4 Objetos del Directorio Activo

Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos de la creacin y administracin de cuentas de equipo.
Tener conocimientos de la creacin y administracin de cuentas de usuario.
Tener conocimientos de la creacin y administracin de grupos.

2. Objetivos
Informacin general de las consolas Active Directory.
Creacin y administracin de objetos de Active Directory.

Introduccin
La base de datos Active Directory contiene varios tipos de objetos diferentes, cada uno
permite autenticar las personas fsicas y los equipos unidos al dominio.

Presentacin de las consolas Active Directory

Al promover un servidor a controlador de dominio, se agregan varias consolas a las
herramientas de administracin. La consola Usuarios y equipos de Active
Directory permite la gestin de las cuentas de usuario, equipos y grupos. Desde esta
consola es posible efectuar todas las operaciones (creacin, eliminacin, desactivacin...)
en los diferentes objetos.
Sitios y servicios de Active Directory permite gestionar la replicacin entre dos sitios
as como la topologa de red. La gestin de las relaciones de confianza y del nivel funcional
del bosque se realiza mediante la consola Dominios y confianzas de Active Directory.
Por ltimo, la consola Esquema de Active Directory, que necesita el comando
regsvr32.dll para ser visualizada, permite administrar el esquema de Active Directory.
Es posible utilizar estas consolas desde un equipo cliente (Windows Vista, Windows 7 o
Windows 8) despus de descargar e instalar el archivo RSAT (Remote Server
Administration Tools).
La consola Centro de administracin de Active Directory proporciona otras opciones
para la gestin de los objetos. Incluye una interfaz visual que se basa en comandos
PowerShell. Es posible efectuar la creacin de objetos (usuarios...), crear y administrar una
unidad organizativa. Un administrador puede conectarse a otro dominio y administrarlo
desde la consola.
Es, tambin, posible realizar la administracin de este servicio mediante comandos
PowerShell. Importando el mdulo Active Directory es tambin posible realizar las mismas

operaciones que las realizadas con las diferentes consolas. Para llevar a cabo estas
acciones, tambin se pueden usar los comandos DOS:

Dsadd: crea un nuevo objeto.

Dsget: muestra las propiedades de un objeto.

Dsmove: efecta el desplazamiento de un objeto

Dsrm: elimina un objeto.

Administracin de las cuentas de usuario

Como todo objeto, una cuenta de usuario contiene sus propiedades, nombre del usuario,
contrasea y una lista de grupos de los cuales es miembro. De esta forma es posible,
segn el tipo de cuenta:

Autorizar o denegar el inicio de sesin en un equipo.

Autorizar el acceso a un recurso compartido.

1. Creacin de una cuenta de usuario

Al crear una cuenta de usuario, ciertos atributos como el nombre de usuario y la
contrasea deben ser introducidos obligatoriamente. El nombre de usuario debe ser nico
en el dominio y el bosque. Despus de seleccionar la unidad organizativa que va a contener
la cuenta de usuario, es posible crearla.
Se inicia el asistente y el usuario debe obligatoriamente introducir el nombre de inicio de
sesin y los apellidos o el nombre de pila. Despus de introducir la informacin obligatoria,
se activa el botn Siguiente.
El campo Nombre completo se construye empleando la informacin introducida en el
campo Nombre de pila y Apellidos. Por supuesto es posible cambiar el valor creado
automticamente por el deseado. ste debe ser nico en el contenedor o la unidad
organizativa.
A diferencia del SAMAccountName (nombre de inicio de sesin anterior a Windows 2000)
que estaba construido segn la forma NombreDeDominioNetbios\NombreDeUsuario
(Formacion\nbonnet), el UPN (User Principal Name - campo nombre de inicio de sesin de
usuario)
se
construye
segn
la
forma
NombreInicioDeSesin@dominio
(nbonnet@Formacion.local).
Se pueden utilizar caracteres no alfanumricos para generar nombres de usuario nicos
(ejemplo: n.bonnet, n-bonnet...). Observe que esto puede causar problemas con ciertas
aplicaciones.
En adelante, es necesario proporcionar una contrasea temporal. Es interesante marcar la
opcin El usuario debe cambiar la contrasea en el siguiente inicio de sesin, esto
obliga al usuario a cambiar su contrasea en su primer inicio de sesin (este cambio es
obligatorio).

Existen otras opciones disponibles, que permiten prohibir el cambio de contrasea o

configurar una contrasea que no expira nunca (muy til para las cuentas de sistema).

2. Configuracin de los atributos de una cuenta de usuario

Despus de crear el objeto, es posible configurar otros atributos opcionales (direccin,
nmero de telfono...). Los atributos pueden estar clasificados en diferentes categoras.

Los atributos de cuenta: incluidos en la pestaa Cuenta, podemos encontrar

informacin incluyendo el nombre de usuario, la contrasea

La informacin personal: informacin personal del usuario (direccin, nmero de

telfono). Los atributos pueden modificarse mediante la pestaa General que
contiene la informacin introducida durante la creacin de la cuenta (Nombre de pila,
Apellidos,
Nombre
completo),
y
tambin
en
las
pestaas Direccin, Telfonos y Organizacin.

La gestin de cuentas de usuario: agrupa los atributos encontrados en la pestaa

Perfil, es posible configurar la ruta del perfil o los scripts de inicio de sesin.

Miembro de los grupos: este atributo encontrado en la pestaa Miembro

de permite aadir o eliminar al usuario de un grupo de seguridad o de distribucin.

Adicionalmente es posible ver el conjunto de atributos empleando la pestaa Editor de

atributos, sin embargo es necesario mostrar las opciones avanzadas (men Ver) para
poder ver esta pestaa en las propiedades del usuario. De esta forma se muestran todos
los atributos, adicionalmente el botn Filtro permite la visualizacin de un mayor nmero
de atributos.
Se puede cambiar el atributo desde la pestaa especifica o desde la pestaa Editor de
atributos.
Podemos ver, as, que el atributo givenName tiene por valor Alumno 4. Si modificamos el
Nombre de pila en la pestaa General:

El atributo se actualiza correctamente:

3. Creacin de un perfil de usuario mvil

Un perfil de usuario puede ser local o mvil. En el caso de un perfil local, se crea un
directorio en la carpeta Usuarios de cada mquina en la que el usuario abre una sesin.
Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos,
documentos, escritorio...) en todos los puestos a los que se conecta. En este caso, es
necesario emplear un perfil mvil. ste se encuentra en una carpeta compartida en el
servidor.
Al iniciar sesin, el perfil de usuario se copia del servidor al puesto de trabajo.
Posteriormente, durante el cierre de sesin, se realiza la copia en sentido inverso. Para
instalar esta solucin es necesario configurar el atributo Ruta de acceso al perfil en la
pestaa Perfil.

La variable %username% se reemplaza por el nombre de inicio de sesin del usuario

despus de hacer clic en Aplicar.
Es, tambin, posible configurar un script (en formato vbs o bat), este ltimo se ejecuta
cuando el usuario abre una sesin. Si este se almacena en la carpeta SYSVOL, solo ser
necesario introducir el nombre del archivo.
Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello
ser necesario especificar la letra de la unidad.

Administracin de grupos
Los grupos en Active Directory permiten facilitar la administracin. Es ms fcil agregar el
grupo a la ACL (Access Control List) de un recurso compartido en lugar de aadir a todos
los usuarios. Una vez ubicado el grupo, el administrador solo tendr que agregar o eliminar
los objetos (cuenta de equipo, usuario o grupo) para gestionar el acceso al recurso. La
administracin no se efecta ms a nivel de la ACL, sino al nivel de Active Directory
(consola Usuarios y equipos de Active Directory, Centro de administracin de Active
Directory o directamente en PowerShell). Adicionalmente, un grupo se puede colocar en

una lista de control de acceso de varios recursos. Es posible crear grupos por perfiles (un
grupo Conta que agrupa las personas del departamento de contabilidad, RRHH...) o por
recursos (G_Conta_r, G_Conta_w...).
Es preferible utilizar un nombre para el grupo que sea lo ms descriptivo posible.
Sugerimos nombrar los grupos de esta forma:

El mbito, trataremos este punto ms adelante en el captulo (G para global, U para

universal o DL para dominio local).

El nombre del recurso (Conta, Fax, BALNicolas, RH).

El derecho NTFS que ser atribuido al grupo (w para escritura, m para

modificacin, r para lectura...).

De esta forma, si un grupo se llama G_Conta_w, podr deducir con seguridad que es un
grupo global ubicado en la carpeta compartida Conta y que proporciona derechos de
escritura a sus miembros.

1. Diferencia entre grupos de seguridad y de distribucin

Se puede crear dos grupos en Windows Server. La eleccin se realiza durante la creacin
del grupo. El administrador podr elegir entre un grupo de distribucin y un grupo de
seguridad.
Tambin es posible convertir el grupo despus de su creacin.
El grupo de distribucin lo utilizan los servidores de mensajera (Exchange por ejemplo). No
se atribuye un SID al grupo, por lo que es imposible incluirlo en la lista de control de
acceso de un recurso. El enviar un correo electrnico al grupo, el conjunto de miembros
reciben el correo.
El grupo de seguridad posee un SID (Security IDentifier), esto proporciona la posibilidad de
incluirlo en una ACL. As, se otorga a los miembros de este grupo permisos de acceso al
recurso. Su segunda funcin es la de servir de grupo de distribucin para un software de
mensajera.
Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo
para asignar permisos a sus usuarios o para crear listas de distribucin de correo.

2. El mbito de un grupo
El mbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo
as como los objetos que pueden ser miembros.

Local: presente solamente en un servidor miembro o puesto de trabajo, este grupo

no puede utilizarse en un controlador de dominio (el cual no contiene inicialmente las
cuentas locales). Este grupo puede utilizarse para proporcionar permisos a los
usuarios locales o del bosque Active Directory.

Al unir un puesto de trabajo o un servidor al dominio, los grupos administradores del

dominio y usuarios del dominio son respectivamente miembros de los grupos locales
Administradores y usuarios del equipo.

Dominio local: se emplea para administrar las autorizaciones de acceso a los

recursos del dominio, puede tener como miembros a los usuarios, equipos o grupos
globales y universales del bosque. Los grupos locales de miembros del dominio de
este grupo deben ser miembros del dominio. Este tipo de grupo puede asignarse
nicamente a los recursos de su dominio.

Global: a diferencia del mbito del Dominio local, el grupo global puede contener
solamente a los usuarios, equipos y otros grupos globales del mismo dominio. Se
puede asignar a cualquier recurso del bosque.

Universal: puede contener usuarios, equipos y grupos globales y universales de un

dominio del bosque, puede ser miembro de un grupo de tipo Universal o Dominio
local. El grupo puede incluirse en las ACL de todos los recursos del bosque. Tenga
cuidado de no abusar de este tipo de grupo porque se replica en el catlogo global.
Un gran nmero de grupos universales sobrecargan la replicacin del catlogo global.

Microsoft ha definido una estrategia de administracin de grupos (IGDLA). sta consiste en

agregar las Identidades (usuarios y equipos) en un grupo Global. ste es miembro de un
grupo DominioLocal que permite asegurar la funcin de administracin del acceso a los
recursos. Finalmente, este ltimo se incluye en una ACL.
As, si un nuevo grupo llamado G_Tec_w debe tener acceso al recurso compartido
denominado informtica, no ser necesario acceder a la ACL. Agregando el grupo a
DL_TEC_W (el cual est, por supuesto asignado al recurso) se proporciona el acceso
deseado.

Administracin de las cuentas de equipo

Al unir el equipo al dominio se crea una cuenta de equipo. sta permite autenticar la
mquina al iniciar sesin, y tambin asignar directivas de grupo.

1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar
las cuentas de equipo de las mquinas unidas al dominio. No es una unidad organizativa,
no es posible aadir una directiva de grupo a este contenedor. Es, por tanto, necesario
desplazar los objetos equipo a la OU deseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores,
OU Puestos, OU Porttiles); para poder vincular las diferentes directivas de grupo o
simplemente para delegar en otras personas diferentes la gestin de los diversos objetos.
La gestin de los contenedores es propia de cada empresa y debe responder a sus
necesidades y limitaciones.
Para efectuar la unin al dominio, es necesario respetar ciertos requisitos previos. El objeto
equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. El

usuario que efecte la unin debe

administradores locales del equipo.

ser

necesariamente

miembro

del

grupo

de

La creacin previa permite al administrador ubicar la cuenta de equipo directamente en su

unidad organizativa definitiva. As, al reiniciar el equipo se aplica la directiva de grupo
adecuada. Adems, esta solucin permite delegar el proceso de unin al dominio en otro
usuario.
Es posible modificar el contenedor predeterminado para que la cuenta de equipo se cree en
la unidad organizativa deseada. Para esto, se deber utilizar el comando DOS redircmp.
La sintaxis del comando es la siguiente:
redircmp ou=Aix,DC=Formacion,dc=local
Un usuario (que no posea permisos de administracin) tiene, por defecto, la posibilidad de
unir 10 equipos al dominio. Al solicitar autenticacin, deber introducir su nombre de
usuario y su contrasea. A partir de Windows 2000 Server es posible modificar el nmero
de equipos sobre los cuales un usuario tiene permisos modificando el atributo LDAP.
Para ello, es necesario modificar el atributo ms-DS-MachineAccountQuota ubicado en la
raz del dominio (la pestaa Editor de atributos aparece si se activan las caractersticas
avanzadas).
Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del
equipo ya existe en el dominio.

2. Reinicio del canal seguro

Al igual que para los usuarios, una cuenta de equipo posee un nombre de equipo
(sAMAccountName) y una contrasea. Se efecta un cambio de contrasea cada 30 das.
Estos identificadores los utiliza el servicio NetLogon para iniciar una sesin y establecer un
canal seguro con su controlador de dominio. Ciertos casos impactan el canal seguro e
impiden el inicio de sesin (no se autoriza al equipo):

Restauracin de la imagen del puesto: la contrasea de la cuenta de equipo al

crear la imagen es diferente de la que existe en el controlador de dominio. La
restauracin de una imagen restaura el estado previo del puesto al igual que los
identificadores de la cuenta del equipo. Es, por tanto, necesario restaurar el canal
seguro.

Restauracin del controlador de dominio. Si el dominio solo contiene un

controlador de dominio y es preciso restaurarlo, la contrasea del controlador de
dominio es diferente de la del puesto de trabajo.

Si se rompe el canal seguro, aparece un mensaje durante el inicio de sesin. Se incluye un

evento a su vez en el registro. Tendr como fuente a NETLOGON y un ID 3210.
Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podr
unir el equipo al grupo workgroup y luego volver a unirlo al dominio, lo que reinicia el
canal. Al volver a unirse al dominio, se genera un nuevo SID, la lista de grupos de los que
era miembro el equipo antes del problema del canal seguro se crean nuevamente de forma
idntica. Para reiniciar el canal seguro es, tambin, posible efectuar otras operaciones:

Consola Usuarios y equipos de Active Directory: la operacin consiste en usar la

opcin Restablecer la cuenta que permite restablecer toda la informacin vinculada
al puesto.

Comando DOS: tambin es posible utilizar comandos DOS para restablecer la

contrasea en el controlador de dominio y el puesto cliente. Es posible utilizar los
comandos dsmod, netdom o nltest.

Sintaxis de los comandos

dsmod computer ComputerDN -reset

netdom reset MachineName /domain DomainName /UserO UserName /PasswordO

{Password | *}

NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER

Talleres: Administracin de objetos Active Directory

Los talleres le permitirn poner en prctica la administracin de cuentas Active Directory.

1. Implementar la delegacin
Objetivo: implementar una delegacin para que un usuario pueda administrar la unidad
organizativa sobre la que se ha establecido la delegacin.
Mquina virtual utilizada: AD1.
En el servidor AD1, inicie la consola Usuarios y equipos de Active Directory.
En la arborescencia, seleccione la unidad organizativa Formacin.

Haga clic con el botn derecho en la OU Formacin y luego en el men contextual

seleccione Delegar control....
Haga clic en Siguiente en la primera ventana del asistente.
En la ventana Usuarios o grupos, haga clic en Agregar.
Introduzca Formadores y luego haga clic en el botn Comprobar nombres en la nueva
ventana que se muestra.

Haga clic en Aceptar para validar el campo y luego en Siguiente.

En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas
de usuario y Crear, eliminar y administrar grupos.

Haga clic en Siguiente y luego en Finalizar.

En la barra de mens de la consola Usuarios y equipos de Active Directory, haga clic en

Ver y luego en Caractersticas avanzadas.
Haga clic con el
en Propiedades.

botn

derecho

en

la

unidad

organizativa Formacin y

luego

Haga clic en la pestaa Seguridad y luego en el botn Opciones avanzadas.

El grupo Formadores tiene los permisos en la unidad organizativa.

Haga clic en Aceptar para cerrar la ventana.

Ahora es necesario instalar los archivos RSAT (Remote Server Administration Tool) en el
puesto del usuario para permitirle administrar su unidad organizativa desde el equipo
cliente. En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de
seguridad para poder abrir una sesin en el controlador de dominio. El usuario utilizado
debe ser miembro del grupo Formadores.
Seleccione el contenedor de sistema Builtin y luego haga clic en el grupo Operadores de
copia de seguridad.

Haga clic en la pestaa Miembros y luego en el botn Agregar.

Introduzca Formadores y luego haga clic en Comprobar nombres.
Haga clic en Aceptar para validarlo.

Cierre la sesin y vuelva a abrirla como nbonnet.

En la interfaz Windows, haga clic en el nombre del usuario y luego en el men contextual,
seleccione Cerrar sesin.
Inicie la consola Usuarios y equipos de Active Directory.
Haga clic en la raz del dominio Formacion.local.
Es imposible crear un objeto.
Seleccione la unidad organizativa Formacin.
Los iconos que permiten crear un usuario o un grupo estn activos, sin embargo el
usuario no tiene la posibilidad de crear una OU.

Elimine una cuenta Alumno. Esta operacin est, tambin, autorizada.

2. Administracin de cuentas de usuario

Objetivo: el objetivo del taller es efectuar la creacin de una cuenta plantilla a partir de un
perfil temporal.
Mquinas virtuales utilizadas: AD1 y CL10-01.
En CL10-01, abra una sesin y luego abra el Centro de redes y recursos compartidos.

Haga clic en Cambiar configuracin del adaptador y, a continuacin, haga doble clic en
el adaptador de red y luego en el botn Propiedades.
En las propiedades del Protocolo de Internet versin 4 (TCP/IPv4) configure el
adaptador de red como se indica a continuacin:

Direccin IP: 192.168.1.15

Mscara de sub-red: 255.255.255.0

Puerta de enlace predeterminada: 192.168.1.254

Servidor DNS Preferido: 192.168.1.10

Servidor DNS Alternativo: 192.168.1.11

Al no existir ningn servidor DHCP en la red, es necesario configurar el adaptador de red

de forma esttica.

Haga clic en Aceptar y luego efecte la unin al dominio Formacion.local.

En AD1, abra una sesin como administrador y luego inicie la consola Usuarios y
equipos de Active Directory.
Haga clic en la unidad organizativa Formacin y luego muestre las propiedades de la
cuenta Juan Pardillo.
En el campo Descripcin de la pestaa General introduzca Formador
IT luegowww.nibonnet.fr en el campo Pgina Web.

consultor

Haga clic en la pestaa Direccin e introduzca la informacin que se indica a continuacin:

Direccin: 3200 rue de la tours

Ciudad: Veroc

Estado o provincia: 13

Cdigo Postal: 13880

Seleccione la pestaa Perfil y luego en el campo Ruta del perfil, introduzca \\AD1\Perfiles\
%username%.
El recurso compartido Perfiles se crear posteriormente.
Haga clic con el botn derecho del ratn en Juan Pardillo y luego seleccione Copiar.
En la ventana que se muestra, introduzca Paul en el campo Nombre de pila y
luego MENDEZ en el campo Apellidos. Por ltimo, introduzca pmendez en el
campo Nombre de inicio de sesin de usuario.

Haga clic en Siguiente e introduzca una contrasea.

Valide la creacin haciendo clic Siguiente y Finalizar.

Las propiedades de la pestaa General se han copiado.

En la pestaa Direccin, nicamente no se ha copiado el campo Direccin.
Finalmente, las pestaas Perfil y Miembro de se han copiado.
Toda cuenta de usuario en Active Directory puede servir de plantilla. La creacin de un
nuevo objeto se ve facilitada porque el conjunto de propiedades comunes (listas de grupos
en la pestaa Miembro de) se replican.
Haga clic en Aceptar en las propiedades de la cuenta.
En la segunda particin del servidor AD1, cree una carpeta llamada Perfiles.
Si no ha creado la segunda particin, es posible realizar la operacin desde la particin
del sistema.
En las propiedades de la carpeta creada, seleccione la pestaa Compartir y luego haga clic
en Uso compartido avanzado....

Marque la opcin Compartir esta carpeta y luego haga clic en Permisos.

Elimine el grupo Todos y luego configure los permisos tal y como se muestra a
continuacin:

Administradores: Control total

Formadores: Cambiar

Valide los cambios haciendo clic dos veces en Aceptar.

Seleccione la pestaa Seguridad y luego haga clic en Opciones avanzadas.

En la ventana Configuracin de seguridad avanzada para perfiles haga clic en el botn

Deshabilitar la herencia.

Haga clic en Quitar todos los permisos heredados de este objeto.

Haga clic en el botn Agregar y luego en el enlace Seleccione una entidad de seguridad
en la ventana Entrada de permiso para perfiles.

Escriba Formadores y luego haga clic en Comprobar nombres. Valide la informacin

haciendo clic en Aceptar.
Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.
Cierre todas las ventanas activas.
En CL10-01, abra una sesin como pmendez.
El perfil mvil se ha creado correctamente en el recurso compartido Perfiles en el
servidor AD1.

Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
1Sobre qu tipo de lenguajes se apoya la consola Centro de administracin de
Active Directory?
2Enumere los atributos de una cuenta de usuario que son obligatorios durante su
creacin.
3Escriba la UPN para el usuario nbonnet del dominio Formacion.local.
4Qu podemos ver en la pestaa Editor de atributos? Es posible modificar los
valores que contiene?
5Cmo funciona un perfil mvil?
6Enumere los tipos de mbito de grupo que podemos encontrar.
7Cul es la diferencia entre un grupo de seguridad y un grupo de distribucin?
8Cul es la utilidad del comando redircmp?
9Qu es un canal seguro?

2. Resultados

Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 6 puntos

para aprobar el captulo.