>.

- 41 -

Windows Server 2003

Divisin Empresas

18.
Si se escoge crear una particin nueva se pide que se de
formato a esa particin empleando bien el sistema de archivos
NTFS, o bien el sistema de archivos FAT, mediante un formato
rpido o mediante un formato completo. Se debe escoger el
formato rpido NTFS si se sabe que el disco no tiene ningn sector
defectuoso ni antecedentes de archivos deteriorados; en caso
contrario, se debe escoger el formato completo NTFS y pulsar
<Enter>.
19.
El programa de instalacin confirma la seleccin de
particiones (y avisa si ya hay algn sistema operativo en la
particin) y ofrece la opcin de convertir a NTFS si no utiliza ya ese
sistema de archivos. Si se desea volver a dar formato al disco duro
conviene escoger la opcin de formato rpido NTFS (esto borra
todos los datos de la particin seleccionada).
20.
El programa de instalacin busca errores en los discos y
luego copia los archivos correspondientes en la carpeta de
Windows recin creada (denominada \Windows de manera
predeterminada). Una vez que el programa de instalacin termina
de copiar archivos pide que se retiren los disquetes y CD-ROM y
luego reinicia el sistema e inicia el asistente para la instalacin de
Windows.
21.
El asiste para la instalacin de Windows detecta y configura
los dispositivos instalados en la computadora. Si el programa de
instalacin no puede detectar correctamente algn dispositivo,
muestra un cuadro de dilogo de configuracin de dispositivo para
que se configure manualmente.
22.
Una vez detectado el hardware, se solicita que se configure
los parmetros regionales, si es que no se han configurado ya.
Estos parmetros afectan a factores como la disposicin del
teclado y el formato de los valores de fechas y monetarios. Hay
que configurar estas opciones como corresponda y luego pulsar
siguiente.
23.
Hay que escribir el nombre de la persona cuyo nombre se
vaya a registrar la computadora (si no se ha hecho ya), as como la
organizacin correspondiente.

- 42 -

Windows Server 2003

Divisin Empresas

24.
Hay que escribir la clave del producto, si no se ha hecho ya,
y luego, pulsar siguiente.

25.
Hay que escoger la modalidad de licencia en la ventana
siguiente, bien por servidor, bien por puesto. Si se escoge por
servidor hay que especificar el nmero de CALs adquiridas.

- 43 -

Windows Server 2003

Divisin Empresas

26.
Hay que escribir el nombre de la computadora en el cuadro
de texto Nombre de equipo. El nombre de la computadora puede
contener los nmeros del cero al nueve, letras maysculas y
minsculas y guiones, pero no espacios ni puntos. El nombre debe
ser compatible con DNS y puede tener un mximo de sesenta y
tres caracteres de longitud pero, en aras de la compatibilidad con
clientes anteriores a Windows 2000, conviene que tenga quince
caracteres o menos.

27.
Hay que escribir una contrasea para la cuenta del
administrador de hasta catorce caracteres de longitud en el cuadro
de texto contrasea de administrador y volver a escribirla en el
cuadro de texto confirmar contrasea. Hay que pulsar siguiente.
- 44 -

Windows Server 2003

Divisin Empresas

28.
Se puede revisar la informacin de fecha, hora y zona
horaria, realizar los cambios que sean necesarios y pulsar
siguiente para configurar los parmetros de red.

29.
En la ventana informacin de la ubicacin que aparece si el
programa de instalacin detecta un mdem, hay que seleccionar
el pas, escribir el cdigo de zona de la lnea telefnica (si hay
alguno), escribir los cdigos necesarios para obtener lnea con el
exterior y pulsar siguiente. (Se pueden seleccionar ubicaciones
adicionales o modificar la ubicacin actual empleando la
herramienta opciones de telfono y mdem del panel de control
una vez concluida la instalacin).
30.
Hay que escoger la opcin configuracin tpica para instalar
los siguientes protocolos y servicios de red de uso frecuente:
Cliente para redes Microsoft, Compartir impresoras y archivos para
redes Microsoft y protocolos de control de transmisiones/protocolo
de Internet (transmisin control protocol/Internet protocol, TCP/IP)
configurados para emplear DHCP [ o la asignacin automtica de
direcciones IP privadas (Automatic Private IP Addressing, APIPA) si
no se dispone de ningn servidor DHCP].
31.
Para especificar los parmetros concretos de la red hay que
escoger la opcin personalizar y pulsar siguiente. Si no fuera
necesario, se puede pulsar siguiente y pasar al paso 34. El
programa de instalacin de Windows muestra una lista
predeterminada de componentes de la red (como se puede
observar el la figura), que se puede modificar para adaptarla a las
necesidades del sistema.

- 45 -

Windows Server 2003

Divisin Empresas

32.
Para instalar componentes adicionales hay que pulsar
Instalar; seleccionar Clientes, Servicio o Protocolo; pulsar Agregar;
seleccionar el componente deseado y pulsar aceptar.
33.
Puedes deshabilitar algn componente ya instalado hay que
desactivar la casilla de verificacin ubicada junto a ese
componente o seleccionar ese componente y pulsar desinstalar
para eliminarlo del sistema.
34.
Para unirse a un grupo de trabajo o crearlo hay que escoger
la primera opcin de la ventana Grupo de trabajo o dominio, que
puede verse en la figura, y escribir el nombre de ese grupo de
trabajo.

35.
Para unirse aun dominio ya existente hay que pulsar la
segunda opcin y escribir el nombre del dominio en el que se
desea incluir la computadora en el cuadro de texto dominio. Si se
va a configurar un dominio nuevo, hay que unirse aun grupo de
trabajo o aun domino ya existente.
36.
Hay que pulsar siguiente cuando acaban de configurar los
parmetros del dominio o del grupo de trabajo. Si se decide unirse
a un dominio, aparece un cuadro de dialogo que pide que se
escriba el nombre del usuario y la contrasea de algn usuario con
los permisos suficientes para crear una nueva cuenta de equipo
para el servidor. Hay que escribirle nombre del usuario y la
contrasea y pulsar Aceptar. El programa de instalacin inicia la
sesin en el dominio y configura una cuenta de equipo para el
servidor.
37.
El programa de instalacin instala y configura Windows
ahora. Una vez que el programa de instalacin concluye este
proceso, elimina los archivos de instalacin temporales y pide que
- 46 -

Windows Server 2003

Divisin Empresas

retiren los CD-ROM o disquetes que aya en al unidades. Hay que


pulsar finalizar para reiniciar la computadora.
38.
Si se produce algn error durante el proceso de instalacin,
el programa de instalacin muestra un mensaje de error que
ofrece la posibilidad de examinar el archivo de registro
Setuplog.txt que ha creado. Hay que pulsar Aceptar para hacerlo.
Hay que revisar el archivo y pulsar cerrar para reiniciar el sistema.
39.
Una vez que el programa de instalacin ha iniciado la
computadora se puede ver la pantalla estndar de inicio de sesin
de Windows. Se puede iniciar una sesin y emplear la herramienta
administre su servidor para acabar de configurar el servidor.

- 47 -

Windows Server 2003

Divisin Empresas

El asistente de configuracin del servidor.


Lo primero que se ve despus de iniciar una sesin en un sistema
Windows Server 2003 recin instalado o actualizado es el asistente
Administre su servidor o el Asistente configurar el servidor si es el
primer servidor en la red. El asistente Administre su servidor proporciona
una interfaz sencilla para acceder a herramientas de administracin
importantes. El Asistente configurar el servidor proporciona una interfaz
mas potente para agregar y eliminar diversas funciones de servidor,
tales como el controlador de dominios de Active Directory, el servidor
DHCP, el servidor DNS y el servidor WINS. Aunque todas estas tareas se
pueden realizar mediante el uso de consolas MMC, el Asistente
configurar servidor hace sencillo y rpido la instalacin de cada servicio.
Tambin indica algunos pasos de configuracin que no estn incluidos en
otros asistentes.
El asistente para configurar su servidor, que se muestra en la figura, es
sencillo de utilizar las funciones del servidor que se configuran en el
sistema se listan junto con los vnculos a herramientas administrativas
relevantes.
Para agregar o eliminar funciones del servidor hay que utilizar el
asistente configurar el servidor. Para realizar esto hay que pulsar
Agregar o quitar funcin en el asistente Administrar el servidor. Entonces
hay que seguir los siguientes pasos.

1. Pulsar siguiente en la primera pagina, verificar que el servidor esta


conectado a la red y esta adecuadamente configurado y entonces
pulsar siguiente de nuevo. El asistente configurar el servidor

- 48 -

Windows Server 2003

Divisin Empresas

analiza la configuracin de la red del servidor y entonces presenta


una lista de funciones del servidor que se pueden elegir.
2. Si el asistente no puede encontrar otros servidores en la red
aparece la pgina de opciones de configuracin, que proporciona
la posibilidad de configurar el servidor con las funciones tpicas del
primer servidor en la red o elegir funciones individuales.
3. Elegir una funcin de servidor de la lista, como se muestra en la
figura y que se describe a continuacin:

Servidor
de
archivos:
Gua
por
los
parmetros
predeterminados de cuotas de disco del servidor (tambin se
pueden gestionar las cuotas directamente mediante el
explorador de Windows o mediante los parmetros de
configuracin del equipo de Directiva de grupos). Tambin
ayuda a conmutar los servicios de ndice as como instalar la
nueva y manejable consola MMC con la administracin de
servidores de archivos. Despus lanza el asistente para
compartir una carpeta, que ayuda a compartir carpetas en la
red.

- 49 -

Windows Server 2003

Divisin Empresas

Servidor de impresin: Lanza el asistente para agregar


impresoras y el asistente para agregar controladores de
impresora, que se puede utilizar para instalar nuevas impresoras
y unidades de impresoras para clientes.

Servidor de aplicaciones (IID, ASP.NET): Instala el software de


servicios de Internet Information Server (IIS, Internet information
Services).

Servidor de correo (POP3, SMTP): Instala el software del servidor


ligero de correo POP3 de Windows.NET, as como el servicio
SMTP de IIS.

Terminal Server: Instala los servicios de Terminal Server,


habilitando al servidor para que proporcione servicios de
Terminal a varios clientes (se puede realizar administracin
remota mediante la caracterstica de Escritorio remoto sin
instalar los Servicios de Terminal Server).

Servidor de acceso remoto/VPN: Inicia el asistente para la


instalacin de acceso remoto y enrutamiento.

Controlador de dominio (Active Directory): Inicia el asistente


para la instalacin de Active Directory y de forma opcional
instala y configura DNS.

Servidor DNS: Instala el software de servidor DNS e inicia el


asistente para configurar un servidor DNS.

Servidor DHCP: Instala el software de servidor DHCP e inicia el


asistente para el mbito nuevo.

Servidor multimedia de transmisin por secuencias: Instala


servicios de Windows media.

Servidor WINS: Instala el software de servidor WINS.

El subsistema de almacenamiento masivo: configuracin de los


discos: discos bsicos y discos dinmicos. Particiones: tipos.
Tolerancia a fallos del subsistema de discos: niveles RAID
soportados.
Este punto se revisara en el capitulo de recuperacin de fallos.

- 50 -

Windows Server 2003

Divisin Empresas

Sistemas de ficheros: concepto y tipos soportados:


FAT32, NTFS.
FAT y FAT32
Normalmente, Usted no utilizara FAT o FAT32 para dar formato a la
particin del sistema, a menos que requiera un dual boot entre Windows
Server 2003 y otro sistema operativo. FAT y FAT32 no ofrecen las
caractersticas de seguridad que provee NTFS. Si Usted requiere las
caractersticas de NTFS, regularmente seguridad a nivel archivos y
carpetas, es recomendable que use sistema NTFS.
Nota: Si elige dar formato a la particin usando FAT, la instalacin
automticamente dar formato a particiones que son mayores de 2 GB
en FAT32.

NTFS
Utilizar NTFS para las particiones, permite:
Seguridad a nivel archivos y carpetas. NTFS permite controlar el acceso
a los archivos y a las carpetas.
Compresin de disco. NTFS permite comprimir archivos para crear ms
espacio disponible.
Cuotas de disco. NTFS permite controlar el uso del disco por usuario.
Encriptacin de archivos. NTFS permite transparentar encriptacin,
archivos y carpetas.
La versin de NTFS en Windows Server 2003 soporta remote storage y
mounting de volmenes en carpetas. Microsoft Windows 2000, Windows
XP Profesional, Windows Server 2003 y Windows NT son los nicos
sistemas operativos que pueden tener acceso a datos sobre un disco
duro local que tenga formato NTFS. Para compatibilidad en NTFS y
Windows NT 4.0 en configuraciones de doble boot, Windows NT 4.0
requiere Service Pack 4 mnimo. Para obtenerlo se recomienda usar
Service Pack 6.

- 51 -

Windows Server 2003

Divisin Empresas

Caractersticas de NTFS en Windows 2003: atributos, seguridad


local -permisos NTFS-, encriptacin, compresin, cuotas de
disco.
NTFS siempre ha sido un sistema de archivos mucho ms eficaz que FAT
y FAT32. Windows 2000, Windows XP y la familia de Windows Server
2003 incluye una nueva versin de NTFS, con compatibilidad con una
serie de caractersticas, incluyendo Active Directory, que es necesario
para los dominios, cuentas de usuarios y otras caractersticas de
seguridad importantes.
FAT y FAT32 son similares salvo que FAT32 esta diseado para discos
mayores que FAT. El sistema de archivos recomendado para los discos
grandes es NTFS. Tenga en cuenta que las opciones del sistema de
archivos no tienen efecto alguno sobre el acceso a los archivos a travs
de la red. Por ejemplo, el uso de NTFS en todas las particiones de un
servidor no afecta a los clientes que se conecten a travs de una red a
las carpetas o archivos compartidos en ese servidor, incluso aunque
aquellos clientes ejecuten en un sistema operativo anterior a Windows
98 o Windows NT. A continuacin se describe la compatibilidad y
tamaos de cada sistema con los diversos sistemas operativos:

NTFS: Un equipo que ejecute Windows 2000, Windows XP o un


producto de la familia de Windows Server 2003 podr tener
acceso a los archivos en una particin NTFS local. Un equipo que
ejecute Windows NT 4.0 con service pack 5 o posterior quiz
pueda tener acceso a ciertos archivos. Otros sistemas operativos
no permitirn acceso local. El tamao mximo de volumen
recomendado es de, aproximadamente, 10 MB. Los tamaos de
particin y volumen mximo comienzan en 2 Terabytes (TB) y
ascienden a partir de ah. Por ejemplo, un disco dinmico al que
se ha dado formato con un tamao de unidad de asignacin
estndar (4 KB) puede tener particiones de 16 TB. El tamao de
unidad de archivos mximo es, en teora, de 16 TB menos de 64
KB, aunque los archivos no podrn superar el tamao del
volumen o particin en que se alojan.
FAT. El acceso a los archivasen una particin local esta disponible
a travs del MS-DOS, todas las versiones de Windows y OS/2. el
tamao de los volmenes pueden variar desde la capacidad de
un disco flexible hasta 4 GB. El tamao de archivos mximo es
de 2 GB.
FAT32. El acceso a los archivos es una particin local solo esta
disponible mediante Windows 95 OSR2, Windows 98, Windows
ME, Windows 2000, Windows XP y productos de la familia
Windows Server 2003. los volmenes desde 512 MB a 2 TB se
pueden escribir o leer mediante los productos de la familia
- 52 -

Windows Server 2003

Divisin Empresas

Windows Server 2003. A los volmenes de hasta 32 GB se les


puede dar formato como FAT32 gracias a los productos de la
familia de Windows Server 2003. el tamao mximo de los
archivos es de 4 GB.
Caractersticas NTFS
Algunas de las caractersticas de NTFS son las siguientes.

Mejor escalabilidad para unidades mayores. La particin mxima


o el tamao del volumen de NTFS es muy superior a la de los
volmenes FAT y, a medida que se incrementa el tamao del
volumen o de la particin, no disminuir el rendimiento con NTFS
como si ocurre con FAT.
Active Directory (y los dominios, que son parte de Active
Directory). Con Active Directory podr ver y controlar fcilmente
los recursos de red. Con los dominios, podr ajustar las opciones
de seguridad a la vez que simplifica la administracin. Los
controladores de dominio y Active Directory necesitan NTFS
Las caractersticas de comprensin, incluyendo la posibilidad de
comprimir o descomprimir un archivo, una carpeta o un archivo
especfico. Un archivo puede ser, al mismo tiempo, comprimido y
descifrado.
Cifrado de archivos, lo que mejora sustancialmente
la
seguridad. Un archivo no puede estar comprimido y cifrado al
mismo tiempo.
Los permisos que se pueden definir en los archivos individuales,
en lugar de definirlos simplemente en carpetas.
Almacenamiento remoto, que proporciona una extensin al
espacio incrementando la accesibilidad de los medios extrables
como, por ejemplo, las cintas
Registr de recuperacin de las actividades de disco, que
permiten que NTFS restauren la informacin rpidamente en
caso de que falle la alimentacin del sistema o de que surjan
otros problemas con el sistema.
Archivos dispersos. Estos son archivos de gran tamao que
crean aplicaciones de forma que solo se necesite espacio de
disco limitado. Es decir, NTFS solo asigna espacio de disco a
aquellas partes de un archivo en que se escribe.
Cuotas de disco, que puede utilizar para supervisar y controlar la
cantidad de espacio de disco utilizando por usuarios
individuales.

- 53 -

Windows Server 2003

Divisin Empresas

- 54 -

Windows Server 2003

Divisin Empresas

Herramientas a la arquitectura: Microsoft Management Console.


La consola de administracin de directivas de grupo es un sistema
de interfases programables para el manejo de Directivas de grupo, as
como las los complementos de MMC que se construyen en estas
interfases programables. Los componentes de administracin de
directivas de grupo, por su parte, consolidan la administracin de
directivas de grupo a travs de la empresa.
La consola de administracin de directivas de grupo combina la
funcionalidad de componentes mltiples en una sola interfaz de usuario
(UI). La UI se estructura para emparejar la manera en que se utilizan y
manejan las Directivas de grupo. Asimismo incorpora la funcionalidad
relacionada con Directivas de grupo de las herramientas siguientes en
una sola MMC:

Usuarios y equipos de Active Directory


Sitios y servicios de Active Directory
Resultant Set of Policy (RSoP)

Administracin de Directivas de grupo tambin proporciona las


siguientes capacidades extendidas que no estaban disponibles en
herramientas anteriores de Directivas de Grupo. Con Administracin de
Directivas de grupo, Usted puede:

Hacer respaldos y restauracin de GPOs.


Copiar e importar GPOs.
Usar filtros Windows Management Instrumentation (WMI)
Generar reportes de GPO y RSoP
Buscar GPOs.

- 55 -

Windows Server 2003

Divisin Empresas

Unidad 3 Introduccin a la arquitectura interna


de Windows 2003.
Introduccin
En muchos sistemas operativos multiusuario, las aplicaciones estn
separadas del sistema operativo, esto significa que el cdigo del sistema
se ejecuta en un modo privilegiado de procesador (kernel mode), con
acceso a las estructuras de datos y al hardware. El cdigo de aplicacin
corre en un modo no privilegiado de procesador (user mode), con un
nmero limitado de funciones de sistema.
Cuando un programa en modo usuario llama a un servicio de sistema, el
procesador recoge la llamada y cambia el proceso a modo kernel.
Cuando el servicio de sistema acaba, el sistema operativo vuelve a
cambiar el contexto de la llamada a modo usuario y permite seguir
funcionando al programa. Windows 2000 basa su funcionamiento en esta
tecnologa, heredada del diseo de Windows NT.
Entre los dems objetivos de diseo de la plataforma Windows NT, cabe
destacar:

Extensibilidad: El cdigo debe ser escrito de forma que pueda


mejorarse a medida que lo requiera el mercado.
Portabilidad: El sistema debe ser capaz de ejecutarse sobre
mltiples plataformas Hardware y su implementacin debe ser
rpida
Fiabilidad: El sistema debe estar protegido contra errores internos
y externos. Las aplicaciones no deben interferir en el buen
funcionamiento interno.
Compatibilidad: Las APIs de programacin deben ser compatibles
con las versiones anteriores de Windows y MS-DOS. El sistema
tambin debe interoperar correctamente con otros sistemas como
UNIX, OS/2, y NetWare
Rendimiento: Teniendo en cuenta las restricciones impuestas por
las otros objetivos, el sistema debe ser tan rpido como sea posible
en cada plataforma Hardware.

- 56 -

Windows Server 2003

Divisin Empresas

Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Identificar en el registro la estructura, funcionalidad y gestin por


Windows Server 2003 de acuerdo a las caractersticas de los
servidores Microsoft.

Diagrama de bloques del sistema operativo: modos de


ejecucin: usuario y protegido.
En la Siguiente figura podemos observar un diagrama bsico de la
arquitectura interna de Windows 2003. Se puede ver claramente la
divisin entre el modo usuario y el modo kernel. Los procesos del modo
usuario se ejecutan en espacio protegido de direcciones, mientras que
los procesos de sistema se ejecutan en un espacio aparte de
direcciones.

Hay 4 tipos bsicos de procesos en modo usuario:

Fijos (System Support processes), como el proceso de inici de


sesin o el de gestin de sesin, que no son servicios de Windows
2003 (esto es, no iniciados por el gestor de control de servicios).
Procesos de Servicios, que contienen los servicios Win32, como la
planificacin de procesos, o el servicio de colas. Algunas
aplicaciones, como por ejemplo SQL Server o Microsoft Exchange
Server, tambin incluyen componentes que se ejecutan como
servicios.
Aplicaciones de usuario, que pueden ser de 5 tipos: Win32,
Windows 3.1, MS-DOS, POSIX, o OS/2 1.2.
Subsistemas de Entorno, que permiten a las aplicaciones acceder
a los servicios nativos del sistema operativo mediante funciones.

- 57 -

Windows Server 2003

Divisin Empresas

Las DLL de Subsistema, efectan la labor de intermediario entre las


llamadas a los servicios de sistema ejecutadas por las aplicaciones de
usuario.
Los componentes en modo kernel de Windows 2003 son:

Windows 2003 executive, contiene los servicios bsicos del


sistema operativo, como la gestin de memoria, la planificacin de
procesos e hilos de ejecucin, seguridad, Entrada/Salida y
comunicacin entre procesos.
Windows 2003 kernel, consistente en las funciones de bajo nivel
del sistema, como planificacin de hilos de ejecucin, gestin de
interrupciones y sincronizacin de varios procesadores.
Hardware Abstraction Layer, es una capa de cdigo que asla el
kernel, los drivers de dispositivos, y el resto de componentes
especficos de la plataforma de los diferentes tipos de hardware.
Windowing And Graphics System, es el componente encargado de
la interfaz grfica de usuario.

Gestin de memoria en Windows Server 2003:


memoria virtual.
La gestin de memoria en los sistemas operativos Windows es la
encargada de dos funciones principales. Por una parte, realizar la
traduccin o mapeado, del espacio de direcciones virtual a la memoria
fsica. De forma que cuando un proceso lea en su espacio privado de
direcciones, pueda acceder a la direccin correcta de memoria fsica. Por
otro lado, su otra funcin consiste en realizar el volcado de algunas
zonas de memoria a disco, cuando sta est sobrecargada.
Entre las partes que componen el gestor de memoria, se pueden
destacar:

Servicios de Sistema para reservar, liberar, o gestionar la memoria


virtual, muchos de los cuales estn expuestos a travs de la API
Win32, o en interfaces de mdulos de kernel.
Un controlador para resolver excepciones o fallos de memoria.
Algunos componentes que se ejecutan en modo sistema: liberador
de memoria, un marcador de pginas de memoria modificadas, un
proceso encargado de escribir las pginas marcadas a disco, etc.

Como los dems componentes ejecutivos en Windows 2003, el gestor de


memoria de Windows 2003 soporta el multiproceso, es decir, permite a
varios hilos de ejecucin reservar recursos sin que stos interfieran entre
ellos. Para cumplir este objetivo, el gestor de memoria utiliza diferentes
mecanismos internos de sincronizacin para controlar el acceso a sus
- 58 -

Windows Server 2003

Divisin Empresas

estructuras de datos. Por defecto, cada proceso de usuario puede


reservar ms de 2 GB de espacio privado de direcciones.

- 59 -

Windows Server 2003

Divisin Empresas

El gestor de memoria utiliza un algoritmo de paginacin bajo demanda


para saber cuando cargar pginas en memoria. Las pginas en el
espacio de direcciones de un proceso pueden estar libres, reservadas, o
en uso. Las aplicaciones pueden reservar un espacio de direcciones para
usarlo posteriormente, o pueden reservarlo y usarlo en la misma
llamada de funcin.

Gestin de los procesos: el administrador de tareas.


Introduccin al manejo de procesos en Windows
Server 2003.
Cada proceso en Windows 2000 est representado por un bloque de
proceso ejecutivo (EPROCESS), que contiene sus atributos propios, y
punteros a otras estructuras de datos relacionadas. Por ejemplo, cada
proceso tiene uno o ms hilos de ejecucin representados por bloques
de hilos ejecutivos (ETHREAD). Cada bloque EPROCESS y sus estructuras
de datos relacionadas existen en el espacio de sistema, con excepcin
del Bloque de Entorno de Proceso (PEB) que existe en el espacio de
direcciones del proceso dado que su informacin puede ser modificada
por el cdigo de usuario.
A continuacin, tenemos los pasos bsicos de creacin de un proceso
bajo Windows 2003:

Abrir el archivo (.exe) para ser ejecutado dentro del proceso.


Crear el objeto EPROCESS referente al proceso.
Crear el hilo de ejecucin inicial (pila, contenido, y ETHREAD).
Notificar al subsistema win32 del nuevo proceso creado.
Empezar la ejecucin del hilo principal.
En el contexto del nuevo proceso, completar la inicializacin del
espacio de memoria (as como la carga de las DLL's requeridas) y
empezar la ejecucin del programa.

A pesar que un programa y un proceso puedan parecer similares en


apariencia, existen diferencias fundamentales. Un programa es una
secuencia esttica de instrucciones, mientras que un proceso es un
contenedor para un conjunto de recursos usados por los hilos de
ejecucin que necesita el programa. En el siguiente diagrama podemos
ver los diferentes elementos que componen un proceso.

- 60 -

Windows Server 2003

Divisin Empresas

Windows 2003 implementa un sistema de planificacin de procesos


basado en la prioridad, ejecutando siempre el hilo de ejecucin con una
prioridad ms elevada. Cuando un hilo de ejecucin es seleccionado
para ejecutarse, lo hace durante un periodo de tiempo denominado
Quantum, la duracin del cual vara segn diversos factores externos.
Un Proceso en ejecucin puede ser retirado si llega otro con mayor
prioridad. Si un proceso agota su Quantum antes de finalizar, el sistema
lo extrae de ejecucin y lo pone a la espera. Por otra parte tambin es
posible que un hilo no agote su Quantum, y finalice su ejecucin. El
mdulo de planificacin de procesos est incluido en el kernel del
sistema.

El registro de Windows Server 2003: estructura,


funcionalidad y gestin
El Registro es una base de datos binaria que organiza jerrquicamente
todos los parmetros de configuracin del sistema. Las aplicaciones, los
componentes del sistema, los controladores de dispositivos e incluso el
ncleo de Microsoft Windows 2003 utilizan el Registro para almacenar
sus preferencias, leerlas de nuevo y obtener informacin acerca de la
configuracin hardware del sistema, las preferencias de usuario actuales
y las configuraciones predeterminadas que deben usarse cuando no
existen parmetros predefinidos (como por ejemplo, cuando un usuario
nuevo inicia una sesin en el sistema por primera vez).
La informacin del Registro se almacena en archivos de base de datos
binarios en disco; la nica forma de visualizar o editar estos archivos es
utilizando herramientas especiales destinadas a este propsito que se
llaman a travs de las rutinas de acceso al Registro de la Win32 API.

- 61 -

Windows Server 2003

Divisin Empresas

Cada elemento de datos en el Registro tiene un tipo de datos, como


REG_DWORD (un entero largo) o REG_SZ (una cadena ASCII). Los
editores del Registro del sistema vigilan el cumplimiento de estos tipos
de datos, por eso no puede ponerse una cadena donde habra que poner
un nmero. Esta restriccin permite eliminar un tipo de errores.
Al igual que cualquier objeto del sistema, cada elemento del Registro
tiene un propietario, pudiendo tener su propio conjunto de listas de
control de acceso Access Control Lists, (ACL) y controles de auditoria.
Con los permisos apropiados, los administradores o programas de una
computadora pueden conectarse, leer y modificar los registros de
computadoras remotas.
Algunas de estas caractersticas tambin existen en Windows 95/98, que
comparten los principios de organizacin del Registro de Windows NT sin
sus caractersticas de seguridad y acceso remoto. Las dos familias de
sistemas operativos (SO) utilizan formatos internos diferentes para sus
bases de datos del Registro a pesar de que sus registros parecen
similares para las herramientas de edicin del Registro; sus archivos no
son intercambiables ni interoperativos.
Quizs el aspecto ms destacable del Registro de Windows 2003 es lo
poco que ha cambiado con respecto a su versin anterior en Windows
NT 4. Las estructuras binarias para almacenar los datos son las mismas.
La informacin del Registro se utiliza en seis reas diferentes:
La informacin del Registro se utiliza durante la puesta en marcha,
instalacin, configuracin y eliminacin del propio SO, de componentes
del SO como los servicios de Internet Information Server (IIS) o
Certificate Server, as como de dispositivos hardware. Cada vez que se
ve un Agregar/eliminar algo a otro Asistente se utiliza la informacin
del Registro.
Durante el tiempo de inicio del sistema, el reconocedor de Windows
2003 (Ntdetect.com) y algn cdigo asociado en el ncleo de Windows
2000 busca los dispositivos hardware y almacena lo que encuentra en
una porcin de memoria del Registro.
El ncleo de Windows 2000 utiliza la informacin recogida durante el
inicio del sistema para decidir qu controladores de dispositivo cargar y
en qu orden; tambin almacena la informacin que necesitan dichos
controladores en el Registro.

- 62 -

Windows Server 2003

Divisin Empresas

Los controladores de dispositivo utilizan la informacin escrita por el


reconocedor y el ncleo para autoconfigurarse en funcin del hardware
fsico que se encuentre en la mquina.
Las herramientas del sistema y las aplicaciones, como los paneles de
control y algunos complementos MMC, leen y escriben informacin de
configuracin en el Registro.
Las aplicaciones pueden almacenar sus propios parmetros en el
Registro; es ms, pueden incluso leer (y posiblemente escribir) la
informacin reunida por otro software que utiliza el Registro.
Hay que tener en cuenta que durante las fases de inicio, del ncleo o del
controlador de dispositivos, el sistema no puede utilizar el disco --el
sistema no puede hablar al disco hasta que se cargan los
controladores de dispositivo-.
Estructura del Registro
En un sistema de archivos, los objetos raz son discos que contienen
carpetas o archivos. Una carpeta concreta puede contener un nmero
arbitrario de otras carpetas y archivos; cada carpeta o archivo tiene un
nombre. Combinando los nombres de las carpetas que incluyen un
archivo, se puede construir un camino capaz de nombrar sin
ambigedad un nico archivo del disco, de forma que, por ejemplo,
C:\Windows\Mapi32.dll y C:\Winnt\Mapi32.dll sean dos archivos
completamente distintos.
El Registro de Windows 2003 se encuentra organizado en gran parte
como un sistema de archivos, si bien el vocabulario necesario para su
descripcin es algo diferente. En la raz de la estructura del Registro se
encuentran las claves predefinidas (comparables con los discos en el
sistema de archivos). Cada clave predefinida contiene varias subclaves
(carpetas); continuando, estas subclaves contienen otras subclaves y
valores (las que equivalen en el Registro a los archivos). Al igual que
pasa con los archivos, cada valor tiene un nombre que debe ser nico en
la subclave o carpeta que lo contiene; cada valor tiene un tipo de datos
asociado que rige el tipo de datos que puede soportar.
Cualquier valor del Registro puede identificarse especificando su camino
completo comenzando desde la raz. Por ejemplo, el camino
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Exchange
\Security
\ObscureWireDataFormat especifica un
valor concreto en la subclave de Security perteneciente a Microsoft
Exchange Server.

- 63 -

Windows Server 2003

Divisin Empresas

Cada clave predefinida tiene un propsito diferente:


HKEY_LOCAL_MACHINE
almacena
todos
los
parmetros
pertenecientes a la mquina local. Por ejemplo, la subclave HARDWARE
de HKEY_LOCAL_MACHINE es donde el sistema y sus controladores de
dispositivo almacenan y comparten la informacin de los dispositivos
hardware que el sistema encuentra durante el inicio (al igual que otros
dispositivos Plug-and-Play que se pueden aadir una vez que el sistema
se ha iniciado). Las aplicaciones slo deben guardar informacin aqu si
sta pertenece a todo el mundo que utiliza la mquina; por ejemplo, un
controlador de impresora podra guardar aqu un conjunto de parmetros
predeterminados de impresin y copiarlos a cada perfil de usuario nuevo
cuando ste o sta inician una sesin.
HKEY_USERS contiene una entrada para cada usuario que haya
iniciado una sesin previamente en la computadora. Cada entrada de
usuario pertenece a la cuenta del mismo usuario, y contiene los
parmetros del perfil habilitado para ese usuario. Cuando se utilizan
directivas de grupo, los parmetros de directiva especificados se aplican
al perfil de cada usuario concreto aqu.
HKEY_CURRENT_CONFIG guarda la informacin relativa a la
configuracin actual del inicio del sistema. En particular, contiene
informacin sobre el conjunto actual de servicios del sistema, as como
sobre los dispositivos presentes durante el tiempo de inicio. Esta clave
predefinida es realmente un puntero a secciones dentro de
HKEY_LOCAL_MACHINE.
HKEY_CURRENT_USER apunta al perfil del usuario que haya iniciado la
sesin actual dentro de HKEY_USERS. Microsoft requiere que las
aplicaciones de Windows 2000 guarden las preferencias especficas de
los usuarios en las subclaves que se encuentran por debajo de
HKEY_CURRENT_USER;
por
ejemplo,
HKEY_CURRENT_USER\SOFTWARE\Binary
Research\GhostSrv\Settings
almacena las preferencias de usuario personales del producto
Symantec's Ghost. Otro tipo de configuracin de usuario para el mismo
producto se encontrara disponible en la misma clave slo cuando el
usuario se encuentre con una sesin abierta.

- 64 -

Windows Server 2003

Divisin Empresas

HKEY_CLASSES_ROOT enlaza las extensiones de archivo y los


identificadores
de
clases
OLE;
realmente
apunta
a
HKEY_LOCAL_MACHINE\SOFTWARE\Classes.
Los
componentes
del
sistema como el explorador de Windows (y Microsoft Internet Explorer)
utilizan estas asociaciones para determinar qu componentes o
aplicaciones usar cuando se abre o se crea un tipo particular de archivo
a objeto de datos. Dado que Windows 2000 se basa profundamente en
el Modelo de objetos de componentes (Component Object Model, COM),
quien a su vez se basa en los identificadores de objeto que se
encuentran en HKEY_CLASSES_ROOT, esta clave y sus subclaves son
ms importantes de lo que pudiera parecer en un principio.

- 65 -

Windows Server 2003

Divisin Empresas

Unidad 4: Infraestructura de redes en Windows


Server 2003.
Introduccin
En esta sesin, conocer las caractersticas principales del protocolo
TCP/IP, DNS, WINS, DHCP y su integracin mediante el protocolo Ipv6,
que le permitan planificar una red con Windows Server 2003.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Identificar los conceptos bsicos del protocolo TCP/IP de acuerdo a


las caractersticas de los servidores Windows 2003 Server.
Conocer un DNS y sus zonas de acuerdo a las caractersticas de
los servidores Windows 2003 Server.
Conocer el WINS de acuerdo a las caractersticas de los servidores
Windows 2003 Server.
Conocer un DHCP de acuerdo a las caractersticas de los
servidores Windows 2003 Server.
Conocer la integracin del DNS, DHCP, WINS mediante el Ipv6 de
acuerdo a las caractersticas de los servidores Windows 2003
Server.

TCP/IP como transporte predeterminado: fundamentos.


Despus de varios aos en los protocolos propietarios pugnaron por
popularidad TCP/IP ha surgido como el nico protocolo en la mayora de
las redes. Todas las computadoras soportan TCP/IP, como lo hacen un
creciente numero de otros dispositivos como impresoras, dispositivos de
red, asistentes personales digitales (PDA, Personal Digital Asistant) y
telfonos mviles entre otros
TCP/IP es el protocolo mas importante de las redes actuales, y es el eje
central de la visin de Microsoft de red con Windows 2000 y Windows
Server 2003. el protocolo se adapta bien a las redes de empresa y se
requiere para acceder a Internet.
Antes de instalar y configurar protocolos de red, conviene revisar las
listas de comprobacin en los archivos de ayuda en Windows. Una vez
comprendidas las siguientes tres tareas se pueden instalar todas las
piezas engranadas necesarias.

Conceptos de TCP/IP como direcciones IP, mascaras de subred y


puertas de enlace.
Si la red soporta DHCP para configurar TCP/IP de forma dinmica.
Como manejaran la resolucin de nombres los equipos de la red.
- 66 -

Windows Server 2003

Divisin Empresas

DNS
En la mayor parte de las redes basadas en TCP/IP la resolucin de los
nombres la proporcionan uno o varios servidores DNS, que tambin son
necesarios para las redes que utilizan Active Directory.
El Servidor Privado DNS es un servicio de DNS primario y secundario
para mltiples dominios con personalizacin de ambos servidores segn
su nombre de dominio.
Este servicio le permite disponer de una pareja de servidores DNS del
estilo a ns1.sudominio.com y ns2.sudominio.com en los cuales puede
dar de alta todos los dominios que desee. A su vez, en cada dominio
dado de alta, podr gestionar sus subdominios o entradas DNS.
Instalacin de DNS
Para instalar DNS hay que utilizar el asistente para configurar su servidor
para configurar el Active Directory en el servidor y dejar que Windows
instale DNS al mismo tiempo. Esto proporciona la funcionalidad del
controlador del dominio y tambin permite que DNS se aproveche de la
integracin con Active Directory. Tambin se puede utilizar el asistente
para configurar su servidor, para configurar DNS de manera totalmente
independiente de Active Directory. Si se desea configurar el servicio de
DNS a la manera antigua hay que dar estos pasos.
1. Hay que pulsar Inicio, escoger panel de control y seleccionar
conexiones de red. Hay que pulsar la conexin seleccionada con el
botn derecho del ratn y escoger propiedades en men de
contextual

- 67 -

Windows Server 2003

Divisin Empresas

2. Hay que seleccionar la entrada protocolo de Internet (TCP/IP) y


pulsar propiedades. Para especificar una direccin IP esttica hay
que escribir la direccin IP, la mascara de subred y la puerta de
enlace predeterminada que se estn utilizando. Hay que
asegurarse de seleccionar la opcin Usar las siguientes direcciones
de servidor DNS preferido hay que escribir la direccin IP asignada
a la computadora.

3. Hay que pulsar inicio, escoger panel de control sistema.

- 68 -

Windows Server 2003

Divisin Empresas

4. En la pestaa nombre del equipo hay que pulsar cambiar. En el


cuadro Cambios en el nombre del dominio de equipo hay que
pulsar Ms (este procedimiento no ser puede llevar a cabo en los
controladores de dominio).

5. En el cuadro de dialogo sufijo principal DNS de este equipo hay


que escribir el nombre del dominio de DNS y pulsar aceptar. Hay
- 69 -

Windows Server 2003

Divisin Empresas

que reiniciar el servidor para implementar las modificaciones de


los sufijos de DNS.
6. Hay que abrir la herramienta panel de control Agregar o Quitar
programas de Windows para lanzar el asistente para componente
de Windows.
7. Hay que seleccionar servicios de red en la lista de componentes y
pulsar detalles.

8. Hay que seleccionar la casilla de verificacin contigua al


componente del sistema de nombres de dominio (DNS) y pulsar
Aceptar.
9. Hay que pulsar siguiente para instalar el servicio. Todos los
archivos necesarios se copian al disco duro.

- 70 -

Windows Server 2003

Divisin Empresas

Uso del asistente para configurar un servidor DNS.


Windows Server 2003 proporciona un practico asistente para ayudar a
configurar un servidor DNS.
Configuracin de un servidor de DNS.
Las redes de tamao
pequeo tienen sus propias necesidades
especficas en cuanto a DNS. Aunque algunas redes de tamao pequeo
albergan su propia zona de DNS en un servidor local, muchas prefieren
pagar un ISP para que albergue la zona y configure en la red un servidor
secundario solo de lectura para que actu como cach local.
Independientemente de si la zona se alberga localmente o no, las redes
de pequeo tamao no desean que sus servidores de DNS acten como
servidores DNS para Internet para sus clientes, por lo que hay que
configurar el servidor para que entregue todas las consultas sin
importancia para la zona local a un servidor de DNS para Internet.
Las redes de tamao pequeo tampoco necesitan zonas de bsqueda
inversa, aunque se puedan definir ms adelante para hacer ms sencilla
la resolucin de problemas.
Zonas
Las zonas permiten almacenar partes del espacio de nombres de DNS de
modo que un solo servidor de DNS pueda atender a una parte del
espacio de nombres.
Los dos tipos de zonas afectadas son las zonas de bsqueda directa y las
zonas de bsqueda inversa. Las zonas de bsqueda directa son el tipo
de zonas que se suelen asociar con los servidores de DNS; devuelven
una direccin IP cuando se les ofrece un DNS. Las zonas de bsqueda
inversa se usan menos a menudo, pero siguen siendo importante.
Ofrecen la posibilidad de resolver las direcciones IP en nombres de DNS,
algo que los servicios de informacin de Internet (Internet Information
Services, IIS) utilizan sus archivos de registro (las herramientas para la
resolucin de problemas como Nslookup se basan en las zonas de
bsqueda inversa).
Cuando se configura por primera vez un servidor de DNS probablemente
se desee utilizar el asistente para configurar un servidor DNS, que gua
al administrador por la creacin de la primera zona de bsqueda directa.
No obstante, si no se utilizo el asistente para configurar las zonas, o se
necesita crear zonas adicionales, se puede utilizar el procedimiento
siguiente.
1. Hay que lanzar DNS desde la carpeta de herramientas
administrativas del men programas.
- 71 -

Windows Server 2003

Divisin Empresas

2. Hay que seleccionar el servidor de DNS que se desea configurar


(hay que escoger el comando conectar con el servidor del men
Accin si el servidor no aparece en el rbol de la consola).
3. Hay que escoger la zona nueva en el men Accin para iniciar el
asistente para crear nueva zona. Hay que pulsar siguiente para
comenzar a utilizar el asistente.

- 72 -

Windows Server 2003

Divisin Empresas

WINS
WINS es una parte fundamental de cualquier red de gran tamao con
clientes y aplicaciones de red de versiones anteriores de Windows.
Proporciona el equivalente a un servidor de DNS para el espacio de
nombres de NetBIOS: los servidores WINS resuelven los nombres de
NetBIOS en direcciones IP empleando la base de datos dinmica de
WINS para llamar a los registros de nombres correspondientes. Aunque
algunas redes que solo constan de sistema de Windows Server 2003, de
Windows XP y de Windows 2000 pueden prescindir sin problemas de
WINS, todava no hay muchas redes que puedan permitirse ese lujo.
Si uno se pregunta en este momento se necesita WINS, la respuesta,
probablemente, sea si. La mayor parte de las redes necesitan WINS para
proporcionar la resolucin de los nombres de NetBIOS para sus clientes
de versiones anteriores de Windows. No obstante, a continuacin se
ofrecen algunos ejemplos en los que no hacen falta servidores de WINS:
Todos los clientes de la red soportan la resolucin de nombres
mediante otro mtodo (por ejemplo, DNS). Windows XP, Windows
2000 y Windows Server 2003 son actualmente los nicos sistemas
operativos de Microsoft que pueden depender de manera exclusiva
de DNS para la resolucin de los nombres por lo que; a menos que
todos los clientes como los clientes de UNIX, hay que asegurarse de
todos estn configurados para utilizar correctamente DNS.
Las redes de pequeo tamao (menos de 50 clientes) y no se halla
dividida en subredes. Si todava la red consiste en un solo
segmento de red, los clientes que necesitan la resolucin de los
nombres de NetBIOS pueden resolver de manera efectiva los
nombres de NetBIOS mediante difusin una tcnica que no
funciona a travs de los enrutadores ni en redes de gran tamao en
las que las difusiones de NetBIOS generan demasiado trafico de
red-.

- 73 -

Windows Server 2003

Divisin Empresas

Adems, antes de implementar WINS en la red, hay que ser consciente


de los clientes de WINS que soporta WINS en Windows Server 2003.

Windows Server 2003


Windows XP
Windows 2000.
Microsoft Windows NT 3.5 o superior.
Windows ME.
Windows 98.
Windows 95.
Microsoft Windows para trabajo en grupo 3.11.
MS-DOS con Microsoft Network Client version 3.
MS-DOS con LAN Manager version 2.2c.
Clientes de Linux y de UNIX que ejecuten samba.

Los clientes que no son de WINS no puede resolverlos WINS, a menos


que se aadan para ellos entradas estticas. Esta practica se
desaconseja encarecidamente, no debe utilizarse a menos que resulte
absolutamente necesario, ya que las entradas estticas son
extremadamente difciles de eliminar de las base de datos de WINS una
vez realizada la replica. En vez de eso, los clientes deben configurarse
para que utilicen DNS para resolver los nombres que no se hallen en la
base de datos de WINS.
Una vez determinado que se necesita WINS en la red, llego el momento
de configurar el servidor. La causa mas frecuente de problemas de WINS
es la configuracin incorrecta de TCP/IP en el servidor.
Una vez los parmetros de TCP/IP son los correctos, se esta preparando
para instalar el componente de WINS. Hay que utilizar el asistente de
componentes de Windows.
1. Hay que abrir el panel de control Agregar o quitar programas y
pulsar el icono Agregar o quitar componentes de Windows.
2. Hay que pulsar siguiente, seleccionar servicios de red en la lista
de componentes y pulsar detalles.
3. Hay que seleccionar la casilla de verificacin del componente
Servicio WINS, pulsar aceptar y pulsar siguiente.

- 74 -

Windows Server 2003

Divisin Empresas

- 75 -

Windows Server 2003

Divisin Empresas

DHCP
DHCP es un servicio fundamental para cualquier red basada en TCP/IP
que tenga ms de unos pocos clientes. DHCP permite que los clientes se
inicien y reciban automticamente una direccin IP y otros parmetros
de TCP/IP como los servidores de DNS, de WINS y la pasarela
predeterminada.
El servidor DHCP proporcionado con Microsoft Windows Server 2003 es
verdaderamente excelente.
Diseo de redes DHCP.
Es importante disear la implementacin de los servidores DHCP de
modo que se adapte a la red. Las redes pequeas no encaminadas
pueden utilizar un solo servidor DHCP. Si se tiene una red de mayor
tamao deben tenerse en cuenta las subredes y los enrutadores que se
estn utilizando y dividir tambin el espacio de direcciones entre dos
servidores para proporcionar tolerancia a fallos. Se puede utilizar la
siguiente lista de comprobacin como parte de la planificacin.
Hay que dibujar un mapa en la red que muestre las subredes
fsicas y lgicas y los enrutadores entre las subredes.
Si la red utiliza enrutadores para dividirse en subredes, hay que
determinar si esos enrutadores soportan la entrega de difusiones
de DHCP (los enrutadores mas modernos lo hacen, aunque esta
opcin hay que activarla).
Hay que planear la divisin del rango de direcciones IP entre dos
servidores para proporcionar tolerancia a los fallos (los servidores
DHCP no pueden comunicarse entre si, por lo que no pueden
compartir las mismas direcciones.) Conviene darle el 80% de las
direcciones a un servidor y el 20% al otro (esto se denomina regla
del 80/20). Si se cae uno de los servidores, los clientes pueden
seguir recibiendo direcciones IP del otro. De manera alternativa, se
puede configurar un clster de servidor de DHCP para que maneje
el 100% de las direcciones.
Si el enlace entre las subredes es rpido y fiable y los enrutadores
intermedios pueden configurarse para que entreguen difusiones de
DHCP (o se aade un agente de transmisin de DHCP), se puede
colocar el segundo servidor de DHCP en una subred fsica diferente.
En caso contrario, hay que implementar un par de servidores de
DHCP en cada subred fsica.
No se deben ejecutar servidores de DHCP en los controladores de
dominio si se piensa utilizar los servidores de DHCP para actualizar
los registros de DNS para los clientes heredados. Hacerlo crea un
problema de seguridad aadido.
- 76 -

Windows Server 2003

Divisin Empresas

Hay que dimensionar adecuadamente los servidores. Microsoft


recomienda que cada servidor de DHCP no atienda a ms de
10.000 clientes y 1000 mbitos.
Hay que actualizar los controladores de dominio de Microsoft
Windows NT4 a Windows Server 2003 o a Windows 2000 Server.
Hay que utilizar una unidad de disco con un tiempo de acceso
reducido o, mejor aun, una RAID. Los servidores de DHCP tienen
un acceso frecuente a las unidades de disco y un subsistema rpido
de almacenamiento supone un mejor rendimiento de DHCP.
Las operaciones de DHCP
Hay cuatro niveles en los que se pueden configurar las opciones de
DHCP en los servidores de DHCP de Windows Server 2003.
1. Operaciones del servidor:- Estas opciones se aplican a todos los
clientes del servidor de DHCP que se esta administrando.
Debido a esto, hay que utilizar las opciones del servidor con
moderacin- solo hay que especificar las opciones de los
parmetros comunes a todos los mbitos del servidor.
2. Operaciones de los mbitos:- Se trata del tipo de opciones con
mayor frecuencia se aplican a todos los clientes de un mbito
y anulan las opciones de servidor definidas en el servidor DHCP.
3. Opciones de los clientes:- Estas opciones se especifican para los
clientes
concretos.
Resultan
tiles
si
determinadas
computadoras necesitan opciones especiales. Las opciones de
los clientes anulan las dems opciones, incluidas las de las
clases.
4. Opciones de las clases:- Estas opciones ofrecen los parmetros
de DHCP a los clientes segn el tipo de cliente que sean bien
utilizando clases de fabricantes como pueden ser todos los
clientes de Microsoft Windows 95 o de Windows 98, bien con las
clases de usuarios que especifiquen los clientes con
necesidades especiales, como los clientes RRAS, los clientes
mviles o cualquier otra clave que definan los usuarios. Las
opciones de las clases no se utilizan a menudo.

- 77 -

Windows Server 2003

Divisin Empresas

Definicin
Dynamic Host Configuration Protocol (DHCP) es un estndar IP para
simplificar la administracin de la configuracin del IP del cliente. El
estndar DHCP permite que usted utilice los servidores de DHCP para
manejar la asignacin dinmica de las direcciones y la configuracin de
otros parmetros IP para clientes DHCP en su red.
Por qu utilizar DHCP?
En redes TCP/IP, DHCP reduce la complejidad y el trabajo administrativo
de re-configurar las computadoras cliente.
Para entender por qu DHCP es til para configurar clientes TCP/IP, es
importante comparar la configuracin manual de TCP/IP con la
configuracin automtica que utiliza DHCP.

Antes de agregar el servicio DHCP Server:


Verificar que la configuracin IP en el servidor est correcta.
Verificar que la configuracin IP del servidor contenga una
direccin IP esttica y una Mascara de subred; en ambientes
ruteados una puerta de enlace predeterminada.
Verificar que la cuenta de usuario tenga los permisos correctos.

- 78 -

Windows Server 2003

Divisin Empresas

Para agregar el servicio DHCP Server deber:


1. Iniciar sesin usando una cuenta no-administrativa.
2. Hacer clic en Inicio y despus en Panel de control.
3. Abrir las Herramientas Administrativas en el Panel de
control y hacer clic derecho en Administre su servidor,
seleccionando Ejecutar.
4. Seleccionar el siguiente usuario en el cuadro Ejecutar e
ingresar una cuenta de usuario y contrasea que tenga los
permisos apropiados para realizar la tarea, haciendo clic en
Aceptar.
5. Hacer clic en Agregar o Quitar una regla de la ventana
Administre su servidor.
6. Hacer clic en Siguiente de la pgina Pasos preliminares.
7. Seleccionar Servidor DHCP en el Asistente para configurar su
servidor, y clic en Siguiente.
8. Hacer clic en siguiente de la pgina Sumario de selecciones,
9. Hacer clic en Cancelar del asistente de nuevo alcance para no
crear el alcance en ese momento.
10. Hacer clic en Finalizar del Asistente.

Ipv6: integracin en Windows 2003


El crecimiento explosivo de Internet lo ha hecho llevar a los lmites del
diseo original. El nmero de direcciones IP ha crecido casi de forma
exponencial en los ltimos aos, tenindose ahora el temor que muy
pronto no habr direcciones suficientes para conectar todos los
dispositivos y maquinas que se deseen conectar. Por si esto no fuese
suficiente malo, los enrutadores se sobrecargan por la inadecuacin del
estndar IP4V.
Para encontrar una solucin a las limitaciones del espacio de direcciones
de 32 bits y los lmites a los protocolos de encaminamiento en la
estructura actual de TCP/IP, el IETF y otro comenzaron a trabajar hace
algunos aos en una nueva versin de IP. Varios grupos de trabajo
originalmente propusieron soluciones diferentes, pero con el tiempo
estos grupos han llegado a un consenso sobre la siguiente generacin
de IP, IP versin 6. en diciembre de 1994 el IETF acepto formalmente el
IP6V y la especificacin actual es RFC2460.
IP6V define un espacio de direcciones IP de 128 Bits compatible con la
implementacin actual de TCP/IP. Las especificaciones de peticin de
paquetes para incluir informacin adicional para mejorar el
encaminamiento y la gestin de dispositivos mviles. IP6V no solo
aumentara el espacio de direcciones disponibles, sino tambin mejorar
la actuacin de la red, facilitando los temas de configuracin y
proporcionando una mejora en la seguridad mediante el soporte
requerido de IPsec.
Windows Server 2003 se lanza con soporte predeterminado para IP6V.
aunque este soporte esta muy mejorado desde el soporte en el nivel del
- 79 -

Windows Server 2003

Divisin Empresas

desarrollador de Windows XP antes del service pack1 (SP1 actualizo la


pila a virtualmente el mismo nivel que Windows Server 2003), aun no
esta completamente preparado para lanzarse en todas las reas. Por
tanto hay que evaluar detalladamente y comprobar la implementacin
antes de implantarlo.
A continuacin se muestran algunos aspectos sobre la implementacin
IP6V en Windows Server 2003.
El soporte de IP6V se instala y desinstala como cualquier otro
protocolo, pulsando con el botn derecho en la conexin de red
deseada y escogiendo propiedades.
Internet Explorer 6 soporta IP6V, al igual que las versiones de FTP
de Windows Server 2003, Telnet y otras aplicaciones de red
(aunque Internet Explorer no puede explorar sitios Web IP6V al
usar un servidor Proxy que no sea compatible con IP6V).
Los servicios de informacin de Internet (IIS) no
soportan
directamente IP6V.
La pila del protocolo IP6V de Windows Server 2003 y Windows XP
es independiente de la pila del protocolo, lo que significa que la
funcionalidad existente no se alterara.
Si incluye IPSec para el soporte de IP6V, pero se basa en claves
estticas y no es adecuado para usar aun fuera de los bancos de
prueba.
El cortafuegos incluido con conexin compartida a Internet
(Internet Connection Sharing, ICS) y Enrutamiento y acceso remoto
(Routing And Remote Access, RRA) en Windows Server 2003 no
puede filtrar o bloquear paquetes IP6V, abriendo la red interna a un
ataque de host IP6V desde Internet.

- 80 -

Windows Server 2003

Divisin Empresas

Unidad 5: Los servicios de Directorio en Windows


Server 2003
Introduccin
En esta sesin, conocer como instalar el Active Directory y las
herramientas para darle mantenimiento y restauracin.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Conocer el Active Directory, y sus caractersticas en los


servidores Windows Server 2003.
Conocer la estructura lgica del Active Directory caractersticas
de los servidores Windows 2003 Server.
Conocer la estructura fsica del Active Directory caractersticas
de los servidores Windows 2003 Server.
Conocer los roles de los controladores de dominio de acuerdo
caractersticas de los servidores Windows 2003 Server.
Aplicar las herramientas de mantenimiento y reparacin del
Active Directory
de acuerdo a las caractersticas de los
servidores Windows 2003 Server.

Instalacin del Active Directory


La administracin del servicio de Microsoft Active Directory constituye
una parte importante del proceso de administracin de Microsoft
Windows Server 2003, y la familiaridad con las diferentes herramientas
proporcionadas para este fin es fundamental. Casi todas las
herramientas emplean complementos de la consola de administracin
de Microsoft (Microsoft Management Console, MMC) para proporcionar la
interfaz de usuario. El grupo de programas herramientas administrativas
del men inicio incluye algunos complementos de MMC.
Se vera que algunas de las herramientas de administracin de Active
Directory son programas que se ejecutan todos los das, mientras que
otras solo se necesitan durante la instalacin de Active Directory u
ocasionalmente mas tarde. Los complementos de MMC que proporcionan
funciones de administracin de Active Directory son:

- 81 -

Windows Server 2003

Divisin Empresas

Asistente para la instalacin de Active Directory. Crea


controladores de dominio, nuevos dominios, rboles y bosques.
Dominios y confianzas de Active Directory. Modifica el modo del
dominio, administra las relaciones de confianza del dominio y
configura los sufijos de nombre principal de usuario (User
Principal Name, UPN).
Usuarios y equipos de Active Directory. Crea, administra y
configura los objetos de Active Directory.
Sitios y servicios de Active Directory. Crea y configura los sitios
del dominio y administra los procesos de replica de los
controladores del dominio.
Esquema de Active Directory. Modifica el esquema que define
los objetos y las propiedades de Active Directory.
Adems de los complementos de MMC, Microsoft Windows Server 2003
incluye utilidades independientes para la importacin y exportacin de
datos de Active Directory.
Uso del asistente para la instalacin de Active Directory.
A diferencia de Microsoft Windows NT Server versin 4 o anteriores,
Windows Server 2003 no designa ningn sistema como controlador del
dominio durante la instalacin del sistema operativo. Todos los
servidores de Windows Server 2003 se instalan como sistemas
independientes o como miembros de algn dominio. Una vez empleada
la instalacin, se puede promover el servidor al estado de controlador de
dominio mediante el asistente para la instalacin de Active Directory de
Windows Server 2003. Esta herramienta proporciona mucha flexibilidad
adicional a los administradores de Active Directory, ya que los servidores
pueden promoverse o degradarse en cualquier momento, mientras que
los servidores de Windows NT 4 se designan controladores de dominio
de manera irrevocable durante el proceso de instalacin.
Tambin ha desaparecido la distincin entre los controladores de
dominio principales y de reserva. Los controladores de dominio de
Windows 2000 y de Windows Server 2003 son todos iguales dentro de
un sistema de replica de varios maestros.

- 82 -

Windows Server 2003

Divisin Empresas

Esto significa que los administradores pueden modificar el contenido del


rbol de Active Directory en cualquier servidor que actu como
controlador de dominio y que el sistema replicara las modificaciones en
los dems controladores del dominio. Esto supone un avance importante
respecto del sistema de replica de un solo maestro de Windows NT 4, en
que los administradores solo pueden modificar el controlador principal
del dominio (Primary domain controller, PDC), tras lo cual las
modificaciones se replican en todos los controladores de dominio de
reserva (Backup Domain Controllers, BDCs).
Otra ventaja que se puede utilizar el asistente para la instalacin de
Active Directory para volver a degradar los controladores de dominio a
servidores independientes o miembros. En Windows NT 4, una vez
instalado un servidor como controlador de dominio, se puede degradar
de PDC a BDC, pero no se puede eliminar completamente su estado de
controlador de dominio, salvo mediante la preinstalacin del sistema
operativo.
La funcin bsica del asistente para la instalacin de Active Directory es
configurar los servidores para que acten como controladores de
dominio, pero en funcin del estado actual Active Directory en la red,
esta tarea puede adoptar diferentes formas. Si se trata del primer
servidor de Windows Server 2003 o de Windows 2000 que promueve a
controlador de dominio de la red, se crea un Active Directory
completamente nuevo y ese equipo albergar el primer dominio del
primer rbol del primer bosque.
Preparacin de la instalacin.
Para promover los servidores de Windows Server 2003 a controladores
de dominio hay que completar antes todo el proceso de instalacin del
sistema operativo. Tras el reinicio final se inicia la sesin en el equipo
empleando una cuenta de administrador (se puede iniciar la sesin
localmente o a travs de la red mediante el modo de administracin de
escritorio remoto).
NTFS
Para albergar Active Directory el servidor debe tener una particin de
NTFS. Si se decide instalar Windows Server 2003 en un sistema que solo
tenga particiones de FAT, hay que convertir, como mnimo, una particin
a NTFS antes de promover el servidor a controlador de dominio. Esto se
puede hacer mediante la utilidad convert.exe de la ventana de smbolos
del sistema.

- 83 -

Windows Server 2003

Divisin Empresas

El servidor de DNS
El ltimo requisito para la instalacin de Active Directory es que el
servidor debe tener acceso a un servidor del sistema de nombres de
dominio. Active Directory utiliza DNS para almacenar informacin sobre
los controladores de dominio de la red. Los sistemas clientes encuentran
los controladores de dominio para su autentificacin enviando una
consulta al servidor de DNS identificando en su configuracin de cliente
de TCP/IP. El servidor de DNS que utiliza Active Directory no tiene porque
estar ejecutndose en el equipo que se transforma a controlador de
dominio, ni tiene que ejecutar el servicio de DNS de Microsoft, aunque
las dos cosas son convenientes. No obstante, el servidor de DNS que se
utiliza debe soportar el registro de recursos Ubicacin de servicios
(Service Location) definido en el documento RFC2052 y el protocolo de
Actualizacin dinmica (Dynamic Update) definido en la RFC2136.
Los servidores de DNS son bsicamente bases de datos compuestas de
elementos denominados registros de recursos que contienen
informacin sobre los equipos de la red de TCP/IP. En las especificaciones
de DNS se definen varios tipos de registros de recursos y Active
Direcotry necesita un nuevo el SRV (el registro de recursos de DNS
para la especificacin de la ubicacin de los servicios)- para almacenar
la informacin sobre los controladores de dominio de Active Directory.
Adems, los servidores DNS utilizados por Active Directory necesitan la
posibilidad de actualizar dinmicamente sus registros, con base en la
disponibilidad de los controladores de dominio de la red.
Promocin del primer servidor a controlador de dominio.
El proceso de instalacin real de Active Directory y de promocin de los
servidores a controladores de dominio es bastante sencillo.

- 84 -

Windows Server 2003

Divisin Empresas

Lanzamiento del asistente para la instalacin de Active Directory

Siguiendo el modelo del asistente estndar, la instalacin de Active


Directory en un servidor en cuestin de ir respondiendo a las solicitudes
de una serie de pantallas. Windows Server 2003 incorpora vnculos al
asistente en el asistente Administre su servidor que se muestra de
manera automtica tras la instalacin del sistema operativo. Este
asistente esta diseado para guiar al usuario por todos los procesos
necesarios para aadir nuevos papeles al servidor y configurarlos
formulando preguntas al modo de los asistentes y abriendo vnculos con
las herramientas adecuadas para cada tarea.
Para los usuarios nuevos de Windows Server 2003 esta ventana funciona
como una combinacin de minitutorial y de lista de comprobacin de los
procedimientos de configuracin de servidor. Para abrir el Asistente
para Instalacin de Active Directory desde aqu hay que seleccionar
agregar o quitar funcin reconocer que todo este conectado, preparado
y listo para funcionar luego hay que seleccionar la funcin Controlador
de dominio (Active Directory) para aadirla. Los usuarios mas avanzados
pueden eludir es paso para y abrir directamente el asistente para
Instalacin de Active Directory empleando Dcpromo.exe

- 85 -

Windows Server 2003

Divisin Empresas

Tras una pgina de bienvenida y una advertencia sobre la configuracin


de seguridad y Microsoft Windows NT4 anterior a service pack 3, el
Asistente para la Instalacin pregunta la accin que se desea llevar a
cabo, de acuerdo con el estado actual del sistema en Active Directory. Si
el servidor ya es controlador de dominio, el asistente ofrece la opcin de
simplemente volver a degradarlo a servidor independiente o a servidor
miembro. En los equipos que no sean todava controladores de dominio
el asistente muestra la pgina tipo de dominio.
Controlador de dominio para un dominio nuevo. Instala Active
Directory en el servidor y lo designa como primer controlador de
dominio de un dominio nuevo.
Controlador de dominio adicional para un dominio existente.
Instala Active Directory en el servidor y replica la informacin del
directorio de un dominio ya existente.
Creacin de un dominio nuevo.
Cuando se instala el primer servidor de Active Directory de la red hay
que seleccionar la opcin controlador de dominio para un dominio nuevo
de la pgina tipo de controlador de dominio. Esto indica el asistente que
debe instalar los archivos de soporte de Active Directory, crear el nuevo
dominio y registrarlo en DNS.

Dominio en nuevo bosque. Configura el nuevo controlador de


dominio para que alberque el primer dominio de un nuevo rbol
que no es parte de ningn bosque ya existente.
Dominio secundario en un rbol de dominio existente. Configura el
nuevo controlador de dominio para que alberque un dominio
secundario de un dominio ya existente.
rbol de un dominio en un bosque existente. Configura el nuevo
controlador de dominio para que alberque el primer dominio de un
rbol nuevo que forma parte de un bosque ya existente.

Como se trata del primer servidor Active Directory de la red, hay que
seleccionar Dominio de un nuevo bosque. Cuando se instalen otros
controladores de dominio se pueden actualizar estas mismas opciones
para crear bosques nuevos o para llenar el bosque ya existente con ms
rboles y ms dominios.

- 86 -

Windows Server 2003

Divisin Empresas

Especificacin de los nombres de dominio.


Para identificar el controlador de dominio en la red hay que especificar
un nombre de DNS valido para la pgina nuevo nombre de dominio para
el dominio que se va a crear.
Este nombre no tiene por que ser el mismo que el nombre de dominio
que utiliza la organizacin para su presencia en Internet. Tampoco
necesita estar registrado en una organizacin de registro como Network
solution una de las organizaciones responsables de mantenimiento del
registro de los nombres de DNS de los dominios de nivel superior com,
net, org y edu. No obstante, el empleo de un nombre de dominio
registrado resulta conveniente si los usuarios van a tener acceso a los
recursos de Internet simultneamente con los recursos de red local o si
los usuarios externos a la organizacin van a tener acceso a los recursos
de la red local a travs de Internet.
Cuando los usuarios tienen acceso a los recursos de la red
simultneamente con los recursos de red de Windows Server 2003, cabe
la posibilidad de que el nombre de dominio sin registrar entre en
conflicto con un dominio registrado de Internet que utilice el mismo
nombre. Cuando se permite a los usuarios de Internet que tengan
acceso a los recursos de la red mediante protocolos estndar de la capa
de aplicaciones como HTTP y FTP, pueden surgir confusiones si los
usuarios internos y los externos deben utilizar nombres de dominio
diferentes.
Tras escribir el nombre de DNS de dominio el sistema pide un
equivalente para NetBios del nombre de dominio para su empleo por los
clientes que no soportan Active Directory. Windows 2000 y los sistemas
posteriores siguen utilizando espacios de nombres de NetBios para los
nombres de los equipos, pero Active Directory utiliza los nombres de
DNS para los dominios. Los equipos de Windows NT 4 y de Microsoft
Windows 9.x utilizan los nombres de NetBios para todos los recursos de
la red, incluidos los dominios.
Si se tiene en la red algn cliente anterior (es decir, Windows NT4,
Windows 9.x, Microsoft Windows para trabajo en grupo o el cliente de
red de Microsoft para los sistemas de MS-DOS), solo podrn ver el
dominio nuevo mediante el nombre de NetBios. La pagina Nombre de
dominio NetBios contiene un nombre sugerido que se puede utilizar,
basado en el nombre DNS especificando, o bien se puede sustituir con
un nombre de cosecha propia que tenga quince caracteres como
mximo.
- 87 -

Windows Server 2003

Divisin Empresas

Ubicacin de los archivos de Active Directory


Tras especificar los nombres de dominio, el asistente pide la ubicacin
de la base de datos, los archivos de registro y el volumen de sistema de
Active Directory. La base de datos de Active Directory contiene los
objetos reales de Active Directory y sus propiedades y los archivos de
registro realizan un seguimiento de las actividades del servicio de
directorio. Los directorios para estos archivos se especifican en la pgina
carpetas de la base de datos y registro. La ubicacin predeterminada de
la base de datos y del registro es la carpeta %SysemRoot%|Ntds en el
volumen del sistema pero estas ubicaciones pueden modificarse si es
necesario de hecho, puede que convenga, para no tener todos los
huevos del directorio en la misma cesta y para mejorar el rendimiento.
La pgina volumen del sistema compartido permite especificar la
ubicacin de lo que pasara a ser el recurso compartido Sysvol del
controlador de dominio. El volumen del sistema es un recurso
compartido que contiene informacin del dominio que se replica en
todos los dems controladores de dominio de la red. De manera
predeterminada, el sistema crea el recurso compartido en la carpeta
%SystemRoot%|Sysvol de la unidad del sistema.
La base de datos, el registro y el volumen del sistema Active Directory
deben ubicarse en volmenes que utilicen el sistema de archivos NTFS.
Si el sistema detecta que algunos de los volmenes no utilizan NTFS hay
que convertirlo o seleccionar otro volumen para que se pueda completar
el proceso de instalacin de ningn equipo de la red. Si, por ejemplo, el
nombre del NetBios seleccionado ya esta utilizndolo un dominio
Windows NT 4 de la red, el asistente pide que se seleccione otro nombre.
El asistente tambin comprueba si el servidor de DNS que alberga el
dominio soporta el protocolo de actualizacin dinmica. Si el sistema no
puede entrar en contacto con el servidor de DNS especificado en la
configuracin del cliente de TCP/IP del equipo o el servidor de DNS
especificado no puede soportar dominios de Windows Server 2003, el
asistente ofrecer la instalacin de Microsoft DNS Server y su
configuracin para que funcione como servidor autoritario del dominio.
La pagina configuracin de DNS permite especificar si se desea instalar
el servidor de DNS o configurar uno personalmente. Si seleccionar
utilizar otro equipo como servidor de DNS hay que instalarlo y
configurarlo antes de completar la instalacin de Active Directory.

- 88 -

Windows Server 2003

Divisin Empresas

Especificacin de la compatibilidad de los permisos.


Una vez que el asistente ha entrado en contacto con el servidor de DNS
que va a ofrecer el servicio de localizacin para el nuevo dominio y de
grupo que sean compatibles con servidores anteriores a Windows 2000 o
con servidores de Windows Server 2003 (concretamente, los servidores
RAS de Windows NT 4).
Finalizacin de la instalacin de Active Directory.
Tras especificar el nivel de compatibilidad de los permisos que se desea
hay que escribir la contrasea para la cuenta Administrador del modo de
restauracin del servidor. Como no se puede iniciar localmente la sesin
en un controlador de dominio, el nico momento en que se tiene la
posibilidad de utilizar esta contrasea es al iniciar el modo de
restauracin de los servicios de directorio o al utilizar la consola de
recuperacin, por lo que es importante recordar esta contrasea o
conservarla en lugar seguro. Aqu son aplicables las recomendaciones
habituales sobre las contraseas como mnimo, una contrasea de
siete caracteres que consista en letras maysculas y minsculas,
nmeros y otros caracteres. Son buenas elecciones los acrnimos de
frases que solo tenga significado para el usuario.
Hay que pulsar siguiente tras escribir la contrasea, repasar la pgina de
resumen y pulsar siguiente para permitir que se lleve a cabo la
instalacin y configuracin de Active Directory sin ms interacciones con
el usuario. El asistente registra todas las actividades que tiene lugar
durante el proceso de instalacin en dos archivos denominado
Dcpromo.log y Dcpromoui.log ubicados en la carpeta %SystemRoot|
Debug. La instalacin puede durar varios minutos, tras cual hay que
reiniciar el sistema para que las modificaciones tengan efecto.
El procedimiento para instalar ms controladores de dominio en la red es
parecido al de la instalacin del primer controlador de dominio.

- 89 -

Windows Server 2003

Divisin Empresas

Definicin de los servicios de Directorio: el directorio activo.


En una red de Microsoft Windows Server 2003, el servicio de directorio
Active Directory proporciona la estructura y las funciones para organizar,
administrar y controlar el acceso a los recursos de red. Para implementar
y administrar una red de Windows Server 2003, deber comprender el
propsito y la estructura de Active Directory.
Active Directory proporciona tambin la capacidad de administrar
centralmente la red de Windows Server 2003. Esta capacidad significa
que puede almacenar centralmente informacin acerca de la empresa,
por ejemplo, informacin de usuarios, grupos e impresoras, y que los
administradores pueden administrar la red desde una sola ubicacin.
Active Directory admite la delegacin del control administrativo sobre los
objetos de l mismo. Esta delegacin permite que los administradores
asignen a un grupo determinado de administradores, permisos
administrativos especficos para objetos, como cuentas de usuario o de
grupo.
Active Directory es el servicio de directorio de una red de Windows
Server 2003, mientras que un servicio de directorio es aquel que
almacena informacin acerca de los recursos de la red y permite que los
mismos resulten accesibles a los usuarios y a las aplicaciones. Los
servicios de directorio proporcionan una manera coherente de nombrar,
describir, localizar, tener acceso, administrar y asegurar la informacin
relativa a los recursos de red.
Una ventaja de integrar el DNS y Active Directory es la capacidad de
integrar zonas de DNS en la base de datos de Active Directory. Una zona
es una porcin del Domain Namespace, que agrupa registros
lgicamente, permitiendo transferencias de zona de estos registros para
funcionar como una unidad.
El Microsoft DNS Servers almacena la informacin que es utilizada para
resolver nombres de host a direcciones IP y direcciones IP a nombres de
host, usando una base de datos en formato de archivo que tenga una
extensin .dns para cada zona.

- 90 -

Windows Server 2003

Divisin Empresas

Las Zonas Active Directory Integrated son primarias y stub, y se


almacenan como objetos en la base de Active Directory. Usted puede
almacenar objetos de zona en Active Directory Application Partition o en
Active Directory Domain Partition. Si los objetos de zona se almacenan
en Active Directory Application Partition, solamente los Domain
Controllers que suscriban a esa Application Partition pueden participar
en la rplica de esta particin. Sin embargo, si los objetos de zona se
almacenan en Active Directory Domain Partition, se replican a todos los
Controladores de Dominio en el dominio.
Ventajas de Zonas Active Directory Integrated
Las Zonas Active Directory Integrated ofrecen las siguientes ventajas.
Multimaster replication. Cuando Usted configura Zonas Active
Directory Integrated, las actualizaciones dinmicas al DNS se basan
en el modelo multimaster. En este modelo, cualquier servidor
autoritativo DNS, por ejemplo un Domain Controller corriendo DNS
Server, es primario para la zona. Dado que la Master Copy de la
zona se mantiene en la base de Active Directory (la cual se replica
completamente a todos Domain Controllers), la zona se puede
actualizar por los DNS Servers funcionando en cualquier Domain
Controller del dominio.
Secure dynamic updates. Debido a que las zonas de DNS son
objetos de Active Directory en Zonas Active Directory Integrated,
Usted puede aplicar permisos a los registros dentro de esas zonas y
tambin puede controlar qu computadoras pueden actualizar sus
registros. De esta manera, las actualizaciones que utilizan el
protocolo dinmico de actualizacin pueden venir solamente de las
computadoras autorizadas.

- 91 -

Windows Server 2003

Divisin Empresas

Componentes de directorio activo: estructura jerrquica


(contenedores y objetos finales) Y Esquema de Active
Directory.
El esquema de Active Directory es el conjunto de definiciones que define
los tipos de objetos (y los tipos de informacin acerca de estos objetos)
que se pueden almacenar en Active Directory. Puesto que las
definiciones se almacenan, por si mismas. Como objetos, Active
Directory puede administrar los objetos de esquema con las mismas
operaciones de administracin de objetos utilizadas para administrar el
resto de los objetos del directorio. Existen dos tipos de definiciones en el
esquema: atributos y clases. Los atributos y clases (tambin conocidos
como objetos de esquema o metadato).
Clases: Las clases, tambin conocidas como clases de objetos,
describen los posibles objetos de directorio que se pueden
crear. Cada clase es una coleccin de atributos. Al crear un
objeto, los atributos almacenan la informacin que describe el
objeto. la clase usuarios, por ejemplo, esta formada por
muchos atributos, incluyendo direccin de red, direccin
principal, etc. Cada objeto de Active Directory es una instancia
de una clase de objetos.
Atributos: Los atributos se definen independientemente de las
clases. Cada atributo solo se define una vez y puede ser
utilizado en varias clases. Por ejemplo, el atributo Descripcin
se utiliza en muchas clases pero se define una vez en el
esquema, asegurando la coherencia.
Los atributos describen objetos. Cada atributo tiene definicin que
describe el tipo de informacin que puede especificarse para ese
atributo. Cada atributo del esquema se especifica en la clase AtributoEsquema, lo que determina la informacin que cada definicin

- 92 -

Windows Server 2003

Divisin Empresas

Estructura Lgica de Active Directory.

Active Directory proporciona el almacenamiento seguro de la


informacin sobre objetos en su estructura jerrquica lgica. Los objetos
de Active Directory representan usuarios y recursos, como por ejemplo,
las computadoras y las impresoras. Algunos objetos pueden llegar a ser
containers para otros objetos.
Entendiendo el propsito y la funcin de estos objetos, Usted podr
realizar una variedad de tareas, incluyendo la instalacin, la
configuracin, la administracin y la resolucin de problemas de Active
Directory.
La estructura
componentes:

lgica

de

Active

Directory

incluye

los

siguientes

Objects. Estos son los componentes bsicos de la estructura lgica.

- 93 -

Windows Server 2003

Divisin Empresas

Object classes. Son las plantillas o los modelos para los tipos de
objetos que se pueden crear en Active Directory. Cada clase de objeto
es definida por un grupo de atributos, los cuales definen los valores
posibles que se pueden asociar a un objeto. Cada objeto tiene una
combinacin nica de los valores de atributos.
Organizational units. Usted puede utilizar este container objects para
organizar otros objetos con propsitos administrativos. Organizando
objetos en Organizational Unit, se hace ms fcil localizar y
administrar objetos. Usted puede tambin delegar la autoridad para
administrar las Organizational Unit. Estas ltimas pueden contener
otras Organizational Units para simplificar la administracin de
objetos.
Domains. Son las unidades funcionales core de la estructura lgica de
Active Directory, y asimismo es una coleccin de los objetos
administrativos definidos, que comparten en una base de datos
comn del directorio, polticas de la seguridad y relaciones de
confianza con otros Domains. Los Domains proporcionan las tres
funciones siguientes:
o Un lmite administrativo para los objetos
o Medios de administrar la seguridad para los recursos
compartidos
o Una unidad de rplica para los objetos
o Domain trees. Son Domains agrupados en estructuras de
jerarqua. Cuando se agrega un segundo dominio a un tree,
se convierte en Child del tree Root Domain. El dominio al
cual un Child Domain se une, se llama Parent Domain. El
Child Domain puede tener sus propios Child Domain, y su
nombre se combina con el nombre de su Parent Domain para
formar su propio y nico nombre, Domain Name System
(DNS). Un ejemplo de ellos sera corp.nwtraders.msft. De
este modo, un tree tiene un Namespace contiguo.
Forests. Un Forest es una instancia completa de Active Directory, y
consiste en uno o ms trees. En un solo two-level tree, el cual se
recomienda para la mayora de las organizaciones, todos los Child
Domains se hacen Children del Forest Root Domain para formar un
tree contiguo. El primer dominio en el forest se llama Forest Root
Domain, y el nombre de ese dominio se refiere al forest, por ejemplo,
nwtraders.msft. Por defecto, la informacin en Active Directory se
comparte solamente dentro del forest. De esta manera, la seguridad
del forest estar contenida en una sola instancia de Active Directory.

- 94 -

Windows Server 2003

Divisin Empresas

La estructura fsica de Active Directory.

En contraste con la estructura lgica y los requisitos administrativos de


los modelos, la estructura fsica de Active Directory optimiza el trfico de
la red, determinando cmo y cundo ocurre la replicacin y el trfico de
logon. Para optimizar el uso del ancho de banda de la red Active
Directory, Usted debe entender la estructura fsica del mismo.
Los elementos de la estructura fsica de Active Directory son:
Domain controllers. Estas computadoras corren Microsoft Windows
Server 2003 o Windows 2000 Server y Active Directory. Cada Domain
Controller realiza funciones de almacenamiento y replicacin, y adems
soporta solamente un domain. Para asegurar una disponibilidad continua
de Active Directory, cada domain debe tener ms de un Domain
Controller.
Active Directory sites. Los sites son grupos de computadoras
conectadas. Cuando Usted establece sites, los Domain Controllers que
estn dentro de un solo site pueden comunicarse con frecuencia. Esta
comunicacin reduce al mnimo el estado de la latencia dentro del site,
esto es, el tiempo requerido para un cambio que se realice en un
Domain Controller y sea replicado a otros domain controllers. Usted crea
sites para optimizar el uso del ancho de banda entre domain controllers
en
diversas
locaciones.
- 95 -

Windows Server 2003

Divisin Empresas

Active Directory partitions. Cada Domain Controller contiene las


siguientes particiones de Active Directory:
Domain Partition, que contiene la rplica de todos los objetos en ese
domain. Esta particin es replicada solamente a otros Domain
Controllers en el mismo domain.
Configuration Partition, que contiene la topologa del forest. La topologa
registra todas las conexiones de los Domain Controllers en el mismo
forest.
Schema Partition, que contiene el schema del forest. Cada forest tiene
un schema de modo que la definicin de cada clase del objeto sea
constante. Las particiones Configuration y Schema Partitions son
replicadas a cada Domain Controller en el forest.
Application Partitions Ppcionales. Que contienen los objetos relacionados
a la seguridad y son utilizados por una o ms aplicaciones. Las
Application Partitions son replicadas a Domain Controllers especficos en
el forest.

- 96 -

Windows Server 2003

Divisin Empresas

Los roles de los controladores de dominio: servidores de


catlogo global, maestros de operaciones. Reglas para su
ubicacin y configuracin. Novedades de Windows 2003
respecto de los servidores de catlogo global.
Establecimiento de un servidor de catalogo global.
El primer controlador de dominio de Windows Server 2003 de cada
bosque es, de manera automtica, servidor de catalogo global. El
catalogo global (Global Catalog, GC) contiene una replica completa de
todos los objetos de directorio del dominio que lo aloja junto con una
replica parcial de todos los objetos de directorio de todos los dominios
del bosque. El objetivo del GC es proporcionar autentificacin para los
eventos de inicio de sesin. A dems, como el GC contiene informacin
sobre todos los objetos de todos los dominios del bosque, la bsqueda
de informacin en el directorio no exige consultas innecesarias de unos
dominios a otros. Una sola consulta al GC proporciona la informacin
sobre la ubicacin del objeto.
De manera predeterminada, hay un GC, pero cualquier controlador de
dominio puede configurarse como servidor catalogo global. Si se
necesitan servicios adicionales de inicio de sesin y de bsqueda se
pueden tener en el dominio varios servidores del catalogo global.
Para trasformar un controlador de dominio en servidor del catalogo
global.
Para transformar un controlador de dominio a en servidor del catalogo
global hay que dar estos pasos.
1. hay que lanzar sitios y servicios de Active Directory desde la
carpeta Herramientas Administrativas.
2. Hay que escribir Sitios y seleccionar el sitio en cuestin.
3. Hay que abrir servidores y seleccionar el controlador de dominio
que desea trasformar en servidor del catalogo global.
4. Hay que seleccionar en el panel de la parte derecha NTDS
Settings y escoger propiedades en el men Accin.
5. En la pestaa general hay que seleccionar la casilla se
verificacin catalogo global.
Mientras la empresa tenga controladores de dominio de Windows NT 4
hay que tener, como mnimo, un servidor de catalogo global por
dominio. Una vez se hayan actualizado todos los controladores de
dominio a Windows Server 2003 se puede pasar el dominio al modo de
Windows Server 2003.
- 97 -

Windows Server 2003

Divisin Empresas

- 98 -

Windows Server 2003

Divisin Empresas

Maestros de operaciones
Cuando un cambio se realiza a un domain, el cambio se replica a todos
los Domain Controllers del mismo. Algunos cambios, por ejemplo los que
se hacen en el schema, son replicados a todos los domains en el forest.
Este tipo de replicacin es llamada Multimaster Replication.
Operaciones Simple maestro
Durante la replicacin multimaster, puede ocurrir un conflicto de rplica
donde se originen actualizaciones concurrentes en el mismo atributo del
objeto y en dos Domain Controllers. Para evitar conflictos de rplica,
Usted puede utilizar Single Master Replication, la cual asigna un Domain
Controller como el nico y en el que se pueden realizar cambios de
directorio.
De esta manera, los cambios no pueden ocurrir en diversos lugares de la
red al mismo tiempo. Active Directory usa Single Master Replication para
los cambios importantes, por ejemplo, la adicin de un nuevo domain o
cambios al schema del forest.

- 99 -

Windows Server 2003

Divisin Empresas

Operaciones Roles Maestro


Las operaciones que utilizan Single Master Replication van junto a roles
especficos en el forest o en el domain. Estos roles se llaman Operations
Master Roles. Para cada Operation Master Role, solamente el Domain
Controller que tiene el rol puede realizar los cambios asociados al
directorio. El Domain Controller que es responsable de un rol en
particular se llama Operations Master para ese rol. Active Directory, por
su parte, almacena la informacin sobre el Domain Controller que
cumple un rol especifico.
Los Operations Master Roles son a nivel forest o nivel domain, y Active
Directory define cinco de ellos, los cuales tienen una localizacin por
defecto.
Roles Forest-wide. nicos en el forest, los roles forest-wide son:
Schema master. Controla todas las actualizaciones al schema. El
schema contiene la definicin de clases de objetos y atributos que se
utilizan para crear todos los objetos de Active Directory, como
usuarios, computadoras, e impresoras.
Domain Naming Master. Controla la adicin o el retiro de domains en
el forest. Cuando se agrega un nuevo domain al forest, solamente el
Domain Controller que tenga el rol Domain Naming Master, podr
agregar el nuevo domain. Hay solamente un Schema Master y un
Domain Naming Master por forest.
Roles Domain-wide. Para cada domain en el forest, los roles domainwide son:
Primary domain controller emulator (PDC). Acta como un PDC
Windows NT para soportar a los Backup Domain Controllers (BDCs)
que corren Microsoft Windows NT en domains, de modo mixto. Este
tipo de domain tiene Domain Controller corriendo Windows NT 4.0. El
PDC Emulator es el primer Domain Controller que se crea en un nuevo
domain.
Relative identifier master. Cuando se crea un nuevo objeto, el
Domain Controller crea un nuevo Security Principal, que representa al
objeto, asignndole un Unique Security Identifier (SID). El SID consiste
en un Domain SID, que es igual para todos los Security Principals
creados en el domain, y un relative identifier (RID), el cual es nico
para cada security principal creado en el domain. El RID Master
asigna bloques de RIDs a cada Domain Controller en el domain. El
- 100 -

Windows Server 2003

Divisin Empresas

Domain Controller entonces asigna el RID a los objetos se crean del


bloque asignado de RIDs.
Infrastruestructura de maestro. Cuando los objetos se mueven de un
domain a otro, el Infrastructure Master actualiza las referencias al
objeto en ese domain y la referencia al objeto en el otro dominio. La
referencia del objeto contiene el Object Globally Unique Identifier
(GUID), el Distinguished Name y el SID. Active Directory actualiza
peridicamente el Distinguished Name y el SID, en la referencia al
objeto para reflejar los cambios realizados en el objeto real, por
ejemplo, movimientos en y entre domains o la eliminacin del objeto.
Cada domain en el forest tiene su propio PDC Emulator, RID Master e
Infrastructure Master.
Transferencia de Operaciones Roles Maestro

Usted colocar los Operations Master Roles en un forest cuando


implemente una estructura de forest y dominio. Los Oerations Master
Roles se transfieren, solamente cuando se realiza un cambio importante
en la infraestructura del dominio. Tales cambios incluyen el desarme de
un Domain Controller que haya tenido un rol, y la adicin de un nuevo
Domain Controller que satisfaga mejor las operaciones de un rol
especfico.
La transferencia de Operations Master Roles implica mover el rol de un
Domain Controller a otro. Para transferir roles, los dos Domain
Controllers deben estar funcionando y conectados a la red.
Ninguna prdida de datos ocurre cuando Usted transfiere Operations
Master Role. Active Directory replica el actual Operation Master Role al
nuevo Domain Controller, asegurando que el nuevo Operation Master
Role obtendr la informacin necesaria para dicho rol. Esta transferencia
utiliza el mecanismo de la rplica del directorio.
- 101 -

Windows Server 2003

Herramientas para el
Directorio Activo.

Divisin Empresas

mantenimiento

reparacin

del

Requisitos para instalar Active Directory

Antes de instalar Active Directory, Usted debe asegurarse que la


computadora est configurada como Domain Controller, cumpliendo con
los requisitos de hardware y del sistema operativo. Adems, el Domain
Controller deber tener acceso al DNS Server, que deber cumplir con
ciertos requisitos para soportar la integracin con Active Directory.
La lista siguiente identifica los requisitos para la instalacin de Active
Directory:
Una computadora corriendo Microsoft Windows Server 2003
Standard Edition, Enterprise Edition o Datacenter Edition. Windows
Server 2003 Web Edition no soporta Active Directory.
Un mnimo de 250 megabytes (MB) de espacio en disco.200 MB para
la base de datos de Active Directory y 50 MB para logs de
transacciones de Active Directory. Los requisitos de tamao del
archivo para la base de Active Directory y los archivos log, dependen
del nmero y el tipo de objetos en el domain. Se requerir el espacio
de disco adicional si el Domain Controller tambin es Global Catalog
Server.
Una particin o un volumen con formato NTFS y con sistema de
archivos. La particin NTFS se requiere para la carpeta SYSVOL.
Los privilegios administrativos necesarios para crear un domain, si es
que Usted est creando uno en una red existente Windows Server
2003.
TCP/IP instalado y configurado para utilizar DNS.

- 102 -

Windows Server 2003

Divisin Empresas

Un DNS Server autoritativo para el DNS Domain y soporte para los


requisitos enumerados en la siguiente tabla.
SRV Resource Records (Mandatory) Service Locator Resource (SRV).
Son registros DNS que identifican los servicios especficos que ofrecen
las computadoras en una red Windows Server 2003. El DNS Server
que soporta la instalacin de Active Directory necesita soporte de SRV
Resource Records. De lo contrario, Usted deber configurar el DNS
localmente durante la instalacin de Active Directory o configurar el
DNS manualmente despus de la instalacin de Active Directory.
Dynamic Updates (Opcional). Microsoft recomienda que los
servidores DNS tambin soporten actualizaciones dinmicas. El
protocolo dinmico de actualizacin permite a los servidores y a los
clientes, en un ambiente DNS, agregar y actualizar la base de datos
del DNS automticamente, lo que reduce esfuerzos administrativos.
Si Usted utiliza software DNS que soporta SRV Resource Records pero
que no soporta el protocolo dinmico de actualizacin, deber
ingresar los SRV Resource Records manualmente en la base DNS.
Incremental Zone Transfers (Opcional). En una transferencia
incremental de zona, los cambios realizados en una zona en el Master
DNS Server, deben ser replicados a los DNS Servers secundarios de
esa zona. Las transferencias incrementales de la zona son opcionales,
pero se recomiendan porque ahorran ancho de banda de la red,
replicando solamente los registros nuevos o modificados entre los
DNS Servers, en vez del archivo de base de datos entero de la zona.

- 103 -

Windows Server 2003

Herramientas para el
Directorio Activo

Divisin Empresas

mantenimiento

reparacin

del

Cambio de nombre de un controlador de dominio o del dominio


completo.
No importa lo cuidadosamente que se escoja un convenio de nombres
para la red, mas tarde o mas temprano se acaba deseando haber
nombrado de manera diferente una o mas reas de la red. Puede que la
divisin tenga un cambio de nombre importante o que se hayan
centralizado todas las operaciones de la costa Oeste en O Grave, pero
sigue habiendo acuciantes razones de seguridad para no desear la
fusin de dominios al menos de momento. O puede que, con toda la
planificacin realizada, que se haya cometido un error sustancial en la
denominacin de los controladores de dominio y que realmente se desee
corregirlo.
En los dominios y bosques de Windows 2000 no haba mucho que se
pudiera hacer al respecto sin que causara problemas todava mas
graves. Los dominios no se podan cambiar de nombre ni trasladar por el
bosque e incluso el cambio de nombre de equipo de los controladores de
dominio exiga su degradacin (un reinicio), el cambio de nombre (otro
reinicio) y una nueva promocin a controlador de dominio (reinicio
numero tres). Algo ms de trabajo de lo ideal, y algo que afecta
gravemente a la red mientras se lleva a cabo.
Cambio de nombre de un controlador de dominio.
En los dominios que se hallan en el nivel funcional nativo de Windows
2000 la nica manera de cambiar el nombre de un controlador de
dominio es degradarlo, cambiarle el nombre y volver a promoverlo a
controlador de dominio. Como mnimo, una labor tediosa, y que necesita
tres reinicios. En Windows Server 2003, sin embargo, si el nivel funcional
del dominio se ha elevado a Windows Server 2003, lo que exige que
todos los controladores de dominio, del dominio sean servidores de
Windows Server 2003, se puede cambiar el nombre de los controladores
de dominio sin degradarlos antes y con un nico reinicio. Esto lo hace
mucho ms factible y simplifica la gestin global de la red.
Para cambiar el nombre de un controlador de dominio hay que seguir los
pasos siguientes.
1. Hay que iniciar la sesin en el controlador de dominio que se va
a cambiar de nombre con una cuenta con autoridad de
administradores de dominio o de administradores de empresa,
o utilizar rumas para llegar al nivel administrativo necesario.
2. Hay que abrir una ventana del smbolo del sistema.
- 104 -

Windows Server 2003

Divisin Empresas

3. Hay que aadir el nombre nuevo al equipo del controlador de


dominio utilizando netdom.
Netdom nombreequipo <nombeactual> /add:<nombrenuevo>
4. Hay que hacer el nombre nuevo principal utilizando netdom:
Netdom nombreequipo <NombreActual> /makeprimary :
<NombreNuevo>
5. Hay que reiniciar el equipo.
6. Hay que eliminar el nombre original utilizando netdom:
Netdom
nombreequipo
<NombreActual>

<NombreNuevo>

/renove:

Si las modificaciones no se han transmitido completamente puede que


algunos clientes tengan problemas para el acceso al dominio o para el
inicio de sesin, especialmente tras el paso /makeprimary.
Windows Server 2003 aade Active Directory una funcionalidad
completamente nueva la posibilidad de cambiar el nombre de dominios
completos, reestructurado el bosque, se trata de una herramienta nueva
y potente del arsenal de los administradores de empresa, pero que debe
utilizarse con extrema cautela. Las herramientas para llevar acabo la
reestructuracin se hallan en el CD-ROM de distribucin de Windows
Server 2003 en la carpeta \valueadd\msft\domren- rendom.exe, la
autentica herramienta para los cambios de nombre, y Gpfixup.exe, una
herramienta para la limpieza del catalogo global.

- 105 -

Windows Server 2003

Divisin Empresas

Copia de seguridad y restauracin del Directorio Activo:


restauraciones autoritativas y no autoritativas
Instalacin de Active Directory.

Hacer backup de Active Directory es esencial para mantener la base de


datos de Active Directory. Usted puede hacer backup de Active Directory
usando una graphical user interface (GUI) y herramientas command-line
tools, que provee Windows Server 2003.
Usted con frecuencia debe hacer backup del System State data en
Domain Controllers de modo que pueda restaurar los datos ms
actuales. Estableciendo un schedule regular de backup, Usted tiene una
mejor ocasin de recuperacin de datos cuando sea necesario.
El System State Data en un Domain Controller incluye los siguientes
componentes:

- 106 -

Windows Server 2003

Divisin Empresas

Active Directory. El System State Data no contiene Active Directory a


menos que el servidor en el cual Usted est haciendo backup del System
State Data sea un Domain Controller. Active Directory, est presente
solamente en Domain Controllers.
The SYSVOL shared folder. Esta carpeta compartida contiene plantillas
de Group Policy y logon scripts. La carpeta compartida SYSVOL est
presente solamente en domain controllers.
The registry. Este repositorio base de datos contiene la informacin
sobre la configuracin de la computadora.
System Inicioup files. Windows Server 2003 requiere estos archivos
durante su fase de encendido inicial. Incluyen los boot y archivos de
sistema que estn protegidos por Windows file protection.
The COM+ Class Registration database. La base de datos Class
Registration
contiene
informacin
sobre
Component
Services
applications.
The Certificate Services database. Esta base de datos contiene los
certificados del servidor que Windows Server 2003 utiliza para
autenticar usuarios. Esta base solamente est presente si el servidor
est funcionando como certificate server.
Para realizar la operacin de backup usted puede utilizar la herramienta
provista por Windows Server 2003:
1. Hacer click en copia de seguridad en el men inicio, todos los
programas, accesorios, herramientas del sistema.
2. Hacer click en siguiente en la pgina bienvenido al asistente de
copia de seguridad y restauracin. En la pgina copia de seguridad
y restauracion, hacer click en Backup files and settings, y despus
hacer click en Next.
3. En la pgina What to Back Up, hacer click en Let me choose what
to back up, y despus hacer click en Next.
4. En la pgina Items to Back Up, expandir My Computer, seleccionar
el System State, y despus hacer click en Next.
5. En la pgina Backup Type, Destination, and Name, hacer click en
Browse, seleccionar una locacin para el backup, hacer click en
Save, y despus hacer click en Next.
6. En la pgina Completing the Backup or Restore Wizard, hacer click
en Finish.
7. En la pgina Backup Progress, hacer click en Close.

- 107 -

Windows Server 2003

Divisin Empresas

Restauracin de Active Directory

Usted puede utilizar uno de los tres mtodos para restaurar Active
Directory
de
medios
de
backup:
primary
restore,
normal
(nonauthoritative) restore, y authoritative restore.
1. Primary restore. Este mtodo reconstruye el primer domain
controller en el dominio cuando no hay otra manera de
reconstruir el dominio. Realizar un primary restore solamente
cuando todos los domain controllers en un domain se perdieron,
y usted desea reconstruir el dominio usando el backup.
2. Normal restore. Este mtodo reinstala los datos de Active
Directory al estado antes del backup, actualiza los datos con el
proceso normal de rplica. Realizar un normal restore
solamente cuando usted desea restaurar un solo domain
controller a un buen estado previamente conocido.
3. Authoritative restore. Usted realiza este mtodo en tndem con
un restore normal. Un restore autoritativo marca datos
especficos y evita que la rplica sobre escriba esos datos. Los
datos autoritativos entonces se replican a travs del dominio.
- 108 -

Windows Server 2003

Divisin Empresas

Para realizar un primary restore de Active Directory, deber realizar


los siguientes pasos:
1. Reiniciar su domain controller en Directory Services Restore
Mode.
2. Iniciar la utilidad de Backup.
3. Hacer click en Advanced Mode en la pgina Welcome to the
Backup or Restore Wizard,
4. En la pgina Welcome to Backup Utility Advanced Mode, sobre
Restore and Manage Media, seleccioar qu desea restaurar, y
despus hacer click en Inicio Restore.
5. En el cuadro Warning, hacer click en OK.
6. En el cuadro Confirm Restore, hacer click en Advanced.
7. En el cuadro Advanced Restore Options, hacer click en When
restoring
replicated data sets, mark the restored data as the primary
data for all replicas, y despus hacer click en OK dos veces.
8. En el cuadro Restore Progress, hacer click en Close.
9. En el cuadro Backup Utility, hacer click en Yes.

Unidad 5: Los servicios de Directorio en


Windows Server 2003
Introduccin
En esta sesin, conocer como instalar el Active Directory y las
herramientas para darle mantenimiento y restauracin.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Conocer el Active Directory, y sus caractersticas en los


servidores Windows Server 2003.
Conocer la estructura lgica del Active Directory caractersticas
de los servidores Windows 2003 Server.
Conocer la estructura fsica del Active Directory caractersticas
de los servidores Windows 2003 Server.
Conocer los roles de los controladores de dominio de acuerdo
caractersticas de los servidores Windows 2003 Server.
Aplicar las herramientas de mantenimiento y reparacin del
Active Directory
de acuerdo a las caractersticas de los
servidores Windows 2003 Server.

- 109 -

Windows Server 2003

Divisin Empresas

Instalacin del Active Directory


La administracin del servicio de Microsoft Active Directory constituye
una parte importante del proceso de administracin de Microsoft
Windows Server 2003, y la familiaridad con las diferentes herramientas
proporcionadas para este fin es fundamental. Casi todas las
herramientas emplean complementos de la consola de administracin
de Microsoft (Microsoft Management Console, MMC) para proporcionar la
interfaz de usuario. El grupo de programas herramientas administrativas
del men inicio incluye algunos complementos de MMC.
Se vera que algunas de las herramientas de administracin de Active
Directory son programas que se ejecutan todos los das, mientras que
otras solo se necesitan durante la instalacin de Active Directory u
ocasionalmente mas tarde. Los complementos de MMC que proporcionan
funciones de administracin de Active Directory son:

- 110 -

Windows Server 2003

Divisin Empresas

Asistente para la instalacin de Active Directory. Crea


controladores de dominio, nuevos dominios, rboles y bosques.
Dominios y confianzas de Active Directory. Modifica el modo del
dominio, administra las relaciones de confianza del dominio y
configura los sufijos de nombre principal de usuario (User
Principal Name, UPN).
Usuarios y equipos de Active Directory. Crea, administra y
configura los objetos de Active Directory.
Sitios y servicios de Active Directory. Crea y configura los sitios
del dominio y administra los procesos de replica de los
controladores del dominio.
Esquema de Active Directory. Modifica el esquema que define
los objetos y las propiedades de Active Directory.
Adems de los complementos de MMC, Microsoft Windows Server 2003
incluye utilidades independientes para la importacin y exportacin de
datos de Active Directory.
Uso del asistente para la instalacin de Active Directory.
A diferencia de Microsoft Windows NT Server versin 4 o anteriores,
Windows Server 2003 no designa ningn sistema como controlador del
dominio durante la instalacin del sistema operativo. Todos los
servidores de Windows Server 2003 se instalan como sistemas
independientes o como miembros de algn dominio. Una vez empleada
la instalacin, se puede promover el servidor al estado de controlador de
dominio mediante el asistente para la instalacin de Active Directory de
Windows Server 2003. Esta herramienta proporciona mucha flexibilidad
adicional a los administradores de Active Directory, ya que los servidores
pueden promoverse o degradarse en cualquier momento, mientras que
los servidores de Windows NT 4 se designan controladores de dominio
de manera irrevocable durante el proceso de instalacin.
Tambin ha desaparecido la distincin entre los controladores de
dominio principales y de reserva. Los controladores de dominio de
Windows 2000 y de Windows Server 2003 son todos iguales dentro de
un sistema de replica de varios maestros.

- 111 -

Windows Server 2003

Divisin Empresas

Esto significa que los administradores pueden modificar el contenido del


rbol de Active Directory en cualquier servidor que actu como
controlador de dominio y que el sistema replicara las modificaciones en
los dems controladores del dominio. Esto supone un avance importante
respecto del sistema de replica de un solo maestro de Windows NT 4, en
que los administradores solo pueden modificar el controlador principal
del dominio (Primary domain controller, PDC), tras lo cual las
modificaciones se replican en todos los controladores de dominio de
reserva (Backup Domain Controllers, BDCs).
Otra ventaja que se puede utilizar el asistente para la instalacin de
Active Directory para volver a degradar los controladores de dominio a
servidores independientes o miembros. En Windows NT 4, una vez
instalado un servidor como controlador de dominio, se puede degradar
de PDC a BDC, pero no se puede eliminar completamente su estado de
controlador de dominio, salvo mediante la preinstalacin del sistema
operativo.
La funcin bsica del asistente para la instalacin de Active Directory es
configurar los servidores para que acten como controladores de
dominio, pero en funcin del estado actual Active Directory en la red,
esta tarea puede adoptar diferentes formas. Si se trata del primer
servidor de Windows Server 2003 o de Windows 2000 que promueve a
controlador de dominio de la red, se crea un Active Directory
completamente nuevo y ese equipo albergar el primer dominio del
primer rbol del primer bosque.
Preparacin de la instalacin.
Para promover los servidores de Windows Server 2003 a controladores
de dominio hay que completar antes todo el proceso de instalacin del
sistema operativo. Tras el reinicio final se inicia la sesin en el equipo
empleando una cuenta de administrador (se puede iniciar la sesin
localmente o a travs de la red mediante el modo de administracin de
escritorio remoto).
NTFS
Para albergar Active Directory el servidor debe tener una particin de
NTFS. Si se decide instalar Windows Server 2003 en un sistema que solo
tenga particiones de FAT, hay que convertir, como mnimo, una particin
a NTFS antes de promover el servidor a controlador de dominio. Esto se
puede hacer mediante la utilidad convert.exe de la ventana de smbolos
del sistema.

- 112 -

Windows Server 2003

Divisin Empresas

El servidor de DNS
El ltimo requisito para la instalacin de Active Directory es que el
servidor debe tener acceso a un servidor del sistema de nombres de
dominio. Active Directory utiliza DNS para almacenar informacin sobre
los controladores de dominio de la red. Los sistemas clientes encuentran
los controladores de dominio para su autentificacin enviando una
consulta al servidor de DNS identificando en su configuracin de cliente
de TCP/IP. El servidor de DNS que utiliza Active Directory no tiene porque
estar ejecutndose en el equipo que se transforma a controlador de
dominio, ni tiene que ejecutar el servicio de DNS de Microsoft, aunque
las dos cosas son convenientes. No obstante, el servidor de DNS que se
utiliza debe soportar el registro de recursos Ubicacin de servicios
(Service Location) definido en el documento RFC2052 y el protocolo de
Actualizacin dinmica (Dynamic Update) definido en la RFC2136.
Los servidores de DNS son bsicamente bases de datos compuestas de
elementos denominados registros de recursos que contienen
informacin sobre los equipos de la red de TCP/IP. En las especificaciones
de DNS se definen varios tipos de registros de recursos y Active
Direcotry necesita un nuevo el SRV (el registro de recursos de DNS
para la especificacin de la ubicacin de los servicios)- para almacenar
la informacin sobre los controladores de dominio de Active Directory.
Adems, los servidores DNS utilizados por Active Directory necesitan la
posibilidad de actualizar dinmicamente sus registros, con base en la
disponibilidad de los controladores de dominio de la red.
Promocin del primer servidor a controlador de dominio.
El proceso de instalacin real de Active Directory y de promocin de los
servidores a controladores de dominio es bastante sencillo.

- 113 -

Windows Server 2003

Divisin Empresas

Lanzamiento del asistente para la instalacin de Active


Directory

Siguiendo el modelo del asistente estndar, la instalacin de Active


Directory en un servidor en cuestin de ir respondiendo a las solicitudes
de una serie de pantallas. Windows Server 2003 incorpora vnculos al
asistente en el asistente Administre su servidor que se muestra de
manera automtica tras la instalacin del sistema operativo. Este
asistente esta diseado para guiar al usuario por todos los procesos
necesarios para aadir nuevos papeles al servidor y configurarlos
formulando preguntas al modo de los asistentes y abriendo vnculos con
las herramientas adecuadas para cada tarea.
Para los usuarios nuevos de Windows Server 2003 esta ventana funciona
como una combinacin de minitutorial y de lista de comprobacin de los
procedimientos de configuracin de servidor. Para abrir el Asistente
para Instalacin de Active Directory desde aqu hay que seleccionar
agregar o quitar funcin reconocer que todo este conectado, preparado
y listo para funcionar luego hay que seleccionar la funcin Controlador
de dominio (Active Directory) para aadirla. Los usuarios mas avanzados
pueden eludir es paso para y abrir directamente el asistente para
Instalacin de Active Directory empleando Dcpromo.exe

- 114 -

Windows Server 2003

Divisin Empresas

Tras una pgina de bienvenida y una advertencia sobre la configuracin


de seguridad y Microsoft Windows NT4 anterior a service pack 3, el
Asistente para la Instalacin pregunta la accin que se desea llevar a
cabo, de acuerdo con el estado actual del sistema en Active Directory. Si
el servidor ya es controlador de dominio, el asistente ofrece la opcin de
simplemente volver a degradarlo a servidor independiente o a servidor
miembro. En los equipos que no sean todava controladores de dominio
el asistente muestra la pgina tipo de dominio.
Controlador de dominio para un dominio nuevo. Instala
Active Directory en el servidor y lo designa como primer
controlador de dominio de un dominio nuevo.
Controlador de dominio adicional para un dominio
existente. Instala Active Directory en el servidor y replica la
informacin del directorio de un dominio ya existente.
Creacin de un dominio nuevo.
Cuando se instala el primer servidor de Active Directory de la red hay
que seleccionar la opcin controlador de dominio para un dominio nuevo
de la pgina tipo de controlador de dominio. Esto indica el asistente que
debe instalar los archivos de soporte de Active Directory, crear el nuevo
dominio y registrarlo en DNS.

Dominio en nuevo bosque. Configura el nuevo controlador de


dominio para que alberque el primer dominio de un nuevo rbol
que no es parte de ningn bosque ya existente.
Dominio secundario en un rbol de dominio existente. Configura el
nuevo controlador de dominio para que alberque un dominio
secundario de un dominio ya existente.
rbol de un dominio en un bosque existente. Configura el nuevo
controlador de dominio para que alberque el primer dominio de un
rbol nuevo que forma parte de un bosque ya existente.

Como se trata del primer servidor Active Directory de la red, hay que
seleccionar Dominio de un nuevo bosque. Cuando se instalen otros
controladores de dominio se pueden actualizar estas mismas opciones
para crear bosques nuevos o para llenar el bosque ya existente con ms
rboles y ms dominios.

- 115 -

Windows Server 2003

Divisin Empresas

Especificacin de los nombres de dominio.


Para identificar el controlador de dominio en la red hay que especificar
un nombre de DNS valido para la pgina nuevo nombre de dominio para
el dominio que se va a crear.
Este nombre no tiene por que ser el mismo que el nombre de dominio
que utiliza la organizacin para su presencia en Internet. Tampoco
necesita estar registrado en una organizacin de registro como Network
solution una de las organizaciones responsables de mantenimiento del
registro de los nombres de DNS de los dominios de nivel superior com,
net, org y edu. No obstante, el empleo de un nombre de dominio
registrado resulta conveniente si los usuarios van a tener acceso a los
recursos de Internet simultneamente con los recursos de red local o si
los usuarios externos a la organizacin van a tener acceso a los recursos
de la red local a travs de Internet.
Cuando los usuarios tienen acceso a los recursos de la red
simultneamente con los recursos de red de Windows Server 2003, cabe
la posibilidad de que el nombre de dominio sin registrar entre en
conflicto con un dominio registrado de Internet que utilice el mismo
nombre. Cuando se permite a los usuarios de Internet que tengan
acceso a los recursos de la red mediante protocolos estndar de la capa
de aplicaciones como HTTP y FTP, pueden surgir confusiones si los
usuarios internos y los externos deben utilizar nombres de dominio
diferentes.
Tras escribir el nombre de DNS de dominio el sistema pide un
equivalente para NetBios del nombre de dominio para su empleo por los
clientes que no soportan Active Directory. Windows 2000 y los sistemas
posteriores siguen utilizando espacios de nombres de NetBios para los
nombres de los equipos, pero Active Directory utiliza los nombres de
DNS para los dominios. Los equipos de Windows NT 4 y de Microsoft
Windows 9.x utilizan los nombres de NetBios para todos los recursos de
la red, incluidos los dominios.
Si se tiene en la red algn cliente anterior (es decir, Windows NT4,
Windows 9.x, Microsoft Windows para trabajo en grupo o el cliente de
red de Microsoft para los sistemas de MS-DOS), solo podrn ver el
dominio nuevo mediante el nombre de NetBios. La pagina Nombre de
dominio NetBios contiene un nombre sugerido que se puede utilizar,
basado en el nombre DNS especificando, o bien se puede sustituir con
un nombre de cosecha propia que tenga quince caracteres como
mximo.
- 116 -

Windows Server 2003

Divisin Empresas

Ubicacin de los archivos de Active Directory


Tras especificar los nombres de dominio, el asistente pide la ubicacin
de la base de datos, los archivos de registro y el volumen de sistema de
Active Directory. La base de datos de Active Directory contiene los
objetos reales de Active Directory y sus propiedades y los archivos de
registro realizan un seguimiento de las actividades del servicio de
directorio. Los directorios para estos archivos se especifican en la pgina
carpetas de la base de datos y registro. La ubicacin predeterminada de
la base de datos y del registro es la carpeta %SysemRoot%|Ntds en el
volumen del sistema pero estas ubicaciones pueden modificarse si es
necesario de hecho, puede que convenga, para no tener todos los
huevos del directorio en la misma cesta y para mejorar el rendimiento.
La pgina volumen del sistema compartido permite especificar la
ubicacin de lo que pasara a ser el recurso compartido Sysvol del
controlador de dominio. El volumen del sistema es un recurso
compartido que contiene informacin del dominio que se replica en
todos los dems controladores de dominio de la red. De manera
predeterminada, el sistema crea el recurso compartido en la carpeta
%SystemRoot%|Sysvol de la unidad del sistema.
La base de datos, el registro y el volumen del sistema Active Directory
deben ubicarse en volmenes que utilicen el sistema de archivos NTFS.
Si el sistema detecta que algunos de los volmenes no utilizan NTFS hay
que convertirlo o seleccionar otro volumen para que se pueda completar
el proceso de instalacin de ningn equipo de la red. Si, por ejemplo, el
nombre del NetBios seleccionado ya esta utilizndolo un dominio
Windows NT 4 de la red, el asistente pide que se seleccione otro nombre.
El asistente tambin comprueba si el servidor de DNS que alberga el
dominio soporta el protocolo de actualizacin dinmica. Si el sistema no
puede entrar en contacto con el servidor de DNS especificado en la
configuracin del cliente de TCP/IP del equipo o el servidor de DNS
especificado no puede soportar dominios de Windows Server 2003, el
asistente ofrecer la instalacin de Microsoft DNS Server y su
configuracin para que funcione como servidor autoritario del dominio.
La pagina configuracin de DNS permite especificar si se desea instalar
el servidor de DNS o configurar uno personalmente. Si seleccionar
utilizar otro equipo como servidor de DNS hay que instalarlo y
configurarlo antes de completar la instalacin de Active Directory.

- 117 -

Windows Server 2003

Divisin Empresas

Especificacin de la compatibilidad de los permisos.


Una vez que el asistente ha entrado en contacto con el servidor de DNS
que va a ofrecer el servicio de localizacin para el nuevo dominio y de
grupo que sean compatibles con servidores anteriores a Windows 2000 o
con servidores de Windows Server 2003 (concretamente, los servidores
RAS de Windows NT 4).
Finalizacin de la instalacin de Active Directory.
Tras especificar el nivel de compatibilidad de los permisos que se desea
hay que escribir la contrasea para la cuenta Administrador del modo de
restauracin del servidor. Como no se puede iniciar localmente la sesin
en un controlador de dominio, el nico momento en que se tiene la
posibilidad de utilizar esta contrasea es al iniciar el modo de
restauracin de los servicios de directorio o al utilizar la consola de
recuperacin, por lo que es importante recordar esta contrasea o
conservarla en lugar seguro. Aqu son aplicables las recomendaciones
habituales sobre las contraseas como mnimo, una contrasea de
siete caracteres que consista en letras maysculas y minsculas,
nmeros y otros caracteres. Son buenas elecciones los acrnimos de
frases que solo tenga significado para el usuario.
Hay que pulsar siguiente tras escribir la contrasea, repasar la pgina de
resumen y pulsar siguiente para permitir que se lleve a cabo la
instalacin y configuracin de Active Directory sin ms interacciones con
el usuario. El asistente registra todas las actividades que tiene lugar
durante el proceso de instalacin en dos archivos denominado
Dcpromo.log y Dcpromoui.log ubicados en la carpeta %SystemRoot|
Debug. La instalacin puede durar varios minutos, tras cual hay que
reiniciar el sistema para que las modificaciones tengan efecto.
El procedimiento para instalar ms controladores de dominio en la red es
parecido al de la instalacin del primer controlador de dominio.

- 118 -

Windows Server 2003

Divisin Empresas

Definicin de los servicios de Directorio: el directorio


activo.
En una red de Microsoft Windows Server 2003, el servicio de directorio
Active Directory proporciona la estructura y las funciones para organizar,
administrar y controlar el acceso a los recursos de red. Para implementar
y administrar una red de Windows Server 2003, deber comprender el
propsito y la estructura de Active Directory.
Active Directory proporciona tambin la capacidad de administrar
centralmente la red de Windows Server 2003. Esta capacidad significa
que puede almacenar centralmente informacin acerca de la empresa,
por ejemplo, informacin de usuarios, grupos e impresoras, y que los
administradores pueden administrar la red desde una sola ubicacin.
Active Directory admite la delegacin del control administrativo sobre los
objetos de l mismo. Esta delegacin permite que los administradores
asignen a un grupo determinado de administradores, permisos
administrativos especficos para objetos, como cuentas de usuario o de
grupo.
Active Directory es el servicio de directorio de una red de Windows
Server 2003, mientras que un servicio de directorio es aquel que
almacena informacin acerca de los recursos de la red y permite que los
mismos resulten accesibles a los usuarios y a las aplicaciones. Los
servicios de directorio proporcionan una manera coherente de nombrar,
describir, localizar, tener acceso, administrar y asegurar la informacin
relativa a los recursos de red.
Una ventaja de integrar el DNS y Active Directory es la capacidad de
integrar zonas de DNS en la base de datos de Active Directory. Una zona
es una porcin del Domain Namespace, que agrupa registros
lgicamente, permitiendo transferencias de zona de estos registros para
funcionar como una unidad.
El Microsoft DNS Servers almacena la informacin que es utilizada para
resolver nombres de host a direcciones IP y direcciones IP a nombres de
host, usando una base de datos en formato de archivo que tenga una
extensin .dns para cada zona.

- 119 -

Windows Server 2003

Divisin Empresas

Las Zonas Active Directory Integrated son primarias y stub, y se


almacenan como objetos en la base de Active Directory. Usted puede
almacenar objetos de zona en Active Directory Application Partition o en
Active Directory Domain Partition. Si los objetos de zona se almacenan
en Active Directory Application Partition, solamente los Domain
Controllers que suscriban a esa Application Partition pueden participar
en la rplica de esta particin. Sin embargo, si los objetos de zona se
almacenan en Active Directory Domain Partition, se replican a todos los
Controladores de Dominio en el dominio.
Ventajas de Zonas Active Directory Integrated
Las Zonas Active Directory Integrated ofrecen las siguientes ventajas.
Multimaster replication. Cuando Usted configura Zonas Active
Directory Integrated, las actualizaciones dinmicas al DNS se basan
en el modelo multimaster. En este modelo, cualquier servidor
autoritativo DNS, por ejemplo un Domain Controller corriendo DNS
Server, es primario para la zona. Dado que la Master Copy de la
zona se mantiene en la base de Active Directory (la cual se replica
completamente a todos Domain Controllers), la zona se puede
actualizar por los DNS Servers funcionando en cualquier Domain
Controller del dominio.
Secure dynamic updates. Debido a que las zonas de DNS son
objetos de Active Directory en Zonas Active Directory Integrated,
Usted puede aplicar permisos a los registros dentro de esas zonas y
tambin puede controlar qu computadoras pueden actualizar sus
registros. De esta manera, las actualizaciones que utilizan el
protocolo dinmico de actualizacin pueden venir solamente de las
computadoras autorizadas.

- 120 -

Windows Server 2003

Divisin Empresas

Componentes
de
directorio
jerrquica (contenedores y
Esquema de Active Directory.

activo:
objetos

estructura
finales) Y

El esquema de Active Directory es el conjunto de definiciones que define


los tipos de objetos (y los tipos de informacin acerca de estos objetos)
que se pueden almacenar en Active Directory. Puesto que las
definiciones se almacenan, por si mismas. Como objetos, Active
Directory puede administrar los objetos de esquema con las mismas
operaciones de administracin de objetos utilizadas para administrar el
resto de los objetos del directorio. Existen dos tipos de definiciones en el
esquema: atributos y clases. Los atributos y clases (tambin conocidos
como objetos de esquema o metadato).
Clases: Las clases, tambin conocidas como clases de objetos,
describen los posibles objetos de directorio que se pueden
crear. Cada clase es una coleccin de atributos. Al crear un
objeto, los atributos almacenan la informacin que describe el
objeto. la clase usuarios, por ejemplo, esta formada por
muchos atributos, incluyendo direccin de red, direccin
principal, etc. Cada objeto de Active Directory es una instancia
de una clase de objetos.
Atributos: Los atributos se definen independientemente de las
clases. Cada atributo solo se define una vez y puede ser
utilizado en varias clases. Por ejemplo, el atributo Descripcin
se utiliza en muchas clases pero se define una vez en el
esquema, asegurando la coherencia.
Los atributos describen objetos. Cada atributo tiene definicin que
describe el tipo de informacin que puede especificarse para ese
atributo. Cada atributo del esquema se especifica en la clase AtributoEsquema, lo que determina la informacin que cada definicin

- 121 -

Windows Server 2003

Divisin Empresas

Estructura Lgica de Active Directory.

Active Directory proporciona el almacenamiento seguro de la


informacin sobre objetos en su estructura jerrquica lgica. Los objetos
de Active Directory representan usuarios y recursos, como por ejemplo,
las computadoras y las impresoras. Algunos objetos pueden llegar a ser
containers para otros objetos.
Entendiendo el propsito y la funcin de estos objetos, Usted podr
realizar una variedad de tareas, incluyendo la instalacin, la
configuracin, la administracin y la resolucin de problemas de Active
Directory.
La estructura
componentes:

lgica

de

Active

Directory

incluye

los

siguientes

Objects. Estos son los componentes bsicos de la estructura lgica.

- 122 -

Windows Server 2003

Divisin Empresas

Object classes. Son las plantillas o los modelos para los tipos de
objetos que se pueden crear en Active Directory. Cada clase de objeto
es definida por un grupo de atributos, los cuales definen los valores
posibles que se pueden asociar a un objeto. Cada objeto tiene una
combinacin nica de los valores de atributos.
Organizational units. Usted puede utilizar este container objects para
organizar otros objetos con propsitos administrativos. Organizando
objetos en Organizational Unit, se hace ms fcil localizar y
administrar objetos. Usted puede tambin delegar la autoridad para
administrar las Organizational Unit. Estas ltimas pueden contener
otras Organizational Units para simplificar la administracin de
objetos.
Domains. Son las unidades funcionales core de la estructura lgica de
Active Directory, y asimismo es una coleccin de los objetos
administrativos definidos, que comparten en una base de datos
comn del directorio, polticas de la seguridad y relaciones de
confianza con otros Domains. Los Domains proporcionan las tres
funciones siguientes:
o Un lmite administrativo para los objetos
o Medios de administrar la seguridad para los recursos
compartidos
o Una unidad de rplica para los objetos
o Domain trees. Son Domains agrupados en estructuras de
jerarqua. Cuando se agrega un segundo dominio a un tree,
se convierte en Child del tree Root Domain. El dominio al
cual un Child Domain se une, se llama Parent Domain. El
Child Domain puede tener sus propios Child Domain, y su
nombre se combina con el nombre de su Parent Domain para
formar su propio y nico nombre, Domain Name System
(DNS). Un ejemplo de ellos sera corp.nwtraders.msft. De
este modo, un tree tiene un Namespace contiguo.
Forests. Un Forest es una instancia completa de Active Directory, y
consiste en uno o ms trees. En un solo two-level tree, el cual se
recomienda para la mayora de las organizaciones, todos los Child
Domains se hacen Children del Forest Root Domain para formar un
tree contiguo. El primer dominio en el forest se llama Forest Root
Domain, y el nombre de ese dominio se refiere al forest, por ejemplo,
nwtraders.msft. Por defecto, la informacin en Active Directory se
comparte solamente dentro del forest. De esta manera, la seguridad
del forest estar contenida en una sola instancia de Active Directory.

- 123 -

Windows Server 2003

Divisin Empresas

La estructura fsica de Active Directory.

En contraste con la estructura lgica y los requisitos administrativos de


los modelos, la estructura fsica de Active Directory optimiza el trfico de
la red, determinando cmo y cundo ocurre la replicacin y el trfico de
logon. Para optimizar el uso del ancho de banda de la red Active
Directory, Usted debe entender la estructura fsica del mismo.
Los elementos de la estructura fsica de Active Directory son:
Domain controllers. Estas computadoras corren Microsoft Windows
Server 2003 o Windows 2000 Server y Active Directory. Cada Domain
Controller realiza funciones de almacenamiento y replicacin, y adems
soporta solamente un domain. Para asegurar una disponibilidad continua
de Active Directory, cada domain debe tener ms de un Domain
Controller.
Active Directory sites. Los sites son grupos de computadoras
conectadas. Cuando Usted establece sites, los Domain Controllers que
estn dentro de un solo site pueden comunicarse con frecuencia. Esta
comunicacin reduce al mnimo el estado de la latencia dentro del site,
esto es, el tiempo requerido para un cambio que se realice en un
Domain Controller y sea replicado a otros domain controllers. Usted crea
sites para optimizar el uso del ancho de banda entre domain controllers
en
diversas
locaciones.
- 124 -

Windows Server 2003

Divisin Empresas

Active Directory partitions. Cada Domain Controller contiene las


siguientes particiones de Active Directory:
Domain Partition, que contiene la rplica de todos los objetos en ese
domain. Esta particin es replicada solamente a otros Domain
Controllers en el mismo domain.
Configuration Partition, que contiene la topologa del forest. La topologa
registra todas las conexiones de los Domain Controllers en el mismo
forest.
Schema Partition, que contiene el schema del forest. Cada forest tiene
un schema de modo que la definicin de cada clase del objeto sea
constante. Las particiones Configuration y Schema Partitions son
replicadas a cada Domain Controller en el forest.
Application Partitions Ppcionales. Que contienen los objetos relacionados
a la seguridad y son utilizados por una o ms aplicaciones. Las
Application Partitions son replicadas a Domain Controllers especficos en
el forest.

- 125 -

Windows Server 2003

Divisin Empresas

Los roles de los controladores de dominio: servidores


de catlogo global, maestros de operaciones.
Reglas
para
su
ubicacin
y
configuracin.
Novedades de Windows 2003 respecto de los
servidores de catlogo global.
Establecimiento de un servidor de catalogo global.
El primer controlador de dominio de Windows Server 2003 de cada
bosque es, de manera automtica, servidor de catalogo global. El
catalogo global (Global Catalog, GC) contiene una replica completa de
todos los objetos de directorio del dominio que lo aloja junto con una
replica parcial de todos los objetos de directorio de todos los dominios
del bosque. El objetivo del GC es proporcionar autentificacin para los
eventos de inicio de sesin. A dems, como el GC contiene informacin
sobre todos los objetos de todos los dominios del bosque, la bsqueda
de informacin en el directorio no exige consultas innecesarias de unos
dominios a otros. Una sola consulta al GC proporciona la informacin
sobre la ubicacin del objeto.
De manera predeterminada, hay un GC, pero cualquier controlador de
dominio puede configurarse como servidor catalogo global. Si se
necesitan servicios adicionales de inicio de sesin y de bsqueda se
pueden tener en el dominio varios servidores del catalogo global.
Para trasformar un controlador de dominio en servidor del catalogo
global.
Para transformar un controlador de dominio a en servidor del catalogo
global hay que dar estos pasos.
6. hay que lanzar sitios y servicios de Active Directory desde la
carpeta Herramientas Administrativas.
7. Hay que escribir Sitios y seleccionar el sitio en cuestin.
8. Hay que abrir servidores y seleccionar el controlador de dominio
que desea trasformar en servidor del catalogo global.
9. Hay que seleccionar en el panel de la parte derecha NTDS
Settings y escoger propiedades en el men Accin.
10.
En la pestaa general hay que seleccionar la casilla se
verificacin catalogo global.
Mientras la empresa tenga controladores de dominio de Windows NT 4
hay que tener, como mnimo, un servidor de catalogo global por
dominio. Una vez se hayan actualizado todos los controladores de

- 126 -

Windows Server 2003

Divisin Empresas

dominio a Windows Server 2003 se puede pasar el dominio al modo de


Windows Server 2003.

- 127 -

Windows Server 2003

Divisin Empresas

Maestros de operaciones
Cuando un cambio se realiza a un domain, el cambio se replica a todos
los Domain Controllers del mismo. Algunos cambios, por ejemplo los que
se hacen en el schema, son replicados a todos los domains en el forest.
Este tipo de replicacin es llamada Multimaster Replication.
Operaciones Simple maestro
Durante la replicacin multimaster, puede ocurrir un conflicto de rplica
donde se originen actualizaciones concurrentes en el mismo atributo del
objeto y en dos Domain Controllers. Para evitar conflictos de rplica,
Usted puede utilizar Single Master Replication, la cual asigna un Domain
Controller como el nico y en el que se pueden realizar cambios de
directorio.
De esta manera, los cambios no pueden ocurrir en diversos lugares de la
red al mismo tiempo. Active Directory usa Single Master Replication para
los cambios importantes, por ejemplo, la adicin de un nuevo domain o
cambios al schema del forest.

- 128 -

Windows Server 2003

Divisin Empresas

Operaciones Roles Maestro


Las operaciones que utilizan Single Master Replication van junto a roles
especficos en el forest o en el domain. Estos roles se llaman Operations
Master Roles. Para cada Operation Master Role, solamente el Domain
Controller que tiene el rol puede realizar los cambios asociados al
directorio. El Domain Controller que es responsable de un rol en
particular se llama Operations Master para ese rol. Active Directory, por
su parte, almacena la informacin sobre el Domain Controller que
cumple un rol especifico.
Los Operations Master Roles son a nivel forest o nivel domain, y Active
Directory define cinco de ellos, los cuales tienen una localizacin por
defecto.
Roles Forest-wide. nicos en el forest, los roles forest-wide son:
Schema master. Controla todas las actualizaciones al schema. El
schema contiene la definicin de clases de objetos y atributos que se
utilizan para crear todos los objetos de Active Directory, como
usuarios, computadoras, e impresoras.
Domain Naming Master. Controla la adicin o el retiro de domains en
el forest. Cuando se agrega un nuevo domain al forest, solamente el
Domain Controller que tenga el rol Domain Naming Master, podr
agregar el nuevo domain. Hay solamente un Schema Master y un
Domain Naming Master por forest.
Roles Domain-wide. Para cada domain en el forest, los roles domainwide son:
Primary domain controller emulator (PDC). Acta como un PDC
Windows NT para soportar a los Backup Domain Controllers (BDCs)
que corren Microsoft Windows NT en domains, de modo mixto. Este
tipo de domain tiene Domain Controller corriendo Windows NT 4.0. El
PDC Emulator es el primer Domain Controller que se crea en un nuevo
domain.
Relative identifier master. Cuando se crea un nuevo objeto, el
Domain Controller crea un nuevo Security Principal, que representa al
objeto, asignndole un Unique Security Identifier (SID). El SID consiste
en un Domain SID, que es igual para todos los Security Principals
creados en el domain, y un relative identifier (RID), el cual es nico
para cada security principal creado en el domain. El RID Master
asigna bloques de RIDs a cada Domain Controller en el domain. El
- 129 -

Windows Server 2003

Divisin Empresas

Domain Controller entonces asigna el RID a los objetos se crean del


bloque asignado de RIDs.
Infrastruestructura de maestro. Cuando los objetos se mueven de un
domain a otro, el Infrastructure Master actualiza las referencias al
objeto en ese domain y la referencia al objeto en el otro dominio. La
referencia del objeto contiene el Object Globally Unique Identifier
(GUID), el Distinguished Name y el SID. Active Directory actualiza
peridicamente el Distinguished Name y el SID, en la referencia al
objeto para reflejar los cambios realizados en el objeto real, por
ejemplo, movimientos en y entre domains o la eliminacin del objeto.
Cada domain en el forest tiene su propio PDC Emulator, RID Master e
Infrastructure Master.
Transferencia de Operaciones Roles Maestro

Usted colocar los Operations Master Roles en un forest cuando


implemente una estructura de forest y dominio. Los Oerations Master
Roles se transfieren, solamente cuando se realiza un cambio importante
en la infraestructura del dominio. Tales cambios incluyen el desarme de
un Domain Controller que haya tenido un rol, y la adicin de un nuevo
Domain Controller que satisfaga mejor las operaciones de un rol
especfico.
La transferencia de Operations Master Roles implica mover el rol de un
Domain Controller a otro. Para transferir roles, los dos Domain
Controllers deben estar funcionando y conectados a la red.
Ninguna prdida de datos ocurre cuando Usted transfiere Operations
Master Role. Active Directory replica el actual Operation Master Role al
nuevo Domain Controller, asegurando que el nuevo Operation Master
Role obtendr la informacin necesaria para dicho rol. Esta transferencia
utiliza el mecanismo de la rplica del directorio.
- 130 -

Windows Server 2003

Divisin Empresas

Herramientas para el mantenimiento y reparacin del


Directorio Activo.
Requisitos para instalar Active Directory

Antes de instalar Active Directory, Usted debe asegurarse que la


computadora est configurada como Domain Controller, cumpliendo con
los requisitos de hardware y del sistema operativo. Adems, el Domain
Controller deber tener acceso al DNS Server, que deber cumplir con
ciertos requisitos para soportar la integracin con Active Directory.
La lista siguiente identifica los requisitos para la instalacin de Active
Directory:
Una computadora corriendo Microsoft Windows Server 2003
Standard Edition, Enterprise Edition o Datacenter Edition. Windows
Server 2003 Web Edition no soporta Active Directory.
Un mnimo de 250 megabytes (MB) de espacio en disco.200 MB para
la base de datos de Active Directory y 50 MB para logs de
transacciones de Active Directory. Los requisitos de tamao del
archivo para la base de Active Directory y los archivos log, dependen
del nmero y el tipo de objetos en el domain. Se requerir el espacio
de disco adicional si el Domain Controller tambin es Global Catalog
Server.
Una particin o un volumen con formato NTFS y con sistema de
archivos. La particin NTFS se requiere para la carpeta SYSVOL.
Los privilegios administrativos necesarios para crear un domain, si es
que Usted est creando uno en una red existente Windows Server
2003.
TCP/IP instalado y configurado para utilizar DNS.

- 131 -

Windows Server 2003

Divisin Empresas

Un DNS Server autoritativo para el DNS Domain y soporte para los


requisitos enumerados en la siguiente tabla.
SRV Resource Records (Mandatory) Service Locator Resource (SRV).
Son registros DNS que identifican los servicios especficos que ofrecen
las computadoras en una red Windows Server 2003. El DNS Server
que soporta la instalacin de Active Directory necesita soporte de SRV
Resource Records. De lo contrario, Usted deber configurar el DNS
localmente durante la instalacin de Active Directory o configurar el
DNS manualmente despus de la instalacin de Active Directory.
Dynamic Updates (Opcional). Microsoft recomienda que los
servidores DNS tambin soporten actualizaciones dinmicas. El
protocolo dinmico de actualizacin permite a los servidores y a los
clientes, en un ambiente DNS, agregar y actualizar la base de datos
del DNS automticamente, lo que reduce esfuerzos administrativos.
Si Usted utiliza software DNS que soporta SRV Resource Records pero
que no soporta el protocolo dinmico de actualizacin, deber
ingresar los SRV Resource Records manualmente en la base DNS.
Incremental Zone Transfers (Opcional). En una transferencia
incremental de zona, los cambios realizados en una zona en el Master
DNS Server, deben ser replicados a los DNS Servers secundarios de
esa zona. Las transferencias incrementales de la zona son opcionales,
pero se recomiendan porque ahorran ancho de banda de la red,
replicando solamente los registros nuevos o modificados entre los
DNS Servers, en vez del archivo de base de datos entero de la zona.

- 132 -

Windows Server 2003

Divisin Empresas

Herramientas para el mantenimiento y reparacin del


Directorio Activo
Cambio de nombre de un controlador de dominio o del dominio
completo.
No importa lo cuidadosamente que se escoja un convenio de nombres
para la red, mas tarde o mas temprano se acaba deseando haber
nombrado de manera diferente una o mas reas de la red. Puede que la
divisin tenga un cambio de nombre importante o que se hayan
centralizado todas las operaciones de la costa Oeste en O Grave, pero
sigue habiendo acuciantes razones de seguridad para no desear la
fusin de dominios al menos de momento. O puede que, con toda la
planificacin realizada, que se haya cometido un error sustancial en la
denominacin de los controladores de dominio y que realmente se desee
corregirlo.
En los dominios y bosques de Windows 2000 no haba mucho que se
pudiera hacer al respecto sin que causara problemas todava mas
graves. Los dominios no se podan cambiar de nombre ni trasladar por el
bosque e incluso el cambio de nombre de equipo de los controladores de
dominio exiga su degradacin (un reinicio), el cambio de nombre (otro
reinicio) y una nueva promocin a controlador de dominio (reinicio
numero tres). Algo ms de trabajo de lo ideal, y algo que afecta
gravemente a la red mientras se lleva a cabo.
Cambio de nombre de un controlador de dominio.
En los dominios que se hallan en el nivel funcional nativo de Windows
2000 la nica manera de cambiar el nombre de un controlador de
dominio es degradarlo, cambiarle el nombre y volver a promoverlo a
controlador de dominio. Como mnimo, una labor tediosa, y que necesita
tres reinicios. En Windows Server 2003, sin embargo, si el nivel funcional
del dominio se ha elevado a Windows Server 2003, lo que exige que
todos los controladores de dominio, del dominio sean servidores de
Windows Server 2003, se puede cambiar el nombre de los controladores
de dominio sin degradarlos antes y con un nico reinicio. Esto lo hace
mucho ms factible y simplifica la gestin global de la red.
Para cambiar el nombre de un controlador de dominio hay que seguir los
pasos siguientes.
7. Hay que iniciar la sesin en el controlador de dominio que se va
a cambiar de nombre con una cuenta con autoridad de
administradores de dominio o de administradores de
empresa, o utilizar rumas para llegar al nivel administrativo
necesario.
- 133 -

Windows Server 2003

Divisin Empresas

8. Hay que abrir una ventana del smbolo del sistema.


9. Hay que aadir el nombre nuevo al equipo del controlador de
dominio utilizando netdom.
Netdom nombreequipo <nombeactual> /add:<nombrenuevo>
10.

Hay que hacer el nombre nuevo principal utilizando netdom:


Netdom nombreequipo <NombreActual> /makeprimary :
<NombreNuevo>

11.

Hay que reiniciar el equipo.

12.

Hay que eliminar el nombre original utilizando netdom:

Netdom
nombreequipo
<NombreActual>

<NombreNuevo>

/renove:

Si las modificaciones no se han transmitido completamente puede que


algunos clientes tengan problemas para el acceso al dominio o para el
inicio de sesin, especialmente tras el paso /makeprimary.
Windows Server 2003 aade Active Directory una funcionalidad
completamente nueva la posibilidad de cambiar el nombre de dominios
completos, reestructurado el bosque, se trata de una herramienta nueva
y potente del arsenal de los administradores de empresa, pero que debe
utilizarse con extrema cautela. Las herramientas para llevar acabo la
reestructuracin se hallan en el CD-ROM de distribucin de Windows
Server 2003 en la carpeta \valueadd\msft\domren- rendom.exe, la
autentica herramienta para los cambios de nombre, y Gpfixup.exe, una
herramienta para la limpieza del catalogo global.

- 134 -

Windows Server 2003

Divisin Empresas

Copia de seguridad y restauracin del Directorio


Activo:
restauraciones
autoritativas
y
no
autoritativas
Instalacin de Active Directory.

Hacer backup de Active Directory es esencial para mantener la base de


datos de Active Directory. Usted puede hacer backup de Active Directory
usando una graphical user interface (GUI) y herramientas command-line
tools, que provee Windows Server 2003.
Usted con frecuencia debe hacer backup del System State data en
Domain Controllers de modo que pueda restaurar los datos ms
actuales. Estableciendo un schedule regular de backup, Usted tiene una
mejor ocasin de recuperacin de datos cuando sea necesario.
El System State Data en un Domain Controller incluye los siguientes
componentes:
- 135 -

Windows Server 2003

Divisin Empresas

Active Directory. El System State Data no contiene Active Directory a


menos que el servidor en el cual Usted est haciendo backup del System
State Data sea un Domain Controller. Active Directory, est presente
solamente en Domain Controllers.
The SYSVOL shared folder. Esta carpeta compartida contiene plantillas
de Group Policy y logon scripts. La carpeta compartida SYSVOL est
presente solamente en domain controllers.
The registry. Este repositorio base de datos contiene la informacin
sobre la configuracin de la computadora.
System Inicioup files. Windows Server 2003 requiere estos archivos
durante su fase de encendido inicial. Incluyen los boot y archivos de
sistema que estn protegidos por Windows file protection.
The COM+ Class Registration database. La base de datos Class
Registration
contiene
informacin
sobre
Component
Services
applications.
The Certificate Services database. Esta base de datos contiene los
certificados del servidor que Windows Server 2003 utiliza para
autenticar usuarios. Esta base solamente est presente si el servidor
est funcionando como certificate server.
Para realizar la operacin de backup usted puede utilizar la herramienta
provista por Windows Server 2003:
8. Hacer click en copia de seguridad en el men inicio, todos los
programas, accesorios, herramientas del sistema.
9. Hacer click en siguiente en la pgina bienvenido al asistente de
copia de seguridad y restauracin. En la pgina copia de seguridad
y restauracion, hacer click en Backup files and settings, y despus
hacer click en Next.
10.
En la pgina What to Back Up, hacer click en Let me choose
what to back up, y despus hacer click en Next.
11.
En la pgina Items to Back Up, expandir My Computer,
seleccionar el System State, y despus hacer click en Next.
12.
En la pgina Backup Type, Destination, and Name, hacer
click en Browse, seleccionar una locacin para el backup, hacer
click en Save, y despus hacer click en Next.
13.
En la pgina Completing the Backup or Restore Wizard, hacer
click en Finish.
14.
En la pgina Backup Progress, hacer click en Close.

- 136 -

Windows Server 2003

Divisin Empresas

Restauracin de Active Directory

Usted puede utilizar uno de los tres mtodos para restaurar Active
Directory
de
medios
de
backup:
primary
restore,
normal
(nonauthoritative) restore, y authoritative restore.
4. Primary restore. Este mtodo reconstruye el primer domain
controller en el dominio cuando no hay otra manera de
reconstruir el dominio. Realizar un primary restore solamente
cuando todos los domain controllers en un domain se perdieron,
y usted desea reconstruir el dominio usando el backup.
5. Normal restore. Este mtodo reinstala los datos de Active
Directory al estado antes del backup, actualiza los datos con el
proceso normal de rplica. Realizar un normal restore
solamente cuando usted desea restaurar un solo domain
controller a un buen estado previamente conocido.
6. Authoritative restore. Usted realiza este mtodo en tndem con
un restore normal. Un restore autoritativo marca datos
especficos y evita que la rplica sobre escriba esos datos. Los
datos autoritativos entonces se replican a travs del dominio.
- 137 -

Windows Server 2003

Divisin Empresas

Para realizar un primary restore de Active Directory, deber realizar


los siguientes pasos:
10. Reiniciar su domain controller en Directory Services Restore
Mode.
11. Iniciar la utilidad de Backup.
12. Hacer click en Advanced Mode en la pgina Welcome to the
Backup or Restore Wizard,
13. En la pgina Welcome to Backup Utility Advanced Mode,
sobre Restore and Manage Media, seleccioar qu desea
restaurar, y despus hacer click en Inicio Restore.
14. En el cuadro Warning, hacer click en OK.
15. En el cuadro Confirm Restore, hacer click en Advanced.
16. En el cuadro Advanced Restore Options, hacer click en When
restoring
replicated data sets, mark the restored data as the primary
data for all replicas, y despus hacer click en OK dos veces.
17. En el cuadro Restore Progress, hacer click en Close.
18. En el cuadro Backup Utility, hacer click en Yes.

- 138 -

Windows Server 2003

Divisin Empresas

- 139 -

Windows Server 2003

Divisin Empresas

Unidad 6: Administracin de cuentas y recursos


Instalar y configurar las herramientas administrativas
Introduccin
En esta sesin, aprender como instalar y configurar las herramientas
administrativas. Tambin identificar los diferentes tipos de cuentas de
usuarios y como crearlas.
Objetivo de la sesin
Despus de completar esta sesin, usted ser capaz de:
Identificar las herramientas administrativas mas utilizadas.
Instalar las herramientas administrativas.
Describir la consola de administracin de Microsoft (MMC).
Crear una MMC personalizada.
Resolver problemas con la instalacin y configuracin las
herramientas administrativas

Que son las herramientas administrativas


Introduccin
Las herramientas administrativas permiten a los administradores de la
red agregar, buscar y cambiar la configuracin de las computadoras en
la red y los objetos del Active Directory. Adems puede instalar las
herramientas administrativas para manejar remotamente un Servidor en
ambiente de Windows Server 2003 desde las computadoras con
Microsoft Windows XP Professional.
Herramientas administrativas.
Algunas de las herramientas administrativas ms comunes son las
siguientes:
Usuarios y equipos de Active Directory.
Sitios y servicios de Active Directory.
Dominios y de confianzas de Active Directory.
Administracin de equipos.
DNS.
Escritorios remotos.

Como instalar las herramientas administrativas


Introduccin
Para instalar las herramientas administrativas de Windows Server 2003
en una computadora con Windows XP Profesional, debe tener permisos
administrativos. Si la computadora pertenece a un dominio, los
miembros del grupo administradores podran realizar este proceso.
- 140 -

Windows Server 2003

Divisin Empresas

Procedimiento
Para instalar o reinstalar las herramientas administrativas desde el CD
de Windows Server 2003:
1. Inserta el CD de Windows Server 2003 en la computadora con
Windows XP profesional.
2. La instalacin del CD se inicia automticamente, sino:
a. Clic en Inicio y clic en Ejecutar.
b. En el cuadro de dialogo Ejecutar, clic en Examinar.
c. En el cuadro de dialogo Examinar, Clic en Mi PC.
d. Doble clic en la unidad de CD y doble clic en setup.exe.
e. En el cuadro de dialogo Ejecutar, Clic en Aceptar.
3. En el cuadro de dialogo Familia de servidores Microsoft
Windows Server 2003, clic en Realizar tareas adicionales.
4. En cuadro de dialogo Qu desea hacer?, clic en Examinar este
CD.
5. Doble clic en la carpeta i386.
6. Doble clic en el icono Adminpak.msi.
7. Siga las instrucciones del asistente, especificando donde desea
realizar la instalacin.

Que es MMC?
Definicin
Utilice la consola de administracin de Microsoft (MMC) para crear,
guardar y abrir herramientas administrativas, mediante consolas, que
administran el Hardware, Software y componentes de la red del sistema
operativo Windows.
Que son los complementos (snap-ins)?
Un complemento es una herramienta que se almacena en MMC. MMC
ofrece una estructura el la cual varios complementos se pueden ejecutar
para poder administrar deferentes servicios con una misma interfaz.
Tambin permite personalizar la consola seleccionando complementos
especficos, puede crear consolas que solo incluyan las herramientas
administrativas que requiera.

Como crear una MMC personalizada?


Introduccin
Puede utilizar MMC para crear herramientas personalizadas y distribuir
estas a los usuarios. Tanto con Windows XP profesional como con
Windows Server 2003, puede guardar estas herramientas para que estn
disponibles en la carpeta Herramientas administrativas en el men
Todos los programas. Para crear una MMC personalizada, puede utilizar
el comando Ejecutar.

- 141 -

Windows Server 2003

Divisin Empresas

Procedimiento.
1. Clic en Inicio, clic en Ejecutar, escriba MMC y clic en Aceptar.
2. En la consola, en el men Archivo, Clic en Agregar o quitar
complemento.
3. En el cuadro de dialogo Agregar o quitar complemento, clic en
Agregar.
4. En el cuadro de dialogo
Agregar un complemento
independiente, doble clic en el elemento que desea agregar.
5. Si aparece un asistente, siga las instrucciones
6. Para agregar otro elemento a la consola, repita el paso 4.
7. En el cuadro de dialogo Agregar un complemento
independiente, clic en Cerrar.
8. Clic en Aceptar cuando haya terminado.
9. En el men Archivo, clic en Guardar.

Practica: Configurando las Herramientas administrativas


Objetivo
Es esta prctica, podr:
Crear una MMC personalizada.
Agregar complementos MMC.
Guardar la MMC personalizada.
Instrucciones
Antes de comenzar la prctica:
Inicie sesin en el dominio utilizando una cuenta administrativa.
Revise los procedimientos descritos en esta sesin que describen
como realizar esta tarea.
Escenario
El administrador de la red le indica que su cuenta de usuario fue
agregada al dominio ICAM. Configure las herramientas de soporte para
que tenga una consola administrativa que le de acceso rpido a las
herramientas que necesita en su trabajo.
Practica
Configure una MMC personalizada
1. Abra una MMC en blanco.
2. Agregue el componente Administracin de equipos para el equipo
local.
3. Agregue el componente Administracin de equipos para ICAM.
4. Agregue el componente Usuarios y equipos de Active Directory.
5. Guarde la MMC en Herramientas administrativas con el nombre
MMCPersonal.msc.

- 142 -

Windows Server 2003

Divisin Empresas

Como solucionar problemas con la instalacin y


configuracin de las herramientas administrativas.
Introduccin
Hay dos problemas que comnmente se puede encontrar cuando instala
y configura las herramientas administrativas, puede ser que no se
instalen adecuadamente y que los vnculos de la ayuda estn rotos.
No se pudo instalar
Si tiene problemas con la instalacin o configuracin de las herramientas
administrativas en Windows Server 2003, verifique que tiene permisos
administrativos en la computadora local.
Otra razn por la cual no pueda instalar las herramientas administrativas
es que tenga instalada una versin incorrecta de sistema operativo. Solo
se pueden instalar en Windows XP Profesional o en Windows Server
2003.
No tiene acceso al dominio
Para
que
pueda
utilizar
adecuadamente
las
herramientas
administrativas desde una computadora con Windows XP Profesional,
debe configurar adecuadamente el protocolo TCP/IP.
Ejemplo: Si el DNS del servidor es 192.168.0.1, la maquina con Windows
XP profesional, debe tener 192.168.0.1 en Servidor DNS preferido en las
propiedades de TCP/IP.
Vnculos de ayuda rotos.
Cuando instala las herramientas administrativas en Windows XP
Profesional, algunos vnculos aparecen rotos. La razn es que tiene
ambos archivos de ayuda, los del Server y los del cliente.
Para resolver el problema, debe instalar los archivos de ayuda desde el
CD de Windows Server 2003.
1. En el men Inicio, clic en Ayuda y soporte tcnico.
2. En la ventana de Centro de ayuda y soporte tcnico, en la barra de
navegacin, clic en Opciones.
3. En el panel izquierdo, clic en Instalar y compartir la ayuda de
Windows.
4. En el panel derecho, dependiendo desde donde desea instalar, clic
en Instale el contenido de ayuda desde otro equipo de
Windows, Instale el contenido de ayuda desde un CD o
imagen de disco.
5. Escriba la localizacin del equipo, CD o Imagen y clic en Buscar.
Si desea instalar desde un CD o imagen, puede dar clic en
Examinar para localizar el disco que contiene los archivos de
ayuda.
- 143 -

Windows Server 2003

Divisin Empresas

6. Cuando los archivos estn disponibles, clic en la versin de ayuda


que desea y clic en Instalar.

- 144 -

Windows Server 2003

Divisin Empresas

Creando una Unidad Organizativa


Introduccin
En esta sesin, aprender como crear una unidad organizativa
Objetivo de la sesin
Despus de completar esta sesin usted ser capaz de crear una unidad
organizativa, incluyendo:
Explicar el propsito de una unidad organizativa.
Describir modelos jerrquicos de unidades organizativas.
Identificar los nombres asociados con las unidades organizativas.
Crear una unidad organizativa.

Que es una unidad organizativa?


Definicin
Una unidad organizativa es un tipo de objeto particularmente til del
Active Directory contenido en un dominio. Las unidades organizativas
son tiles porque permiten organizar cientos o miles de objetos en el
directorio. Puede utilizar una unidad organizativa para agrupar y
organizar objetos con propsitos administrativos, como podra ser
delegar la administracin y asignar polticas de seguridad a una
coleccin de objetos de una simple unidad.
Beneficios de utilizar unidades organizativas.

Organizar objetos en un dominio.


Las unidades organizativas contienen objetos del dominio, como
son las cuentas de usuarios, equipos y los grupos. Tambin se
encuentran en las unidades organizativas archivos e impresoras
compartidos que son publicados en el Active Directory.

Delegar el control administrativo.


Puede asignar cualquier control administrativo, como es el control
total de
permisos, sobre todos los objetos en la unidad
organizativa, o puede asignar un control administrativo limitado,
como podra ser la modificacin de informacin de los correos
electrnicos sobre objetos de la unidad organizativa. Para delegar
el control administrativo, asigne permisos determinados en la
unidad organizativa y los objetos que la unidad organizativa
contiene para uno o ms usuarios y grupos.

- 145 -

Windows Server 2003

Divisin Empresas

Simplifica la administracin de los recursos agrupados ms


comunes.
Puede
delegar
autoridad
administrativa
sobre
atributos
individuales de objetos individuales en el Active Directory. Un
usuario puede tener autoridad administrativa para todas las
unidades organizativas en el dominio o para una simple unidad
organizativa, puede crear contenedores en el dominio que
representen jerrquicamente o lgicamente la estructura en su
organizacin. Puede entonces administrar la configuracin y
utilizar las cuentas y recursos basados en el modelo
organizacional.

Modelo jerrquico de las unidades organizativas


Introduccin
Como un administrador de sistemas, usted no selecciona el diseo de la
estructura del Active Directory para su organizacin. Sin embargo, es
importante que conozca las caractersticas y ramificaciones de cada
estructura. Este conocimiento puede ser crtico para usted cuando
realice tareas administrativas en la estructura del Active Directory.
Veamos los cuatro diseos jerrquicos bsicos.
Jerarqua basada en funciones
Esta jerarqua solo se basa en las funciones del negocio en la
organizacin, sin considerar la ubicacin geogrfica o departamental o
las barreras divisionales.
Cuando decida si la estructura del Active Directory ser por funciones,
considere las siguientes caractersticas del diseo basado en funciones:

No es afectada por las reorganizaciones. Una jerarqua basada en


funciones no es afectada por la corporacin o la reorganizacin
organizacional.
Puede requerir capas adicionales. Cuando utiliza esta estructura,
puede ser necesario crear capas adicionales en la jerarqua de la
unidad organizativa para acomodar la administracin de usuarios,
impresoras, servidores y recursos compartidos de la red.
Puede impactar la replicacin. las estructuras que son utilizadas
para crear dominios pueden no tener un uso adecuado en la red,
porque el contexto del nombre del dominio puede replicar frente a
uno o ms reas de bajo ancho de banda.

- 146 -

Windows Server 2003

Divisin Empresas

Jerarqua basada en la organizacin


Se basa en los departamentos o divisiones de su organizacin. Si la
estructura del Active Directory es organizado para reflejar la estructura
organizacional, puede ser difcil delegar la autoridad administrativa,
porque los objetos en el Active Directory, como son las impresoras y
archivos compartidos, podran no ser agrupados en un camino que
facilite delegacin de autoridad administrativa. Porque los usuarios
nunca ven la estructura del active Directory, el diseo debera
adecuarse al administrador en lugar del usuario.
Jerarqua basada en ubicacin
Si la organizacin es centralizada y la administracin de la red es
geogrficamente distribuida, entonces utilice una jerarqua basada en
ubicacin. Por ejemplo, puede decidir crear unidades organizativas para
Mxico, Guadalajara y Monterrey en el mismo dominio.
Una unidad organizativa o dominio basado en una jerarqua de ubicacin
tiene las siguientes caractersticas:

No es afectada por reorganizaciones. Aunque las divisiones y


departamentos pueden cambiar frecuentemente, las ubicaciones
raramente cambian.
Reacomodo por fusiones y expansiones. Si una organizacin se
fusiona o adquiere otra compaa, es fcil de integrar una nueva
ubicacin en la unidad organizativa existente y la estructura
jerrquica del dominio.
Toma las ventajas de las redes. Normalmente, una topologa fsica
de red de una organizacin se parece a una jerarqua basada en
ubicacin. Si crea dominios con una jerarqua basada en ubicacin,
puede tomar las ventajas de reas donde la red tiene ancho de
banda alto y limitar la cantidad de datos replicados en reas con
bajo ancho de banda.

Jerarqua basada en hbridos.


Una jerarqua basada en ubicacin y tambin por organizacin, o
cualquier otra combinacin, es llamada jerarqua basada en hbridos.
Esta jerarqua tiene las siguientes caractersticas:
Se adecua al crecimiento en reas geogrficas, departamentales
o divisionales.
Tiene distintas bondades administrativas segn el departamento o
divisin.
Requiere cooperacin entre administradores para asegurar la
realizacin de las tareas administrativas si son en la misma
ubicacin pero en diferentes divisiones o departamentos.

- 147 -

Windows Server 2003

Divisin Empresas

Nombres asociados con unidades organizativas


Introduccin
Cada objeto en el Active Directory puede ser referenciado por diferentes
tipos de nombres que describen la ubicacin del objeto. Active Directory
crea un Nombre completo, un Nombre cannico y un Nombre completo
relativo. Por cada objeto, basado en la informacin que es proporcionada
cuando el objeto es creado o modificado.
LDAP Nombre completo relativo.
El Lightweight Directory Access Protocol (LDAP) Nombre completo
relativo nicamente identifica al objeto en su contenedor padre. Por
ejemplo, el LDAP Nombre completo relativo de una unidad organizativa
llamada MiUnidadOrganizacional es OU = MiUnidadOrganizacional. Los
nombres completos relativos deben ser nicos en una unidad
organizativa. Esto es importante para comprender la sintaxis del LDAP
Nombre completo relativo cuando utilice scripts para filtrar y administrar
el Active Directory.
LDAP Nombre completo.
Como el LDAP Nombre completo relativo, LDAP Nombre completo es
nicamente global. Un ejemplo de LDAP Nombre completo de una
unidad organizativa llamada MIUnidadOrganizacional en el dominio
icam.com.mx es OU = MiUnidadOrganizacional, DC = icam, DC =
com.mx. Los administradores de sistemas utilizan el LDAP Nombre
completo relativo y el LDAP Nombre completo solo cuando escriben
scripts administrativos o durante la administracin desde la lnea de
comandos.
Nombre cannico
La sintaxis del nombre cannico es construida de la misma forma que el
LDAP Nombre completo, pero es representado por una notacin
diferente. El nombre cannico de la unidad organizativa llamada
MiUnidadOrganizacional
en
el
dominio
icam.com.mx
es
icam.com.mx/MiUnidadOrganizacional. Los administradores utilizan los
nombres cannicos a travs de algunas herramientas administrativas.

- 148 -

Windows Server 2003

Divisin Empresas

Como crear una Unidad Organizativa


Introduccin
Puede crear una unidad organizativa para representar una jerarqua o
para administrar objetos que van dentro de una unidad organizativa.
Procedimiento
Para crear una nueva unidad organizativa:
1. Abra Usuarios y equipos de Active Directory.
2. En la consola de rbol, doble clic en el nodo del dominio.
3. Clic derecho en el nodo del dominio o en la carpeta en la que
desea agregar la unidad organizativa, apunte a Nuevo y clic en
Unidad organizativa.
4. En el cuadro de dialogo Nuevo Objeto Unidad organizativa,
en el cuadro Nombre, escribe el nombre para la unidad
organizativa y clic en Aceptar.

Practica: Creando una unidad organizativa


Objetivo
En esta practica, crear tres unidades organizacionales.
Instrucciones
Antes de comenzar la prctica:
Inicie sesin en el dominio utilizando una cuenta administrativa.
Revise los procedimientos descritos en esta sesin que describen
como realizar esta tarea.
Escenario
Como un administrador de sistemas, usted se da a la tarea de crear una
unidad organizativa jerrquica. La unidad organizativa jerrquica
utilizara el diseo basado en ubicacin que separa las computadoras
Laptops de las computadoras de escritorio. Podra crear unas unidades
organizativas jerrquicas en su ciudad para separar los tipos de
computadoras.
La siguiente grafica es una representacin de lo que necesita para crear
las unidades organizativas. Las unidades organizativas Ubicaciones y
NombreComputadora ya han sido creadas.

- 149 -

Windows Server 2003

Divisin Empresas

Practica
Crea las unidades organizativas Computadoras, Laptops, Desktops
1. Abre MMCPersonal con el comando Ejecutar.
2. Expande Usuarios y equipos de Active Directory.
3. Expande el dominio (icam.com.mx) y expande Ubicaciones.
4. Clic derecho en NombreCiudad, apunte a Nuevo y clic en unidad
organizativa.
5. En el cuadro de dialogo Nuevo Objeto-Unidad Organizativa,
escribe Computadoras y clic en Aceptar.
6. Clic derecho en la unidad organizativa Computadoras, apunta a
Nuevo, clic en Unidad Organizativa.
7. En el cuadro de dialogo Nuevo Objeto-Unidad Organizativa,
escribe Laptops y clic en Aceptar.
8. Clic derecho en la unidad organizativa Computadoras, apunta a
Nuevo, clic en Unidad Organizativa.
9. En el cuadro de dialogo Nuevo Objeto-Unidad Organizativa,
escribe Desktops y clic en Aceptar.
10.
Cierra y guarda la MMCPersonal.
Escenario.
Los ingenieros de sistemas quieren evaluar algunas caractersticas
del Active Directory. Quieren que su equipo cree algunas unidades
organizativas en la unidad organizativa ISEvaluacion.
La unidad organizativa ISEvaluacion ya fue creada. Solo debe agregar
una unidad organizativa que indique su ciudad, como se muestra en
la siguiente grafica.

- 150 -

Windows Server 2003

Divisin Empresas

Moviendo objetos del dominio


Introduccin
En esta sesin se obtendr los conocimientos y habilidades que necesita
para mover los objetos en el dominio.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Indicar las razones para mover un objeto en el dominio.
Mover un objeto en el dominio.

Cuando hacer un movimiento de objetos en el dominio?


Introduccin
Puede mover objetos entre unidades organizativas en el Active Directory
cuando la organizacin o las funciones administrativas cambien, por
ejemplo, cuando un empleado se mueve de un departamento a otro.
Como administrador de sistemas, tiene la tarea de mantener la
estructura del Active Directory.
Los siguientes elementos se pueden mover dentro de la estructura del
Active Directory:

Cuenta de usuario
Cuenta de contacto
Grupo
Carpeta compartida
Impresora
Computadora
Controlador de dominio
Unidad organizativa

Cambio de ubicacin
Una razn para mover objetos en el dominio es cuando su empresa se
cambia fsicamente de una ubicacin a otra. Si la estructura del Active
Directory esta basada en los lmites geopolticos, como una ciudad o
pas, necesita mover objetos de una ubicacin a otra como lo hace
fsicamente.
Reestructuracin de la unidad organizativa.
Otra razn para mover objetos en un dominio es si la estructura del
Active Directory esta basada en una grafica organizativa. Necesitar
mover los objetos si la estructura organizacional cambia.

- 151 -

Windows Server 2003

Divisin Empresas

Por ejemplo, suponga que le equipo de ventas es representado por una


unidad organizativa, el equipo de mercadotecnia es representado por
otra unidad organizativa, y ambos equipos son combinados dentro de un
equipo de ventas y mercadotecnia. En el Active Directory, los objetos
son combinados dentro de una unidad organizativa. Para hacer este
proceso fcilmente, puede seleccionar y mover mltiples objetos del
dominio al mismo tiempo.

Como mover objetos en el dominio


Introduccin
Puede mover objetos en el dominio utilizando la opcin del men o
arrastrando los objetos de una unidad organizativa a otra.
Procedimiento
Para mover objetos del dominio:
1. En usuarios y equipos de Active Directory clic derecho en el objeto
que desea mover y clic en Mover.
Tambin puede arrastrar el objeto a su nueva ubicacin.
2. En el cuadro de dialogo Mover, examine a que contenedor quiere
mover el objeto y clic en Aceptar.

Practica: Moviendo objetos de dominio en el Active


Directory
Objetivo
En esta practica, mover objetos de dominio de una unidad organizativa
a otra.
Instrucciones
Antes de empezar esta practica:
Inicie sesin en el dominio.
Abra la consola MMCPersonal con el comando Ejecutar.
Asegrese que la consola MMCPersonal contiene Usuarios y
equipos de Active Directory.
Revise los procesos de esta sesin que describen como realizar
esta tarea.
Escenario
Los ingenieros en sistemas estn evaluando algunas funciones de
reportes avanzados en el Active Directory. Quieren que usted cre
algunos objetos de dominio y los mueva de la unidad organizativa
ISEvaluacion a una unidad organizativa llamada ISEvaluacion2.
Practica
Crear y mover unidades organizativas

- 152 -

Windows Server 2003

Divisin Empresas

1. Crear las siguientes unidades organizativas dentro de la unidad


organizativa ISEvaluacion:
a. UOComputadora1
b. UOComputadora2
2. Muvalas a la unidad organizativa ISEvaluacion2.

- 153 -

Windows Server 2003

Divisin Empresas

Evaluacin: Creando unidades organizativas


Introduccin
Despus de completar esta practica, usted ser capaz de crear unidades
organizativas.
Prerrequisitos
Antes de trabajar con esta practica, usted debe tener:
Experiencia navegando en una estructura de una
organizativa en Usuarios y equipos de Active Directory.
Experiencia creando unidades organizativas.

unidad

Configuracin de la prctica
Esta seccin muestra las tareas que debe realizar antes de comenzar la
prctica. Debe revisar los procedimientos vistos en el modulo y haber
completado satisfactoriamente cada ejercicio.
Antes de comenzar:
Inicie sesin en el dominio.
Abra la consola MMCPersonal con el comando Ejecutar.
Asegrese de que la consola MMCPersonal contiene los siguientes
complementos:
o Administracin de equipos (Servidor)
o Administracin de equipos (Local)
o Usuarios y equipos de Active Directory
Tiempo estimado para completar esta prctica: 10 minutos
Ejercicio 1
Creando una unidad organizativa jerrquica
En este ejercicio, usted crear una unidad organizativa jerrquica.
Escenario
Como un administrador de sistemas, tiene que darse a la tarea de crear
una unidad organizativa jerrquica. La unidad organizativa jerrquica
utilizara el diseo basado en ubicacin que separa geogrficamente las
cuentas de usuarios y grupos. Usted crear la unidad organizativa
jerrquica en la unidad organizativa de su ciudad.

- 154 -

Windows Server 2003

Divisin Empresas

Al finalizar esta prctica su unidad organizativa jerrquica deber


mostrarse como en el siguiente diagrama:

Tareas
1. Abra la consola MMCPersonal
utilizando el comando
Ejecutar.
2. Encuentra la unidad
organizativa que marca el
nombre de su computadora.
3. Crear una unidad
organizativa llamada
Usuarios en su unidad
organizativa
NombreComputadora.
4. Crear una unidad
organizativa llamada Grupos
en su unidad organizativa
NombreComputadora.

Instrucciones especificas

Nombre de usuario:

Contrasea:

- 155 -

Encuentra ICAM
/Ubicaciones
/NombreComputadora
Crea la unidad
organizativa ICAM
/Ubicaciones
/NombreComputadora
/Usuarios
Crea la unidad
organizativa ICAM
/Ubicaciones
/NombreComputadora
/Grupos

Windows Server 2003

Divisin Empresas

Unidad 7: Administrando cuentas de usuarios y


equipos
Creando cuentas de usuarios
Introduccin
Como administrador de sistemas, usted da acceso a los usuarios a los
diversos recursos de la red. Por consiguiente, debe crear cuentas de
usuarios para identificarlos y autentificarlos y que puedan tener acceso
a la red.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Explicar el propsito de las cuentas de usuario.
Describir los tipos de nombres asociados con las cuentas de
usuarios del dominio.
Explicar las reglas para la creacin de nombres de cuentas de
usuario.
describir la ubicacin de las cuentas del usuario en la jerarqua del
Active Directory.
describir las opciones de contraseas de las cuentas de usuario.
Determinar cundo se requiere hacer cambios a las contraseas
de las cuentas de usuario en el dominio.
crear cuentas de usuarios locales y de dominio.

Que es una cuenta de usuario?


Definicin
Una cuenta de usuario es un objeto que contiene toda la informacin
que define a un usuario en Windows Server 2003. La cuenta puede ser
local o de dominio. Una cuenta de usuario incluye el nombre y
contrasea con la cual puede iniciar sesin.
Puede utilizar una cuenta de usuario para:
permitir a alguien iniciar sesiones en una computadora.
Habilitar procesos y servicios para realizar tareas especficas.
Administrar el acceso los objetos del Active Directory y sus
propiedades, compartir carpetas, archivos, directorios y colas de
impresin.

- 156 -

Windows Server 2003

Divisin Empresas

Nombres asociados con cuentas de usuario del dominio


Introduccin
Hay cuatro tipos de asociacin de nombres en las cuentas de usuario del
dominio. En el Active Directory, cada cuenta de usuarios consiste de un
nombre de inicio de sesin de usuario, un nombre de inicio de sesin de
usuario anterior a Windows 2000, un nombre completo y un Lightweight
Directory Access Protocol (LDAP) nombre completo relativo.
Nombre de inicio de sesin de usuario
Cuando crea una cuenta de usuario, el administrador escribe el nombre
de inicio de sesin de usuario. El nombre completo debe ser nico en el
contenedor en el que crea la cuenta de usuario. Este es utilizado como el
nombre completo relativo. El usuario utiliza este nombre slo durante el
proceso de inicio de sesin. El usuario introduce el nombre de inicio de
sesin, una contrasea y el nombre del dominio.
Los nombres de inicio de sesin de usuario pueden:
Contener hasta 20 caracteres en maysculas y minsculas (el
campo acepta ms de veinte caracteres, pero Windows Server
2003 slo reconoce 20).
Incluir una combinacin de caracteres especiales y alfanumricos,
excepto los siguientes: / \ [ ] : ; | = , + * ? < >.
Un ejemplo de nombre de inicio de sesin de usuario es juancastro o
Juan.
Nombre de inicio de sesin de usuario anterior a Windows 2003
Puede utilizar la cuenta de usuario del sistema bsico de red de entrada
y salida Anterior a Windows 2003 (NetBIOS) para iniciar sesin en el
dominio de Windows desde computadoras con un sistema operativo
anterior
a
Windows
2003
utilizando
el
formato
NombreDominio\NombreUsuario.
Un ejemplo de nombre de inicio de sesin de usuario anterior a Windows
2000 es servidor\juancastro

- 157 -

Windows Server 2003

Divisin Empresas

Nombre de inicio de sesin de usuario principal


El nombre de inicio de sesin de usuario principal (UPN) esta compuesto
por el nombre de inicio de sesin de usuario y el sufijo, unidos por el
signo @. El UPN debe ser nico en el bosque.
La segunda parte del UPN es el sufijo. El sufijo puede ser el nombre del
sistema de nombres de dominio (DNS), el DNS de cualquier dominio en
el bosque, o algn nombre alternativo que crea el administrador slo
para propsitos de inicio de sesin. Los sectores de utilizar este nombre
para iniciar sesin utilizando el comando ejecutar o en una pantalla
secundaria de inicio de sesin.
Un ejemplo de UPN es juancastro@icam.com.mx.
LDAP nombre completo relativo
El LDAP nombre completo relativo nicamente identifica a l objeto en
su contenedor padre. Los usuarios nunca utilizan este nombre, pero los
administradores utilizan este nombre para agregar usuarios a la red
desde un script o desde la lnea de comandos. Todos los objetos utilizan
la misma convencin de LDAP, por lo tanto todos los LDAP nombres
completos relativos debe ser nicos en la unidad organizativa.
Los siguientes son ejemplos de LDAP nombres completos relativos:
CN = juancastro, CN = users, dc = icam, dc = com.mx
CN = computadora1, CN = users, dc = icam, dc = com.mx

Recomendaciones para la creacin de convenciones de


nombres de cuentas de usuario
Introduccin
La convencin de nombres establece como sern creadas las cuentas de
usuarios en el dominio. Una convencin de nombres consistente hace
que pueda usted recordar los nombres de inicio de sesin de usuario
ms fcil y localizarlos. Es una buena prctica adaptarse a la convencin
de nombres existente en la red.
Recomendaciones
Si tienen gran nmero de usuarios, su convencin de nombres
para inicio de sesin deber adaptarse a empleados con nombres
duplicados. Un mtodo para solucionar esto es utilizar el primer
nombre y la primera inicial del apellido y entonces agregar letras
del apellido. Por ejemplo, para dos usuarios llamados Lus Lpez,
un nombre de usuario podra ser luisL y otro podra ser LuisLo.
En algunas organizaciones, es usual identificar empleados
temporales por sus cuentas de usuario. Para hacer esto, podra
agregar un prefijo al nombre de usuario, como una T y un Guin.
Un ejemplo sera T-LuisL.
- 158 -

Windows Server 2003

Divisin Empresas

Los nombres de usuario para las cuentas de usuario en el dominio


deben ser nicos en el Active Directory.

La ubicacin de una cuenta de usuario en una jerarqua


Introduccin
Puede colocar cuentas de usuario en cualquier dominio en el bosque y
en cualquier unidad organizativa en el dominio. Normalmente, las
jerarquas de cuentas se basan en los lmites geopolticos o en un
modelo por puestos. Esto permite estructurar la jerarqua de Active
Directory y entonces manejar los permisos en los objetos y propiedades
y as indicar especficamente las cuentas que pueden acceder a la
informacin y el nivel de permisos que pueden tener.
Diseo geopoltico
Un diseo geopoltico, permite colocar a los usuarios en los dominios
que indican su ubicacin fsica. La estructura de un dominio geopoltico
coloca administradores de dominio en el lugar donde apoyan a los
usuarios del dominio.
Diseo por puestos
Cuando la jerarqua de dominios est basada en un modelo por puestos,
puede colocar a su personal de ventas en un dominio de ventas y el
personal de contabilidad en un dominio de contabilidad este modelo
asegura que haya suficientes controladores de dominio que soporten a
todos los usuarios en la WAN.

Opciones para las contraseas de las cuentas de usuario


Introduccin
Como administrador de sistemas, puede manejar las opciones de
contrasea de las cuentas de usuario. Estas opciones pueden ser
configuradas cuando se crea la cuenta de usuario o en el cuadro de
dilogo propiedades de la cuenta de usuario.
Opciones de contrasea
El administrador puede seleccionar para proteger el acceso al dominio o
a una computadora las siguientes opciones de contrasea:
El usuario debe cambiar la contrasea al iniciar una sesin
de nuevo. Esto se utiliza cuando un usuario inicia sesin por
primera vez o cuando el administrador restablece una contrasea.
El usuario no puede cambiar la contrasea. Utilice esta
opcin cuando quiera controlar que un usuario no pueda cambiar
la contrasea.
La contrasea nunca caduca. Esta opcin previene que la
contrasea caduque.

- 159 -

Windows Server 2003

Divisin Empresas

La cuenta esta deshabitada. Esta opcin evita que el usuario


inicie sesin utilizando esta cuenta.

- 160 -

Windows Server 2003

Divisin Empresas

Cuando restringir o hacer cambios de contrasea


Introduccin
Para crear un ambiente ms seguro, requiere hacer cambios en las
cuentas de usuario y restringir los cambios de contrasea. La siguiente
tabla muestra cuando necesita restringir o hacer cambios de contrasea.
Opciones de modificacin de contrasea
Opcin
Use esta opcin cuando:
Requiere cambios
Crea una nueva cuenta de usuario en el
de contrasea
dominio.
Restaura la contrasea. Esta opcin
permite al administrador restaurar una
contrasea cuando caduca o si el usuario lo
olvida.
Restringir cambios
Crea cuentas para servicios locales o del
de contrasea
dominio.
Crea nuevas cuentas locales que no
pueden iniciar sesin localmente.

Como crear cuentas de usuarios


Introduccin
Las cuentas de usuario de dominio permiten a los usuarios iniciar sesin
en un dominio y acceder a los recursos desde cualquier parte de la red,
las cuentas de usuario locales permiten a los usuarios iniciar sesin y
tener acceso solo a los recursos de esa computadora en la que creo la
cuenta de usuario local. Como administrador de sistemas, debe crear
cuentas de usuarios locales y de dominio para administrar el ambiente
de la red.
Nota: No puede crear cuentas de usuario locales en un controlador de
dominio.
Procedimiento para crear una cuenta de usuario en un dominio
Para crea una cuenta de usuario en un dominio:
1. Clic en Inicio, apunta a Herramientas administrativas, y clic en
Usuarios y equipos de Active Directory.
2. En la consola de rbol, doble clic en el nodo del dominio.
3. En el panel de detalles, clic derecho en la unidad organizativa
donde desea agregar el usuario, apunte a Nuevo y clic en
Usuario.
4. En el cuadro de dilogo Nuevo objeto - usuario, en el cuadro
Nombre, escriba el primer nombre para el usuario.
5. En el cuadro Iniciales, escriba las iniciales del usuario.
6. En el cuadro Apellidos, escriba los apellidos del usuario.
- 161 -

Windows Server 2003

Divisin Empresas

7. En el cuadro Nombre de inicio de sesin de usuario, escriba el


nombre que el usuario utilizar para iniciar sesin.
8. En el cuadro de lista desplegable, clic en el sufijo UPN ser
aadido a l nombre de inicio de sesin de usuario despus del
signo @.
9. Clic en Siguiente.
10.
En los cuadros Contrasea y Confirmar contrasea,
escriba la contrasea para el usuario.
11.
Seleccione las opciones apropiadas para la contrasea.
12.
Clic en Siguiente y clic en Finalizar.
Procedimiento para crear un una cuenta de usuario local
1. Clic en Inicio, apunte a Herramientas administrativas y clic en
Administracin de equipos.
2. En la consola de rbol, expanda Usuarios locales y grupos y clic en
Usuarios.
3. En el men accin, clic en Nuevo usuario.
4. En el cuadro de dialogo Usuario nuevo, en el cuadro Nombre de
usuario, escriba el nombre que el usuario utilizar para iniciar
sesin.
5. Modifique el nombre completo si lo desea.
6. En los cuadros Contrasea y Confirmar contrasea, escriba la
contrasea para el usuario.
7. Seleccione las opciones apropiadas para la contrasea.
8. Clic en Crear y clic en Cerrar.

Practica: Creando cuentas de usuario


Objetivo
En esta practica, podr:
crear una cuenta de usuario local utilizando administracin de
equipos.
crear una cuenta de usuario utilizando usuarios y equipos de
Active Directory.
crear una cuenta de usuario utilizando el comando Ejecutar.
Instrucciones
Antes de comenzar esta prctica:
Inicie sesin en la computadora local.
abra la consola MMCPersonal con el comando Ejecutar.
asegrese que la consola MMCPersonal contiene los siguientes
complementos:
o administracin de equipos (local).
o Usuarios y equipos de Active Directory.
revise los procedimientos de esta sesin que describen como
realizar esta tarea.
- 162 -

Windows Server 2003

Divisin Empresas

Escenario
Su administrador le pide crear una cuenta de usuario local que ser
utilizada para respaldar el software de la compaa. Otro departamento
en la organizacin instalar el software y dar las cuentas de usuario
necesarias para respaldar el servidor. Usted deber crear una cuenta de
usuario local.
Prctica: creando una cuenta de usuario local
1. Ejecute administracin de equipos local.
2. Crear una cuenta utilizando los siguientes parmetros:
a. Nombre de usuarios: Servicio_Respaldo
b. Descripcin: Cuenta de servicio para respaldar el software
c. Contrasea: P@sw0rd
3. Desactive El usuario debe cambiar la contrasea en el
siguiente inicio de sesin.
Escenario
Necesitara utilizar la cuenta administrador para ejecutar tareas
administrativas. La compaa requiere crear una cuenta de usuario
personal que se utilizar para iniciar sesin en el dominio.
Deber configurar la cuenta de usuario del dominio. Cuando necesite
ejecutar tareas administrativas.
Prctica: Creando una cuenta de usuario en el dominio
1. Ejecute usuarios y equipos de Active Directory.
2. Agregue una cuenta de usuario en el contenedor usuarios con los
siguientes parmetros:
a. Nombre: escriba su nombre
b. Apellidos: escriba sus apellidos
c. Nombre completo: escriba su nombre completo
d. Nombre de inicio de sesin: escriba las primeras tres letras
de su nombre y las tres primeras letras de su apellido
e. Contrasea: utilice una contrasea que:
contenga por lo menos siete caracteres.
No contenga su nombre de usuario, nombre real o nombre
de la compaa.
No contenga palabras completas que existen en el
diccionario.
Contenga caracteres de cada uno de los siguientes cuatro
grupos
Grupo
Letras maysculas

Ejemplo
A,B,C...

- 163 -

Windows Server 2003

Divisin Empresas

Letras minsculas
Nmeros
Smbolos

A,b,c...
0,1,2,3...
@#$%&...

Un ejemplo de una contrasea segura es J*p2leO4>F.


3. Cierren la sesin.
4. Pruebe la cuenta de usuario que acaba de crear iniciando sesin
utilizando con esta cuenta.
5. Cierre la sesin.
Escenario
La compaa esta en proceso de evaluar las caractersticas avanzadas
del Active Directory. Su equipo tiene la tarea de crear cuentas de usuario
en la unidad organizativa ISEvaluacion. El equipo de evaluacin utilizar
estas cuentas, cada miembro de su equipo deber crear cinco cuentas.
Prctica: Creando una cuenta de usuario utilizando el comando
Ejecutar
1. Inicie una sesin.
2. Abra la consola MMCPersonal con el comando Ejecutar.
3. En usuarios y equipos de Active Directory, expanda
icam.com.mx.
4. Clic derecho en la unidad organizativa ISEvaluacion , apunta a
Nuevo y clic en Usuarios.
5. Agregue una cuenta de usuario con los siguientes parmetros:
a. Nombre: usuario1
b. Apellidos: escriba su apellido
c. Nombre de inicio de sesin: usuario1 seguido por las tres
primeras letras de su apellido
d. Contrasea: P@sw0rd
6. Repita los primeros cinco pasos para crear otras cuatro cuentas de
usuario.
ejemplo: usuario2Cas, usuario3Cas, usuario4Cas, usuario5Cas
7. Cierra todas las ventanas.

- 164 -

Windows Server 2003

Divisin Empresas

Creando cuentas de equipo


Introduccin
En esta sesin obtendr los conocimientos y habilidades que necesita
para crear una cuenta de equipo.
Objetivos de la sesin.
Despus de completar esta sesin, usted ser capaz de:
Definir una cuenta de equipo.
Describir el propsito de una cuenta de equipo.
Describir donde se crean las cuentas de equipo en un dominio.
Describir las diversas opciones de una cuenta de equipo.
Crear una cuenta de equipo.

Que es una cuenta de equipo?


Introduccin
Todos los equipos que ejecutan Windows NT, Windows 2000, Windows XP
o un servidor que ejecute Windows Server 2003 que se unen a un
dominio tienen una cuenta de equipo. Las cuentas de equipo son
similares a las cuentas de usuario y ofrecen un medio para autenticar y
auditar el acceso a la red de los equipos y el acceso a los recursos del
dominio. Cada cuenta de equipo debe ser nica.
Que puede hacer una cuenta de equipo?
En Active Directory, tanto las computadoras como los usuarios deben
tener principales de seguridad. Esto significa que las computadoras
deben tener cuentas y contraseas. Para poder ser identificado por el
Active Directory, un usuario debe tener una cuenta de usuario valida y el
usuario debe iniciar sesin en el dominio desde una computadora que
tiene una cuenta de equipo valida.

Por que crear una cuenta de equipo?


Introduccin
Las computadoras son responsables de realizar las tareas clave, como la
autentificacin de inicio de sesin del usuario, distribuir la direccin del
protocolo de Internet (IP), mantener la integridad de Active Directory y
forzar las polticas de seguridad para tener acceso completo a esos
recursos en la red, las computadoras deben tener una cuenta valida en
el Active Directory. Las dos principales funciones de una cuenta de
equipo son administrar las actividades y mantener la seguridad.

- 165 -

Windows Server 2003

Divisin Empresas

Seguridad
Una cuenta de equipo puede ser creada en el Active Directory para que
los usuarios tomen todas las ventajas de las caractersticas del Active
Directory. Cuando una cuenta de equipo es creada, la computadora
puede utilizar procesos avanzados de autentificacin como es la
autentificacin Kerberos y la seguridad IP (IPSec) para encriptar el trafico
IP. Las computadoras tambin necesitan una cuenta de equipo para
indicar como ser auditada.
Administracin
Las cuentas de equipo ayudan al administrador de sistemas a manejar la
estructura de la red. El administrador de sistemas utiliza las cuentas de
equipo para manejar la funcionalidad del ambiente de escritorio,
automatizar el despliegue de software utilizando el Active Directory y
administrar el inventario del hardware y software utilizado por Microsoft
Systems Management Server (SMS). Las cuentas de equipo en el
dominio tambin se utilizan para controlar el acceso a los recursos.

Donde son creadas las cuentas de equipo en un dominio


Introduccin
Cuando los administradores de sistemas crean cuentas de equipo,
pueden elegir la unidad organizativa en la que crearan las cuentas. Si
una computadora pertenece a un dominio, la cuenta de equipo es
creada en el contenedor Computers, y el administrador puede mover la
cuenta a la unidad organizativa que sea necesario.
Los administradores designan la ubicacin de las cuentas de
equipo
Por omisin, los usuarios de Active Directory pueden agregar hasta 10
computadoras al dominio con su cuenta de usuario. Esta configuracin
se puede cambiar. Si el administrador de sistemas agrega una cuenta de
equipo directamente al Active Directory, un usuario puede pertenecer a
una computadora en el dominio sin utilizar ninguna de las 10 cuentas de
equipo asignadas.
Cuentas de equipo preorganizadas
Agregar una computadora al dominio con una cuenta creada
previamente es llamada preorganizada, lo que significa que las
computadoras son agregadas a alguna unidad organizativa donde el
administrador de sistemas tiene permisos para agregar cuentas de
equipos.
Normalmente, los usuarios no tienen los permisos apropiados para
preorganizar cuentas de equipo, por lo tanto una alternativa es agregar
las computadoras al dominio utilizando una cuenta preorganizada.

- 166 -

Windows Server 2003

Divisin Empresas

Los usuarios designan la ubicacin de las cuentas de equipo


Cuando un usuario pertenece a una computadora en el dominio, la
cuenta de equipo es agregada al contenedor computadoras en el Active
Directory. Esto es comprensible si se agrega un servicio a la cuenta de
equipo a nombre del usuario. La cuenta del sistema tambin guarda
cuantas computadoras agrega cada usuario al dominio. Por omisin,
cualquier usuario autentificado puede agregar estaciones de trabajo a
un dominio y puede crear hasta 10 cuentas de equipo en el dominio.

Opciones de cuentas de equipos


Introduccin
Hay dos caractersticas opcionales que puede habilitar cuando crea una
cuenta de equipo. Puede asignar una cuenta de equipo como una
computadora anterior a Windows 2000 o como un controlador de
dominio de reserva (BDC).
Anterior a Windows 2000
Active la casilla Asignar la cuenta de este equipo como un equipo
anterior a Windows 2000 para asignar una contrasea basada en el
nombre de la computadora. Si usted no activa esta casilla, una
contrasea aleatoria es asignada a la contrasea inicial para la cuenta
de la computadora. La contrasea cambia automticamente cada 5 das
entre la computadora y el dominio donde la cuenta de equipo esta
ubicada.
Controlador de dominio de reserva.
Active la casilla Asignar la cuenta de este equipo como un
controlador de dominio de reserva si usted desea utilizar la
computadora como un controlador de dominio de reserva. Deber
utilizar esta caracterstica si tiene diferentes ambientes con un
controlador de dominio de Windows 2003 y un controlador de dominio
de reserva de Windows NT 4.0 Server despus que la cuenta es creada
en el Active Directory, puede enlazar el BDC al dominio durante la
instalacin de Windows NT 4.0.

Como crear una cuenta de equipo


Introduccin
Normalmente, los miembros del grupo operadores de cuenta pueden
crear cuentas de equipo en el contenedor Computers y en nuevas
unidades organizativas. Sin embrago, no pueden crear cuentas de
equipo en los contenedores Builtin, Controladores del Dominio,
ForeingSecurityPrincipals, LostAndFound, Programs Data, y System.

- 167 -

Windows Server 2003

Divisin Empresas

Procedimiento
Para crear una cuenta de equipo:
1. En usuarios y equipos de Active Directory, en la consola de rbol,
clic derecho en Computers o en el contenedor al que desee
agregar la computadora, apunte a Nuevo y clic en Equipo.
2. En el cuadro de dialogo Nuevo Objeto-Equipo, en el cuadro
Nombre de equipo, escriba el nombre para el equipo.
3. Seleccione las opciones apropiadas y clic en Siguiente.
4. En el cuadro de dialogo Administrado, clic en Siguiente.
5. Clic en Finalizar.

Prctica: Creando una cuenta de equipo


Objetivo
En prctica, usted crear cuentas de equipos.
Instrucciones
Antes de comenzar esta prctica:
Inicie una sesin en el dominio con una cuenta administrativa.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene Usuarios y
equipos de Active Directory.
Revise los procedimientos de esta sesin que describen como
realizar esta tarea.
Escenario
Los ingenieros en sistemas de la empresa estn evaluando algunas
caractersticas avanzadas del Active Directory. Cada miembro de su
equipo debe crear cinco cuentas de equipo en la unidad organizativa
ISEvaluacion.
Prctica: Creando una cuenta de equipo
1. En Usuarios y equipos de Active Directory, expanda el dominio, y
clic en la unidad organizativa ISEvaluacin.
2. Crear una cuenta de equipo con las siguientes caractersticas:
a. Nombre de equipo: Computadora001
b. Nombre del equipo (SO anterior a Windows 2000):
Computadora001
3. Repita el paso 2 para los siguientes nombres de equipos:
Computadora002,
Computadora003,
Computadora004,
Computadora005.
4. Cierre todas las ventanas.

- 168 -

Windows Server 2003

Divisin Empresas

Modificando las propiedades de las cuentas de


usuarios y equipos
Introduccin
En esta sesin obtendr los conocimientos y habilidades tiene y para
modificar cuentas de usuarios y equipos.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Determinar cundo modificando las propiedades de las cuentas de
usuarios y equipos.
Describir las propiedades asociadas a las cuentas de usuarios.
Describir las propiedades asociadas a las cuentas de equipos.
Modificar las propiedades de cuentas de usuarios y equipos.

Cuando modificar las propiedades de las cuentas de


usuarios y equipos
Introduccin
Como administrador de sistemas, usted es responsable de crear cuentas
de usuarios y equipos en el Active Directory. Tambin es responsable de
dar mantenimiento a esas cuentas. Para completar estas tareas, debe
estar muy familiarizado con algunas propiedades de las cuentas de
usuarios y equipos.
Propiedades de cuentas de usuarios
Es muy importante que los administradores de sistemas estn
familiarizados con las propiedades de las cuentas de usuarios y que
puedan dar mantenimiento a la estructura de la red. Los usuarios
pueden utilizar las propiedades de las cuentas de usuarios como una
fuente de informacin de los usuarios, como un directorio telefnico o
para buscar usuarios. Los administradores de sistemas pueden utilizar
las propiedades de las cuentas de usuarios para determinar como se
comportan en una sesin de Terminal Server o como los usuarios pueden
acceder a la red con una conexin Dial-up.
Propiedades de cuentas de equipos
Para manejar cuentas de equipos, debe conocer la ubicacin fsica de la
computadora. Las propiedades ms utilizadas normalmente para
cuentas de equipos en el Active Directory son las propiedades de
Ubicacin y Administrado por. Las propiedades de Ubicacin son
tiles, porque pueden documentar la ubicacin fsica de la computadora
en la red. La etiqueta Administrado por muestra una lista de las
responsabilidades del servidor. Esta puede ser til cuando tiene un
centro de informacin con servidores para diferentes departamentos y
necesita dar mantenimiento al servidor.
- 169 -

Windows Server 2003

Divisin Empresas

- 170 -

Windows Server 2003

Divisin Empresas

Propiedades asociadas con las cuentas de usuarios


Introduccin
El cuadro de dilogo propiedades de cuentas de usuarios contiene
informacin acerca de cada cuenta que es almacenada en el Active
Directory. La informacin del cuadro de dilogo facilita la bsqueda de
los usuarios en el Active Directory.
Propiedades de cuentas de usuarios
La siguiente tabla muestra las propiedades utilizadas ms comnmente
en las cuentas de equipos.
Etiqueta
General
Sistema operativo

Miembro de
Ubicacin
Administrado por

Objeto

Seguridad
Dial-in

Propiedades
Nombre del equipo, Nombre DNS,
Descripcin y Funcin
Nombre y versin del sistema
operativo que se est ejecutando
en la computadora y la ltima
versin del Service Pack instalado
Los grupos a los que pertenece la
computadora
La ubicacin de la computadora
Nombre, oficina, calle, ciudad,
estado o provincia, pas o regin,
nmero de telfono y nmero de
faxes de la persona que administra
la computadora
El nombre cannico del objeto,
clase, la fecha en que fue creado, y
el nmero de secuencia de
actualizacin
Los grupos y usuarios que tienen
permisos en la computadora
Permisos
de
acceso
remoto,
opciones
de
contestacin
automtica y opciones de rastreo.

- 171 -

Windows Server 2003

Divisin Empresas

Como modificar las propiedades de las cuentas de usuarios


y equipos
Introduccin
Como administrador de sistemas, debe ser capaz de modificar las
propiedades de las cuentas de usuarios y grupos, para administrar
eficientemente la red.
Procedimiento
Para modificar cuentas de usuarios y equipos
1. En Usuarios y equipos de Active Directory, en la consola de rbol,
vaya al contenedor de Usuarios o Computers donde se encuentra
la cuenta que se modificar.
2. En el panel detalles, seleccione la cuenta de usuario o equipo que
desea modificar, clic derecho en la seleccin y clic en
Propiedades.
3. En el cuadro de dilogo Propiedades, modifique las propiedades
que sean necesarias.
Practica: Modificando
usuarios y equipos

las

propiedades

de

las

cuentas

de

Objetivo
En prctica, usted podr modificar las propiedades de las cuentas de
usuario y equipos.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Abra la consola MMCPersonal con el comando Ejecutar.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Revise los procedimientos de esta sesin que describen como
realizar esta tarea.
Escenario
Los ingenieros en sistemas de la compaa trabajando en la integracin
de Active Directory con el sistema Payroll. Deber crear un usuario en la
unidad organizativa ISEvaluacion y configurar la cuenta de usuario que
el sistema Payroll utilizar para identificar al usuario. Porque esta cuenta
de evaluacin, no debe permitir al usuario cambiar la contrasea.
Tambin, porque los ingenieros en sistemas podran utilizarn esta
cuenta despus, deber habilitar la cuenta.

- 172 -

Windows Server 2003

Divisin Empresas

Prctica: Modificar las propiedades de las cuentas de usuario


En usuarios y equipos de Active Directory, crear una cuenta con
los siguientes parmetros:
o Nombre: NombreComputadora
o Apellidos: Payroll
o Nombre completo: Payroll
o Nombre de inicio de sesin: Payroll
o Nombre de inicio de sesin (anterior a Windows 2000):
Payroll
o Contrasea: P@sw0rd

En usuarios y equipos de Active Directory, modificar los siguientes


parmetros de la cuenta Payrrol:
o Descripcin: Cuenta para IS y Payroll
o Oficina: Payroll
o Numero telefnico: 01 777 3 12 72 30
o E-mail: Payroll@icam.com.mx
o Titulo: Cuenta de evaluacin Payroll
o Departamento: Payroll
o Organizacin: Payroll
o Administrador: Usuario002
o Numero telefnico de casa: 01 777 3 12 51 15

Escenario
Los ingenieros en sistemas de la compaa quieren evaluar su habilidad
para rastrear e investigar los recursos de las computadoras utilizando la
propiedad ubicacin de una cuenta de equipo. Usted deber crear una
cuenta de equipo en la unidad organizativa ISEvaluacion y editar la
propiedad Ubicacin para indicar la ciudad.
Practica: modificando las propiedades de una cuenta de equipo
Creando una cuenta de equipo
En usuarios y equipos de Active Directory, crear una cuenta de
equipo
llamada
ServerNombreComputadora
(Ejemplo
ServerCuernavaca).
Modificando la cuenta de equipo
En usuarios y equipos de Active Directory, cambiar la propiedad
ubicacin de la cuenta ServerNombreComputadora.

- 173 -

Windows Server 2003

Divisin Empresas

Creando una plantilla de cuenta de usuario


Introduccin
En esta sesin obtendr los conocimientos y habilidades tiene tica para
crear plantillas para cuentas de usuarios.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
explicar el propsito de una plantilla para cuentas de usuarios
describir las propiedades de una plantilla.
Crear una plantilla para cuentas de usuarios.

Que es una plantilla de cuentas de usuarios?


Definicin
Puede simplificar el proceso de creacin de cuentas de usuario en el
dominio por medio de plantilla para cuentas de usuario. Una plantilla es
una cuenta que es utilizada normalmente para crear una cuenta de
usuario en base a una cuenta ya existente.
Utilizando plantillas
Para cada nueva cuenta de usuario, sobre y agregar la informacin que
ser nica para esa cuenta de usuario. Por ejemplo, si todo el personal
de venta va a ser miembro de un grupo venta y tiene el mismo
administrador, puede crear una plantilla que pertenezca al grupo ventas.
Cuando la plantilla tarea copiada para un nuevo personal de ventas,
contendr el mismo grupo y sus propiedades.

Cules son las propiedades de una plantilla?


Propiedades
Hay numerosas propiedades asociadas con cada cuenta. Sin embargo,
slo un nmero limitado pueden ser copiados a una plantilla. La
siguiente tabla muestra las propiedades de usuarios que se pueden
copiar de una cuenta a otra.
Etiqueta
propiedades
Direccin
Cuenta
Perfil
Organizacin

Propiedades que son copiadas a una nueva


cuenta de usuario del dominio
Todas las propiedades son copiadas, excepto la
direccin de la calle.
Todas las propiedades excepto nombre de inicio
de sesin.
Todas las propiedades, excepto la ruta del perfil
y la carpeta personal.
Todas las propiedades, excepto el Ttulo.
- 174 -

Windows Server 2003


Miembro de

Divisin Empresas

Todas las propiedades en copiadas.

Sugerencias para crear plantillas de cuentas de usuarios.


Sugerencias
Tome en cuenta las siguientes recomendaciones para crear plantillas de
cuentas de usuarios:
Crear plantillas de cuentas de usuario clasificadas de acuerdo a
cada departamento en su empresa.
Crear un grupo separado para los empleados temporales con
restricciones en la red.
Configurar la fecha de caducidad de las cuentas de usuario de
empleados temporales para prevenir que tengan acceso a la red
cuando su contrato ya expir.
Bloquear las cuentas de plantillas.
Identifique las cuentas de plantilla. Por ejemplo, coloque un _
(guin) antes del nombre de la cuenta para identificar que esa
cuenta es una plantilla.

Como crear una plantilla de cuenta de usuario


Introduccin
Para crear una cuenta que ser utilizada como una plantilla, debe crear
una cuenta de usuario, configurar un claro propiedades que desea,
bloquear la cuenta, y entonces copiar la cuenta cuando necesite crear
un nuevo usuario.
Procedimiento
Para crear una nueva plantilla de cuenta de usuario:
1. crear una nueva cuenta de usuario, o copia una cuenta de usuario
existente.
2. Escriba el nombre y el nombre de inicio de sesin para la nueva
cuenta de usuario, y clic en Siguiente.
3. Escriba y confirme la contrasea, configure los requisitos de la
contrasea, active la casilla La cuenta esta deshabilitada y si
es necesario y clic en Siguiente.
4. Verifique la informacin de la nueva cuenta y clic en Finalizar.

- 175 -

Windows Server 2003

Divisin Empresas

Prctica: creando una plantilla de cuenta de usuario


Objetivo
En sta prctica, crear y copiar una plantilla de cuenta de usuario.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Escenario
Su administrador le pide crear una plantilla. Deber crear una plantilla
con los siguientes parmetros, copiar la cuenta a otra cuenta de usuario
y documentar las propiedades que fueron copiadas y las propiedades
que no fueron copiadas.
Creando una plantilla de cuentas de usuario
Crear la plantilla con los siguientes parmetros.
Parmetro
Propiedad
Nombre
NombreDepartamento
Apellidos
Plantilla
Nombre completo
Plantilla Departamento
Nombre de inicio de _PlantillaDepartament
sesin
o
Contrasea
P@sw0rd

- 176 -

Ejemplo
PlantillaVentas
PlantillaVentas
_PantillaVentas

Windows Server 2003


Modifique la plantilla
Modifique los siguientes
anteriormente.

Divisin Empresas

parmetros

de

la

plantilla

creada

Parmetro
Descripcin
Oficina
Nmero telefnico
E-mail

Propiedades
Ejemplo
Usuario de mercadotecnia
Mercadotecnia
01 777 3 18 85 62
Plantilla
PlantillaMercadotecn
NombreDepartamento
ia @icam.com.mx
@icam.com.mx
Ciudad
Cuernavaca
Calle
Arista 13
Estado
Morelos
C.P.
62000
Pas
Mxico
Nmero telefnico 01 777 3 18 20 30
particular
Ttulo
Usuario de mercadotecnia
Departamento
Mercadotecnia
Compaa
ICAM
Administrador
Usuario1
Miembro
PersonalTelemarketing
La cuenta esta
deshabitada
Escenario
Deber crear cuenta para el equipo de Telemarketing. Por razones de
seguridad, la compaa no quiere relumbrar y reutilizar las cuentas de
usuario.
Copiar la plantilla de la cuenta de usuario
copiar la plantilla anterior y escribir los siguientes parmetros.
Parmetro
Propiedad
Nombre
NombreDepartamento
Apellidos
Usuario
Nombre completo
Usuario Departamento
Nombre de inicio de Departamento
sesin
Contrasea
P@sw0rd

- 177 -

Ejemplo
Ventas
Usuario Ventas
Ventas

Windows Server 2003

Divisin Empresas

Habilitar y deshabitar cuentas de usuarios y equipos


Introduccin
En esta sesin obtendr los conocimientos y habilidades que necesita
para habilitar y deshabilitar cuentas de usuarios y equipos.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
explicar porque se deben habilitar y deshabilitar cuentas de usuarios
y equipos.
Habilitar y deshabitar cuentas de usuarios y equipos.
Explicar cmo las cuentas de usuario pueden ser bloqueadas.
Desbloquear cuentas de usuarios.

Porque habilitar y deshabilitar cuentas de usuarios y


equipos?
Introduccin
Despus de crear cuentas de usuarios, usted realizar frecuentemente
tareas administrativas para asegurar que la red, contina actualizada de
acuerdo a las necesidades de la empresa. Estas tareas administrativas
incluyen habilitar y deshabilitar cuentas de usuarios y equipos. Cuando
usted habilita o deshabilita una cuenta, permite o restringe el acceso a
la cuenta.
Escenarios para habilitar y deshabilitar cuentas
Para proveer un ambiente seguro en la red, los administradores de
sistemas deben deshabilitar las cuentas de usuarios cuando los usuarios
ya no les necesiten por un tiempo, pero los utilizarn ms adelante. Los
siguientes son ejemplos de cuando se necesita habilitar o deshabilitar
las cuentas de usuario:
si el usuario tiene un permiso temporal, debe deshabilitar la
cuenta y volver a habilitarla cuando regrese.
Cuando agrega cuentas en la red que se utilizarn en un futuro o
por propsitos de seguridad, debe deshabilitar las cuentas hasta
que sean necesitadas.
Deshabilite una cuenta cuando no quiera que un usuario utilice
una computadora.

- 178 -

Windows Server 2003

Divisin Empresas

Como habilitar y deshabilitar cuentas de usuarios y equipos


Introduccin
Cuando una cuenta esta deshabitada, el usuario no puede iniciar sesin.
La cuenta aparece en el panel de detalles con una X en el icono de la
cuenta.
Procedimiento
Para habilitar y de habilitar una cuenta de usuario o equipo utilizando
Usuarios y equipos de Active Directory:
1. En usuarios y equipos de Active Directory, en la consola de rbol,
seleccione el contenedor o el usuario que contiene la cuenta.
2. En el panel detalles, clic derecho a la cuenta de usuario.
3. Para deshabilitar, clic en Deshabilitar cuenta.
4. Para habilitar, clic en Habilitar cuenta.
Para deshabilitar o habilitar una cuenta de usuario local utilizando
Administracin equipos:
1. En administracin de equipos, expanda Herramientas del
sistema.
2. En herramientas del sistema, expanda Usuarios locales y
grupos, y clic en Usuarios.
3. Clic derecho en la cuenta de usuario y clic en Propiedades.
4. En el cuadro de dilogo Propiedades, para deshabilitarla, active
la casilla Cuenta deshabitada y clic en Aceptar.
5. Para habilitar, desactive la casilla Cuenta deshabitada.

Cules son las cuentas de usuario bloqueadas?


Introduccin
Una cuenta de usuario es bloqueada porque la cuenta ha excedido las
restricciones que le fueron asignadas. Esto podra ser porque el usuario
intent acceder a la cuenta con una contrasea incorrecta ms del
nmero de veces permitidas.
Cuenta bloqueada
Los usuarios autorizados pueden bloquear una cuenta si olvidaron su
contrasea o la escribieron mal o porque hubo cambios en su
contrasea mientras intentaban iniciar sesin.
La configuracin de seguridad en el Active Directory determina el
nmero de intentos fallidos al iniciar sesin que causan que el usuario
bloquee su contrasea. Un usuario no puede utilizar una cuenta
bloquear hasta que el administrador desbloquee la cuenta o hasta que la
duracin del tiempo de bloqueo finalice. Cuando una cuenta de usuario
est bloqueada, le aparecern un mensaje de error.
- 179 -

Windows Server 2003

Divisin Empresas

Que es un intento fallido de inicio de sesin


Un usuario puede bloquear su cuenta si tiene varios intentos fallidos al
escribir la contrasea. Los intentos fallidos suceden cuando:

un usuario intenta iniciar sesin con una contrasea incorrecta.


Un usuario quiere iniciar sesin con su cuenta de usuario local en
un dominio.
Un usuario quiere iniciar sesin desde la consola con el comando
runas y escribe mal la contrasea.

Como bloquear una cuenta de usuario


Introduccin
Despus de que una cuenta es bloqueada, debe desbloquear la cuenta
para que la puedan utilizar.
Procedimiento
Para desbloquear una cuenta:
1. En usuarios y equipos de Active Directory, en la consola de rbol,
seleccione la unidad organizativa que contiene la cuenta de
usuario que desea desbloquear.
2. En el panel detalles, seleccione la cuenta de usuario.
3. Clic derecho en la cuenta seleccionada y clic en Desbloquear.

Practica: Habilitar y deshabilitar cuentas de usuarios y


equipos
Objetivo
En este ejercicio, usted habilitar y deshabilitar una cuenta de usuario
y una cuenta de equipo.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Escenario
Las polticas de seguridad de la empresa establecen que las cuentas de
usuarios de los empleados que estn de baja temporal debern ser
deshabitadas. Esta es una de sus tareas. Deber crear una cuenta de
usuario en la unidad organizativa ISEvaluacion, deshabilitar la cuenta e
- 180 -

Windows Server 2003

Divisin Empresas

iniciar sesin con esa cuenta de usuario para verificar que sta
deshabilitada.
Crear una cuenta de usuario deshabilitada
Crear una cuenta de usuario con los siguientes parmetros:
o Unidad organizativa: ISEvaluacin
o Nombre de usuario: CuentaDesabilitada
o Contrasea: P@ssw0rd
o La cuenta esta deshabilitada
Revisar la cuenta de usuario deshabilitada

Intente iniciar sesin con la nueva cuenta de usuario para verificar


que no se puede.

Escenario
Debe deshabilitar una cuenta de usuario y verificar que no puede iniciar
sesin. Usted quiere verificar que no hay problemas con otras cuentas,
por lo tanto deber habilitar la cuenta de usuario y verificar que la
cuenta sta activada.
Habilitar la cuenta de usuario
Habilitar la cuenta de usuario que tiene los siguientes parmetros:
o Unidad organizativa: ISEvaluacion
o Nombre de usuario: CuentaDeshabilitada
Verificar la cuenta habilitada
1. Iniciar sesin con la cuenta CuentaDeshabilitada para verificar que
si funciona.
2. Utilizar la contrasea P@ssw0rd
Escenario
Un ingeniero en sistemas est enterado de que un usuario no autorizado
est intentando utilizar la computadora Recepcin despus de su hora
de trabajo. El ingeniero en sistemas le pide que deshabilite la cuenta del
equipo.
Crear una cuenta de equipo deshabilitada
Crear una cuenta de equipo deshabilitada con las siguientes
caractersticas:
o Unidad organizativa: ISEvaluacion
o Nombre de equipo: ComputadoraRecepcin
o La cuenta sta deshabilitada

- 181 -

Windows Server 2003

Divisin Empresas

Escenario
El ingeniero en sistemas descubri que el guardia de seguridad nocturno
estuvo intentando iniciar sesin en la computadora Recepcin sin una
cuenta de dominio. El guardia de seguridad ya fue notificado que no
deber intentar iniciar sesin en la computadora recepcin. El ingeniero
en sistemas quiere que habilite la computadora recepcin por su
ubicacin.
Habilite la cuenta de la computadora
habilite la cuenta de la computadora que tienen los siguientes
parmetros:
o Unidad organizativa: ISEvaluacion
o Nombre de equipo: ComputadoraRecepcin

Restablecer cuentas de usuarios y equipos


Introduccin
Restablecer contraseas y cuentas son tareas administrativas comunes.
Sea consciente de la importancia de realizar estos procedimientos.
Objetivos de las sesiones
Despus de completar esta sesin, usted ser capaz de:

Explicar las situaciones que requieren restablecer las contraseas


y la importancia de la prdida de datos que resulta de restablecer
contraseas.
Restablecer contraseas para el dominio y cuentas locales
Determinar cuando restablecer cuentas de equipo.
Restablecer cuentas de equipos

Cuando restablecer contraseas de usuarios


Introduccin
Hay ocasiones en que la gente olvida sus contraseas. Si sus
contraseas, no pueden acceder a sus cuentas de usuario. Los
administradores puedan restablecer las contraseas de los usuarios para
que puedan tener acceso a sus cuentas otra vez. Antes de restablecer
contraseas locales con el dominio, verifique que tiene los niveles
apropiados de autoridad.
Consecuencia de restablecer las contraseas.
Despus de que la contrasea es restaurada, algunos tipos de
informacin no son accesibles, incluyendo los siguientes:
correo electrnico que es encriptado con la llave principal del
usuario
contraseas de Internet que son guardadas en la computadora
archivos que el usuario tiene encriptados
- 182 -

Windows Server 2003

Divisin Empresas

Como restablecer contraseas de usuarios


Introduccin
Cuando necesite restaurar una contrasea, debe recordar que slo los
administradores locales estn autorizados para restablecer contraseas
de usuarios locales y que slo los administradores del dominio estn
autorizados para restablecer contraseas de usuarios del dominio.
Procedimiento para restablecer contraseas de usuarios locales
1. En administracin equipos, en la consola de rbol, doble clic en
Usuarios locales y grupos y clic en Usuarios.
2. En el panel detalles, sin derecho en el nombre de usuario y clic en
restablecer contrasea.
3. Lea los mensajes de alerta. Si desea continuar, clic en Proceda.
4. En el cuadro nueva contrasea y confirmar contrasea,
estribar nueva contrasea y clic en aceptar.
Procedimiento para restablecer contraseas de usuarios del
dominio
1. En usuarios y equipos de Active Directory, en la consola de rbol,
clic en Usuarios.
2. En el panel detalles, clic derecho en el nombre del usuario, clic en
Restablecer contrasea.
3. En el cuadro Nueva contrasea y Confirmar contrasea,
estribar nueva contrasea y clic en Aceptar.

Cuando restablecer cuentas de equipo


Introduccin
Como administrador de sistemas, ocasionalmente necesitar restablecer
cuentas de equipos. Por ejemplo, suponga que su red pas hace siete
das por un problema, se dao una computadora. Sin embargo, el disco
duro daado y la computadora fueron restaurados desde un backup. La
computadora ahora tiene una contrasea no actualizada, y el usuario no
puede iniciar sesin porque la computadora no est autentificada en el
dominio. Ahora usted necesita restablecer la cuenta del equipo.
Consideraciones
Hay dos elementos que debe considerar antes de restablecer la cuenta
del equipo:
Para realizar este procedimiento, deber ser miembro del grupo
operadores de cuentas, del grupo administradores del dominio, o
del grupo administradores empresariales del Active Directory.
Cuando restablezca una cuenta de equipo, usted rompe la
conexin al dominio y deber volver a ponerla dentro del dominio.
- 183 -

Windows Server 2003

Divisin Empresas

Como restablecer cuentas de equipo


Introduccin
Para realizar este procedimiento, deber ser miembro del grupo
operadores de cuentas, del grupo administradores del dominio, o del
grupo administradores empresariales del Active Directory.
Procedimiento
Para restablecer cuentas de equipo:
1. En usuarios y equipos de equipo Active Directory, en la consola de
rbol, clic en Equipo o en el contenedor donde est la cuenta del
equipo.
2. En el panel detalles, clic derecho en la computadora y clic en
restablecer cuenta.

Prctica: restablecer una contrasea de cuenta de usuario


Objetivo
En esta prctica, usted restablecer una cuenta de usuario para que el
usuario no pueda iniciar sesin en el dominio.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Escenario
Usted es notificado que un usuario olvid su contrasea. Deber
restablecer la contrasea en la cuenta y hacer que el usuario cambie la
contrasea en el siguiente inicio de sesin.
Restablecer la cuenta de usuario
1. En usuarios y equipos de equipo de Active Directory, busque la
cuenta Ventas.
2. Restablezca la contrasea a P@ssw0rd1 y marque El usuario
debe cambiar la contrasea en el siguiente inicio de sesin.
3. Cierre todos los programas y cierre la sesin.
Verificar la nueva contrasea
1. inicie una sesin con el usuario ventas con la contrasea
P@ssw0rd1.
- 184 -

Windows Server 2003

Divisin Empresas

2. Cambie la contrasea a P@ssw0rd2.

- 185 -

Windows Server 2003

Divisin Empresas

Localizando cuentas de usuarios y equipos en el Active


Directory
Introduccin
En sta sesin obtendr los conocimientos y habilidades que necesita
para utilizar consultas personalizadas.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Explicar los criterios para la localizacin de cuentas de usuarios y
equipos.
Describir los tipos de consultas comunes.
Explicar el uso de consultas personalizadas.
Localizar cuentas de usuarios y equipos en el Active Directory.

Tipos de bsquedas
Introduccin
Por medio del Active Directory puede realizar bsquedas, para que no
tenga que examinar cientos o miles de cuentas de usuarios o equipos.
Tambin puede realizar bsquedas de otros objetos como computadoras,
impresoras y carpetas compartidas. Despus de localizar estos objetos,
puede administrar los desde el cuadro de dilogo Resultados de la
bsqueda.
Administrando objetos desde la ventana de resultados
Despus de una bsqueda satisfactoria, los resultados son mostrados y
usted puede realizar funciones administrativas en los objetos
encontrados. Las funciones administrativas estn disponibles dependen
del tipo de objeto. Por ejemplo, si usted busca cuentas de usuarios,
puede renombrarlas y borrarlas, deshabilitarlas, restablecer la
contrasea, mover la cuenta a otra unidad organizativa o modificar las
propiedades de la cuenta de usuario.
Buscando usuarios contactos y grupos
Active Directory proporciona informacin acerca de todos los objetos en
la red, los cuales incluyen personas, grupos, computadoras, impresoras,
carpetas compartidas, y unidades organizativas. Es fcil buscar usuarios,
contactos y grupos utilizando el cuadro de dilogo Buscar usuarios,
contactos y grupos.
Buscando equipos
Utilice Buscar equipos para encontrar computadoras en el Active
Directory utilizando criterios como es el nombre asignado la
computadora o el sistema operativo. Despus de encontrar la
- 186 -

Windows Server 2003

Divisin Empresas

computadora, puede administrarla


computadora y clic en Administrar.

- 187 -

dando

clic

derecho

en

la

Windows Server 2003

Divisin Empresas

Buscando impresoras
Cuando una impresora compartida es publicada en el Active Directory,
puede utilizar Buscar impresoras para encontrarla utilizando criterios
como el nmero de recurso, el idioma del impresora, o si sta soporta
impresin de doble lado. Despus de encontrar la impresora, puede
conectarse con clic derecho en la impresora y clic en Conectar o doble
clic en la impresora.
Buscando carpetas compartidas
Cuando una carpeta compartida es publicada en el Active Directory,
puede utilizar Buscar carpetas compartidas para encontrarla por
medio de criterios como las palabras clave asignadas, el nombre de
carpetas, o el nombre de la persona que administra la carpeta. Despus
de encontrar la carpeta, puede abrir el explorador de Windows para ver
los archivos localizados en la carpeta dando clic derecho en la carpeta y
clic en Explorar.
Bsqueda personalizada
El Active director y, puede buscar objetos familiares como son
computadoras, impresoras y usuarios. Tambin puede buscar otros
objetos, como puede ser una unidad organizativa especfica una
plantilla. Utilice Bsqueda personalizada para construir filtros y
utilizar opciones avanzadas de bsqueda.
Consultas comunes
Puede utilizar Consultas comunes para realizar bsquedas en Active
Directory. Por ejemplo, puede buscar rpidamente cuentas de usuario y
equipo que estn deshabilitadas.
Opciones de consultas avanzadas
Para cada opcin de bsqueda excepto para Consultas comunes,
existe una etiqueta Avanzada que puede utilizar para realizar una
bsqueda detallada. Por ejemplo, puede buscar todos los usuarios de
una ciudad o C.P.

- 188 -

Windows Server 2003

Divisin Empresas

Como buscar objetos en Active Directory.


Introduccin
Para realizar tareas administrativas en cuentas de usuarios o equipos,
deber primero encontrar la cuenta en el Active Directory. Esto podra
ser difcil si la estructura del Active Directory es muy grande.
Procedimiento
Para encontrar una cuenta de usuario:
1. Ejecute usuarios y equipos de Active Directory.
2. Para buscar en todo el dominio, en la consola de rbol, clic derecho
en el dominio y clic en Buscar.
Si usted sabe en qu unidad organizativa est el usuario, clic derecho
en unidad organizativa y clic en Buscar.
3. En el cuadro de dilogo Buscar usuarios, contactos y grupos, en
el cuadro Nombre, escribe nombre del usuario que deca buscar.
4. Clic en Buscar ahora.

Como buscar utilizando consultas comunes


Introduccin
La bsqueda es una de las caractersticas clave del Active Directory. Una
operacin de bsqueda le permite encontrar objetos en el Active
Directory utilizando una serie de criterios para recuperar propiedades
especficas de los objetos que encontr.
Procedimiento
Para iniciar una operacin bsica de bsqueda:
1. En usuarios y equipos de Active Directory, en el men Accin, clic en
Buscar.
2. En el cuadro de dilogo Buscar usuarios, contactos y grupos, en
el cuadro Buscar, seleccione el tipo de objeto para el cual desea
hacer una bsqueda.
3. Introduzca el texto y los criterios para la bsqueda.
Los tipos de criterios que estn disponibles varan dependiendo del
tipo de objeto que haya seleccionado.

- 189 -

Windows Server 2003

Divisin Empresas

Utilizando una consulta personalizada


Introduccin
En Active Directory, puede buscar objetos, como una computadoras,
impresoras, y usuarios, tambin puede buscar otros objetos, como una
unidad organizativa especfica o una plantilla.
Bsqueda personalizada
Utilice el cuadro de dilogo Bsqueda personalizada para construir filtros
utilizando opciones de bsqueda avanzadas de LDAP.

Prctica: Localizando cuentas de usuarios y equipos


Objetivo
En este ejercicio, localizara:
Una cuenta de usuario por nombre.
Una cuenta de equipo por nombre.
Una cuenta deshabilitada.
Una cuenta de equipo por ciudad.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Escenario
Los ingenieros en sistemas tienen una gran cantidad de cuentas de
usuarios en el contenedor Usuarios. Necesitan que usted verifique que
todas las cuentas de usuarios de ventas fueron importadas
satisfactoriamente dentro del Active Directory.
Localizar cuentas de usuario por nombre
Localizar cuentas de usuarios:
o En el contenedor Usuarios
o Con una descripcin de Ventas

- 190 -

Windows Server 2003

Divisin Empresas

Escenario
Los ingenieros en sistemas tienen una gran cantidad de cuentas equipos
en el contenedor Computers. Necesitan que usted verifique que todas
las cuentas equipo fueron importadas satisfactoriamente dentro del
Active Directory. La convencin de nombres utilizada para importar las
cuentas de equipo son las primeras tres o cuatro letras de la ciudad,
seguido por Computadora y un nmero consecutivo, por ejemplo,
CasaComputadora2005.
Localizar una cuenta de equipo por nombre
Localizar una cuenta de equipo:
o En el contenedor Computer.
o Con nombres de computadora que sus primeras tres letras
sean de su ciudad.
Escenario
Los ingenieros en sistemas tienen una gran cantidad de cuentas equipos
en el contenedor Computers. Necesitan que usted verifique que todas
las cuentas equipo fueron importadas satisfactoriamente dentro del
Active Directory. La convencin de nombres utilizada para importar las
cuentas de equipo son las primeras tres o cuatro letras de la ciudad,
seguido por Computadora y un nmero consecutivo, por ejemplo,
CasaComputadora2005.
Localizar cuentas deshabitadas
Localizar cuentas de usuarios:
o En el dominio icam.com.mx.
o Con una descripcin que inicie con ventas.
o Que estn deshabilitadas.
Escenario
Los ingenieros en sistemas tienen una gran cantidad de cuentas equipos
en el contenedor Computers. Necesitan que usted verifique que todas
las cuentas de equipo fueron importadas satisfactoriamente dentro del
Active Directory. La convencin de nombres utilizada para importar las
cuentas de equipo son las primeras tres o cuatro letras de la ciudad,
seguido por Computadora y un nmero consecutivo, por ejemplo,
CasaComputadora2005.
Localizar cuentas equipos por ciudad.
Localizar cuentas equipo:
En el contenedor computadora del dominio icam.com.mx.
Con un hombre de computadora que sus primeras tres letras sean
de su ciudad.

- 191 -

Windows Server 2003

Divisin Empresas

Consultas guardadas
Introduccin
Puede utilizar consultas almacenadas para acceder rpidamente a
configuraciones comunes de objetos del Active Directory.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Explicar que es una consulta almacenada.
Crear una consulta almacenada.

Que es una consulta guardada?


Introduccin
Usuarios y equipos de Active Directory tiene una carpeta consultas
guardadas en la cual puede crear, editar, guardan y organizaron
consultas guardadas. Antes de almacenar consultas, se exige a los
administradores crear interfaces de servicios del Active Directory que
ejecuten una consulta de objetos comunes.
Definicin
Las consultas almacenadas utilizan textos LDAP predefinidos para buscar
slo en la particin especfica del dominio. Puede buscar en un simple
contenedor de objetos. Tambin puede crear una consulta almacenada
personalizada que contenga un filtro de bsqueda LDAP.
Todas las consultas almacenadas estn guardadas en una carpeta
llamada dsa.msc, la cual es almacenada en Usuarios y equipos de Active
Directory. Despus de crear su consulta personalizada, puede copiar el
archivo .msc a otro controlador de dominio de Windows Server 2003.
Tambin puede exportar la consulta almacenada a un archivo XML.

- 192 -

Windows Server 2003

Divisin Empresas

Como crear una consulta guardada


Introduccin
Puede almacenar consultas para buscar cuentas de usuarios y equipos
deshabilitadas, nmero de das desde el ltimo inicio de sesin, usuarios
con contraseas que no caducan, y algunas otras consultas. Despus de
que una consulta guardada es ejecutada y los objetos deseados son
mostrados, puede modificar cada objeto directamente en la ventana
Resultados de la consulta.
Procedimiento
Para crear una consulta almacenada:
1. En usuarios y equipos de aqu Directory, en la consola de rbol,
clic derecho en Consultas guardadas o en alguna subcarpeta en
la cual desea guardar la consulta, apunte a Nuevo y clic en
Consulta.
2. En el cuadro de dilogo Nueva consulta, en el cuadro Nombre,
escriba el nombre para la consulta.
3. En el cuadro Descripcin, escriba la descripcin para la consulta.
4. Clic en Examinar para indicar desde que contenedor comenzara
la bsqueda.
5. Para buscar en todas las subcarpetas, active la casilla Incluir
subcontenedores.
6. Clic en Definir consulta.

Prctica: creando consultas almacenadas


Objetivos
En sta prctica, crear a consultas almacenadas para una cuenta de
usuario.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.

- 193 -

Windows Server 2003

Divisin Empresas

Escenario
Usted descubre que frecuentemente realiza bsquedas de la misma
informacin. Usted desea guardar las bsquedas para utilizarlas ms
adelante. Crear una consulta guardada para una cuenta de usuario. La
consulta guardada debe tener las siguientes propiedades:
1. La consulta almacenada es llamada Consultausuario.
2. La consulta almacenada es guardada en el contenedor Users.
Crear una consulta almacenada
1. En usuarios y equipos de Active Directory, clic derecho en
Consultas guardadas, clic en Nuevo y clic en Consulta.
2. En el cuadro de dilogo Nueva consulta, crear una consulta con
los siguientes parmetros:
Nombre: Consultausuario
Descripcin: Consulta usuarios
3. Clic en Definir consulta.
4. En el cuadro Buscar, clic en Usuarios, contactos y grupos.
5. En la etiqueta Opciones avanzadas, clic en Campo, apunte a
Usuario y clic en Ciudad.
6. Verifique que Empieza con sta en el cuadro Condicin.
7. En el cuadro Valor, escriba NombreComputadora y clic en
Agregar.
8. Clic en Aceptar para cerrar el cuadro de dilogo Buscar
usuarios, contactos y grupos.
9. Clic en Aceptar para cerrar el cuadro de dilogo Nueva
consulta.
10.
Clic derecho en la consulta y clic en Actualizar.

- 194 -

Windows Server 2003

Divisin Empresas

Evaluacin: Administrando cuentas de usuarios y equipos


Objetivos
Despus de completar esta prctica, usted ser capaz de:
crear cuentas de usuarios y equipos.
mover cuentas de usuarios y equipos a una nueva unidad
organizativa.
Habilitar cuentas de usuarios.
Requisitos
sta prctica requiere lo siguientes:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Una
unidad
organizativa
llamada
Ubicaciones/Nombrecomputadora /computadoras/Desktops
una unidad organizativa llamada Ubicaciones/Nombrecomputadora
/computadoras/Laptops.
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Tiempo estimado para completar esta prctica: 10 minutos
Ejercicio 1
Creando cuentas de usuarios
En este ejercicio, crear dos cuentas de usuarios.
Escenario
Usted tiene una lista de usuarios que deben ser agregados al Active
Directory. Encuentre los usuarios en la lista que tiene y agregue los a la
apropiada unidad organizativa.

- 195 -

Windows Server 2003

Divisin Empresas

Tareas
Instrucciones especficas
1.
Crear una cuenta de Crear las cuentas de usuarios en la unidad
organizativa icam.com.mx / Ubicaciones/
usuario.
Nombrecomputadora /Users.
Crear las cuentas para los usuarios con los
siguientes parmetros:
Nombre: Su nombre
Apellidos: Su apellido
Nombre de inicio de sesin: las
primeras tres letras de su nombre y
las primeras tres letras de su apellido
Contrasea: P@ssw0rd
La cuenta est deshabilitada
2.
Modificar la cuenta
Ciudad: Su ciudad
de usuarios
Nmero telefnico: Su nmero
Administrada por: Su usuario
Ejercicio 2
Creando cuentas equipos
En este ejercicio, crear 10 cuentas de equipos.
Escenario
Usted recibir cinco Laptops nuevas y cinco computadoras de escritorio
nuevas. Debe agregar estas computadoras al dominio.
Tarea
Instrucciones especficas
1. Crear
las
cinco
Crear las cuentas en la
computadoras de escritorio.
unidad organizativa
icam.com.mx/ Ubicaciones/
Nombre computadora/
Computadoras/Desktops.

Agregar las siguientes


cinco computadoras: Desk01,
Desk02, Desk03, Desk04,
Desk05
2. Crear las cinco Laptops

- 196 -

Crear las cuentas en la


unidad organizativa
icam.com.mx/ Ubicaciones/
Nombre computadora/
Computadoras/Laptops.
Agregar las siguientes

Windows Server 2003

Divisin Empresas

cinco computadoras: Lap01,


Lap02, Lap03, Lap04, Lap05
Ejercicio 3
Buscando y moviendo cuentas de usuarios
En este ejercicio, buscar usuarios y los mover a la unidad organizativa
Nombre computadora/usuarios.
Escenario
Los ingenieros en sistema de la empresa tienen que importar cuentas de
usuarios. Los administradores de sistemas son responsables de buscar
las cuentas de usuarios y moverlas a la carpeta usuarios.
Tareas
1. Buscar las cuentas de
usuarios utilizando criterios
de bsqueda avanzados.

2. Mover las cuentas de


usuarios a la siguiente
ubicacin.

Instrucciones especiales
Iniciar la bsqueda desde
icam.com.mx
Buscar: Usuarios, contactos y
grupos
Campo: Ciudad
Condicin: Es (exactamente)
Valor: Nombrecomputadora
icam.com.mx/ Ubicaciones/
Nombrecomputadora
/Usuarios

Ejercicio 4
Buscando y moviendo cuentas de equipos
En este ejercicio, buscar cuentas equipos cuyos nombres tienen las
primeras tres letras del nombre de su computadora y las mover a la
unidad organizativa NombreComputadora/Computadoras.
Escenario
Los administradores de sistemas son responsables de la bsqueda de las
cuentas de equipo que tienen las primeras tres letras del nombre de su
computadora y mover las cuentas a la carpeta computadoras en su
unidad organizativa NombreComputadora.
Tareas
1. Buscar las cuentas de
equipos utilizando criterios
de bsqueda avanzados.

Instrucciones especiales
Iniciar la bsqueda desde
icam.com.mx
Buscar: Equipos
Campo: Nombre de equipo
(anterior a Windows
2002)
Condicin: Empieza con

- 197 -

Windows Server 2003

Divisin Empresas

Valor: Las primeras tres


letras del nombre de la
computadora
icam.com.mx/ Ubicaciones/
Nombrecomputadora
/computadoras

2. Mover las cuentas de

equipos a la siguiente
ubicacin.
Ejercicio 5
Buscando y habilitando cuentas de usuarios
En este ejercicio, habilitar cuentas de usuarios y equipos en su unidad
organizativa.
Escenario
Los ingenieros en sistema de la empresa tienen que importar cuentas de
usuarios del dominio. Los admiradores de sistemas son responsables de
buscar las cuentas de usuarios que estn deshabilitadas y habilitarlas
para que los usuarios puedan iniciar sesin.
Tareas
Instrucciones especiales
1. Buscar
las
cuentas
de
icam.com.mx/
usuario deshabilitadas en la
Ubicaciones/
siguiente ubicacin.
Nombrecomputadora /Usuarios
2. Habilita todas las cuentas
deshabilitadas

- 198 -

Windows Server 2003

Divisin Empresas

Unidad 8: Administrando grupos


Creando grupos
Introduccin
En esta sesin obtendr los conocimientos y habilidades que necesita
para crear grupos.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
explicar el propsito de los grupos, tipo de grupos y los alcances
de los grupos.
Identificar los niveles de funcionamiento del dominio.
Describir los grupos globales.
Describir los grupos universales.
Describir los grupos locales del dominio.
Describir los grupos locales.
Decidir si crear grupos en el dominio o en una unidad organizativa.
Identificar las sugerencias para nombrar grupos.
Crear un grupo.

- 199 -

Windows Server 2003

Divisin Empresas

Qu son los grupos?


Definicin
Los grupos son una coleccin de cuentas de usuarios y equipos que se
pueden manejar en una simple unidad. Los grupos:
Simplifican la administracin permitiendo sin dar permisos para los
recursos a todo un grupo en lugar de asignarlos a cada usuario
individualmente.
Pueden crearse en el Active Directory o localmente en una
computadora.
Estn clasificados por tipo y alcance.
Pueden estar anidados, lo que significa que puede agregar grupos
dentro de otros grupos.
mbito de los grupos
El alcance de los grupos determina si el grupo es visto en mltiples
dominios o est limitado a un simple dominio. El alcance de los grupos le
permite utilizar grupos para asignar permisos. El alcance de un grupo
determina:

El dominio desde el cual puede agregar miembros al grupo.


El dominio desde el cual puede utilizar el grupo para asignar
permisos.
El dominio desde el cual puede anidar grupos con otros grupos.

El alcance de los grupos determina quien es miembros del grupo. Las


reglas del grupo gobiernan en los miembros del grupo y a los grupos que
son miembros. Los miembros de un grupo son cuentas de usuarios y
otros grupos.
Para asignar los miembros a los grupos y utilizar grupos anidados, es
importante comprender las caractersticas del alcance de un grupo.
Existen los siguientes grupos:

Globales
Locales del dominio
Universales

Tipos de grupos
Usted utiliza los grupos para organizar las cuentas de usuarios, cuentas
de equipos y otras cuentas de grupos. Trabajar con grupos en lugar de
hacerlo individualmente con usuarios ayuda simplificar la administracin
y mantenimiento de la red. Hay varios tipos de grupos en el Active
Directory:

- 200 -

Windows Server 2003

Divisin Empresas

Grupos de seguridad
Utilice los grupos de seguridad para asignar derechos de usuario y
permisos a los grupos de usuarios y equipos. Los derechos
determinan que pueden hacer los miembros de un grupo de
seguridad en un dominio o bosque y los permisos determinan que
recursos pueden utilizar los miembros de un grupo.
Tambin puede utilizar grupos de seguridad para enviar mensajes
de correo a mltiples usuarios. Enviando un mensaje de correo a
un grupo, enva el mensaje a todos los miembros del grupo. Por
consiguiente, los grupos de seguridad tienen la capacidad de
grupos de la distribucin.

Grupos de distribucin
Utilice grupos de distribucin con aplicaciones de correo
electrnico, como es Microsoft Exchance, para enviar mensajes de
correo electrnico a los usuarios. El principal propsito de este tipo
de grupos es acumular objetos relacionados, no conceder
permisos.
Los grupos de distribucin no permiten administrar la seguridad,
eso significa que no se pueden utilizar para asignar permisos. Si
necesita un grupo para controlar el acceso a recursos compartidos,
debe crear un grupo de seguridad.

Los dos tipos de grupos pueden ser de los tres alcances de grupos.

Que es el nivel funcional de un dominio?


Definicin
Las caractersticas de los grupos en Active Directory dependen del nivel
funcional del dominio. La funcionalidad del dominio habilita
caractersticas que afectan al dominio entero. Hay tres niveles
funcionales del dominio disponibles: Microsoft Windows 2000 mixto,
Windows 2000 nativo, y Microsoft Windows Server 2003. Por omisin, los
dominios trabajan en el nivel funcional Windows 2000 mixto. Usted
puede aumentar el nivel funcional del dominio a Windows 2000 nativo o
Windows Server 2003.

Cules son los grupos globales?


Definicin
Un grupo global de seguridad o distribucin es aquel que puede
contener usuarios, grupos y equipos que son del mismo dominio. Puede
utilizar grupos de seguridad global para asignar a derechos de usuarios
y permisos a los recursos en cualquier dominio en el bosque.
Caractersticas de un grupo global
- 201 -

Windows Server 2003

Divisin Empresas

Las caractersticas de los grupos globales se resumen en:


Miembros
o En un nivel funcional del dominio mixto, los grupos globales
pueden contener cuentas de usuarios y equipos que son del
mismo dominio.
o En el nivel funcional nativo, los grupos globales pueden
contener cuentas de usuarios y grupos globales que son del
mismo dominio.
Pueden ser miembros de
o En modo mixto, un grupo global slo puede ser miembro de
un grupo local del dominio.
o En modo nativo, un grupo global puede ser miembro de
grupos locales del dominio y grupos universales en cualquier
dominio y grupos globales que son del mismo dominio que el
grupo global.
Alcance
o un grupo global es visible en el dominio y en los dominios
con relaciones de confianza en todo el bosque.
Permisos
o usted puede conceder permisos a un grupo global para
todos los dominios en el bosque.
Cuando utilizar grupos globales
Como los grupos globales tienen visibilidad amplia en el bosque, no
debe crearlos para especificar acceso a los recursos. Utilice los grupos
globales para organizar usuarios que comparten el mismo trabajo y
tienen acceso similar a los recursos en la red.

Cules son los grupos universales?


Definicin
Un grupo universal ya sea de seguridad o de distribucin puede
contener usuarios, grupos y equipos de cualquier dominio en el bosque.
Puede utilizar grupos universales de seguridad para asignar derechos y
permisos a los recursos en cualquier dominio en el bosque.
Caractersticas de los grupos universales
Las caractersticas de los grupos universales se resumen en:

Miembros
o No puede crear grupos universales en modo mixto.
o En modo nativo, los grupos universales pueden contener
cuentas de usuarios, grupos globales y otros grupos
universales de cualquier dominio en el bosque.
Pueden ser miembros de
- 202 -

Windows Server 2003

Divisin Empresas

o Los grupos universales no son aplicables en modo mixto.


o En modo nativo, los grupos universales pueden ser
miembros de un dominio local y grupos universales en
cualquier dominio.
Alcance
o Los grupos universales son visibles en todo el dominio en el
bosque.
Permisos
Usted puede conceder permisos a los grupos universales de todos
los dominios en todo el bosque.

Cuando utilizar grupos universales.


Utilice grupos universales para anidar grupos globales a los que puede
asignar permisos para recursos relacionados en mltiples dominios. Un
dominio Windows Server 2003 deber estar en modo nativo Windows
2000 para poder utilizar grupos universales.

Cuales son los grupos locales de dominio?


Definicin
Un grupo local de dominio ya sea de seguridad o de distribucin puede
contener grupos universales, grupos globales, grupos locales de otros
dominios y cuantas de cualquier dominio en el bosque. Puede utilizar
grupos de seguridad locales de dominio para asignar derechos de
usuario y permisos a los recursos solo en el dominio donde el grupo local
de dominio esta creado.
Caractersticas de los grupos locales de dominio
Las caractersticas de los grupos locales de dominio se resumen en:
Miembros
o En modo mixto, los grupos locales de dominio pueden
contener cuentas de usuarios y grupos globales de cualquier
dominio. Los miembros del servidor no pueden utilizar
grupos locales en modo mixto.
o En modo nativo, los grupos locales de dominio pueden
contener cuentas de usuarios, grupos globales y grupos
universales de cualquier dominio en el bosque.
Puede ser miembro de
o En modo mixto, un grupo local de dominio no puede ser
miembro de ningn grupo.
o En modo nativo, un grupo local de dominio puede ser
miembro de grupos locales de dominio que son del mismo
dominio.
Alcance
- 203 -

Windows Server 2003

Divisin Empresas

o Un grupo local de dominio es visible solo en el dominio al


que pertenece.
Permisos
o Puede asignar permisos a un grupo local de dominio para el
dominio que pertenece.

Cuando utilizar grupos locales de dominio


Utilice un grupo local de dominio para asignar permisos a los recursos
que estn localizados en el mismo dominio que el grupo local de
dominio. Puede colocar todos los grupos globales que necesite para
compartir los recursos en el grupo local de dominio.

- 204 -

Windows Server 2003

Divisin Empresas

Cules son los grupos locales?


Definicin
Un grupo local es una coleccin de cuentas de usuarios o dominios
creados en un servidor miembro o servidor independiente. Puede crear
grupos locales para asignar permisos a los recursos que se encuentran
en la computadora local. Windows 2000 o Windows Server 2003 crean
grupos locales en la base de datos de seguridad local. Los grupos locales
pueden contener usuarios, computadoras, grupos globales, grupos
universales y otros grupos locales de dominio.
Como los grupos locales de dominio son algunas veces llamados grupos
locales, es importante distinguir entre un grupo local y un grupo local de
dominio. Los grupos locales son algunas veces llamados grupos locales
de la mquina para distinguirlos de los grupos locales de dominio.
Caractersticas de los grupos locales.
Las caractersticas de los grupos locales se resumen en:
Los grupos locales pueden contener cuentas de usuarios locales
de la computadora donde fue creado el grupo local.
Los grupos locales no pueden ser miembros de ningn otro grupo.
Cuando utilizar grupos locales:
Las siguientes sugerencias se recomiendan para utilizar grupos locales:
Puede utilizar grupos locales solo en la computadora donde se
cre el grupo local. Los grupos locales permiten el acceso los
recursos solo en la computadora donde fue creado el grupo local.
Puede utilizar grupos locales en computadoras que ejecutan el
sistema operativo Microsoft client. No puede crear grupos locales
en un controlador de dominio, porque los controladores de dominio
no pueden tener una base de datos de seguridad independiente
de la base de datos del Active Directory.
Debe crear grupos locales para limitar la disponibilidad de los
recursos a los usuarios locales y grupos cuando no desde crear
grupos en un dominio.

- 205 -

Windows Server 2003

Divisin Empresas

Donde crear grupos


Introduccin
En Active Directory, los grupos son creados en dominios. Utilice Usuarios
y equipos de Active Directory para crear grupos. Si usted tiene los
permisos necesarios, puede crear grupos en cualquier dominio en el
bosque, o en una unidad organizativa.
Adems del dominio en el que es creado, un grupo es tambin
caracterizado por su alcance. El alcance del grupo determina:

El dominio desde el cual los miembros pueden ser agregados.


El dominio desde el cual son vlidos los derechos de usuarios y
permisos asignados al grupo.

Eligiendo un dominio o unidad organizativa.


Elegir un dominio particular o una unidad organizativa donde crear un
grupo basado en los requerimientos de la administracin del grupo.
Por ejemplo, suponga que su directorio tiene mltiples unidades
organizativas, cada, cada una tiene un administrador diferente. Puede
crear un grupo global en esa unidad organizativa para que esos
administradores puedan manejar los grupos para usuarios en sus
respectivas unidades organizativas.

Recomendaciones para nombrar grupos


Introduccin
En Active Directory, hay algunos grupos de seguridad y distribucin. Las
siguientes convenciones de nombres ayudan a administrar sos grupos.
Las organizaciones tienen sus propias polticas para nombrar sus grupos
de seguridad y distribucin. Un nombre de grupo debe identificar el
alcance, tipo, por quien fue creado el grupo y que permisos tiene.
Grupos de seguridad
Considera siguientes sugerencias para nombrar grupos de seguridad:

Alcance de los grupos de seguridad


Aunque el tipo y alcance del grupo es mostrado en Usuarios y
equipos de Active Directory, las organizaciones frecuentemente
incorporan el alcance en la convencin de nombres del nombre del
grupo.

- 206 -

Windows Server 2003

Divisin Empresas

Por ejemplo, una compaa podra identificar el nivel de los grupos


de seguridad agregando la primera letra al nombre del grupo:
o G IS Admins
G para grupos globales
o U Todos IS Admins
U por grupos universales
o DL IS Control Total Admins
DL por grupos locales de dominio.

La propiedad de un grupo de seguridad


El nombre para cualquier nivel de seguridad de un grupo, si es
universal, global o local de dominio, deber identificar sus
propiedades claramente incluyendo el nombre de la divisin o
equipo al que pertenece el grupo.
El siguiente es un ejemplo de una convencin de nombre que la
empresa utiliza para identificar la propiedad del grupo:

Nombre de dominio
En la demanda del cliente, el nombre de dominio o abreviatura es
colocar al principio del nombre del grupo. Por ejemplo:

G Directores Mercadotecnia
DL IS Admins Control Total

G ICAM Mercadotecnia
DL MEX IS Admins Lectura

Propsito de un grupo de seguridad


Finalmente, en un nombre, usted puede incluir el propsito de
negocios del grupo los permisos que el grupo deber tener en la
red.
El siguiente es un ejemplo de una convencin de nombre que la
empresa utiliza la para identificar el propsito de la seguridad del
grupo. La empresa utiliza un escritor identifica los permisos que
grupo deber tener en la red. Por ejemplo:

DL IS Cuerna OU Admins
DL IS Admins Control Total

Grupos de distribucin
Como la seguridad de los grupos es la ms utilizada para la
administracin de la red, solo el personal administrativo de la red de
utilizar la convencin de nombres. Los usuarios finales utilizan grupos de
- 207 -

Windows Server 2003

Divisin Empresas

distribucin, por lo tanto la convencin de nombres puede ser pertinente


a un usuario final.

- 208 -

Windows Server 2003

Divisin Empresas

Cuando est definiendo una convencin de nombres para grupos de


distribucin considere lo siguiente:

Nombres de correo
o Longitud. Utilice un nombre alias corto. Para conformar las
normas de los datos. La longitud mnima de este campo es
tres caracteres, y la longitud mxima es ocho caracteres.
o Palabras ofensivas. No debe crear grupos de distribucin con
palabras que pueda ser consideradas ofensivas.
o Caracteres permitidos. Puede utilizar todos los caracteres del
cdigo ASCII. Los nicos caracteres especiales permitidos
son el guion (-) y el guin bajo (_).
o Designaciones
especiales.
No
utilice
la
siguiente
combinacin de caracteres para grupos de distribucin:
Un guin bajo (_) es el carcter inicial del nombre del
grupo del nombre alias.
Un nombre o una combinacin de nombre y apellido
que puede fcilmente confundirse con una cuenta de
usuario.

Nombres mostrados
o Nombres
de
usuarios
alias.
Para
propsitos
de
estandarizacin, no incluya un nombre de usuario alias como
parte del nombre mostrado (por ejemplo, JCastro Director
Planteles). Incluye nombre completo (por ejemplo, Juan
Castro director planteles).
o Palabras ofensivas. No debe crear grupos de distribucin con
palabras que puedan considerarse ofensivas.
o Discusiones sociales. Los grupos de distribucin para
discusiones sociales no deberan permitirse, porque las
carpetas pblicas son un medio ms eficiente de transmisin
y comunicacin de alto volumen asociadas con discusiones
sociales. Porque un post es visible para mltiples usuarios,
ambos crear trfico en la red y el almacenamiento de datos
es mnimo si utiliza carpetas pblicas en lugar de grupos de
distribucin corporativa.
o Longitud. La longitud mxima de este campo es 40
caracteres. Las abreviacin es son aceptables.
o Estilo. No escriba en maysculas la descripcin entera, pero
ponga Mayscula la primera letra en el nombre.
o Arriba de la agenda. No utilice la letra A, nmeros,
caracteres especiales o espacios al comenzar la descripcin.
Esto hara que aparecieran al principio de la agenda. La
agenda debera mostrar al principio los nombres de usuarios
que inician con A.
- 209 -

Windows Server 2003

Divisin Empresas

o Caracteres especiales. La diagonal (/) es permitida en el


nombre mostrado, pero no la utilice despus de los nombres.
No utilice ms de un apostrofo y no utilice los siguientes
caracteres especiales: * @ # $ % | [ ] ; < > =.

- 210 -

Windows Server 2003

Divisin Empresas

propiedad
o puede haber un mximo de cinco co-propietarios de un
grupo de distribucin.

Grupos locales
o Un nombre de grupo local no debe ser idntico a ningn otro
grupo o nombre de usuario en la computadora local. Un
nombre de grupo local no puede consistir nicamente de
puntos (.) o espacios. Puede contener hasta 256 caracteres
CON minsculas, excepto los siguientes: * @ # $ % | [ ] ; <
>=

Como crear un grupo


Introduccin
En los ambientes corporativos, deber crear grupos en los dominios.
Active Directory tiene caractersticas de seguridad y rastreo de que
limitan la adicin de usuarios a los grupos. Active Directory tambin da
la flexibilidad de utilizar grupos en miembros del servidor. Las
corporaciones frecuentemente tienen servidores que son expuestos a
Internet y quiero utilizar grupos locales en miembros del servidor en
lugar de grupos locales de dominio para limitar la exposicin a grupos de
Internet.
Procedimiento para la creacin de un grupo de dominio.
Para crear un grupo en el Active Directory:
1. En usuarios y grupos de Active Directory, en la consola de rbol,
clic derecho en la carpeta donde desea agregar el grupo, apunte a
Nuevo y clic en Grupo.
2. En el cuadro de dilogo Nuevo objeto - Grupo, en el cuadro
nombre de grupo, escriba el nombre del nuevo grupo.
3. En Alcance del grupo, clic en el alcance del grupo para nuevo
grupo.
4. En Tipo de grupo, clic en el tipo de grupo para nuevo grupo.
Procedimiento para crear un grupo local en un servidor miembro
Para crear un grupo local en un miembro del servidor:
1. En Administracin de equipos, en la consola de rbol, clic en
Grupos.
2. En el men Accin, clic en Nuevo grupo.
3. En el cuadro de dilogo Nuevo grupo, en el cuadro Nombre de
grupo, escriba el nombre para nuevo grupo.
4. En el cuadro Descripcin, escriba la descripcin para el grupo.
5. Para agregar uno ms usuarios al nuevo grupo, clic en Agregar.
6. Clic en Crear y clic en Cerrar.
Procedimiento para eliminar un grupo
- 211 -

Windows Server 2003

Divisin Empresas

Para eliminar un grupo:


1. En Usuarios y equipos de Active Directory, en la consola de rbol
clic en la carpeta que contiene grupo.
2. En el panel detalles, clic derecho en el grupo y clic en Eliminar.

- 212 -

Windows Server 2003

Divisin Empresas

Prctica: creando grupos


Objetivo
En esta prctica, crear grupos globales y grupos locales utilizando el
Usuarios y equipos de Active Directory.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Escenario
Como administrador de sistemas, deber crear mltiples grupos para el
departamento de contabilidad. Esos grupos sern eventualmente
utilizados para agrupar cuentas y asignar recursos a los grupos.
Crear grupos utilizando Usuarios y equipos de Active Directory
1. Crear los siguientes grupos globales en la unidad organizativa
Ubicaciones/ NombreComputadora/ Grupos:
a. G NombreComputadora Administradores Contabilidad
b. G NombreComputadora Personal Contabilidad
2. Crear los siguientes grupos locales de dominio en la unidad
organizativa Ubicaciones/ NombreComputadora/ Grupos:
a. DL NombreComputadora
Administradores Contabilidad
Control Total
b. DL NombreComputadora
Administradores Contabilidad
Lectura
c. DL NombreComputadora Personal Contabilidad Control Total
d. DL NombreComputadora Personal Contabilidad Lectura

- 213 -

Windows Server 2003

Divisin Empresas

Administrando grupos y miembros de grupos


Introduccin
Porque algunos usuarios frecuentemente requieren acceso diferente
recursos en la organizacin, los administradores pueden asignar
miembros a grupos que residen en el Active Directory o en una
computadora local.
Cuando agrega miembros o elimina miembros de los grupos en Active
Directory, un administrador puede abrir Usuarios y equipos de Active
Directory, clic en una cuenta de usuario y arrastrar lo han grupo
deseado. Esta accin agrega rpidamente las cuentas de usuarios a los
grupos.
Cuando agrega miembros o elimina miembros de los grupos en una
computadora local, un administrador puede utilizar la consola
administracin de equipos para cambiar los miembros del grupo.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Distinguir entre las propiedades Miembros y Miembros de.
Utilizar las propiedades Miembros y Miembros de utilizando la
interface.
Determinar los grupos de los que una cuenta de usuario puede ser
miembro.
Agregar y remover miembros de un grupo.

Las propiedades Miembros y Miembros de


Introduccin
Las propiedades Miembros y Miembros de nos permiten saber que
usuarios estn dentro del grupo y el grupo a quien pertenece.
Definicin de Miembros y Miembros de
Jos, Lus y Karina son miembros de el grupo global Admins Cuernavaca.
El grupo global Admins Cuernavaca es miembro de el grupo local de
dominio UO Admins Cuernavaca.
Samuel, Ral y Amelia son miembros de el grupo global Admins Cuautla.
El grupo global Admins Cuautla es un miembro de el grupo local de
dominio UO Admins Cuautla.
Usuario o Grupo
Jos, Lus y Karina
Admins Cuernavaca

Miembros
Jos, Lus y Karina
- 214 -

Miembros de
Admins Cuernavaca
UO
Admins
Cuernavaca

Windows Server 2003


Samuel, Ral y Amelia
Admins Cuautla
UO
Cuernavaca

Divisin Empresas

Samuel, Ral y Amelia

Admins Cuautla
UO
Admins
Cuernavaca

Admins Admins Cuernavaca


Admins Cuautla

Utilizando las propiedades Miembros y Miembros de, usted puede


terminar a que grupos pertenecen los usuarios y a que grupos
pertenecen los grupos.

Como saber de que grupo las cuentas de usuario son


miembro de
Introduccin
Despus de agregar a usuarios y grupos, Active Directory actualiza en
las cuentas la propiedad Miembro de.
Procedimiento
Para determinar de que grupos los usuarios son miembros de:
1. En Usuarios y equipos de Active Directory, en la consola rbol, clic
en Users o clic en la carpeta que contiene la cuenta de usuario.
2. En el panel detalles, clic derecho en la cuenta de usuario y clic en
Propiedades.
3. En el cuadro de dilogo Propiedades, clic en la etiqueta
Miembro de.

Como agregar y remover miembros de un grupo


Introduccin
Despus de crear un grupo, usted agrega miembros utilizando Usuarios
y equipos de Active Directory. Los miembros del grupo pueden incluir
cuentas de usuario, otros grupos y equipos.
Procedimiento
Para agregar o remover miembros de un grupo:
1. En Usuarios y equipos Active Directory, en la consola de rbol, clic
en la carpeta que contiene el grupo en el cual desea agregar
miembros.
2. En el panel detalles, clic derecho en el grupo y clic en
Propiedades.
3. En el cuadro de dilogo Propiedades, en la etiqueta Miembros,
clic en Agregar.
Si desea remover un miembro de un grupo, clic en el miembro y
clic en Remover.
- 215 -

Windows Server 2003

Divisin Empresas

4. En el cuadro de dilogo Seleccin de usuarios, contactos,


computadora o grupos, escriba el nombre del usuario, grupo o
equipo que quiere agregar grupo y clic en Aceptar.

- 216 -

Windows Server 2003

Divisin Empresas

Prctica: administrando miembros de un grupo


Objetivos
En esta prctica, agregar a usuarios a un grupo global.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene usuarios y
equipos de Active Directory.
Asegrese que los siguientes grupos estn en la unidad
organizativa Ubicaciones / NombreComputadora / Grupos
o G NombreComputadora Administradores Contabilidad
o G NombreComputadora Personal Contabilidad
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Escenario
La empresa esta empezando a implementar grupos globales. Usted
necesitar encontrar a todo el personal de contabilidad en su unidad
organizativa ciudad y agregarlos
al grupo G NombreComputadora
Personal Contabilidad.
Realice una bsqueda para personal de contabilidad.
Busque los usuarios con el atributo ciudad y el atributo
departamento de contabilidad.
Agregue los usuarios al grupo G NombreComputadora Personal
Contabilidad
1. Seleccione todos los usuarios encontrados en la bsqueda anterior.
2. Clic derecho en la seleccin y clic en Agregar un grupo.
3. Agregar los usuarios al grupo NombreComputadora Personal
Contabilidad.

- 217 -

Windows Server 2003

Divisin Empresas

Estrategias para utilizar grupos


Introduccin
Para utilizar grupos eficientemente, necesita estrategias para aplicar la
en los diferentes niveles de grupos. Esta sesin cubre los conocimientos
sevillanos que necesita para utilizar grupos de manera ptima y emplear
diferentes estrategias con grupos.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Explicar la estrategia AGDLP para utilizar grupos en un simple
dominio.
Describir grupos anidados.
Describir las siguientes estrategias para utilizar grupos:
AGP
A DL P
A G DL P
A G U DL P
AGLP
Puntos clave
Cuentas de usuarios-> Grupos globales-> Grupos locales de dominio<Permisos

(A)

(G)

(DL)

(P)

Que son grupos anidados?


Introduccin
Utilizando anidar, puede agregar un grupo como miembro de otro grupo.
Puede anidar grupos para consolidar la de la administracin de grupos.
Anidar incrementa el nmero de cuentas que son afectadas por una
simple accin y reduce la replicacin de trfico causada por la
replicacin de cambios en los miembros de un grupo.
Opciones de anidar
Sus opciones para anidar dependen de si el nivel funcional de dominio
est configurado como nativo o mixto. En dominios con nivel funcional
nativo, la membresa del grupo est determinada por lo siguiente:
Los grupos universales pueden tener entre sus miembros: cuentas
de usuarios, cuentas de equipos, grupos universales, y grupos
globales de cualquier dominio.
Los grupos globales pueden tener entre sus miembros: cuentas de
usuarios del mismo dominio y grupos globales del mismo dominio.
Los grupos locales de dominio pueden tener entre sus miembros:
cuentas de usuarios, grupos universales y grupos globales, de
- 218 -

Windows Server 2003

Divisin Empresas

cualquier dominio. Tambin pueden tener grupos locales de


dominio del mismo dominio.
No puede crear grupos de seguridad con alcance universal en el dominio
donde el nivel funcional de dominio es configurado como Windows 2000
mixto. El alcance universal es soportado slo en dominios donde nivel
funcional de dominio est configurado como Windows 2000 nativo o
Windows Server 2003.
Nota: Minimice los niveles de anidamiento. Un nivel simple de
anidamiento es el mtodo ms efectivo, porque rastrear permisos es
ms complejo con mltiples niveles.

Estrategias de grupos
Introduccin
Para utilizar grupos eficientemente, me estrategias para aplicar un a los
diferentes alcances de grupos. La estrategia que usted seleccione
dependera del ambiente de Windows en red de su organizacin. En un
simple dominio, lo ms comn es utilizar armas grupos globales y
grupos locales de dominio para asignar permisos a los recursos de la
red. Es primordial en una red con mltiples dominios, puede incorporar
grupos globales y universales en su estrategia.
AGP
Con A G P, puede colocar cuentas de usuarios (A) en grupos globales
(G), y asignar los permisos (P) a los grupos globales. La limitacin de
esta estrategia es que se complica la administracin cuando utiliza
mltiples dominios. Si los grupos globales de mltiples dominios
requieren los mismos permisos, deber asignar permisos a cada grupo
global individualmente.
Cuando utilizar la estrategia A G P
Utilice A G P para bosques con un dominio y muy pocos usuarios y
donde nunca agregue otros dominios.
A G P tienen las siguientes ventajas:
Grupos que no son anidados y por lo tanto son ms fciles de
utilizar.
Las cuentas pertenecen a un solo alcance de grupo
A G P tienen las siguientes ventajas:
Se debe autentificar a un usuario cada vez que desea utilizar un
recurso, el servidor debe chocar la membresa del grupo global para
determinar si el usuario todava es miembro del grupo.
Reduce su actuacin, porque un grupo global no se esconde.
A DL P
- 219 -

Windows Server 2003

Divisin Empresas

Con A DL P, puede colocar cuentas de usuarios (A) en grupos locales de


dominio (DL), y asignar permisos (P) a los grupos locales de dominio.
Una limitacin de esta estrategia es que no le permite asignar permisos
de recursos que estn fuera del dominio. Por consiguiente, este reduce
la flexibilidad si su red crece.
Cuando utilizar la estrategia A DL P
Utilice A DL P en un bosque si todos los puntos siguientes son
verdaderos:
El bosque tiene slo un dominio y muy pocos usuarios.
Nunca agregara otros dominios al bosque.
No hay miembros de servidores en un dominio con Microsoft
Windows NT 4.0.
A DL P tiene las siguientes ventajas:
Las cuentas pertenecen a un solo alcance de grupo.
Los grupos no son anidados.
A DL P tiene las siguientes desventajas:
Reduce su actuacin, porque cada grupo local de dominio tiene
algunos miembros o que deben ser autentificados.
A G DL P
Con A G DL P, puede colocar cuentas de usuarios (A) en grupos globales
(G), colocar los grupos globales en grupos locales de dominio (DL), y
entonces asignar permisos (P) a los grupos locales de dominio. Esta
estrategia crea flexibilidad para redes grandes y reduce nmero de
veces que debe configurar los permisos.
Cuando utilizar la estrategia A G DL P
Use A G DL P para un bosque que consiste de uno o ms dominios y
donde probablemente agregue ms dominios en el futuro.
A G DL P tiene las siguientes ventajas:
Los dominios son flexibles.
Los
dueos de recursos requieren menos acceso al Active
Directory para afianzar sus recursos flexiblemente.
A G DL P tiene las siguientes desventajas:
Es ms complejo configurar inicialmente la estructura
administrativa, pero ms fcil de manejar ya instalada.
A G U DL P
Con A G U DL P, puede colocar cuentas de usuarios (A) en grupos
globales (G), colocar los grupos globales en grupos universales (U),
colocar los grupos universales en grupos locales de dominio (DL), y
entonces asignar permisos (P) a los grupos locales de dominio.
Cuando utilizar la estrategia A G U DL P
- 220 -

Windows Server 2003

Divisin Empresas

Utilice A G U DL P para un bosque con ms de un dominio donde los


administradores requieran centralizar la administracin de algunos
grupos globales.
A G U DL P tienen las siguientes ventajas:
Hay flexibilidad para el bosque.
Permite centralizar la administracin.
A G U DL P tienen las siguientes desventajas:
La membresa de los grupos universales es guardada en un
catlogo global.
Podra ser necesario agregar ms catlogos globales al servidor.
Podra haber ms replicacin latente de catlogos globales.
Cuando nos referimos a catlogos globales, latencia es el tiempo
que toma replicar un cambio en cada catlogo global del servidor
en el bosque.
AGLP
Use A G L P para colocar cuentas de usuarios en grupos globales y
asignar permisos a los grupos locales. Una limitacin de esta estrategia
es que no puede asignar permisos para recursos fuera de la
computadora local.
Por lo tanto, colocar cuentas de usuarios en un grupo global, agregar los
grupos globales a grupo local y entonces asignar permisos a grupo local.
Con esta estrategia, puede utilizar el mismo grupo global en varias
computadoras locales.
Cuando utilizar la estrategia A G L P
Utilice A G L P cuando un dominio tenga las siguientes caractersticas:
Actualiz de Windows NT 4.0 a Windows Server 2003
Tiene un dominio
Tiene pocos usuarios
Nunca agregara otros dominios
Para mantener un grupo estratgico en Windows NT 4.0
Para mantener centralizada la administracin de usuarios y
descentralizada la administracin de recursos.
A G L P tienen las siguientes ventajas:
Para mantener un estrategia de grupos de Windows NT 4.0
Los dueos de recursos tienen membresa para cada grupo que
necesitan acceder.
A G L P tienen las siguientes desventajas:
El Active Directory no tiene el control.
- 221 -

Windows Server 2003

Divisin Empresas

Debe crear grupos redundantes para los miembros del servidor.


No se permite la administracin centralizada.

- 222 -

Windows Server 2003

Divisin Empresas

Para discutir en clase: Utilizando grupos en solo un dominio


Ejemplo 1
La empresa X tiene un dominio que est localizado en Cuernavaca. Los
administradores necesitan acceder a la base de datos de inventario para
realizar sus tareas.
Que debe hacer para asegurar que los administradores tengan acceso a
la base de datos de inventario?

Ejemplo 2
La empresa quiere reaccionar ms rpido a la demanda del mercado.
Estuve determinando que la informacin de contabilidad est disponible
para todos los contadores. La empresa quiere crear y la estructura de
grupos para toda la divisin de contabilidad incluyendo los
departamentos de Ativo y Pasivo.
Que debe hacer para asegurar que los administradores tengan acceso
requerido y que haya un mnimo de administracin?

- 223 -

Windows Server 2003

Divisin Empresas

Prctica: Agregando grupos globales a grupos locales de


dominio
Objetivo
En este ejercicio, agregara un grupo global a un grupo local de dominio.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio.
Ejecute la consola MMCPersonal.
Asegrese que la consola MMCPersonal contiene Usuarios y
equipos de Active Directory.
Asegrese que los siguientes grupos estn en la unidad
organizativa Ubicaciones / NombreComputadora / Grupos
o Grupos globales:
G NombreComputadora Administradores Contabilidad
G NombreComputadora Personal Contabilidad
o Grupos locales de dominio:
DL
NombreComputadora
Administradores
Contabilidad Control Total
DL
NombreComputadora
Administradores
Contabilidad Lectura
DL NombreComputadora Personal Contabilidad Control
Total
DL NombreComputadora Personal Contabilidad Lectura
Revisar los procedimientos de esta sesin que describen como
realizar sta tarea.
Escenario
La empresa esta imprementando A G DL P y que usted agregue los
grupos globales a los grupos locales de dominio.
Agregar grupos globales a grupos locales de dominio
1. Agregar G NombreComputadora Administradores Contabilidad a
DL NombreComputadora Administradores Contabilidad Control
Total.
2. Agregar G NombreComputadora Administradores Contabilidad a
DL NombreComputadora Administradores Contabilidad Lectura.
3. Agregar G NombreComputadora Personal Contabilidad a DL
NombreComputadora Personal Contabilidad Control Total.
4. Agregar G NombreComputadora Personal Contabilidad a DL
NombreComputadora Personal Contabilidad Lectura.

- 224 -

Windows Server 2003

Divisin Empresas

Modificando Grupos
Introduccin
En esta sesin obtendr los conocimientos y habilidades que necesita
para modificar grupos.
Objetivos de la sesin.
Despus de completar esta sesin, usted ser capaz de:
Explica que significa modificar el mbito o tipo de un grupo.
Cambiar el mbito o tipo de un grupo.
Explicar por qu asignar un administrador a un grupo.
Asignar un administrador a un grupo.

Qu es modificar el mbito del grupo y los tipos de


grupos?
Introduccin
Cuando crea un nuevo grupo, por omisin, el nuevo grupo es
configurado como un grupo de seguridad con el mbito global,
independientemente del nivel funcional de dominio.
Cambiando el mbito del grupo
Aunque no puede cambiar el mbito de un grupo en un dominio con un
nivel funcional Windows 2000 mixto, puede cambiar al siguiente nivel
cambiando en el dominio al nivel funcional Windows 2000 nativo o
Windows Server 2003:
Global a universal. Esto est permitido slo si grupo que desea
cambiar no es un miembro de otro grupo global.
Local de dominio a universal. Esto est permitido slo si grupo que
desea cambiar no tiene otro grupo local de dominio como un
miembro.
Universal a global. Esto est permitido slo si grupo que desea
cambiar no tiene otro grupo universal como miembro.
Universal a local de dominio. No hay restricciones para este
cambio.
Cambiando el tipo de grupo
Puede convertir un grupo de grupo de seguridad a grupo de distribucin,
y viceversa, en cualquier momento, pero slo si el nivel funcional de
dominio est configurado como Windows 2000 nativo o ms alto. No
puede convertir un grupo mientras el nivel funcional de dominio este
configurado como Windows 2000 mixto.
Puede convertir grupos de un tipo otro en los siguientes casos:
Seguridad a distribucin.
- 225 -

Windows Server 2003

Divisin Empresas

Una compaa se en dos compaas, los usuarios migran de un


dominio otro, pero quieren conservar sus direcciones de correo.
Usted desea enviarles un mensaje de correo utilizando el grupo de
seguridad anterior, pero desea eliminar el contexto seguridad del
grupo.

- 226 -

Windows Server 2003

Divisin Empresas

Distribucin a seguridad
Un grupo de distribucin es muy grande, y los usuarios quieren
utilizar ste grupo para tareas relacionadas con seguridad. Por lo
tanto, ellos todava quieren usar el grupo para correo electrnico.

Como cambiar el alcance y el tipo de grupo


Introduccin
Para cambiar el mbito o tipo de un grupo, el nivel funcional del dominio
debe estar configurado como Windows 2000 nativo o superior. No puede
convertir un grupo mientras el nivel funcional de dominio este
configurado como Windows 2000 mixto.
Procedimiento
Para cambiar el mbito o tipo de un grupo:
1. En Usuarios y equipos de Active Directory, en la consola de rbol,
y que la carpeta que contiene el grupo.
2. En el panel detalles, clic derecho en el grupo y clic en
Propiedades.
3. En el cuadro de dilogo Propiedades, en la etiqueta General, en
Tipo de grupo, clic en el tipo de grupo al que desea cambiarlo.
4. En mbito de grupo, clic en el mbito de grupo al que desea
cambiarlo.

Practica: Cambiando el alcance y tipo de grupo


Objetivo
sta prctica, podr:
Cambiar el mbito de un grupo de global a local de dominio.
Convertir un grupo de seguridad en un grupo de distribucin.
Instrucciones
Antes de comenzar sta prctica:
Inicie sesin en el dominio.
Abra la consola MMCPersonal
Asegrese que la consola MMCPersonal contiene Usuarios y
equipos de Active Directory.
Escenario
Los administradores IS de la empresa quieren que usted escriba un
procedimiento para cambiar el mbito de seguridad de un grupo de
global a local de dominio. Deber crear todos los grupos de evaluacin
en la unidad organizativa ISEvaluacion.
Crear un grupo de seguridad global
En la unidad organizativa ISEvaluacion, crear un grupo global de
seguridad llamado NombreComputadora Grupo mbito Evaluacin.
- 227 -

Windows Server 2003

Divisin Empresas

Documente el procedimiento para convertir el grupo global en un grupo


local de dominio

Escenario
Los administradores IS de la empresa quieren que usted evalu las
caractersticas del Active Directory que le permitan convertir un grupo
de seguridad en un grupo de distribucin. Quieren que usted convierta el
grupo de seguridad crear anteriormente en un grupo de distribucin.
Convertir un grupo global de seguridad en un grupo de
distribucin
Cambie el grupo NombreComputadora Grupo mbito Evaluacin a
un grupo de distribucin.

Porque asignar un administrador a un grupo?


Ventajas de asignar un administrador a un grupo
El Active Directory en Windows Server 2003 le permite asignar un
administrador a un grupo como propietario del grupo. Esto le permite:
Rastrear quin es responsable de los grupos.
Delegar la administracin de auditoria del grupo para agregar y
remover usuarios del grupo.
Como el personal de las organizaciones grandes es agregado y removido
de grupos frecuentemente, algunas organizaciones distribuyen la
responsabilidad administrativa de agregar usuarios a grupos al personal
que requiere los grupos.
Si usted documenta quin es el que administra el grupo, la informacin
de contacto de la cuenta de usuario es almacenada. Si grupo necesita
ser emigrado a otro dominio o necesita ser eliminado, el administrador
de la red tiene un archivo de quien es el propietario del grupo y su
- 228 -

Windows Server 2003

Divisin Empresas

informacin de contacto. Por lo tanto, el administrador de la red puede


llamar o enviarle un mensaje de correo al administrador para notificarle
el cambio que necesita hacer al grupo.

Como asignar un administrador a un grupo


Introduccin
Utilice el siguiente procedimiento para asignar un administrador a un
grupo.
Procedimiento
Para asignar un administrador a un grupo:
1. En Usuarios y equipos de Active Directory, en la consola de rbol,
doble clic en el grupo que necesita un administrador.
2. En el cuadro de dilogo Propiedades, en la etiqueta
Administrador por, clic en Cambiar para agregar un
administrador al grupo o para cambiar el administrador de un
grupo.
3. En el cuadro de dilogo Seleccionar usuario o contacto, en el
cuadro Introduzca el nombre del objeto a seleccionar,
escriba el nombre del usuario que desea que administre el grupo y
clic en Aceptar.
4. Active la casilla El administrador puede actualizar la
membresa si desea que el administrador agregue o remueva
usuarios del grupo.
5. En el cuadro de dilogo Propiedades, clic en Aceptar.

Practica: Asignar un administrador a un grupo


Objetivo
En sta prctica, usted podr:
Crear un grupo global.
Asignar un administrador al grupo el cual puede modificar la
membresa del grupo.
Evaluar las propiedades del administrador del grupo.
Instrucciones
Antes de comenzar sta prctica:
Inicie sesin en el dominio.
Abra la consola MMCPersonal
Asegrese que la consola MMCPersonal contiene Usuarios y
equipos de Active Directory.

- 229 -

Windows Server 2003

Divisin Empresas

Escenario
Necesita crear un grupo para el departamento de ventas llamado G
NombreComputadora Estrategia Ventas. El propietario del grupo podra
ser el administrador de ventas en la unidad organizativa de su ciudad.
Crear un grupo global en la unidad organizativa de su ciudad
1. Crear un grupo global llamado G NombreComputadora Estrategia
Ventas
en
la
unidad
organizativa
Ubicacines
/NombreComputadora
2. Cerrar la sesin.
Evaluar las propiedades del administrador del grupo.
1. Iniciar sesin utilizando su cuenta.
2. Abrir la consola MMCPersonal e intente agregar un usuario a G
NombreComputadora Estrategia Ventas.
No tendr permitido agregar usuarios ste grupo.
3. Cierre la consola MMCPersonal.
4. Abra la consola MMCPersonal (no utilice el comando Ejecutar).
5. En Usuarios y equipos de Active Directory, navegue por su unidad
organizativa ciudad, y de doble clic en G NombreComputadora
Estrategia Ventas.
6. En el cuadro de dilogo Propiedades, clic en la etiqueta
Miembros, y observ que no puede agregar usuarios, porque el
botn Agregar esta deshabilitado.
7. Cierre la consola MMCPersonal.
Hacer su cuenta de usuario un administrador de G
NombreComputadora Estrategia Ventas
1. Abra la consola MMCPersonal con el comando Ejecutar.
Utilice una cuenta administrativa.
2. En Usuarios y equipos de Active Directory, navegue por su unidad
organizativa ciudad y doble clic en G NombreComputadora
Estrategia Ventas.
3. En el cuadro de dilogo Propiedades, en la etiqueta
Administrador por, agregue su cuenta de usuario.
4. Active la casilla El administrador puede actualizar un la
membresa.
5. Cierre la consola MMCPersonal.
Evaluar las propiedades del administrador del grupo.
1. En Usuarios y equipos de Active Directory, navegue por su unidad
organizativa ciudad y doble clic en G NombreComputadora
Estrategia Ventas.
2. En el cuadro de dilogo Propiedades, en la etiqueta Miembros,
agregue la cuenta de usuario Usuario0001.
3. Cierre por las ventanas y la consola MMCPersonal.
- 230 -

Windows Server 2003

Divisin Empresas

Utilizando los grupos predeterminados.


Introduccin
Esta sesin muestra como utilizar los grupos predeterminados.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Explicar como se utilizan los grupos predeterminados en miembros


del servidor.
Explicar como se utilizan los grupos predeterminados en el Active
Directory.
Identificar cuando utilizar los grupos predeterminados.
Identificar las condiciones de seguridad de los grupos
predeterminados.
Explicar como se utilizan los grupos de sistema.

Grupos predeterminados del servidor miembro


Definicin
En la carpeta Grupos del complemento Usuarios y grupos locales de
MMC (Microsoft Management Console) se muestran los grupos locales
predeterminados y los creados por los usuarios. Los grupos locales
predeterminados se crean automticamente al instalar un servidor
independiente o un servidor miembro donde se use Windows Server
2003. Al pertenecer al grupo local, se le proporcionan al usuario los
derechos y capacidades necesarios para realizar diversas tareas en el
equipo local.
En los grupos locales puede agregar cuentas de usuario locales, cuentas
de usuario de dominio, cuentas de equipo y cuentas de grupo. Sin
embargo, no es posible agregar cuentas de usuario locales ni cuentas de
grupo locales a las cuentas de grupo de dominio.
Grupos locales predeterminados del servidor miembro.
En la siguiente tabla se describen algunos de los grupos locales en un
servidor miembro o en un servidor independiente con Windows Server
2003.

- 231 -

Windows Server 2003


Grupo

Administradores

Invitados

Usuarios del
registro de
rendimiento

Usuarios del
Monitor de
sistema

Usuarios
Avanzados

Divisin Empresas

Descripcin

Los miembros de este grupo tienen control


total en el servidor y pueden asignar derechos de
usuario y permisos de control de acceso a los
usuarios segn sea necesario.

La cuenta Administrador es miembro de este


grupo de forma predeterminada.

Cuando el servidor se une a un dominio, se


agrega automticamente al grupo el grupo
Admins. de dominio.

Como este grupo tiene un control total en el


servidor, sea prudente al agregar usuarios.

Los miembros de este grupo disponen de un


perfil temporal que se crea al iniciar la sesin y
que se elimina cuando el miembro la cierra.

La cuenta Invitado (que est deshabilitada de


forma predeterminada) tambin es miembro del
grupo de forma predeterminada.

Los miembros de este grupo pueden


administrar los contadores de rendimiento,
registros y alertas del servidor, tanto de forma
local como de forma remota, sin ser miembros
del grupo Administradores.

Los miembros de este grupo pueden


supervisar los contadores de rendimiento del
servidor, tanto de forma local como de forma
remota, sin ser miembros de los grupos
Administradores o Usuarios del registro de
rendimiento.

Los miembros del grupo Usuarios avanzados


pueden crear cuentas de usuario y modificar y
eliminar las cuentas que crean.

Pueden crear grupos locales y quitar o agregar


usuarios a los grupos locales que hayan creado.

Tambin pueden agregar o quitar usuarios de


los grupos Usuarios avanzados, Usuarios e
Invitados.

Los miembros de este grupo pueden crear


recursos compartidos y administrar los que han
creado.

No pueden tomar la propiedad de archivos,


realizar copias de seguridad o restaurar
directorios, cargar o descargar controladores de
- 232 -

Windows Server 2003

Operadores de
impresin

Divisin Empresas

dispositivos, ni administrar la seguridad y los


registros de auditoria.
Los miembros de este grupo pueden
administrar las impresoras y las colas de
impresin

- 233 -

Windows Server 2003

Divisin Empresas

Los siguientes tambin son grupos predefinidos de un servidor miembro,


solo que se utilizan en muy pocas ocasiones.
Operadores de configuracin de red
Usuarios de escritorio remoto
Replicador
GrupoServiciosAyuda
Usuario de Terminal Server
Grupos predeterminados para servicios de red
La siguiente tabla describe los grupos predeterminados utilizados para
servicios de red y servicios de Dinamic Host Configuration Protocol
(DHCP) solo que este instalado.
Grupo
Membresa
Usuarios
DHCP
Los miembros de este grupo tienen acceso de
(se instala con el
slo lectura al servicio Servidor DHCP.
servicio Servidor
De este modo, los miembros pueden ver la
DHCP)
informacin y las propiedades almacenadas en
un servidor DHCP especificado.

Esta informacin resulta til para que el


personal del departamento de soporte tcnico
realice informes de estado de DHCP.
Administradores

Los miembros de este grupo tienen acceso


DHCP (se instala
como administradores al servicio Servidor de
con el servicio
Protocolo de configuracin dinmica de host
Servidor DHCP)
(DHCP, Dynamic Host Configuration Protocol).

El grupo proporciona una forma de conceder


acceso administrativo limitado solamente al
servidor DHCP, sin proporcionar acceso completo
al equipo servidor.

Los miembros de este grupo pueden


administrar DHCP en el servidor mediante la
consola DHCP o los comandos Netsh, pero no
pueden realizar otras tareas administrativas en el
servidor.
Usuarios WINS

Los miembros de este grupo tienen acceso de


(se instala con el
slo lectura al Servicio de nombres Internet de
servicio WINS)
Windows (WINS).

De este modo, los miembros pueden ver la


informacin y las propiedades almacenadas en
un servidor WINS especificado.

Esta informacin resulta til para que el


personal del departamento de soporte tcnico
realice informes de estado de WINS.
- 234 -

Windows Server 2003

Divisin Empresas

- 235 -

Windows Server 2003

Divisin Empresas

Grupos predeterminados de Active Directory


Definicin
Los grupos predeterminados, como el grupo Administradores de
dominio, son grupos de seguridad que se crean automticamente al
crear un dominio de Active Directory. Estos grupos predefinidos permiten
controlar el acceso a los recursos compartidos y delegar funciones
administrativas especficas en todo el dominio.
A muchos grupos predeterminados se les asigna automticamente un
conjunto de derechos de usuario que autoriza a los miembros del grupo
a realizar acciones especficas en un dominio, como iniciar una sesin en
un sistema local o efectuar copias de seguridad de archivos y carpetas.
Por ejemplo, un miembro del grupo Operadores de copia de seguridad
tiene derecho a realizar operaciones de copia de seguridad en todos los
controladores del dominio.
Los grupos predeterminados estn ubicados en el contenedor Integrados
y en el contenedor Usuarios. El contenedor Integrados contiene los
grupos definidos con el mbito local de dominio. El contenedor Usuarios
contiene los grupos definidos con los mbitos global y local del dominio.
Puede mover los grupos ubicados en estos contenedores a otros grupos
o unidades organizativas del dominio, pero no puede moverlos a otros
dominios.
Grupos del contenedor Integrado (Builtin)
La siguiente tabla describe cada grupo predeterminado del contenedor
Builtin que es agregado a los grupos predeterminados en servidores
independientes o Servidores miembro cuando Active Directory es
instalado. Todos estos grupos predeterminados son agregados con los
derechos asignados a cada usuario.
Grupo
Operadores
cuentas

Descripcin
de
Los miembros de este grupo pueden crear,
modificar y eliminar cuentas de usuarios, grupos
y equipos que se encuentran en los contenedores
Usuarios o Equipos y en las unidades
organizativas del dominio, excepto la unidad
organizativa Controladores de dominio.

Los miembros de este grupo no tienen


permiso
para
modificar
los
grupos
Administradores o Administradores del dominio ni
las cuentas de los miembros de dichos grupos.

Los miembros de este grupo pueden iniciar la


sesin de forma local en los controladores del
- 236 -

Windows Server 2003

Creadores
de
confianza
de
bosque
de
entrada
(slo
aparece en el
dominio raz del
bosque)

Acceso
compatible con
versiones
anteriores a
Windows 2000

Operadores de
servidores

Divisin Empresas

dominio y apagarlos.
Como este grupo tiene una autoridad
considerable en el dominio, sea prudente al
agregar usuarios.
Los miembros de este grupo pueden crear
confianzas
de
bosque
de
entrada
unidireccionales en el dominio raz del bosque.
Por ejemplo, los miembros de este grupo que
residen en el Bosque A pueden crear una
confianza de bosque de entrada unidireccional
desde el Bosque B. Esta confianza de bosque de
entrada unidireccional permite a los usuarios del
Bosque A tener acceso a recursos ubicados en el
Bosque B. Los miembros de este grupo disponen
del permiso Crear confianza de bosque de
entrada en el dominio raz del bosque.
Este grupo no tiene ningn miembro
predeterminado.
Los miembros de este grupo tienen acceso de
lectura en todos los usuarios y grupos del
dominio.
Este grupo se proporciona para garantizar la
compatibilidad con versiones anteriores en los
equipos con Windows NT 4.0 y anteriores.
De forma predeterminada, la identidad
especial Todos es miembro de este grupo.
Agregue usuarios a este grupo nicamente si
se ejecutan en Windows NT 4.0 o versiones
anteriores.
los miembros de este grupo pueden iniciar
sesiones interactivas, crear y eliminar recursos
compartidos, iniciar y detener varios servicios,
hacer copias de seguridad y restaurar archivos,
formatear el disco duro y apagar el equipo.
Este grupo no tiene ningn miembro
predeterminado.
Dado que este grupo tiene mucha importancia
para los controladores de dominio, agregue los
usuarios con cautela.

Grupos en el contenedor Usuarios


La siguiente tabla describe cada grupo predeterminado del contenedor
Usuarios y los derechos asignados a cada usuario.
- 237 -

Windows Server 2003


Controladores de
dominio
Invitados del
dominio
Equipos del
dominio

Administradores
del dominio

Administradores
de organizacin
(slo aparece en
el dominio raz
del bosque)

Propietarios del
creador de
directivas de
grupo

Divisin Empresas

Este grupo contiene todos los controladores


del dominio.
Este grupo contiene todos los invitados del
dominio.
Este grupo contiene todas las estaciones de
trabajo y los servidores unidos al dominio.
De forma predeterminada, todas las cuentas
de equipo creadas pasan a ser miembros de este
grupo automticamente.
Los miembros de este grupo controlan el
dominio por completo.
De forma predeterminada, este grupo pasa a
ser miembro del grupo Administradores en todos
los controladores, estaciones de trabajo y
servidores miembro del dominio en el momento
en que se une al dominio.
De
forma
predeterminada,
la
cuenta
Administrador es miembro de este grupo. Puesto
que el grupo controla el dominio por completo,
agregue los usuarios con cautela.
Los miembros de este grupo controlan por
completo todos los dominios del bosque.
De forma predeterminada, este grupo es un
miembro del grupo Administradores en todos los
controladores de dominio del bosque.
De
forma
predeterminada,
la
cuenta
Administrador es miembro de este grupo. Dado
que este grupo controla el bosque por completo,
agregue los usuarios con cautela.
Los miembros de este grupo pueden modificar
la Directiva de grupo en el dominio.
De
forma
predeterminada,
la
cuenta
Administrador es miembro de este grupo.Como
este grupo tiene una autoridad considerable en
el dominio, sea prudente al agregar usuarios.

Los siguientes tambin son grupos predefinidos que los ingenieros en


sistemas podran utilizar para administrar grupos.
Administradores de esquema (slo aparece en el dominio raz del
bosque)
DnsAdmins (instalado con DNS)
DnsUpdateProxy (instalado con DNS)
Publicadores de certificados
Servidores RAS e IAS
- 238 -

Windows Server 2003

Divisin Empresas

- 239 -

Windows Server 2003

Divisin Empresas

Cuando utilizar los grupos predeterminados


Utilizando grupos predeterminados
Los grupos predeterminados ayudan a controlar el acceso a los recursos
compartidos y delegar roles especficos de administracin del dominio. A
algunos grupos predeterminados les son asignados automticamente a
un conjunto de derechos de usuarios que autorizan a los miembros del
grupo a realizar acciones especficas en un dominio, como es iniciar
sesin en un sistema local o respaldar archivos y carpetas.
Cuando usted agrega un usuario un grupo, el usuario recibe todos los
derechos de usuario asignados al grupo y todos los permisos asignados
al grupo para cualquier recurso compartidos.
Una buena medida de seguridad, es recomendar que los miembros de
grupos predeterminados con acceso administrativo utilicen el comando
Ejecutan para realizar tareas administrativas.

Consideraciones de seguridad para grupos


predeterminados
Slo coloque a un usuario en un grupo predeterminado cuando est
seguro que desea darle al usuario:
Todos los derechos de usuario asignados al grupo.
Todos los permisos asignados al grupo para cualquier recurso
compartido asociado al grupo predeterminado.
Por lo tanto, crear un nuevo grupo de seguridad y asignar al grupo slo
aquellos derechos de usuario o permisos que el usuario requiera.
Una buena medida de seguridad es que, los miembros de grupos
predeterminados que tienen acceso administrativo no deberan realizar
inicios de sesin interactiva utilizando credenciales administrativas. En
cambio, los usuarios con este nivel de acceso deberan utilizar el
comando Ejecutan.

- 240 -

Windows Server 2003

Divisin Empresas

Grupos de sistema
Introduccin
Usted no puede cambiar la membresa de los grupos de sistema. El
sistema operativo los crear y usted no puede cambiarlos ni
administrarlos. Esto es importante para comprender los grupos de
sistema, porque usted puede utilizarlos para propsitos de seguridad.
Definicin
Los servidores con Windows Server 2003 incluyen algunas
identificaciones especiales en adicin a los grupos en el contenedor
Users y Builtin. Por conveniencia, estas identificaciones son
generalmente referenciadas como grupos de sistema.
Los grupos de sistema representan diferentes usuarios en diferentes
ocasiones, dependiendo de las circunstancias. Aunque puede asignar
derechos de usuarios y permisos a los grupos de sistema, no puede
modificar o ver su membresas.
El mbito de grupos no se aplica a los grupos de sistema. Los usuarios
son asignados automticamente a los grupos de sistema si inician sesin
utilizan un recurso particular.
Grupos de sistema
La siguiente tabla describe los grupos de sistema.
Grupo
Descripcin
Inicio de sesin El grupo de sistema inicio de sesin annimo
annimo
representan usuarios y servicios que acceden a una
computadora y sus recursos a travs de la red sin
utilizar una cuenta, contrasea o nombre de
dominio.
En computadoras con Windows NT y anteriores, el
grupo inicio de sesin annimo es un miembro de
grupo Todos por omisin.
En computadoras con un miembro de la familia
Windows Server 2003, el grupo inicio de sesin
annimo
no
es
un
miembro
del
grupo
predeterminado Todos. Si desea crear un archivo
compartido para un usuario annimo, asigne
permisos a el grupo inicio de sesin annimo
Todos
El grupo de sistema Todos representan todos los
usuarios actuales de la red, incluyendo invitados y
usuarios de otros dominios. Cuando un usuario
inician sesin en la red, el usuario es
automticamente agregado al grupo Todos.
- 241 -

Windows Server 2003

Red

Interactivo

Usuarios
Autentificados

Creator Owner

Divisin Empresas

Si la seguridad no es una preocupacin para un


grupo especfico en su dominio, puede asignar
permisos al grupo Todos. Por lo tanto, como el grupo
inicio de sesin annimo puede ser un miembro en
el grupo Todos, no es recomendable que utilice este
grupo para asignarle permisos de slo lectura.
El grupo de sistema Red representa los usuarios que
estn accediendo y utilizando los recursos de la red,
es opuesto a los usuarios que acceden a recursos
con un inicio de sesin local en la computadora
donde est localizado el recurso. Cuando un usuario
accesa a un recurso de la red, el usuarios
automticamente agregado al grupo red.
El grupo de sistema Interactivo representa a todos
los usuarios que iniciaron sesin en alguna
computadora en particular y accesan a los recursos
localizados en esa computadora, es opuesto a los
usuarios quienes accesan a los recursos sobre la
red. Cuando un usuario accesa a un recurso de la
red el la maquina en la inicio sesin, el usuarios
automticamente agregado al grupo Interactivo.
El grupo de sistema usuarios autentificados
representa a todos los usuarios que estn en Active
Directory. Siempre utilicen el grupo usuarios
autentificados cuando asigne permisos para un
recurso en lugar de utilizar el grupo Todos para
prevenir que los invitados a accedan a los recursos.
El grupo de sistema Creator Owner incluye las
cuentas de usuarios para los usuarios quienes
crearon o tomaron posesin de un recurso. Si un
miembro del grupo administradores crea un recurso,
el grupo administradores es el dueo del recurso.

- 242 -

Windows Server 2003

Divisin Empresas

Discusin en clase: Utilizando grupos predeterminados VS


nuevos grupos creados
Escenario
La empresa tiene arriba de 100 servidores por el mundo. Usted est
asistiendo a una reunin para discutir las tareas que los administradores
deben realizar y cual es el nivel mnimo que necesitan de acceso para
realizar tareas especficas. Tambin debe determinar si puede utilizar
grupos predeterminados o si debe crear grupos y asignar derechos de
usuario especficos y permisos a los grupos para realizar las tareas.
Discusin
Usted debe asignar grupos predeterminados o crear grupos nuevos para
las siguientes tareas. Mencione los grupos que tienen mayores
restricciones de derechos de usuarios para realizar las siguientes
acciones o determine si deber crear un grupo nuevo.
1. Respaldar y restaurar controladores de dominio

2. Respaldar servidores miembro

3. Crear grupos en la unidad organizativa Grupos Comerciantes

4. Iniciar sesin en el dominio

5. Determinar quin necesita acceso de slo lectura al servidor DHCP

- 243 -

Windows Server 2003

Divisin Empresas

6. Determinar que empleados de escritorio necesitan ayuda y


puedan acceder a Escritorios remotos.

7. Determinar quin necesita


computadoras en el dominio

acceso

administrativo

todas

8. Determinar quin necesita acceso a una carpeta compartida


llamada Ventas en un servidor llamado CueSrv2

Sugerencias para administrar grupos


Considere las siguientes sugerencias para administrar grupos:
Crear grupos basados en las necesidades administrativas. Cuando
crea un grupo basado en una funcin del trabajo y otra persona
toma el trabajo, usted slo necesita cambiar la membresa del
grupo. No necesita cambiar todos los permisos que estn
asignados a la cuenta de usuario individual. Esto es, en algunas
ocasiones desventajoso para un grupo que slo tiene un miembro.
Utilice grupos locales para dar acceso a los recursos en una
computadora local cuando la computadora no es miembro de un
dominio.
Si tiene mltiples grupos a los que puede agregar cuentas de
usuarios, a que cuentas de usuarios a los grupos que sean ms
restrictivos. Sin embargo, asegrese que asign los derechos de
usuario y permisos apropiados para que los usuarios puedan
completar cualquier tarea requerida.
Siempre que un grupo predeterminado permite a los usuarios
lograr una tarea, utilice los grupos predeterminados en lugar de
crear un grupo nuevo. Crear grupos slo cuando no haya grupos
predeterminados que cobran los requisitos de derechos de usuario
y permisos.
Utilice el grupo usuarios autentificados en lugar del grupo Todos
para asignar ms derechos de usuario y permisos. Utilizando este
grupo minimiza los riesgos de acceso no autorizado, porque
- 244 -

Windows Server 2003

Divisin Empresas

Windows server 2003 agrega slo cuentas de usuario vlidas a


miembros del grupo de sistema Usuarios Autentificados.
Limite el nmero de usuarios en el grupo administradores. Los
miembros del grupo administradores en una computadora local
tienen Control Total del equipo. Agregue un usuario al grupo
administradores solo si el usuario realizar tareas administrativas.
Su organizacin debe confiar en todo el personal que es miembro
de los grupos administradores, Usuarios avanzados, Operadores
de impresin y Operadores de respaldo. Algunos derechos de
usuario
predeterminados
se asignan a
grupos
locales
predeterminados puede permitir miembros de esos grupos para
ganar derechos adicionales en su computadora, incluyendo
derechos administrativos.

- 245 -

Windows Server 2003

Divisin Empresas

Evaluacin: Crear y administrar grupos


Objetivos
Despus de completar esta prctica, usted ser capaz de:
Crear grupos globales y grupos locales de dominio.
Nombrar grupos de acuerdo a una convencin de nombres.
Agregar miembros a grupos.
Prerrequisitos
Antes de trabajar en esta prctica, deber tener conocimientos de Active
Directory, unidades organizativas, unidades organizativas jerrquicas y
cuentas en Active Directory.
Antes de comenzar sta prctica:
Inicie sesin en el dominio.
Abra la consola MMCPersonal
Asegrese que la consola MMCPersonal contiene Usuarios y
equipos de Active Directory.
Tiempo estimado para completar esta prctica 30 minutos
Ejercicio 1
Creando y administrando grupos
En este ejercicio, crearn grupos locales de dominio y grupos globales,
agregar a miembros a los grupos y anidara grupos.
Escenario
El diseador del Active Directory tiene que terminar la creacin de la
convencin de nombres del grupo. Tiene que darle a usted una lista de
equipos de la empresa para que usted pueda crear los grupos. Algunos
grupos ya han sido creados en su unidad organizativa ciudad, as que
usted debe determinar si los grupos existentes se encuentran dentro de
la convencin de nombres y contienen los usuarios y grupos apropiados.
Deber entonces agregar los usuarios apropiados a los grupos globales.
Todos los grupos debern ser creados en la unidad organizativa
Ublicaciones/ Nombre Computadora/ grupos.
Los siguientes equipos necesitan grupos:
Directores Mercadotecnia
Personal Mercadotecnia
Directores RH
Personal RH
Los diseadores del Active Directory crearon la siguiente convencin de
nombres para grupos:

- 246 -

Windows Server 2003

Divisin Empresas

La primer parte de nombres del grupo define el mbito del grupo


(ejemplo: G para grupo global y DL para grupo local de dominio).
La segunda parte del nombre del grupo define la unidad organizativa
ciudad a la que pertenece el grupo (ejemplo: Cuernavaca).
La tercera parte del nombre del grupo define para quin fue creado el
grupo (ejemplo: Directores Ventas o Personal Ventas.
Si el grupo es local de dominio, la ltima parte del nombre define los
permisos que podr utilizar el grupo.

Tareas
1.
Crear un grupo
global
para
los
siguientes equipos en
la
unidad
organizativa
Ubicaciones/
NombreComputadora
/ Grupos
2.
Buscar
los
usuarios
que
son
directores
y
agregarlos
a
los
grupos globales de
directores

Instrucciones especficas
a.
Directores
Mercadotecnia
(ejemplo:
G
Cuernavaca
Directores
Mercadotecnia)
b.
Personal Mercadotecnia
c.
Directores RH
d.
Personal RH
a.

Buscar todos los Directores de


Mercadotecnia en la ciudad llamada
NombreComputadora y agregarlos al
grupo G NombreComputadora Directores
Mercadotecnia.
b.
Realizar el procedimiento para los
siguientes grupos:
G NombreComputadora Personal
Mercadotecnia
G
NombreComputadora
Directores RH
G NombreComputadora Personal
RH

Buscar todos los usuarios en la


Buscar
los a.
ciudad llamada NombreComputadora y en
usuarios quienes son
el departamento de mercadotecnia y
personal y agregarlos
agregarlos a el grupo G Personal
a los grupos globales
Mercadotecnia.
de personal
b.
Realizar el proceso para cada
grupo global de personal.
4.
Crear un grupo
Crear los siguientes
local de dominio que
grupos locales de dominio:
ser utilizado para

DL NombreComputadora
leer y modificar los
Directores Mercadotecnia Lectura
permisos
de
los

DL NombreComputadora
3.

- 247 -

Windows Server 2003


siguientes equipos en
la
unidad
organizativa
Ubicaciones/
NombreComputadora
/ Grupos.

Divisin Empresas

Personal Mercadotecnia Lectura


DL NombreComputadora
Directores RH Lectura
DL NombreComputadora
Personal RH Lectura
DL NombreComputadora
Directores Mercadotecnia Modificar
DL NombreComputadora
Personal Mercadotecnia Modificar
DL NombreComputadora
Directores RH Lectura
DL NombreComputadora
Personal RH Lectura

Para cada
los a.
grupo local de dominio de directores que
los
fue creado, agregar el grupo global del
de
director apropiado. Por ejemplo: agregar G
NombreComputadora Directores
Mercadotecnia a DL NombreComputadora
Directores Mercadotecnia Lectura y a DL
NombreComputadora Directores
Mercadotecnia Modificar.
b.
Realizar
el
proceso para cada grupo local de dominio
de Directores.
6.
Agregar
al a.
Para cada grupo local de dominio de
personal a los grupos
personal, agregar el grupo global de
locales de dominio.
personal apropiado. Por ejemplo: Agregar
G NombreComputadora Personal
Mercadotecnia a DL NombreComputadora
Personal Mercadotecnia Lectura y el DL
NombreComputadora Personal
Mercadotecnia Modificar.
b.
Realizar el proceso para cada grupo
local de dominio de Personal.
5.

Agregar
directores
a
grupos locales
dominio.

- 248 -

Windows Server 2003

Divisin Empresas

Unidad 9: Administrando accesos a recursos.


Visin general
recursos.

de

administracin

de

accesos

Introduccin
En esta sesin obtendr los conocimientos y habilidades que necesita
para tener acceso a los recursos.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Definir permisos.
Explicar las diferencias entre permisos predeterminados y
permisos especiales.
Explicar las caractersticas de permisos de estados implcitos y
explcitos.

Control de acceso en Microsoft Windows Server 2003


Puntos clave
Los puntos ms importantes se resumen en la siguiente lista:
Seguridad principal
Una seguridad principal es una cuenta que puede ser
autentificada.
Identificador de seguridad (SID)
Un SID es una estructura alfanumrica que es emitida cuando una
cuenta es creada y que nicamente identifica una seguridad
principal.
Lista de control de acceso discrecional (DACL)
Cada recurso es asociado con un DALC, con identificadores que los
usuarios y grupos permitido o denegado el acceso a los recursos.
Control de entrada de acceso (ACE)
Un DACL contiene multiples ACEs. Cada ACE especifica un SID,
permiso especial, informacin heredada y un permiso permitido o
denegado.

Qu son los permisos?


Definicin
Los permisos se definen como el tipo de accesos otorgados en un
usuario, grupo o computadora para un objeto. Por ejemplo, se pude
dejar entrar a un usuario para qu lea el contenido de un archivo, se
puede dejar entrar a un usuario para hacer cambios a un archivo y
prevenir que todos los dems usuarios tengan acceso al mismo. Pueden
establecerse permisos similares en impresoras, de tal manera que

- 249 -

Windows Server 2003

Divisin Empresas

ciertos usuarios puedan configurar la impresora y otros puedan imprimir


nicamente.
Los permisos son tambin aplicados a cualquier objeto, tal como
archivos, objetos en el Active Directory Directory Service y Registry
Objects. Los permisos se pueden otorgar a cualquier usuario, grupo o
computadora.
Puedes otorgar permisos a objetos para:
Grupos, usuarios e identidades especiales en el dominio.
Grupos y usuarios dentro de cualquier relacin de confianza del
dominio.
Grupos locales y usuarios de computadoras en donde reside el
objeto.
Tipos de permisos
Cuando se establecen permisos, se especifica el nivel de acceso para
grupos y usuarios. Los permisos adjuntos al objeto dependen del tipo de
objeto. Por ejemplo, los permisos que son adjuntados al archivo son
diferentes que los que son adjuntados a un registro clave. Sin embargo,
algunos permisos, en otro tipo de objetos son ms comunes. Los
siguientes permisos son los ms comunes:

Permisos para leer.


Permisos para escribir.
Permisos para borrar.

Cules son los permisos estndar y especiales?


Introduccin
A los objetos se les puede otorgar permisos especiales y estndar. Los
permisos estndar son los ms frecuentemente asignados. Los permisos
especiales se proporcionan con un fino grado de control para asignar
accesos a objetos.
Permisos estndar
El sistema tiene un nivel de seguridad por defecto para un conjunto de
objetos. La lista de permisos estndar disponible varia dependiendo del
tipo de objeto al que se le est modificando para ser seguro.
Permisos especiales
La lista de permisos especiales es aun ms detallada. Un sistema de
archivos NTFS estndar con permiso de lectura esta relacionada a los
siguientes permisos especiales:

Lista de carpetas/Lectura de datops.


- 250 -

Windows Server 2003

Divisin Empresas

Atributos de lectura.
Atributos de lectura extendida.
Permisos de lectura.

Si el administrador del sistema remueve un permiso especial que est


relacionado a un permiso estndar, el cuadro de activacin para el
permiso estndar no es una seleccin tan larga. Si el cuadro de
activacin se activa para un permiso especial debajo de un permiso
estndar la lista se selecciona.

Administrando acceso a carpetas compartidas.


Introduccin
Windows 2003 Server organiza archivos dentro de directorios que son
representados grficamente como carpetas. Estas carpetas contienen
todo tipo de archivos y pueden contener subcarpetas. Algunas de estas
carpetas son reservadas para archivos del sistema operativo y archivos
de programa. Los usuarios nunca debern cambiar de lugar algn dato
de la carpeta del sistema operativo o la carpeta de archivos de
programa.
Dentro de una red los usuarios tienen acceso a las carpetas
compartidas.
Los usuarios pueden concertarse a las carpetas
compartidas dentro de una red para acceder a las carpetas y archivos
contenidos dentro de estas. Las carpetas compartidas pueden contener
aplicaciones, datos pblicos o datos personales de usuarios. Usando
aplicaciones compartidas la administracin de carpetas puede ser el
centro de una instalacin y mantenimiento de aplicaciones en un
servidor en lugar de una computadora cliente.
Usando datos de
carpetas compartidas suministradas en una localizacin central para
usuarios se puede accesar a estos archivos comunes ms fcilmente y
hacer el respaldo de datos contenidos en estos archivos.
Objetivos de la sesin
Despus de terminar esta sesin, podr:
Explicar que son las carpetas compartidas.
Explicar que es la administracin de carpetas compartidas.
Identificar los requerimientos para compartir carpetas.
Crear una carpeta compartida.
Explicar que es la publicacin de carpetas compartidas.
Publicar una carpeta compartida.
Explicar cuales son los permisos de carpetas compartidas.
Conjunto de permisos en una carpeta compartida.
- 251 -

Windows Server 2003

Divisin Empresas

Conectarse a una carpeta compartida.

- 252 -

Windows Server 2003

Divisin Empresas

Qu es una carpeta compartida?


Introduccin
Una carpeta compartida es cuando una carpeta esta hecha para ser
accesible a mltiples usuarios simultneamente dentro de una red.
Despus de que una carpeta se comparte, los usuarios pueden accesar a
todos los archivos y subcarpetas dentro de la carpeta compartida si es
que tiene algn permiso otorgado.
Puedes compartir carpetas dentro de un servidor o tambin dentro de
cualquier computadora conectada a la red. Puedes almacenar archivos
en carpetas compartidas segn sus categoras o funciones. Por ejemplo,
puedes cambiar de lugar archivos de datos de una carpeta compartida y
compartir archivos de aplicacin en otra.
Caractersticas de las carpetas compartidas
Algunas de las caractersticas ms comunes de las carpetas compartidas
son las siguientes:

Una carpeta compartida aparece en el explorador de Windows


como un icono con una mano sosteniendo la carpeta.
nicamente puedes compartir carpetas, no archivos individuales.
Si mltiples usuarios necesitan accesar al mismo archivo, tendrs
que mover el archivo a una carpeta y compartirla.
Cuando una carpeta esta compartida, el permiso de lectura se
otorga a todos los grupos como un permiso por defecto. Remueve
el permiso por defecto y otorga el de cambios o lectura para
grupos que necesiten ese tipo de permisos.
Cuando usuarios o grupos se agregan a una carpeta compartida, el
premiso por defecto es de lectura.
Cuando copias una carpeta compartida, la carpeta compartida
original queda compartida, pero la copia no. Cuando la carpeta
compartida se mueve de un lugar a otro la carpeta no se pasa
compartida.
Puede ocultar una carpeta compartida si pones un signo de ($)
despus del nombre de la carpeta compartida. El usuario no puede
ver la carpeta compartida en la interfaz de usuario, pero un
usuario puede accesar a una carpeta compartida escribiendo el
nombre en la Convencin Universal de nombres (UNC), por
ejemplo, \\server\secrets$

- 253 -

Windows Server 2003

Divisin Empresas

Qu es la administracin de carpetas compartidas?


Introduccin
Windows 2003 Server automticamente comparte carpetas para
habilitar el funcionamiento de tareas administrativas, son designadas
por un signo de ($) que se agrega al final del nombre de la carpeta. El
signo de ($) oculta la carpeta compartida de aquellos usuarios que
exploran mis sitios de red en una computadora. Los administradores
pueden rpidamente administrar archivos y carpetas en servidores
remotos utilizando esas carpetas compartidas ocultas.
Tipos de administracin en carpetas compartidas
Por defecto, miembros del grupo de administradores tienen el control
completo de permisos para administrar carpetas compartidas. El usuario
no puede modificar el permiso para la administracin de carpetas
compartidas ocultas.
La siguiente tabla describe el propsito de
administrar carpetas compartidas que Windows 2003 Server suministra
automticamente.
Carpeta
Compartid Propsitos
a
C$, D$, E$ Se utilizan estas carpetas compartidas para conectarse
remotamente a una computadora y as se pongan en
funcionamiento las tareas administrativas. La ruta de cada
particin (la letra que se le signa al drive) en un disco duro
es automticamente compartida. Cuando se conecta a esta
carpeta, se tiene acceso de toda la particin completa.
admin$

Esta es la carpeta raz del sistema, la cual se localiza en


C:\Winnt por defecto. Los administradores pueden accesar
a esta carpeta compartida para administrar Windows 2003
Server sin saber en donde se encuentra instalada la
carpeta.

Print$

Esta carpeta permite el acceso a los archivos de la


impresora para las computadoras clientes. Cuando se
instala la primera impresora compartida, la carpeta
Systemroot\ System32\ Spool\ Drivers esta compartida
como Print$, solo los miembros del grupo de
administradores, Operadores del Servidor y operadores de
impresin tienen el permiso de control total para esta
carpeta. El grupo Todos tiene permiso de lectura para esta
carpeta.

IPC$

Esta carpeta es usada durante una administracin remota


- 254 -

Windows Server 2003

FAX$

Divisin Empresas

de una computadora y cuando una computadora contienen


recursos compartidos.
Esta carpeta compartida es utilizada para guardar los
archivos temporales y cubrir pginas en el servidor.

Quin puede acceder a carpetas compartidas?


Introduccin
En Windows 2003 Server, los nicos grupos que pueden acceder a las
carpetas compartidas son los grupos de administradores, Operadores del
Servidor y usuarios Avanzados, Estos grupos son grupos integrados que
se ubican en la carpeta Group, dentro de Administracin de equipos o
los construyen en una carpeta dentro de Usuarios y Grupos de Active
Directory.
Grupos que pueden acceder a carpetas compartidas
La siguiente tabla describe quienes pueden acceder a carpetas
compartidas.
Para compartir carpetas
Dentro de un controlador
de
Dominio en Windows 2003
Server

Puede ser un miembro de:


Los administradores o el grupo
Operadores del Servidor.

En un Servidor
Independiente o Servidor
Miembro ejecutando
Windows 2003 Server.

Los administradores o el grupo Usuarios


Avanzados.

de

Nota: El grupo de Usuarios Avanzados


puede compartir carpetas en un Servidor
Miembro dentro del dominio de Windows
2003 Server.

Cmo crear una carpeta compartida?


Introduccin
Cuando se crea una carpeta compartida, se le tiene que dar un nombre
y proporcionar un comentario que describa el contenido de la carpeta.
Tambin se puede limitar el nmero de usuarios que pueden tener
acceso a la carpeta, otorgar permisos y compartir la misma carpeta
varias veces.
Procedimiento utilizando Administracin de equipos
Para crear una carpeta compartida utilizando Administracin de equipos:

- 255 -

Windows Server 2003

Divisin Empresas

1. En Administracin de equipos, dentro de la consola de rbol,


expandir
Carpetas compartidas y clic en Recursos
Compartidos.
2. En el men Accin, clic en Nueva carpeta compartida.
3. Sigua los pasos en el asistente para compartir carpetas.

- 256 -

Windows Server 2003

Divisin Empresas

Procedimiento utilizando el explorador de Windows


Para crear carpetas compartidas usando el explorador de Windows:
1. En el explorador de Windows, clic derecho en la carpeta, clic
Compartir y seguridad.
2. Dentro del cuadro de dialogo Propiedades, en la etiqueta
Compartir, configure las opciones descritas en la siguiente tabla:
Opcin
Descripcin
Compartir
esta Clic para compartir la carpeta
carpeta.
Compartir nombre.
Inserta el nombre de la carpeta compartida que el
usuario remoto usar para conectarse desde una
computadora. Por defecto el nombre de la carpeta
compartida es el nombre de la carpeta. Esta
opcin es obligatoria.
Nota: Algunas computadoras cliente que se
conectan a una carpeta compartida solo pueden
ver un nmero limitado de caracteres.
Descripcin.

Inserta una descripcin de la carpeta compartida,


es opcional. Se puede utilizar este comentario
para identificar el contenido de la carpeta
compartida.

Limite de usuarios.

Inserta el nmero de usuarios que pueden


conectarse simultneamente a la carpeta
compartida. Esta opcin no es requerida si das
un clic en Mximo permitido. Actualmente el
sistema operativo de clientes Windows soporta
hasta 10 conexiones simultneamente.

Permisos.

Clic para el conjunto de permisos en una carpeta


compartida que se aplica solamente cuando se
accede a la carpeta dentro de la red. Esta opcin
no es requerida. Por defecto, al grupo Todos se le
otorga el permiso de lectura para todos las
carpetas compartidas por primera vez.

- 257 -

Windows Server 2003

Divisin Empresas

Qu es la publicacin de carpetas compartidas?


Definicin
La publicacin de recursos y carpetas comprimidas dentro del Active
Directory permite a los usuarios buscar en el Active Directory y localizar
recursos en la red si es que la localizacin fsica de los recursos cambia.
Por ejemplo, si se mueve una carpeta compartida a otra computadora,
todos los accesos directos del objeto que representa a la carpeta
compartida publicada en el Active Directory continua para poder
trabajar, ya que se actualiza su referencia de localizacin fsica. Los
usuarios no tienen las actualizaciones de sus conexiones.
Publicando la carpeta
Se puede publicar cualquier carpeta dentro del Active Directory que
puede ser accesada usando un nombre UNC. Despus de que una
carpeta compartida se publica, un usuario que este ejecutando Windows
2003 Server en su computadora puede usar el Active Directory para
localizar el objeto representativo a la carpeta compartida y la conexin a
la misma.
Cuando la carpeta compartida se publica en el Active Directory, esta
llega a ser un objeto hijo de una computadora. Para ver carpetas
compartidas como un objeto, en Usuarios y equipos de Active Directory,
en el men Ver, clic en
Usuarios, Grupos, y equipos como
contenedores. Entonces, en la consola rbol, clic en la cuenta de
equipo.
Dentro del panel de detalles, vera todas las carpetas
compartidas publicadas que estn asociadas con la cuenta de equipo.

Cmo se publica una carpeta compartida?


Introduccin
La informacin acerca de los recursos que se publican en la red dentro
del Active Directory, se hace mucho ms fcil de encontrarla para los
usuarios dentro de una red. Se puede publicar informacin acerca de
impresoras y carpetas compartidas usando Administracin de
equipos o Usuarios y equipos de Active Directory.

- 258 -

Windows Server 2003

Divisin Empresas

Procedimiento para publicar una carpeta compartida como un


objeto del servidor
Para publicar una carpeta compartida como un objeto del Servidor:
1. En Administracin de equipos, en la consola de rbol, expandir
Carpetas compartidas y clic en Recursos compartidos.
2. Clic derecho en una carpeta compartida, y clic en Propiedades.
3. En el cuadro de dialogo Propiedades, en la etiqueta Publicar,
seleccionar el cuadro de activacin Publicar esta carpeta en el
Active Directory y clic en Aceptar.
Procedimiento para publicar una carpeta compartida a una
unidad organizativa
Para publicar una carpeta compartida a una unidad organizativa:
1. En Usuarios y equipos de Active Directory, en la consola de rbol,
clic derecho en la carpeta donde se quiere agregar una carpeta
compartida, apuntar a Nuevo y clic en Carpeta compartida.
2. Dentro del cuadro de dialogo Nuevo Objeto carpeta
compartida, dentro de la caja Nombre, teclear el nombre de la
carpeta que quieres que los clientes usen.
3. Dentro de la caja Ruta de red, teclea el nombre UNC que quiere
que se muestre en el Active Directory y clic en Aceptar.

Permisos en carpetas compartidas.


Introduccin
Los permisos en carpetas compartidas, se aplican nicamente a los
usuarios que se conectan a travs de una red. El acceso no es
restringido a los usuarios que acceden a esa carpeta compartida dentro
de la computadora en donde se encuentra almacenada. Se pueden
otorgar permisos a carpetas compartidas a cuentas de usuario, grupos y
cuentas de equipos.
Permisos
Los permisos para carpetas compartidas se incluyen a continuacin:
Lectura
El permiso de lectura es el permiso por defecto en una carpeta
compartida y se aplica en el grupo Todos. El permiso de lectura
permite:
o Ver el nombre de archivos y subcarpetas.
o Ver datos de archivos y sus atributos.
o Ejecutar archivos de programa.

- 259 -

Windows Server 2003

Divisin Empresas

Modificar
El permiso de modificar incluye todos los permisos de lectura y se
habilita tambin para:
o Agregar archivos y subcarpetas.
o Cambiar datos en archivos.
o Borrar subcarpetas y archivos.
Control Total
El permiso de control total incluye todos los permisos de lectura y
modificacin y se habilita tambin para cambiar los permisos de
las carpetas y archivos para el sistema de archivos NTFS.

Cmo se establecen permisos en una carpeta compartida?


Introduccin
Utiliza el siguiente procedimiento para establecer permisos en una
carpeta compartida.
Procedimiento usando Administracin de equipos
Para establecer permisos en una carpeta compartida
Administracin de equipos:

utilizando

1. En Administracin de equipos, en consola de rbol, expandir


Carpetas compartidas y clic en Recursos Compartidos.
2. En el panel detalles, clic derecho a la carpeta compartida que se
desea establecer permisos y clic en Propiedades.
3. En el cuadro de dialogo Propiedades, en la etiqueta Permisos
de los recursos compartidos, haga uno de los siguientes
puntos:
o Clic en Agregar para otorgar un permiso a un usuario o grupo
para una carpeta compartida.
En el cuadro de dialogo
Seleccionar usuarios, equipos o grupos, seleccionar o
teclear el nombre de usuario o grupo y clic en Aceptar.
o Clic Quitar para revocar el acceso a una carpeta compartida.
4. Dentro del cuadro Permisos, selecciona el cuadro de activacin
Permitir o Denegar para establecer permisos individuales para
un grupo o usuario seleccionado y clic en Aceptar.

- 260 -

Windows Server 2003

Divisin Empresas

Procedimiento utilizando el explorador de Windows


Para establecer permisos en una carpeta compartida utilizando el
explorador de Windows.
1. En el explorador de Windows, clic derecho en la carpeta
compartida a la que se le desea agregar permisos y clic en
Compartir y seguridad.
2. En el cuadro de dialogo Propiedades, en la pestaa Compartir,
clic en Permisos.
3. En el cuadro de dialogo Permisos, hacer uno de los siguientes
pasos:
a. Clic en Agregar para otorgar permisos a un usuario o grupo
para una carpeta compartida. En el cuadro de dialogo
Seleccionar Usuarios, Equipos o Grupos, seleccione o
escriba el nombre del grupo o usuario y clic en Aceptar.
b. Clic en Quitar para revocar el acceso al recurso compartido.
4. En el cuadro Permisos, selecciona el cuadro de activacin de
Permitir o Denegar para establecer permisos individuales para
un usuario o grupo especifico.

Como conectarse a carpetas compartidas?


Introduccin
Despus de crear una carpeta compartida, los usuarios pueden acceder
a la carpeta a travs de la red. Con Mis sitios de Red los usuarios
pueden acceder a una carpeta compartida o a cualquier otra
computadora utilizando la caracterstica de Conectar a unidad de red,
o con el comando Ejecutar en el men Inicio.
Procedimiento utilizando Mis sitios de red
Para conectarse a una carpeta compartida utilizando Mis sitios de red
1. Abrir Mis sitios de red y dar doble clic en Agregar un sitio de
red.
2. Dentro del asistente de Agregar un sitio de red, en la pgina de
Bienvenida, dar clic en Siguiente.
3. En la pgina Donde desea crear este sitio de red, dar clic en
Elija otra ubicacin de red, y clic en Siguiente.
4. En la pgina Cual es la direccin de este sitio de red, escriba
la ruta UNC de la carpeta compartida o un clic en Examinar.
a. Si da clic en Examinar, entre a Toda la red
b. Entrar en Red de Microsoft Windows
c. Entrar en el dominio y servidor al que se conectar.
d. Clic en la carpeta compartida que se va a agregar y clic en
Aceptar.
5. Clic en Siguiente.
- 261 -

Windows Server 2003

Divisin Empresas

6. En la pgina Desea ponerle nombre a este lugar, teclear el


nombre que tendr en la red y clic en Siguiente.
7. En la pgina de Finalizacin del asistente para agregar sitios
de red, clic en Finalizar.
Nota: Cuando se abre una carpeta compartida en la red, Windows 2003
Server automticamente la agrega a Mis sitios de Red.
Procedimiento utilizando Conectar a unidad de red
Cuando se quiere asociar a una carpeta compartida una letra con un
icono. Esto hace mucho ms fcil referirse a la localizacin de un archivo
dentro de una carpeta compartida. Tambin se pueden utilizar letras
para acceder a carpetas compartidas para las cuales no se puede usar
un path UNC, tal como una carpeta para una aplicacin anterior.
Para conectarse a una carpeta compartida utilizando Mis sitios de red.
1. Clic derecho a Mis sitios de red, y clic en Conectar a unidad de
red.
2. En el cuadro de dilogo Conectar a unidad de red, en el cuadro
Unidad, seleccionar el Drive que se quiere utilizar.
3. En el cuadro Carpeta, escriba el nombre de la carpeta compartida
a la que se quiera conectar o de un clic en Examinar.
4. Para una carpeta compartida que se utilizar peridicamente,
selecciona el cuadro de activacin Conectar de nuevo al iniciar
sesin para conectarse automticamente a la carpeta compartida
cada vez que se inicie sesin.

Practica: Manejando accesos para carpetas compartidas.


Objetivo
En esta prctica, crear una carpeta compartida le otorgar permisos de
lectura y control total para dos grupos separados, y probar los permisos.
Instrucciones
Antes de comenzar sta prctica:
Inicie sesin en el dominio.
Abra la consola MMCPersonal
Asegrese que la consola MMCPersonal contiene Administracin de
equipos (local).
Escenario
Desea crear carpetas compartidas para el departamento de recursos
humanos. El departamento de recursos humanos necesita compartir una
carpeta con la que el personal de recursos humanos tenga permisos de
Control Total y todos los directores de contabilidad tengan acceso de
- 262 -

Windows Server 2003

Divisin Empresas

lectura. Deber crear una carpeta con los permisos apropiados para el
personal de recursos humanos y directores de contabilidad.
Prctica
Crea una carpeta compartida.
Usando Administracin de equipos, crear una carpeta compartida
en su computadora con los siguientes parmetros:
o La carpeta se localizar en D:\
o El nombre de la carpeta es: Reportes RH.
o Seguridad:
Otorgar permisos de Control Total para DL
Comerciantes Personal RH Control Total.
Otorgar permisos de lectura para DL Comerciantes
Directores Contabilidad Lectura.
Quitar el grupo Todos.
Revisar los permisos de lectura de la carpeta compartida.
1. Inicia sesin como Director Contabilidad con la contrasea
de P@ssw0rd.
2. Conectarse
a
la
carpeta
comp.
\\NombreComputadora\ReportesRH.
3. Intente crear un archivo de texto dentro de la carpeta Reportes
RH.
No podr crear el archivo de texto dentro de la carpeta
compartida.
Revisar el permiso Control Total de la carpeta compatida.
1. Inicia sesin como UsuarioRH con un la contrasea de
P@ssw0rd.
2. Conctese
a
la
carpeta
comp.
\\NombreComputadora\ReportesRH.
3. Intente crear un archivo de texto dentro de la carpeta Reportes
RH.
Deber poder crear el archivo.

- 263 -

Windows Server 2003

Divisin Empresas

Administrando el acceso a los archivos y carpetas


compartidas utilizando permisos NTFS.
Introduccin
La informacin presentada en esta sesin muestra los conocimientos y
habilidades que usted necesita para administrar el acceso a archivos y
carpetas compartidas utilizando los permisos NTFS.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Explicar que es NTFS.


Explicar cules son los permisos NTFS para archivos y carpeta.
Explicar los efectos en los permisos NTFS cuando copia y mueve
archivos y carpeta.
Explicar que permisos NTFS son heredados.
Explicar las recomendaciones para administrar archivos y carpeta
utilizando permisos NTFS.
Copiar o mover permisos heredados.
Administrar el acceso a los archivos y carpetas utilizando los
permisos NTFS.

Que es NTFS?
Introduccin
NTFS es un sistema de archivos que nota disponible en Windows Server
2003. NTFS proporciona rendimiento y caractersticas que no se
encontraban en FAT (File Allocation Table) o FAT32.
Beneficios de NTFS
NTFS proporciona los siguientes beneficios:

Fiabilidad
NTFS utiliza el registro del archivo e informacin del punto de
control para restaurar la integridad del sistema del archivo cuando
la computadora se reinicia. Si hay un error de sector daado,
NTFS redirecciona dinmicamente el contenido cluster que
contiene el sector daado y lo ubica en un nuevo cluster. NTFS
tambin marca el que usted como inutilizable.

Gran seguridad
NTFS utiliza la Encrypting File System (EFS) para seguridad de
archivos y carpetas. Si EFS es habilitado, los archivos y carpetas
pueden ser encriptados para utilizarse por uno o varios archivos.
- 264 -

Windows Server 2003

Divisin Empresas

Los beneficios de la encriptacin de datos es la confidencialidad e


integridad de datos, lo cual significa que los datos estn
protegidos contra modificaciones accidentales o maliciosas. NTFS
tambin permite configurar los permisos de acceso a un archivo o
carpeta. Los permisos pueden ser de Lectura, Lectura y Escritura o
Denegado.
NTFS tambin guarda una lista de control de acceso (ACL) con
todos los archivos y carpetas en la particin NTFS. La ACL contiene
una lista de todas las cuentas de usuarios, grupos y equipos que
tienen permitido accesar al archivo o carpeta, la ACL puede
contener una entrada, llamada un ACE, para la cuenta de usuarios,
grupo o equipo que el usuario tenga asociado. La ACE permite
especificar todos los tipos de acceso que el usuario requiera para
acceder al archivo o carpeta. Si no existe la ACE en la ACL,
Windows server 2003 no permite al usuario acceder al recurso.

La administracin mejorada de almacenamiento


NTFS soporta cuotas de discos, las cuales permiten especificar su
la cantidad de espacio en disco que el usuario tiene disponible.
Para utilizar cuotas de discos, debe rastrear y controlar el espacio
utilizado y configurar si los usuarios tienen permitido en febrero el
nivel o cuota lmite de almacenamiento.
NTFS soporta archivos ms grandes y un gran nmero de archivos
por volumen que FAT o FAT32. NTFS tambin administra
eficientemente el espacio del disco utilizando clusters de tamao
pequeo. Por ejemplo, un volumen NTFS de 30 GB utiliza clusters
de 4 KB. El mismo volumen formateado con FAT32 utiliza clusters
de 16 KB. Utilizando clusters pequeos se reduce el espacio
desperdiciado en los discos duros.

Permisos mltiples a usuarios


Si usted asigna permisos NTFS a una cuenta de usuario individual
y a un grupo en el cual el usuario pertenece, entonces asigna
mltiples permisos al usuario. Hay reglas para indicar cmo
combinar estos permisos mltiples para producir permisos
efectivos de usuarios.

Permisos NTFS de archivos y carpetas


Introduccin
Los permisos NTFS son utilizados para especificar con que usuarios,
grupos y equipos pueden acceder a archivos y carpetas. Los permisos
NTFS tambin indican que pueden hacer los usuarios, grupos y equipos
con el contenido del archivo o carpeta.
- 265 -

Windows Server 2003

Divisin Empresas

Permisos NTFS de archivos


La siguiente tabla muestra una lista de los permisos NTFS de archivos
que usted puede asignar y el tipo de acceso que proporciona cada
permiso.
Permisos NTFS de
archivos
Control total
Modificar
Lectura y ejecutar
Escribir
Lectura

Permiten al usuario:
Cambiar permisos, tomar posesin y realizar
todas las acciones de los permisos de archivos
NTFS.
Modificar y eliminar el archivo, realizar las
acciones del permiso de escritura y lectura y el
permiso de ejecucin.
Ejecutar aplicaciones y realizar las acciones del
permiso de lectura
Sobrescribir el archivo, cambiar los atributos del
archivo, ver las propiedades y quien es
propietario del archivo.
Leer el archivo, ver las propiedades y quien es
propietario del archivo.

- 266 -

Windows Server 2003

Divisin Empresas

Permisos NTFS de carpetas


Estos permisos controlan el acceso a las carpetas y los archivos y
subcarpetas que estn dentro de esas carpetas. La siguiente tabla
muestra una lista de los permisos NTFS predeterminados de carpetas
que puede asignar y el tipo de acceso que cada permiso proporciona.
Permisos NTFS de Permiten al usuario:
carpetas
Control total
Cambiar permisos, tomar posesin, eliminar
subcarpetas y archivos, y realizar acciones
permitidas por todos los permisos NTFS de
carpetas.
Modificar
Eliminar la carpeta y realizar acciones permitidas
por los permisos de escritura y los permisos de
lectura y ejecucin.
Lectura y ejecucin
Recorrer carpetas y realizar acciones permitidas
por el permiso de lectura y por los permisos de la
lista del contenido de carpetas.
Escritura
Crear nuevos archivos y subcarpetas en la
carpeta, cambiar los atributos de la carpeta y
observar los permisos y propietario de la carpeta.
Lectura
Ver archivos y subcarpetas de la carpeta,
atributos de la carpeta, propietario y permisos.
Lista del contenido Ver los nombres de archivos y subcarpetas de la
de la carpeta
carpeta.

Efectos de los permisos NTFS cuando copia y mueve


archivos en carpeta
Introduccin
Cuando copia o mueve un archivo o carpeta, los permisos pueden
cambiar dependiendo a dnde mueve el archivo o carpeta. Esto es
importante para comprender los cambios que los permisos
experimentan cuando son copiados o movidos.
Efectos cuando copia archivos y carpetas
Cuando copia archivos o carpetas de una carpeta a otra carpeta, o de
una particin a otra particin, los permisos para el archivo o carpeta
pueden cambiar.
Cuando copia un archivo o carpeta los permisos NTFS tienen los
siguientes efectos:
Cuando copia una carpeta o archivo en una misma si, para
particin NTFS, la copia de la carpeta o archivo heredan los
permisos de la carpeta destino.
- 267 -

Windows Server 2003

Divisin Empresas

Cuando copia una carpeta o archivo a una particin NTFS


diferente, la copia de la carpeta o archivo eran los permisos de la
carpeta destino.
Cuando copia una carpeta o archivo a una particin que no es
NTFS, como es una particin FAT, la copia de la carpeta o archivo
pierde sus permisos NTFS, porque una particin que no es NTFS no
soporta los permisos NTFS.

Efectos cuando mueve archivos y carpetas


Para copia archivos y carpetas en una misma particin NTFS o entre
particiones NTFS, deber tener permisos de lectura para la carpeta
fuente y permisos de escritura para la carpeta destino.
Cuando mueve un archivo carpeta, los permisos o pueden cambiar,
dependiendo de los permisos de la carpeta destino. Cuando mueve un
archivo o carpeta en una particin NTFS los permisos tienen los
siguientes efectos:

Cuando mueve una carpeta o archivo en la misma particin NTFS,


la carpeta o el archivo retiene sus permisos originales.
Cuando mueve una carpeta o archivo a una particin NTFS
diferente, la carpeta o archivo hereda los permisos de la carpeta
destino. Cuando mueve una carpeta o archivo entre particiones,
Windows Server 2003 copia la carpeta o archivo a la nueva
ubicacin y es la elimina de su ubicacin original.
Cuando mueve una carpeta o archivo a una particin que no es
NTFS, la carpeta o archivo pierde sus permisos NTFS, porque las
particiones que no son NTFS no soportan este tipo de permisos.

Para mover archivos y carpetas en una particin NTFS o entre


particiones NTFS, usted deber tener los permisos de escritura para la
carpeta destino y los permisos de modificar para la carpeta o archivo
fuente. El permiso Modificar es necesario para mover una carpeta o
archivo, porque Windows Server 2003 remueve la carpeta o archivo de
la carpeta fuente despus de copiar en la carpeta destino.

- 268 -

Windows Server 2003

Divisin Empresas

Efectos cuando copia y mueve en volmenes


La siguiente tabla muestra una lista de las posibles opciones de copiar y
mover y describe como Windows Server 2003 asigna el estado de
compresin de un archivo o carpeta.
Accin
Copiar un archivo o carpeta en un
volumen
Mover un archivo o carpeta en un
volumen
Copiar un archivo o carpeta entre
volmenes
Mover un archivo o carpeta entre
volmenes

Resultado
Hereda el estado de compresin de
la carpeta destino.
Retiene el estado de compresin
original de la fuente
Hereda el estado de compresin de
la carpeta destino.
Hereda el estado de compresin
del archivo o carpeta fuente.

Qu es la herencia de permisos NTFS?


Definicin
Por omisin, los permisos que usted asigna a la carpeta padre son
heredados a las subcarpetas y archivos que contienen la carpeta padre.
Cuando usted que archivos y carpetas, y cuando se prometa una
particin con NTFS, Windows Server 2003 automticamente asigna los
permisos NTFS predeterminados.
Controlando la herencia de permisos
Usted puede evitar la herencia de permisos a subcarpetas y archivos
que tiene la carpeta padre. Cuando desde evitar la herencia de
permisos, puede tambin:

copiar los permisos heredados de la carpeta padre.


Eliminar los permisos heredados y conservar slo los permisos que
le fueron asignados.

La carpeta a la que usted previene la herencia de los permisos se vuelve


la nueva carpeta padre, y las subcarpetas y archivos que esta contiene
heredan los permisos asignados a ella.
Porque prevenir la propagacin de permisos?
Los permisos heredados simplifican como asignar permisos a las
carpetas padre, subcarpetas, y recursos. Sin embargo, podran desear
prevenir la herencia de los permisos para que no se propaguen de la
carpeta padre al asunto carpetas y archivos.
Por ejemplo, podran necesitar almacenar todos los archivos del
departamento de ventas en una carpeta llamada Ventas para la cual
todos en el departamento de ventas tengan el permiso de Escritura. Sin
- 269 -

Windows Server 2003

Divisin Empresas

embargo, para algunos archivos en la carpeta, usted podra necesitar


limitar los permisos a Lectura.

Como copiar quitar permisos heredados


Introduccin
Utilice el siguiente procedimiento para copiar o quitar permisos
heredados.
Procedimiento
Para copiar o quitar permisos heredados:
1. En el explorador de Windows, y derechos del archivo carpeta que
desea cambiar los permisos heredados, y clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la etiqueta Seguridad,
clic en Opciones avanzadas.
3. En el cuadro de dilogo Configuracin de seguridad avanzada
para, desactive la casilla llamada Heredar del objeto principal
las entradas de permisos relativas a los objetos
secundarios. Incluirlas junto con las entradas indicadas
aqu de forma explcita.
4. En el cuadro de dilogo Seguridad, clic en una de las siguientes:
Clic en Copiar para copiar los permisos que fueron previamente
aplicados del padre a este objeto Antn
Clic en Quitar para quitar los permisos que fueron previamente
aplicados del padre y guardar slo los permisos asignados
explcitamente.
5. En el cuadro de dilogo Configuracin de seguridad avanzada
para, clic en Aceptar.
6. En el cuadro de dilogo Propiedades, clic en Aceptar.

Sugerencias para administrar el acceso


carpetas utilizando permisos NTFS

archivos

Sugerencias
Cuando administren el acceso a archivos y carpetas, considere las
siguientes sugerencias cuando otorgue permisos NTFS:
Otorgue permisos a grupos en lugar de usuarios. Porque esto es
ineficiente para administrar cuentas de usuarios directamente,
evite asignar permisos a un usuario individual.
Utilice Quitar permisos en las siguientes situaciones:
o Para excluir un subconjunto de un grupo que tiene permisos
asignados
o para excluir un permiso cuando ya le asign permisos de
Control total a un usuario o grupo.
- 270 -

Windows Server 2003

Divisin Empresas

Si es posible, no cambia las entradas de permisos


predeterminados para archivos del sistema, particularmente en
carpeta del sistema y carpetas raz. Cambiando los permisos
predeterminados puede causar problemas de acceso inesperados
o reducir la seguridad.
Nunca quite el grupo Todos para acceder un objeto. Si usted quita
Todos a un objeto, le quita el acceso a los administradores.
Asigne permisos al objeto ms alto del rbol para que la
configuracin de seguridad ser propagada a lo largo del rbol
puede fcilmente y efectivamente asignar permisos a todos los
hijos por sus rboles de un objeto padre. Haciendo esto, afecta a
ms objetos con menor esfuerzo. Asigne permisos que ser
adecuados para la mayora de los usuarios, grupos y equipos.
Para simplificar la administracin, agrupe los archivos de acuerdo
a su funcin, por ejemplo:
o Agrupe archivos de programas dentro de carpetas donde
comnmente utiliza aplicaciones resguardadas.
o Agrupe en una carpeta las carpetas de datos que contienen
Home folders.
o Agrupe en una carpeta archivos de datos que son
compartidos por mltiples usuarios.
Asigne el permiso de Lectura y Ejecucin a los grupos de usuarios
y administradores que utilizan carpetas de aplicaciones. Esto evite
que usuarios o virus borren accidentalmente archivos de
aplicaciones.
Slo asigne a los usuarios el nivel de acceso que ellos requieren
por ejemplo, si un usuario slo necesita leer un archivo, asgnele el
permiso de Lectura para el archivo a l usuario o grupo al cual
pertenece el usuario.
Asigne el permiso de Lectura y Ejecucin y el permiso de Escritura
a grupos de usuarios y el permiso de Modificar al propietario del
grupo. Esto permite a los usuarios modificar los documentos que
otros usuarios crean y para leer, modificar y eliminar los archivos y
carpetas que ellos mismos crean.

Como administrar el acceso a archivos y carpetas utilizando


los permisos NTFS
Introduccin
Utilice el siguiente procedimiento para cambiar
predeterminados y especiales para archivos y carpetas.

los

permisos

Procedimiento para cambiar los permisos predeterminados


1. En el explorador de Windows, clic derecho en el archivo o carpeta
en la cual desea asignar permisos y clic en Propiedades.
- 271 -

Windows Server 2003

Divisin Empresas

2. En el cuadro de dilogo Propiedades, en la etiqueta Seguridad,


realice uno de los siguientes pasos:
Para asignar permisos a un grupo o usuario que no aparece en
el cuadro Nombres de grupos o usuarios, clic en Agregar.
En el cuadro de dilogo Seleccionar usuarios o grupos, en el
cuadro Escriba los nombres de objeto que desea
seleccionar, escriba el nombre del grupo o usuario al que
desea asignar permisos y clic en Aceptar.
Para cambiar o quitar permisos de un grupo existente o usuario,
en el cuadro Nombres de grupo o usuarios, clic en el
nombre del grupo o usuario y realice alguno de los siguientes
pasos:
o para permitir o denegar permisos, en el cuadro Permisos
de, seleccionar la casilla Permitir o Denegar.
o Para quitar el grupo usuarios del cuadro Nombres de
grupos o usuarios, clic en Quitar.
Procedimiento para cambiar permisos especiales
1. En el explorador de Windows, clic derecho en el archivo o carpeta
en la cual desea asignar permisos especiales y clic en
Propiedades.
2. En el cuadro de dilogo Propiedades, en la etiqueta Seguridad,
clic en Opciones avanzadas.
3. En el cuadro de dilogo Opciones de seguridad avanzada
para, realice alguno de los siguientes pasos:
Para asignar un permiso especial a un grupo adicional o
usuario, clic en Agregar. En el cuadro de dilogo Seleccionar
usuario o grupo, en el cuadro Escriba el nombre de objeto
a seleccionar, escriba el nombre del usuario o grupo y clic en
Aceptar.
Para o ver o cambiar un permiso especial en un grupo o usuario
existente, clic en el nombre de usuario o grupo y clic en
Modificar.
4. En el cuadro de dialogo Entradas de permiso para, active o
desactive la casilla apropiada Permitir o Quitar.
5. En la lista desplegable Aplicar en, clic en las carpetas con
subcarpetas a las que desea aplicar los permisos.
6. Para configurar la seguridad de que no hereden en las subcarpetas
y archivos estos permisos, desactive la casilla Aplicar estos
permisos a objetos y/o contenedores slo dentro de este
contenedor.
7. Clic en Aceptar, en el cuadro de dilogo Configuracin de
seguridad avanzada, clic en Aceptar.

- 272 -

Windows Server 2003

Divisin Empresas

Prctica: administrando el acceso a archivos y carpetas


utilizando permisos NTFS
Objetivo
En esta prctica, administrar el acceso a archivos y carpetas utilizando
permisos NTFS.
Instrucciones
Antes de comenzar esta prctica:
Inicie una sesin en el dominio con una cuenta administrativa.
Revise los procedimientos de esta sesin que describen cmo
realizar esta tarea.

- 273 -

Windows Server 2003

Divisin Empresas

Escenario
La empresa quiere que usted cree una carpeta compartida llamada
Pblica que sea accesible para el departamento de contabilidad y el
departamento de recursos humanos. Todos los empleados necesitaran
acceso a la misma carpeta compartida y podrn navegar a la carpeta
apropiada para sus tareas del trabajo. Usted deber crear las carpetas
representadas en el siguiente diagrama y configurar la carpeta
compartida y sus permisos NTFS:

Publica

Contabilidad

RH

Compartir la carpeta Pblica


1. Crear y compar la carpeta D:\Pblica.
2. Configurar el grupo de usuarios autentificados para que puedan
cambiar los permisos para la carpeta D:\Pblica.
3. Quite el grupo Todos.
Crear las carpetas de acuerdo diagrama
1. Crear la carpeta D:\Pblica\Contabilidad.
2. Crear la carpeta D:\Pblica\HR.

- 274 -

Windows Server 2003

Divisin Empresas

Configurar los permisos NTFS


Quitar todos los permisos heredados en las siguientes carpetas y
aplicar slo los permisos a la carpeta. No deje permisos heredados
a subcarpetas.
Carpeta
D:\Pblica

D:\Pblica\Contabilida
d

D:\Pblica\RH

Grupo

Permisos especiales
NTFS
Usuarios
Recorrer carpetas /
autentificados
Ejecutar archivos
listar carpetas / Leer
NombreComputadora \ datos
Permisos de Lectura
Administradores
DL Comerciantes
Control Total
Personal Contabilidad
Control Total
NombreComputadora \
Administrador
DL Comerciantes
Personal RH Control
Total

Control Total
Control Total

NombreComputadora \ Control Total


Administradores
Revisar los permisos NTFS
1. Iniciar sesin como un usuario de recursos humanos.
2. Pruebe el acceso a \\NombreComputadora\Pblica/Contabilidad.
No debera tener permitido el acceso a la carpeta Contabilidad. Si
puede acceder a la carpeta, cheque que no haya permisos NTFS
asignados a los usuarios autentificados para la carpeta
Contabilidad.
3. Intente conectar en a D:\Publica\Contabilidad.
No debera tener permitido el acceso a la carpeta Contabilidad. Si
puede acceder a la carpeta, cheque que no haya permisos NTFS
asignados a los usuarios autentificados para la carpeta
Contabilidad.
4. Conectarse a\\NombreComputadora\Pblica/RH.
Debera tener permitido el acceso a la carpeta RH. Si no puede
acceder a la carpeta, cheque que el grupo DL Comerciantes
Personal RH Control Total tenga los permisos NTFS Contro Total
asignados a la carpeta RH.
5. Conectarse a D:\Publica\RH.
Debera tener permitido el acceso a la carpeta RH. Si no puede
acceder a la carpeta, cheque que el grupo DL Comerciantes
- 275 -

Windows Server 2003

Divisin Empresas

Personal RH Control Total tenga los permisos NTFS Contro Total


asignados a la carpeta RH.

- 276 -

Windows Server 2003

Divisin Empresas

Determinar permisos efectivos


Introduccin
Si est otorga permisos NTFS a una cuenta de usuario individual y a un
grupo al que el usuario pertenece, entonces usted otorga permisos
mltiples a del usuario. Hay una regla de cmo combinar estos permisos
mltiples NTFS para utilizar los permisos de usuarios con eficacia.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Explicar cules son los permisos NTFS eficaces en archivos y
carpetas.
Determinar eficientemente los permisos NTFS en carpetas y
archivos.
Explicar los efectos de combinar carpetas compartidas y permisos
NTFS.
Determinar permisos efectivos o combinar carpetas compartidas y
permisos NTFS.

Cules son los permisos efectivos NTFS en archivos y


carpetas.
Introduccin
Windows Server 2003 proporciona una herramienta que muestran los
permisos efectivos, los cuales son permisos acumulados basados en la
membresa de un grupo. La informacin es calculada de las entradas de
permisos existentes y son mostradas en un formato de slo lectura.
Caractersticas
Los permisos efectivos tienen las siguientes caractersticas:
Acumular permisos es la combinacin de permisos NTFS
superiores a asignados a del usuario y a todos los grupos de los
que el usuario es miembro de.
Los permisos NTFS de archivos toman prioridad sobre los permisos
de carpetas.
Quitar permisos anula todos los permisos.
Todos los objetos estn contenidos en un volumen NTFS o en el
active Directory. Los controles de propiedad como los permisos son
un conjunto de objetos y para los cuales los permisos son
asignados.
Propietario
Por default, en la familia Windows server 2003, la propiedad es del grupo
administradores. El propietario siempre puede cambiar los permisos en
un objeto, incluso cuando le quitan todo acceso al objeto.
- 277 -

Windows Server 2003

Divisin Empresas

La posesin puede ser tomada por:


Un administrador. Por default, el grupo administradores es quien
Toma posesin de archivos u otros objetos.
Todos o cualquier grupo que tenga el permiso de Tomar posesin
para el objeto en cuestin.
Un usuario quien tiene el privilegio de Restaurar archivos y
carpetas.
La propiedad puede ser transferida en los siguientes casos:
El actual propietario puede otorgar el permiso de Tomar posesin
a otro usuario. El usuario puede tomar posesin para completar la
transferencia.
Un administrador puede tomar posesin.
Un usuario quien tiene el privilegio de Restaurar archivos y
carpetas puede dar doble clic en Otros usuarios y grupos y
seleccionar cualquier usuario grupo para asignar la propiedad.

Discusin en clase: Aplicando permisos NTFS


Introduccin
En este ejercicio, a usted se le presenta un escenario donde se le
cuestiona como aplicar permisos NTFS. Usted y sus compaeros de clase
discutan la posible solucin al escenario.
Discusin
El usuario uno es miembro del grupo Usuarios y del grupo Venta.
1. El grupo Usuarios tienen permisos de Escritura y el grupo Venta
tiene permisos de Lectura para la carpeta1. Que permisos tiene el
usuario1 para la carpeta1?

2. El grupo Usuarios tienen permisos de lectura para la carpeta1. El


grupo Ventas tiene permisos de Escritura para la carpeta2. Qu
permisos tiene el usuario1 para la carpeta2?

3. Al grupo Usuarios se le modificaron los permisos para la carpeta1.


El archivo2 solo ser accesible por el grupo Ventas y slo podrn
- 278 -

Windows Server 2003

Divisin Empresas

leerlo. Cmo puede usted asegurar que el grupo Ventas slo


tenga el permiso de Lectura para el archivo 2?

Como determinar permisos efectivos NTFS en archivos y


carpetas
Introduccin
Utilice el siguiente procedimiento para ver los permisos efectivos para
archivos y carpetas.
Procedimiento
Para ver los permisos efectivos de archivos y carpetas:
1. El explorador de Windows, el derecho en el archivo carpeta para la
cual debe haber los permisos efectivos, y clic en Propiedades.
2. Elenco de dilogo Propiedades, en la etiqueta Seguridad, clic en
Opciones avanzadas.
3. En el cuadro de dilogo Configuracin de seguridad avanzada, en
la etiqueta permisos efectivos, clic en Seleccionar.
4. En el cuadro de dilogo Seleccionar usuario o grupo, en el cuadro
Escriba el nombre de objetos seleccionar, escriba el nombre de un
usuario o grupo y clic en Aceptar.
Las casillas activadas en el cuadro de dilogo Configuracin de
seguridad avanzada indican los permisos efectivos del usuario
grupo para ste archivo carpeta

- 279 -

Windows Server 2003

Prctica: determinar los


archivos y carpetas

Divisin Empresas

permisos

efectivos

NTFS

en

Objetivo
En esta prctica, podr determinar los permisos efectivos NTFS.
Antes de comenzar esta prctica:
Inicie una sesin en el dominio con una cuenta administrativa.
Revise los procedimientos de esta sesin que describen cmo
realizar esta tarea.
Escenario
El director de RH de su ciudad le llam y quiere saber si extienden
permisos
para
crear
documentos
en
la
carpeta
\\NombreComputadora\Pblica\RH y que permisos tiene un usuario
llamado UsuarioTelemarketing en la carpeta RH.
Determinar los permisos efectivos para DirectorRH
1. Navegar hasta \\NombreComputadora\Pblica\RH.
2. Determinar los permisos efectivos para la cuenta de usuario
DirectorRH.
3. Escriba los permisos superiores a asignados a DirectorRH.

Determinar
los
permisos
efectivos
para
el
usuario
UsuarioTelemarketing
1. Navegar hasta \\NombreComputadora\Pblica\RH.
2. Determinar los permisos efectivos para la cuenta de usuario
UsuarioTelemarketing.
3. Escriba los permisos superiores a asignados al usuario
UsuarioTelemarketing.

- 280 -

Windows Server 2003

Divisin Empresas

Efectos de combinar carpetas compartidas y permisos NTFS


Introduccin
Cuando permite el acceso a recursos de la red en un volumen NTFS, es
recomendable que utilice los permisos NTFS ms restrictivos para
controlar el acceso a carpetas y archivos, combinando con los permisos
ms restrictivos de carpetas compartidas que controlan el acceso a la
red.
Qu son los permisos combinados?
Cuando usted crea una carpeta compartida en una particin formato con
NTFS, ambos los permisos de carpeta compartida y los permisos NTFS
combinados aseguran los recursos del archivo. Los permisos NTFS se
aplican si los recursos son accesados localmente o desde la red.
Cuando usted asigne permisos a una carpeta compartida en un volumen
NTFS, aplican las siguientes reglas:
Los permisos NTFS son requeridos en volmenes NTFS. Por
omisin, el grupo Todos tiene permisos de Lectura.
Los usuarios pueden tener los permisos NTFS apropiados para
cada archivo y subcarpeta en una carpeta compartida, en adicin
a los permisos apropiados de la carpeta compartida, para acceder
a esos recursos.
Cuando conviene permisos NTFS y permisos de carpeta
compartida, el resultado es permisos ms restrictivos.

Como determinar los permisos efectivos en combinacin


con permisos NTFS y carpetas compartidas
Introduccin
Utilice el explorador de Windows para ver los permisos efectivos en
carpetas compartidas. Para determinar los permisos efectivos, necesita
primero determinar el mximo NTFS y los permisos de la carpeta
compartida y entonces comparar los permisos.
Procedimiento para determinar permisos NTFS mximos
Para determinar los permisos mximos que un usuario tiene para un
archivo en un volumen NTFS:
1. En el explorador de Windows, localicen el archivo carpeta para el
cuadro desea ver los permisos efectivos.
2. Clic derecho en el archivo carpeta y clic en Propiedades.
3. En el cuadro de dilogo Propiedades, en la etiqueta Seguridad,
clic en Opciones avanzadas.

- 281 -

Windows Server 2003

Divisin Empresas

4. En el cuadro de dilogo Configuracin de seguridad avanzada,


en la etiqueta Permisos efectivos, clic en Seleccionar.
5. En el cuadro de dilogo Seleccionar usuario o grupo, en el
cuadro Escriba el nombre de objetos seleccionar (ejemplo),
escriba el nombre de un usuario o grupo, y clic en Aceptar.
Las casillas seleccionadas indican los permisos mximos que un
usuario grupo tienen para el archivo carpeta.
Procedimiento para determinar los permisos mximos de una
carpeta compartida
Para determinar los permisos mximos que un usuarios tienen para una
carpeta compartida:
1. Abra el cuadro de dilogo Propiedades para la carpeta
compartida.
2. Encuentre los permisos mximos que el usuario tiene para la
carpeta determinando que grupos y usuarios pertenecen a este
Procedimiento para determinar los permisos efectivos
Para determinar los permisos efectivos para una carpeta compartida:
1. Compare los permisos mximos NTFS con los permisos mximos
de la carpeta compartida.
2. Los permisos ms restrictivos para el usuario entre los permisos
mximos NTFS y los permisos de carpeta compartida son los
permisos efectivos.

- 282 -

Windows Server 2003

Divisin Empresas

Prctica: Determinar los permisos efectivos y los permisos


de carpeta compartida
Objetivo
En esta prctica, podr determinar los permisos efectivos NTFS y de
carpeta compartida.
Discusin en clase
La grfica ilustrada en esta pgina tiene dos carpetas compartidas que
contienen carpetas o archivos que tienen asignados permisos NTFS. Mire
cada ejemplo y determine los permisos efectivos del usuario.
1. En el primer ejemplo, la carpeta Usuarios est siendo compartida,
y el grupo Usuarios tienen permisos de Control Total de la carpeta.
Usuario1, Usuario2, y Usuario3 tienen asignados permisos NTFS de
Control Total slo para sus carpetas. Estos usuarios son miembros
de grupo Usuarios.
Pueden los miembros del grupo Usuarios tener Control Total de
todos los home folders en la carpeta Usuarios una vez que se
conectan a la carpeta compartida Usuarios?

2. En el segundo ejemplo, la carpeta Datos ha sido compartida. El


grupo Ventas tiene asignada la carpeta compartida con permisos
de Lectura y permisos NTFS de Control Total para la carpeta
Ventas.
Cules son los permisos efectivos del grupo Ventas cuando ellos
accesan a la carpeta Ventas por medio de la carpeta compartida
Datos?

- 283 -

Windows Server 2003

Divisin Empresas

Administrando el acceso a archivos compartidos


utilizando configuracin de cache
Introduccin
La informacin en esta sesin muestra los conocimientos y habilidades
que usted necesita para manejar el acceso a archivos compartidos
utilizando configuracin de cache.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Explicar que es archivos fuera de lnea.
Explicar cmo los archivos fuera de lnea son sincronizados.
Explicar los modos de configuracin de cache.
Utilizar la configuracin de cache.

Qu son los archivos fuera de lnea?


Definicin
Archivos fuera de lnea es una caracterstica importante de
documentacin administrativa que proporciona al usuario una
consistencia en lnea y acceso a archivos fuera de lnea. Cuando el
cliente se conectan en la red, cualquier cosa que haya sido descargada
al cach local permanece disponible. Los usuarios pueden continuar
trabajando como si an estuvieran conectados a la red. Pueden
continuar modificando, copiando, eliminando.
Desde la perspectiva de los usuarios, el espacio de trabajo aparece
idntico, si estn en o fuera de la red. La seal visual, como son iconos,
mens y Active Directory, permanecen iguales, incluyendo la vista de las
conexiones de unidad de red. Los archivos de red aparecen en la minora
de red y pueden ser alcanzados, copiados, modificados, impresos o
eliminados precisamente como cuando estn en lnea. Cuando usted que
recolecte a la red, los archivos cliente y servidor son automticamente
sincronizados.

- 284 -

Windows Server 2003

Divisin Empresas

Ventajas de utilizar archivos fuera de lnea


Utilizar archivos fuera de lnea tiene las siguientes ventajas:
Soporte para usuarios mviles
Cuando un usuario mvil de la carpeta compartida mientras est
desconectado, el usuario puede an examinara, leer la isla
modificar los archivos, porque se encuentran en el cach en la
computadora cliente. Cuando el usuario se conecta ms tarde al
servidor, el sistema actualiza los cambios con el servidor.

Sincronizacin automtica
Usted puede configurar las polticas de sincronizacin y
comportamiento al ahora que se conectan la red utilizando el
administrador de sincronizacin. Por ejemplo, usted puede
configurar la sincronizacin para que ocurra automticamente
cuando el usuario inicia sesin directamente en la red, pero slo a
peticin del usuario cuando el o ella utilicen una conexin Dial-Up.

Ventajas de rendimiento
Los archivos fuera de lnea proporcionen ventajas de ejecucin
para la red. Mientras est conectado a la red, los clientes pueden
leer los archivos del cach local reduciendo el monto de datos
transferidos en la red.
ventajas de respaldo
los archivos fuera de lnea resuelven un dilema mostrado en las
empresas de hoy en da. Algunas organizaciones incrementan una
poltica de respaldo que requiere que todos los datos del usuario
sean almacenados o administrados en el servidor.
Si usted quiere acceder datos cuando est fuera de lnea, un
mecanismo es necesario para replicar los datos entre la
computadora porttil y el servidor. Algunas organizaciones utilizan
la herramienta portafolios. Otros utilizan archivos batch o replican
los datos manualmente. Con Windows Server 2003, la replicacin
entre el cliente y el servidor es administrar automticamente. Los
archivos pueden ser cesados mientras est fuera de lnea y son
automticamente sincronizados.

Como son sincronizados los archivos fuera de lnea


Introduccin
Un usuario puede configurar un archivo en la red para que este
disponible fuera de lnea, proporciona que los archivos fuera de lnea
estn disponibles para la carpeta en la cual reside el archivo. Cuando los
usuarios configuran archivos para esta disponibles fuera de lnea, los
usuarios trabajan con la versin de la red de los archivos mientras estn

- 285 -

Windows Server 2003

Divisin Empresas

conectados y entonces con una versin almacenada en el cach en de


los archivos cuando no estn conectados a la red unto
Eventos de sincronizacin
Cuando un usuario configuran un archivo para quien est disponible
fuera de lnea, el siguiente evento de sincronizacin ocurre cuando el
usuario se desconectado en la red:

Cuando el usuario se habr recesin en la red, el cliente de


sistema operativo Windows sincroniza los archivos de red con una
copia del archivo en un cach local.
Mientras la computadora est desconectado de la red, el usuarios
trabajan con la copia del archivo en el cach local.
Cuando el usuario otra vez inicia sesin en la red, el cliente de
sistema operativo Windows sincronizacin cualquier archivo fuera
de lnea que el usuario haya modificado con la versin del archivo
en la red. Si el archivo fue modificado en ambos en la red y la
computadora del usuario, el cliente de sistema operativo Windows
muestra al usuario que versin del archivo deca guardar, o el
usuario puede nombrar el archivo y guardar ambas versiones.

Opciones de la configuracin de cach


Introduccin
La configuracin de cache permite utilizar archivos que son
frecuentemente accesados desde una carpeta compartida. Esto es
similar a lo que hace un explorador Web, que guarda en un cach los
sitios Web visitados recientemente. Cuando usted crea una carpeta
compartida en la red, puede especificar la opcin de cach para los
archivos y programas en esa carpeta. Hay tres diferentes opciones de
cach.
Almacenamiento en cach manual de documentos
Cach manual de documentos proporciona el acceso slo para los
archivos y programas que el usuario especifica que estn disponibles.
Esta opcin de cach es ideal para una carpeta compartida que contiene
archivos que algunas personas podran acceder y modificar. Este esta
opcin determinada cuando se configuran una carpeta compartida para
estar disponible fuera de lnea.
Almacenamiento en cach automtico de documentos
Con cach automtico de documentos, todos los archivos y programas
que el usuario abra desde la carpeta compartida estn automticamente
disponibles fuera de lnea. Los archivos que el usuario no abra no estn

- 286 -

Windows Server 2003

Divisin Empresas

disponibles fuera de lnea. Las copias viejas son automticamente


reemplazadas por las nuevas versiones de archivos.

- 287 -

Windows Server 2003

Divisin Empresas

Almacenamiento en cach automtico de programas


Cuando la casilla Permitir almacenar en cach archivos de sta
carpeta compartida es activada, proporciona cach automtico de
programas, lo cual proporciona acceso fuera de lnea a carpetas
compartidas que contienen archivos que no fueron cambiados. Cach
automtico de programas reduce el trfico de la red, porque los archivos
fuera de lnea fueron abiertos directamente. La versin de red no es
accesada en ningn momento, y los archivos fuera de lnea
generalmente inician y se ejecutan ms rpidamente que las versiones
de red.

Como utilizar configuracin de cach


Introduccin
Utilicen el siguiente procedimiento para administrar acceso a archivos
compartidos utilizando configuracin de cach.
Procedimiento utilizando Administracin de equipo
Para configurar las opciones de cach utilizando Administracin de
equipo:
1. En Administracin de equipo, en la consola de rbol, expanda
Carpetas compartidas, y clic en Recursos compartidos.
2. En el panel detalles, clic derecho en el recurso compartidos en el
cual desea configurar el cach y clic en Propiedades.
3. En el paro de dilogo Propiedades, en la etiqueta General, clic en
Configuracin de cach.
4. En el cuadro de dilogo Configuracin de cach, seleccionar la
opcin que desee y clic en Aceptar.
Procedimiento utilizando el explorador de Windows
Para configurar el cach en utilizando el explorador de Windows:
1. En el Explorador de Windows, clic derecho en la carpeta
compartida o unidad en la cual desea configurar el acceso fuera de
lnea y clic en Compartidas y seguridad.
2. En el cuadro de dilogo Propiedades, en la etiqueta compartir,
clic en Configuracin de cach.
3. En el cuadro de dilogo Configuracin de cach, seleccionar la
opcin que desea y clic en Aceptar.

- 288 -

Windows Server 2003

Divisin Empresas

Prctica: Utilizando configuracin de cach


Objetivo
En esta prctica, crear una carpeta compartida y utilizar las diferentes
opciones de cach.
Instrucciones
Iniciar una sesin en el dominio con una cuenta administrativa.
Revisar los procedimientos de esta sesin que describe cmo
realizar esta tarea.
Escenario
El departamento de recursos humanos quiere que usted configure una
carpeta compartida que contiene datos tiles para recursos humanos. La
empresa no quiere que estos datos estn almacenados en cualquier
computadora de escritorio o laptop del personal de recursos humanos.
Crear una carpeta compartida sin cach para documentos de
programas
1. Crear una carpeta compartida en su computadora utilizando los
siguientes parmetros:
Ubicacin de la carpeta: D:\
Nombre de la carpeta: Confidencial RH
Nombre del recurso compartido: Confidencial RH
2. Configure la carpeta compartida con los siguientes permisos:
Asigne Control Total al grupo DL Comerciantes Personal RH
Control Total.
Quite grupo Todos.
3. Configure los permisos NTFS de la siguiente manera:
Quitar todos los permisos NTFS heredados.
Asigne Control Total a DL Comerciantes Personal RH Control
Total.
Asigne Control Total a NombreComputadora\Administradores.
4. Configure las opciones de cach para archivos o programas del
recurso compartido que no estarn disponibles fuera de
lnea.
Escenario
Las polticas corporativas han cambiado y ahora todas las computadoras
deben tener slo particiones NTFS, y todas las laptops de recursos
humanos deben utilizar el EFS de NTFS. Su equipo de seguridad notifica
al departamento de recursos humanos que ahora estn autorizados para
copiar toda la informacin de recursos humanos requerida fuera de
lnea.
- 289 -

Windows Server 2003

Divisin Empresas

Permitir Almacenamiento manual en cach de documentos


Active Almacenamiento manual en cach documentos en la
carpeta Confidencial RH en la configuracin de cach para que
Slo los archivos y programas que los usuarios
especifiquen puedan estar disponibles fuera de lnea.
Escenario
El departamento de recursos humanos utiliza una aplicacin
personalizada basada en Microsoft visual Basic que tiene un solo archivo
ejecutable. Por razones de ejecucin, usted quiere que este archivo se
ejecute desde el disco duro local. Sin embargo, algunas veces esta
aplicacin es actualizada y usted quiere que esta aplicacin sea
automticamente rediseada despus de su actualizacin. Usted decide
poner esta aplicacin en el servidor en la unidad organizativa de su
ciudad y utiliza Almacenamiento automtico en cach de programas.
Crear una carpeta compartida para el departamento de recursos
humanos
1. Crear una carpeta compartida utilizando los siguientes
parmetros:
Ubicacin de la carpeta: D:\
Nombre de la carpeta: App RH
Nombre del recurso compartido: App RH
2. Configure la carpeta compartida con los siguientes permisos:
Asigne Control Total al grupo DL Comerciantes Personal RH
Modificar.
Quite grupo Todos.
3. Configure los permisos NTFS de la siguiente manera:
Asigne el permiso MOdificar a DL Comerciantes Personal RH
Modificar.
Asigne Control Total a NombreComputadora\Administradores.
4. Configure las opciones de cach para todos los archivos y
programas que el usuario abra desde el recurso
compartido estarn automticamente disponibles fuera de
lnea y Optimizado para ejecucin.

- 290 -

Windows Server 2003

Divisin Empresas

Evaluacin: Administrando el acceso recursos


Objetivos
Despus de completar esta prctica, usted ser capaz de:
Crear grupos
Configurar seguridad NTFS
Configurar la seguridad de carpetas compartidas.
Configurar archivos sin conexin.
Instrucciones
Antes de comenzar sta prctica:
Inicie una sesin en el dominio con una cuenta administrativa.
Asegrese que la consola MMCPersonal contiene Administracin de
equipo (Servidor)
Revisar los procedimientos de esta sesin que describen cmo
realizar esta tarea.
Tiempo estimado para completar esta prctica 30 minutos.

- 291 -

Windows Server 2003

Divisin Empresas

Ejercicio 1
Configurando el acceso del personal de manufactura
En este ejercicio, configurar al acceso para el personal de manufactura.
Escenario
Los directores de manufactura en su unidad organizativa ciudad necesita
una carpeta compartida para cientos de documentos especficos. Estos
documentos no son cambiados frecuentemente, pero los directores
necesitan tener permitido agregar, cambiar y eliminar documentos. Ellos
quieren que el personal de manufactura slo lea los documentos, sin
cambiar o eliminar los archivos, y ellos quieren tener permisos de
Modificar.
El personal de manufactura no tienen laptos y no requiere acceso fuera
de lnea a los documentos. Usted deber configurar la seguridad,
configuracin de cach y los permisos para el personal de manufactura.
Tarea
Informacin en detalle
1. Crear
una
Herramienta: Administracin de
carpeta
equipo
compartida.

Nombre del servidor:Servidor

Ruta
de
la
carpeta:
D:\NombreComputadora Manufactura

Nombre del recurso compartido:


NombreComputadora Manufactura

Permisos de la carpeta compartida:


Asignar Control Total al grupo DL
Comerciantes
Directores
Manufactura Control Total
Asignar Lectura a DL Comerciantes
Personal Manufactura Lectura
Quitar Todos
2. Configurar
los
Asignar la extradicin modificar a
permisos NTFS
DL
Comerciantes
Directores
Manufactura Control Total
Asignar Lectura a DL Personal
Manufactura Lectura
Asignar Control Total a
SERVIDOR\administradores
Copiar todos los permisos NTFS
heredados
3. Configurar el
Limpiar la configuracin de cach
cach sin
conexin
- 292 -

Windows Server 2003

Divisin Empresas

- 293 -

Windows Server 2003

Divisin Empresas

Ejercicio 2
Configurar el acceso al personal de mercadotecnia
En este ejercicio, usted configurar el acceso para el personal de
mercadotecnia
Escenario
El departamento de mercadotecnia de la empresa necesita que usted
cree una carpeta compartida que contendr un catlogo electrnico de
archivos. Podran ser cientos de archivos del catlogo electrnico que
cambian frecuentemente, y el personal de mercadotecnia necesita
acceso fuera de lnea a todo el catlogo de archivos. Deber crear una
carpeta compartida, configurar la seguridad, configurar el cach en y los
permisos para el personal de mercadotecnia.
Tarea
1. Crear una
carpeta
compartida.

Informacin en detalle

2. Configurar los
permisos NTFS

3. Configurar el
cach sin
conexin

Herramienta: Administracin de
equipo
Nombre del servidor: Servidor
Ruta de la carpeta:
D:\NombreComputadora mercadotecnia
Nombre del recurso compartido:
NombreComputadora Mercadotecnia
Permisos de la carpeta compartida:
Asignar Control Total al grupo DL
Comerciantes Directores
Mercadotecnia Control Total
Asignar Control Total a
SERVIDOR\administradores
Asignar Modificar a DL Personal
Mercadotecnia Control Total
Asignar Control Total a
SERVIDOR\administradores
Copiar todos los permisos NTFS
heredados
Habilitar la configuracin
automtica de cach

- 294 -

Windows Server 2003

Divisin Empresas

Ejercicio 3
Configure el acceso al personal de contabilidad
En este ejercicio, configurar al acceso para el personal de contabilidad.
Escenario
El departamento de contabilidad de la empresa necesita una carpeta
compartida para las polticas de contabilidad y los procedimientos para
que todos en el departamento puedan cambiar los documentos
compartidos. La mayora del personal de contabilidad utiliza laptops.
Ellos solo necesitan acceso fuera de lnea a las polticas y
procedimientos que ellos abren desde la carpeta compartida. Usted
deber crear grupos y configurar la seguridad, la configuracin de
cach, y los permisos para el personal de contabilidad.
Tarea
1. Crear una
carpeta
compartida.

Informacin en detalle

2. Configurar los
permisos NTFS

3. Configurar el
cach sin
conexin

Herramienta: Administracin de
equipo
Nombre del servidor: Servidor
Ruta de la carpeta:
D:\NombreComputadora Contabilidad
Nombre del recurso compartido:
NombreComputadora Contabilidad
Permisos de la carpeta compartida:
Asignar Control Total al grupo DL
Comerciantes Personal Contabilidad
Control Total
Asignar Control Total a
SERVIDOR\administradores
Asignar Modificar a DL Personal
Contabilidad Control Total
Asignar Control Total a
SERVIDOR\administradores
Copiar todos los permisos NTFS
heredados
Habilitar el cach para archivos que
los usuarios abren desde la carpeta
compartida

- 295 -

Windows Server 2003

Divisin Empresas

Unidad 10: Implementando la impresin


Introduccin a la impresin en la familia de servidores
de Windows 2003
Introduccin
La familia de servidores de Windows 2003 le facilita al administrador la
tarea de instalar la impresin en red y configurar los recursos desde la
estacin central. Usted puede tambin configurar las computadoras
cliente corriendo Microsoft Windows 95, Microsoft Windows 98 o
Microsoft Windows NT.
Antes de instalar la impresin en Windows Server 2003, usted debe
aprender los trminos usados y de cmo la impresin funciona en el
ambiente de Windows Server 2003.
Objetivos de la sesin:
Al terminar la sesin, usted ser capaz de:

Explicar la terminologa de impresin


Describir las computadoras cliente que pueden imprimir en servidores
que tienen Windows Server 2003 instalado.
Explicar como la impresin funciona en un ambiente de Windows
Server 2003.

Tipos de cliente que pueden imprimir en Servidores con


Windows Server 2003
Introduccin
Las computadoras cliente pueden acceder a la impresora
inmediatamente despus de que el administrador agrega la impresora al
servidor de impresin.
Computadoras cliente que pueden imprimir en Windows Server
2003
Un servidor de Impresin corriendo Windows Server 2003 soporta los
siguientes clientes:

Clientes Microsoft

Todos los clientes 16 bit corriendo Windows y los clientes que corren MSDOS requieren controladores de impresora de 16 bits en cada cliente.
Los controladores necesarios son descargados a clientes de Windows de
32 y 64 bits.

- 296 -

Windows Server 2003

Divisin Empresas

Clientes NetWare

Los clientes NetWare requieren que los servicios de archivo e impresin


de Microsoft para NetWare estn instalados en el servidor con Windows
Server 2003. Tambin requieren que transporte compatible con
Internetwork Packet Exchange / Sequenced Package Exchange (IPX/
SPX) est instalado en el servidor de impresin y en cada cliente.

Clientes Macintosh

Los clientes Macintosh requieren que los servicios de Impresin de


Microsoft para Macintosh estn instalados en el servidor de impresin
corriendo Windows Server 2003. Tambin requieren que el transporte de
protocolo de red Appletalk est instalado en el servidor de impresin y
en cada cliente.

Clientes UNIX

Los clientes UNIX requieren que los servicios de Impresin de Microsoft


estn instalados en el servidor de impresin corriendo Windows 2003
Server. Los cliente UNIX que soportan la especificacin Line Printer
Remote (LPR) se conectan al servidor de impresin por medio del
servicio Line Printer Daemon (LPD).
Clientes que dan soporte al protocolo de Impresin de Internet
(IPP) 1.0
Cualquier cliente que soporte IPP 1.0 puede imprimir en un servidor
corriendo Windows 2003 Server por medio del Hypertext Transfer
Protocol (http). Los clientes que soportan IPP son los clientes corriendo
Windows 95, Windows 98 o Windows Server 2003. Usted debe instalar
Microsoft Internet Information Services (IIS) o Microsoft Peer Web
Services (PWS) en la computadora corriendo Windows Server 2003.

- 297 -

Windows Server 2003

Divisin Empresas

Cmo funciona la impresin en un Ambiente Windows


Server 2003
Introduccin
Cuando usted agrega una impresora que est conectada a una red a
travs de un adaptador de red, puede implementar la impresin de una
de las siguientes maneras:

Agregar una impresora directamente a la computadora de cada


usuario sin utilizar un servidor de impresin.
Agregar la impresora una vez al servidor de impresin y despus
conectar cada usuario a la impresora por medio del servidor.

Imprimir sin utilizar un servidor de Impresin


Suponga que un pequeo grupo tiene unas pocas computadoras y u una
impresora que est conectada directamente a la red. Cada usuario en la
red agrega la impresora a su carpeta de impresoras y faxes sin
compartir la impresora y realiza su propia configuracin de
controladores.
Esta configuracin tiene las siguientes desventajas:

Los usuarios no conocen el estado actual de la impresora.


Cada computadora tiene su propia cola de impresin que muestra
solo aquellos trabajos de impresin enviados desde esa
computadora.
Usted no puede determinar donde est su trabajo de impresin en
relacin con los trabajos de impresin de las otras computadoras.
Los mensajes de error tales como bandeja de papel vaca o papel
atorado aparecen solamente en la cola de impresin para el
trabajo de impresin actual.
Todos los procesos en el documento enviados para imprimir estn
hechos en esa misma computadora.

Imprimiendo con un servidor de Impresin


Una computadora corriendo Windows Server 2003 funciona como un
servidor de impresin. La computadora agrega la impresora y la
comparte con otros usuarios. Una computadora que corre Microsoft
Windows XP Professional puede tambin funcionar como un servidor de
impresin. Sin embargo, no puede dar soporte a servicios Macintosh o
NetWare y est limitada a slo 10 conexiones en la misma Red de rea
Local.

- 298 -

Windows Server 2003

Divisin Empresas

Imprimiendo con un servidor de impresin presenta las siguientes


ventajas:

El servidor de impresin administra la configuracin de los


controladores de la impresora.
Una sola cola de impresin aparece en cada computadora
conectada a la impresora, permitiendo a cada usuario ver donde
se encuentra su trabajo en relacin con los otros.
Debido a que los mensajes de error aparecen en todas las
computadoras, todos saben el estado de actual de la impresora.
Una parte de la tarea de procesamiento es transmitida de la
computadora cliente al servidor de impresin.
Usted puede tener un solo log para los administradores que
quieran auditar los eventos de la impresora.

Nota:
Normalmente, los servidores de impresin estn implementados en
servidores que tambin llevan a cabo otras funciones.

Instalando y Compartiendo Impresoras


Introduccin
Los usuarios generalmente imprimen en una impresora local conectada
a su computadora. Sin embargo, en un ambiente de negocios, las
computadoras cliente imprimen en un servidor de impresin
centralizado que redistribuye los trabajos de impresin a un dispositivo
de impresin. Por medio del servidor de impresin, los administradores
de la red pueden administrar desde un punto todas las impresoras y
dispositivos de impresin.
Objetivos de la sesin
Tras completar esta sesin, usted ser capaz de:
Explicar las diferencias entre imprimir en una impresora local e
imprimir en red.
Explicar los requerimientos para configurar un servidor de
impresin.
Instalar y compartir impresoras locales.
Instalar y compartir impresoras en red.

- 299 -

Windows Server 2003

Divisin Empresas

Qu es Impresora local e Impresora en red?


Introduccin
Como un administrador de sistemas, le sern pedidos dos tipos de
impresoras: una impresora local y una impresora en red. Usted deber
crear ambos tipos de impresoras antes de compartirlas para su uso.
Definicin
Las impresoras locales son creadas para imprimir a un dispositivo de
impresin directamente conectado por medio del paralelo (LPT), Bus
serial Universal (USB) o infrarrojos (IR). Las impresoras locales tambin
imprimen a un dispositivo de impresin en red que utiliza el protocolo de
Internet (IP) o IPX. Tambin soportan Plug and Play.
Las impresoras en red imprimen en una impresora en red por medio del
IP, IPX o Appletalk.
Las impresoras en red tambin realizan la tarea en una impresora que
redirige el trabajo de impresin a un dispositivo de impresin.
Ventajas y desventajas
La siguiente tabla enlista las ventajas y desventajas de imprimir en
localmente o en red:

Ventajas

Desventaj
as

Impresora Local
Impresora en red
El dispositivo de
Muchos
usuarios
impresin se ubica
pueden acceder a
en cercana con la
los dispositivos de
computadora
del
impresin.
usuario.
Un dispositivo de
La seguridad est
impresin
es
limitada
en
la
necesario para cada
seguridad fsica de
computadora.
dispositivos
de
impresin.
Los
controladores
Las impresoras en
deben
ser
instalados
red dan soporte a la
manualmente
a
actualizacin
de
cada
impresora
controladores
en
local.
diversos clientes.
Una impresora local
La
computadora
puede tomas ms
local
toma
ms
ciclos de reloj del
ciclos de reloj del
procesador
para
procesador
para
imprimir
imprimir.
- 300 -

Windows Server 2003

Divisin Empresas

Requerimientos de Hardware para configurar un Servidor


de Impresin
Introduccin
Existen algunos requerimientos de hardware para instalar un ambiente
de impresin eficiente. Ya sea que utilice una impresora local o una
impresora en red, si no hay determinados requerimientos de hardware
mnimos, la impresin en red ser altamente ineficiente.
Requerimientos de Hardware
Configurar la impresin en un Servidor Windows Server 2003 requiere lo
siguiente:

Al menos una computadora para funcionar como el servidor de


impresin que corre alguno de los sistemas operativos de la
familia Windows Server 2003.
En caso de que se espere que el servidor de impresin maneje
diversos trabajos, se recomienda que usted dedique un servidor
especial para este trabajo. El servidor puede tener cualquier
sistema Operativo de la familia Windows Server 2003. Utilice
alguno de estos productos cuando necesite dar soporte a un gran
nmero de conexiones adems de clientes Macintosh, UNIX y
NetWare.

Suficiente RAM para procesar documentos


Si un servidor administra varias impresoras o varios documentos
grandes, el servidor puede requerir RAM adicional al que se
requiere para otras tareas. Si un servidor de impresin no tiene
suficiente RAM para su carga de trabajo, la eficiencia del desarrollo
de la impresin puede disminuir.

Espacio en disco suficiente en el servidor de impresin para


guardar documentos
Usted debe de contar con espacio en disco suficiente para
asegurarse que el servidor Windows Server 2003 puede guardar
documentos que son enviados al servidor de impresin hasta que
el servidor mande estos documentos a dispositivo de impresin.
Esto es crtico cuando los documentos son grandes o cuando se
acumulan. Por ejemplo, si 10 usuarios mandan documentos
grandes al mismo tiempo, el servidor de impresin debe tener

- 301 -

Windows Server 2003

Divisin Empresas

suficiente espacio en disco para retenerlos en lo que son


mandados al dispositivo de impresin.

Cmo instalar y compartir una impresora local


Introduccin
Para instalar y compartir la impresora local, utilice el Asistente de
Agregar Impresora localizado en la carpeta de Impresoras y Faxes. Usted
puede tambin agregar y configurar los puertos de la impresora en el
mismo asistente. En caso de que se necesite un controlador para el
correcto funcionamiento de la impresora, el asistente le pedir su
instalacin.
El asistente tambin le permite conectarse a una impresora remota
compartida e instalar la interfase del software en su computadora.,
asumiendo que usted desea control local y cuente con los permisos
necesarios. Si usted hace esto, el proceso de impresin se ejecutan
localmente y el resultado se redirige a la impresora remota.
Instalar una impresora conectada a su computadora por medio
de un puerto paralelo (LPT):
Conecte la impresora al puerto apropiado en su computadora de
acuerdo a la documentacin del fabricante, y verifique que est lista
para imprimir.
1. Conecte la impresora a su computadora.
2. En el Panel de Control, en la carpeta Impresoras y Faxes de doble
clic en Agregar una Impresora.
3. En el Asistente para agregar impresoras, en la pgina de
Bienvenida, presione Siguiente.
4. En la pgina de Impresora local o de red, presione Impresora
local conectada a este equipo.
5. Seleccionar la casilla de verificacin Detectar e instalar mi
impresora Plug and Play automticamente. Presionar
siguiente.
6. Dependiendo de la impresora que usted est instalando, un
mensaje de nuevo hardware encontrado o el asistente de nuevo
hardware encontrado aparece para notificar que la impresora ha
sido detectada y que la instalacin ha comenzado.
7. Siga las instrucciones en la pantalla para completar la instalacin
de la impresora.
8. El icono de la impresora es agregado a la carpeta de impresoras y
faxes.

- 302 -

Windows Server 2003

Divisin Empresas

Instalacin sin utilizar Plug and Play


Si usted ni puede instalar su impresora por medio de Plug and Play, o si
la impresora est conectada a su computadora con un puerto serial
(COM):
1. En el Panel de Control, en la carpeta Impresoras y Faxes, haga
doble clic en Agregar Impresora.
2. En el asistente de Agregar Impresora, en la pgina de
bienvenida, presione siguiente.
3. En la pgina de Impresora local o de red, presione Impresora
local conectada a este equipo.
4. Desactive la casilla de verificacin Detectar e instalar mi
impresora Plug and Play automticamente para evitar
esperar a que se realice otra bsqueda de impresora y presiones
siguiente.
5. Siga las instrucciones en la pantalla para terminar de instalar la
impresora por medio de la seleccin del puerto, seleccionando el
fabricante y modelo de su impresora y escribiendo un nombre para
sta.
Compartiendo una impresora local
En Windows Server 2003 el asistente de Agregar Impresora comparte la
impresora y la publica en el servicio de directorio Active Directory por
default, a menos que usted selecciones la casilla de verificacin No
compartir esta impresora en la pgina de Compartir Impresora del
Asistente para agregar impresora.

Cmo instalar y Compartir una Impresora en red


Introduccin
En empresas grandes, la mayora de los dispositivos de impresin tienen
una interfase de red. Usando estos dispositivos de impresin tiene
diferentes ventajas. Hay una mayor flexibilidad en donde puede ubicar
las impresoras. Adems, las conexiones de red transfieren datos ms
rpido que las conexiones de impresora por cable.

- 303 -

Windows Server 2003

Divisin Empresas

Procedimiento para Instalar una impresora en red


Para instalar una impresora en red:
1. En la carpeta Impresoras y Faxes, haga doble clic en Agregar
Impresora.
2. En el asistente de Agregar Impresoras, en la pgina de
Bienvenida, presiones siguiente.
3. En la pgina de Impresora local o de red, presione Impresora
local conectada a este equipo.
4.
Desactive la casilla de verificacin Detectar e instalar mi
impresora Plug and Play automticamente y presiones
siguiente.
5. Cuando el asistente de Agregar Impresoras le pida seleccionar el
puerto, presione Crear un nuevo puerto.
6. De la lista, haga clic en el tipo de puerto apropiado y siga las
instrucciones. Por default, solo Puerto Local y Puerto TCP/IP
Estndar aparecen en la lista.
Procedimiento para compartir una impresora en red
Para compartir una impresora en red:
1. En la carpeta Impresoras y Faxes, haga clic con el botn derecho
en la impresora que quiera compartir y despus seleccione la
opcin Compartir.
2. En la pestaa de Compartir haga clic en Compartir esta
impresora y despus escriba un nombre para la impresora
compartida.
3. Si usted comparte la impresora con usuarios con diferente
hardware o diferentes sistemas operativos, haga clic en
Controladores Adicionales. Haga clic en el ambiente y el
sistema operativo de las dems computadoras y despus haga clic
en Aceptar para instalar controladores Adicionales.
En caso de que no haya iniciado sesin en un dominio de Windows
2000 o Windows Server 2003, usted puede hacer que la impresora
est disponible a otros usuarios en el dominio haciendo clic en
Enlistar en el directorio para publicar la impresora en el
directorio activo.
Haga clic en aceptar o si tiene instalados controladores
adicionales, presione Cerrar.

- 304 -

Windows Server 2003

Divisin Empresas

Prctica: Instalar y Compartir Impresoras


Objetivo: En esta prctica usted instalar y compartir una impresora
local y una impresora en red.
Instrucciones
Antes de comenzar la prctica:

Inicie sesin en el dominio como Administrador.

Escenario

Revise los procedimiento es esta sesin que describen como hacer


esta tarea.

Como un administrador de la red, usted debe configurar el servidor que


est ejecutando Windows Server 2003 como un servidor de impresin
para un dispositivo de impresin conectado localmente y un dispositivo
de impresin conectado a una red. El departamento de ventas en la
unidad organizacional de su ciudad est localizado en el Edificio 1 en el
primer piso y tiene un dispositivo de impresin que debe ser
configurado. El departamento de tecnologas de Informacin cuenta con
un dispositivo de impresin conectado al puerto local LPT1 de su
servidor.
Nota: Su computadora no est conectada al servidor de impresin. Esta
prctica simula la creacin de un servidor de impresin. Una pgina de
prueba no se imprimir, as que recibir un error en caso de que intente
imprimir una.
Prctica

Cree una impresora conectada a un puerto LPT1

Cree una impresora HP LaserJet 5si en un puerto LPT1, nombre la


impresora Impresora del centro de datos de Nombredelacomputadora y
despus comparta la impresora con el mismo nombre.

- 305 -

Windows Server 2003

Divisin Empresas

Cree una impresora basada en un dispositivo de impresin


en una subred

Cree una impresora LaserJet 5si local con un puerto TCP/IP estndar.
Encuentre el nombre de su computadora en la siguiente tabla y utilice el
puerto y el nombre de lo computadora compartida junto a ste.
El dispositivo de impresin LaserJet 5si utiliza una tarjeta genrica de
red y un controlador LaserJet 5si.
Ciudad

Direccin IP

Cuernavaca

192.168.11.50

Cuautla
DF
Guadalajara

192.168.21.59
192.168.31.50
192.168.41.50

Monterrey
Baja California

192.168.51.50
192.168.61.50

Colima
Toluca
Acapulco
Iguala
Valle de Bravo

192.168.71.50
192.168.169.50
192.168.179.50
192.168.189.50
192.168.199.50

- 306 -

Nombre de la impresora
compartida
Impresora Cuernavaca
Ventas
Impresora Cuautla Ventas
Impresora DF Ventas
Impresora Guadalajara
Ventas
Impresora Monterrey Ventas
Impresora Baja California
Ventas
Impresora Colima Ventas
Impresora Toluca Ventas
Impresora Acapulco Ventas
Impresora Iguala Ventas
Impresora Valle de bravo
Ventas

Windows Server 2003

Divisin Empresas

Administrando el acceso a las impresoras utilizando


permisos de Impresora compartida
Introduccin
En la mayora de las empresas no se pone mucho cuidado en lo que a
seguridad de impresin se refiere, debido a que el limitar el acceso a
una impresora puede resultar contraproducente en un ambiente de
trabajo. Sin embargo, una seguridad estricta debera ser activada para
algunas impresoras, tales como las impresoras que imprimen cheques o
impresoras de alta capacidad que reproducen panfletos o trabajos de
impresin con calidad fotogrfica. Usted debe configurar la seguridad de
la impresora para permitir que solo los usuarios indicados utilicen la
impresora con los permisos necesarios para realizar su tarea.
Objetivos de la sesin
Al terminar esta sesin, usted ser capaz de:
Explicar los diferentes tipos de permisos de compartir impresora.
Explicar porqu modificar los permisos de impresora compartida.
Administrar el acceso a las impresoras por medio de estableces y
remover los permisos para una impresora.

Qu son los permisos de Impresora Compartida?


Introduccin
Windows provee los siguientes niveles de permisos de impresora
compartida:

Imprimir
Administrar las Impresoras
Administrar Documentos

Cuando se dan muchos permisos a un grupo de usuarios, el permiso


menos restrictivo es el que aplica. Sin embargo, cuando se aplica una
restriccin, esta toma precedencia sobre cualquier otro permiso.
Tareas que pueden ser desarrolladas en cada nivel de permisos:
La siguiente es una breve explicacin de los tipos de tareas que un
usuario puede desarrollar en cada nivel de permisos:
Imprimir
El usuario puede conectarse a una impresora y mandar documentos a la
impresora. Por default, el permiso de impresin es otorgado a todos los
miembros del grupo Todos.
- 307 -

Windows Server 2003

Divisin Empresas

Administrar Impresoras
El usuario puede llevar a cabo las tareas asociadas con los permisos de
impresin y tiene un control completo administrativo de la impresora. El
usuario puede pausar y reiniciar la impresora, cambiar las
configuraciones del spooler de impresin, compartir una impresora,
ajustar los permisos de impresin y cambiar las propiedades. Por default,
el permiso de Administrar Impresoras es otorgado a los miembros de la
administracin y grupos de usuarios de poder.
Por default los miembros de la administracin y los grupos de usuarios
avanzados tienen acceso completo, lo que significa que a los usuarios
les son otorgados los permisos de Imprimir, Administrar Documentos y
Administrar Impresoras.
Administrar Documentos
El usuario puede pausar, resumir, reiniciar, cancelar y reacomodar el
orden de los documentos enviados por todos los usuarios. El usuario no
puede, sin embargo, enviar documentos a la impresora o controlar el
estado de esta. Por default, el permiso de administrar documentos es
otorgado a los miembros del grupo Creador Dueo.
Cuando a un usuario de le otorga el permiso de Administrar
Documentos, el usuario no puede acceder a los documentos existentes
que esperan a ser impresos. Solo pueden acceder a documentos
enviados a la impresora despus de que se les haya otorgado el
permiso.
Permisos de Impresin asignados a grupos predeterminados
Windows asigna permisos de impresin a seis grupos de usuarios. Estos
grupos incluyen administradores, Creador Dueo, Todos, Usuarios de
Poder, Operadores de Impresin, y Operadores del servidor. Por default a
cada grupo se le otorga una combinacin de Imprimir, Administrar
Documentos, y Administrar permisos de Impresin, como se muestra en
la tabla siguiente:
Grupo

Imprimir

Administradore
s
Creadores
Dueos
Todos
Usuarios de
Poder
Operadores de
Impresin

Administrar
Documentos
X

Administrar
Impresoras
X

X
X
X

- 308 -

Windows Server 2003

Divisin Empresas

Operadores del X
X
X
servidor
Precaucin
Agregue un nmero mnimo de usuarios confiables a los grupos de
Administradores, Usuarios Avanzados, Operadores de Impresin y
Operadores del servidor.

Porqu modificar los permisos de Impresora compartida?


Introduccin
Cuando una impresora compartida est instalada en una red, los
permisos por default estn asignados para permitir que todos los
usuarios impriman. Usted puede tambin permitir a grupos
seleccionados el administrar documentos enviados a la impresora y
permitir a grupos seleccionados el administrar la impresora. Usted
puede negar explcitamente el acceso a la impresora por medio de la
membresa al usuario o al grupo.
Limitar acceso a la impresora para usuarios seleccionados
Puede ser que usted quiera limitar el acceso a algunos usuarios por
medio de otorgar permisos especficos. Por ejemplo, usted puede otorgar
los permisos de impresin a todos los usuarios no administrativos en un
departamento y otorgar los permisos de impresin y administracin a
todos los administradores. Como resultado, todos los usuarios y
administradores pueden imprimir documentos, pero los administradores
pueden tambin cambiar el estado de la impresin de cualquier
documento enviado a la impresora.
Negar acceso a la impresora a usuarios seleccionados
En algunos casos usted podra necesitar dar acceso a una impresora a
un grupo de usuarios. Sin embargo, puede haber algunos usuarios en el
grupo a los cuales usted no quiere dar acceso a la impresora. En este
caso, usted puede otorgar permisos al grupo y negar permisos a
usuarios especficos del grupo. Por ejemplo, usted puede dar a
determinados miembros del grupo la habilidad para imprimir
documentos y negar a otros miembros el acceso a la impresora para
obligarlos a utilizar una diferente.

- 309 -

Windows Server 2003

Divisin Empresas

Cmo administrar el acceso a las impresoras


Introduccin
Usted debe cambiar los permisos de impresora compartida a medida
que su ambiente de red cambie.
Procedimiento
Para administrar el acceso a las impresoras por medio de la autorizacin
o negacin de permisos para imprimir:
1. En la carpeta de Impresoras y Faxes, haga clic con el botn
derecho sobre la impresora a la cual quiere establecer permisos y
seleccione la opcin propiedades.
2. En el cuadro de dilogo Propiedades, en la pestaa de seguridad,
realice alguna de las siguientes:

Para cambiar o remover permisos de un grupo existente,


bajo Grupo o Nombres de usuario, haga clic en el nombre del
grupo.

Para otorgar permisos a un nuevo usuario o grupo, haga clic


en agregar. En el cuadro de dialogo de Seleccionar
Usuarios, Computadoras o grupos, escriba el nombre del
usuario o grupo al que quiere agregar permisos, y presione
Aceptar.

En Permisos para administradores, seleccione la casilla de


verificacin Permitir o Negar para cada permiso que quiera autorizar o
denegar.

- 310 -

Windows Server 2003

Divisin Empresas

Prctica: Administrar el acceso a las impresoras usando los


permisos de impresora compartida
Objetivos
En est prctica, usted:

Establecer los permisos que le permitirn a un grupo administrar


documentos.
Establecer permisos que le darn a un grupo permisos de
operacin de la impresora.

Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio como administrador.

Asegrese que tiene una impresora llamada NombreComputadora.


Revise los procedimientos en esta sesin que describen como
llevar a cabo esta tarea.

Escenario
Un ingeniero en Sistemas le pide que modifique los permisos de
impresin para la impresora utilizada por el departamento de ventas.
Usted deber configurar los permisos de impresin de manera que solo
los usuarios en el departamento de ventas puedan imprimir en la
impresora y que el personal de Tecnologas de Informacin pueda
administrar la impresora.
Prctica

Modificar los permisos de impresin:


o Configure
los
permisos
para
la
impresora
NombreComputadora como se indica a continuacin:
o Otorgue permisos de impresin al grupo DL Comerciantes
Ventas Personal Impresin
Otorgue permisos de administracin de impresoras al grupo
DL Comerciantes IT Personal Impresin.
Remueva el grupo Todos.

- 311 -

Windows Server 2003

Divisin Empresas

Administrando los controladores de Impresoras


Introduccin
Esta sesin lo introduce a las habilidades y conocimiento que necesita
tener para administrar los controladores de las impresoras.
Objetivos de la sesin
Tras completar la sesin, usted ser capaz de:

Explicar que es un controlador de impresora.


Instalar nuevos controladores o actualizaciones.
Agregar controladores de impresin para clientes que manejen
otros sistemas operativos.

Qu es un Controlador de la impresora?
Definicin
Un controlador de la impresora es un software usado por programas
para comunicarse con las impresoras y los plotters.
Cul es el propsito de los controladores de las impresoras?
Los controladores de las impresoras traducen la informacin que usted
enva de la computadora a comandos que la impresora comprende.
Usualmente los controladores de la impresora no son compatibles entre
plataformas, as que varios controladores deben ser instalados en el
servidor de impresin para dar soporte a diferente hardware y sistemas
operativos. Por ejemplo, si la computadora est corriendo Windows XP y
usted comparte una impresora con usuarios con computadoras
corriendo Microsoft Windows 3.1, usted podra necesitar instalar
mltiples controladores.
Archivos de controladores de Impresora
Los Controladores estn compuestos por los siguientes tipos de archivos:

Archivo de configuracin o interfase de la impresora.

Este archivo muestra los cuadros de dilogo de propiedades y


preferencias cuando usted configura la impresora.

Este archivo tiene una extensin .dll

- 312 -

Windows Server 2003

Archivo de Datos

Divisin Empresas

Este archivo provee informacin sobre las capacidades de una


determinada impresora, incluyendo su capacidad de resolucin, ya
sea que pueda imprimir en ambos lados de la pgina y el tamao
de papel que acepta.
Este archivo puede tener una extensin .dll, .pcd, .gpd o .ppd

Archivo de grficos de la impresora

Este archivo traduce comandos del controlador de dispositivos a


comandos que la impresora puede comprender. Cada controlador
traduce a un lenguaje de impresora diferente. Por ejemplo, el
archivo Pscript.dll traduce al lenguaje PostScript.
Este archivo tiene una extensin .dll

Ejemplo de cmo funcionan los controladores


Los archivos de los controladores que normalmente estn acompaados
por un archivo ayuda, trabajan juntos para hacer posible la impresin.
Por ejemplo, cuando usted instala una nueva impresora, el archivo de
configuracin lee el archivo de datos y muestra las opciones disponibles
de la impresora. Cuando usted imprime, el controlador de grficos de la
impresora busca la configuracin sobre sus selecciones de manera que
puede crear los comandos de impresora adecuados.
Controladores de Impresora firmados
Es altamente recomendado que utilice solamente los controladores que
estn diseador para Microsoft Windows XP o para Microsoft Windows
2003 Server (se pueden identificar por los logotipos). El instalar
controladores que Microsoft no ha firmado digitalmente puede
deshabilitar el sistema, permitiendo a los virus entrar a su computadora
o provocar otro mal funcionamiento del sistema.

- 313 -

Windows Server 2003

Divisin Empresas

Cmo instalar Controladores de Impresora


Introduccin
Si usted est administrando un servidor de impresin, ocasionalmente
recibir controladores actualizados de los fabricantes del dispositivo.
Estos controladores actualizados a menudo tienen buenos arreglos pero
deben de ser probados antes de que usted los instale en su servidor de
impresin.
Procedimiento para instalar nuevos o actualizados controladores
de impresin
Para instalar controladores nuevos o actualizados:
1. En la carpeta de impresoras y faxes, haga clic con el botn
derecho en la impresora a la que quiere cambiar los controladores,
y despus elija Propiedades.
2. En el cuadro de dilogo de Propiedades, en Opciones
Avanzadas, seleccione Controlador Nuevo.
3. En el asistente de Agregar Impresora, en la pgina de
Bienvenida, presione siguiente.
4. Haga alguna de las siguientes:
Seleccione el fabricante apropiado de la impresora y el
modelo si es que el controlador se encuentra en la lista.
Haga clic en Utilizar Disco si el controlador de la impresora
no est incluido en la lista o si ha recibido una nueva versin
en un CD o diskette del fabricante de la impresora. Escriba la
ruta en donde se encuentra el controlador y despus haga
clic en Aceptar.
5. Presione Siguiente y despus siga las instrucciones en la pantalla
para instalar los controladores de la impresora.
Nota: Para instalar controladores nuevos o actualizados, usted debe
iniciar sesin como miembro del grupo de administradores. Cuando use
Windows 2000 Profesional, puede ser que puede instalar controladores
nuevos o actualizados habiendo iniciado sesin como miembro del grupo
de usuarios de poder, dependiendo en los componentes requeridos por
el controlador de la impresora.
Si el controlador de la impresora que quiere usar existe en el servidor de
impresin, usted puede instarlo seleccionndolo en la lista de
controladores.

- 314 -

Windows Server 2003

Divisin Empresas

Procedimiento para remover los controladores de impresin


Para quitar controladores de impresin:
1. En la carpeta de Impresoras y Faxes, en el men Archivo, haga
clic en Propiedades del Servidor.
2. En las Propiedades del Servidor de Impresin, en la pestaa
de Controladores, en controladores de impresora instalados,
seleccione el controlador que quiere quitar, y presione Quitar.
3. En el mensaje que aparece, selecciones S.

Como agregar Controladores de Impresora para clientes


con otros sistemas operativos
Introduccin
Si usted comparte una impresora con usuarios que tiene Windows 95,
Windows 98 o Windows NT 4.0, puede instalar controladores adicionales
en su computadora de manera que los usuarios puedan conectarse a la
impresora sin tener que instalar los controladores que faltan en sus
sistemas. Los controladores estn ubicados en el CD de soporte de
Windows Server 2003. Los controladores de las impresoras para
Windows NT versin 3.1 y Microsoft Windows NT versin 3.5 No estn
incluidas pero pueden estar disponibles por medio del fabricante del
dispositivo.
Procedimiento
Para agregar controladores de Impresoras para otras versiones de
Windows:
1. En la carpeta de impresoras y faxes, haga clic derecho en la
impresora a la que quiere instalar nuevo controladores y despus
selecciones Propiedades.
2. En el cuadro de dilogo de Propiedades, en la pestaa de
compartir, selecciones Controladores Adicionales.
3. En el cuadro de dilogo de Controladores Adicionales, active las
casillas de seleccin para los ambientes y sistemas operativos que
quiera agregar y presione Aceptar.

- 315 -

Windows Server 2003

Divisin Empresas

Prctica: Administrar Controladores de Impresora


Objetivo:
En esta prctica usted instalar controladores de impresoras.
Instrucciones
Antes de comenzar esta prctica:

Inicie sesin como administrador.


Asegrese de que tenga una impresora llamada Impresora
NombreComputadora Ventas.
Revise que los procedimientos en esta sesin que describen como
desarrollar la tarea.

Escenario
Usted ha descubierto que el departamento de ventas para la unidad
organizacional de su ciudad utiliza clientes que tienen Windows 98 y
Windows NT 4.0. El gerente de ventas le informa que el personal le pide
controladores cada vez que se conectan a alguna impresora en el
servidor de ventas
Prctica
Instalar Controladores de Impresora para clientes que cuentan
con otros sistemas operativos.
Instalar
controladores
de
NombreComputadora Ventas
operativos:

Windows 98
Windows NT 4.0

- 316 -

Impresoras
para
Impresora
para los siguientes sistemas

Windows Server 2003

Divisin Empresas

Implementar ubicaciones de Impresora


Introduccin
Esta sesin lo introduce a habilidades y conocimiento que necesita para
implementar las ubicaciones de impresora.
Objetivos de la sesin
Tras completar la sesin usted ser capaz de:

Explicar el propsito de las ubicaciones de impresora.


Explicar los requerimientos para implementar ubicaciones de
impresora.
Explicar los mecanismos de nombrado para las ubicaciones de
impresoras.
Explicar las tareas relacionadas con la configuracin de las
ubicaciones de impresora.
Estableces la ubicacin de las impresoras.
Localizar Impresoras.

Por qu implementar ubicaciones de Impresora?


Definicin
Las ubicaciones de las impresoras le permiten al usuario el buscar y
conectarse a los dispositivos de impresin a los cuales estn en
proximidad fsica.
Implementar ubicaciones de impresora:
Le permite instalar impresoras fcilmente en una bsqueda.
Le permite a los usuarios utilizar una jerarqua para encontrar
impresoras en otras localidades haciendo clic en Explorar.
Directorio Activo y Localidades de Impresora
Cuando usted implementa las ubicaciones de impresora, una bsqueda
para impresoras publicadas en el Directorio Activo le regresa una lista de
impresoras que estn localizadas en la misma ubicacin fsica (por
ejemplo, en el mismo edificio o en el mismo piso) que la computadora
del cliente que est realizando la bsqueda.
Esta capacidad de rastrear la ubicacin de las impresoras est basada
en el supuesto de que los dispositivos de impresin que estn
fsicamente localizados cerca de un usuario residen en la misma subred
de Internet IP que la computadora cliente. Las subredes son
subdivisiones de una red IP. Cada subred posee una nica direccin de
red.
- 317 -

Windows Server 2003

Divisin Empresas

En un directorio Activo, una subred IP est representada por un objeto


de la subred que contiene una atributo de ubicacin que es utilizado
durante las bsqueda de impresoras.
Los directorios Activos utilizan el valor del atributo de ubicacin como la
cadena de texto para mostrar la ubicacin de la impresora. De esta
manera, cuando un usuario busca una impresora y una ubicacin de
impresora es implementada, el Directorio Activo:

Encuentre el objeto de la subred que corresponde a la subred en


que la computadora del usuario est ubicada.

Utilice el valor en el atributo de ubicacin de la subred como la


cadena de texto para una bsqueda de todas las impresoras
publicadas que tienen el mismo atributo de ubicacin.
Regresa al usuario una lista de impresoras cuyos atributos de
ubicacin son iguales al que est definido por el objeto de la
subred. El usuario puede entonces conectarse a la impresora ms
cercana.

Adicionalmente los usuarios pueden buscar impresoras en cualquier


localidad. Esto es til si necesitan encontrar y conectarse a una
impresora en una ubicacin fsica diferente a la cual lo hacen
habitualmente.

Requerimientos
Impresora

para

Implementar

Ubicaciones

de

Requerimientos
Antes de que pueda implementar ubicaciones de impresora, su red de
Windows Server 2003 debe contar con lo siguiente:

Una red de Directorio Activo configurada con al menos un sitio y


dos o ms subredes.
Las redes con una subred no necesitan el rastreo de ubicacin de
impresora. Debido a que las subredes IP son utilizadas para
identificar la ubicacin fsica de la impresora, una red con una solo
subred generalmente tendr todas las impresoras en proximidad
con el usuario.

Un esquema de direccionamiento de IP que corresponda a la


distribucin geogrfica y fsica de la red.
Las computadoras y las impresoras que residen en la misma
subred IP deben tambin residir en la misma ubicacin fsica. Si
- 318 -

Windows Server 2003

Divisin Empresas

este no es el caso con su red, entonces no puede implementar


ubicaciones de impresoras.

Un objeto de subred para cada sitio


El objeto de la subred, que representa una subred IP en el
Directorio Activo, contiene el atributo de ubicacin que es utilizado
durante la bsqueda de impresoras. El valor de este atributo de
ubicacin es usado durante la bsqueda en un Directorio Activo
para localizar impresoras que residen cerca de la computadora del
cliente.

Las computadoras cliente que pueden buscar Directorio Activo


Los usuarios con computadoras corriendo Windows 2000
profesional, o versiones de Windows previas en las que el software
de cliente de Directorio Activo est instalado, pueden usar las
ubicaciones de impresora cuando buscan impresoras.

Cuando la ubicacin de impresoras est desactivado


Usted puede agregar informacin a la caja de Ubicacin en la pestaa
de General del cuadro de dilogo de Propiedades de la impresora aun
si la ubicacin de la impresora est desactivada. Sin embargo esto
puede hacer que las impresoras sean difciles de encontrar. Cuando los
usuarios buscan impresoras en el dcimo piso y la ubicacin de
impresora est desactivada, ellos necesitan saber exactamente que
escribir en el cuadro de dilogo de Buscar Impresoras. Cuando la
ubicacin de la impresora est activada, la caja de ubicacin en el
cuadro de dilogo de Buscar Impresoras se llena automticamente.

Nombres para Ubicaciones de Impresoras


Introduccin
La clave para implementar las ubicaciones de Impresora es desarrollar
una regla para nombrar ubicaciones que corresponda a la distribucin
fsica de su red. Los nombres de las ubicaciones de Impresoras deben
corresponder a una subred IP. Usted debe utilizar una regla de
nombramiento para determinar los valores del atributo de ubicacin
tanto para el objeto subred como para el objeto impresora.
Multimedia: Definiendo los nombres de la ubicacin
La presentacin de Definir Nombres de ubicacin explica la relacin
entre los atributos de localizacin de subredes e impresoras. Para
comenzar la presentacin, abra la pgina que se encuentra en el CD de
materiales del estudiante, haga clic en Multimedia y despus haga clic
- 319 -

Windows Server 2003

Divisin Empresas

en Definir Nombres de Ubicacin. No abra la presentacin a menos que


un instructor se lo pida.

- 320 -

Windows Server 2003

Divisin Empresas

Reglas para crear lineamientos


ubicaciones de impresora

de

nombramiento

para

Para activar ubicaciones, cree un lineamiento de nombramiento para


ubicaciones de impresora siguiendo las siguientes reglas:
Los
nombres
de
ubicacin
estn
en
la
forma
Nombre/Nombre/Nombre/ Nombre (La diagonal debe ser el
carcter de divisin)
Un nombre puede consistir de cualquier carcter excepto por la
diagonal (/)
El nmero mximo de niveles en el nombre es 256.
La mxima longitud del nombre don 32 caracteres.
La mxima longitud de un nombre de ubicacin son 260
caracteres.
Debido a que los nombres de ubicacin son utilizados por todos los
usuarios finales, deberan ser fciles de reconocer. Evite usar nombre
especiales que solo sean conocidos por la alta administracin. Para
hacer que el nombre sea ms fcil de leer, evite utilizar caracteres
especiales en un nombre y mantenga la mxima longitud a un mximo
de 32 caracteres de manera que el nombre completo sea visible en la
interfase del usuario.
Ejemplo:
Note que el rbol vara en profundidad dependiendo en la complejidad
de la organizacin y en la cantidad de detalle disponible en la red IP. Las
convenciones de nombramiento para este ejemplo incluyen ms niveles
que para una pequea organizacin localizada en una sola ciudad o en
un edificio. El nombre completo para el piso 1 del edificio 1 en
Cuernavaca es Cuernavaca/Edificio1/Piso1, y el nombre completo para
OficinaRemota1 en Cuautla es Cuautla/OficinaRemota1.

Cmo estn configuradas las ubicaciones de impresora


Introduccin
Para establecer las ubicaciones de impresora, usted debe tener acceso
de lectura/escritura a los sitios de Active Directory y a los objetos de la
subred de manera que pueda crear objetos de subred, darles una
ubicacin y asociar el objeto de la subred con un sitio. Cuando se asigna
una ubicacin a una impresora, usted debe hacer coincidir la ubicacin
de la impresora con la ubicacin del objeto de la subred.

- 321 -

Windows Server 2003

Divisin Empresas

Tareas que los ingenieros en sistemas pueden llevar a cabo


Despus de que el Ingeniero en Sistemas se asegure de que la red
cumpla con los requerimientos para implementar ubicaciones de
impresora, y de que las reglas para el nombramiento sean creadas, el
ingeniero en sistemas desarrolla las siguientes tareas para configurar las
ubicaciones de impresora:
1. Permitir el rastreo de ubicacin utilizando las polticas del grupo. El
rastreo de la ubicacin de la impresora llena el espacio de
bsqueda de ubicacin cuando un usuario busca una impresora en
un Directorio Activo. El valor utilizado para llenar el campo de
bsqueda es el mismo valor que est especificado en el atributo
de ubicacin del objeto de la subred que corresponde a la subred
IP en la que la computadora del usuario est localizada.
2. Cree un objeto de subred en un Directorio Activo. Si el objeto de la
subred no existe, entonces utilice el Directorio Activo y los
Servicios para crear el objeto de la subred.
3. Establezca el atributo de ubicacin. Utilice las reglas de
nombramiento que desarroll para la ubicacin de impresoras
como el valor de este atributo.
Nota: Para establecer el atributo de ubicacin para el objeto de la
subred, en Sitios y servicios del Directorio Activo, haga clic derecho en el
objeto de la subred, y despus haga clic en Propiedades. En la pestaa
de Localizacin, escriba el nombre de la ubicacin que corresponda al
objeto de la subred y despus haga clic en Aceptar.
Tareas que llevan a cabo los administradores de los sistemas
La siguiente tarea es la nica tarea que los administradores de sistemas
desarrollan para configurar la ubicacin de la impresora:

Establezca el atributo de ubicacin de las impresoras. Para cada


impresora, agregue el atributo de la ubicacin de la subred IP en la
que la impresora reside en las propiedades de la impresora. Utilice
el mismo nombre de ubicacin de la impresora que utiliz para la
ubicacin del objeto de la subred.

Cuando instale una nueva impresora, puede especificar el atributo de


ubicacin por medio del Asistente de agregar Impresora.

- 322 -

Windows Server 2003

Divisin Empresas

Como establecer la ubicacin de las Impresoras


Introduccin
Antes de establecer el atributo de ubicacin de una impresora, usted
deber determinar las siguientes cosas:

La direccin IP de la impresora para determinar el atributo de


ubicacin del objeto de la subred.
Despus de que determine el nombre de ubicacin apropiado,
entonces puede agregar el nombre al atributo de ubicacin de
la impresora. Si usted est configurando una nueva impresora,
el ingeniero en sistemas le dar una impresin del dispositivo
de impresin que le informa la direccin IP y el controlador
apropiado. Si usted est agregando el nombre de la ubicacin a
una impresora existente, puede determinar la direccin IP del
dispositivo de impresin mirando el puerto TCP/IP en el que est
imprimiendo.

Ubicacin de la subred

Procedimiento para determinar la direccin IP de una impresora


existente
Para determinar la direccin IP de una impresora existente:
1. En la carpeta de Impresoras y Faxes, haga clic derecho en la
impresora cuyo atributo de ubicacin quiere configurar y despus
haga clic en Propiedades.
2. En el cuadro de dilogo de Propiedades, en la pestaa de
Puertos, haga clic en el puerto TCP/IP utilizado para la impresora y
despus haga clic en Configurar Puerto.
3. En el cuadro de dilogo de Configurar Monitor del Puerto
TCP/IP estndar, escriba la direccin IP encontrada en el nombre
de la impresora o en la direccin IP, y despus haga clic en
Aceptar.
4. En el cuadro de dilogo de Propiedades, haga clic en Cerrar.

- 323 -

Windows Server 2003

Divisin Empresas

Procedimiento para determinar una ubicacin de la subred


Para determinar la ubicacin de la subred:
1. En los Sitios y Servicios del Directorio Activo, en el rbol de la
consola, expanda Sitios y despus expanda Subredes.
2. Haga clic con el botn derecho en la red que coincida con la
direccin IP del dispositivo de impresin y despus haga clic en
Propiedades.
3. Seleccione la pestaa de Ubicacin y despus escriba el atributo
de ubicacin del objeto de la subred.
4. Haga clic en Aceptar
Procedimiento para establecer el atributo de ubicacin de la
impresora
Para establecer el atributo de ubicacin de la impresora:
1. En la carpeta de Impresoras y Faxes, haga clic con el botn
derecho en la impresora cuyo atributo ubicacin quiera establecer
y despus haga clic en Propiedades.
2. En el cuadro de dilogo de Propiedades, en la pestaa de
General, en el espacio de ubicacin, escriba la ubicacin de la
impresora y haga clic en Explorar para encontrarla.
Se recomienda que sea ms preciso cuando describa la ubicacin de la
impresora que cuando describa la ubicacin de la subred. Por ejemplo,
para la ubicacin de la subred Mxico/DF, sera mejor si usted escribiera
la direccin de la siguiente manera: Mxico/DF/Piso42/Cuarto4207.

Cmo localizar impresoras


Introduccin
El rastreo de ubicacin es utilizado cuando quiera que un usuario busque
Directorio Activo. Para empezar la bsqueda un usuario presiona Inicio,
hace clic en Buscar, y despus hace clic en Buscar Impresoras. Los
usuarios pueden tambin hacer clic en Buscar una impresora en el
directorio en el asistente para Agregar Impresora para hacer que el
cuadro de dilogo de Encontrar Impresoras aparezca.
Si el rastreo de ubicacin est activado, el sistema primero determina
donde est localizada la computadora cliente en la organizacin.
Mientras esto est en progreso, el espacio de Ubicacin del cuadro de
dilogo de Buscar Impresoras muestra Revisando. Despus de que la
ubicacin sea determinada, se introduce en el espacio de ubicacin. Si la
ubicacin no puede ser determinada, el espacio se deja vaco.

- 324 -

Windows Server 2003

Divisin Empresas

Cuando un usuario hace clic en Buscar Ahora, el Active Directory lista


todas las impresoras que coinciden con la bsqueda del usuario y que
estn en la misma ubicacin. Los usuarios pueden cambiar el valor del
espacio de ubicacin por medio de hacer clic en Explorar.
Por ejemplo, suponga que una organizacin est ubicada en un edificio
con diferentes pisos, y cada piso est configurado como una subred. Si
un usuario est localizado en el primer piso falla en localizar una
impresora de color en el piso 1, entonces el usuario puede cambiar la
ubicacin de la Organizacin 1/ Piso 2 o inclusive Organizacin 1
para incrementar el umbral de la bsqueda.
Nota: El espacio de ubicacin no est disponible automticamente para
usuarios corriendo Windows 95, Windows 98, o Windows NT 4.0 sin que
un cliente de Directorio de Servicio.
Procedimiento
Para localizar una impresora:
1. En la carpeta de Impresoras y Faxes, haga doble clic en Agregar
Impresora.
2. En el Asistente de Agregar Impresoras, en la pgina de
Bienvenida, haga clic en Siguiente.
3. En la pgina de Impresora Local o de red, haga clic en
Impresora de red o una impresora conectada a otro equipo
y haga clic en Siguiente.
4. En la pgina de Especifique una impresora, conctese a la
impresora deseada usando alguno de los mtodos siguientes:
Buscndola en los directorios activos haciendo lo siguiente:
i. Haga clic en Buscar una impresora en el directorio y despus
haga clic en siguiente.
Si se necesita, cambie la ubicacin predeterminada de la impresora
listada en la caja de Ubicacin haciendo clic en explorar y despus
escogiendo la ubicacin apropiada.
ii. En el cuadro de dilogo Buscar Impresora, haga clic en Buscar
Ahora.
iii. En la lista que aparece, haga clic en la impresora a la quiere
conectarse y despus haga clic en Aceptar.

- 325 -

Windows Server 2003

i.
ii.

Divisin Empresas

Escriba el nombre de la impresora o bsquela haciendo lo


siguiente:
Haga clic en Conectarse a esta impresora
En el espacio para Nombre, escriba el nombre de la impresora
usando
el
formato
\\NombreServidordeImpresin\\
NombredelaImpresoraCompartida
y despus haga clic en
Siguiente.
o

Bsquela en la red haciendo clic en Siguiente. En la pgina de


Buscar Impresora, en el espacio de Impresoras Compartidas,
localice la impresora y despus haga clic en Siguiente.
Conectarse a una impresora en el Internet o Intranet haciendo lo
siguiente:
i.
ii.

Haga clic en Conectarse a una impresora en el Internet o


en una oficina o red.
En el espacio del URL, escriba el URL en la impresora usando el
formato: http://NombredelServidordeImpresin/Impresoras y
despus haga clic en Siguiente.

5. Siga las instrucciones en la pantalla para terminar el proceso de


conectarse a la impresora
El icono para la impresora aparece en la carpeta de Impresoras to Faxes.

- 326 -

Windows Server 2003

Divisin Empresas

Prctica: Implementar ubicaciones de Impresora


Objetivo
En esta prctica, usted implementar las ubicaciones de impresora.
Instrucciones
Antes de empezar esta prctica:

Inicie Sesin en el dominio usando la cuenta del administrador.


Asegrese que cuenta con una impresora llamada Impresora
NombreComputadora Ventas
Asegrese de que tiene una impresora llamada Impresora
NombreComputadora CentrodeDatos.
Revise los procedimientos de esta sesin que describen como
desarrollar esta tarea.

Escenario
Usted se enter que en los administradores de sistemas han terminado
de probar el rastreo de ubicacin de impresoras. Ellos quieren que usted
asigne el valor de los atributos de ubicacin para las impresoras en su
ciudad.
Determine el atributo de ubicacin de sus impresoras.
1. En la tabla de subred de la impresora, escriba el nombre de la
impresora compartida y el nmero de subred para cada impresora
en su ciudad (ejemplo: Impresora de Ventas de Bonn
192.168.61.0/24)
Nombre de la impresora
Compartida

Subred

2. Abra los Sitios y servicios de Active Directory


3. En el rbol de la consola, expanda sitios y despus haga clic
Subredes.
4. Tome el nmero de subred del paso 1. Escriba el atributo
ubicacin para cada subred en su ciudad utilizando el atributo
ubicacin del objeto de la subred para cada impresora en
ciudad.
Nombre de la
impresora
compartida

Subred

- 327 -

Ubicacin

en
de
de
su

Windows Server 2003

Divisin Empresas

5. Cierre los sitios y servicios de Directorio Activo.


Establezca la ubicacin de las impresoras en su computadora
estudiante:

Establezca el atributo de ubicacin de la impresora del Centro de


Datos y Ventas en su computadora encontrada en el paso 4.

Tabla de Subred de las Impresoras


Ciudad
Ixtapa
Ixtapa
Cancn
Cancn
Pachuca
Pachuca
Mrida
Mrida
Durango
Durango

Nombre de la Impresora
Compartida
Impresora Ixtapa Ventas
Impresora Ixtapa CentrodeDatos
Impresora Cancn Ventas
Impresora
Cancn
CentrodeDatos
Impresora de Ventas de Pachuca
Impresora
Pachuca
CentrodeDatos
Impresora Mrida de Ventas de
Impresora Mrida del Centro de
Datos de
Impresora de Ventas de Durango
Impresora del Centro de Datos
de Durango

- 328 -

Subred
192.168.131.0/24
192.168.129.0/24
192.168.151.0/24
192.168.149.0/24
192.168.91.0/24
192.168.89.0/24
192.168.61.0/24
192.168.59.0/24
192.168.41.0/24
192.168.39.0/24

Windows Server 2003

Divisin Empresas

Evaluacin: Implementado la Impresora


Objetivos
Despus de completar este laboratorio, usted ser capaz de:

Instalar Impresoras
Establecer la ubicacin de las impresoras

Instrucciones
Antes de comenzar este laboratorio, inicie sesin utilizando la cuenta de
administrador del equipo
Tiempo estimado para completar este practica: 10 minutos
Ejercicio 1: Instalar Impresoras
Escenario
La oficina principal en Cuernavaca necesita la ayuda de todos los
administradores de Sistemas. Los negociadores de la empresa han
actualizado todos sus dispositivos de impresin en las oficinas en
Cuernavaca y necesitan su ayuda para configurarlos en un servidor de
impresoras llamado icam.com.mx. Para ayudarlo a crear estas nuevas
impresoras, los ingenieros en sistemas han provisto una tabla que lista
las impresoras que cada administrador de sistemas debe crear y
especificar informacin sobre las impresoras.
Todos los dispositivos de impresora son HP LaserJet 5si, y todas las
impresoras estn localizadas en una computadora remota llamada icam.
Los permisos de impresin deben estar configurados para que:
DL Comerciantes Personal Impresora Legal tenga permisos de Impresin
para la impresora Legal.
El grupo Usuarios Autentificados tenga permisos de Impresin para la
Impresora Exec.
DL Comerciantes IT Impresora tenga permisos de administracin de
Impresora para ambas impresoras.

- 329 -

Windows Server 2003

Divisin Empresas

Tareas
Instrucciones Especficas
1. Conectarse al servidor de a. En el espacio de Ejecutar,
Impresoras llamado icam.com.mx escriba \\icam y despus haga
clic en Aceptar.
b. De \\icam. Haga doble clic en
Impresoras y faxes.
2. Cree dos impresoras en icam
En la tabla al final de la practica,
encuentre
su
cuenta
de
estudiante y despus cree dos
impresoras de red en icam con el
puerto
del
dispositivo
de
Impresin, ubicacin y comparta
valores del nombre en la tabla.
3. Configure los permisos de a. Otorgue los permisos de
impresora para la Impresora impresin
al
grupo
DL
Legal.
Comerciantes Personal Impresora
Legal.
b.
Otorgue
Permisos
de
Administracin de Impresoras al
grupo DL DL Comerciantes IT
Impresora.
c. Remueva el grupo Todos.
4. Configure los permisos de a. Otorgue Permisos de Impresin
impresora para la impresora Exec al grupo de Authenticated Users.
b.
Otorgue
permisos
de
Administracin de impresora al
grupo DL DL Comerciantes IT
Impresora.
c. Remueva el grupo Todos.

- 330 -

Windows Server 2003

Divisin Empresas

Ejercicio 2: Buscando Impresoras locales con ubicaciones


En este ejercicio, usted establecer las ubicaciones de impresora
Escenario
Su equipo ha instalado muchas impresoras para el corporativo. Usted
debe confirmar que las impresoras han sido configuradas exitosamente
para el rastreo de ubicacin de impresoras.
Tareas
Instrucciones Especficas
1. Abra Usuarios y Abra Usuarios y Equipos de Active Directory
Equipos
de
Active
Directory
Busque impresoras en
a. Del directorio raz icam.com.mx,
la
ubicacin
busque las impresoras en la ubicacin
Cuernavaca.
(Los
Cuernavaca/salon2.
resultados
de
su
b. Cuntas Impresoras estn en la
bsqueda
pueden
ubicacin Londres/Salon2/Piso2?
depender del nmero
Su respuesta puede variar dependiendo
de estudiantes en el
en el nmero de estudiantes en el saln.
saln)
c. De la raz de icam.com.mx. busque
impresoras
en
la
ubicacin
Cuernavaca.
d. Cuntas Impresoras hay en la
ubicacin Cuernavaca?
Su respuesta puede variar dependiendo
del nmero de estudiantes en el saln
e. De la raz de icam.com.mx, busque las
impresoras en el Directorio Entero
(Haga clic en Explorar, y despus en
Directorio Entero).
f. Cuntas impresoras hay en el mismo
directorio?
Su respuesta puede variar dependiendo
en la cantidad de estudiantes en el saln.
3. Cierre todas las
ventanas
y
cierre
sesin.

- 331 -

Windows Server 2003

Divisin Empresas

Tabla de las Cuentas del Estudiante


Cuenta del
Estudiante

Puerto del
dispositivo de
Impresin

Ubicacin

CuernavacaAdmi
n
CuernavacaAdmi
n
CuautlaAdmin

192.168.5.13

CuautlaAdmin

192.168.3.15

Cuernavaca/Edifici
o3
Cuernavaca /
Edificio 2/P1 1
Cuernavaca /
Edificio 3
Cuernavaca /
Edificio 2/P1 1

192.168.3.13
192.168.5.15

- 332 -

Nombre de la
Impresora y
Nombre
compartido
Exec Printer 13
Legal Printer 13
Exec Printer 15
Legal Printer 15

Windows Server 2003

Divisin Empresas

Unidad 11: Administrando la impresin


Cambiando la ubicacin del spooler de impresin
Introduccin
Esta sesin lo introduce a las habilidades y conocimiento que necesita
para cambiar la ubicacin del spooler de impresin.
Objetivos de la sesin
Al terminar esta sesin, usted ser capaz de:
Explicar el propsito del spooler de impresin
Cambiar la ubicacin del spooler de impresin

Qu es un spooler de impresin?
Definicin
El componente primario de la interfase es el spooler de impresin. El
spooler de impresin es un archivo ejecutable que maneja el proceso de
impresin. La administracin del proceso de impresin involucra:
Recuperar la ubicacin del controlador de impresora correcto.
Cargar ese controlador
Programar el trabajo de impresin a imprimir
El spooler de impresin es cargado cuando se inicia el sistema y
contina ejecutndose hasta que el sistema operativo lo apague. El
spooler de impresin toma los archivos que van a ser impresos, los
guarda en el disco duro y despus los manda a la impresora cuando est
preparada. Adicionalmente, usted puede acomodar eventos durante este
proceso o puede desactivar el acomodo
durante periodo de alta
demanda para minimizar el espacio en disco y mejorar el desarrollo del
servicio de administracin de impresin.
Ubicacin de la carpeta de cola de impresin
Los archivos que estn esperando a ser impresos se juntan en una
carpeta de espera (spool) que est localizado en el disco duro del
servidor. Por default la carpeta de espera est localizada en
Raz\System32\Spool\Printers. Sin embargo este disco duro tambin
contiene archivos del sistema de Windows. Debido a que el sistema
operativo accede a estos archivos frecuentemente, es probable que se
disminuya la velocidad de comportamiento tanto de Windows como de
las funciones de impresin.
- 333 -

Windows Server 2003

Divisin Empresas

Si su servidor de impresin solo sirve a una o dos impresoras con poco


volumen de trfico, la ubicacin predeterminada es suficiente. Sin
embargo, para soportar altos volmenes de trfico, alto nmero de
impresoras, o trabajos de impresin grandes, usted debera reubicar la
carpeta predeterminada. Para mejores resultados, mueva la carpeta de
espera a un disco que tenga su propio controlador de entrada/salida, el
cual reduce el impacto de la impresin en el resto del sistema operativo.
Situaciones en las que la cola de impresin debera ser usada
La solucin de administracin de la cola de impresiones debera permitir
a los siguientes tipos de salidas ser entregados en una manera que sea
consistente con las necesidades de una organizacin:

Negocios en tiempo real: Estos trabajos son generalmente corot,


pero deben ser impresos en un periodo de tiempo corto. Por
ejemplo, las listas de carga para un barco en un muelle.

Negocios Programados: Ejemplos incluyen grandes informes


financieros que se imprimen en la noche. Nadie espera por ellos
pero si no se encuentran ah en la maana, generan un problema.

Sobre demanda: Esta categora incluye la mayora de trabajos de


impresin de escritorio. La salida puede ser crtica, pero el usuario
necesita la salida en un periodo de tiempo limitado.

Por qu cambiar la ubicacin del spooler de impresin?


Razones para cambiar la ubicacin del spooler de impresin
Cambiar la ubicacin del spooler de impresin para hacer lo siguiente:

Mejorar el comportamiento

Los servidores de impresin deben tener suficiente espacio en disco y


RAM para administrar trabajos de impresin. En el mejor escenario,
planee tener un mnimo de dos discos, uno para el sistema operativo, los
archivos de inicio y el archivo de compaginado y otro que contenga la
carpeta de la cola de la impresin. Esto asla la carpeta de la cola de
impresin del sistema operativo, el cual mejora su comportamiento y
estabilidad. Para mejorar la eficiencia, agregue una o ms volmenes
para el archivo de compaginado.

- 334 -

Windows Server 2003

Divisin Empresas

Resolver problemas de espacio en disco

Los servidores de impresin crean una cola de impresin para


administrar diferentes peticiones. Los documentos pueden medir hasta
20 megabytes en espacio si incluyen grficas. Como resultado, usted
debera ser capaz de utilizar espacio en disco en un volumen diferente
del utilizado por el sistema operativo. Esto lo ayuda a asegurarse de no
utilizar todo el espacio libre en disco en el sistema o en las particiones
del boot, que pueden causar dificultad el archivo swap. Si usted
configura la cola de impresin en el mismo disco que el sistema
operativo, Windows no tiene suficiente espacio en disco para escribir el
archivo swap, lo que puede llevar a problemas con el comportamiento
general de la impresora.

Reducir la fragmentacin de la particin

Cuando un archivo imprime en una impresora de red, un archivo de


spool es creado y casi inmediatamente eliminado. Este proceso se repite
cientos o miles de veces durante un da de trabajo normal. Si la carpeta
de cola de impresin est en un volumen que se comparte con otros
datos, el volumen puede llegar a fragmentarse demasiado. Usted puede
eliminar la fragmentacin si localiza la carpeta de cola de impresin en
un volumen que est dedicada a la impresora. Una vez que todos los
archivos de spool sean impresos, son eliminados del volumen y nuevos
trabajos de impresin pueden empezar en un disco limpio.

Asegurar la seguridad

Si los trabajos de impresin son configurados para no ser borrados


despus de ser impresos, es recomendable tener los trabajos de
impresin en un disco volumen diferente de manera que la carpeta de
cola de impresin no herede ningn cambio que se de en las seguridad
de cualquier carpeta superior. Tambin es recomendable mover la
carpeta de cola de impresin para impresoras que se encargan de
trabajos confidenciales, tales como informacin sobre los sueldos o
reportes financieros, de manera que pueda auditar todas las
transacciones en el disco que contiene la carpeta de cola de impresin.

Administrar cuotas de disco

En los discos que contienen el sistema operativo, las cuotas


normalmente no se configuran para mejorar el comportamiento. Sin
embargo, usted probablemente querr limitar la cantidad de trabajos de
impresin que los usuarios o grupos imprimen a travs del servidor de
impresin de manera que ningn usuario ocupe todo el espacio libre en
- 335 -

Windows Server 2003

Divisin Empresas

el disco. Si esto ocurre, otros no podrn imprimir hasta que la cola de


impresin libere algunos documentos.

- 336 -

Windows Server 2003

Divisin Empresas

Mejorar la confiabilidad

Tpicamente, una particin es un disco espejo (RAID 1). Para


comportamiento y recuperabilidad, se recomienda mover la carpeta de
cola de impresin al volumen que tenga RAID 5 para disminuir las
probabilidades que una falla en algn subsistema del disco.

Como cambiar la ubicacin del spooler de impresin


Introduccin
Usted tal vez quiera cambiar la ubicacin de la carpeta de cola de
impresin para poder incrementar el funcionamiento del servidor
causando menos fragmentacin en la particin o moviendo los archivos
de spool a otra particin con mayor espacio en disco.
Procedimiento
Para cambiar la ubicacin de la carpeta de cola de impresin:
1. En la carpeta Impresoras y Faxes, en el men Archivo, haga clic
en Propiedades del Servidor.
2. En el cuadro de dilogo de Propiedades del Servidor de
Impresin, en la pestaa de opciones avanzadas, en el espacio
de la carpeta de cola de impresin, escriba la ruta y el nombre
de la nueva carpeta de cola de impresin para el servidor de
impresin y despus haga clic en Aceptar.
3. Detenga y reinicie los servicio de spool.
Nota: La ubicacin de la carpeta de cola de impresin ser cambiada
inmediatamente y cualquier documento esperando no ser impreso. Se
recomienda que usted espere a que se impriman todos los documentos
antes de cambiar la carpeta.

- 337 -

Windows Server 2003

Divisin Empresas

Prctica: Cambiar la ubicacin del Spooler de impresin


En esta prctica, usted cambiar la ubicacin del spooler de impresin y
probar si la ubicacin ha cambiado.
Objetivo:
En esta prctica, usted cambiar la ubicacin del spooler de impresin y
probar si ha cambiado la ubicacin.
Instrucciones:
Antes de empezar esta prctica:

Inicie sesin en el dominio como Administrador.


Asegrese que tiene una impresora llamada Impresora
NombreComputadora CentrodeDatos.
Revise los procedimientos en esta sesin que describen como
desarrollador esta tarea.

Escenario
Los ingenieros de sistemas en la compaa se dieron cuenta de que el
disco C en su servidor de impresin (el cual tiene el sistema operativo)
se ha fragmentado por las impresoras configuradas en su servidor
miembro. Los ingenieros de sistemas le han pedido que mueva la
carpeta de cola de impresin a la particin D de manera que la particin
del sistema operativo no sea fragmentada por el servidor de impresin.
Usted debe documentar la ubicacin actual de la carpeta de cola de
impresin y mover el spooler a la particin D.
Prctica
Documente la ubicacin actual de la carpeta de cola de
impresin.
1. En Impresoras y Faxes, en el men Archivo, haga clic en
Propiedades del Servidor.
2. En el cuadro de dialogo de Propiedades de Servidor de
Impresin, haga clic en la pestaa de Opciones Avanzadas.
3. Documente la ubicacin actual de la carpeta de cola de impresin:

Cree una carpeta de cola de impresin en la unidad D:


1. Cree una carpeta en la unidad D llamada Spool (Ejemplo:
D:\Spool).

- 338 -

Windows Server 2003

Divisin Empresas

2. Cree una subcarpeta en la carpeta D:\Spool, llamada Impresoras


(Ejemplo: D:\Spool\Impresoras).
Cambie la ubicacin de la carpeta de cola de impresin.
Cambie la ubicacin de la carpeta de impresin
D:\Spool\Impresoras

Detenga y reinicie el servicio de cola de impresin


1. Haga clic en Inicio, seleccione Ejecutar, escriba cmd y despus
haga clic en Aceptar.
2. Desde la ventana de comandos (o smbolo del sistema), escriba
net stop spooler.
3. Desde la ventana de comando escriba net Inicio spooler.
Pruebe para ver si los archivos de la cola de impresin estn
siendo dirigidos a la carpeta D:\Spool\Impresoras.
1. En Impresoras y Faxes, haga clic derecho en Impresora
NombreComputadora CentrodeDatos y despus haga clic en
Pausar Impresin.
Si la impresora est pausada, usted no ver la opcin de Pausar
Impresin en la lista. Contine al siguiente paso.
2. Haga clic derecho en Impresora NombreComputadora
CentrodeDatos, y despus haga clic en Propiedades.
3. En el cuadro de dilogo de Propiedades, haga clic en Imprimir
Pgina de Prueba.
4. En el mensaje, haga clic en Aceptar.
5. En el cuadro de dialogo de Propiedades, haga clic en Aceptar.
6. Haga
clic
en
Inicio
y
seleccione
Ejecutar.
Escriba
D:\Spool\Impresoras y despus haga clic en Aceptar.
7. Verifique que haya dos archivos creados y cierre todas las
ventanas.

- 339 -

Windows Server 2003

Divisin Empresas

Estableciendo Prioridad de Impresoras


Introduccin
Puede ser que usted quiera configurar la prioridad de la impresora para
dos impresoras que imprimen en el mismo dispositivo de impresin. Esta
configuracin le garantiza que la impresora con la mayor prioridad utilice
el dispositivo de impresin antes que la impresora con la menor
prioridad.
Esta es una buena estrategia si la impresora con la menor prioridad solo
esta disponible durante horas donde la oficina est cerrada y tiene
muchos documentos esperando a ser impresos. Si usted debe imprimir
en el dispositivo de impresin, puede seleccionar la impresora con la
mayor prioridad, y su trabajo se mover al principio de la cola.
Objetivos de la Sesin
Tras completar esta sesin, usted ser capaz de:

Explicar el propsito de las prioridades de impresin


Establecer Prioridades de impresin

Qu es la prioridad de impresoras?
Introduccin
Establezca las prioridades entre impresoras para priorizar documentos
que imprimen en el mismo dispositivo de impresin. Para hacer esto,
cree mltiples impresoras apuntando al mismo dispositivo de impresin.
Los usuarios pueden enviar entonces documentos urgentes o
importantes a una impresora de alta prioridad y documentos que no son
tan importantes a una impresora de baja prioridad. Los documentos
enviados a una impresora de alta prioridad sern impresos primero.
Tareas Clave
Para establecer prioridades entre dos impresoras, lleve a cabo las
siguientes tareas:
Apunte dos o ms impresoras al mismo dispositivo de impresin
(el mismo puerto). El puerto puede ser un puerto fsico en el
servidor de impresin o un puerto que apunta a un dispositivo de
impresin de interfase de red.

Establezca una prioridad diferente para cada impresora que est


conectada al dispositivo de impresin, y despus asigne diferentes
grupos de usuarios en diferentes impresoras. Usted puede hacer
que los usuarios manden documentos con alta prioridad a la
impresora con la ms alta prioridad y documentos con baja
prioridad a la impresora con la prioridad ms baja.
- 340 -

Windows Server 2003

Divisin Empresas

Como utilizar prioridades


Usted puede expedir documentos que deben ser impresos
inmediatamente. Los documentos enviado por los usuarios con altos
niveles de prioridad pueden sobrepasar a una cola de documentos de
baja prioridad esperando a ser impresos. Si dos impresoras lgicas estn
asociadas con la misma impresora, Windows Server 2003 enva primero
documentos con el nivel de prioridad ms alto a la impresora.
Para utilizar las prioridades de impresora, cree muchas impresoras
lgicas para la misma impresora. Asigne a cada una un diferente nivel
de prioridad y despus cree un grupo de usuarios que corresponda a
cada impresora. Por ejemplo, los usuarios en el grupo 1 pueden tener
derechos de acceso a la impresora de prioridad 1, los usuarios en el
grupo 2 pueden tener derechos de acceso a la impresora con prioridad
2, etc

Como establecer Prioridad de Impresoras


Introduccin
La prioridad de impresoras es utilizada frecuentemente si dos o ms
impresoras imprimen en el mismo dispositivo de impresin. Utilice el
siguiente procedimiento para establecer prioridad de impresoras.
Procedimiento
Para establecer diferente prioridades de impresin para diferentes
grupos:
1. En Impresoras y Faxes, haga clic derecho en la impresora que quiera
establecer, y despus haga clic en Propiedades.
2. En el cuadro de dilogo de Propiedades, en la pestaa de Opciones
Avanzadas, en el espacio de Prioridad, introduzca un nivel de
prioridad, donde 1 es el nivel ms bajo y 99 es el ms alto.
3. Haga clic en Aceptar
4. Haga clic en Agregar Impresora para agregar una segunda
impresora lgica para la misma impresora fsica.
5. En la pestaa de Opciones Avanzadas, en Prioridad, establezca
una prioridad ms alta que la de la primera impresora lgica.

- 341 -

Windows Server 2003

Divisin Empresas

Prctica: Estableciendo Prioridad de Impresoras


Objetivo
En esta prctica usted establecer la prioridad de impresoras.
Instrucciones
Antes de comenzar esta prctica:

Inicie sesin como administrador.


Revise los procedimientos en esta sesin que describen como
llevar a cabo esta tarea.

Escenario
La empresa est probando la prioridad de impresoras que ms tarde
ser usada para programar la disponibilidad de las impresoras. Usted
debe crear dos impresoras que impriman en LPT2. Usted nombrar a
estas impresoras Impresora1 e Impresora2. La Impresora 1 tendr una
prioridad de 1 y la Impresora 2 tendr una prioridad de 99. Usted usar
la seguridad predeterminada para Impresora1. Usted deber remover el
grupo Todos para Impresora2 y otorgar permisos de impresin al grupo
DL Comerciantes IT Personal para Impresora2.
Prctica
Establezca la prioridad para Impresora1.
Abra Impresoras y Faxes y cree una impresora utilizando la siguiente
informacin:

Puerto: LPT2
Controlador: HP LaserJet 5si
Nombre de la impresora: Impresora1
Nombre de impresora compartida: Impresora1
Permisos de impresora compartida: Otorgue
Impresin al grupo de usuarios autentificado.
Prioridad de la Impresora: 1

- 342 -

permisos

de

Windows Server 2003

Divisin Empresas

Establezca la prioridad para la Impresora2.


Abra Impresoras y Faxes y cree una impresora usando la siguiente
informacin:

Puerto: LPT2
Controlador: HP LaserJet 5si
Nombre de la impresora: Impresora2
Nombre de impresora compartida: Impresora2
Permisos de impresora compartida:
Remueva el grupo Todos
Otorgue permisos de Impresin a DL NWTrader IT Personnel Print.
Prioridad de la Impresora: 99

- 343 -

Windows Server 2003

Divisin Empresas

Programar la disponibilidad de impresora


Introduccin
Esta sesin lo introduce a las habilidades y conocimiento que necesita
para programar la disponibilidad de impresoras.
Objetivos de la sesin
Tras completar esta sesin, usted ser capaz de:

Explicar cuando programar la disponibilidad de impresoras.


Describir los lineamientos para programar la disponibilidad de
impresoras.
Programar la disponibilidad de impresoras.

Cuando programar la Disponibilidad de Impresoras


Situaciones en las que programa disponibilidad de impresoras
Una manera para utilizar las impresoras eficientemente es programar
tiempos de impresin alternos para documentos grandes o
determinados tipos de documentos. Considere programar la
disponibilidad de impresoras en las siguientes situaciones.
Programar disponibilidad de impresoras si el trfico de la impresora es
fuerte durante el da y puede posponer el imprimir documento largos
dirigindolos a la impresora que imprime cuando la oficina est cerrada.
El spooler de impresin contina aceptando documentos, pero no los
enva a la impresora destino hasta el tiempo designado.
En lugar de dedicar un dispositivo de impresin exclusivamente para
imprimir cuando la oficina est cerrada, lo cual no representa un uso
eficiente de los recursos, usted puede establecer diferentes impresoras
lgicas para el mismo dispositivo de impresin. Usted puede entonces
configurar cada una con diferentes tiempos. Una impresora puede estar
disponible de 6:00 P.M. a 6:00 A.M. y la otra puede estar disponible las
24 horas del da. Usted puede entonces notificarles a los usuarios que
enven documentos grandes a la impresora disponible de 6:00 P.M. a
6:00 A.M. y los dems documentos a la impresora disponible todo el
tiempo.

- 344 -

Windows Server 2003

Lineamientos para
impresora

Divisin Empresas

Programar

la

disponibilidad

de

la

Introduccin
Si usted programa la disponibilidad de la impresora, los usuarios y los
administradores de sistemas deben estar concientes de los
requerimientos de seguridad y del soporte adicional que necesita el
servidor de impresin.
Lineamientos
Considere los siguientes lineamientos cuando programa la disponibilidad
de la impresora:

Utilice seguridad para limitar quien puede utilizar la impresora


durante las horas en que sta se encuentra disponible.
Si usted quiere limitar a un grupo el tiempo en que puede utilizar
un dispositivo de impresin y al mismo tiempo quiere que otro
grupo pueda acceder al mismo dispositivo de impresin todo el
tiempo, entonces debe configurar dos impresoras para imprimir en
el mismo dispositivo de impresin. Usted debe tambin configurar
la seguridad adicional para aislar al grupo que necesita acceder a
la impresora todo el tiempo.

Ensee a los usuarios las nuevas reglas de impresin


Muchos usuarios estn acostumbrados a tener una impresora
disponible todo el tiempo. Cuando ellos se enfrentar a una
impresora que tiene una limitacin de horario, esos usuarios
podran tratar de reimprimir su trabajo y despus llaman al
soporte tcnico para ver por qu su trabajo no se ha impreso.
Ensee a estos usuarios que los trabajos de impresin estn
esperando en el servidor y que no deberan tratar de reimprimir su
trabajo.

Configure dos impresoras con diferentes programaciones de


tiempo para imprimir en el mismo dispositivo de impresin.
Si un dispositivo de impresin debe estar disponible todo el tiempo
para un grupo de personas y para otros solo durante un tiempo
determinado, configure dos impresoras para imprimir en el mismo
dispositivo de impresin.

- 345 -

Windows Server 2003

Divisin Empresas

Mantenga suficiente espacio en disco para albergar a los trabajos


que esperan ser impresos
Cuando usted programa una impresora para estar disponible solo
por determinadas horas, est al conciente de que los usuarios
pueden imprimir a deshoras y por lo tanto que la impresora tenga
los trabajos hasta que sea necesario. Por esto mismo es
importante que tenga suficiente espacio en disco libre para dar
soporte a esta funcin. Si esto se convierte en un problema y
usted no puede obtener ms espacio en disco, usted puede
establece cuotas en el volumen que tiene la cola de impresin.

Como programar la disponibilidad de la impresora


Introduccin
Siga el siguiente procedimiento para programar la disponibilidad de la
impresora.
Procedimiento:
Para programar la disponibilidad de la impresora:
1. En Impresoras y Faxes, haga clic derecho en la impresora que
quiera configurar y despus haga clic en Propiedades.
2. En el cuadro de dilogo de Propiedades, en la pestaa de
Opciones Avanzadas, haga clic en Disponible desde.
3. En los dos espacios a la derecha de Disponible desde, introduzca
un tiempo de inicio y de trmino, tal como 6:00 PM y 6:00 AM, y
despus haga clic en Aceptar.

- 346 -

Windows Server 2003

Divisin Empresas

Prctica: Programar la disponibilidad de la impresora


Objetivo
En esta prctica usted configurar la disponibilidad de la impresora
Instrucciones
Antes de comenzar esta prctica:
Inicie sesin como administrador
Asegrese de que tiene dos impresoras llamadas Impresora1 e
Impresora2 preparadas para imprimir en LPT2.
Revise los procedimientos en esta sesin para describir como
desarrollar esta tarea.
Escenario
La empresa est probando prioridades que sern usadas para programar
la disponibilidad de la impresora. Usted debe configurar la disponibilidad
par Impresora1 e Impresora2. Impresora1 deber tener un horario de
impresin de 12:00 A.M. a 6:00 A.M. e Impresora2 debe tener el horario
de impresin predeterminado.
Prctica
Configure el horario de impresin para Impresora1
Configure Impresora1 para estar disponible de 12:00 A.M. a 6:00
A.M.
Verifique que Impresora2 est disponible las 24 horas del da.
Abra el cuadro de dilogo de Propiedades para Impresora2 y
verifique que la impresora est disponible todo el tiempo.

Configurando una cola de Impresin


Introduccin
La informacin en esta sesin presenta las habilidades y el conocimiento
que usted necesitar para configurar una cola de impresin.
Objetivos de la sesin
Tras

completar esta sesin, usted ser capaz de:


Explicar el propsito de una cola de impresin.
Explicar el porque de configurar una cola de impresin.
Explicar el proceso para configurar una cola de impresin.
Configurar una cola de impresin.

- 347 -

Windows Server 2003

Divisin Empresas

Como configurar una cola de impresin


Introduccin
Las piscinas de impresin son muy comunes en reas con alto volumen
de impresin. Utilice el siguiente procedimiento para configurar una de
impresin.
Procedimiento
Para configurar una cola de impresin:
1. En Impresoras y Faxes, haga clic derecho en la impresora que est
utilizando, y despus elija Propiedades.
2. En el cuadro de dilogo de Propiedades, en la pestaa de Puertos,
seleccione la casilla de verificacin de Habilitar la cola de la
impresora.
3. Seleccione la casilla de verificacin para cada puerto al que la
impresora que quiere agregar est conectada y despus haga clic
Aceptar.
Nota: Con la cola de impresin, las impresoras deben tener el mismo
tipo de impresora utilizando el mismo tipo de controlador.

- 348 -

Windows Server 2003

Divisin Empresas

Prctica: Configurar una cola de impresin


Objetivo
Es esta prctica, usted configurar una cola de impresin.
Instrucciones
Antes de que comience esta prctica:
Inicie sesin como Administrador.
Revise el procedimiento en esta sesin que describe como llevar a cabo
esta tarea.
Escenario
La empresa est probando la implementacin de piscinas de impresin.
Usted debe crear una impresin que imprima a LPT1 o LPT2 y lo
configure para se utilizada en una cola de impresin. La impresora ser
llamada PrntPool1 y utilizar un controlador de HP LaserJet 5si.
Prctica
Cree una impresora para ser utilizada en una cola de impresin
1. Abra Impresoras y Faxes, y cree una impresora utilizando la
siguiente informacin:

Puerto: LPT1
Controlador: HP LaserJet 5Si
Nombre de la Impresora: PrntPool1
Nombre de la impresora compartida: PrntPool1
Permisos de la impresora compartida: Otorgue los permisos
de impresin a los usuarios autentificados

2. Configure PrntPool1 para la cola de impresin con los siguientes


puertos:
LPT1
LPT2

- 349 -

Windows Server 2003

Divisin Empresas

Evaluacin: Administrando la impresin


Objetivos
Tras completar esta prctica, usted ser capaz de:
Instalar Impresoras
Crear una cola de impresin
Estableces prioridad y programar la disponibilidad de la impresora.
Instrucciones
Antes de trabajar en este laboratorio:

Inicie sesin como Administrador.


Asegrese de que tienen una impresora local creada en LPT1
llamada Impresora NombreComputadora CentrodeDatos.

Tiempo estimado para completar esta prctica: 20 minutos


Ejercicio 1
Creando Piscinas de Impresin
En este ejercicio, usted instalar impresora y crear una cola de
impresin.
Escenario
La oficina central en Cuernavaca necesita la ayuda de todos los
administradores de sistemas. La empresa se est fusionando con ICAA.
Como consecuencia de esta adquisicin, muchas impresoras nuevas
deben ser configuradas como piscinas de impresin en la oficina
corporativa. La oficina corporativa en Londres necesita su ayuda para
configurar las nuevas impresoras en un servidor llamado icam.
Para ayudarlo a crear estas nuevas impresoras, los ingenieros en
sistemas han provedo una tabla que enlista las impresoras que cada
administrador de sistemas debe crear y especificar informacin sobre las
impresoras. Usted debe iniciar sesin como administrador. Todos los
dispositivos de impresin son HP LaserJet 5 Si y todas las impresoras
estn localizadas en la computadora remota llamada icam. El grupo local
de dominio llamado DL Comerciantes Personal Impresora Legal debe ser
el nico grupo que tenga permiso para estas impresoras.

- 350 -

Windows Server 2003


Tareas
1.
Conctese
al
servidor
de
impresin
llamada
icam
2. Cree puertos de
dispositivo
de
impresin
3.
Cree
una
impresora para ser
utilizada como una
cola de impresin.

4. Permita la cola de
impresin y agregue
un
puerto
a
la
impresora.
5.
Configure
Seguridad

Divisin Empresas

Instrucciones Especficas
a. Desde ejecutar, escriba \\icam y despus
haga clic en Aceptar.
b. Desde \\icam, haga doble clic en
Impresoras y Faxes.
a. En la tabla de cuentas, encuentre su cuenta
de administrador y cree dos puertos de
dispositivo de impresin de acuerdo a la tabla.
a. En la carpeta Impresoras y Faxes en icam,
haga doble clic en Agregar Impresora.
b. En la tabla de cuentas, encuentre su cuenta
de estudiante, y despus cree una impresora
en red en icam con el puerto del dispositivo
de impresin, ubicacin y nombre de la
impresora compartida encontrados en la
tabla.
a. Permita la cola de impresin
b. En la tabla de cuentas, encuentre su cuenta
de estudiante en la lista, y despus haga clic
en el segundo dispositivo de impresin
enlistado en la tabla.
a. Configure el grupo DL Comerciantes
Personal Impresora Legal para que tengan
permiso de Impresin.
b. Remueva el grupo Todos.

Tabla de cuentas
Cuenta del
estudiante
CuernavacaAdmi
n
CuautlaAdmin

Puerto del
dispositivo de
impresin
192.168.3.26
192.168.3.27
192.168.3.28
192.168.3.29

DFAdmin

192.168.3.30
192.168.3.31

TolucaAdmin

192.168.3.32
192.168.3.33

MonterreyAdmin

192.168.3.34
192.168.3.35

Ubicacin

Nombre de la
impresora

Cuernavaca/Edifici
o 2/P1 1/Cuarto 01
Cuernavaca
/Edificio 2/P1
1/Cuarto 02
Cuernavaca
/Edificio 2/P1
1/Cuarto 03
Cuernavaca
/Edificio 2/P1
1/Cuarto 04
Cuernavaca
/Edificio 2/P1

Legal Pool 1

- 351 -

Legal Pool 2
Legal Pool 3
Legal Pool 4
Legal Pool 5

Windows Server 2003

Divisin Empresas

1/Cuarto 05
Ejercicio 2
Estableciendo Prioridades e Disponibilidad de la Impresora
En este ejercicio usted establecer la prioridad y disponibilidad de la
impresora.
Escenario
El centro de datos de su ciudad ha esta imprimiendo bitcoras de
eventos de impresin en la impresora de su servidor miembro, el cual es
llamado Impresora NombreComputadora del Centro de Datos. Estas
bitcoras estn archivadas y no se necesitan en el mismo da que los
reportes son generados. Usted debe crear otra impresora de manera que
los reportes puedan imprimirse entre 6:00 P.M. y 6:00 A.M. en la nueva
impresora y su equipo de tecnologas de informacin pueda imprimir
todava en la impresora existente.
Usted
nombrar
y
compartir
la
nueva
impresora
como
NombreComputadora Reportes. Reporte NombreComputadora tambin
imprimir LPT1. Configure la impresora NombreComputadora del Centro
de Datos de para tener una prioridad de 50 y Reporte
NombreComputadora para tener una prioridad de 10. Usted puede
conservar todas las preferencias de seguridad predeterminadas para las
impresoras
nuevas
y
existentes.
Debido
a
que
Reporte
NombreComputadora es una impresora que ser utilizada solo para
reportes usted no necesitar implantar la ubicacin de la impresora.
Tareas
Crear una impresora local

2. Configurar un horario de
impresora para
NombreComputadora Reportes
3. Configurar la prioridad de la
computadora para
NombreComputadora Reportes
4. Configurar prioridad de la
impresora para la Impresora

Instrucciones Especficas
Nombre
de
la
impresora:
NombreComputadora Reportes
Nombre
de
la
impresora
compartida:
NombreComputadora Reportes
Puerto:LPT1
Fabricante y Modelo: HP LaserJet 5si
Imprimir de 6:00 P.M. a 6:00 A.M.
Prioridad:10
Prioridad:50
- 352 -

Windows Server 2003

Divisin Empresas

NombredelaComputadora
CentrodeDatos

- 353 -

Windows Server 2003

Divisin Empresas

Unidad 12: Administrando el Acceso a objetos


de unidades Organizativas
La estructura de las Unidades Organizativas
Objetivos
Despus de completar esta sesin usted ser capaz de explicar cmo
usar unidades organizativas para manejar objetos.

Estructura de una Unidad Organizativa


Delegacin
Delegacin de
de
administracin
administracin

Herencia
Herencia

- 354 -

Windows Server 2003

Divisin Empresas

Modificando permisos para objetos del Active Directory


Introduccin
Cada objeto en Active Directory tiene un descriptor de seguridad que
definen qu cuentas tienen permiso para acceder el objeto y qu tipo de
acceso. El Microsoft Windows Server 2003 usa stos descriptores de
seguridad para controlar el acceso a los objetos.
Objetivos de la sesin
Despus de completar esta leccin, usted ser capaz de:

Explicar cuales son los permisos de objetos de Active Directory.


Describir las caractersticas de permisos de objeto de Active

Directory.
Describir permisos heredados para los permisos de objeto de
Active Directory
Describir los efectos de modificar objetos En permiso heredados.

Modificar permisos para los objetos del Active Directory.


Explicar qu permisos efectivos son para los objetos del Active
Directory.
Determine permisos efectivos para los objetos del Active Directory.

Cuales son los permisos para objetos de Active Directory


Introduccin
Los permisos de objeto del Active Directory dan seguridad a los recursos
permitindole a usted que administradores o usuarios puedan acceder
objetos individuales o atributos del objeto y el tipo de acceso permitido.
Usted utiliza permisos para asignar privilegios administrativos para una
unidad organizativa o una jerarqua de unidades Organizativas para
administrar el acceso de la red. Usted tambin puede utilizar permisos
para asignar privilegios administrativos para un solo objeto a un usuario
especfico o grupo.
Permisos Normales y especiales
Los permisos normales son los permisos frecuentemente concedidos y
consisten de una coleccin de permisos especiales. Los permisos
especiales le dan un grado ms alto de control Encima del tipo de
acceso que usted puede conceder para los objetos. Los permisos
normales incluyen lo siguiente:

Control Total
Escritura
- 355 -

Windows Server 2003

Divisin Empresas

Lectura
Crear todos los objetos Hijos
Eliminar todos los objetos hijos

Acceso autorizado por permisos


Un Administrador o el dueo del objeto deben conceder permisos para
los objetos antes de que los usuarios puedan accederlo. Windows Server
2003 proporciona una lista de permisos de acceso de usuario, llamado
discretionaly access control list (DACL), que es la lista de Contrlo de
Acceso Discrecional, para cada objeto En el Active Directory. El DACL
lista quien puede acceder al objeto y las acciones especficas que cada
usuario puede realizar en el objeto.

Caractersticas de los permisos par objetos del Active


Directory
Introduccin
Aunque los permisos de NTFS y los permisos de objeto de Active
Directory son similares, ciertas caractersticas son especficas para los
permisos de objeto de Active Directory. Pueden permitirse permisos de
objeto de Active Directory o pueden negarse, implcitamente o
explcitamente. Configurar como estndar o permisos especiales y
configurar el nivel del objeto o herencia de su objeto padre.
Permitiendo y Denegando Permisos
Usted puede permitir o puede denegar permisos. Los permisos negados
toman precedencia por encima de cualquier permiso que usted otorgue
por otra parte a las cuentas del usuario y grupos.
Niegue permisos slo cuando es necesario quitar un permiso que un
usuario tiene al ser un miembro de un grupo.
Permisos Implcitos o Explcitos
Usted puede implcitamente o explcitamente negar permisos como
sigue:

Cuando el permiso para realiza una funcin no esta explcitamente


permitida, esto es implcitamente denegado.
Por ejemplo, si el grupo Markentig, le es concedido permiso de
Lectura para un objeto del usuario, y ningn otra se Seguridad se
lista en el DACL para ese objeto, usuarios que no son miembros
del grupo Marketing se les niega el acceso implcitamente. El

- 356 -

Windows Server 2003

Divisin Empresas

sistema operativo no permite a usuarios que no son miembros del


grupo Marketing leer las propiedades del objeto del usuario.

Usted niega un permiso explcitamente cuando usted quiere


excluir un subconjunto dentro de un grupo ms grande de realizar
una tarea que el grupo ms grande tiene permisos para realizar.

Por ejemplo, puede ser necesario prevenir ver las propiedades de un


objeto del usuario a un usuario nombrado Don. Sin embargo, Don es un
miembro del grupo de Marketing que tiene permisos para ver las
propiedades del objeto del usuario. Usted puede impedirle a Don ver las
Propiedades del objeto del usuario negando explcitamente permiso de
Lectura.
Permisos Normales y Especiales.
La mayora de los permisos de Objetos del Active Directory puede
configurarse a travs de los permisos normales. Estos permisos son los
utilizados normalmente, sin embargo si usted necesita conceder un nivel
ms fino de permisos, usted usar permisos especiales.
Permisos heredados
Cuando los permisos son establecidos en un objeto padre, los nuevos
objetos heredan los permisos del padre. Usted puede quitar permisos
heredados, pero usted tambin puede re-habilitarlos si usted quiere.

Permisos Heredados para Permisos de Objetos del Active


Directory
Beneficios de permisos Heredados
Un objeto padre es cualquier objeto que tiene una relacin con otro
objeto llamado Hijo. Un objeto Hijo hereda permisos del objeto padre. La
herencia de permisos en Active Directory minimiza el nmero de veces
que usted necesita conceder permisos a los objetos.
Heredar permisos en Windows Server 2003 simplifica la tarea de
administrar permisos de la siguiente manera:

Usted no necesita aplicar permisos manualmente a los objetos


Hijos mientras ellos se crean.
Se aplican los permisos aplicados a un objeto padre de forma
consistente a todos los objetos hijos

- 357 -

Windows Server 2003

Divisin Empresas

Cuando usted necesita modificar permisos para los objetos dentro


de un contenedor, usted slo necesita modificar los permisos para
el objeto padre. El Hijo toma automticamente estos cambios.

- 358 -

Windows Server 2003

Divisin Empresas

Efecto de modificar objetos en permisos heredados


Introduccin
Modificar objetos del Active Directory afecta permisos heredados. Como
administrador del sistema, le pedirn que mueva objetos entre las
unidades organizativas en Active Directory cuando las funciones
organizativas o administrativas cambien. Cuando usted hace esto, los
permisos heredados cambiarn. Es indispensable que usted este
consciente de las consecuencias al modificar objetos del Active
Directory.
Efectos de mover objetos
Cuando usted mueve objetos entre las unidades organizativas, se
aplican las siguientes condiciones:

Permisos que son explcitamente fijos permanecen igual


Un objeto hereda permisos de la unidad organizativa a la que se
mueve.
Un objeto ya no hereda permisos de la unidad organizativa de la
que se mueve.

Nota: Cuando modifique objetos del Active Directory, usted puede mover
objetos mltiples al mismo tiempo.
Previnindose de Permisos Heredados
Usted puede prevenir heredar permisos a objetos Hijo de tal forma que
este no herede permisos de herencia de su objeto padre. Cuando usted
previene herencia, slo el permiso que usted puso explcitamente se
aplica.
Cuando usted previene permisos heredados, Windows Server 2003, le
permite:

Copiar permisos heredados al objeto. Los nuevos permisos son


permisos explcitos para el objeto. Ellos son una copia de los
permisos que el objeto hered previamente de su objeto padre.
Despus de que los permisos heredados son copiados, usted
puede hacer cualquier cambio necesario a los permisos.
Quite permisos heredados del objeto. Quitando estos permisos,
usted elimina permisos del objeto. Entonces, usted puede
conceder cualquier nuevo permiso que usted quiera para el objeto.

- 359 -

Windows Server 2003

Divisin Empresas

Como modificar permisos para objetos de Active Directory


Introduccin
Windows Server 2003 determina si un usuario es autorizado para usar
un objeto verificando los permisos otorgados al usuario para ese objeto
los cuales estn listados en el DACL. Cuando usted permite o niega
permisos para un objeto, esa configuracin sobrescribe permisos
heredados desde un objeto padre.
Procedimiento
Para agregar permisos
Para agregar permisos para un objeto:
1. Si la opcin caractersticas avanzadas aun no est habilitada, en
Usuarios y Equipos de Active Directoy, en el men de Ver, clic en
Caractersticas Avanzadas.
2. En la consola de rbol, clic derecho sobre el objeto y clic en
Propiedades.
3. En la cuadro de dilogo de Propiedades, en la etiqueta de
Seguridad, clic en Agregar
4. En el cuadro de dialogo Seleccionar Usuarios, equipos o
Grupos, en la cuadro Nombre, escriba el nombre del usuario o
Grupo a los que usted quiere agregar permisos y posteriormente
clic Aceptar.
Procedimiento para modificar permisos
Para modificar un permiso existente:
1. Si la opcin Opciones Avanzadas aun no estn habilitadas, en
Usuarios y Equipos de Active Directoy, En el men Ver, clic en
Opciones Avanzadas.
2. En la consola de rbol, clic derecho en el objeto y clic en
Propiedades.
3. En el cuadro de dialogo Propiedades, en la etiqueta Seguridad,
en el cuadro Permisos active las casillas Permitir o Denegar
para cada permiso que usted quiere permitir o negar.

- 360 -

Windows Server 2003

Divisin Empresas

Procedimiento para ver permisos especiales


Los permisos normales son suficientes para la mayora de las tareas
administrativas. Sin embargo, usted pueda necesitar ver los permisos
especiales que constituyen un permiso normal.
Para ver permisos especiales:
1. En el cuadro de dialogo Propiedades para el objeto, en la
etiqueta Seguridad, clic en Opciones Avanzadas.
2. En el cuadro de dialogo Configuracin de Seguridad
Avanzada, en la etiqueta Permisos, clic en la entrada que quiere
ver, y posteriormente clic en Modificar.
3. Para ver permisos para los atributos especficos, en el cuadro de
dialogo Entrada de permiso para clic en la etiqueta
Propiedades.
Procedimiento para modificar herencia del permiso
Para modificar permisos heredados:
1. En el cuadro de dilogo de Propiedades para el objeto, en la
etiqueta de Seguridad, clic en Opciones Avanzadas.
2. En el cuadro de Configuracin de Seguridad Avanzada, en la
etiqueta Permisos, clic en la entrada que usted quiere ver, y clic
en Modificar
3. En cuadro de dialogo Entrada de permiso para, en la etiqueta
Objeto, en el cuadro Aplicar en, seleccione la opcin que usted
quiera.

Que son los permisos efectivos para objetos de Active


Directory?
Introduccin
Usted puede utilizar
la herramienta de Permisos Efectivos para
determinar cuales son los permisos para un objeto del Active Directory.
La herramienta calcula los permisos que se conceden al usuario
especfico o grupo y tienen en cuenta los permisos que tienen efecto en
el nmero de miembros del grupo y cualquier permiso heredado de
objetos padre.

- 361 -

Windows Server 2003

Divisin Empresas

Caractersticas
Los permisos efectivos para los objetos del Active Directory tienen las
siguientes caractersticas:

Los permisos acumulativos son la combinacin de permisos del


Active Directory concedidos al usuario y cuentas del grupo.
Denegar los permisos sobrescribe los permisos heredados. Los
permisos explcitos asignados toman prioridad
Cada objeto tiene un dueo, aun en un volumen NTFS o el Active
Directory. El propietario controla cmo los permisos son asignados
en el objeto y a quien se conceden los permisos.
Por defecto, En Windows Server 2003, el propietario es el Grupo
Administradores. El propietario siempre puede cambiar permisos
para un objeto, incluso cuando el propietario tiene negado el
acceso total al objeto.
El propietario actual puede concederle el permiso de propiedad a
otro usuario, lo que le permitir a ese usuario tomar posesin de
este objeto en cualquier momento. El usuario actualmente deber
tomar posesin de la transferencia de propiedad.

Recuperando Permisos eficaces


Para recuperar informacin sobre los permisos efectivos en Active
Directory, usted necesita el permiso para leer informacin del nmero de
miembros. Si el usuario especificado o el grupo es un objeto del dominio,
usted debe tener permiso para leer la informacin del nmero de
miembros del objeto sobre el dominio. Los usuarios siguientes tienen
permisos predeterminados del dominio:

Administradores del dominio tienen permiso para leer informacin


del nmero de miembros en todos los objetos
Los administradores locales en una estacin de trabajo o en el
servidor independiente no pueden leer informacin del nmero de
miembros para un usuario del dominio.
Los usuarios del dominio autenticados slo pueden leer
informacin del nmero de miembros cuando el dominio est en
modo de compatibilidad Anterior a Windows 2000.

- 362 -

Windows Server 2003

Divisin Empresas

Como determinar permisos efectivos para Active Directory?


Introduccin
Use el procedimiento siguiente para ver el registro de actividades de
permisos efectivos para los objetos del Active Directory.
Procedimiento
Para ver el registro de los permisos efectivos:
1. En Usuarios y equipos de Active Directory, en consola de rbol,
busque la unidad organizativa en la cual usted
quiere ver
permisos efectivos.
2. Clic derecho en la unidad organizativa u objeto, y clic en
Propiedades.
3. En el cuadro de dilogo Propiedades, En la etiqueta Seguridad,
clic en Opciones Avanzadas.
4. En el cuadro de dialogo de Configuracin de Seguridad
Avanzada, en la etiqueta Permisos Efectivos, clic en
Seleccionar.
5. En el cuadro de dialogo Seleccionar Usuario, Equipo o Grupo,
en el cuadro Escriba el nombre del objeto a Seleccionar,
escriba el nombre de un usuario o grupo, y clic en Aceptar.
Las casillas de verificacin indican los permisos eficaces del usuario o
grupo para ese objeto.

- 363 -

Windows Server 2003

Divisin Empresas

Practica: Modificando permisos para objetos de Active


Directory
Objetivo
En esta prctica, usted podr:

Quitar los permisos heredados para su de unidad organizativa


ciudad.
Documentar los cambios de seguridad hechos a su unidad
organizativa ciudad.
Instrucciones
Antes de empezar esta prctica:

Inicie sesin en el dominio


Abra MMCPersonal con el comando Ejecutar.
Asegrese que MMCPersonal contiene Usuarios y Equipos de
Active Directory
Asegure que usted est viendo Caractersticas Avanzadas de
Usuarios y equipos de Active Directory.
Revise los procedimientos de esta sesin que describen cmo
realizar esta tarea.

Escenario
El ingeniero de sistemas de la compaa ha delegado control
administrativo
a
los
administradores
en
cada
ubicacin
NombreComputadora. Usted necesita determinar qu permisos estn
heredados a su unidad organizativa
de NombreComputadora, y
posteriormente quita todos los permisos heredados. Documente los
resultados de cada paso para quitar permisos heredados.
Practica
Documente la Seguridad para su unidad organizativa Ciudad.
1. Abra Usuarios y Equipos de Active Directory.
2. Vea las configuraciones de Seguridad para su unidad organizativa
NombreComputadora haciendo a lo siguiente:
a. Clic
derecho
en
su
unidad
organizativa
NombreComputadora, y clic en Propiedades.
b. En el cuadro de dialogo Propiedades, clic en la etiqueta
Seguridad.
- 364 -

Windows Server 2003

Divisin Empresas

3. Documente el grupo o nombres de los usuarios que heredaron o


tienen permisos explcitos en la tabla siguiente. Escrbale una Y
para Si en Heredado o
Explcito para cada elemento en el grupo o en la columna
nombres de usuario.
Un permiso explcito tiene una casilla de verificacin seleccionada
dentro de Permitir o Denegar. Invariable y permisos heredados
tienen una casilla de verificacin seleccionada sombreada dentro
de Permitir o Denegar.
Grupo o nombres del usuario
Ejemplo: Operadores de Cuenta
Operadores de cuenta
Administradores
Usuarios autenticados
DL NombreComputadora UO
Administradores
Administradores de Dominio
Administradores de organizacin
DOMINIO DE ORGANIZACIN
CONTROLADORES
Acceso Compatible Anterior
Windows 2000
Operadores de Impresin
System

Heredado
Y
Y
Y

Expicito

Y
Y
Y
Y
Y
Y
Y
Y

Quitar permisos heredados


1. En el cuadro de dialogo Propiedades en su unidad organizativa
ciudad, clic en Opciones Avanzadas.
2. En el cuadro de dialogo Configuracin de Seguridad
Avanzada, en la etiqueta Permisos, desactive la casilla Permitir
que los permisos heredables del primario se propaguen a
este objeto y a todos los objetos secundarios. Incluirlos
junto con las entradas indicadas aqu de forma explicita.
3. En el cuadro de dilogo Seguridad, clic en Quitar.
4. En el cuadro de dialogo Configuracin de Seguridad
Avanzada, pulse el botn Aceptar.

- 365 -

Windows Server 2003

Divisin Empresas

Documente los cambios seguridad para su unidad organizativa ciudad


1. Abra Usuarios y Equipos de Active Directory.
2. Vea la configuracin de Seguridad para su unidad organizativa
NombreComputadora haciendo lo siguiente:
a. Clic
derecho
sobre
la
unidad
organizativa
NombreComputadora, y clic en Propiedades.
b. En el cuadro de dilogo Propiedades, clic en la etiqueta
Seguridad.
3. Documente el grupo o nombres de usuarios que han heredado
permisos explcitos en la tabla siguiente. Escriba a un Y dentro de
Heredado o Explcito para cada elemento en la columna de Grupo
o nombre de usuario.
Un permiso explcito tiene una casilla de verificacin seleccionada
dentro de Permitir o Denegar.
Invariable y permisos heredados tienen una casilla de verificacin
seleccionada sombreada dentro de Permitir o Denegar.

Grupo o nombres de usuario

Heredado

Ejemplo: Operadores de Cuenta


Operadores de Cuenta
Administradores
Usuarios autenticados
DL
NombreComputadora
UO
Administradores
Administradores del Dominio
Administradores de organizacin
DOMINIO DE ORGANIZACIN
CONTROLADORES
Acceso Compatible Anterior Windows
2000
Operadores de Impresin
System

Y
Y

- 366 -

Explcito

Y
Y
Y
Y

Y
Y

Windows Server 2003

Divisin Empresas

Delegando el control de unidades organizativas


Introduccin
El Active Directory le permite administrar eficientemente objetos
delegando control administrativo de los objetos. Usted puede usar el
Asistente para delegacin de Control y personalizar consolas de
Microsoft management Console (MMC) para conceder los permisos a los
usuarios especficos para realizar varias tareas administrativas
Objetivos de la sesin
Despus de completar esta sesin usted ser capaz de:

Describir lo que significa delegar control de una unidad


organizativa.
Describir el propsito y funcin de la Asistente para Delegacin de
Control
Delegar control de una unidad organizativa utilizando el asistente
para delegacin de control

Que es la delegacin de Control de una unidad organizativa


Definicin
Delegacin de control es la habilidad de asignar la responsabilidad de
manejar objetos Active Directory a otro usuario, grupo u organizacin.
Delegando control, usted puede eliminar la necesidad contar con
mltiples cuentas administrativas que tienen alto nivel de autoridad
Usted puede delegar los siguientes tipos de control:

Permisos para crear o modificar objetos En una unidad


organizativa especfica
Permisos para modificar atributos especficos de un objeto, como
conceder el permiso para restablecer contraseas En una cuenta
del usuario.

Por qu delegar control administrativo?


La administracin delegada en Active Directory ayuda a facilitar la carga
administrativa de manejar su red distribuyendo tareas administrativas
rutinarias a mltiples usuarios. Con administracin delegada, usted
puede asignar tareas administrativas bsicas a usuarios regulares o a
grupos y puede asignarles tareas administrativas a los usuarios
- 367 -

Windows Server 2003

Divisin Empresas

confiables en su Dominio de
Administradores de organizacin

Administradores

grupos

de

Delegando administracin, usted da a los grupos En su organizacin ms


control de sus recursos de la red local. Usted tambin ayuda a asegurar
su red de dao accidental limitando a los miembros del grupo de
administradores.
Formas de definir delegacin de control administrativo
Usted define delegacin de Control administrativo de las siguiente tres
maneras:

Cambie las propiedades de un contenedor particular.


Cree y anule objetos de un tipo especfico dentro de una unidad
organizativa, como usuarios, grupos, o impresoras.
Actualice propiedades especficas en los objetos de un tipo
especfico dentro de una unidad organizativa. Por ejemplo, usted
puede delegar el permiso para poner una contrasea en un objeto
del usuario o todos los objetos en una unidad organizativa.

El Asistente de Delegacin de Control


Introduccin
Usted utiliza el asistente para delegacin de control para seleccionar al
usuario o grupo a los que usted quiere delegar control. Usted tambin
utilizara el asistente para asignar permisos a usuarios para controlar
unidades organizativas y objetos, acceder y modificar objetos.
Delegar permisos
Usted puede utilizar el asistente para delegacin de Control para
conceder permisos en el nivel de la unidad organizativa. Usted podra
conceder permisos especiales adicionales manualmente al nivel del
objeto.
En Usuarios y equipos de Active Directory, clic derecho en la unidades
organizativas que usted quiere delegar control, y clic en Delegar
control para empezar el asistente. Usted tambin puede seleccionar la
unidad organizativa y posteriormente clic en Delegar control en el men
de Accin.

- 368 -

Windows Server 2003

Divisin Empresas

Opciones
La tabla siguiente describe las opciones en el Asistente para delegacin
de Control
Opciones
Usuarios o Grupos
Tareas a delegar

Tipo de objetos
Active Directory
Permisos

Descripcin
Las cuentas de usuario o grupos a los que usted
quiere delegar control
Una lista de tareas comunes, o la opcin para
personalizar una tarea. Cuando usted selecciona
una tarea comn, el asistente, resume sus
selecciones para completar el proceso de
delegacin. Cuando usted escoge personalizar
una tarea, el asistente presenta tipos de objeto
de Active Directory y permisos en donde puede
escoger.
de Solo tipos especficos de objetos en la unidad
organizativa especifica.
Los permisos a conceder para el objeto u
objetos.

Como delegar control de una unidad organizativa


Introduccin
Para conceder permisos a nivel de unidad organizativa, use el asistente
para delegacin de control usted puede conceder permisos para los
objetos administradores, o puede conceder permisos por manejar
atributos especficos de esos objetos. Usando el asistente para
delegacin de controles, el mtodo preferido para delegar control,
porque reduce la posibilidad de efectos no deseados de las asignaciones
de permisos.
Procedimiento para delegar control para las tareas comunes
Para delegar control administrativo para las tareas comunes:
1. Inicie el asistente para delegacin de control, realizando los pasos
siguientes,
a. En Usuarios y Equipos de Active Directory, clic sobre la
unidad organizativa para la que quiere delegar control.
b. En el men de Accin, clic en Delegar control.
2. En el asistente para delegacin de control, en la pantalla
Bienvenida, clic en Siguiente.
- 369 -

Windows Server 2003

Divisin Empresas

3. En la pagina Usuarios o grupos, seleccione un usuario o grupo al


que usted quiere conceder permisos, y clic Siguiente. Si no hay
usuarios o grupos desplegados para seleccionar haga lo siguiente:
a. Clic en Agregar
b. En el cuadro de dialogo Seleccionar Usuarios, Equipos o
Grupos, escribe el nombre de un usuario o grupo, y clic en
Aceptar.
4. En la pgina Tareas que se delegarn, especifique una o ms de
las siguientes tareas a delegar:

Crear, Borrar y administrar cuentas del usuario


Restablecer contraseas del usuario y forzar cambio de
contrasea de al prximo inicio de sesin
Leer informacin de todos los usuarios
Crear, Borrar y administrar grupos
Modificar el nmero de miembros de un grupo
Manejar enlaces de poltica de grupo

Nota: Usted puede delegar una tarea personalizada a usuarios o grupos


dando clic en Crear una tarea personalizada para delegar.
5. Clic en Siguiente.
6. En la pantalla de Finalizacin del asistente para delegacin de
control, clic en Finalizar.
Procedimiento
personalizada

para

delegar

control

para

una

tarea

Para delegar control administrativo para una tarea personalizada:


1. Inicie el Asistente para delegacin de control, realizando los pasos
siguientes,:
a. En Usuarios y Equipos de Active Directory, clic sobre la
unidad organizativa para la que quiere delegar control.
b. En el men de Accin, clic en Delegar control.
2. En el asistente para delegacin de control, en la pantalla
Bienvenida, clic en Siguiente.
3. En la pagina Usuarios o grupos, seleccione un usuario o grupo al
que usted quiere conceder permisos, y clic Siguiente.
4. En la pgina Tareas que se delegarn, clic en Crear una tarea
personalizada para delegar, clic en Siguiente.
5. En la pantalla Tipo de objeto de Active Directory, clic en
Siguiente.
6. En la pgina Permisos, especifique los permisos que usted quiere
conceder a la unidad organizativa o sus objetos.
- 370 -

Windows Server 2003

Divisin Empresas

- 371 -

Windows Server 2003

Divisin Empresas

Puede usted seleccionar los tipos siguientes de permisos:

General. Despliega los permisos ms comnmente usados


que estn disponible para la unidad organizativa
seleccionada o los objetos en la unidad organizativa.
Especifico de la propiedad. Despliega todos los atributos de
permiso disponibles a ese tipo de objetos
Creacin o eliminacin de objetos secundarios especificos.
Despliega permisos que usted necesita para crear nuevos
objetos en la unidad organizativa.
7. Clic en Siguiente.
8. En la ventana Finalizacin del asistente para delegacin de control,
clic en Finalizar.

Practica: Delegando Control de una Unidad Organizativa


Objetivo
En esta prctica, usted podr:

Delegar control de la unidad organizativa Computadoras.


Analizar permisos delegados para la unidad organizativa de la
Computadoras.
Delegar control de la unidad organizativa Usuarios.
Analizar permisos delegados para la unidad organizativa Usuarios.

Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio


Abra MMCPersonal.
Asegrese que MMCPersonal contiene a Usuarios y equipos de
Active Directory.
Repase los procedimientos de esta sesin que describen como
realizar esta tarea.

- 372 -

Windows Server 2003

Divisin Empresas

Escenario
Para distribuir la carga de trabajo entre administradores, la empresa
quiere que los administradores puedan hacer tareas especficas en sus
unidades organizativas designadas. Las tareas siguientes deben
delegarse en las siguientes unidades organizativas:

Unidad
organizativa:
Ubicaciones/NombreComputadora/Computadoras
Tarea: Crear y eliminar cuentas de equipo en la unidad
organizativa
Unidad
organizativa:
Ubicaciones/NombreComputadora/Computadoras
Tarea: Restablecer contraseas de usuario y cambio de contrasea
obligatorio en el prximo inicio de sesin
Tarea: Leer toda la informacin del usuario

Prctica
Delegar Control de la unidad organizativa de la Computadoras
1. En Usuarios y equipos de Active Directory, en la consola de rbol,
navegue hasta la unidad organizativa NombreComputadora, clic
derecho en Computadoras y clic en Delegar control.
2. En el asistente para delegacin de control, en la pantalla
Bienvenida, clic en Siguiente.
3. En que la ventana Usuarios o grupos, agregue el usuario y clic en
Siguiente.
4. En la pantalla de Tareas para delegar, clic en Crear una tarea
personalizada para delegar, y clic en Siguiente.
5. En la pantalla Tipo de objeto de Active Directory, clic en Solo
Los siguientes objetos en la carpeta, y active la casilla
Equipo objetos.
6. Seleccione las casillas Crear los objetos seleccionados en esta
carpeta y Eliminar los objetos seleccionados en esta
carpeta, clic en Siguiente.
7. En la ventana Permisos active la casilla General
8. Dentro de Permisos , seleccione las casillas de verificacin
Escribir y Leer y clic en Siguiente
9. En la ventana Finalizacin del asistente para delegacin de
control, clic en Finalizar

- 373 -

Windows Server 2003

Divisin Empresas

Evaluar los permisos para la unidad organizativa Computadoras


1. Cierre MMCPersonal, y posteriormente brala de nuevo sin usar el
comando Ejecutar.
2. En Usuarios y equipos de Active Directory, cree una cuenta de
equipo que use los siguientes parmetros:
a. Ubicacin: Ubicaciones/NombreComputadora/Computadoras
b. Nombre de cuenta de equipo: Primeras tres letras de la
ciudad y Test (Ejemplo: Cuetest)
Usted debe poder crear una cuenta de equipo en la unidad
organizativa Ubicaciones/NombreComputadora/Computadoras.
3. Cierre Usuarios y equipos de Active Directory.
Delegar control de la unidad organizativa Usuarios
1. Abrir Usuarios y equipos de Active Directory con usando el
comando
Ejecutar
usando
la
cuenta
de
NombreComputadoraAdmin.
2. Navegue a su unidad organizativa NombreComputadora y clic
derecho en Usuarios y elija Delegar Control.
3. En el asistente para delegacin de control, nn la pantalla
Bienvenida, clic en Siguiente.
4. En
la
pantalla
Usuarios
o
grupos,
agregue
el
NombreComputadoraUsuario y clic en Siguiente.
5. Delegue las tareas comunes siguientes:
a. Restablecer contraseas del usuario y forzar cambio de
contrasea obligatorio en el prximo inicio de sesin
b. Leer toda la Informacin del usuario
6. Clic en Siguiente, y clic en Finalizar.
Evaluar sus permisos para la unidad organizativa usuarios
1. Cierre MMCPersonal, y posteriormente brala de nuevo sin usar el
comando Ejecutar
2. En Usuarios y equipos de Active Directory, navegue hacia la
unidad organizativa Ubicaciones/NombreComputadora/Usuarios.
3. Intente borrar una cuenta del usuario.
Usted no lo lograra.
4. Intente habilitar o deshabilitar alguna cuenta del usuario.
Usted no lo lograra.
5. Restablezca la contrasea de cualquier usuario.
Usted debe poder restablecer cualquier contrasea de usuario
dentro
de
la
unidad
organizativa
Ubicaciones/NombreComputadora/Usuarios
- 374 -

Windows Server 2003

Divisin Empresas

Evaluacin: Administrando el acceso a objetos en unidades


organizativas
Objetivos
Despus de completar esta practica, usted el ser capaz de administrar
el acceso a los objetos en unidades Organizativas.
Instrucciones
Antes comenzar esta practica:

Inicie sesin en el dominio usando la cuenta de usuario


NombreComputadora
Abra MMCPersonal usando el comando Ejecutar.
Asegure que MMCPersonal contiene Usuarios y equipos de Active
Directory.

Tiempo estimado: 15 minutos


Ejercicio 1
Delegando Control Administrativo
En este ejercicio, usted delegara control administrativo de objetos en
una unidad organizativa.
Escenario
La compaa quiere que todo personal de IT sea capaz de crear, eliminar
y modificar grupos en todas las unidades organizativas de ciudad. Usted
debe delegar autoridad en su unidad organizativa NombreComputadora
para habilitar un grupo global llamado G Comerciantes Personal IT para
tener permisos de crear, eliminar y administrar grupos as como para
modificar nmero de miembros de un grupo.
Tarea
Delegar control de la
Unidad organizativa
NombreComputadora/Grup
os

Instruccin Especifica
Unidad Organizativa:
icam.com.mx/Ubicaciones/NombreComputadora
Grupos
Usuarios o grupos: G Comerciantes Personal IT
Tareas a delegar
o Crear, eliminar y administrar grupos
o Modificar la pertenencia de un grupo

Ejercicio 2
- 375 -

Windows Server 2003

Divisin Empresas

Documentando seguridad de un objeto en Active Directory


En este ejercicio, usted documentar la configuracin de seguridad del
objeto creado en la unidad organizativa delegada.
Escenario
Usted ha creado muchos grupos en una unidad organizativa delegada, y
le han pedido que documente qu permisos han heredado uno de esos
grupos. Escriba la informacin el la tabla siguiente para documentar los
permisos del grupo.
Tarea
Pasos detallados
1. Documente los permisos
Documente los permisos
especiales para un grupo creado
especiales para el grupo G
en una unidad organizativa
Comerciantes Personal IT
delegada

- 376 -

Windows Server 2003

Divisin Empresas

Unidad 13: Implementando Directivas de grupo


Implementando objetos de directivas de grupo.
Introduccin
Despus de completar esta sesin, los estudiantes implementaran
GPOs.
Objetivos de la Sesin
Despus de completar esta sesin, usted ser capaz de:

Explicar que es una Directiva de Grupo


Describir los parmetros de configuracin de los usuarios y grupos.
Establecer una configuracin de Directiva de Equipo local.

Qu es Directiva de Grupo?
Definicin
El servicio de directorio Active Directory usa Directiva de Grupo para
manejar a los usuarios y equipos en su red. Al usar Directiva de grupo,
usted puede definir el estado de un usuario dentro del entorno de
trabajo, y posteriormente confiar en Windows Server 2003 para dar
fuerza a la configuracin de Directiva de Grupo que usted defini. Usted
puede aplicar configuracin de Directiva de Grupo a una organizacin
entera, o usted puede aplicar la configuracin de Directiva de Grupo a
grupos especficos de usuarios y equipos.

Cules son los parmetros de configuracin de Usuario y


Computadora?
Introduccin
Usted puede forzar la configuracin de Directivas de Grupo para las
computadoras y usuarios usando la configuracin del equipo y la
configuracin de usuario que ofrece Directivas de Grupo.
Configuracin del Usuario
Las configuraciones de Directiva de Grupo para los usuarios incluyen
comportamiento especfico del sistema operativo, la configuracin del
escritorio, configuracin de seguridad, opciones de aplicacin asignadas
o
publicadas,
configuracin
de
aplicacin,
opciones
de
redireccionamiento de carpetas, y scripts de inicio y cierre de sesin. Se
aplican configuracin de Directiva de grupo usuario-relacionado cuando
los usuarios inician sesin en la computadora y durante el peridico del
ciclo de actualizacin.
La Configuracin de Directiva de Grupo personaliza el entorno del
escritorio del usuario, o refuerzan directivas lookdown en usuarios,
- 377 -

Windows Server 2003

Divisin Empresas

estn contenidas en la configuracin del usuario en el Editor de


Objetos de Directivas de Grupo.
Configuracin del Software en Configuracin de usuario
La carpeta de Configuracin de Software dentro de Configuracin de
Usuario contiene Configuracin del Software que aplican a los usuarios
sin tener en cuenta en que computadora iniciaron sesin. Esta carpeta
tambin contiene configuracin de instalacin de software, y podra
contener otras configuraciones que son puestas ah por fabricantes de
software independientes (ISVs).
Configuracin de Windows en Configuracin de usuario
La carpeta de Configuracin de Windows dentro de Configuracin de
Usuario contiene configuracin de Windows que aplican a los usuarios
sin tener en cuenta la computadora en la que iniciaron sesin. Esta
carpeta tambin contiene los elementos siguientes: Servicios de
instalacin remota, Configuracin de seguridad y Secuencia de
comandos.
Configuracin del equipo
Las configuraciones de Directivas de Grupo del equipo incluyen cmo se
comporta el sistema operativo, la conducta del escritorio, configuracin
de seguridad, inicio de la computadora y rutinas de cierre de sesin,
opciones de la aplicacin de computadoras asignadas, y configuracin
de aplicaciones. Los parmetros de las Directivas de Grupo de las
computadoras asignadas son aplicadas cuando inicializa el sistema y
durante el proceso de actualizacin en general, los parmetros de las
Directivas de Grupo de las computadoras relacionadas se usan sobre
conflictos entre parmetros de Directivas de grupo de usuarios
asignados.
Los parmetros de Directiva de Grupo que personalizan el entorno del
escritorio para todos los usuarios de una computadora, o dan fuerza a
directivas de seguridad en las computadoras de una red, estn
contenidas dentro de la Configuracin del equipo en el Editor de
Objetos de Directivas de Grupo.
Configuracin de Software en Configuracin del equipo
La carpeta Configuracin de Software en Configuracin del equipo
contiene configuracin de software que se aplica a todos los usuarios
que inicien sesin en la computadora. Esta carpeta contiene
configuracin de instalacin de software, y puede contener otras
configuraciones que son puestas all por ISVs.
Configuracin de Windows en Configuracin del equipo
- 378 -

Windows Server 2003

Divisin Empresas

La carpeta Configuracin de Windows dentro de Configuracin del


equipo contiene configuracin que se aplica a todos los usuarios que
inicien sesin en la computadora. Esta carpeta tambin contiene los
siguientes elementos: Configuraciones de seguridad y Archivos de
comandos.

- 379 -

Windows Server 2003

Divisin Empresas

Parmetros de seguridad para configuracin de usuarios y


equipos
Los parmetros de seguridad estn disponibles dentro de la carpeta de
Configuracin de Windows dentro de Configuracin del equipo y en
Configuracin de Usuario en el Editor de objetos de Directivas de Grupo.
Configuracin de seguridad y directivas de seguridad son reglas que
usted configura en una computadora o mltiples computadoras que
protegen recursos en la computadora o en la red. Con configuracin de
seguridad, usted puede especificar directivas de grupo de una unidad
organizativa, dominio o sitio.

Cmo establecer Configuracin de Directiva de


Computadora Locales
Introduccin
Para Editar un GPO local, usted debe iniciar sesin como un miembro del
grupo Administradores del Dominio, El grupo de Administradores de
organizacin, o del grupo Propietarios del creador de directivas de grupo.
Nota: Usted puede acceder al Editor de Objetos de Directivas de Grupo
desde las herramientas Administrativas o a travs de (MMC)
Procedimiento
Para configurar Directiva de equipo local:
1. Abrir el Editor de Objetos de Directivas de Grupo.
2. En la consola de rbol, doble clic sobre las carpetas para ver la
configuracin de directivas en el panel detalles.
3. En el panel de detalles, doble clic sobre una configuracin de
directiva para abrir el cuadro de dialogo Propiedades, y cambie los
parmetros de la directiva.

Prctica: Configurando directivas en un equipo local


Objetivo
En este ejercicio, usted configurar directivas a la computadora local
usando el Editor de Objetos de Directivas de Grupo.
Instrucciones
Antes de comenzar esta prctica:
Inicie sesin en el dominio usando la cuenta NombreComputadora
Abra MMCPersonal
Repase los procedimientos de esta sesin que describe cmo al
realizar esta tarea.

- 380 -

Windows Server 2003

Divisin Empresas

Escenario
El equipo de administradores de sistemas le ha pedido que pruebe
algunas configuraciones de la Directivas locales antes de que ellos
coloquen la configuracin de directiva a los servidores de produccin.
Usted pondr algunas configuraciones de directiva de equipo local en su
servidor y probar la configuracin de directivas para asegurarse que
funcionan.
Practica
Agregar al Editor
MMCPersonal

de

Objeto

de

Directiva

De

grupo

1. Abra MMCPersonal
2. Agregue el Editor de Objetos de Directivas de grupo.
3. Guarde MMCPersonal.
Impida a los usuarios cerrar el servidor usando configuracin de
directiva local
1.
2.
3.
4.
5.

En MMCPersonal, extienda el complemento, Directiva Equipo


local.
En la consola de rbol, extienda Configuracin de Usuario,
extienda Plantillas Administrativas, y pulse clic en Men Inicio
y barra de tareas.
En el panel detalles, doble clic en Quitar el comando Apagar e
impedir el acceso al mismo.
En el cuadro de dialogo Propiedades de Quitar el comando
Apagar e impedir el acceso al mismo, clic en Habilitada y
posteriormente clic en Aceptar.
Cierre y guarde todos los programas y reinicie el equipo.

Pruebe la directiva que impide a los usuarios apagar el servidor


1.
2.
3.

Inicie una sesin en el dominio usando la


cuenta
NombreComputadoraUsuario con una contrasea de P@ssw0rd en
el dominio de icam.
Clic en Inicio y verifique que el botn Apagar ha sido removido.
Cierre todo y reinicie el equipo.

- 381 -

Windows Server 2003

Divisin Empresas

Habilite el botn de Apagar en el servidor utilizando una


configuracin de directiva local.
1. Inicie sesin como NombreComputadoraUsuario con la contrasea
de P@ssw0rd en el dominio icam.
2. Abra MMCPersonal
3. En MMCPersonal, extienda el complemento, Directiva Equipo
local.
4. En la consola de rbol, extienda Configuracin de Usuario,
extienda Plantillas Administrativas, y pulse clic en Men Inicio
y barra de tareas.
5. En el panel detalles, doble clic en Quitar el comando Apagar e
impedir el acceso al mismo.
6. En el cuadro de dialogo Propiedades de Quitar el comando
Apagar e impedir el acceso al mismo, clic en No configurada
y posteriormente clic en Aceptar.
7. Cierre y guarde todos los programas y reinicie el equipo.
Pruebe la directiva local que permite a los usuarios apagar el
servidor
1.
2.
3.

Inicie una sesin en el dominio usando la


cuenta
NombreComputadoraUsuario con una contrasea de P@ssw0rd en
el dominio de icam.
Clic en Inicio y verifique que el botn Apagar ha sido habilitado.
Cierre todo y reinicie el equipo.

Implementando GPOs en un Dominio


Introduccin
Implementar Directivas de grupo en un dominio le proporciona mayor
control al administrador de la red encima de las configuraciones de la
computadora a lo largo de la estructura de la red. Tambin, usando
Directivas de Grupo en Windows 2003 Server, usted puede crear un
manejar un entorno de escritorio que se adapta a las responsabilidades
dentro del trabajo del usuario y nivel de experiencia, lo cual puede
decrementar el soporte requerido para la red.
Objetivos de la Sesin
Despus de completar esta sesin, usted ser capaz de:

Entender las herramientas usadas para crear GPOs.


Explicar qu es administracin GPO en un dominio.
Crear un GPO.
Explicar lo que es un enlace de GPO.
Explicar cmo configurar atributos de links GPO.
- 382 -

Windows Server 2003

Divisin Empresas

Explicar son heredados los permisos de Directiva de grupo en


Active Directory.

Herramientas usadas para crear gpos


Introduccin
Usted puede abrir al Editor de Objetos de Directivas de Grupo desde
otras herramientas para Editar GPOs.
Usuarios y equipos de Active Directory
Usted puede abrir al Editor de Objetos de Directivas de Grupo desde
Usuarios y equipos de Active Directory para administrar GPOs para los
dominios y las unidades organizativas. En el cuadro de dialogo
Propiedades para un dominio o una unidad organizativa, hay una
etiqueta de la Directiva de grupo. En esta etiqueta, usted puede
manejar GPOs para el dominio o las unidades organizativas.
Sitios y Servicios del Active Directory
Usted puede abrir el Editor de Objetos de Directivas de Grupo de los
Sitios y Servicios del Active Directory para manejar GPOs para los sitios.
En la caja de dialogo Propiedades, hay una etiqueta de Directiva de
grupo. En esta etiqueta, usted puede manejar GPOs para el sitio.
Nota: Si la consola de Administracin de Directiva de grupo esta
instalada, el ADUC y ADSS son reemplazados por un botn para cargar la
consola de Administracin de Directiva de grupo.
Consola de Administracin de Directivas de Grupo.
La consola de Administracin de Directivas de grupo, es un conjunto de
interfaces programables para manejar Directivas de grupo, as como un
complemento de MMC que es creado en estas interfaces programables.
Junto con los componentes de administracin de Directivas de grupo
consolidan la administracin de Directivas de grupos de la empresa.
La consola de Administracin de Directivas de grupo combina la
funcionalidad de componentes mltiples en una sola Interfaz de usuario
(UI). El UI esta estructurado para indicar la manera que usted usa y
maneja Directivas de grupo. Esto incorpora funcionalidad relacionada
con Directivas de grupo de las siguientes herramientas dentro de un solo
complemento MMC:

Usuarios y Equipos de Active Directory


Sitios y Servicios de Active Directory
Resultant set of policy (RSoP)
- 383 -

Windows Server 2003

Divisin Empresas

- 384 -

Windows Server 2003

Divisin Empresas

La administracin de Directivas de Grupo tambin proporciona las


capacidades extendidas siguientes que no estaban disponibles en
herramientas de Directivas de Grupo anteriores. Con Administracin de
Directivas de Grupo, usted puede:

Respaldar y restaurar GPOs.


Copiar e importar GPOs.
Usar los filtros de Windows Management Instrumentation (WMI).
Reportar datos de GPO y RSoP.
Buscar GPOs.

Administracin de Directivas de Grupo VS herramientas de


Directivas de Grupo predeterminadas
Antes del Administrador de Directivas de Grupo, usted manej Directivas
de Grupo usando una variedad de herramientas basadas en Windows,
incluyendo Usuarios y equipos de Active Directory, Sitios y Servicios de
Active Directory y RSoP. El Administrador de Directivas de Grupo
conforma un ncleo de tareas de Directivas de Grupo en una sola
herramienta. Debido a no se requiere ya de otras herramientas.
Despus de instalar Administracin de Directivas de Grupo, usted usa
todava cada una de las herramientas del Active Directory para su
propsito de administracin, como crear usuarios, equipos, y los objetos
de grupo. Sin embargo, usted puede utilizar Administracin de Directivas
de Grupo para realizar todas las tareas relacionadas a un grupo. La
funcionalidad de Directivas de Grupo no estar disponible en las
herramientas del Active Directory hasta que la administracin Directivas
de Grupo es instalada.
La Administracin de Directivas de Grupo no reemplaza al Editor de
Objetos de Directivas de Grupo. Usted todava deba revisar GPOs usando
al Editor de Objetos de Directivas de Grupo. Directivas de Grupo integra
funciones de edicin otorgando acceso al Editor de objetos de Directivas
de Grupo.
Nota: La Consola de Administracin de directivas de grupo no viene con
Windows
Server
2003.Usted
debe
descargarla
de
http://www.microsoft.com.

- 385 -

Windows Server 2003

Divisin Empresas

Plantillas Administrativas
Hay varios archivos de plantillas con una extensin .adm que son
incluidos
con
Windows.
Estos
archivos,
llamados
Plantillas
Administrativas, proporcionan informacin de directivas para los
elementos que estn dentro de la carpeta de las Plantillas
Administrativas en la estructura de directorios del Editor de Objetos de
Directivas de Grupo. Las Plantillas administrativas incluyen configuracin
basadas en el registro que estn disponibles dentro de Configuracin del
equipo y Configuracin de usuario en el Editor de Objetos de Directivas
de Grupo.
Un archivo .adm consiste de una jerarqua de categoras y subcategoras
que definen cmo son mostrados los parmetros de las directivas.
Tambin contiene la informacin siguiente:

Registro de la ubicacin de cada parmetro


Opciones o restricciones en valores que son asociados con cada
parmetro
Para muchas configuraciones, un valor predefinido
Explicacin de lo que hace cada parmetro
Las versiones de Windows que soportan cada parmetro

Qu es Administracin de GPO en un Dominio?


Introduccin
Despus de que usted crea un GPO, usted configura los parametros para
ese GPO especfico. Agrupando colecciones de parametros en GPOs
separados, usted puede especificar parametros diferentes para cada
GPO para que cada GPO afecte slo a las computadoras y usuarios que
usted especifique. Cuando usted pone GPOs En un dominio, usted puede
manejar los parmetros de configuracin en un dominio de largo
alcance.
Contenedor de Directivas de Grupo
El contenedor de Directivas de Grupo es un objeto del Active Directory
que contiene atributos de GPO. Incluye subcontenedores para
informacin de la Directivas de Grupo sobre las computadoras y
usuarios. El contenedor Directivas de Grupo incluye la siguiente
informacin:

Versin de la Informacin. Asegura que se sincroniza la


informacin en el contenedor de Directivas de Grupo para todos
los controladores del dominio.
Status de la Informacin. Indica si el GPO se habilita o se
desactiva.
- 386 -

Windows Server 2003

Divisin Empresas

Lista de extensiones. Lista cualquiera de las extensiones de


Directivas de Grupo que se usan en el GPO.

Cmo Crear un GPO


Introduccin
Use los procedimientos siguientes para crear un nuevo GPO o unirse a
un GPO existente usando Usuarios y equipos de Active Directory y crear
un GPO en un sitio, dominio, o unidad organizativa.
Procedimiento usando Usuarios y Equipos de Active Directory
Crear un nuevo GPO o unirse un GPO existente usando Usuarios y
Equipos de Active Directory:
1. En Usuarios y equipos de Active Directory, clic derecho sobre el
contenedor del Active Directory (dominio o unidad organizativa)
para el cual usted quiere crear un GPO, y posteriormente clic en
Propiedades.
2. En el cuadro de dilogo Propiedades, en la etiqueta de Directivas
de Grupo, escoja una de las siguientes opciones:
a. Para crear un nuevo GPO, clic en Nuevo, teclee un nombre
para el nuevo GPO, y presione <Enter>.
b. Para unirse un GPO existente, clic en Agregar, y
posteriormente seleccione el GPO la lista.
El GPO que usted crea o el enlace se despliega en la lista de GPOs
que se unen al contenedor del Active Directory
Procedimiento usando Administracin de Directivas de Grupo
Para crear un GPO para un sitio, un dominio, o una unidad organizativa:
1. Clic en Inicio, elija Herramientas administrativas y clic en
Administracin de Directivas de Grupo.
2. En el Administrador de Directiva De grupo, en la estructura de
directorios, extienda el bosque que contiene el dominio en el que
usted quiere crear un nuevo GPO, extienda Dominios, y
posteriormente extienda el dominio.
3. Clic derecho en Objetos de Directivas de Grupo y clic en Nuevo
4. En el cuadro de dialogo Nuevo GPO, teclee un nombre para el
nuevo objeto de Directivas de Grupo, y clic en Aceptar.

- 387 -

Windows Server 2003

Divisin Empresas

Prctica: Creando un GPO


Objetivo de la sesin
En esta prctica, usted crear un GPO usando Administracin de
Directivas de Grupo.
Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio.


Abra el MMCPersonal
Asegrese de que MMCPersonal contiene Administracin de
Directivas de Grupo.
Revise los procedimientos de esta sesin que describen cmo
realizar esta tarea.

Escenario
Los ingenieros en sistemas de la empresa a probar configuracin
Directivas de Grupo en un ambiente de prueba. Estas configuraciones
Directivas de Grupo se usarn despus para la comprobacin
escalabilidad. Los ingenieros en sistemas requieren de su equipo
administradores para crear un GPO llamado NombreComputadoraGP
el contenedor de Objetos de Directivas de Grupo.

de
de
de
de
en

Prctica
Crear un GPO usando Administracin de Directivas de Grupo
1. En Administracin de Directivas de Grupo, extienda icam.com.mx.
2. Cree que un GPO llamado NombreComputadoraGP en el
contenedor de Objetos de Directivas de Grupo.

Que es un Enlace de GPO?


Introduccin
Todos los GPOs son guardados en un contenedor en Active Directory
llamado Objetos de la Directiva de Grupo. Cuando un GPO es usado por
un sitio, dominio, o unidad organizativa, el GPO se une al contenedor de
Objetos de Directiva de Grupo. Como resultado, usted puede administrar
y desplegar los GPOs de muchos dominios o unidades Organizativas.

- 388 -

Windows Server 2003

Divisin Empresas

Creando un GPO vinculado


Cuando usted crea que un enlace de GPO a un sitio, dominio, o unidad
organizativa, usted realiza dos operaciones separadas: creando el nuevo
GPO, y enlazndolo al sitio, dominio, o unidad organizativa. Al delegar
permisos para unirse un GPO a un dominio, unidad organizativa, o sitio,
usted debe tener permiso de Modificar en el dominio, unidad
organizativa, o sitio que usted quiere delegar.
Por defecto, slo miembros de los grupos Administradores de Dominio y
Administradores de organizacin. Tienen los permisos necesarios para
ligar GPOs a dominios, unidades Organizativas. Slo los miembros del
grupo Administradores de organizacin tienen los permisos para ligar
GPOs a los sitios. El grupo Propietarios del creador de directivas de
grupo puede crear GPOs pero no pueden ligarlos.
Creando un GPO desvinculado
Cuando usted crea un GPO en el contenedor de Objetos de Directivas de
Grupo, el GPO no se despliega a cualquier usuario o computadoras hasta
que un enlace de GPO se crea. Usted puede crear un GPO desenlazado
usando Administracin de Directivas de Grupo. Usted podra crear GPOs
desenlazados en una organizacin grande donde un grupo crea GPOs, y
otro grupo enlaza los GPOs al sitio requerido, dominio, o unidad
organizativa.

Cmo Crear un GPO vinculado


Introduccin
Use los procedimientos siguientes para crear y vincular GPOs, enlazar
GPOs, desenlazar GPOs, eliminar un vnculo de GPO, eliminar un GPO, y
deshabilitar un GPO.
Procedimiento para crear y vincular un GPO
Para vincular un GPO cuando lo crea:
1. En Administracin de Directivas de Grupo, En la estructura de
directorios, extienda la rama que contiene el dominio en el que
usted quiere crear y vincular un GPO, extienda Dominios, y
posteriormente haga uno de lo siguientes:

Para crear un GPO y vincularlo a un dominio, clic derecho en el


dominio, y posteriormente clic en Crear y vincular un GPO
aqu.
Para crear un GPO y Vincularlo a una unidad organizativa,
extienda el dominio que contiene la unidad organizativa, clic
derecho en la unidad organizativa, y clic en Crear y vincular
un GPO aqu.
- 389 -

Windows Server 2003

Divisin Empresas

2. En el cuadro de dialogo Nuevo GPO, teclee un nombre para el


nuevo GPO, y clic en Aceptar.
Procedimiento para unirse un GPO existente
Para vincular un GPO existente a un sitio, dominio, o unidad
organizativa:
1. En Administracin de Directivas de Grupo, en la estructura de
directorios, extienda la rama que contiene el dominio en el cual
usted quiere vincular un GPO existente, extienda Dominios y
posteriormente extienda el dominio.
2. Clic derecho en el dominio, sitio o unidad de organizativa y clic en
Vincular un GPO existente.
3. En el cuadro de dialogo Seleccionar GPO, clic en el GPO que
usted quiere vincular, y clic en Aceptar.
Importante: Usted no puede vincular un GPO a los contenedores de
Active Directory como los contenedores Usuarios y Computadoras. Sin
embargo, cualquier GPO vinculado al dominio aplica a usuarios y
computadoras en ese contenedor.
Procedimiento para el desenlazar un GPO
Para el desenlazar un GPO de un sitio, dominio, o unidad organizativa:
1. En Administracin de Directivas de Grupo, en la Estructura de
directorios, extienda la rama que contiene el dominio del que
usted quiere desplazar un GPO,
extienda Dominios, y
posteriormente extienda el dominio.
2. Clic derecho en el GPO enlazado, y posteriormente deshabilite la
opcin Vinculo habilitado.
Nota: desenlazar un GPO y eliminar un GPO tienen el mismo efecto. Sin
embargo, si usted quiere quitar el GPO temporalmente, desenlcelo
nicamente, si usted quiere quitar el GPO completamente, entonces
elimine el enlace
Procedimiento para eliminar un vnculo de GPO:
Para eliminar un vnculo de GPO a un sitio, dominio o unidad
organizativa
1. En Administracin del Directivas de Grupo, en la estructura de
directorios expanda el bosque que contiene el dominio en el que
usted quiere eliminar el GPO vinculado, expanda Dominios,
expanda el dominio.
- 390 -

Windows Server 2003

Divisin Empresas

2. Clic derecho en el GPO vinculado, y clic en Eliminar.


Esto no elimina GPO solo el vnculo
3. En el cuadro de mensaje, clic en Aceptar

- 391 -

Windows Server 2003

Divisin Empresas

Procedimiento para eliminar un GPO:


Para eliminar un GPO
1. En Administracin del Directivas de Grupo, en la estructura de
directorios expanda el bosque que contiene el dominio en el que
usted quiere eliminar el GPO, expanda Dominios, expanda el
dominio, y extienda Objetos de Directivas de Grupo.
2. Clic derecho en el GPO, y clic en Eliminar.
Esto no elimina el enlace al GPO de los otros dominios
3. En el cuadro de mensaje, clic en Aceptar
Procedimiento por deshabilitar un GPO:
1. En Administracin del Directivas de Grupo, en la estructura de
directorios expanda el bosque que contiene el dominio en el que
usted quiere eliminar el GPO, expanda Dominios, expanda el
dominio, y extienda Objetos de Directivas de Grupo.
2. clic al GPO que quiere deshabilitar.
3. En el panel de detalles, en la etiqueta Detalles, en el cuadro
Status de GPO , seleccione una de las siguientes opciones:

Todos los parmetros desactivados


Parmetros de configuracin de Computadora desactivados
Parmetros de configuracin de usuario desactivados

Cmo los permisos de Directivas de grupo son heredados


en Active Directory
Introduccin
El orden en que Windows Server 2003 aplica GPOs depende del
contenedor del Active Directory al a los que los GPOs estn vinculados.
Los GPOs se aplican primero al sitio, despus a los dominios, y
posteriormente a las unidades organizativas en los dominios.
Flujo de herencia
Un contenedor secundario hereda GPOs del contenedor primario. Esto
significa que el contenedor secundario puede tener muchas
configuraciones de Directivas de Grupo aplicadas sus usuarios y
computadoras sin tener un GPO que se enlace a l. Sin embargo, no hay
ninguna jerarqua de dominios como la hay para las unidades
organizativas, como unidades Organizativas primarias y unidades
organizativas secundarias.

- 392 -

Windows Server 2003

Divisin Empresas

Orden de herencia
Los GPOs son acumulativos y significa que ellos se heredan. La herencia
de directiva de grupo es el orden en que Windows 2003 Server aplica
GPOs. El orden en el que se aplican GPOs y cmo se heredan GPOs
finalmente determina qu configuracin afecta a los usuarios y
computadoras. Si hay GPOs mltiples que estn fijos con el mismo valor,
por defecto el GPO aplicado en ltimo lugar toma prioridad.
Usted tambin puede tener GPOs mltiples enlazados a los mismos
contenedores. Por ejemplo, usted puede tener tres GPOs enlazados a un
solo dominio. Porque el orden en el que los GPOs se aplican puede
afectar a los parmetros de Directivas de Grupo, hay tambin un orden,
o prioridad de configuracin de Directivas de Grupo, de GPOs para cada
contenedor.

Prctica: Creando un Vinculo GPO


Objetivo
En esta prctica, usted crear un vnculo de GPO.
Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio


Abra MMCPersonal
Asegrese de que MMCPersonal contiene Administracin de
Directivas de Grupo y Usuarios y equipos de Active Directory.
Revise los procedimientos de esta sesin que describen cmo
realizar esta tarea.

Escenario
Los ingenieros en sistemas de la empresa van
a probar las
configuraciones de Directivas de Grupo en un ambiente de prueba. Estas
configuraciones de Directivas de Grupo se usarn despus para la
comprobacin de escalabilidad. Los ingenieros en sistemas requieren a
su equipo de administradores para crear GPOs para estas pruebas.
Practica
Crear una unidad organizativa en la unidad organizativa
ISEvaluacin
1. En Usuarios y Equipos de Active Directory, extienda icam.com.mx,
y posteriormente extienda la unidad organizativa ISEvaluacin
2. Cree que una unidad organizativa llamada NombreComputadora.
Crear un vnculo de GPO a la unidad organizativa ISEvaluacin

- 393 -

Windows Server 2003

Divisin Empresas

En Administracin de Directivas de Grupo, cree un GPO llamado


NombreComputadora GP y vinclelo a la unidad organizativa
ISEvaluacin.

Administrando el despliegue de Directivas de Grupo


Introduccin
Despus de completar esta sesin, los estudiantes podrn administrar el
despliegue de las Directivas de Grupo.
Objetivos de la Sesin
Despus de completar esta sesin, usted ser capaz de:

Explicar lo que pasa con conflictos de GPOs.


Explicar que significa bloquear el despliegue de un GPO.
Bloquear el despliegue de un GPO.
Describir los atributos de un GPO vinculado
Configurar la implantacin de Directivas de Grupo.
Explicar que significa filtrar la lista de un GPO.
Configurar el filtro Directivas de Grupo.

Qu pasa cuando hay conflicto de GPOs


Introduccin
Las combinaciones complejas de GPOs pueden crear conflictos que
pueden exigirle que modifique la conducta de herencia predefinida.
Cuando un directiva es configurada para una unidad organizativa
primaria, y el mismo parmetro de Directiva de Grupo no se configura
para la unidad organizativa secundaria, los objetos en la unidad
organizativa secundaria heredan la Directiva de Grupo que se establece
para la unidad organizativa primaria.
Cmo se resuelven los conflictos
Cuando se configuran los parmetros de Directivas de Grupo para
ambas la unidad organizativa principal y las unidades organizativas
secundarias, la configuracin para ambas unidades organizativas se
aplican. Si los parmetros son incompatibles, la unidad organizativa
secundaria retiene su propia configuracin de Directivas de Grupo. Por
ejemplo, un parmetro de Directiva de grupo
para la unidad
organizativa que se aplic en ltimo lugar a la computadora o el usuario
sobrescribe el parmetro de Directiva de Grupo en conflicto para un
contenedor que es ms alto en la jerarqua del Active Directory

- 394 -

Windows Server 2003

Divisin Empresas

Opciones para modificar herecia


Si el orden de herencia no satisface las necesidades de su organizacin,
usted, puede modificar las reglas de herencia para un GPO especfico.
Windows Server 2003 contiene las siguientes dos opciones para cambiar
el orden de herencia predefinido:
No Override
Use esta opcin para impedir a los contenedores secundarios
sobrescribir un GPO con un parmetro de prioridad ms alta. Esta opcin
es til para dar fuerza a GPOs que representa reglas de negocio de
grandes organizaciones. La opcin Override es establecida en una base
de GPO individual.
Usted puede establecer esta opcin a uno o ms GPOs segn lo
requiera. Cuando ms de un GPO le es establecido el Not override, el
GPO establece a Not override al que est ms arriba en la jerarqua de
herencias del active Directory.
Bloquear herencia de directiva
Use esta opcin para obligar a un contenedor a bloquear la herencia de
todos los contenedores principales. Esta opcin es til cuando una
unidad organizativa requiere parmetros de Directivas de Grupo nicas.
Bloqueo de herencia de directivas es establecido en base a cada
contenedor En el caso de un conflicto, el No Override siempre
sobrescribe la opcin tomada con anterioridad sobre la opcin de
Bloqueo de herencia de directivas.

Bloqueando el despliegue de un GPO


Introduccin
Usted puede impedir a un contenedor secundario heredar desde
cualquier GPOs de los contenedores primarios habilitando Bloqueo de
herencia de directivas en el contenedor secundario.
Porqu usar Bloqueo de herencia de directivas?
Habilitando Bloqueo de herencia de directivas en un contenedor
secundario impide al contenedor heredar toda la configuracin de
Directivas de Grupo, no slo configuracin de Directivas de Grupo
seleccionadas. Esto es til cuando un contenedor del Active Directory
requiere configuraciones nicas de Directivas de Grupo, y usted quiere
asegurarse de que estas configuraciones de Directiva de Grupo no sean
heredadas. Por ejemplo, usted puede usar Bloqueo de herencia de
directivas cuando el administrador de una unidad organizativa deba
controlar todos los GPOs para ese contenedor.

- 395 -

Windows Server 2003

Divisin Empresas

Consideraciones
Considere lo siguiente al usar Bloqueo de herencia de directivas:

Usted no puede escoger selectivamente qu GPOs sern


bloqueados. Bloqueo de herencia de directivas afecta todos
los GPOs de todos los contenedores primarios, excepto GPOS
configurados con el No Override opcin sin GPMC instalado y
reforzado con GPMC instalado.
Bloqueo de herencia de directivas no bloquea la herencia de
un GPO vinculado a un contenedor principal es configurado con
No Override.

Cmo bloquear el despliegue de un GPO


Introduccin
Use el procedimiento siguiente para habilitar Bloqueo de herencia de
directivas.
Procedimiento
Para habilitar Bloqueo de herencia de directivas:
1. En Administracin de Directivas de Grupo, en el Estructura de
directorios, extienda el bosque en el que usted quiere bloquear
herencia, y posteriormente haga uno de lo siguientes:
Para bloquear herencia de GPOs vinculados para un dominio
entero, extienda Dominios, y posteriormente clic derecho
sobre el dominio.
Para bloquear herencia de GPOs vinculados a una unidad
organizativa, extienda Dominios, extienda el dominio que
contiene la unidad organizativa, y entonces clic derecho en la
unidad organizativa.
2. Clic en Bloquear herencia.

Atributos de un vnculo de GPO


Introduccin
Usted puede habilitar, deshabilitar, Enforced y agrupar vnculos de
GPOs. Estas opciones afectan significativamente a las cuentas de
usuario y de equipos en la unidad organizativa a la que el GPO es
vinculado.
La opcin Enforced
La opcin Enforced es un atributo del vnculo de GPO, no del GPO
propio. Si usted tiene un GPO que es vinculado a los contenedores
mltiples, usted configure la opcin Enforced en cada contenedor
individual. Adems, Si el mismo GPO es vinculado a otra parte, la opcin
- 396 -

Windows Server 2003

Divisin Empresas

Enforced no aplica a ese vnculo a menos que usted tambin modifique


ese vnculo.

- 397 -

Windows Server 2003

Divisin Empresas

Se aplican todas las configuraciones de Directivas de Grupo contenidas


en el GPO con cuyo vinculo se configura Enforced, aun si ellos generan
conflictos con alguna configuracin de Directivas de Grupo procesadas
despus de ellos o si la herencia es bloqueada en el Active Directory.
Usted slo debe habilitar la opcin Enforced para el enlace GPO que
representa reglas de organizacin crticas. Vincule el GPO en el rbol del
Active Directory para que afecte unidades organizativas mltiples. Por
ejemplo, usted querr unir un GPO con configuracin de seguridad de
red a un dominio o sitio.
Importante: La opcin Enforced es llamada No Override en Usuarios y
equipos de Active Directory antes de que Administracin de Directivas
de Grupo sea instalada
Habilitando y desactivando un vnculo
Vinculo habilitado es otro atributo que usted puede usar cuando est
arreglando un GPO. Usted puede desactivar el vnculo de GPO
desactivando la opcin Vnculo habilitado en lugar de eliminar el
vnculo de GPO. Desactivando el enlace usted cambia slo el efecto en la
cuenta de usuario y la computadora en la unidad organizativa y las
todas las unidades organizativas secundarias. Usted no afecta otros
vnculos que pueda tener el GPO.
Conflictos de vnculos
Cuando se unen GPOs mltiples a una unidad organizativa, el GPO con el
orden del vnculo ms alto es aplicado al final. Si los parmetros de
Directivas de Grupo crean conflicto el ltimo aplicado toma prioridad.

Cmo configurar la implementacin de Directivas de grupo


Introduccin
Use el procedimiento siguiente para configurar la implementacin de un
vnculo de GPO.
Procedimiento
Para configurar la implementacin de un vnculo de GPO:
1. En Administracin de Directivas de Grupo, en la estructura de
directorios, extienda el bosque con el vnculo para el que quiere
configurar la implantacin, y posteriormente haga uno de lo
siguientes pasos:

Para configurar la implantacin para un vnculo de GPO a un


dominio, extienda Dominios, y posteriormente extienda el
dominio que contiene el vnculo de GPO.
- 398 -

Windows Server 2003

Divisin Empresas

Para configurar la implementacin para un vinculo de GPO a


una unidad organizativa, extienda Dominios, extienda el
dominio que contiene la unidad organizativa, y posteriormente
extienda la unidad organizativa la cual puede incluir a cualquier
unidad organizativa primaria o secundaria que contiene un
vnculo de GPO.
Para configurar la implementacin para un vnculo de GPO a un
sitio, extienda Sitios, y posteriormente extienda el sitio que
contiene el vnculo de GPO
2. Clic derecho sobre el vnculo de GPO, y posteriormente active o
desactive Enforced
Nota Incluya slo configuracin crtica de Directivas de grupo en GPOs
vinculados al los que estableci Enforced, porque ellos toman efecto sin
tener en cuenta cmo se configuran otros GPOs. Usted quiere estar
seguro que usted no est sobrescribiendo GPOs importantes.

Filtrando el despliegue de GPO


Introduccin
Por defecto, todos los parmetros de Directivas de Grupo contenidas en
los GPOs que afectan al contenedor son aplicados a todos los usuarios y
computadoras en ese contenedor, lo cual podra no producir los
resultados que usted desea. Usando las caractersticas de filtrado, usted
puede determinar qu configuraciones son aplicadas a los usuarios y
computadoras en el contenedor especfico.
Permisos para GPOs
Usted puede filtrar la lista de un GPO poniendo permisos en el vnculo de
GPO para determinar el acceso los permisos de leer o denegar en el
GPO. Para la configuracin de Directivas de Grupo para aplicar a una
cuenta de usuario o de equipo, la cuenta debe al menos tener permiso
de lectura para un GPO. Los permisos por defecto para un GPO nuevo
tienen las Entradas de Control de Acceso (ACEs) siguientes:

Usuarios Autenticados Permite Leer y aplicar Directivas de grupo

Administradores de Dominio, Administradores de organizacin y


SYSTEM, Permite leer, escribir, crear todo tipo de objetos
secundarios as como eliminar objetos secundarios.

- 399 -

Windows Server 2003

Divisin Empresas

Mtodos de filtracin

Usted puede usar los siguientes mtodos de filtracin:


Denegar explicito
Este mtodo es utilizado cuando Deniega acceso a Directivas de
Grupo. Por ejemplo, usted pudo haber denegado explictamele
permisos al grupo de administradores de seguridad, lo cual podra
prevenir que los administradores en la unidad organizativa
recibieran la configuracin del GPO.

Eliminar Usuarios Autenticados


Usted puede omitir a los administradores de la unidad organizativa
del grupo de seguridad lo cual significa que ellos no tienen ningn
permiso explcito para el GPO.

Discusin en clase: Modificando herencia de Directivas de


Grupo
Discusin de la clase
Usted ha determinado que las condiciones siguientes deben existir en su
red:

Que una aplicacin antivirus debe estar instalada en todas las


computadoras del dominio.
Microsoft Office debe estar instalado en computadoras en el
dominio, excepto las del departamento de Payroll
Una aplicacin en lnea de contabilidad de negocios debe
instalarse en todas las computadoras del departamento de Payroll,
excepto aqullas que son usadas por administradores de la
unidad organizativa Payroll.

Cmo configura GPOs para las condiciones arriba comentadas?

- 400 -

Windows Server 2003

Divisin Empresas

Como configurar el filtrado de Directivas de Grupo


Introduccin
Use el siguiente procedimiento para configurar filtros de Directivas de
Grupo.
Procedimiento
Para filtrar el mbito de un GPO utilizando grupos de seguridad:
1. En Administracin de Directivas de Grupo, en la estructura de
directorios, extienda el bosque y dominio con el GPO, extienda
Objetos de Directivas de Grupo, y presione clic en el GPO.
2. En el panel de detalles, en la etiqueta mbito, clic en Agregar.
3. En el cuadro de dilogo Seleccionar Usuario, Equipo o Grupo, en el
cuadro Escriba el nombre del objeto a seleccionar, escriba el
nombre de la seguridad principal, y posteriormente clic en Aceptar.

Prctica: Administrando La lista de Directiva De grupo


Objetivo
En esta prctica, usted manejar el despliegue de Directivas de Grupo.
Instrucciones
Antes comenzar esta prctica:

Inicie sesin en el dominio


Abra MMCPersonal
Asegrese que MMCPersonal contiene:
o Usuarios y equipos de Active Directory
o Administracin de Directivas de Grupo
Revise los procedimientos de esta sesin que describen como
realizar esta tarea.

Escenario
La empresa esta probando el efecto de configuracin de Directivas de
Grupo mltiples en los usuarios y computadoras. La empresa requiere
implementar una unidad organizativa que les de a todos los usuarios un
escritorio predeterminado, excepto a los administradores cuyas cuentas
estn en la unidad organizativa Empleados.
La administracin ha requerido a los administradores de sistemas para
crear una unidad organizativa jerrquica en la unidad organizativa
- 401 -

Windows Server 2003

Divisin Empresas

ISEvaluacin. La de unidad organizativa jerrquica debe contener una


unidad organizativa contabilidad y una unidad organizativa Marketing.
La administracin tambin le ha pedido que cree un GPO para ser
utilizado para instalar una aplicacin de Contabilidad y una aplicacin de
Marketing separada. Las aplicaciones de Contabilidad y Marketing van
a ser instaladas en el futuro en todas las cuentas del personal de
Marketing y Contabilidad; sin embargo, la administracin quiere esperar
para mostrar la aplicacin a los empleados temporales. La
administracin quiere mantener flexibilidad para que cuando los
empleados temporales estn listos para las aplicaciones, puedan
habilitarse fcilmente para ellos.
Practica
Crear tres GPOs para probarlos

En Administracin de directivas de Grupo, cree tres GPOs en el


contenedor de Objetos de Directivas de Grupo con los siguientes
nombres:

NombreComputadora Escritorio Predeterminado


NombreComputadora Apps Contabilidad
NombreComputadora Apps Marketing

Cree una estructura de unidad organizativa como la que se


muestra

En Usuarios y Equipos de Active Directory, cree la estructura de la


unidad organizativa siguiente.

Cree un vnculo de GPO Enforced


1. Vincule el GPO NombreComputadora Escritorio Predeterminado a
la unidad organizativa ISEvaluacion\NombreComputadora.
- 402 -

Windows Server 2003

Divisin Empresas

2. En la unidad organizativa ISEvaluacion\NombreComputadora, clic


derecho en NombreComputadora Escritorio Predeterminado y elija
Enforced.

- 403 -

Windows Server 2003

Divisin Empresas

Configure un filtro de seguridad de un GPO.


1. En Administracin de Directivas de Grupo, en el contenedor de
Objetos de Directivas de Grupo, doble clic en el vnculo
NombreComputadora Escritorio Predeterminado
2. En el panel de detalles, en la etiqueta mbito, agregue los grupos
siguientes:

G
G
G
G

Comerciantes
Comerciantes
Comerciantes
Comerciantes

Directores Contabilidad
Personal Contabilidad
Directores Marketing
Personal Marketing

3. Elimine a Usuarios Autenticados.


4. En la etiqueta Delegacin, clic en Opciones Avanzadas.
5. En el cuadro de dialogo Configuracin de seguridad avanzada,
configure los siguientes parmetros avanzados se seguridad:

Para el grupo G Comerciantes Directores Contabilidad,


establezca Aplicar permisos de Directiva de Grupo a
Denegar
Para el grupo G Comerciantes Directores Marketing,
establezca Aplicar permisos de Directiva de Grupo a
Denegar

Configure GPOs para bloquear herencias


1. Vincule el GPO NombreComputadora Apps Contabilidad a la unidad
organizativa ISEvaluacion\NombreComputadora\Contabilidad.
2. Clic en la unidad organizativa Empleados Temp en la unidad
organizativa ISEvaluacion\NombreComputadora
3. Liste los GPOs que heredo la unidad organizativa
ISEvaluacion\NombreComputadora\Contabilidad.

4. Clic derecho en la unidad organizativa Empleados Temp en la


unidad organizativa
ISEvaluacion\NombreComputadora\Contabilidad, y posteriormente
clic en Bloquear herencia.
5. Liste los GPOs que heredo la unidad organizativa
ISEvaluacion\NombreComputadora\Contabilidad.
- 404 -

Windows Server 2003

Divisin Empresas

- 405 -

Windows Server 2003

Divisin Empresas

Evaluacin: Implementando Directivas de Grupo


Objetivos
Despus de completar esta prctica, usted ser capaz:

Vincular un GPO a una unidad organizativa.


Identificar los efectos de herencia cuando se asignan GPOs
mltiples.
Bloquear la herencia de Directivas de Grupo.
Forzar a un GPO a ser aplicado a las unidades organizativas
secundarias.
Filtrar un GPO para que se aplique a usuarios y grupos
seleccionados en una unidad organizativa.

Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio


Abra MMCPersonal
Asegrese de que MMCPersonal contiene a lo siguiente elementos:
o Usuarios y Equipos de Active Directory
o Administracin de Directivas de Grupo

Tiempo estimado para completar esta prctica: 25 minutos


Escenario
La empresa se esta preparando para implementar GPOs a los usuarios y
computadoras a lo largo de todas las ciudades en sus red. Los ingenieros
en sistemas quieren al equipo de administradores para crear todos los
GPOs necesarios y posteriormente vincular los GPOs a las unidades
organizativas apropiadas. Despus de que los GPOs son creados y
mostrados en la estacin de trabajo, usted debe configurar los GPOs
para realizar las funciones indicadas.
Los administradores del sistema le han proporcionado una lista de
GPOs, con las propiedades que necesitan para ser creados y
configurados. Usted debe reutilizar GPOs que ya se han creado si se
puede. Usted tambin debe asegurarse de que las configuraciones de
Directivas de Grupo de computadoras no afecten las laptops en su
ciudad, Para ello usted debe bloquear cualquier GPOs que afecten las
unidades organizativas de laptops.

- 406 -

Windows Server 2003

Divisin Empresas

Nombre de GPO

Ubicacin

Filtrado

Reforzado

NombreComputadora
Escritorio
Predeterminado

Ubicaciones\NombreCo
mputadora

Default

Enforced

NombreComputadora
Carpeta Redireccin

Ubicaciones\NombreCo
mputadora\Usuarios

NombreComputadora
Scripts
NombreComputadora
ConfiguracinProxy

DL
Empleados
Temp
=
Denegar
Default

Ubicaciones\NombreCo
mputadora\Usuarios
Ubicaciones\NombreCo Default
mputadora\Computador
as\Desktops

Enforced

Ejercicio 1
Creando y enlazando gpos
En este ejercicio, usted crear y vincularas GPOs a su unidad
organizativa NombreComputadora
Tareas
1.
Vincule un GPO
Escritorio
predeterminado

Pasos Detallados
a. Ubicacin: icam.com.mx/Ubicaciones /
NombreComputadora
b. Nombre GPO: NombreComputadora
Escritorio predeterminado
2.
Cree un vinculo al
a. Ubicacin: icam.com.mx/Ubicaciones /
GPO Carpeta
NombreComputadora/Usuarios
Redireccin
b. Nombre GPO: NombreComputadora
Carpeta Redireccin
3.
Cree un vnculo al
a. Ubicacin:icam.com.mx/Ubicaciones /
GPO Scripts
NombreComputadora/Usuarios
b. Nombre GPO: NombreComputadora
Scripts
4.
Cree un vnculo al
a. Ubicacin: icam.com.mx/Ubicaciones /
GPO Configuracin
NombreComputadora/Computadoras/
Proxy
Desktops
b. Nombre GPO: NombreComputadora Proxy
Configuracin

- 407 -

Windows Server 2003

Divisin Empresas

Ejercicio 2
Filtrando el despliegue de un GPO
En este ejercicio, usted establecer el permiso Denegar para todos los
empleados temporales para que el GPO NombreComputadora Carpeta
Redireccin no sea aplicado a ellos.
Tareas
1.
Configure el
filtro de un GPO
para un grupo

Pasos detallados
a. Ubicacin: icam.com.mx/Ubicaciones /
NombreComputadora/Usuarios
b. Nombre GPO: NombreComputadora
Carpeta Redireccin
c. Grupo: DL Empleados Temp.
d. Permisos: Establezca el permiso Aplicar
Directiva de grupo en Denegar.

Ejercicio 3
Configurando la implementacin de GPOs
En este ejercicio, Usted configurar GPOs para ser implementados a
travs de de unidades organizativas jerrquicas.
Tareas
Pasos detallados
1. Establezca la
a.
Ubicacin: icam.com.mx/Ubicaciones /
opcin Enforced a
NombreComputadora
un vnculo de
b.
GPO: Vinculo de NombreComputadora
GPO
Escritorio Predeterminado
c.
Opcin: Enforced
2. Establezca la
a.
Ubicacin: icam.com.mx/Ubicaciones /
opcin Enforced a
NombreComputadora /Computadoras/Desktops
un vnculo de
b.
GPO: NombreComputadora Configuracin
GPO
Proxy
c.
Opcin: Enforced

- 408 -

Windows Server 2003

Divisin Empresas

Ejercicio 4
Configurando el bloqueo de GPOs
En este ejercicio, usted bloqueara herencia de GPOs a travs de la su de
unidad organizativa jerarqua.
Tareas
1. Establezca la
opcin Bloquear
directiva de
herencia en una
unidad
organizativa.

Pasos detallados
a. Ubicacin: icam.com.mx/Ubicaciones /
NombreComputadora
/Computadoras/Laptops
b. Opcin: Bloquear directiva de herencia.

- 409 -

Windows Server 2003

Divisin Empresas

Unidad 14 Administrando el ambiente


usuario usando directivas de grupo

de

Configurar las directivas de grupo.


Introduccin
Despus de completar esta sesin, usted ser capaz de configurar las
directivas de grupo.
Objetivos de la sesin:
Una vez completada esta sesin, usted ser capaz de:

Explicar por qu utilizar una directiva de grupo.


Explicar lo que significa activar y desactivar las directivas de
grupo.
Editar una directiva de grupo.

Por qu utilizar una directiva de grupo?


Introduccin.
Administrar ambientes de usuario significa controlar lo que los usuarios
pueden hacer cuando se conectan a una red de trabajo. Esto lo realiza
usted, controlando las propiedades de sus escritorios, las conexiones a
la red y las interfases de usuario a travs de las directivas de grupo.
Usted administra los ambientes de usuario para asegurar que los
usuarios tienen lo que necesitan para realizar su trabajo, teniendo en
cuenta que ellos mismos no pueden modificar las configuraciones del
ambiente en una forma errnea o corrupta.
Tareas que usted puede realizar con directivas de grupo:
Cuando usted pretende configurar y administrar ambientes de usuario,
usted puede realizar las siguientes tareas:

Administrar usuarios y computadoras.


Cuando administra la configuracin del escritorio de los usuarios
mediante directivas basadas en registros, usted asegura que los
usuarios
tendrn
el
mismo
ambiente
de
cmputo
independientemente de la computadora en la que estn
trabajando. Usted puede controlar cmo Microsoft Windows Server
2003 administrar los perfiles de usuario, lo cual implica controlar
tambin la forma en que los documentos y archivos personales
estarn disponibles. Redireccionar las carpetas de los usuarios
desde los discos duros locales hacia una Ubicacin en el servidor,
permite al usuario acceder a su informacin independientemente
de la computadora por medio de la cual inicie su sesin.
- 410 -

Windows Server 2003

Divisin Empresas

Despliegue de Software
El software es mostrado en las computadoras o a los usuarios a
travs del servicio de directorios Active directory. Con este
Software de despliegue, usted puede asegurar que los usuarios
cuentan con los programas requeridos, Service packs y
actualizaciones crticas necesarias.

Haga cumplir los ajustes de seguridad


Al utilizar directivas de grupo en Active Directory, el administrador
de sistemas puede aplicar de forma centralizada, ajustes
requeridos para proteger el ambiente de usuario. En Windows
Server 2003, usted puede realizar ajustes de seguridad extensivos
a directivas de grupo para definir el nivel de seguridad en
elementos locales y dominios.

Exija un ambiente de escritorio constante


Los ajustes con directivas de grupo le permiten manejar
estndares, tales como la forma en que el usuario inicia sesin y
las configuraciones relativas a su contrasea. Por ejemplo, usted
puede evitar que los usuarios hagan cambios a sus escritorios, de
tal manera que dichos cambios provoquen un ambiente en el
escritorio que lo haga ms confuso de usar de lo necesario.

Por qu habilitar y deshabilitar las directivas de grupo?


Desactivando una directiva de usuario
Si desactiva una directiva de usuario, desactivar entonces la accin
inherente a esta directiva. Por ejemplo, los usuarios, por defecto pueden
acceder a el Panel de control, usted no necesita desactivar la directiva
Prohibir el acceso al panel de control, para permitir a un usuario
acceder al panel de control a menos que alguna directiva previamente
establecida as lo establezca. En casos como estos, usted deber aplicar
alguna directiva que desactive a la directiva anteriormente aplicada.
Esto es til cuando usted tiene ajustes de directivas heredados, y quiere
usar estos de manera que slo apliquen a un grupo de usuarios y a otro
no. Usted puede establecer ajustes de directivas a una unidad de
usuarios organizativa establecida como "padre " y establecer directivas
que modifiquen dichos ajustes en unidades organizacionales
secundarias.

- 411 -

Windows Server 2003

Divisin Empresas

Activando un ajuste de directivas


Si usted aplica un ajuste de directivas, usted est activando la accin del
ajuste de directivas. Por ejemplo, para cancelar a alguien el acceso al
panel de control, usted est activando la directiva "prohibir el acceso a
el panel de control.
No configurado
El ajuste predeterminado para una directiva es " no configurado". Si
usted quiere configurar las directivas de una computadora o de un
usuario a su forma predeterminada, seleccione la opcin " no
configurado ".Por ejemplo, usted puede activar una directiva de grupo
para algunos clientes, y cuando utiliza la opcin no configurado, la
directiva se revertir a su forma predeterminada.
Ajustes de directiva multi-valor
Algunos objetos de directivas de grupo requieren que usted provea
alguna informacin adicional despus de activar dicho objeto. Algunas
veces usted necesitar seleccionar un grupo o computadora y proveerle
alguna informacin adicional para que la directiva funcione
correctamente, otras veces es necesario por ejemplo configurar un
Proxy, proveer un nmero de direccin IP y el nmero de puerto para
establecer una conexin a Internet. Si el ajuste de la directiva es multivalorada y esta configuracin entra el conflicto con alguna otra directiva,
se tomar en cuenta dicho conflicto en la ltima directiva aplicada para
que funcionen adecuadamente.

Cmo editar el ajuste de una directiva de grupo


Introduccin
Como administrador del sistema usted debe editar las configuraciones
de las directivas de grupo. Realice siguiente procedimiento para realizar
esta tarea.
Procedimiento
Para editar los ajustes de directivas de grupo:
1. En el administrador de directivas de grupo, en la consola rbol,
navegar hacia Objetos de Directiva de Grupo.
2. Clic derecho a GPO, y despus clic en Modificar.
3. En el editor de objeto de directiva de grupo, navegar hacia el
ajuste de directiva de grupo que usted quiere editar, y despus
haga doble clic en tal ajuste.
4. En la ventana de dilogo Propiedades, realizar los ajustes a la
directiva de grupo y despus hacer clic en Aceptar.
- 412 -

Windows Server 2003

Divisin Empresas

Prctica: Editando los ajustes de directiva de grupo


Objetivo
En esta prctica: usted editara los ajustes de directiva de grupo.
Instrucciones
Antes de comenzar esta prctica:
inicie sesin en el dominio utilizando el nombre de usuario de su
cuenta.
abra MMCPersonal.
Asegrese de que MMCPersonal contiene los siguientes
componentes:
o Usuarios y equipos de Active Directory
o Administrador de Directiva de Grupo
revise los procedimientos de esta sesin que describen como
realizar esta tarea.
Escenario
La empresa debe implementar un GPO llamado NombreComputadora
Escritorio Predeterminado. El GPO est ligado a la unidad organizativa
ISEvaluacin/NombreComputadora para el ambiente de pruebas, y la
unidad organizativa Ubicaciones/NombreComputadora est ligada al
ambiente de produccin. Debe desactivar la liga para el ambiente de
produccin primero. Cuando se halla hecho esto, la empresa querr
implementar los siguientes ajustes para las directivas de grupo en el
GPO NombreComputadora Escritorio Predeterminado:

Remueva el men ejecutar desde el men inicio.


Prohba el acceso al panel de control.
Esconda el icono de mis sitios de red en el escritorio.
Remueva conexiones de red desde el men inicio.
Remueva Conectar a unidad de red y desconectar unidad
de red.

Verifique que las conexiones del objeto de directiva de grupo


estn configuradas
o Verifique
que el GPO NombreComputadora
Escritorio
Predeterminado este ligado a la unidad organizativa
Ubicaciones/NombreComputadora.
Configurar el filtrado de seguridad
o Ubicacin: Ubicaciones/NombreComputadora
o Vnculo GPO: NombreComputadora Escritorio Predeterminado
- 413 -

Windows Server 2003

Divisin Empresas

o Filtrado de seguridad:
remueva todos los filtrados de seguridad de grupo
agregue el grupo Todos

- 414 -

Windows Server 2003

Divisin Empresas

Desactive el vnculo al GPO


o Ubicacin: Ubicaciones/NombreComputadora
o Vnculo GPO: NombreComputadora Escritorio Predeterminado
Edite un GPO
o GPO: NombreComputadora Escritorio Predeterminado
Remueva Ejecutar desde el men inicio
o Ubicacin: Configuracin de Usuario/Plantillas administrativas/
men Inicio y Barra de tareas
o Ajuste de directiva de grupo: Quitar el men Ejecutar del
men Inicio
o opcin: Habilitada.
Desactive el acceso al panel de control
o Ubicacin: Configuracin de Usuario/Plantillas administrativas /
Panel de control
o Ajuste de directiva de grupo: Prohibir el acceso al panel de
control
o opcin: Habilitada.
Esconder el icono de mis sitios de red en el escritorio
o Ubicacin:
Configuracin
de
Usuario/Plantillas
administrativas /Escritorio
o Ajuste de directiva de grupo: Ocultar el icono Mis sitios de
red del escritorio
o opcin: Habilitada
Remover conexiones de red desde el men inicio
o Ubicacin: Configuracin de Usuario/Plantillas administrativas/
men Inicio y Barra de tareas
o Ajuste de directiva de grupo: Quitar conexiones de red del
men inicio
o Opcin: Habilitada
Remueva Conectar a unidad de red y desconectar unidad de
red
o Ubicacin: Configuracin de Usuario/Plantillas administrativas /
componentes de Windows / Explorador de Windows
o Ajuste de directiva de grupo: Quitar Conectar a unidad de
red y desconectar unidad de red
o Opcin: Habilitada

- 415 -

Windows Server 2003

Divisin Empresas

Active el vinculo al GPO


o Ubicacin: Ubicaciones/NombreComputadora
o Vnculo al GPO: NombreComputadora Escritorio predeterminado
Crear una cuenta de usuario
1. cree una cuenta de usuario (si es que la cuenta de usuario no
existe actualmente) con las propiedades siguientes:
Nombre: NombreComputadora
Apellido: Evaluacin
Nombre de inicio de sesin: NombreComputadora Evaluacin
Contrasea: P@ssw0rd
unidad
organizativa:
Ubicaciones/NombreComputadora/Usuarios
2. Cierre la sesin.
Inicie sesion
1. Inicie sesin como: NombreComputadora Evaluacin con la
contrasea de P@ssw0rd.
2. Verifique que lo siguiente es verdadero:
Ejecutar ha sido removido del men inicio
El panel de control ha sido removido del men inicio
El icono de mis sitios de red ha sido ocultado en el escritorio
Conexiones de red ha sido removido del men inicio
Conectar a unidad de red y Desconectar unidad de red
ha sido removido del explorador de Windows
3. Cierre la sesin.

Asignar Scripts a las directivas de grupo


Introduccin
Usted puede utilizar directivas de grupo para desplegar Scripts a los
usuarios de computadoras. Un Script es un archivo por Lotes o un codigo
de Microsoft visual Basic que puede ejecutar cdigo o realizar tareas de
mantenimiento y administracin. Usted puede configurar el uso de
Scripts para poderlos ejecutar de forma automtica.
En las directivas de grupo las configuraciones de los Scripts se puedan
realizar ya sea en la configuracin de la computadora y/o el usuario o en
ambas. Usted puede aplicar directivas de grupo que ejecuten Scripts
cuando la computadora es encendida y apagada y cuando el usuario
inicia y cierra sesin. Igual que en las otras directivas de grupo, usted
configura el Script slo una vez, y Windows Server 2003 continuamente
verifica que la directiva se implemente y se ejerza a lo largo de toda la
red.

- 416 -

Windows Server 2003

Divisin Empresas

Objetivo
Despus de completar esta sesin, usted ser capaz de:
Explicar qu son los ajustes de configuracin de Scripts de
directiva de grupo.
Asignar Scripts a una directiva grupo.

Qu son los ajustes de configuracin de Scripts de


directiva de grupo?
Introduccin
Usted puede utilizar los ajustes de configuracin de Scripts de directiva
de grupo para ejecutar automticamente los Scripts cuando la
computadora es encendida y apagada y cuando los usuarios inician o
cierran una sesin. Usted puede especificar cualquier Script para ser
ejecutado en Windows Server 2003, incluyendo archivos por lotes,
programas ejecutables, y Scripts soportados por Windows Script Host
(WSH)
Beneficios de la configuracin de Scripts de directiva de grupo
Para ayudarle a configurar y administrar los ambientes de usuario, usted
puede:

Al ejecutar Scripts se realizan tareas que usted no puede realizar a


travs de otras configuraciones de directivas de grupo. Por
ejemplo, usted puede generar ambientes usuario con conexiones
de red, conexiones de impresoras, accesos directos a aplicaciones
y documentos corporativos.
Limpiar escritorios una vez que los usuarios han cerrado sesin y
apagado las computadoras. Puede eliminar conexiones que haya
agregado al iniciar sesin con Scripts que se hayan ejecutado en la
misma computadora y que la mantengan en el mismo estado de
conexin en que se qued la ltima vez que un usuario utiliz la
misma computadora.
Puede ejecutar Scripts existentes y correrlos para administrar
ambientes de usuario actuales hasta que se configuren nuevos
Scripts para nuevas directivas de usuario.

Cmo asignar Scripts a una directiva de grupo


Introduccin
Para implementar un Script, es necesario agregarlo por medio de una
directiva de grupo. Esto indicar tambin si el Script se ejecutar
durante el encendido, apagado, inicio y cierre de sesin.

- 417 -

Windows Server 2003

Divisin Empresas

Procedimiento
Para agregar un Script a un objeto de directiva de grupo:
1. En el administrador de directivas grupo, clic en editar GPO.
2. En el editor de objetos de directiva de grupo, en la consola de
rbol, desplazarse hasta Configuracin de usuario /Configuracin
de Windows/Secuencia de comandos (Inicio de sesin /Cierre de
sesin).
3. En el panel de detalles, doble clic en Inicio de sesin.
4. En el cuadro de dilogo Propiedades de inicio de sesin, clic en
Agregar.
5. En el cuadro de dilogo Agregar un archivo de comandos,
configure cualquiera de los siguientes ajustes que quisiera utilizar,
despus haga clic en Aceptar.
Nombre del archivo de comandos. Teclee la ruta de
acceso al Script o haga clic en Examinar para localizar el
archivo del Script en el inicio de sesin de red compartido
por medio del controlador dominio.
Parmetros del archivo de comandos. Teclee los
parmetros que desea que se utilicen para ejecutar este
Script.
6. En el cuadro de dilogo de Propiedades de inicio de sesin,
configure cualquiera de los siguientes ajustes que quisiera utilizar:
Archivo de comandos de inicio de sesin: este cuadro
enlista todos los Scripts que estn actualmente asignados al
objeto de directiva de grupo seleccionado. Si usted asigna
mltiples Scripts, los Scripts son procesados en el orden en
que usted los especific. Para mover un Script dentro de la
lista, haga clic en el Script y arrstrelo hacia arriba o abajo.
Agregar, haga clic en Agregar para especificar cualquier
Script adicional que quiera utilizar.
Modificar. Haga clic en Modificar para modificar
informacin acerca del Script tal como el nombre o alguno
de sus parmetros.
Eliminar. Haga clic en Eliminar para quitar un Script
seleccionado de la lista de Scripts de inicio de sesin.
Mostrar archivos. Haga clic en Mostrar archivos para ver
los archivos de Scripts que estn almacenados en el objeto
de directiva de grupo seleccionado.

- 418 -

Windows Server 2003

Divisin Empresas

Prctica: asignando Scripts con directiva de grupo


Objetivo
En esta prctica usted utilizar directiva de grupo para asignar Scripts.
Instrucciones
Antes de comenzar esta practica:
Inicie sesin en el dominio utilizando la cuenta una cuenta
administrativa.
Abra MMCPersonal.
Asegrese de que MMCPersonal contenga los siguientes
agregados:
o Usuarios y equipos de Active Directory
o Administrador de directiva de grupo
revise los procedimientos en esta sesin que describen como
realizar esta tarea.
Escenario
La empresa desea que una unidad S est habilitada en todas las
computadoras del personal y que sta se localice en una carpeta
llamada NombreComputadora Publica. Es necesario crear un GPO
llamado NombreComputadora Scripts Inicio de sesin en la unidad
organizativa ISEvaluacin/NombreComputadora. Debe entonces probar
el inicio de sesin con el Script.
Prctica
Crear una carpeta compartida en su computadora
Ruta de acceso: D:\NombreComputadora Publica
Nombre de la carpeta compartida: NombreComputadora Publica
Permisos: permiso de Control Total para administradores y permiso
Lectura y Escritura para los dems usuarios.
Crear un vnculo a un objeto de directiva de grupo
Ubicacin: ISEvaluacin/NombreComputadora
Nombre del objeto de directiva de grupo: Grupo
NombreComputadora Scripts Inicio de sesin
Editar un objeto de directiva de grupo
Objeto de directiva de grupo: NombreComputadora scripts

- 419 -

Windows Server 2003

Divisin Empresas

Configurar los ajustes de inicio de sesin de un Script de


directiva de grupo
Ubicacin: Configuration de usuario/Confoguracin de
Windows/Secuencia de comandos
Ajuste de directiva de grupo: inicio de sesin
Opciones:
1. En cuadro de dilogo Propiedades de inicio de sesin, haga clic
en mostrar archivos.
2. En el explorador de Windows, en el men de Herramientas,
hacer clic en Opciones de carpeta.
3. En el cuadro de dilogo de Opciones de carpeta, en la etiqueta
Ver, en configuracin avanzadas, desactive la opcin ocultar las
extensiones de archivo para tipos de archivo conocidos, y
haga clic en Aceptar.
4. En el Explorador de Windows, en el men Archivo, seleccione
Nuevo, y haga clic en Nuevo documento de texto.
5. Cambie el nombre del archivo llamado Nuevo documento de
texto.txt a Logon.vbs.
6. En la ventana del mensaje haga clic en SI.
7. Clic derecho en Logon.vbs, y despus clic en Modificar.
8. En el cuadro de dilogo Descargar archivo, haga clic en abrir.
9. En el bloc de notas, escriba los siguiente:
Set ObjNetwork = Wscript.CreateObject(Wscript.Network)
ObjNetwork.MapNetworkDrive
S:,\\NombreComputadora\NombreComputadora Publica
MsgboxSu Script Funcion!!!!!
10.
En el men Archivo, haga clic en Guardar.
11.
Cierre el bloc de notas, y despus el explorador de Windows.
12.
En la ventana de dilogo Propiedades de inicio de sesin,
haga clic en Agregar.
13.
En cuadro de dilogo Agregar un archivo de comandos,
haga clic en Examinar.
14.
En el cuadro de dilogo Examinar, haga clic en Logon.vbs,
y despus clic en Abrir.
15.
En el cuadro de dilogo Agregar un archivo de
comandos, haga clic en Aceptar.
16.
En el cuadro de dilogo Propiedades de inicio de sesin,
haga clic en Aceptar.
17.
Cierre todas las ventanas y cierre la sesin.
Prueba del inicio de sesin con el script creado
1. inicie sesin como NombreComputadora Evaluacin con la
contrasea P@ssw0rd.
2. En la ventana que muestra Su Script funcion, haga clic en
- 420 -

Windows Server 2003

Divisin Empresas

Aceptar.
3. Cierre todas ventanas y cierre sesin.
Eliminar un vnculo a un GPO
Ubicacin: Ubicaciones/NombreComputadora
GPO: NombreComputadora escritorio predeterminado
Accin: Eliminar el vnculo GPO.

Configurar la redireccin de carpetas


Windows Server 2003 permite redireccionar las carpetas que son parte
de los perfiles de los usuario desde su ubicacin en los discos locales
hasta una Ubicacin en el servidor. Redireccionando estas carpetas, se
puede asegurar que la informacin de los usuarios tambin se encuentra
localizada en una Ubicacin central y que los usuarios podrn acceder a
ella independientemente de la computadora en la que hayan iniciado
sesin.
La redireccin de carpetas hace mucho ms fcil para el administrador
el manejo de respaldos en un ubicacin centralizada. Las carpetas de
usted puede redireccionar son: Mis documentos, Informacin sobre
aplicaciones, Escritorio y el Men de inicio. Windows Server 2003
automticamente crea estas carpetas y las hace parte del perfil de
usuario para cada una de las cuentas.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Explicar lo que es la redireccin de carpetas


Explicar que carpetas pueden ser redireccionadas
Determinar que ajustes son requeridos para configurar el
rediireccionamiento de una carpeta.
Explicar las consideraciones de seguridad importantes al
configurar el redireccionamiento de una carpeta.
Configurar el redireccionamiento de una carpeta.

Qu es el redireccionamiento de carpetas?
Introduccin
Cuando redirecciona una carpeta, usted cambia la ubicacin en la cual
son guardadas las carpetas, cambindola del disco duro de la
computadora del usuario a una carpeta compartida en el servidor de
archivos de red. Despus de que redirecciona una carpeta en el servidor
- 421 -

Windows Server 2003

Divisin Empresas

de archivos, la carpeta continuar mostrndose al usuario como si sta


se encontrara todava en el disco duro local. Usted puede redireccionar
cuatro carpetas que son parte de los perfiles de usuario: Mis
documentos, Informacin sobre aplicaciones, escritorio y el Men de
inicio.
Los beneficios de la redireccin de carpetas
El almacenar informacin en el servidor, tiene ventajas significativas
como la de incrementar la accesibilidad y aumentar la frecuencia con la
que se realizan los respaldos de informacin, redireccionar la
informacin tiene los siguientes beneficios:

La informacin se encuentra siempre disponible para los usuarios


independientemente de la computadora en la que inicien sesin.
La informacin en las carpetas se encuentra almacenada de forma
centralizada, de esta manera los archivos incluidos se pueden
organizar con mayor facilidad y ser respaldados de acuerdo a sus
caractersticas particulares.
Los archivos que se encuentran almacenados en carpetas
redireccionadas, no son producto de una copia que se realice en el
disco duro de la computadora local, Esto significa que cuando un
usuario inicia sesin en una computadora cliente, no se utiliza
espacio de almacenamiento perteneciente a la computadora
cliente para almacenar archivos, de esta forma, la informacin que
pudiera resultar confidencial no permanece en la computadora
cliente.
La informacin que es almacenada en una carpeta en red puede
ser respaldada como parte de una rutina administrativa. Esto
incrementa la seguridad ya que no requiere que el usuario ejecute
voluntariamente esta accin.
Como administrador, usted puede utilizar directivas de grupo para
asignar directivas de almacenamiento, por ejemplo, las capacidad
hades de almacenamiento en carpetas utilizadas por los usuarios.
Existe la opcin de redireccionar la informacin de un usuario a un
disco local diferente a en el que se tiene instalado el sistema
operativo, esto es til en el caso de que el sistema operativo falle
e impida el acceso a los archivos, de esta manera, la informacin
del usuario se mantiene protegida al no tener que borrarse si es
que es necesario reinstalar el sistema operativo.

Archivos que pueden ser redireccionados


Introduccin

- 422 -

Windows Server 2003

Divisin Empresas

Usted puede redireccinar las carpetas de Mis documentos, Informacin


sobre aplicaciones, Escritorio y carpetas del Men inicio. En principio se
pretende que la redireccin de estas carpetas guarde informacin
importante acerca del usuario y sus configuraciones. Existen mltiples
ventajas sobre la redireccin de carpetas, estas ventajas variarn de
acuerdo a las necesidades particulares de su organizacin.

- 423 -

Windows Server 2003

Divisin Empresas

Redireccionando carpetas
Usted puede utilizar la redireccin de carpetas para redireccionar
cualquiera de las siguientes carpetas incluidas en el perfil de usuario:

Mis documentos
Redireccionando Mis documentos en lo particular, representa una
gran ventaja ya que esta carpeta con el tiempo tiende a crecer
demasiado.
La tecnologa de archivos Fuera de lnea permite a los usuarios
el acceso a sus archivos aun cuando no se encuentren conectados
a la red. Esto en lo particular representa una ventaja para las
personas que utilizan computadoras porttiles.

Informacin de aplicaciones
Un ajuste en la configuracin de una directiva de grupo puede
controlar el comportamiento de una aplicacin cuando est siendo
monitoreada en la computadora cliente. Este ajuste sincroniza la
aplicacin que se esta ejecutando de manera centralizada entre el
servidor y la computadora cliente. Si se realiza alguna
modificacin a la forma en que la aplicacin debe trabajar, esta
configuracin se actualizar en la computadora cliente y el
servidor.

Escritorio
Se pueden redireccionar el escritorio y todos sus componentes,
archivos, accesos directos y carpetas a un servidor centralizado.

Men de inicio
Cuando redirecciona el Men de inicio, todas sus subcarpetas
tambin son redireccionadas.

- 424 -

Windows Server 2003

Divisin Empresas

Ajustes requeridos para configurar la redireccin de una


carpeta
Introduccin
Hay tres tipos de configuraciones para la redireccin de un flder: Nula,
bsica y avanzada. La redireccin de carpetas bsica es para usuarios
que requieren redireccionar sus carpetas a un rea comn o para
usuarios que requieren almacenar su informacin de forma privada.
Redireccin bsica de carpetas.
Estn disponibles las siguientes opciones para la redireccin bsica de
carpetas
Redireccionar carpetas a una ubicacin abierta
Todos los usuarios que redireccionan sus carpetas hacia una
Ubicacin abierta o comn, pueden ver o utilizar la informacin de los
dems usuarios que tambin han redireccinado sus carpetas en esta
misma rea. Para hacer esto, seleccione la configuracin bsica y
active Ubicacin de Carpetas destino a Redireccionar carpetas
a la siguiente ubicacin.
Crear una carpeta para cada usuario bajo una ruta de
acceso especifica
Para usuarios que requieren de privacidad en sus carpetas
redireccionadas, seleccione la configuracin bsica y active
Ubicacin de carpetas destino a Crear una carpeta para cada
usuario bajo una ruta de acceso especifica. Utilice esta opcin si
el usuario requiere que su informacin sea confidencial, como es el
caso de los gerentes y jefes de departamento que mantienen
informacin confidencial sobre sus empleados.
Redireccin avanzada de carpetas
Cuando usted selecciona Avanzada- especificar Ubicacines para
varios grupos de usuarios las carpetas son redireccionadas a
diferentes Ubicacines controladas por una membresa de grupo que
especifica el nivel de seguridad para los usuarios de dicho grupo.

- 425 -

Windows Server 2003

Divisin Empresas

Estn disponibles las siguientes opciones para la redireccin avanzada


de carpetas:

Seleccionar grupo(s)
Aqu se especifica a quien se le quiere facilitar la redireccin.
Ubicacin de la carpeta destino
Puede seleccionar cualquiera de las siguientes opciones:
Crear una carpeta para cada usuario bajo una ruta
de
acceso
especifica. Utilcese para manejar
informacin confidencial.
Redireccionar a la siguiente Ubicacin. Utilcese para
informacin compartida.
Redireccionar a ubicacin local del perfil de
usuario. Aplquese para usuarios que usan de manera
combinada computadoras cliente con el Active Directory
habilitado y computadoras cliente con Active Directory
deshabilitado.
Ruta de acceso raz. En esta caja, especifique el servidor y el
nombre de la carpeta compartida a la cual quiere redireccionar las
carpetas.

Consideraciones de seguridad al configurar la redireccin de


carpetas
Introduccin
La redireccin de carpetas puede crear automticamente carpetas por
usted, lo cual es muy recomendable. Cuando usted utiliza esta opcin,
los permisos adecuados son establecidos de forma automtica.
Usualmente, no necesita saber que tipo de permisos estn habilitados,
como sea, si usted crea manualmente las carpetas, necesitara saber
cuales son los permisos que deben establecerse. Las siguientes tablas
muestran cuales son los permisos que se pueden establecer en la
redireccin de carpetas.

- 426 -

Windows Server 2003

Divisin Empresas

Permisos requeridos en la carpeta raz para el sistema NTFS


Establezca los siguientes permisos en la carpeta raz bajo NTFS
Cuenta de usuario

Configuracin por
defecto de la
redireccin de
carpeta
Creador/propietario
Control total, para esta
carpeta, subcarpetas y
archivos
Administradores
Sin Permisos
Todos
Sin Permisos
Sistema local
Control total, para esta
carpeta, subcarpetas y
archivos
Grupos de usuarios de N/A
seguridad
que
requieren
colocar
informacin
en
un
servidor
de
red
compartido
Permisos Requeridos
compartidas

para

la

carpeta

Permisos mnimos
requeridos
Control total, para esta
carpeta, subcarpetas y
archivos
Sin Permisos
Sin Permisos
Control total, para esta
carpeta, subcarpetas y
archivos
Listas
de
carpetas/lectura
de
informacin, creacin
de
carpetas/agregar
informacin
unicamente en esta
carpeta.
raz

de

carpetas

Establezca los siguientes permisos a la carpeta raz para carpetas


compartidas:
Cuenta de usuario

Todos

Configuracin por
defecto de la
redireccin de
carpeta
Control total

Grupos de usuarios de N/A


seguridad
que
requieren
colocar
informacin
en
un
servidor
de
red
compartido

- 427 -

Permisos mnimos
requeridos
Sin permisos (utiliza
caractersticas
de
seguridad de grupos)
Control total

Windows Server 2003

Divisin Empresas

Permisos requeridos para carpetas redireccionadas por cada


usuario bajo NTFS
Establezca los siguientes permisos para carpetas redireccionadas por
cada usuario bajo NTFS
Cuenta de usuario

Nombre de usuario
Sistema local
Administradores
Todos los usuarios

Configuracin por
defecto de la
redireccin de
carpeta
Control
total,
propietario
de
la
carpeta
Control total
Sin permisos
Sin permisos

Permisos mnimos
requeridos
Control
propietario
carpeta
Control total
Sin permisos
Sin permisos

de

total,
la

Como configurar el redireccionamiento de carpetas


Introduccin
Puede configurar las opciones de redireccionamiento de carpetas usando
el Editor de objetos de directiva de grupo.
Procedimiento
Para configurar la redireccin de carpeta:
1. En el administrador de directivas de grupo, edite o cree un GPO.
2. En el Editor de objetos de directivas de grupo, en la consola de
rbol,
expanda
Configuracin
de
usuario,
expanda
Configuracin
de
Windows,
por
ltimo
expanda
Redireccionamiento de carpeta.
Son mostrados Iconos para las cuatro carpetas que pueden ser
redireccionadas.
3. Clic derecho en la carpeta que desea redireccionar, despus haga
clic en Propiedades.
4. En el cuadro de dialogo de Propiedades, en etiqueta
Configuracin, haga clic en una de las siguientes opciones:
Bsico Redireccionar las carpetas de cada usuario al mismo
punto compartido en la Red. Todas las carpetas afectadas por este
Objeto de directiva de grupo son guardadas en la misma carpeta
de red compartida.
Avanzado Redireccionar carpetas personales basadas en la
membresa del usuario en un grupo de seguridad de Windows
Server 2003.
- 428 -

Windows Server 2003

Divisin Empresas

Las carpetas pueden ser redireccionadas a diferentes carpetas


compartidas en la red basndose en las caractersticas de la
membresa de grupo. Por ejemplo, las carpetas que pertenecen a
usuarios de un grupo de Contadores son redireccionadas a el
servidor de contabilidad, las carpetas que pertenecen a usuarios
de un grupo de Mercadotecnia son redireccionadas a un servidor
de mercadotecnia.
5. En el cuadro de dilogo Propiedades, haga clic en Agregar.
6. Debajo de la carpeta destino, en la ventana de ruta de acceso,
teclee el nombre de la carpeta compartida en red que se utilizar
o haga clic en Examinar para localizarla.
7. En la etiqueta Configuracin, configure las opciones que desee
utilizar, despus haga clic en Aceptar.
Las siguientes opciones de configuracin estn disponibles:
Conceder derechos exclusivos de usuario para Mis
documentos.
Configura el descriptor de seguridad NTFS para el flder
nico de nombres de usuario
Mover el contenido de Mis documentos a una nueva
Ubicacin.
Mueve cualquier documento que el usuario haya guardado
en la carpeta local de Mis documentos hacia una carpeta
compartida en red. Esta opcin esta habilitada por defecto.
Dejar la carpeta en la Ubicacin nueva, aunque la
directiva sea removida.
Especifica que los archivos permanecern en la nueva
Ubicacin aun cuando el objeto de directiva de grupo haya
sido removido o ya no tenga efecto sobre la carpeta. Esta
opcin esta habilitada por defecto.
Redireccionar la carpeta hacia la ubicacin original donde se
encuentran los perfiles de usuario una vez que la directiva
se ha eliminado.
Especifica que la carpeta ser movida a la ubicacin original
donde se encuentran los perfiles del usuario si es que la
directiva ya no aplica.
La ventana de Propiedades de mis documentos tiene las siguientes
opciones de configuracin para la carpeta de Mis imgenes.

Convertir la carpeta Mis imgenes a una subcarpeta


de Mis documentos.
Cuando la carpeta de Mis documentos se redirecciona, la
carpeta mis imgenes se mantiene como una subcarpeta de
Mis documentos. Esta opcin est habilitada por defecto.
- 429 -

Windows Server 2003

Divisin Empresas

No especificar directiva administrativa para la carpeta


Mis imgenes.
La directiva de grupo no controla la posicin de la carpeta
Mis imgenes. La posicin de Mis imgenes es determinada
por los perfiles de usuario.

Prctica: Configurando la redireccin de una carpeta.


Objetivo
En esta prctica, configurar el redireccionamiento de una carpeta.
Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio utilizando la cuenta de usuario


NombreComputadora
Abra MMCPersonal.
Asegrese de que MMCPersonal contiene los siguientes
complementos:
o Usuarios y equipos de Active Directory
o Administrador de directivas de grupo
o Administrador de equipo (Local)
Revise los procedimientos de esta sesin que describen
como realizar esta tarea.

Escenario
La empresa esta desarrollando un ambiente de prueba para evaluar el
redireccionamiento de la carpeta de Mis documentos en cada ciudad en
la que la empresa tiene cede. Debe crear una carpeta llamada
D:\EvaluacinDatos
Usuario
y
comprtala
como
EvaluacinDatosUsuario$ en su servidor NOmbreComputadora.
Tambin debe crear un GPO, ligado a la unidad organizativa
ISEvaluacin/NombreComputadora,
llamado
prueba
de
redireccionamiento de carpetas NombreComputadora. Este objeto de
directiva de grupo debe redireccionar la carpeta de Mis documentos
hacia \\NombreComputadora\EvaluacinDatosUsuario$. No conceda
derechos exclusivos a los usuarios, de tal forma que los administradores
puedan reconocer si se estn agregando documentos.
Prctica
Crear una carpeta compartida
Ruta de acceso de la carpeta: D:\
Nombre: EvaluacinDatosUsuario
- 430 -

Windows Server 2003

Divisin Empresas

Nombre Compartido: EvaluacinDatosUsuario$


Permisos de la carpeta compartida: Usuarios Autenticados
Control Total
Permisos NTFS: Por defecto

- 431 -

Windows Server 2003

Divisin Empresas

Crear una cuenta de usuario para la evaluacin (si es que aun no


existe)
Unidad organizativa: Ubicaciones/NombreComputadora/
Nombre: NombreComputadora
Apellido: Evaluacin
Nombre de usuario para inicio de sesin:
NombreComputadoraEvaluacin
Contrasea: P@ssw0rd
Vinculo hacia un objeto de directiva de grupo
Unidad organizativa: Ubicaciones/ NombreComputadora/
Nombre de objeto de directiva de grupo: NombreComputadora
EvaluacinDatosUsuario
Filtrado de seguridad: Usuarios autenticados
Editar un objeto de directiva de grupo
GPO: nombrecomputadora EvaluacinDatosUsuario
Configurar el redireccionamiento de carpeta
1. Ubicacion:/Configuracin de usuario/configuracion de windows /
Prueba de Redireccionamiento de carpetas
2. Configuracin de directiva de grupo: Mis documentos
3. Opciones:
o Configuracion para carpeta destino: Bsica redireccionar
las carpetas de todos los usuarios a la misma
Ubicacin
o Ubicacin de la carpeta destino: Crear una carpeta para
cada usuario bajo la misma ruta de acceso raz
o Ruta
de
acceso
raz:
\\nombrecomputadora\EvaluacinDatosUsuario$
o Configuracin de redireccin: Desactive la casilla de
verificacin Asignar
al usuario derechos exclusivos
sobre Mis documentos
o directiva de remocin: Redireccionar la carpeta de
regreso a la Ubicacin de los perfiles de usuario
cuando la directiva sea removida.
o Preferencias de la carpeta Mis imgenes: Hacer la carpeta
mis imgenes una subcarpeta de Mis documentos
Probar la redireccin de la carpeta Mis documentos
1. Cierre Sesin
2. Inicie sesin como NombreComputadoraEvaluacin
contrasea P@ssw0rd
3. En la ventana de mensaje, haga clic en Aceptar
4. Clic en Inicio
- 432 -

con

la

Windows Server 2003

Divisin Empresas

5. Clic derecho a Mis documentos y despus clic en Propiedades


6. En la ventana de Propiedades de Mis documentos, verifique
que lo siguiente se encuentre en la caja de Destino:
\\nombrecomputadora\EvaluacinDatosUsuario$\
EvaluacinDatosUsuario\Mis Documentos
7. Clic en Aceptar
8. Clic en Inicio, despus clic en Mis documentos
9. En la carpeta Mis documentos, en el men Archivo, clic en
Nuevo, seleccione Archivo de texto.
10.
Cierre todas las ventanas y cierre sesin
Prueba de los permisos en las carpetas redireccionadas
1. Inicie sesin como nombrecomputadoraAdmin con la contrasea
P@ssw0rd
2. Ir hacia D:\EvaluacinDatosUsuario
3. En
D:\EvaluacinDatosUsuario\EvaluacionNombrecomputadora,
haga doble clic en documentos de EvaluacionNombrecomputadora
4. En
D:\EvaluacinDatosUsuario
\Evaluacionnombrecomputadora\documentosevaluacionnombredo
mputadora, verifique que el archivo llamado Nuevo documento de
texto.txt fue creado.
5. Cierre todas las ventanas y cierre sesin

Determinar las directivas de grupo aplicadas


Introduccin
Directiva de grupo es una herramienta administrativa con la cual se
pude definir y controlar cmo es que los programas, los recursos de red,
y el sistema operativo trabajan en beneficio de la organizacin. En el
ambiente de Active Directory, una directiva de grupo es aplicada a los
usuarios y grupos de computadoras basndose en la membresa que los
distingue dentro de sitios, dominios y unidades organizacionales.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:

Explicar qu es gpudate.
Explicar qu es gpresult.
Explicar qu es un reporte de directiva de grupo.
Utilizar reportes de directiva de grupo.
Explicar qu es el modelado de directivas de grupo.
Utilizar el modelado de directivas de grupo.
Explicar que son los resultados de directiva de grupo.
- 433 -

Windows Server 2003

Divisin Empresas

Utilizar los resultados de directiva de grupo.

Qu es Gpudate
Introduccin
Es una herramienta de lnea de comandos que refresca las
configuraciones de las directivas de grupo locales y las configuraciones
de directivas de grupo que son almacenadas en el Active Directory,
incluyendo configuraciones de seguridad, por defecto, los ajustes de
seguridad son refrescados cada 90 minutos en una estacin de trabajo o
servidor y cada cinco minutos en un controlador de dominio. Usted
ejecutar gupdate para probar una configuracin de directiva de grupo o
para forzar el funcionamiento de una directiva de grupo.
Ejemplos en gpudate
Los siguientes ejemplos muestran la forma en que se puede ejecutar el
comando gpudate:
C:\gpupdate
C:\gpupdate /Target:computer
C:\gpupdate /Force/Wait:100
C:\gpupdate /boot
Parmetros de gpupdate
Gpudate tiene los siguientes parmetros
Valor
/Target:{computadora|usuario}

/Force

/Wait:{valor}

Descripcin
Especifica que solo la configuracin
de las directivas del usuario o la
computadora son refrescadas. Por
defecto, tanto directivas de la
computadora como del usuario son
refrescadas.
Aplica
nuevamente
todas
las
configuraciones de las directivas.
Por
defecto,
solo
las
configuraciones de las directivas
que han cambiado son refrescadas.
Especifica en segundos el tiempo
de espera para que las directivas
sean refrescadas. El valor por
- 434 -

Windows Server 2003

/Logof

/Boot

/Sync

Divisin Empresas

defecto es de 600 segundos. El


valor 0 significa que no hay que
esperar. El valor -1 significa que el
tiempo de espera es indefinido.
Causa un cierre de sesin despus
de que las directivas han sido
refrescadas. Esto es requerido por
aquellas extensiones de directivas
de grupo del cliente que no
procesan
configuraciones
de
directivas de grupo mediante un
ciclo de refrescamiento que se
realiza internamente pero que si
efectan
configuraciones
de
directivas cuando el usuario inicia
sesin. Esta opcin no tiene efecto
si
no
hay
extensiones
que
requieran de un cierre de sesin.
Causa
un
reinicio
de
la
computadora despus de que las
configuraciones de directivas de
grupo han sido refrescadas. . Esto
es
requerido
por
aquellas
extensiones de directivas de grupo
del cliente que no procesan
configuraciones de directivas de
grupo mediante un ciclo de
refrescamiento que se realiza
internamente pero que si efectan
configuraciones
de
directivas
cuando la computadora se reinicia.
Esta opcin no tiene efecto si no
hay extensiones que requieran de
un reinicio de la computadora.
Causa
que
la
siguiente
configuracin de directiva en la
lista
se
aplique
de
forma
sincronizada. Estos ajustes son
aplicados cuando la computadora
enciende y el usuario inicia sesin.
Puede especificar esta funcin para
el usuario, la computadora o ambos
utilizando el parmetro /Target.
Los parmetros /Force y /Wait son
ignorados.
- 435 -

Windows Server 2003

Divisin Empresas

- 436 -

Windows Server 2003

Divisin Empresas

Qu es un Gpresult
Introduccin
Ya que es posible sobre poner niveles de configuraciones de directivas a
cualquier computadora o usuario. Las directivas de grupo generan un
juego de resultados de directivas al inicio de sesin. Gpresult despliega
el juego de directivas resultantes que han sido forzadas a ejecutarse en
la computadora por un usuario especificado al inicio de sesin.
El comando Gpresult despliega los ajustes de directivas de grupo y el
juego de resultados de la aplicacin de esas directivas (RsoP) como
informacin de un usuario o computadora especifica.
Usted puede visualizar por medio de gpresult la configuracin de la
directiva que tiene efecto y las soluciones a los problemas que puede
estar causando.
Ejemplos de gpresult
Los siguientes ejemplos muestran como se puede utilizar el comando
gpresult:

C:\gpresult /user targetusername /scope computer


C:\gpresult /s srvmain /u maindom/hiropln /p p@ssw23 /user
targetusername /scope USER
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssw23 /user
targetusername /z>policy.txt
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssw23 /user
targetusername /scope USER

Parmetros de gpresult
Gpresult tiene los siguientes parmetros
Valor
/s computadora

/u Dominio/Usuario

Descripcin
Especifica el nombre o la direccin
IP de una computadora remota. No
utilice el carcter diagonal inversa
en el nombre. El valor por defecto
es computadora local.
Ejecuta el comando
con los
permisos de cuenta de usuario
especificados por
Usuario o
- 437 -

Windows Server 2003

/p password
/User Nombreusuariodestino

/scope {usuario|computadora}

/v
/z

/?

Divisin Empresas

Dominio/Usuario.
El valor por
defecto ejecuta el comando con los
permisos
del
usuario
que
actualmente ha iniciado sesin.
Especifica la contrasea de la
cuenta de usuario que se especifica
en /u.
Especifica el nombre de usuario del
usuario al que pertenece la
informacin RsoP que actualmente
de despliega.
Despliega
los
ajustes
de
configuracin de directiva del
usuario o de la computadora.
Valores
aceptados
para
el
parmetro /scope son Usuario o
Computadora.
Si
omite
el
parmetro
/scope,
gpresult
despliega tanto las configuraciones
de directiva de usuario como de
computadora.
Especifica que la salida desplegara
informacin
del propsito de la
directiva
Especifica que la salida desplegara
toda la informacin disponible
sobre la directiva de grupo. Ya que
este
parmetro
produce
mas
informacin que el parmetro /v,
redireccione la salida a un archivo
de texto cuando utilice este
parmetro. (por ejemplo, gpresult
/z>policy.txt)
Despliega la ayuda en la ventana
de comandos

----------------------------------------------------------------------------

- 438 -

Windows Server 2003

Divisin Empresas

Qu es un reporte de directiva de grupo?


Definicin
El administrador de sistemas tiene la oportunidad de hacer miles de
cambios a un objeto de directiva de grupo. Para verificar los cambios
hechos aun objeto de directiva de grupo sin tener necesariamente que
abrirlo y tener que expandir todas sus carpetas, usted puede generar un
reporte en Lenguaje de Marcado de Hipertexto (HTML) que enliste los
elementos en el objeto de directiva de grupo que estn configurados.
La etiqueta de configuraciones
La etiqueta de Configuraciones, en el panel detalles para un objeto de
directiva de grupo o en un vnculo de objeto de directiva de grupo en el
administrador de directivas, muestra un reporte escrito en HTML el cual
contiene todas las configuraciones definidas para tal objeto. Cualquier
usuario con acceso de lectura a un objeto de directiva de grupo puede
generar este reporte. Si hace clic en Mostrar todo, en la parte superior
de reporte, el reporte se expandir por completo y todas las
configuraciones sern mostradas. Tambin, usando el men contextual,
puede imprimir reportes o guardarlos en un archivo de tipo HTML o en
Lenguaje de Marcado Extendido (XML).

Cmo utilizar reportes de directiva de grupo


Introduccin
Utilice el siguiente procedimiento para determinar las configuraciones
aplicadas en una directiva de grupo, utilizando Reportes de directiva de
grupo.
Procedimiento
Para utilizar reportes de directiva de grupo:
1. En el administrador de directivas de grupo, en la consola
rbol, haga clic en el objeto de directiva de grupo para el cual
desea generar un reporte.
Debe expandir todo el contenido, el dominio y nombre de dominio
para localizar el objeto de directiva de grupo al cual le quiere
generar el reporte.
2. En el panel de
configuraciones.

detalles,
- 439 -

haga

clic

en

la

etiqueta

de

Windows Server 2003

Divisin Empresas

Prctica: Usando reportes de directiva de grupo


Objetivo
En esta prctica utilizar reportes de directiva de grupo para verificar los
cambios hechos a los objetos de directiva de grupo.
Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio utilizando la cuenta de usuario


Nombrecomputadora.
Abra MMCpersonal.
Asegrese de que MMCPersonal Contiene al administrador de
directiva de grupo.
Revise los procedimientos en esta sesin que describen como
realizar esta tarea.

Escenario
Usted ha solicitado que se documenten las configuraciones de directiva
de grupo para el objeto de directiva de grupo del dominio por defecto.
Prctica
Para ver el reporte de directiva del dominio por defecto
1. En el administrador de directivas de grupo, en la consola de rbol,
expanda Objetos de directiva de grupo.
2. Clic en Directiva del dominio por defecto.
3. En el panel Detalles, clic en la etiqueta configuraciones.
4. Desde la ventana del Internet Explorer, haga clic en Cerrar.
5. Revise las configuraciones de directiva de grupo para la directiva
del dominio por defecto.
6. Haga clic derecho en cualquier parte del reporte, y despus haga
clic en Guardar Reporte.
7. En la ventana de dilogo Guardar Reporte GPO, haga clic en
Guardar.

- 440 -

Windows Server 2003

Divisin Empresas

Qu es el modelado de directiva de grupo?


Introduccin
Windows Server 2003 le permite simular la ejecucin de un objeto de
directiva de grupo aplicado a los usuarios y a las computadoras antes de
instalarlo de manera oficial. La simulacin crea un reporte en el cual se
toman en cuenta e incluyen las unidades organizacionales, sus
computadoras instaladas, y cualquier tipo de membresas otorgadas.
Tambin se toman en cuenta las directivas de grupo establecidas y sus
conflictos inherentes.
Requerimientos
Si utiliza el modelado de directiva de grupo, debe haber un controlador
de dominio de Windows Server 2003 en el campo. Esto porque la
simulacin es realizada por un servicio que solo esta presente en los
controladores de dominio de de Windows Server 2003.
Resultados del modelado de directiva de grupo
Para realizar una consulta de modelado de directiva de grupo, el usuario
debe correr el asistente para modelado de directiva de grupo. Despus
de que el usuario completa este asistente, un nuevo nodo en la consola
rbol del administrador de directivas de grupo se agrega por debajo de
Modelado de directiva de grupo para desplegar los resultados. La
etiqueta de contenidos en el panel de detalles despliega el contenido
de todas las consultas de modelado de directiva de grupo que el usuario
ha ejecutado.
Para cada consulta, el administrador de directivas de grupo muestra la
siguiente informacin:

Nombre. Es el nombre aplicado al resultado del modelado.


Usuario, Es el objeto de usuario (o la unidad organizativa donde el
objeto del usuario se encuentra) en el cual se basa la consulta de
modelado.
Computadora, Es el objeto de computadora (o la unidad
organizativa donde el objeto de la computadora se encuentra) en
el cual se basa la consulta de modelado.
Ultimo instante de refrescado. Este es el ltimo instante en
que la consulta fue refrescada.

- 441 -

Windows Server 2003

Divisin Empresas

Para cada consulta, el panel de detalles contiene para cada nodo las
siguientes
Etiquetas:

Sumario. Contiene un reporte en HTML con un resumen de la


informacin, incluyendo la lista de objetos de directiva de grupo,
membresas de seguridad de grupo y filtros.
Configuraciones. Contiene un reporte en HTML de las
configuraciones de directiva que han sido aplicadas a la
simulacin.
Consulta. es la lista de parmetros que fueron usados para
generar la consulta.

Cmo utilizar el modelado de directiva de grupo?


Introduccin
Para determinar las configuraciones de directivas de grupo aplicadas,
puede utilizar el asistente para modelado de directiva de grupo. Esto le
permite simular los resultados obtenidos despus de aplicar un objeto de
directiva de grupo antes de hacerlo en forma verdadera.
Procedimiento
Para utilizar el modelado de directiva de grupo:
1. En el administrador de directiva de grupo, en la consola rbol,
haga doble clic en el bosque en el cual desea crear una consulta
de modelado de directiva de grupo, haga clic
derecho en
Modelado de directiva de grupo, y despus clic en Asistente para
modelado de directiva de grupo.
2. En el asistente para modelado de directiva de grupo, haga clic en
siguiente y escriba la siguiente informacin:
o Si usted quiere que el efecto del modelado del nuevo objeto
de directiva de grupo sea sobre un usuario o una
computadora, ingrese el nombre del contenedor para el
usuario o la computadora.
o Si usted quiere que el efecto del modelado del nuevo objeto
de directiva de grupo sea sobre un usuario o una
computadora que ser migrado a una unidad organizativa
distinta, ingrese el nombre del usuario o computadora. El
asistente lo colocar en el destino donde radica dicho
usuario o computadora.
3. Cuando termine, haga clic en Finalizar.
- 442 -

Windows Server 2003

Divisin Empresas

Prctica: utilizando el Asistente para modelado de directiva


de grupo.
Objetivo
En esta prctica, usted utilizara el Asistente para modelado de directiva
de grupo.
Instrucciones
Antes de comenzar con esta prctica:

Inicie sesin en el dominio utilizando la cuenta de usuario


Nombrecomputadora.
Abra MMCPersnal.
Asegrese de que MMCpersonal Contiene al administrador de
directiva de grupo.
Revise los procedimientos en esta sesin que describen como
realizar esta tarea.

Escenario
Su jefe necesita saber como ser aplicada una directiva de grupo si la
cuenta de la computadora Nombrecomputadora es reubicada a la unidad
organizativa IT evaluacion/Nombrecomputadora.
Prctica
Generar un reporte de modelado de directiva de grupo
1. En el administrador de directiva de grupo, en la consola rbol,
haga clic derecho en Modelado de la directiva de grupo,
despus clic en Asistente para modelado de directiva de
grupo.
2. En el asistente para modelado de directiva de grupo, en la pgina
de bienvenida, haga clic en siguiente.
3. En la pgina de Seleccin de controlador de dominio, haga clic
en Siguiente
4. En la pagina de Seleccin del usuario y computadora, debajo
de Informacin de la computadora, haga clic en
Computadora, teclee OU=nombrecomputadora y haga clic en
Siguiente.
5. En la pgina de opciones avanzadas de simulacin, haga clic
- 443 -

Windows Server 2003

Divisin Empresas

en Siguiente.
6. En la pagina de Rutas de acceso alternativas del Active
Directory, en la caja de Ubicacin de la computadora, escriba
OU=Nombrecomputadora, OU=It Evaluacion, DC=icam y despus
clic en siguiente.
7. En la pgina de Seguridad en cmputo para grupos, haga clic
en siguiente.
8. En la pgina de Filtros WMI, haga clic en siguiente.
9. En la pgina de sumario de selecciones. Haga clic en
siguiente.
10.
Clic en Finalizar.
11.
Desde la ventana del Internet Explorer, clic en Cerrar.
Ver el reporte de modelado de directiva de grupo
1. En la etiqueta sumario, observar a travs del reporte
2. Desde el panel de detalles de nombrecomputadora, haga clic en
la etiqueta configuraciones,
3. Desde la ventana del Internet Explorer, haga clic en Cerrar.
4. Observe el contenido del reporte.
5. Clic en la etiqueta Consulta.
6. Observe el contenido del reporte.

Qu son los resultados de directiva de grupo?


Introduccin
La informacin que es presentada en los resultados de directiva de
grupo es similar ala informacin de modelado, como sea, a diferencia de
la informacin de modelado de directiva de grupo, los resultados no son
producto de una simulacin. Es efectivamente informacin que resulta
de la aplicacin de una directiva aplicada a una computadora o usuario.
Requerimientos
A diferencia del modelado de directiva de grupo, los resultados de
directiva de grupo son obtenidos del cliente y no son simulados en el
controlador de dominio. Tcnicamente, un controlador de dominio de
Windows Server 2003 no es requerido si es que se quiere acceder a
resultados de directiva de grupo. Como sea, el cliente debe estar
ejecutando Windows XP o Windows Server 2003. No es posible obtener
resultados de directiva de grupo si el cliente esta ejecutando Windows
2000.
Resultados al aplicar Resultados de directiva de grupo
- 444 -

Windows Server 2003

Divisin Empresas

Cada consulta de Resultados de directiva de grupo es representado por


un nodo bajo el contenedor de Resultados de directiva de grupo en la
consola rbol del administrador de directiva de grupo. El panel Detalles
para cada nodo contiene las etiquetas siguientes:

Sumario. Contiene un reporte en HTML en forma de sumario de


informacin, incluyendo una lista de los objetos de directiva de
grupo, membresas de seguridad de grupo y filtros.
Configuraciones. Contiene un reporte en HTML de las
configuraciones que fueron aplicadas.
Eventos. Muestra todos los eventos dados desde la computadora
Objetivo.

Cmo utilizar los Resultados de directiva de grupo?


Introduccin
Realice el siguiente procedimiento para usar Resultados de directiva de
grupo.
Procedimiento
Para utilizar resultados de directiva de grupo:
1. en el Administrador de directiva de grupo, en la consola rbol,
haga clic en el bosque en el cual quiera crear la consulta de
Resultados de directiva de grupo, haga clic derecho en
Resultados de directiva de grupo, despus clic en Asistente
para Resultados de directiva de grupo.
2. En el Asistente para resultados de directiva de grupo, haga clic en
siguiente y agregue la informacin apropiada.
3. Despus de completar el asistente, haga clic en finalizar.

Prctica: Usando el Asistente para Resultados de directiva


de grupo.
Introduccin
En esta prctica, verificar que las configuraciones de una directiva han
sido actualizadas usando el Asistente para Resultados de directiva de
grupo.
- 445 -

Windows Server 2003

Divisin Empresas

Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio utilizando la cuenta de usuario


Nombrecomputadora.
Abra MMCPersonal.
Asegrese de que MMCpersonal Contiene al administrador de
directiva de grupo.
Revise los procedimientos en esta sesin que describen como
realizar esta tarea.

Escenario
Usted quiere verificar que las configuraciones de una directiva estn
siendo actualizadas en la computadora de su estudiante. Usted quiere
observar que una configuracin de directiva de computadora esta siendo
aplicada su computadora con la cuenta NombrecomputadoraAdmin.
Prctica
Generar un reporte de resultados de directiva de grupo
1. En el administrador de directiva de grupo, haga clic derecho en
Resultados de directiva de grupo, despus clic en Asistente
para Resultados de directiva de grupo.
2. En el Asistente para resultados de directiva de grupo, en la pgina
de Bienvenida, haga clic en siguiente.
3. En la pgina de seleccin de la computadora, haga clic en
siguiente.
4. En la pgina de seleccin del usuario, haga clic en seleccionar
un usuario especfico, clic en NombrecomputadoraAdmin,
despus clic en siguiente.
5. En la pagina de sumario de selecciones, clic en Siguiente.
6. En la pagina de Completando el Asistente para resultados de
directiva de grupo, haga clic en Finalizar.
7. Desde el cuadro de dilogo del Internet Explorer, haga clic en
Cerrar.
Ver un reporte de Resultados de directiva de grupo.
1. En la etiqueta Sumario observe el reporte.
2. En la etiqueta Eventos, haga clic en Fuente.
- 446 -

Windows Server 2003

Divisin Empresas

3. Deslcese hacia abajo hasta encontrar una fuente llamada SceCli.


4. Haga doble clic en el primer evento con la fuente llamada SceCli.
5. En el cuadro de dialogo Propiedades del Evento, verifique la
fecha y la hora en que la configuracin de directiva de grupo fue
aplicada satisfactoriamente.
6. Haga clic en la flecha hacia abajo para ver el siguiente evento,
verifique la fecha y la hora en que la configuracin de directiva de
grupo fue aplicada satisfactoriamente. Clic en OK.

Practica: Usando reportes de directiva de grupo


Objetivos
Despus de completar este laboratorio usted ser capaz de:

Crear y aplicar Objetos de directiva de grupo.


Crear un reporte usando el Asistente para modelado de directiva
de grupo.
Verificar que las configuraciones han sido aplicadas utilizando el
Asistente para resultados de directiva de grupo.

Instrucciones
Antes de que comience con este laboratorio:

Inicie sesin en el dominio utilizando la cuenta de usuario


nombrecomputadora.
Abra MMCPersonal.
Asegrese de que MMCPersonal
Contiene los siguientes
agregados:
o Usuarios y computadoras en el Active directory
o Administrador de computadora (local)
o Administrador de directiva de grupo.
Asegrese de contar con unidades organizacionales llamadas
Laptops y escritorios en /NombreComputadora/Computadoras

Escenario
La empresa ha terminado de probar Objetos de directiva de grupo, ahora
debe configurar mltiples objetos de directiva de grupo los cuales
afectaran a muchos usuarios y computadoras en su ciudad. Usted
deber crear y aplicar objetos de directiva de grupo, utilizando todas las
propiedades que se muestran en las tablas siguientes. Despus de
configurar todos los objetos de directiva de usuario, debe crear reportes
- 447 -

Windows Server 2003

Divisin Empresas

que muestren que los grupos apropiados no son afectados por ciertas
directivas y que en general, las directivas apropiadas han sido aplicadas.

- 448 -

Windows Server 2003

Divisin Empresas

Ejercicio 1
Creando un Objeto de directiva de grupo para un Escritorio de
computadora Estndar
En este ejercicio Crear un objeto de directiva de grupo
Escenario
La empresa ha terminado de probar un Objeto de directiva de grupo que
permite al personal de Mercadotecnia utilizar un estndar de escritorio
en todas sus computadoras. Cree un Objeto de directiva de grupo con
las siguientes propiedades:
Propiedades
1. Cree un objeto
directiva de grupo

de

2. Cree un vnculo de
objeto de directiva de
grupo.

3. Configurar el filtrado
de seguridad

4.
Establezca
las
siguientes opciones de
directiva de grupo a
Habilitado.

Instrucciones especiales
Nombre del Objeto de directiva de
grupo: nombrecomputadora Estndar
Desktop 2
Ubicacin:
Ubicacion/Nombreccomputadora
Nombre del objeto de directiva de
grupo: Nombrecomputadora Estndar
Desktop 2
Ubicacin:
Ubicacin/Nombrecomputadora
Nombre del objeto de directiva de
grupo: Nombrecomputadora Estndar
Desktop 2
Nombre del Objeto de directiva de
grupo: Nombrecomputadora Estndar
Desktop 2
Ubicacin
de
configuracin
de
directiva de grupo:
Configuracin de usuario/Plantillas
Administrativas/componente
de
Windows
/compatibilidad
de
Aplicacion /prevencion de acceso a
aplicaciones de 16-bits.
Ubicacin
de
configuracin
de
directiva de grupo: Configuracin de
usuario/Plantillas
Administrativas/componente
de
Windows /explorador de Windows
/Quitar boton de bsquedas para el
explorador de Windows
- 449 -

Windows Server 2003

Divisin Empresas

Ubicacin
de
configuracin
de
directiva de grupo:
Configuracin
de
usuario/Plantillas
Administrativas/componente de Windows
/explorador de Windows /Quitar Etiqueta
de Hardware
Ubicacin
de
configuracin
de
directiva de grupo: Configuracin de
usuario/Plantillas
Administrativas
/Menu Inicio y barra de tareas/Mover
conexiones de red del men Inicio
Ubicacin
de
configuracin
de
directiva de grupo: Configuracin de
usuario/Plantillas
Administrativas
/Menu Inicio y barra de tareas /quitar
ejecutar del men inicio

- 450 -

Windows Server 2003

Divisin Empresas

Ejercicio 2
Creando un objeto de directiva de grupo para redireccin de
carpetas
En este ejercicio, usted establecer permisos denegados para todos los
empleados temporales de la empresa, de tal manera que el objeto de
directiva de grupo que establece la redireccin de sus carpetas no se les
establezca a dichos empleados.
Escenario
La empresa ha terminado de probar un Objeto de directiva de grupo
para redireccin de carpetas. Usted debe crear un objeto de directiva de
grupo que redireccione carpetas nicamente del personal de
contabilidad.
Tareas
Instrucciones especiales
1. cree un objeto
Nombre del objeto de directiva de grupo:
de directiva de
Nombrecomputadora Redireccin de flder de
grupo.
contabilidad.
2.
Cree
un
Ubicacin:
vinculo al objeto
Ubicacion/Nombrecomputadora/Usuarios
de directiva de
Nombre del Objeto de directiva de grupo:
grupo.
Nombrecomputadora Redireccin de flder de
contabilidad.
3. Configure el
Ubicacin:
filtrado
de
Ubicacin/Nombrecomputadora/Usuarios
seguridad.
Nombre del Objeto de directiva de grupo:
Nombrecomputadora Redireccin de flder de
contabilidad.
Filtrado de seguridad.
o Eliminar todos
o Agregar a DL Icam Personal de
contabilidad, control total.
4.
Crear
una
Ruta de acceso: D:\Datos de cuentas
carpeta
Nombre
compartido:
compartida
\\Nombrecomputadora\Datosdecuentas$
Permisos: Permitir el control total DL Icam
Redireccin de flder de contabilidad.
5.
Ubicacin:
Configuraciones
Ubicacin/Nombrecomputadora/Usuarios
de directiva de
Nombre del Objeto de directiva de grupo:
grupo
Nombrecomputadora Redireccin de flder de
- 451 -

Windows Server 2003

Divisin Empresas

contabilidad.
Ubicacin de las configuraciones de directiva
de
grupo:
configuracin
de
usuarios/Configuracin de windows/Carpeta de
redireccion/mis documentos
Opciones:
o Configuracin de carpeta destino: Basica
redireccionar las carpetas de todos
a la misma Ubicacin.
o Ubicacin de la carpeta destino: Crear
una carpeta para cada usuario bajo
la ruta de acceso raz.
o Ruta
de
acceso:\\Nombrecomputadora\Datosdecu
entas$
o Configuraciones de redireccin:
Otorgar al usuario derechos
exclusivos
sobre
Mis
documentos.
Redireccionar la carpeta de
regreso al perfil de usuario
local cuando la directiva haya
sido removida.

- 452 -

Windows Server 2003

Divisin Empresas

Ejercicio 3
Creando un Objeto de directiva de grupo para computadoras
porttiles
En este ejercicio, usted deber configurar un objeto de directiva de
grupo para computadoras porttiles.
Escenario
La empresa ha terminado de probar un Objeto de directiva de grupo
para computadoras personales. Cree un objeto de directiva de grupo con
las siguientes propiedades que sern aplicadas a todas las
computadoras porttiles.
Tareas
Instrucciones especiales
1. Cree un Objeto
Nombre del objeto de directiva de grupo:
de directiva
de
Nombrecomputadora configuraciones Laptop
grupo
2. Cree un vinculo
Ubicacin :
al objeto de grupo Ubicacin/Nombrecomputadora/computadoras/Lapt
de trabajo
ops
Nombre del objeto de directiva de grupo:
Nombrecomputadora configuraciones Laptop
3. Configure las
Nombre del objeto de directiva de grupo:
siguientes
Nombrecomputadora configuraciones Laptop
opciones
de
Ubicacin de configuracin de directiva de
directiva de grupo
grupo: Configuracin de usuario/Plantillas
a Habilitado.
Administrativas/sistema/Administracin
de
Energia/ Linea dePassword en resumen de
hibernacin/suspender
Ubicacin de configuracin de directiva de
grupo: Configuracin de usuario/Plantillas
Administrativas
/Red/Archivos
fuera
de
linea/syncronize all offline files befote logging
of

- 453 -

Windows Server 2003

Divisin Empresas

Ejercicio 4
Creando un objeto de directiva de grupo para computadoras de
escritorio
En este ejercicio, configurar un objeto de directiva de grupo para
computadoras de escritorio.
Escenario
La empresa a terminado de probar un objeto de directiva de grupo para
computadoras de escritorio. Cree un objeto de directiva de grupo con las
siguientes propiedades que sern aplicadas a todas las computadoras de
escritorio.
Tareas
Instrucciones especiales
1. Cree un objeto de Nombre del objeto de directiva de grupo:
directiva de grupo
Nombrecomputadora configuraciones de
escritorio
2. Cree un vinculo al
Ubicacin:
:
objeto de grupo de
Locations/ComputerName/Computers/Esc
trabajo
ritorio
Nombre del objeto de directiva de grupo:
Nombrecomputadora configuraciones de
escritorio
3.
Configure
las
siguientes opciones de
directiva de grupo a
Habilitado.

Nombre del objeto de directiva de grupo:


Nombrecomputadora configuraciones de
escritorio
Ubicacin de configuracin de directiva
de
grupo:
User
Configuration/Administrative
Templates/Network/Offlines Files/prevent
Use of offlines folders

- 454 -

Windows Server 2003

Divisin Empresas

Ejercicio 5
Generando un reporte de modelado de directiva de grupo
En este ejercicio, usted generar dos reportes de modelado de directiva
de grupo. Generar un reporte para los gerentes de contabilidad con
computadoras porttiles y otro reporte para personal de contabilidad
con computadoras de escritorio.
Nombre del reporte
Instrucciones especiales
1. Cree un reporte de modelado
Contenedor de usuario:
de directiva de grupo para
OU=Usuarios,OU=Nombrecomputa
computadoras porttiles.
dora,OU=Ubicaciones,DC=Icamserv
er
Contenedor de computadora:
OU=Laptops,OU=Computadoras,OU
=Nombrecomputadora,OU=Ubicaci
oness,DC=icamserver
Seguridad
para
grupos
de
usuarios:
usuarios
autentificados, todos
2. Cree un reporte de modelado
de directiva de grupo para
computadoras de escritorio.

Contenedor de usuario:
OU=Ususarios,OU=Nombrecomputa
dora,OU=Ubicaciones,DC=Icamserv
er
Contenedor de computadora:
OU=Desktops,OU=Computadoras,O
U=nombrecomputadora,OU=Ubicac
iones,DC=Icamserver
Seguridad
para
grupos
de
usuarios:
usuarios
autentificados, todos

- 455 -

Windows Server 2003

Divisin Empresas

Ejercicio 6
Generando un reporte de resultados de directiva de grupo
En este ejercicio, usted generar un reporte de resultados de directiva
de grupo para ver cuales son las configuraciones que se han aplicado a
la cuenta icamserver\administrador en el servidor llamado icamserver.
Tarea
Instrucciones especiales
1. Cree un reporte de resultados
Seleccin
de
equipo:
de directiva de grupo.
Glasgow
Seleccin
de
usuario:
icamserver\administrador
2. visualizar un reporte de
Determinar cuando fue la
resultados de directiva de grupo.
ltima
vez
que
se
actualizaron
las
configuraciones.

- 456 -

Windows Server 2003

Divisin Empresas

Unidad 15: Introduccin a la seguridad en


Windows Server 2003
Panorama general de la seguridad en Windows Server
2003
Introduccin
En esta sesin, aprender las nociones bsicas sobre los derechos de
usuario, permisos y permisos de usuario asignados a grupos especficos.
Tambin aprender asignar dichos derechos.
Objetivos
Despus de completar esta sesin, usted ser capaz de:
Describir lo que son los derechos de usuario
Distinguir la diferencia entre derechos y permisos
Describir los derechos de usuario asignados a grupos especficos
Asignar derechos de usuario

Qu son los derechos de usuario


Definicin
Cuando un usuario inicia sesin, el usuario recibe una ficha que incluye
los derechos de usuario asignados. Un derecho de usuario autoriza a un
usuario a que inicie sesin en una computadora o red de trabajo, a
realizar ciertas acciones dentro del sistema. Si el usuario no tiene los
derechos para realizar una actividad, los intentos de realizar dicha
actividad sern bloqueados.
A quien aplican los derechos?
Los derechos de usuario pueden aplicarse tanto a usuarios individuales
como a grupos. Como sea, los derechos de usuario son mejor
administrados cuando se aplican a grupos. De esta manera se asegura
que cuando un usuario inicia sesin, automticamente recibir los
mismos derechos que lo asocian con el grupo. Windows Server 2003
habilita al administrador par asignar derechos a usuarios y a grupos.
Derechos de usuario comunes
Los derechos de usuario comunes incluyen lo siguiente:
Iniciar sesin en el equipo local: Permite al usuario iniciar sesin
en la computadora local o en el dominio desde una computadora
local.
Cambiar el horario del sistema: Permite al usuario establecer la
hora en el reloj interno de la computadora.
Apagar el sistema: Permite al usuario apagar una computadora
- 457 -

Windows Server 2003

Divisin Empresas

local.
Acceder a este equipo desde una red: Permite al usuario acceder a
una computadora que corre Windows Server 2003 desde cualquier
otra computadora en la red.

Derechos de usuario Vs. Permisos


Introduccin
Los administradores pueden especificar derechos para cuentas grupales
o para cuentas individuales. Estos derechos autorizan a los usuarios a
realizar actividades especficas, como iniciar sesin en un equipo y
poder respaldar sus archivos y directorios. Los derechos de usuario son
diferentes de los permisos, por que los derechos son adjuntados a las
cuentas de usuario y los permisos son adjuntados a los objetos.
Qu son los derechos de usuario
Los derechos de usuario determinan cuales usuarios pueden realizar
tareas especficas en una computadora o en un dominio. Adems de
poder asignar derechos de usuario a cuentas de usuario individuales, los
derechos de usuario son mejor administrados si son asignados a cuentas
grupales. Un usuario que inicia sesin como miembro de un grupo,
automticamente hereda los derechos asignados a su grupo. Asignar
derechos a grupos es mejor que asignar derechos a usuarios especficos,
simplemente por que la tarea es menor al no tener que administrar
tantas cuentas por separado. Cuando los usuarios de un grupo requieren
de los mismos derechos, en lugar de asignar repetidamente derechos a
uno por uno de los usuarios, se puede asignar el conjunto de derechos
para un grupo en un solo paso.
Los derechos de usuario que son asignados a un grupo, se aplican a
todos sus miembros siempre y cuando estos permanezcan como
miembros de tal grupo. Si un usuario es miembro de varios grupos, los
derechos de usuario son acumulativos, lo que significa que el usuario
puede tener ms de un conjunto de derechos. La nica situacin en la
que los derechos asignados pueden entrar en conflicto con aquellos
asignados a otro grupo sera en el inicio de sesin, pero en general, los
permisos asignados a un grupo no interfieren con los permisos
asignados a otro. Para quitarle permisos a un usuario, el administrador
simplemente elimina al usuario de la lista del grupo, de esta manera, el
usuario ya no tendr los derechos asignados que tiene su grupo.
Los derechos se aplican en todo el sistema en lugar de una ubicacin
especfica y afectan en general a todo el rendimiento del dominio. Todos
los usuarios que accedan a la red deben tener ciertos derechos en
comn en las computadoras que utilizan, tales como el derecho de
poder iniciar sesin en una mquina o de ajustar la fecha y hora del
- 458 -

Windows Server 2003

Divisin Empresas

sistema. Los administradores pueden asignar derechos comunes o


especficos a grupos completos o a usuarios individuales.
Adicionalmente, Windows Server 2003 otorga ciertos derechos por
defecto a grupos predeterminados.

- 459 -

Windows Server 2003

Divisin Empresas

Qu son los permisos


Los permisos definen el tipo de acceso que se le da a un usuario o grupo
sobre un objeto o alguna propiedad de un objeto. Por ejemplo, es posible
establecer permisos de lectura y escritura a el departamento de finanzas
sobre el archivo nomina.dat.
El administrador puede otorgar permisos para el uso de objetos
asegurados, archivos por ejemplo, objetos del Active Directory, servicio
de directorio, u objetos de registro. Puede otorgar permisos a cualquier
usuario, grupo o computadora. Es siempre una buena practica otorgar
permisos en grupos.
Puede otorgar permisos en objetos para:
Grupos, usuarios e identidades especiales en el dominio.
Grupos de usuarios en el dominio, y otros dominios seguros.
Grupos locales y usuarios en la computadora donde el objeto
reside.
Cuando se proveen accesos a fuentes de archivos en una computadora
que ejecuta Windows Server 2003, usted puede controlar quien tiene
acceso a los recursos y la naturaleza del acceso a travs de la correcta
asignacin de los permisos. Los permisos definen el tipo de acceso
asignado a un usuario o grupo para cualquier objeto en la red.
Por ejemplo, Los usuarios del departamento de recursos humanos de
una organizacin posiblemente requieren modificar el documento en el
cual describen las directivas y bases sobre el uso de recursos humanos
en su empresa. Para facilitar esto, el administrador de la red deber
otorgar los permisos apropiados a los miembros del departamento de
recursos humanos.
Para otorgar permisos en archivos y carpetas individuales, Windows
Server 2003 utiliza el sistema de archivos NTFS. Es posible controlar los
permisos de acceso a fuentes de carpetas compartidas e impresoras
conectadas en una red.

Usando derechos asignados a grupos predeterminados


Introduccin
Por defecto, Windows Server 2003 asigna ciertos derechos a grupos
predeterminados. Los grupos incluyen grupos locales, grupos en el
contenedor Builtin y grupos en el contenedor de usuarios.

- 460 -

Windows Server 2003

Divisin Empresas

Usando derechos asignados a grupos locales


Los siguientes derechos de usuario son asignados a grupos locales:

Administradores
Acceder a esta computadora desde la red; ajustar porciones de
memoria para un proceso; permitir iniciar sesin localmente;
permitir inicio de sesin mediante servicios de Terminal; respaldar
archivos y directorios; Cambiar la hora del sistema; Crear un
archivo de paginado; Forzar el apagado desde un sistema remoto;
depurar programas; elevar las prioridades de procesos; cargar y
descargar controladores de dispositivos; administrar sesiones de
seguridad y auditoria, modificar variables en el ambiente del
firmware; realizar tareas de mantenimiento a volmenes; perfilar
procesos; perfilar el desempeo del sistema; remover
computadoras de estaciones de conexin; restaurar archivos y
directorios; apagar el sistema; tomar la propiedad de archivos y
otros objetos; Bypass Traverse Checking.

Operadores de respaldo
Acceder a esta computadora desde la red; permitir iniciar sesin
localmente, respaldar archivos y directorios, restaurar archivos y
directorios; apagar el sistema. Bypass Traverse Checking.

Usuarios potenciales
Acceder a esta computadora desde la red; permitir iniciar sesin
localmente, cambiar la hora del sistema; remover computadoras
de estaciones de conexin; apagar el sistema. Bypass Traverse
Checking.

Usuarios en escritorios remotos


Permitir inicio de sesin mediante servicios de Terminal.

Usuarios
Acceder a esta computadora desde la red; permitir iniciar sesin
localmente; Bypass Traverse Checking.

Derechos de usuario asignados al contenedor Builtin

Operadores de cuenta
Iniciar sesin localmente; apagar el sistema

- 461 -

Windows Server 2003

Divisin Empresas

Administradores
Acceder a esta computadora desde la red; ajustar porciones de
memoria para un proceso; permitir iniciar sesin localmente;
permitir inicio de sesin mediante servicios de Terminal; respaldar
archivos y directorios; Cambiar la hora del sistema; Crear un
archivo de paginado; Forzar el apagado desde un sistema remoto;
depurar programas; elevar las prioridades de procesos; cargar y
descargar controladores de dispositivos; administrar sesiones de
seguridad y auditoria, modificar variables en el ambiente del
firmware; realizar tareas de mantenimiento a volmenes; perfilar
procesos; perfilar el desempeo del sistema; remover
computadoras de estaciones de conexin; restaurar archivos y
directorios; apagar el sistema; tomar la propiedad de archivos y
otros objetos; Bypass Traverse Checking.

Operadores de respaldo
Respaldar archivos y directorios; permitir iniciar sesin localmente;
restaurar archivos y directorios; apagar el sistema.
Acceso y compatibilidad anterior a Windows 2000
Acceder a esta computadora desde la red; Bypass Traverse
Checking.
Operadores de impresin
Permitir inicio de sesin localmente; apagar el sistema.
Operadores de servidor
Respaldar archivos y directorios, cambiar la hora del sistema;
forzar el apagado desde un sistema remoto; permitir el inicio de
sesin localmente; restaurar archivos y directorios, apagar el
sistema.
Derechos asignados al contenedor de Usuarios
Los siguientes derechos de usuario son asignados a grupos en el
contenedor de usuarios:

Administradores de dominio
Acceder a esta computadora desde la red; ajustar porciones de
memoria para un proceso; permitir iniciar sesin localmente;
permitir inicio de sesin mediante servicios de Terminal; respaldar
archivos y directorios; Cambiar la hora del sistema; Crear un
archivo de paginado; Forzar el apagado desde un sistema remoto;
depurar programas; elevar las prioridades de procesos; cargar y
descargar controladores de dispositivos; administrar sesiones de
seguridad y auditoria, modificar variables en el ambiente del
firmware; realizar tareas de mantenimiento a volmenes; perfilar
procesos; perfilar el desempeo del sistema; remover
- 462 -

Windows Server 2003

Divisin Empresas

computadoras de estaciones de conexin; restaurar archivos y


directorios; apagar el sistema; tomar la propiedad de archivos y
otros objetos; Bypass Traverse Checking.

Administradores de organizacin (slo visibles desde la raz del


bosque del dominio)
Acceder a esta computadora desde la red; ajustar porciones de
memoria para un proceso; permitir iniciar sesin localmente;
permitir inicio de sesin mediante servicios de Terminal; respaldar
archivos y directorios; Cambiar la hora del sistema; Crear un
archivo de paginado; Forzar el apagado desde un sistema remoto;
depurar programas; elevar las prioridades de procesos; cargar y
descargar controladores de dispositivos; administrar sesiones de
seguridad y auditoria, modificar variables en el ambiente del
firmware; realizar tareas de mantenimiento a volmenes; perfilar
procesos; perfilar el desempeo del sistema; remover
computadoras de estaciones de conexin; restaurar archivos y
directorios; apagar el sistema; tomar la propiedad de archivos y
otros objetos; Bypass Traverse Checking.

Cmo asignar derechos de usuario


Introduccin
Tpicamente, los administradores agregan usuarios a grupos
predeterminados que
ya tienen derechos asignados. En algunas
circunstancias, un grupo predeterminado puede tener muchos o pocos
derechos para el usuario, en este caso si es necesario, debern asignar
derechos manualmente.
Procedimiento
Para asignar derechos de usuario:
1.
2.
3.
4.
5.
6.
7.
8.

Clic en Inicio, clic en Ejecutar, teclee MMC y presione <Enter>.


Clic en Raz de consola.
En el men Archivo, Agregar o quitar complementos.
En el cuadro de dilogo Agregar o quitar componentes, haga
clic en Agregar.
En el cuadro de dilogo Agregar un complemento
independiente, haga doble clic en el editor de objetos de poltica
de grupo
Clic en Finalizar para cerrar la ventana de bienvenida del
asistente para directivas de grupo.
Clic en Cerrar para cerrar el cuadro de dilogo Agregar un
complemento independiente.
Clic en Aceptar para cerrar la ventana de dilogo Agregar o
quitar componentes.
- 463 -

Windows Server 2003

Divisin Empresas

9. Expanda Directiva equipo local, Expanda Configuracin del


equipo, expanda Configuracin de Windows, expanda
Configuraciones de seguridad, despus expanda Directivas
locales.
10.
Clic en Asignacin de derechos de usuario.
11.
Agregue o elimine un grupo a un derecho de usuario como
sea necesario.

Prctica: Asignando derechos de usuario.


Objetivo
En esta prctica, usted deber:

Remover el derecho de iniciar sesin localmente al grupo Usuarios


y probar si efectivamente el derecho fue eliminado.
Asignar el derecho de iniciar sesin localmente al grupo Usuarios
y probar si efectivamente el derecho fue asignado.

Instrucciones
Antes de comenzar esta prctica:

Deber iniciar sesin en el dominio utilizando una cuenta de


administrador NombreComputadora.
Abrir MMCPersonal.
Revise los procedimientos en de sesin que describen como
realizar esta tarea.

Escenario
Los ingenieros de sistemas quieren probar derechos de usuario con el fin
de prevenir que los usuarios inicien sesin localmente en su
computadora. Despus de que la prueba sea exitosa, debern asignar
nuevamente a los usuarios el derecho de iniciar sesin localmente.
Prctica
Remover el derecho de iniciar sesin localmente desde el grupo
Usuarios
1. Elimine al grupo Usuarios desde la siguiente directiva local de
computadora:
Configuracin del equipo/Configuracin de Windows/Configuracin
de seguridad/Directivas locales/Asignacin de derechos de usuario
2. Cierre todos los programas y cierre sesin.
Probar si el derecho fue eliminado
1. Inicie sesin como NombreComputadoraUsuario.
- 464 -

Windows Server 2003

Divisin Empresas

2. No debe poder iniciar sesin en la computadora.

- 465 -

Windows Server 2003

Divisin Empresas

Asignar el derecho al grupo Usuarios de poder iniciar sesin


localmente.
1. Inicie sesin como NombreComputadoraAdmin
2. Agregue el grupo Usuarios a la siguiente directiva local de
computadora:
Configuracin del equipo/Configuracin de Windows/Configuracin
de seguridad/Directivas locales/Asignacin de derechos de usuario
/Permitir el inicio de sesin local.
3. Cierre todos los programa y cierre sesin
Probar si el derecho fue asignado
1. Inicie sesin como NombreComputadoraUsuario.
2. Debe poder iniciar sesin en la computadora.

- 466 -

Windows Server 2003

Divisin Empresas

Utilizando plantillas de seguridad para asegurar


computadoras
Introduccin
Usted puede crear plantillas de seguridad para establecer directivas de
seguridad nuevas o alterar directivas de seguridad existentes que
cubran las necesidades de seguridad de su compaa. Puede
implementar directivas de seguridad en varias formas distintas. El
mtodo que utilice depender del tamao de su organizacin y de las
necesidades de seguridad. Pequeas corporaciones o aquellas que no
utilizan Active Directory, pueden configurar manualmente su seguridad
en forma individual. Si su organizacin es considerablemente grande
entonces requerir un nivel de seguridad mayor. Considere el uso de
objetos de poltica de grupo para implementar directivas de seguridad.
Objetivos de la sesin.
Despus de completar esta sesin, usted ser capaz de:

Describir una poltica de seguridad.


Describir una plantilla de seguridad.
Describir las configuraciones para plantillas de seguridad.
Crear una plantilla de seguridad personalizada.
Importar una plantilla de seguridad.

Qu es una poltica de seguridad?


Introduccin
Una poltica de seguridad es una combinacin de configuraciones de
seguridad que afectan la seguridad en una computadora. Puede utilizar
una poltica de seguridad para establecer directivas de cuenta y
directivas locales en su computadora local o en el Active Directory.

- 467 -

Windows Server 2003

Divisin Empresas

Poltica de seguridad en la computadora local


Puede utilizar una poltica de seguridad en una computadora local para
modificar directamente directivas locales y de cuenta, directivas de
claves pblicas y directivas del Protocolo de seguridad de Internet para
su computadora.
Con poltica de seguridad local, puede controlar:

Quin accede a su computadora.


Cules son los recursos a los que los usuarios pueden acceder en
su computadora.
Si es que las acciones de los usuarios estn siendo grabadas en el
grabador de sucesos.

Si su red no usa Active Directory, puede configurar una poltica de


seguridad utilizando la utilidad Poltica de seguridad local. La cual puede
encontrar en el men Herramientas administrativas en computadoras
que ejecutan Windows Server 2003.
Directivas de seguridad en Active Directory
Las directivas de seguridad en Active Directory tienen las mismas
configuraciones que las directivas de seguridad en computadoras
locales. Como sea, los administradores de redes basadas en Active
Directory pueden ahorrar cantidades significativas de tiempo de
administracin utilizando Poltica de grupo para desplegar directivas de
seguridad. Puede editar o importar configuraciones de seguridad en un
objeto de poltica de grupo para cualquier sitio, dominio o unidad
organizacional, las configuraciones de seguridad sern automticamente
desplegadas en las computadoras cuando estas sean encendidas.
Cuando se edita un objeto de poltica de grupo, expanda Configuracin
de computadora o Configuracin de usuario y despus expanda
Configuraciones de Windows para encontrar las configuraciones de
directivas de seguridad.

Qu son las plantillas de seguridad?


Definicin
Una plantilla de seguridad es una coleccin de configuraciones de
seguridad. Windows Server 2003 provee plantillas de seguridad
predefinidas que contienen las combinaciones de seguridad
recomendadas en situaciones de riesgo distintas.
Usted puede utilizar plantillas de seguridad predefinidas o crear sus
propias directivas de seguridad personalizadas para cumplir con los
requerimientos especficos de cada organizacin. Las plantillas se
personalizan con la utilidad de plantillas de seguridad. Despus de
personalizar las plantillas de seguridad, pueden ser utilizadas para
- 468 -

Windows Server 2003

Divisin Empresas

configurar la seguridad en una o miles de computadoras.


Cmo son aplicadas las plantillas de seguridad
Puede configurar computadoras individuales con el complemento
Configuracin y anlisis de seguridad, o con la herramienta secedit
desde la lnea de comandos o importando la plantilla hacia una poltica
de seguridad local. Puede configurar mltiples computadoras
importando una plantilla a las configuraciones de seguridad, la cual
vendra siendo una extensin de la poltica de grupo.
Tambin puede importar una plantilla de seguridad y ser usada como
herramienta para analizar la seguridad de un sistema y los huecos de
seguridad potenciales o violaciones, todo esto desde la utilidad para el
Anlisis y configuracin de la seguridad. Por defecto, las plantillas de
seguridad
predefinidas
estn
almacenadas
en
systemroot/security/templates.
Plantillas predefinidas
Windows Server 2003 provee las siguientes plantillas predefinidas:

Seguridad por defecto (Setup security.inf)


La plantilla de seguridad security.inf es creada durante la
instalacin del sistema operativo para cada computadora y
representa a las configuraciones de seguridad establecidas por
defecto y que son utilizadas durante la instalacin, incluyendo los
permisos para los archivos de la raz del sistema. Puede variar de
computadora a computadora, basndose en el hecho de si la
instalacin fue nueva o fue una actualizacin. Puede utilizar esta
plantilla en servidores y computadoras clientes pero no en
controladores de dominio. Puede aplicar porciones de una plantilla
para la recuperacin de desastres.

Seguridad por defecto del controlador de dominio (DC security.inf)


La plantilla de seguridad DC es creada cuando el servidor es
promovido para un controlador de dominio. Refleja las
configuraciones de seguridad en los archivos, llaves de registro y
servicios del sistema. Reaplicar la plantilla, har que las
configuraciones vuelvan a sus valores por defecto y es posible que
se sobrescriban permisos en archivos nuevos, llaves de registro y
servicios del sistema creados por otras aplicaciones. Puede aplicar
esta plantilla usando la utilidad para el Anlisis de y configuracin
de la seguridad o la herramienta secedit desde la lnea de
comandos.

- 469 -

Windows Server 2003

Divisin Empresas

Compatible (compatws.inf)
Los permisos por defecto para estaciones de trabajo y servidores son
otorgados primero a tres grupos locales: Administradores, usuarios
potenciales y usuarios. Los administradores tienen los mayores
privilegios y los usuarios, los menores privilegios.
Los miembros del grupo Usuarios pueden correr aplicaciones
exitosamente que cumplan con los requerimientos de Windows Logo
Program for Software. Como sea, es posible que algunas aplicaciones
no cumplan con los requerimientos del programa. Si es que otras
aplicaciones son soportadas, la plantilla compatws.inf modifica la
informacin del archivo y registra los permisos que son otorgados a
los usuarios para que ciertas aplicaciones funcionen adecuadamente.
Los nuevos permisos establecidos sern consistentes con las
aplicaciones que no cumplen o no se encuentran registradas en el
Windows Logo Program for Software.

Secure (secure*.inf)
Las plantillas Secure incluyen configuraciones de seguridad las
cuales no tienen como objetivo afectar al desempeo de las
aplicaciones, ms bien, permiten definir sistemas de seguridad
ms robustos para el ingreso de contraseas, bloqueo de cuentas
y configuraciones de auditoria.

Highly Secure (hisec*.inf)


Las plantillas Highly Secure son grupos mucho ms elaborados de
plantillas Secure. Establecen restricciones en niveles de
encriptacin y firmado que son requeridos para la autenticacin y
para que la comunicacin fluya a travs de canales seguros de
comunicacin entre servidores y entre clientes y servidores.

Seguridad de la raz del sistema (rootsec.inf)


Por defecto, Rootsec.inf define los permisos para la raz del drive
del sistema. Puede usar esta plantilla para reaplicar los permisos
del directorio raz si es que fueron modificados de forma
inadvertida, tambin puede utilizar esta plantilla para aplicar los
mismos permisos de la raz a otros volmenes. Una plantilla no
sobrescribe permisos que han sido definidos para objetos hijo.
Solamente se heredan los permisos que no han sido activados de
forma inherente en cada hijo.

- 470 -

Windows Server 2003

Divisin Empresas

Qu son las configuraciones de plantillas de seguridad?


Introduccin
Las plantillas de seguridad contienen configuraciones para todas las
reas de seguridad. Pueden aplicarse plantillas a computadoras
individuales o desplegarse a grupos completos de computadoras
utilizando Poltica de grupo. Cuando se aplica una plantilla a una
configuracin de seguridad existente, las configuraciones de la plantilla
son implantadas en las configuraciones de seguridad del equipo.
Puede configurar y analizar configuraciones de seguridad para
computadoras usando la extensin de Configuraciones de seguridad
para poltica de grupo o Anlisis y configuracin de seguridad.
Tipos de configuraciones en las plantillas de seguridad
La siguiente lista describe cada una de las configuraciones de plantilla
existentes:

Directivas de cuenta
Puede utilizar directivas de cuenta para configurar directivas de
contrasea, directivas de bloqueo de cuentas, directivas de
protocolo de Kerberos versin 5(V5) para el dominio. Una poltica
de cuenta de dominio define un historial para la contrasea, el
tiempo de vida de Kerberos V5 tickets, el bloqueo de cuenta, etc.

Directivas locales
Las configuraciones de directivas locales, por definicin, se aplican
a computadoras. Las directivas locales incluyen directivas de
auditoria, la asignacin de permisos y derechos de usuario, y
otras opciones de seguridad que pueden ser configuradas
localmente.
Es importante no confundir configuraciones de directivas locales
con Configurando directivas localmente. Para configurar estas
directivas de seguridad puede utilizar Poltica de seguridad local u
Poltica de grupo.

Registro de eventos
El Registro de eventos se utiliza para configurar el tamao, el
acceso y retensin de parmetros para los eventos de aplicacin,
eventos de sistema y eventos de seguridad.

- 471 -

Windows Server 2003

Divisin Empresas

Grupo restringido
Las configuraciones de grupo restringido se utilizan para
administrar la membresa de grupos predeterminados que tienen
ceritas
capacidades
predeterminadas,
tales
como
los
administradores y usuarios potenciales, incluyendo tambin a los
grupos de dominio tales como Administradores de domino. Puede
adicionar grupos al grupo restringido junto con la informacin de
su membresa.
Puede tambin utilizar configuraciones de grupo restringido para
rastrear y controlar la membresas de cada grupo restringido. Las
membresas revertidas se muestran en la columna de Miembros
de, la cual muestra los grupos a los cuales ciertos miembros o
otros grupos de miembros se les tiene restringida una membresa.

Servicios de sistema
Las configuraciones de servicios de sistema se utilizan para
configurar los niveles de seguridad y las configuraciones de inicio
del sistema y de la computadora. Los servicios de sistema incluyen
configuraciones para funcionalidad crtica, como servicios de red,
servicios de archivos e impresin, servicios de fax y telefona as
como servicios de Internet e Intranet. Las configuraciones
generales incluyen servicios para el modo de arranque
(automtico, manual o deshabilitado) y mdulos de seguridad.

Registro
Las configuraciones del registro se utilizan para configurar la
seguridad en llaves de seguridad.

Sistema de archivos
Las configuraciones del sistema de archivos, se utilizan para
configurar la seguridad en rutas de acceso especficas.

Directivas de claves pblicas.


Se utilizan directivas de claves pblicas para configurar agentes de
recuperacin de datos encriptados, races de dominio, autoridades
con certificado de confianza, etc.

Directivas de seguridad IP en Active Directory


Las directivas de seguridad IP se utilizan para configurar IPSec.

- 472 -

Windows Server 2003

Divisin Empresas

Cmo crear una plantilla de seguridad personalizada


Introduccin
Si las plantilla de predefinidas son insuficientes para cubrir sus
necesidades de seguridad, es posible crear sus propias plantillas
personalizadas.
Procedimiento para personalizar plantillas predefinidas
1. En la consola de administracin de Microsoft (MMC), agregue el
complemento Plantillas de seguridad.
2. En la consola rbol, expanda Plantillas de seguridad, despus
haga doble clic el la carpeta acceso por defecto
(systemroot/security/Templates).
3. En el panel de Detalles, haga clic derecho en la plantilla que quiere
modificar, despus clic en Guardar como.
4. En el cuadro de dilogo Guardar como, ingrese un nuevo
nombre de archivo para la plantilla de seguridad y haga clic en
Guardar.
5. En la consola de rbol, haga doble clic en la nueva plantilla de
seguridad para desplegar las directivas de seguridad, navegue
entre estas hasta que encuentre el atributo de seguridad que
quiere modificar.
6. En el panel Detalles, haga clic derecho en el atributo de
seguridad y despus clic en Propiedades.
7. En el cuadro de dilogo Propiedades, active la casilla de
verificacin Definir esta configuracin de directiva en esta
plantilla, haga los cambios necesarios y despus clic en Aceptar.
8. En la consola de rbol, haga clic derecho en la nueva plantilla de
seguridad y despus clic en Guardar.
Procedimiento para crear una nueva plantilla de seguridad:
1. En la consola MMC, agregue la utilidad de plantillas de seguridad.
2. En la consola de rbol, expanda Plantillas de seguridad, haga
clic derecho en la carpeta de acceso por defecto
(systemroot/security/Templates) y despus clic en Nueva
plantilla.
3. En el cuadro de dilogo de systemroot/security/Templates en el
cuadro de Nombre de plantilla, agregue un nombre y una
descripcin a la plantilla, haga clic en Aceptar.
4. En la consola rbol, haga doble clic en la nueva plantilla de
seguridad para visualizar las directivas y navegue entre ellas
hasta que visualice el atributo de seguridad que quiera modificar.
5. En el panel Detalles, haga clic derecho en el atributo de
seguridad y despus clic en Propiedades.
6. En el cuadro de dilogo de Propiedades, active la casilla de
- 473 -

Windows Server 2003

Divisin Empresas

verificacin Definir esta configuracin de directiva en esta


plantilla, haga los cambios necesarios y despus clic en Aceptar.
7. En la consola rbol, haga clic derecho en la nueva plantilla de
seguridad y despus clic en Guardar.

Cmo importar una plantilla de seguridad


Introduccin
Cuando se importa una plantilla de seguridad hacia una computadora
local, pude igualmente aplicar las configuraciones de seguridad en la
computadora local. Cuando importa una plantilla de seguridad en un
objeto de poltica de grupo, las configuraciones de la plantilla son
aplicadas e instaladas en los contenedores de las computadoras a las
cuales el objeto de directiva de grupo esta ligado.
Procedimiento para importar una plantilla a una computadora
local
Par importar una plantilla de seguridad a una computadora local debe
de:
1. Abrir la utilidad de configuracin y anlisis de seguridad.
2. En la consola rbol, haga clic derecho en Configuracin y
anlisis de seguridad, enseguida clic en Importar plantilla.
3. (opcional) para limpiar la base de datos de una plantilla, active la
casilla de verificacin Limpiar esta base de datos antes de
importarla.
4. En el cuadro de dilogo de Importar plantilla, haga clic en un
archivo de plantilla, despus clic en Abrir.
5. Repita estos pasos para cada plantilla que quiera migrar a su base
de datos de plantillas.
Procedimiento para importar una plantilla a un objeto de
directiva de grupo sin tener instalada la GPMC.
Para importar una plantilla de seguridad en un objeto de poltica de
grupo cuando la consola de administracin de directivas de grupo no
esta instalada debe de:
1. Abrir Usuarios y equipos de Active Directory o Sitios y servicios de
Active Directory desde el men de Herramientas
administrativas.
2. Edite el objeto de directiva de grupo apropiado.
3. Expanda Configuracin del equipo, despus expanda
Configuracin de Windows.
4. Clic derecho en Configuraciones de seguridad, despus clic en
- 474 -

Windows Server 2003

Divisin Empresas

Importar directiva.
5. Clic en una plantilla y despus clic en Abrir.
Las configuraciones de la plantilla son aplicadas al objeto de
directiva de grupo una vez que el equipo ha sido reiniciado.

- 475 -

Windows Server 2003

Divisin Empresas

Procedimiento para importar una plantilla a un objeto de poltica


de grupo con la GPMC:
Para importar una plantilla de seguridad en un objeto de poltica de
grupo, estando instalada la consola de administracin de directivas de
grupo, debe de:
1. En administracin de directivas de grupo edite el GPO apropiado.
2. Expanda Configuracin del equipo, despus expanda
configuracin de Windows.
3. Clic derecho en Configuraciones de seguridad, despus clic en
Importar directiva.
4. Clic en una plantilla y despus clic en Abrir.
Las configuraciones de la plantilla son aplicadas al objeto de
poltica de grupo una vez que el equipo ha sido reiniciado.

Prctica: Usando plantilla de seguridad para asegurar


computadoras.
Objetivo
En esta prctica:
Crear un plantilla de seguridad.
Importar una plantilla de seguridad a un objeto de poltica de
grupo.
Instrucciones
Antes de comenzar esta prctica deber:

Iniciar sesin en el dominio utilizando una cuenta


NombreComputadoraUsuario.
Abrir MMCPersonal
Revise los procedimientos de esta sesin que describen como
realizar esta tarea.

Prctica: creando una plantilla personalizada en una


computadora local.
Revisar la membresa del grupo local de los usuarios avanzados
del grupo local
1. Para verificar que ICAM\G IT Admin. No son miembros del grupo
Usuarios Avanzados, desde la ventana de comandos escriba net
localgroup Usuarios Avanzados.
2. No debera aparecer listado ningn miembro.
3. Con una instalacin por defecto del sistema operativo, el Grupo
- 476 -

Windows Server 2003

Divisin Empresas

Usuarios Avanzados no debera contener miembros.


4. Salga de la consola de comandos.
Crear una nueva plantilla de seguridad llamada
NombreComputadora
1. En MMCPersonal, agregue el complemento de plantillas de
seguridad.
2. En plantillas de seguridad, en la consola rbol, clic derecho en
c:\Windows \security\templates, despus clic en Nueva plantilla.
3. En el cuadro de dilogo C:\Windows \security\templates, en el
cuadro de texto de Nombre de la plantilla, escriba
NombreComputadora, despus haga clic en Aceptar.
Editar la plantilla de seguridad personalizada
NombreComputadora
1. En plantillas de seguridad, en la consola rbol, expanda
NombreComputadora, despus haga clic en Grupos restringidos.
2. Clic derecho en Grupos restringidos, despus clic en Agregar
grupo.
3. En el cuadro de dilogo Agregar grupo, teclee Usuarios
Avanzados, despus clic en Aceptar.
4. En el cuadro de dilogo de Usuarios Avanzados, en Miembros
de este grupo, haga clic en Agregar.
5. En cuadro de dilogo Agregar miembro, teclee ICAM\IT admin y
despus clic en Aceptar.
6. En el cuadro de dilogo Propiedades de Usuarios Avanzados,
haga clic en Aceptar.
7. En la consola rbol, haga clic derecho en NombreComputadora,
despus clic en Guardar.
Importar y aplicar la plantilla de seguridad personalizada
NombreComputadora
1. En MMC, agregue la utilidad para Configuracin y anlisis de
seguridad.
2. Clic derecho en Configuracin y anlisis de seguridad,
despus clic en Abrir base de datos.
3. En el cuadro Abrir base de datos, escriba NombreComputadora
y despus clic en Abrir.
4. En el cuadro de dilogo Importar Plantilla, teclee
NombreComputadora.inf y despus haga clic en Abrir.
5. Haga clic derecho en Configuracin y anlisis de seguridad,
despus clic en Configurar el equipo ahora.
6. En el cuadro de mensaje, haga clic en Aceptar.
- 477 -

Windows Server 2003

Divisin Empresas

7. Haga clic derecho en Configuracin y anlisis de seguridad,


despus clic en Ver el archivo de registro.
8. En el panel de detalles de Configuracin y anlisis de
seguridad, verifique que el grupo ICAM\G IT Admin. fue agregado
al grupo de usuarios avanzados con la siguiente etiqueta en el
archivo de registro:
---Configure de miembros de grupo--Configure Usuarios Avanzados
Agregue ICAM\G IT Admin.
Verifique la membresa del grupo local de Usuarios potenciales
1. Para verificar que ICAM\G IT Admin. Es un miembro del grupo de
Usuarios Avanzados, desde la lnea de comandos, teclee net
localgroup Usuarios Avanzados.
2. ICAM\G IT Admin. Debe estar listado como miembro.
3. Salga de la ventana de comandos.
Eliminar la plantilla de seguridad personalizada importada.
1. Desde la consola de comandos escriba Net loacalgroup Usuarios
Avanzados /delete G TI Admins
2. Salga de la ventana de comandos
Verificar la membresa del grupo local del grupo local Usuarios
Avanzados
1. Para verificar que ICAM\G TI Admin. No es miembro del grupo e
Usuarios Avanzados desde la Consola de Comandos escriba Net
Localgroup Usuarios Avanzados.
2. No se deberan mostrar miembros en la lista.
3. Salga de la consola de comandos
Importar una plantilla personalizada a un GPO.
1. En Administracin de directivas de grupo, cree GPO llamando
NombreComputadora Usuarios Restringidos.
2. Vincule el GPO NombreComputadora Usuarios Restringidos a la
unidad organizativa
Ubicaciones\NombreComputadora\Computadoras
3. Edite el GPO NombreComputadora Usuarios Restringidos.
4. Importe la directiva de seguridad personalizada llamada
NombreComputadora inf.
Mover su cuenta de equipo NombreComputadora
- 478 -

Windows Server 2003

Divisin Empresas

1. Busque su cuenta de equipo NombreComputadora en el dominio


icam.com.mx
2. Mueva su cuenta equipo NombreComputadora a la unidad
organizativa Ubicaiones\NombreComputadora\Computadoras.
3. Desde la Consola de Comandos Escriba gpupdate /force
4. Teclee N si le pide cerrar sesin y presione Enter

Verificar la membresa del grupo local de usuarios avanzados


1. Para verificar que ICAM\G IT Admin. Es un miembro del grupo de
Usuarios Avanzados, desde la lnea de comandos, teclee net
localgroup Usuarios Avanzados.
2. ICAM\G IT Admin. Debe estar listado como miembro.
3. Salga de la ventana de comandos.

- 479 -

Windows Server 2003

Divisin Empresas

Probando directivas de seguridad en una computadora


Introduccin
Antes de desplegar plantillas de seguridad a un gran numero de
computadoras. Es importante analizar los resultados obtenidos al aplicar
una configuracin, de esta manera podemos asegurarnos de que no
sucedern eventos adversos en las aplicaciones, en la conectividad o en
la seguridad. Un anlisis minucioso le permitir identificar problemas y
huecos de seguridad e una configuracin dada. Puede utilizar el
agregado para la configuracin y el anlisis de la seguridad para recrear
y probar escenarios posibles con el fin de ajustar la configuracin.
Objetivos de la sesin
Despus de completar esta sesin, usted ser capaz de:
Describir lo que es la herramienta para la configuracin y en
anlisis de seguridad.
Probar la seguridad de una computadora con la herramienta para
la configuracin y el anlisis de seguridad.

Qu es la herramienta para la configuracin y en anlisis


de seguridad?
Introduccin
La herramienta que comnmente se utiliza para analizar la seguridad en
una computadora es la Herramienta para la configuracin y el anlisis de
la seguridad.
Herramienta para la configuracin y el anlisis de seguridad
Esta herramienta compara el estado de seguridad actual de una
computadora local contra la configuracin de seguridad establecida en
una plantilla (un archivo .inf) la cual se encuentra almacenada en una
base de datos separada (un archivo .sdb). Cuando el anlisis es
completado, pueden observarse las configuraciones detectadas en la
consola rbol. Las discrepancias son resaltadas con una bandera roja.
Las concordancias son remarcadas con una marca verde. Los elementos
que no son marcados con una bandera roja o con una marca verde
significan que no estn configurados en la base de datos.

- 480 -

Windows Server 2003

Divisin Empresas

Por qu utilizar la herramienta para la configuracin y el


anlisis de seguridad?
Despus de analizar los resultados con la herramienta para la
configuracin y en anlisis de seguridad, puede realizar las siguientes
tareas:

Eliminar las discrepancias entre la configuracin de seguridad de


la computadora local y la configuracin de seguridad de una
plantilla. Para configurar la base de datos haga doble clic en el
panel de detalles.
Importar otro archivo de plantilla, reemplazar y actualizar las
configuraciones que estn creando conflictos. Para importar otro
archivo de plantilla, haga clic derecho en Configuracin y anlisis
de seguridad, despus clic en Importar plantilla.
Exportar las configuraciones actuales a un archivo de base de
datos. Para exportar a un archivo de base de datos de plantilla las
configuraciones, haga clic derecho en configuracin y anlisis de
seguridad, despus clic en Exportar plantilla.

Cmo probar la seguridad en una plantilla


Introduccin
En ocasiones, es necesario analizar cuales son las configuraciones de
seguridad actuales en una computadora servidor y saber cuales de estas
configuraciones difieren de las configuraciones establecidas en una
plantilla de seguridad. Para hacer esto, ejecute la utilidad para la
configuracin y el anlisis de la seguridad.

- 481 -

Windows Server 2003

Divisin Empresas

Procedimiento
Para analizar la seguridad:
1. Agregue la utilidad para la configuracin y el anlisis de la
seguridad a la consola MMC.
2. Haga clic derecho en Configuracin y anlisis de la
seguridad, despus haga clic en Abrir Base de datos.
3. En el cuadro de dilogo Abrir base de datos, seleccione un
archivo existente o teclee un nombre nuevo para crear una base
de datos, despus haga clic en Abrir.
Las bases de datos existentes ya contienen configuraciones
importadas
Si usted crea una base de datos, aparece el cuadro de dilogo
Importar Plantilla. Seleccione una base de datos y clic en Abrir.
4. Clic derecho en Configuracin y anlisis de seguridad, despus
haga clic en Analizar el equipo ahora.
5. En el cuadro de dilogo Realizar anlisis, elija una ubicacin
para el archivo de registro del anlisis, haga clic en Aceptar.
6. En la consola rbol, expanda Configuracin y anlisis de
seguridad.
7. Navegue entre las configuraciones de seguridad en la consola
rbol, y compare la configuracin de la base de datos y la
configuracin del equipo en las columnas del panel detalles.

Prctica: Probando la seguridad de la computadora


Objetivo
En esta practica, podr:

Crear una plantilla de seguridad personalizada.


Comparar las configuraciones de seguridad de su computadora
contra las configuraciones de una plantilla de seguridad
personalizada.

Instrucciones
Antes de comenzar esta prctica:

Inicie sesin en el dominio


Abra MMCPersonal
Revise los procedimientos de esta sesin que describen como
realizar esta tarea.

- 482 -

Windows Server 2003

Divisin Empresas

Escenario
Usted es el administrador de sistemas. Deber implementar las
siguientes configuraciones de seguridad en los servidores:

Las contraseas sern de al menos 10 caracteres.


Un cuadro de dilogo debe ser desplegada durante el inicio de
sesin, informando a los usuarios que el acceso inautorizado no
esta permitido.
El servicio de alertas, el cual esta configurado para comenzar
automticamente, deber estar desactivado.

Prctica: creando plantillas de seguridad


Crear una plantilla de seguridad personalizada
1. En el complemento Plantillas de seguridad, cambie las siguientes
directivas en la plantilla securews:
Configure
Directivas
de
Cuentas/Directiva
de
contraseas/Longitud mnima de contrasea a 10 caracteres.
Configure Directivas locales/opciones de seguridad/inicio
de sesin interactiva: Texto del Mensaje para los
usuarios que intentan iniciar sesin
Configure Directivas locales/opciones de seguridad/inicio
de sesin interactiva: Titulo del mensaje para los
usuarios que intentan iniciar una sesin
Configure Servicios de Sistema/Alertas en Deshabilitado.
2. Guarde
la
plantilla
NombreComputadoraSeguridad.

personalizada

como

Escenario
Ahora que ha configurado la plantilla y hecho los ajustes necesarios,
desear realizar un anlisis de seguridad con el cual pueda establecer
una base mnima de requerimientos de seguridad y compararla con las
configuraciones actuales de un equipo.
Prctica: probando la seguridad de una computadora
Importar y limpiar la configuracin bsica de una base de datos de
configuracin y anlisis.

En Anlisis y configuracin de la seguridad, importe la plantilla


NombreComputadoraSecure y limpie la base de datos.
- 483 -

Windows Server 2003

Divisin Empresas

Realice un anlisis de seguridad


1. Haga clic derecho en Configuracin y anlisis de seguridad,
despus haga clic en Analizar equipo ahora.
2. desde el cuadro de dilogo Realizar anlisis, haga clic en OK.
3. en anlisis y configuracin, expanda Directivas locales, despus
haga clic en Opciones de seguridad
4. Revise las siguientes directivas: Inicio de sesin interactivo, Texto
del mensaje para usuarios intentando iniciar sesin; Inicio de
sesin interactivo, titulo del mensaje para usuarios intentando
iniciar sesin.
5. En el panel de detalles observe las configuraciones que tienen una
bandera roja.
Una bandera rojo indica que la plantilla de seguridad contiene
configuraciones diferentes a las de la computadora analizada.

- 484 -

Windows Server 2003

Divisin Empresas

Configuracin y auditoria.
Introduccin
Ninguna estrategia de seguridad esta del todo completa sin una
estrategia de auditoria que la fundamente. Desafortunadamente,
muchas empresas comprenden esto despus de un incidente de
seguridad. Sin una lnea de acciones de auditoria, es muy difcil poder
empezar con una investigacin que indique el motivo del incidente de
seguridad. Es importante que como parte de su plan de seguridad
especifique que eventos estarn sujetos a auditoria, con que nivel de
intensidad se efectuaran, cmo se efectuaran, cmo se recolectaran y
cmo sern interpretados.
Objetivos de esta sesin
Despus de completar esta sesin, usted ser capaz de:

Describir una auditoria.


Describir lo que es una poltica de auditoria.
Describir los tipos de eventos a auditar.
Identificar las lneas gua para planear una poltica de auditoria.
Habilitar una poltica de auditoria.
Habilitar auditoria para archivos y carpetas.
Habilitar auditorias para una unidad organizacional.
Aplicar mejores prcticas, con el uso de las auditorias.

Qu es una auditoria
Definicin
La auditoria es un proceso que registra ciertas actividades realizadas por
el usuario y el sistema operativo, estas actividades son tipos de eventos
elegidos previamente y grabados en el registro de seguridad del servidor
de una red de trabajo. Los registros de seguridad o bitcoras contienen
varias entradas de auditoria, las cuales contienen la siguiente
informacin:

La accin que fue realizada.


El usuario que realiz la accin.
Si el evento tuvo xito o fall y cuando ocurri.
Informacin adicional como, la computadora en la que el evento
ocurri.

- 485 -

Windows Server 2003

Divisin Empresas

Por qu realizar una auditoria


Habilite auditoria y los monitores de registros de auditoria para:
Crear una lnea base de trabajo en red y operaciones de cmputo
normales.
Detectar intentos inautorizados de acceso a la red o a una
computadora.
Determinar que sistemas e informacin han sido comprometidos
durante o despus de un incidente de seguridad.
Prevenir daos futuros a redes o computadoras despus de que un
atacante ha entrado a la red.
Las necesidades de seguridad en una compaa ayudan a determinar la
cantidad de auditoria usada. Por ejemplo, una red de trabajo con un
nivel de seguridad mnimo, requerir solo registrar los intentos de dao
fsico a la red, por otro lado una red con un nivel alto de seguridad,
requerir registrar los intentos inautorizados de acceso exitosos y
fallidos, especialmente despus de que el usuario no autorizado ha
entrado a la red de forma exitosa.
En cualquiera de los casos, aunque la auditoria puede proveer
informacin muy valiosa y extensa, es importante considerar que un
exceso de entradas de auditoria en un registro, pueden generar exceso
de informacin. Esto puede afectar potencialmente el desempeo del
sistema y dificultar en extremo la localizacin de informacin relevante.
Tipos de eventos a auditar
Los eventos comunes a auditar se dan cuando:
Objetos, como archivos y carpetas, son a