Administrando el Active Directory

Resumen

Este procedimiento tcnico es una introduccin a la administracin del servicio de directorio Active
Directory de Microsoft Windows 2000. Los procedimientos explicados en este documento
demuestran cmo utilizar el complemento Usuarios y equipos de Active Directory para agregar, mover,
eliminar y alterar las propiedades de objetos como usuarios, contactos, grupos, servidores, impresoras
y carpetas compartidas.

Introduccin

Este documento es una introduccin a la administracin de Active Directory y del complemento de

Usuarios y equipos de Active Directory de Microsoft Windows 2000.

Este complemento permite agregar, mover, eliminar y modificar las propiedades de objetos como
usuarios, contactos, grupos, servidores, impresoras y carpetas compartidas.

Debe tener instalada la versin beta 3 de Windows 2000 Server (que incluya Active Directory) en un
servidor de la red. Las herramientas de administracin se pueden ejecutar desde el servidor, o es
posible ejecutar las herramientas desde una versin beta 3 de Windows 2000 Professional.

Las herramientas de administracin se instalan de forma predeterminada en todos los controladores de

dominio de Windows 2000. En los servidores o estaciones de trabajo independientes de Windows 2000,
las herramientas administrativas de Active Directory son opcionales y se pueden instalar desde el
paquete de componentes opcionales de Windows 2000.

En este procedimiento tcnico se realizarn las siguientes tareas.

Tareas o Crear unidades organizativas

administrativas o Crear usuarios y contactos
comunes o Crear grupos y agregar miembros a grupos

Tareas o Publicar recursos compartidos de red, tales

administrativas como carpetas e impresoras compartidas en el
avanzadas directorio.
o Mover usuarios, grupos y unidades
organizativas en el directorio
o Usar filtros y bsquedas para recuperar objetos
del directorio

Usar el complemento Dominios y confianzas de Active Directory

El complemento Dominios y confianzas de Active Directory proporciona una representacin grfica de
todos los rboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede
administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios,
configurar el modo de operacin para cada dominio (Modo nativo o mixto) y configurar los sufijos
alternativos de Nombre principal de usuario (UPN) para el bosque.

Para iniciar el complemento Dominios y confianzas de Active Directory

1. Inicie una sesin como administrador Si se inicia una sesin usando una cuenta que no tiene
privilegios administrativos, es posible que no pueda administrar Active Directory.
2. Haga clic en el botn Inicio seleccione Programas y a continuacin haga clic en
Herramientas administrativas.
3. Haga clic en Dominios y confianzas de Active Directory. Aparece una ventana parecida a la
siguiente.

1-21
4. Agregar sufijos alternativos de Nombre principal de usuario. El Nombre principal de usuario
(UPN) proporciona un estilo de nomenclatura de fcil utilizacin para que los usuarios inicien
una sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al
que tambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el
nombre DNS del bosque, que es el nombre DNS del primer dominio del primer rbol del bosque.
En este procedimiento tcnico, el sufijo UPN predeterminado es antipodas.com.
5. Seleccione el nodo raz de Dominios y confianzas de Active Directory , haga clic con el
botn secundario del mouse (ratn) y seleccione Propiedades.
6. Agregue los siguientes sufijos UPN:

marsupiales.com
bosquimanos.com

7. Es posible administrar cada uno de los dominios que aparecen en la vista de rbol si se inicia el
complemento Usuarios y equipos de Active Directory. Seleccione el nodo de dominio de
antipodas.com, haga clic con el botn secundario del mouse y seleccione Administrar.

2-21
Para continuar administrando objetos del directorio, consulte la seccin "Usar el complemento Usuarios
y equipos de Active Directory", en este documento.

Los dominios de Windows 2000 operan en uno de estos dos modos:

o Modo mixto , el cual permite que coexistan en el dominio controladores de dominio que
ejecutan tanto Windows 2000 como versiones anteriores de Windows NT Server. En modo
mixto, siguen estando habilitadas las caractersticas de dominio de versiones anteriores de
Windows NT Server, mientras que algunas caractersticas de Windows 2000 estn
deshabilitadas.
o Modo nativo, en el cual todos los controladores de dominio tienen que ejecutar Windows 2000
Server. En Modo nativo, se pueden aprovechar caractersticas nuevas tales como los Grupos
universales, la pertenencia a grupos anidados y la pertenencia a grupos en varios dominios.

Para cambiar a modo nativo

1. Asegrese que todos los controladores de dominio del dominio ejecutan Windows 2000 Server.
2. Haga clic con el botn secundario del mouse en el objeto dominio, y a continuacin haga clic en
Propiedades .
Aparece una ventana parecida a la siguiente:

3. Haga clic en el botn Cambiar modo.

3-21
 4. Reinicie el controlador de dominio.

Uso del complemento Usuarios y equipos de Active Directory

Para iniciar el complemento Usuarios y equipos de Active Directory

1. Iniciar una sesin como administrador Si se inicia una sesin usando una cuenta que no tiene
privilegios administrativos, es posible que no se pueda crear varios objetos de directorio.

Inicie el complemento Usuarios y equipos de Active Directory. Existen varios mtodos para
iniciar este complemento:
o Se puede invocar el complemento Usuarios y equipos de Active Directory desde el
complemento Dominios y confianzas de Active Directory (segn se describe en la seccin
anterior), o
o Se puede cargar el complemento desde el men Herramientas administrativas. Haga clic
en el botn Inicio seleccione Programasy a continuacin haga clic en Herramientas
administrativas. Haga clic en Usuarios y equipos de Active Directory para iniciar el
complemento.

La siguiente ilustracin y tabla identifican los componentes clave del complemento Usuarios y equipos
de Active Directory.

4-21
Objeto Descripcin
Panel de mbito Muestra todos los objetos del contenedor.
Muestra todos los objetos que contiene el objeto
Panel de resultados
seleccionado en el panel de mbito.
Barra de
herramientas de la Barra de herramientas asociada a Management Console.
consola
Barra de
Barra de herramientas asociada al complemento
herramientas de
Usuarios y equipos de Active Directory
complemento
Indica si el complemento est funcionando en modo
Barra descriptiva Avanzado o Normal, si se aplic un filtro y el nmero de
objetos mostrados en el panel de resultados.
Enumera las acciones que se pueden realizar sobre el
Men contextual
objeto o los objetos seleccionados
Consiste en una serie de cuadros de dilogo que guan
Asistente
al usuario por una serie de pasos.
Hojas de Cuadros de dilogo utilizados para presentar los
propiedades atributos de un objeto.

Los objetos que se describen en la siguiente tabla se crean durante la instalacin de Active Directory,
ya sea una instalacin nueva o una actualizacin de un dominio de Windows NT 4.0.

Icono Carpeta Descripcin

El nodo raz del complemento representa el
Dominio
dominio administrado.
Contiene todos los equipos Windows NT y
Windows 2000 que se unen a un dominio. Esto
incluye a equipos que ejecutan las versiones 3.51
y 4.0 de Windows NT, as como a aquellos con
Equipos
Windows 2000. Si actualiza a partir de una versin
anterior, Active Directory migra la cuenta de
equipo a esta carpeta. Es posible mover estos
objetos.
Contiene informacin de sistemas y servicios de
Sistema Active Directory, tales como RPC, WinSock y otras
informaciones.
Contiene a todos los usuarios del dominio. En una
Usuarios
actualizacin, se migran todos los usuarios del

5-21
 dominio anterior. Al igual que los equipos, se
puede mover los objetos usuario.

Se puede usar Active Directory para crear los siguientes objetos.

Icono Objeto Descripcin

Un objeto usuario es una entidad de seguridad
en el directorio. Un usuario puede iniciar una
Usuario sesin en la red con estas credenciales y a los
usuarios se les puede conceder permisos de
acceso.
Un objeto contacto es una cuenta que no tiene
ningn permiso de seguridad. No se puede
iniciar una sesin como contacto. Los contactos
Contacto
se suelen utilizar para representar a usuarios
externos con fines relacionados con el correo
electrnico.
Un objeto que representa a un equipo en la
Equipo red. Para las estaciones de trabajo y servidores
Windows NT, esta es la cuenta de equipo.
Las unidades organizativas se utilizan como
contenedores para organizar de manera lgica
Unidad objetos de directorio tales como usuarios,
organizativa grupos y equipos, de forma muy parecida a
como se utilizan las carpetas para organizar
archivos en el disco duro.
Los grupos pueden contener usuarios, equipos
y otros grupos. Los grupos simplifican la
Grupo
administracin de cantidades grandes de
objetos.
Una carpeta compartida es un recurso
Carpeta
compartido de red que se ha publicado en el
compartida
directorio.
Impresora Una impresora compartida es una impresora de
compartida red que se ha publicado en el directorio

Con el siguiente procedimiento se crea una unidad organizativa en el dominio antipodes . Ntese que
se pueden crear unidades organizativas anidadas, y no hay lmite de niveles de anidamiento.

Para agregar una unidad organizativa (OU)

1. Haga clic con el botn secundario del mouse en un objeto del dominio.
2. Seleccione Nuevo, y haga clic en Unidad organizativa, o bien utilice el botn de la barra de
herramientas Nueva unidad organizativa. Escriba lo siguiente como nombre para la nueva
unidad organizativa:

Ventas

3. Haga clic en Aceptar.

Para el resto de los ejercicios de este procedimiento tcnico, repita los pasos 1 y 2 arriba indicados a
fin de crear unidades organizativas adicionales, de la siguiente forma:

o Cree otra unidad organizativa llamada Mercadotecnia en el dominio.

o Cree otra unidad organizativa llamada Fabricacin en el dominio.

6-21
 o Cree otra unidad organizativa llamada Consumidor dentro de la unidad organizativa
Mercadotecnia. (Para hacer esto, haga clic con el botn secundario del mouse en
Mercadotecnia, haga clic en Nuevoy a continuacin haga clic en Unidad organizativa.)
o Cree dos unidades organizativas ms llamadas Empresa y Gobierno dentro de la unidad
organizativa Fabricacin

Al terminar, debera quedar la siguiente jerarqua:

Con el siguiente procedimiento se crea la cuenta de usuario Juan Medina en la unidad organizativa
Ventas.

Para crear una cuenta de usuario nueva

1. Haga clic con el botn secundario del mouse en la unidad organizativa Ventas , haga clic en
Nuevo y a continuacin haga clic en Usuario, o utilice el botn de la barra de herramientas
Usuario nuevo .
2. Escriba la siguiente informacin:

En este cuadro de texto Escriba

Nombre Juan
Apellido Medina
Nombre y apellido Juan Medina
Nombre de inicio de sesin jmedina

7-21
 3.

4. Escriba una contrasea tanto en el cuadro de Contrasea como en el cuadro Confirmar , y

seleccione las opciones de cuenta apropiadas.

5. Acepte el cuadro de dilogo de confirmacin. Acaba de crear una cuenta para Juan Medina en la
unidad organizativa Ventas.

Para agregar informacin de usuario

Haga clic con el botn secundario del mouse en el objeto usuario, y a continuacin haga clic en
Propiedades

1. Haga clic con el botn secundario del mouse en el objeto usuario, y a continuacin haga clic en
Propiedades
8-21
 2. Agregue ms informacin acerca del usuario (segn se muestra en la siguiente ilustracin) y
haga clic en Aceptar.

A los usuarios se les puede mover de una unidad organizativa a otra dentro del mismo dominio o a
otro dominio distinto. Por ejemplo, en este procedimiento, Juan Medina se mueve desde la divisin de
Ventas a la divisin de Mercadotecnia.

Para mover la cuenta de usuario

1. Seleccione la unidad organizativa Ventas.

2. Seleccione la cuenta de usuario de Juan Medina, haga clic con el botn secundario del mouse y
seleccione Mover.
3. Haga clic en Examinar, seleccione la unidad organizativa Mercadotecnia y haga clic en
Aceptar.

9-21
Nota Esta versin beta no admite la administracin de usuarios mediante el procedimiento arrastrar y
colocar.

Si actualiza a partir de una versin anterior de Windows NT Server, es posible que se desee mover a
los usuarios existentes desde la carpeta Usuarios a algunas de las unidades organizativas que cree.

Para crear un grupo

1. Haga clic con el botn secundario del mouse en la unidad organizativa Mercadotecnia , haga clic
en Nuevo y a continuacin haga clic en Grupo, o bien seleccione el botn Crear nuevo grupo
. de la barra de herramientas.
2. En el cuadro de texto Nombre del nuevo grupo, escriba

Enlace de prensa

10-21
Seleccione el Tipo de grupo y mbito de grupo apropiados:

o El Tipo de grupo indica si se puede usar el grupo para asignar permisos a otros recursos
de la red, tales como archivos e impresoras. Tanto los grupos de seguridad como los de
distribucin se pueden utilizar para confeccionar listas de distribucin de correo
electrnico.
o El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede
contener el grupo.

Ambito Visibilidad Puede contener

Grupos de usuarios, globales o
Dominio local Dominio
universales
Globales Arbol Grupos de usuarios o globales
Grupos de usuarios, globales o
Universales Bosque
universales

Para agregar un usuario a un grupo

1. Haga clic con el botn secundario del mouse en el grupo Enlace de prensa y haga clic en
Propiedades.
2. En la ficha Miembros haga clic en Agregar.
3. Esto iniciar el cuadro de dilogo Buscar Se puede utilizar este cuadro de dilogo para
establecer como mbito de la consulta el bosque, un dominio especfico o una unidad
organizativa.
4. Haga clic en Juan Medina y a continuacin haga clic en Agregar.

Nota Es posible seleccionar mltiples usuarios o grupos en este cuadro de dilogo si mantiene
presionada la tecla CTRL mientras hace clic en cada uno de ellos. Tambin se puede escribir
directamente el nombre. Si el nombre es ambiguo, se muestra otra lista para confirmar la seleccin.

11-21
Como alternativa, es posible seleccionar los usuarios desde el panel de resultados, y despus
seleccionar Agregar a grupo en el men contextual o usar el botn correspondiente de la barra de
herramientas. Esto puede resultar ms eficiente para agregar un gran nmero de miembros a un
grupo.

Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS),
se puede publicar en el directorio. Al crear un objeto carpeta compartida en el directorio no comparte
la carpeta automticamente. Este es un proceso en dos pasos: En primer lugar se debe compartir la
carpeta y despus publicarla en el directorio.

Para compartir una carpeta

1. Utilice el Explorador de Windows NT o la lnea de comandos para crear una nueva carpeta
llamada Comunicados de prensa en uno de los volmenes del disco.
2. En el Explorador de Windows NT, haga clic con el botn secundario del mouse en el nombre
de la carpeta, haga clic en Propiedades, haga clic en la ficha Compartir y haga clic en
Compartida como.
3. En Nombre del recurso compartido, escriba

CP

4. Haga clic en Aceptar.

5. Llene la carpeta con archivos, tales como documentos, hojas de clculo o presentaciones.

Tambin se puede establecer un volumen Dfs. Para obtener ms informacin, vea el documento de
procedimiento tcnico "Sistema de archivos distribuido".

Para publicar la carpeta compartida en el directorio

1. En la herramienta de Administracin de directorio, haga clic con el botn secundario del

mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y haga clic en Carpeta
compartida.
2. En el campo modificable Nombre, escriba

Comunicados de prensa

3. En el campo modificable Ruta UNC, escriba

12-21
 ///CP

por ejemplo, escriba

//koala.antipodas.com/PR

La unidad organizativa Mercadotecnia aparece ahora como se muestra en la siguiente ilustracin.

Los usuarios pueden ver ahora este volumen al examinar el directorio.

Para examinar el directorio

1. Desde el escritorio, abra Mis sitios de red.

13-21
 2. Haga clic en Directorio.
3. Haga clic en el nombre del dominio y a continuacin en Mercadotecnia.
4. Para ver los archivos del volumen, o bien haga clic con el botn secundario del mouse en el
volumen Comunicados de prensa , y haga clic en Abrir, o bien haga doble clic en
Comunicados de prensa.

Esta seccin describe los procesos para publicar impresoras en un

directorio de Windows 2000.

Impresoras de Windows 2000

Es posible publicar una impresora compartida por un equipo que ejecuta Windows 2000: para ello se
utiliza la ficha Compartir del cuadro de dilogo de propiedades de la impresora. De manera
predeterminada, est activada la opcin listada en <>directorio>. (Esto significa que la impresora
compartida se publicar de manera predeterminada). La impresora se publica en el contenedor del
equipo correspondiente, en el directorio. Se llamar -.

El subsistema de impresin propaga de forma automtica al directorio los cambios realizados a los
atributos de la impresora (ubicacin, descripcin, carga de papel y otros)

Para compartir y publicar una impresora

1. Cree una nueva impresora haga clic en Inicio, seleccione Configuracin, haga clic en
Impresoras y a continuacin haga clic en Agregar Impresora. Siga las instrucciones
proporcionadas en la pantalla para crear la impresora.
2. Una vez creada la impresora, seleccione la casilla de verificacin Listada en directorio.
Aparecer una ventana parecida a la siguiente:

El objeto impresora se publicar bajo el objeto equipo al que est conectada.

14-21
Impresoras no Windows 2000
Es posible publicar impresoras compartidas por sistemas que no sean Windows 2000 en el directorio.
La forma ms sencilla de hacer esto es utilizando la secuencia de comandos pubprn . Esta secuencia de
comandos publicar todas las impresoras compartidas en un servidor dado. Se encuentra en el
directorio system32. La sintaxis es:

cscript pubprn.vbs server dspath [trace]

Por ejemplo:

Cscript pubprn.vbs prserv1

"LDAP://ou=mercadotecnia,dc=antipodas,dc=com"

publicar todas las impresoras en el servidor //prservl, y las impresoras se publicarn en la unidad
organizativa de Mercadotecnia. Esta secuencia de comandos copia slo el siguiente subconjunto de
atributos de impresora:

o Ubicacin
o Modelo
o Comentario
o Ruta UNC

Es posible agregar otros atributos con el complemento de Administracin de directorios. Observe que
es posible volver a ejecutar pubprn y actualizar en lugar de sobrescribir las impresoras existentes.

Como alternativa, se puede utilizar el complemento DS MMC para publicar impresoras que se hallen en
servidores que no tienen Windows 2000.

Para utilizar el complemento DS MMC para publicar impresoras

1. Haga clic con el botn secundario del mouse en la unidad organizativa Mercadotecnia, haga
clic en Nuevo y haga clic en Impresora.
2. En el campo Nombre, escriba

Impresora de Comunicados de prensa

15-21
 3. En el nombre de la Ruta UNC escriba la ruta a la impresora, tal como //wombat/prprint.

Los usuarios finales pueden apreciar la ventaja de que las impresoras se publiquen en el directorio
porque les permite buscar impresoras, enviar documentos a esas impresoras e incluso instalar los
controladores de impresora directamente desde el servidor.

Para examinar y utilizar impresoras en el directorio

1. Desde el escritorio, abra el Entorno de red.

2. Haga clic en Directorio.
3. Haga clic en el nombre de su dominio y a continuacin haga clic en Mercadotecnia.
4. Haga clic con el botn secundario del mouse en HPColor, y a continuacin haga clic en
Instalar para instalar la impresora como una impresora local, o haga clic en Abrir para
ver la cola de impresin actual.

Un objeto equipo se crea de forma automtica cuando un equipo se une a un dominio. Tambin se
puede crear el objeto equipo antes de que el equipo se una al dominio.

Para crear un objeto equipo

16-21
 1. Haga clic con el botn secundario del mouse en la unidad organizativa Mercadotecnia, haga
clic en Nuevo y luego en Equipo.
2. Para el nombre de equipo, escriba

canguro

De forma opcional, es posible seleccionar a qu usuarios se les permite unir un equipo al dominio. Esto
permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale
el equipo y lo una al dominio.

Ahora que se ha creado el objeto equipo, es posible que se quiera administrar este equipo de forma
remota, diagnosticando los servicios que se ejecutan en este equipo, consultando el visor de sucesos,
etc.

Para iniciar el complemento Administracin de equipo

1. En la herramienta de Administracin de directorio, haga clic con el botn secundario del

mouse en el objeto equipo y haga clic en Administrar.
2. Se iniciar el complemento Administracin de equipos para el equipo seleccionado.

Se puede cambiar el nombre y eliminar cada objeto del directorio , y se puede mover la mayor parte
de los objetos a contenedores distintos.

Para mover un objeto

1. Haga clic con el botn secundario del mouse en el objeto, y a continuacin haga clic en Mover
2. Haga clic en Examinar. Aparecer el Explorador de directorios, lo que le permite seleccionar
el contenedor de destino para el objeto que est moviendo.

17-21
Es posible utilizar grupos anidados siempre que se est ejecutando Active Directory en Modo nativo.
Los grupos anidados son ms fciles de administrar, por lo que se reduce la carga de administracin.

Para crear un grupo anidado

1. Cree un nuevo grupo Haga clic con el botn secundario del mouse en la carpeta
Mercadotecnia, haga clic en Nuevo y luego en Grupo. Escriba

Todo mercadotecnia

como nombre para el nuevo grupo.

2. Haga clic con el botn secundario del mouse en la carpeta Grupo Todo mercadotecnia y haga
clic en Propiedades.

18-21
 3. Incluya Enlace de prensa como miembro del grupo Todo mercadotecnia.

Para comprobar los grupos anidados

1. Haga clic con el botn secundario del mouse en Todo mercadotecnia, haga clic en
Propiedades y, a continuacin, en Pertenencia. Ver que Enlace de prensa es miembro de
Todo mercadotecnia.
2. Haga doble clic en Enlace de prensa y a continuacin haga clic en Pertenencia. Ver que
Enlace de prensa aparece enumerado como miembro del grupo Todo mercadotecnia.

Buscar objetos especficos

En lugar de examinar la lista de objetos en el panel de resultados, a menudo es ms eficiente buscar
objetos especficos que se ajusten una serie de criterios. En este ejemplo, buscar a todos los usuarios
que tengan el apellido "Medina" y estn en la unidad organizativa Mercadotecnia.

Para buscar a estos usuarios

1. Seleccione la unidad organizativa Mercadotecnia.

2. Inicie el cuadro de dilogo Buscar; para ello, haga clic en el botn Buscar en la barra de
herramientas o bien haga clic con el botn secundario del mouse y seleccione Buscar en el
men contextual.
3. En el campo Nombre, escriba

Medina

19-21
 4. Haga clic en el botn Buscar ahora.

Filtrar una lista de objetos

Filtrar la lista de objetos devueltos desde el directorio le permite administrar el directorio de forma ms
eficiente. Esta opcin de filtrado permite restringir los tipos de objetos devueltos al complemento; por
ejemplo, puede elegir ver slo usuarios y grupos, o es posible que desee crear un filtro ms complejo.

Adems, si una unidad organizativa tiene ms de un nmero especificado de objetos, el cuadro de

dilogo de filtro permite restringir el nmero de objetos que se muestran en el panel de resultados. Se
puede utilizar el cuadro de dilogo Filtrar para configurar esta opcin.

En este ejemplo, se crear un filtro diseado para recuperar usuarios solamente.

Para crear el filtro

1. Inicie el cuadro de dilogo del filtro; para ello haga clic en el botn Filtro de la barra de
herramientas o bien haga clic en el elemento Ver del men y seleccione Filtro.
2. Seleccione la opcin Mostrar slo los siguientes tipos de objetos y a continuacin seleccione
Usuarios y grupos.

20-21
 3. Haga clic en Aceptar.

Despus de hacer clic en Aceptar, siempre que vea un contenedor, ste recupera slo objetos
usuario y equipo. Si tambin habilita la barra descriptiva, se produce una indicacin visual de que se
aplic un filtro

21-21