Capítulo 4 Dominios en Windows Server 2012

Ingeniera de Sistemas
SIS313 - Sistemas Operativos III U. M. R. P. S. F. X. CH.
Captulo 4
Dominios en Windows Server 2012
o 4.1. Introduccin al concepto de directorio y dominio
o 4.2. Conceptos bsicos en una estructura de Directorio Activo
o 4.3. Instalar un dominio bsico desde la interfaz grfica
o 4.4. Degradar un controlador de dominio desde la interfaz grfica
o 4.5. Instalar un dominio bsico sin interfaz grfica
o 4.4. Degradar un controlador de dominio sin interfaz grfica
o 4.7. Herramientas relacionadas con la administracin del Directorio Activo
o 4.8. Agrupar las herramientas ms usadas
4.1. Introduccin al concepto de directorio y

dominio
En el sentido ms amplio, un directorio no es ms que una lista
detallada de objetos. Por ejemplo, una gua de telfonos es un tipo
de directorio que guarda informacin sobre personas, empresas y
otras entidades. De cada uno de los elementos representados, se
almacena su nombre, direccin y nmero de telfono.
En muchos sentidos, Active Directory Domain Services (AD DS) es muy parecido a
una gua telefnica, aunque resulta ms flexible. Se basa en el concepto de dominio
que introdujo Windows NT con el fin de facilitar la administracin. Sin embargo, ahora
el objetivo es crear una estructura dinmica y fcilmente accesible, a travs de la que
se puede almacenar la informacin de toda la organizacin, tanto relativa a la
estructura del propio directorio como de su administracin, y acceder a ella de forma
centralizada.
Active Directory est basado en una serie de estndares establecidos por la Unin
Internacional de Telecomunicaciones (UIT) llamados X.500.
El protocolo LDAP se cre como una versin ligera de X.500
1
AD DS puede almacenar informacin sobre la organizacin, sitios, ordenadores,

usuarios, objetos compartidos y cualquier otra cosa que pueda formar parte de la
infraestructura de red. A diferencia de los elementos de una gua telefnica, los
elementos almacenados en un Directorio Activo pueden ser diferentes unos de otros
(usuarios, grupos, polticas de acceso, permisos, asignacin de recursos, etc), por lo
que la informacin concreta que se almacena variar segn la naturaleza del objeto.
Toda esta informacin se guarda en una base de datos jerrquica.
El motor de esta base de datos es el mismo que incorpora Microsoft Exchange

Server y permite la replicacin de controladores de dominio. Es decir, se puede enviar
la informacin contenida en la base de datos a diferentes controladores de dominio a
travs de la red. De esta forma, un usuario creado en un determinado controlador de
dominio, podra iniciar sesin en cualquier cliente unido a otro controlador de dominio
diferente sin ninguna complicacin.
Adems de administrar polticas que sern vlidas en toda la organizacin, Active

Directory permite realizar operaciones como la instalacin de programas, de forma
simultnea y centralizada, en multitud de clientes o aplicar actualizaciones crticas en
toda la organizacin.
Cuando utilizamos Active Directory, tenemos a nuestra disposicin herramientas de

administracin para establecer polticas de grupo, para incluir unos grupos dentro de
otros en diferentes niveles, un acceso sencillo al rbol de usuarios, ordenadores,
impresoras y contactos, etc.
Obviamente, podemos utilizar Windows Server 2012 R2 sin usar Active Directory,
pero estaremos prescindiendo de un amplio conjunto de capacidades.
En cuanto a la estructura del servicio de directorio, lo primero que debemos saber es

que existen dos tipos de componentes en Active Directory: los componentes fsicos y
los componentes lgicos. Vemoslos representados en la siguiente tabla:
2
Por otro lado, Active Directory resulta til tanto en redes pequeas como en
instalaciones con millones de elementos relacionados.
4.2. Conceptos bsicos en una estructura de

Directorio Activo
Una vez que disponemos de una idea global del concepto de directorio y de lo que son
los dominios, es conveniente que hagamos un repaso de la terminologa que vamos a
emplear cuando hablemos de Active Directory Domain Services. Esto es lo que
haremos a continuacin:
Directorio
Como ya hemos mencionado antes, un Directorio es un repositorio nico para la
informacin relativa a los usuarios y recursos de una organizacin. Active Directory es
un tipo de directorio y contiene informacin sobre las propiedades y la ubicacin de los
diferentes tipos de recursos dentro de la red. Usndolo, tanto los usuarios como los
administradores pueden encontrarlos con facilidad.
Una de las ventajas que ofrece Active Directory es que puede

utilizar LDAP (Lightweight Directory Access Protocol, en espaol, Protocolo Ligero de
Acceso a Directorios), un protocolo de acceso estndar que permitir la consulta de
informacin contenida en el directorio. Sin embargo, tambin puede
utilizar ADSI (Active Directory Services Interface, en espaol, Interfaces de Servicio
de Active Directory), un conjunto de herramientas ofrecidas por Microsoft, que tienen
3
una interfaz orientada a objetos y que permiten el acceso a caractersticas de Active

Directory Domain Services que no estn soportadas por LDAP.
Dominio
Un Dominio es una coleccin de objetos dentro del directorio que forman un
subconjunto administrativo. Pueden existir diferentes dominios dentro de un bosque,
cada uno de ellos con su propia coleccin de objetos y unidades organizativas.
Para poner nombre a los dominios se utiliza el protocolo DNS. Por este motivo, Active
Directorynecesita al menos un servidor DNS instalado en la red. Ms adelante, en
este mismo apartado, definiremos los conceptos de bosque y unidad organizativa.
Objeto
La palabra Objeto se utiliza como nombre genrico para referirnos a cualquiera de los
componentes que forman parte del directorio, como una impresora o una carpeta
compartida, pero tambin un usuario, un grupo, etc. Incluso podemos utilizar la
palabra objeto para referirnos a una unidad organizativa.
Cada objeto dispondr de una serie de caractersticas especficas (segn la clase a la

que pertenezca) y un nombre que permitir identificarlo de forma precisa.
4
Como veremos ms adelante, las caractersticas especficas de cada tipo de objeto

quedarn definidas en el Esquema de la base de datos.
En general, los objetos se organizan en tres categoras:
o Definicin de usuario:
Desde un punto de vista informtico, un usuario es un conjunto de permisos y
de privilegios sobre determinados recursos.
En este sentido, un usuario no tiene que ser, necesariamente, una persona.
Usuarios: identificados a travs de un nombre (y, casi siempre, una
contrasea), que pueden organizarse en grupos, para simplificar la
administracin.
o Recursos: que son los diferentes elementos a los que pueden acceder, o no, los
usuarios segn sus privilegios. Por ejemplo, carpetas compartidas, impresoras,
etc.
o Servicios: que son las diferentes funciones a las que los usuarios pueden tener
acceso. Por ejemplo, el correo electrnico.
Cuando instalamos Active Directory en un ordenador con Windows Server 2012 R2,
convertimos a ese ordenador en un Controlador de dominio .
Existen objetos que pueden contener a su vez otros objetos, como es el caso de
los grupos de usuarios y de las unidades organizativas.
Controlador de dominio
Un Controlador de dominio (domain controller) contiene la base de datos de objetos
del directorio para un determinado dominio, incluida la informacin relativa a la
seguridad. Adems, ser responsable de la autenticacin de objetos dentro de su
5
mbito de control (facilitarn la apertura y el cierre de sesin, las bsquedas en el

directorio, etc.).
En un dominio dado, puede haber varios controladores de dominio asociados, de

modo que cada uno de ellos represente un rol diferente dentro del directorio. Sin
embargo, a todos los efectos, todos los controladores de dominio, dentro del mismo
dominio, tendrn la misma importancia.
rboles
Un rbol es simplemente una coleccin de dominios que dependen de una raz comn
y se encuentra organizados como una determinada jerarqua. Dicha jerarqua tambin
quedar representada por un espacio de nombres DNS comn.
De esta forma, sabremos que los dominios somebook.es e

informtica.somebooks.es forman parte del mismo rbol, mientras que
sliceoflinux.com y somebooks.es no.
El objetivo de crear este tipo de estructura es fragmentar los datos del Directorio
Activo, replicando slo las partes necesarias y ahorrando ancho de banda en la red.
Si un determinado usuario es creado dentro de un dominio, ste ser reconocido

automticamente en todos los dominios que dependan jerrquicamente del dominio al
que pertenece.
6
Bosque
El Bosque es el mayor contenedor lgico dentro de Active Directory, abarcando a
todos los dominios dentro de su mbito. Los dominios estn interconectados
por Relaciones de confianza transitivas que se construyen automticamente (consultar
ms adelante el concepto de Relacin de confianza). De esta forma, todos los
dominios de un bosque confan automticamente unos en otros y los diferentes
rboles podrn compartir sus recursos.
Como ya hemos dicho, los dominios pueden estar organizados jerrquicamente en un

rbol que comparte un espacio de nombres DNS comn. A su vez, diferentes rboles
pueden estar integrados en un bosque. Al tratarse de rboles diferentes, no
compartirn el mismo espacio de nombres.
De forma predeterminada, un bosque contiene al menos un dominio, que ser

el dominio raz del bosque. En otras palabras: cuando instalamos el primer dominio en
un ordenador de nuestra red que previamente dispone de Windows Server 2012 R2,
adems del propio dominio, estamos creando la raz de un nuevo rbol y tambin la
raz de un nuevo bosque.
El dominio raz del bosque contiene el Esquema del bosque, que se compartir con el
resto de dominios que formen parte de dicho bosque (consultar el concepto
de Esquema ms adelante).
7
Unidad Organizativa
Una Unidad Organizativa es un contenedor de objetos que permite organizarlos en
subconjuntos, dentro del dominio, siguiendo una jerarqua. De este modo, podremos
establecer una estructura lgica que represente de forma adecuada nuestra
organizacin y simplifique la administracin.
Otra gran ventaja de las unidades organizativas es que simplifican la delegacin de

autoridad (completa o parcial) sobre los objetos que contienen, a otros usuarios o
grupos. Esta es otra forma de facilitar la administracin en redes de grandes
dimensiones.
Esquema
En Active Directory Domain Services se utiliza la palabra Esquema para referirse a la
estructura de la base de datos. En este sentido, utilizaremos la palabra atributo para
referirnos a cada uno de los tipos de informacin almacenada.
Tambin suele emplearse una terminologa orientada a objetos, donde la

palabra Clase se referir a un determinado tipo de objetos (con unas propiedades
determinadas), mientras que un objeto determinado recibe el nombre de instancia. Por
8
ejemplo, podramos pensar que la clase usuario es una plantilla que definir a cada
uno de los usuarios (que sern instancias de la clase usuario).
Sitio
Un Sitio es un grupo de ordenadores que se encuentran relacionados, de una forma
lgica, con una localizacin geogrfica particular.
En realidad, pueden encontrarse fsicamente en ese lugar o, como mnimo, estar

conectados, mediante un enlace permanente, con el ancho de banda adecuado.
En otras palabras, un controlador de dominio puede estar en la misma zona geogrfica

de los clientes a los que ofrece sus servicios o puede encontrarse en el otro extremo
del planeta (siempre que estn unidos por una conexin adecuada). Pero en cualquier
caso, todos juntos formarn el mismo sitio.
Relaciones de confianza
En el contexto de Active Directory, las Relaciones de confianza son un mtodo de
comunicacin seguro entre dominios, rboles y bosques. Las relaciones de confianza
permiten a los usuarios de un dominio del Directorio Activo autenticarse en otro
dominio del directorio.
Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales.

Adems, las relaciones de confianza pueden ser transitivas (A confa en B y B confa
en C, luego A confa en C).
Maestro de Operaciones
Cada cuenta creada en el dominio recibe un SID (Security ID) nico que no se
reutiliza.
El SID est formado por tres partes:
Un identificador asignado por ISO para dominios Microsoft
Un identificador del dominio (compartido por todas las cuentas del dominio)
9
Un nmero asignado de forma secuencial, a partir de 1000, llamado RID (Relative

Identifier)
Como hemos dicho al principio de este captulo, cuando disponemos de

varios controladores de dominio en un mismo dominio, se puede replicar la
informacin contenida en la base de datos a los diferentes controladores a travs de
la red con el objetivo de descentralizar diferentes operaciones (por ejemplo, la
autenticacin de usuarios) y agilizar su funcionamiento.
Sin embargo, existe un conjunto especializado de tareas que deben estar

centralizadas en un controlador de dominio especfico para evitar inconsistencias.
Este controlador de dominio especial recibe el nombre de Maestro de
Operaciones o FSMO ( de Flexible Single Master Operations).
Para entender la situacin, vamos a poner un ejemplo: Supongamos que

el administrador de un controlador de dominio realiza una modificacin en el
esquema del dominio al mismo tiempo que, un segundo administrador, desde un
controlador distinto, realiza una modificacin que resulta incompatible con la primera.
Como podrs imaginar, cuando se produzca la replicacin de la base de datos,
estaremos en un aprieto.
Pues bien, para evitar este tipo de situaciones, slo uno de los controladores del
dominio podr realizar este tipo de cambios.
Las acciones (tambin llamadas roles) que slo pueden realizarse desde el Maestro
de operaciones son slo cinco y se incluyen en la siguiente tabla:
10
4.3. Instalar un dominio bsico desde la

interfaz grfica
En realidad, la instalacin de un dominio en Windows Server 2012 R2 se divide en dos
subtareas: primero tendremos que instalar el rol Servicios de dominio de Active
Directory en el servidor y despus convertiremos (promocionaremos) el servidor en
un controlador de dominio.
Instalar el rol Servicios de dominio de Active Directory

Cuando iniciamos sesin con la cuenta de Administrador en Windows Server 2012
R2, lo normal es que se abra automticamente la ventana del Administrador del
servidor, pero si la has cerrado, recuerda que aprendimos en el captulo anterior cmo
volver a abrirla de una forma muy sencilla. La cuestin es que para iniciar la
instalacin de un dominio en nuestro servidor, necesitamos partir de esta ventana.
Para comenzar, haremos clic sobre el enlace Agregar roles y caractersticas de la

pgina principal de la ventana
11
1
Si no estamos en la pgina principal, tambin podemos recurrir al men Administrar,
que contiene una opcin con el mismo ttulo.
Puede que el servidor no pueda atendernos de forma inmediata porque se encuentre

recopilando datos. Si esto es as, adems de una ventana de aviso, observaremos que
los cuadros de estado de la parte inferior se han puesto de color rojo.
2
Slo tenemos que hacer clic sobre el botn Aceptar y esperar unos instantes.
12
Poco despus, observaremos que al menos se habr puesto de color verde el cuadro
de la izquierda.
3
En ese momento volveremos a hacer clic sobre el enlace Agregar roles y
caractersticas.
13
En ese momento se iniciar el Asistente para agregar roles y caractersticas. Este

asistente no es especfico de Active Directory, sino que nos puede guiar a travs de la
instalacin de otras funciones tan diversas como DNS, Internet Information
Server (IIS), fax, etc.
Es importante seguir las recomendaciones del propio asistente en cuanto a

asegurarnos de que la contrasea de la cuenta de Administrador es segura, que la
configuracin de red es correcta, que disponemos de direcciones IP estticas y que
hemos instalado las ltimas actualizaciones de seguridad en el sistema operativo.
4
Una vez que todo sea correcto, hacemos clic en el botn Siguiente.
14
Como vemos en la siguiente imagen, ahora tenemos la posibilidad de instalar los

servicios de escritorio remoto de forma independiente. Sin embargo, de momento slo
nos centraremos en la instalacin de roles y caractersticas.
5
Elegimos Instalacin basada en caractersticas o en roles y hacemos clic sobre el
botn Siguiente.
15
Una caracterstica muy interesante que se ha aadido al Administrador del

Servidor de Windows Server 2012 es la posibilidad de usar el Asistente para Agregar
roles y caractersticas para instalarlas en el disco duro virtual (VHD) sin que ste
tenga que estar unido a una mquina virtual (o que lo est, pero que la mquina virtual
est apagada). Esto facilita los cambios en una instalacin virtual a la vez que reduce
el esfuerzo administrativo.
Si necesitamos cubrir esta tarea, en el siguiente paso elegiremos la opcin Seleccionar

un disco duro virtual.
Sin embargo, en nuestro caso, necesitamos instalar el rol del Directorio Activo en el
sistema con el que estamos trabajando, por lo que la opcin elegida ser Seleccionar
un servidor del grupo de servidores. De esta forma, obtendremos una lista con los
servidores de nuestra red local que ejecutan Windows Server 2012. Lgicamente, slo
se muestran los servidores que estn funcionando y se haya completado su
recopilacin de datos.
En nuestro caso, slo aparece el servidor en el que estamos trabajando.
6
Hacemos clic sobre su entrada y, a continuacin, sobre el botn Siguiente.
16
En la siguiente etapa, tendremos que elegir el servicio o servicios que queremos

instalar. Ya dijimos que, para que Active Directory funcione correctamente, es preciso
tener instalado un Servidor DNS. Sin embargo, aqu lo dejaremos sin seleccionar para
comprobar que, ms adelante, el asistente habr seleccionado de forma
predeterminada.
Observa que, a la derecha de la lista, en el cuadro Descripcin, aparece una breve

explicacin del rol sobre el que nos encontremos en ese momento.
7
Activamos la entrada Servicios de dominio de Active Directory.
17
Al hacerlo, el asistente nos muestra un aviso indicando que los servicios elegidos
dependen de otros roles y caractersticas que necesitaremos instalar tambin de forma
complementaria.
8
Nos limitamos a hacer clic sobre el botn Agregar caractersticas.
18
Al hacerlo, comprobamos que la lnea Servicios de dominio de Active Directory ya

aparece seleccionada.
9
Para continuar, hacemos clic sobre el botn Siguiente.
19
Despus de seleccionar los roles, el asistente nos ofrece la posibilidad de instalar

caractersticas. En nuestro caso, aprovecharemos para instalar Administracin de
directivas de grupo, de forma que centralicemos en una sola herramienta las
directivas de grupo de toda la instalacin.
10
Una vez elegida la caracterstica, hacemos clic sobre el botn Siguiente.
20
Podemos definir el concepto de rol como un servicio que el equipo ofrece a los
clientes de la red. Por el contrario, una caracterstica es una funcin que usa el
servidor para llevar a cabo su propia labor.
Despus de esto, aparece una pantalla informativa que debemos leer atentamente.
Quizs uno de los aspectos ms interesantes de esta ventana es la recomendacin de
instalar al menos dos controladores de dominio para un determinado dominio, con el
fin de aumentar la disponibilidad de la infraestructura de red.
Tambin nos recuerda la necesidad de disponer de un servidor DNS y nos informa de

que se instalar el servicio de espacio de nombres y los de replicacin, que son
necesarios para el servicio de directorio.
11
Cuando estemos seguros de haber entendido toda la informacin, haremos clic en el
botn Siguiente.
21
Antes de proceder con la instalacin, tenemos la oportunidad de marcar la

opcin Reiniciar automticamente el servidor de destino en caso necesario. Al hacerlo
aparece un cuadro de dilogo que nos advierte de que al marcar la opcin, pueden
producirse reinicios sin notificaciones previas.
12
En nuestro caso, haremos clic sobre el botn S.
22
Por ltimo, en la pantalla que resumen de la instalacin, podemos comprobar los

distintos roles y caractersticas que van a instalarse. Como es habitual, si observamos
algn error, podemos usar el botn Anterior para retroceder hasta el paso adecuado y
realizar las modificaciones.
13
Sin embargo, si todo es correcto, haremos clic sobre el botn Instalar.
23
A partir de aqu, en la parte superior de la ventana podremos ver una barra de

progreso que nos mantiene informados del avance de la instalacin.
Observa que ya puedes cerrar el asistente y el proceso de instalacin no se

interrumpir. Si lo haces, podrs consultar el avance de la tarea o abrir la ventana del
asistente usando el icono que aparece en la parte superior del Administrador

del servidor.
14
En nuestro caso, nos limitamos a esperar.
24
Cuando termine la instalacin, aparecer un enlace con el texto Promover este

servidor a controlador de dominio.
15
Bastar con hacer clic sobre el enlace para iniciar el paso siguiente
25
Promocionar el servidor como controlador de dominio

Como hemos dicho ms arriba, despus de realizar la instalacin del rol Servicios de
dominio de Active Directory, bastar con hacer clic sobre el enlace Promover este
servidor a controlador de dominio de la ltima pantalla del asistente, para iniciar la
promocin.
Sin embargo, si hubisemos cerrado la ventana, tambin podremos hacer uso del
icono que aparece en la parte superior del Administrador del servidor.
1
En cualquier caso, hacemos clic en el enlace Promover este servidor a controlador de
dominio.
26
Al hacerlo, se abrir la ventana del Asistente para configuracin de Servicios de

dominio de Active Directory.
En la primera pantalla, deberemos indicar el tipo de operacin que queremos

implementar:
o Agregar un controlador de dominio a un dominio existente.
o Agregar un nuevo dominio a un bosque existente.
o Agregar un nuevo bosque.
Lgicamente, como en este caso estamos partiendo de una situacin en la que no

disponemos de infraestructura previa, la opcin que deberemos elegir es la ltima.
Cuando lo hagamos, en la parte inferior se nos solicitar el dominio raz para el nuevo
bosque. Si disponemos de un dominio registrado en Internet, aqu incluiremos el
nombre de dicho dominio (p. ej.somebooks.es). Sin embargo, de momento
supondremos que no es as y terminaremos nuestro dominio en .local (p.
ej. somebooks.local).
27
2
Cuando hayamos escrito el nombre, hacemos clic en Siguiente.
Microsoft recomienda que todos los controladores de dominio sean tambin

servidores DNS para asegurar que Active Directory est siempre disponible.
En el siguiente paso (Opciones del controlador) indicamos el nivel de funcionalidad del

controlador. Si no tenemos en la red controladores de dominio que ejecuten ms
antiguas de Windows Server, deberemos elegir Windows Server 2012 R2(que ser el
valor predeterminado).
Lgicamente, tambin podemos elegir un nivel de funcionalidad con Windows Server

2008 o (2008 R2) si pensamos aadir este tipo de controladores ms adelante.
Como cabe esperar, cuanto ms antiguo sea el nivel de funcionalidad que elijamos,
ms limitadas se vern las prestaciones de nuestro rbol de dominios.
Bajo el epgrafe Especificar capacidades del controlador de dominio, indicaremos que

el equipo tambin actuar como Servidor de Nombres de Dominio (DNS). Adems,
28
aparecen dos opciones ms: Catlogo global (GC) y Controlador de dominio de solo
lectura (DSRM).
El primero aparecer seleccionado de forma obligatoria porque todo dominio debe

tener un catlogo global y estamos instalando el nico controlador que hay ahora
mismo en la red.
Del mismo modo, dado que el servidor actual es nico, no puede ser de slo lectura.
Por ltimo, antes de cambiar de pgina, deberemos escribir la contrasea del modo de
restauracin de servicios de directorio (DSRM). Como es habitual, se escribe por
duplicado para evitar errores tipogrficos.
3
Finalmente, hacemos clic sobre el botn Siguiente.
En el siguiente paso, Opciones de DNS, si dispusisemos una infraestructura DNS

anterior a la instalacin del dominio, deberamos especificar si deseamos crear en
dicha infraestructura una delegacin para el servidor DNS que vamos a instalar ahora.
29
Sin embargo, como no se encuentra un Servidor DNS principal, Windows Server nos
muestra una ventana de aviso y nos informa de que, en caso de que sea necesaria,
habr que hacer dicha delegacin a mano.
4
Como no es el caso, basta con hacer clic sobre el botn Aceptar de la ventana de
aviso y despus clic sobre el botn Siguiente de la ventana principal del asistente.
El nombre NetBIOS puede tener hasta 15 caracteres formado por letras (maysculas o
minsculas), dgitos o guiones (-), aunque no puede ser enteramente numrico.
A continuacin, en el paso Opciones adicionales, el asistente sugiere un

nombre NetBIOS para el dominio raz del bosque. Lgicamente, podemos aceptar el
nombre que nos propone o indicar cualquier otro.
En nuestro caso, el nombre sugerido nos parece bien, por lo que lo dejamos tal cual.
5
Para seguir, hacemos clic sobre el botn Siguiente.
30
Los archivos de registro tambin suelen llamarse archivos log.
Despus de esto, en el apartado Rutas de acceso, el asistente nos pregunta dnde

queremos almacenar los archivos de trabajo de Active Directory (la base de datos, los
archivos de registro y la carpeta SYSVOL).
Puede ser una opcin interesante que los archivos de registro y la base de datos se
almacenen en volmenes separados. De esta forma mejorar el rendimiento (ya que
se podr acceder a ambos archivos de forma simultnea) y las posibilidades de
recuperacin de los datos si se producen problemas.
A pesar de todo, en la ventana aparece de forma predeterminada una ubicacin de la
unidad C. El motivo es muy sencillo: no tenemos otra.
6
Por lo tanto, nos limitamos a hacer clic en Siguiente.
31
En el apartado Revisar opciones, como cabe esperar, el asistente muestra un resumen

del proceso de instalacin. Debemos revisarlo para asegurarnos de que no hemos
cometido errores en los pasos anteriores. Como es habitual, disponemos del
botn Anterior para resolver cualquier error que podamos observar.
7
Si todo es correcto, basta con hacer clic sobre el botn Siguiente.
32
Tambin disponemos del botn Ver script, que nos permite obtener un script de
PowerShell para automatizar una instalacin como esta sin tener que volver a
introducir de nuevo todos los datos.
33
Por ltimo, en el apartado Comprobacin de requisitos, se verifica que el sistema

cumple todas las condiciones para convertirse en un controlador de dominio.
Como puedes ver en la imagen siguiente, pueden aparecer algunos avisos, como el
que nos informa de que no puede crearse una delegacin para el servidor DNS que
estamos a punto de instalar (ya comentamos esta circunstancia ms arriba). Tambin
pueden aparecer errores que impidan la instalacin del controlador de dominio. En
estos casos, no podremos continuar hasta que no los resolvamos.
8
Como en nuestro sistema no han aparecido errores, podemos hacer clic sobre el
botn Instalar para completar la operacin.
34
Durante el proceso de instalacin seguirn apareciendo mensajes informativos que

deberemos tener en cuenta para una futura configuracin del servidor.
9
Nos limitamos a esperar unos instantes.
35
Cuando termine la instalacin, el servidor se reiniciar automticamente.
10
Cuando aparezca el mensaje, hacemos clic sobre el botn Cerrar.
36
Al hacerlo, se inicia el proceso de reinicio
11
Slo tenemos que esperar a que se complete.
37
El proceso puede durar ms de lo normal, porque se est completando la

configuracin del sistema.
12
Cuando acabe, obtendremos la pantalla de bienvenida. Pulsamos las teclas Ctrl + Alt
+ Supr para autenticarnos.
Cuando finalmente se nos solicite la contrasea de la cuenta Administrador, veremos

que ahora la cuenta aparece precedida del nombre NetBios del dominio (en este
caso, SOMEBOOKS). Esta es la primera constatacin de que todo ha sido correcto.
Si, durante la instalacin, la contrasea que hemos escrito para iniciar en modo de
restauracin es diferente de la contrasea para la cuenta de usuario, debemos tener
en cuenta que la contrasea que escribimos aqu NO ES la que usaremos para iniciar
en el modo de restauracin.
13
Nos limitamos a escribir la misma contrasea que utilizbamos hasta ahora.
38
La primera vez que iniciemos sesin con la cuenta Administrador, tambin

observaremos que tarda bastante ms tiempo del normal. El motivo, de nuevo, es que
el rol que tiene esta cuenta dentro del sistema tambin ha cambiado y dichos cambios
se aplicarn en este momento.
Para finalizar, podremos asegurarnos de que todo el proceso ha sido correcto,

observando la pantalla de propiedades del equipo. Una de las formas ms sencilla de
conseguirlo es desde el men Metro.
14
Hacemos clic sobre el men Inicio.
39
De forma inmediata, la pantalla cambiar para mostrarnos el contenido del

men Metro.
15
Hacemos clic, con el botn derecho del ratn sobre el icono Este Equipo.
40
Cuando se muestre la ventana Sistema, podremos comprobar que los valores de los
campos Nombre completo del equipo y Dominio son correctos.
16
Despus de hacer la comprobacin, podemos cerrar la ventana para seguir
trabajando.
41
4.4. Degradar un controlador de dominio

desde la interfaz grfica
Aunque no es un trabajo que vayamos a realizar todos los das, en ocasiones
necesitaremos que un controlador de dominio que acta bajo Windows Server 2012
R2 deje de actuar como tal, por ejemplo cuando vamos a cambiar sus caractersticas
hardware, cuando vamos a modificar los servicios que ofrece o, sencillamente cuando
vamos a sustituirlo por un servidor ms potente.
En estos casos, los pasos que deberemos seguir son los siguientes:
Comenzaremos por abrir el Administrador del servidor, si an no lo est, y desplegar

el men Administrar.
1
En su interior elegimos la opcin Quitar roles y funciones.
42
Al hacerlo, se abrir la ventana del Asistente para quitar roles y caractersticas que,
en su primera pantalla nos recuerda algunas precauciones que debemos tener en
cuenta, como guardar datos del rol del servidor, migrar su configuracin, etc.
2
Si ya hemos tenido en cuenta todas estas cuestiones o simplemente no son
necesarias, como es nuestro caso, basta con hacer clic sobre el botn Siguiente.
43
Como de costumbre, el asistente nos da la opcin de actuar sobre un servidor fsico o

sobre un disco virtual. En nuestro caso, nos aseguramos de elegir Seleccionar un
servidor del grupo de servidores. Al hacerlo, aparecer en la parte inferior la lista de
servidores a la que tenemos acceso (en nuestro ejemplo, slo aparecer el servidor
local)
3
Lo seleccionamos y hacemos clic sobre el botn Siguiente.
44
En la pgina Quitar roles de servidor, buscamos en la lista de roles la

entrada Servicios de dominio de Active Directory.
4
Cuando la encontremos, hacemos clic sobre ella para desmarcarla.
45
Al hacerlo, se muestra un cuadro de dilogo que nos muestra las caractersticas que
requieren los servicios de dominio de Active Directory para funcionar. Esto significa
que, para eliminar los Servicios de dominio, tambin tendremos que eliminar las
caractersticas relacionadas.
5
Para continuar, hacemos clic sobre el botn Quitar caractersticas.
46
Despus de esto, el asistente realiza una validacin para averiguar si se cumplen

todas las condiciones que permitan desinstalar el rol, pero vuelve a aparecer un nuevo
cuadro de dilogo.
El motivo es evidente: Si recuerdas el proceso de instalacin, antes de promocionar el

controlador de dominio, tuvimos que instalar el rol Servicios de dominio de Active
Directory. Es lgico que ahora, para desinstalar el rol, tengamos que degradar antes
el controlador de dominio.
6
Por lo tanto, hacemos clic sobre el enlace Disminuir el nivel de este controlador de
dominio.
47
Al hacerlo, se abrir el Asistente para configuracin de Servicios de dominio de Active

Directory.
Cuando tenemos un controlador de dominio que no puede ponerse en contacto con

otros controladores durante la degradacin, los metadatos del bosque no podrn
actualizarse automticamente. Esto producir un error durante la degradacin. Para
evitarlo, deberemos elegir la opcin Forzar la eliminacin de este controlador de
dominio.
7
Hacemos clic sobre Forzar la eliminacin de este controlador de dominio.
48
En caso de que el controlador de dominio pertenezca a un bosque ms extenso, pero

en este momento no disponga de conexin, tambin elegiremos esta opcin, pero
despus tendremos que actualizar los metadatos de forma manual.
8
Para seguir, hacemos clic sobre el botn Siguiente.
49
En la pgina Advertencias, el asistente nos informa de roles que tiene alojados en

controlador de dominio en estos momentos. Para continuar, debemos marcar la
opcin Continuar con la eliminacin. Esto le confirma al asistente que estamos
seguros de eliminar cada uno de los roles indicados en la lista superior.
9
Despus, volvemos a hacer clic sobre el botn Siguiente.
50
A continuacin, debemos indicar la nueva contrasea para la cuenta de administrador.

Como es lgico, el Administrador del sistema pasar de ser un administrador del
dominio a ser un administrador local.
No hay nada que impida utilizar la misma contrasea que ya tenamos pero, en
cualquier caso, deber seguir las condiciones de seguridad impuestas por Windows
Server y que ya hemos comentado en otros momentos.
10
Escribimos la contrasea, por duplicado para evitar errores tipogrficos, y hacemos
clic sobre el botn Siguiente.
51
En la pgina Revisar opciones, el asistente nos vuelve a recordar que procederemos a

eliminar los Servicios de dominio de Active Directory sin actualizar los metadatos del
bosque.
Tambin tenemos la posibilidad de obtener un script de PowerShell para repetir esta

misma operacin en el futuro sin tener que recurrir a la interfaz grfica.
11
Para consultar el contenido del script, basta con hacer clic sobre el botn Ver script.
52
El asistente abre una nueva ventana del Bloc de notas mostrando el script. Como con
cualquier otro documento, podemos guardarlo para un uso posterior recurriendo al
men Archivo.
12
En caso de no necesitarlo podemos, sencillamente, cerrar la ventana
53
Ya slo quedar iniciar la degradacin del controlador de dominio
13
Hacemos clic sobre el botn Disminuir nivel.
54
A partir de aqu, el asistente muestra una barra de progreso que nos va indicando el
avance de la operacin.
14
Slo tenemos que esperar unos instantes.
55
Poco despus, el sistema comenzar a reiniciarse.
15
Hacemos clic sobre el botn Cerrar.
56
Cuando vuelva a arrancar, nos pedir de nuevo la contrasea de la

cuenta Administrador, pero si te fijas, ahora no va precedida por el nombre del
dominio. Esto significa que se trata del Administrador local. Adems, deberemos usar
la contrasea que hemos indicado en el paso 10.
16
Nos autenticamos para iniciar sesin.
Una vez iniciada la sesin, podemos volver a la ventana Sistema para comprobar que
el equipo ya no pertenece a ningn dominio
17
aunque sigue manteniendo el nombre DNS antiguo.
57
Hasta aqu, podramos pensar que ya hemos terminado el trabajo, pero, si lo piensas,
an no hemos desinstalado el rol Servicios de dominio de Active Directory, que es por
donde comenzamos este apartado. Por lo tanto, deberemos volver al Administrador
del servidor y desplegar el men Administrar.
18
En su interior elegimos la opcin Quitar roles y funciones.
58
Como antes, al hacerlo se abrir la ventana del Asistente para quitar roles y
caractersticas.
19
Como supongo que ya has tenido en cuenta sus recomendaciones al principio de este
apartado, basta con hacer clic sobre el botn Siguiente.
59
En la pgina Seleccionar servidor de destino, nos aseguramos de elegir Seleccionar

un servidor del grupo de servidores y, en la parte inferior, el equipo sobre el que
estamos trabajando.
20
Despus, hacemos clic sobre el botn Siguiente.
60
En la pgina Quitar roles de servidor, buscamos en la lista de roles la

entrada Servicios de dominio de Active Directory.
21
Cuando la encontremos, hacemos clic sobre ella para desmarcarla.
61
Como en otras ocasiones, el asistente nos informa de las caractersticas que requieren
los Servicios de dominio de Active Directory para funcionar, lo que significa que, al
eliminar los Servicios de dominio, lo razonable es eliminar tambin las caractersticas
relacionadas.
22
Para continuar, hacemos clic sobre el botn Quitar caractersticas.
62
Si no hemos instalado ningn otro servicio que requiera el uso de DNS, tambin sera
recomendable eliminar este rol. De esta forma, ahorramos tiempo de ejecucin y
capacidad de almacenamiento en el servidor.
23
Hacemos clic sobre la casilla de verificacin que hay junto a Servidor DNS. Despus,
hacemos clic sobre el botn Siguiente.
63
En la pgina Caractersticas no tenemos nada que cambiar.
24
Sencillamente, hacemos clic sobre el botn Siguiente.
64
Despus de esto, el asistente nos muestra un resumen de los roles y caractersticas

que estamos a punto de eliminar.
25
Tambin tenemos la opcin de hacer clic sobre Reiniciar automticamente el servidor
de destino en caso necesario.
65
Al hacerlo, el asistente nos muestra un cuadro de dilogo avisndonos de que,

cuando sea necesario, el servidor se reiniciar si previo aviso.
26
Hacemos clic sobre el botn S.
66
Despus de esto, ya podemos iniciar el proceso de desinstalacin
27
Hacemos clic sobre el botn Quitar.
67
A continuacin, el asistente nos muestra una barra de progreso para que podamos
seguir el avance de la desinstalacin.
28
Nos limitamos a esperar unos instantes
Poco despus, se produce un reinicio del sistema, aunque como comprobaremos ms

adelante, la desinstalacin an no ha terminado.
29
y seguimos esperando.
68
Cuando lleguemos a la pantalla de autenticacin, iniciamos sesin de nuevo.
30
Escribimos la contrasea de la cuenta Administrador.
69
Y comprobamos que se inicia el Administrador del servidor (como es habitual) e

inmediatamente el Asistente para quitar roles y caractersticas.
Veremos que la barra de progreso sigue incompleta.
31
Cuando concluya, hacemos clic sobre el botn Cerrar.
70
Despus de esto, habrn desaparecido del servidor tanto el rol AD DS como el rol
DNS.
4.5. Instalar un dominio bsico sin interfaz

grfica
Puedes encontrar mucha ms informacin sobre PowerShell en la siguiente direccin:
http://technet.microsoft.com/es-es/scriptcenter/powershell.aspx
En los apartados anteriores aprendimos a instalar un controlador de dominio bsico

para Windows Server 2012 R2utilizando la interfaz grfica. Ahora veremos lo sencillo
que puede resultar llevar a cabo el mismo trabajo utilizando la lnea de comandos.
Un aspecto que debemos tener muy presente es que, aunque aqu vamos a trabajar
sobre la versin Server Core, esta misma tarea podramos completarla desde la lnea
de comandos de un ordenador equipado con la versin completa de Windows Server
2012 R2.
71
El trabajo lo realizaremos utilizando los cmdlets que incorpora PowerShell para esta
tarea, por lo que lo primero que haremos ser ejecutar el propio PowerShell.
1
Escribimos el nombre de la interfaz de consola y pulsamos la tecla Intro.
Las herramientas de gestin se incluyen automticamente al instalar desde la interfaz

grfica, pero no ocurre lo mismo en modo texto.
Como ocurra cuando usamos la interfaz grfica, lo primero ser instalar el

rol Servicios de dominio de Active Directory, pero para lograrlo en este caso,
deberemos recurrir al cmdletInstall-WindowsFeature que, como recordars, ya
utilizamos en el captulo 2.
En este caso, la caracterstica que vamos a instalar se llama AD-Domain-Services.

Adems, de paso, aprovecharemos para instalar todas las herramientas de gestin
que puedan aplicarse a esta caracterstica, lo que conseguimos con el argumento -
IncludeManagementTools. En definitiva, la sintaxis del cmdlet que vamos a utilizar
es la siguiente:
72
Install-WindowsFeature -Name AD-Domain-Services -

IncludeManagementTools
Puedes encontrar ms informacin sobre el cmdlet Install-WindowsFeature en la

direccin http://technet.microsoft.com/en-us/library/jj205467.aspx
2
Escribimos el cmdlet y pulsamos la tecla Intro.
Despus de esto, veremos una barra de progreso (bueno, mas o menos, porque la
lnea de comandos tampoco es que de muchas alegras estticas), que nos indica el
avance de la instalacin.
3
73
Al final de la instalacin aparece un pequeo resumen del resultado. En el ejemplo

podemos ver que se ha completado satisfactoriamente (Success = True), que no es
necesario reiniciar (Restart Needed = No), que el cmdlet ha ofrecido un resultado
satisfactorio (Exit Code = Success) y que se han instalado los Servicios de dominio
de Active Directory.
Tambin se realiza una anlisis del estado actual del servidor y, segn los resultados
obtenidos, pueden mostrarse algunas recomendaciones.
4
En este caso, ha detectado que las actualizaciones automticas estn deshabilitadas y
nos recomienda activarlas.
74
A continuacin, importaremos el mdulo ADDSDeployment a la sesin de trabajo

actual. Este mdulo incorpora los cmdlets que se utilizan en la implementacin
de servicios de dominio de Active Directory.
La sintaxis que usaremos es la siguiente:
Import-Module ADDSDeployment
Si necesitas conocer todos los cmdlets que se importan con el mdulo

ADDSDeployment, puedes recurrir a la direccin http://technet.microsoft.com/en-
us/library/hh974719.aspx
5
75
Si has consultado el enlace de ms arriba, habrs observado que existen varios

cmdlets que estn relacionados con la instalacin del Directorio Activo: Install-
ADDSDomain, Install-ADDSDomainController y Install-ADDSForest. Como puedes
deducir fcilmente, el primero instala un dominio, el segundo un controlador de
dominio y el tercero un bosque.
Es evidente que un bosque no puede crearse sin crear ningn dominio y, del mismo
modo, tanto el bosque como el dominio necesitan de la existencia de, como mnimo,
un controlador de dominio.
En definitiva, dependiendo de la estructura que ya tengamos, deberemos utilizar

un cmdlet u otro. Por ejemplo, en nuestro caso, estamos comenzando desde cero y no
tenemos creada ninguna parte de la infraestructura, por lo que, si comenzamos
creando el bosque, se crear automticamente el resto de la estructura. De hecho, si
observas el script que cre automticamente la interfaz grfica cuando realizamos all
la instalacin, el cmdlet que us fue Install-ADDSForest.
Podramos, como all, aportar todos los argumentos necesarios, pero resulta ms
cmodo no escribir nada y que el cmdlet nos pida lo imprescindible y asigne valores
predeterminados al resto. Por lo tanto, nos limitamos a escribir esto:
76
Install-ADDSForest
Si quieres conocer los diferentes argumentos que puedes aadir a Install-

ADDSForest, te recomiendo que visites la pgina http://technet.microsoft.com/en-
us/library/hh974720.aspx
6
Una vez escrito el cmdlet y pulsamos la tecla Intro.
A continuacin, el sistema nos pide el nombre que tendr el dominio (DomainName) y

la contrasea de administracin para el modo seguro
(SafeModeAdministratorPassword).
Como es lgico, la contrasea deber seguir los parmetros de seguridad exigidos

por Windows Server 2012 R2.
7
Escribimos los valores adecuados y pulsamos la tecla Intro.
77
Al hacerlo, nos aparece un aviso que nos informa de que nuestro servidor se
convertir en un controlador de dominio tras esta operacin y que, al terminar, se
producir un reinicio de forma automtica
8
Para continuar escribimos la tecla S y despus Intro (o slo Intro, porque la respuesta
afirmativa es la predeterminada).
78
A partir de ah, el cmdlet comprueba si el equipo cumple las condiciones para realizar
una instalacin satisfactoria
9
Nosotros slo tenemos que esperar unos instantes.
79
Una vez que se han superado todas las validaciones, comienza la instalacin del
nuevo bosque.
10
mientras, nosotros, seguiremos esperando.
80
Cuando termine, comenzar el reinicio del equipo
11
Hacemos clic sobre Cerrar para continuar.
81
Cuando termine el proceso de reinicio, que puede tardar ms de lo normal porque el

sistema aprovecha para terminar las configuraciones, ya podremos autenticarnos
como administradores del dominio. De hecho, observa que el nombre de la
cuenta Administrador aparece precedido del nombre NetBIOS del dominio
12
Escribimos la contrasea y pulsamos la tecla Intro.
82
Para comprobar que todo es correcto, podemos volver a utilizar el

comando sconfig que ya conocemos del captulo anterior.
13
.. Y comprobamos que el nombre del dominio es correcto.
83
4.4. Degradar un controlador de dominio sin

interfaz grfica
Ya aprendimos en el apartado 4.4 cmo Degradar un controlador de dominio desde la
interfaz grfica. Sin embargo, si lo que tenemos instalado es la versin Server
Core del sistema operativo Windows Server 2012 R2 y necesitamos degradar un
controlador de dominio, la forma ms evidente de hacerlo es recurriendo a PowerShell.
En realidad, se trata de un proceso muy sencillo, como veremos a continuacin
1
Como hicimos en el apartado anterior, lo primero ser ejecutar PowerShell.
84
A continuacin, importaremos el mdulo ADDSDeployment a la sesin de trabajo

actual para incorporar los cmdlets relacionados con los servicios de dominio de Active
Directory.
Como en el apartado anterior, la sintaxis que usaremos es la siguiente:
Import-Module ADDSDeployment
2
85
Al importar el mdulo ADDSDeployment hemos aadido

a PowerShell el cmdlet Uninstall-ADDSDomainController que, como puedes deducir,
sirve para degradar un controlador de dominio en Active Directory.
Para nuestros fines, lo utilizaremos con la siguiente sintaxis:
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true
-ForceRemoval:$true -Force:$true
El argumento DemoteOperationMasterRole indica que la degradacin debe continuar

incluso si se trata del maestro de operaciones del directorio activo. El
argumento ForceRemoval desinstalar AD DSaunque no haya conexin con ningn
otro controlador de dominio en la red. Por ltimo, para evitar que el cmdlet pueda
interrumpir su ejecucin, el argumento Force hace que no se tenga en cuenta ningn
aviso que pueda aparecer durante el proceso.
Si necesitas ms informacin sobre los argumentos que podemos utilizar con

Uninstall-ADDSDomainController, puedes consultar la pgina
http://technet.microsoft.com/en-us/library/hh974714.aspx
86
3
De nuevo, escribimos el cmdlet y pulsamos la tecla Intro.
Antes de continuar, el comando nos solicita el nuevo valor que se asignar a la

contrasea para la cuenta del Administrador local del equipo, una vez que haya
dejado de hacer las funciones de controlador de dominio.
Como siempre, podemos utilizar para la nueva contrasea el mismo valor que
estbamos usando como administrador del dominio pero, en cualquier caso, debemos
seguir las pautas habituales para que la contrasea sea segura.
4
Como es habitual, la contrasea se solicita por duplicado.
87
A partir de aqu comenzar el proceso de desinstalacin propiamente dicho.
5
Slo tenemos que esperar unos instantes.
88
Poco despus, el sistema comenzar su reinicio.
6
Hacemos clic sobre el botn Cerrar.
89
Como es de esperar, comenzar el proceso de reinicio. Adems, el sistema aprovecha

para modificar su configuracin y adaptarla a las nuevas circunstancias, por lo que el
proceso puede tardar ms de lo habitual.
7
Esperamos a que se complete el reinicio.
90
Al llegar a la pantalla de autenticacin, podemos observar que ya no aparece el

nombre de la cuenta Administrador precedido del nombre NetBIOS del dominio
8
Escribimos la contrasea y pulsamos la tecla Intro.
91
Para comprobar que todo es correcto, podemos volver a utilizar el

comando sconfig que ya conocemos del captulo anterior.
9
Y comprobamos que el equipo ya no pertenece al dominio
92
El servidor DNS se instal como requisito para implementar el dominio. Por este
motivo, parece lgico desinstalarlo ahora.
Puede parecer que ya hemos terminado la tarea. Sin embargo, del mismo modo que
tuvimos que aadir la caracterstica AD-Domain-Services antes de promocionar el
servidor a controlador de dominio. Ahora que hemos degradado el servidor,
deberemos desinstalar la caracterstica. De este modo, liberaremos espacio de
almacenamiento en disco. Para lograrlo, usaremos el cmdlet Uninstall-
WindowsFeature con la siguiente sintaxis:
Uninstall-WindowsFeature -Name AD-Domain-Services, DNS -

Confirm:$false
Como habrs supuesto, el argumento Name permite indicar la caracterstica o

caractersticas que deseamos eliminar (en este caso, AD-Domain-Services y DNS).
Por otro lado, el argumento Confirm, con el valor $false consigue que
el cmdlet presuponga que todas nuestras respuestas van a ser afirmativas y no nos
pregunte.
93
Si necesitas ms informacin sobre los argumentos que podemos utilizar con

Uninstall-WindowsFeature, puedes consultar la pgina http://technet.microsoft.com/en-
us/library/jj205471.aspx
10
Al momento, se mostrar una barra de progreso que nos indica el avance de la

instalacin.
11
94
Al terminar la instalacin aparece un pequeo resumen del resultado. En el ejemplo

podemos ver que se ha completado satisfactoriamente (Success = True), que ser
necesario reiniciar (Restart Needed = Yes), que el cmdlet ha ofrecido un resultado
satisfactorio, aunque con la necesidad de reiniciar (Exit Code = SuccessRestart) y que
se han desinstalado los Servicios de dominio de Active Directory.
Tambin se realiza un anlisis del estado actual del servidor y, segn los resultados
obtenidos, pueden mostrarse algunas recomendaciones.
12
En este caso, slo nos recomienda reiniciar el servidor para terminar el proceso de
eliminacin.
95
Hasta ahora, siempre hemos reiniciado con el comando shutdown, pero,

aprovechando que estamos ejecutando PowerShell, aprovecharemos para introducir
un nuevo cmdlet_
Restart-Computer
13
96
4.7. Herramientas relacionadas con la

administracin del Directorio Activo
En Windows Server 2012 R2, existen diferentes herramientas relacionadas con la
administracin del Directorio Activo. En este apartado vamos a referirnos las que,
probablemente, nos resultarn ms tiles. No obstante, aqu nos limitaremos a
mencionarlas y sern en los siguientes captulos cuando aprendamos a extraer toda
su potencia.
La primera herramienta se llama Usuarios y equipos de Active Directory. Con esta

herramienta, definiremos el modo en el que se utilizar nuestra infraestructura de red.
Como su nombre indica, la utilizaremos para crear y administrar las cuentas de usuario
que podrn utilizar los recursos del Directorio y las cuentas para los ordenadores
desde los que dichos usuarios podrn establecer su conexin, pero, adems, tambin
nos facilitar su organizacin en grupos y alguna otra caracterstica que estudiaremos
ms adelante.
1
97
Para abrirla, slo tenemos que desplegar el men Herramientas del Administrador
del Servidor y hacer clic sobre Usuarios y equipos de Active Directory.
2
Este es el aspecto de la ventana Usuarios y equipos de Active Directory.
98
Otra de las herramientas que podemos utilizar con frecuencia es Sitios y servicios de
Active directory. Con esta herramienta podremos disear la topologa de
nuestro Directorio Activo, creando y administrando los sitios que forman la estructura
geogrfica de la red y estableciendo vnculos entre ellos.
1
del Servidor y hacer clic sobre Sitios y servicios de Active directory.
99
2
Este es el aspecto de la ventana Sitios y servicios de Active directory.
100
Tambin utilizaremos a menudo la opcin Dominios y confianzas de Active Directory.

Esta herramienta nos permitir aumentar el nivel de funcionalidad del dominio para
aadir nuevas caractersticas al Directorio Activo o, incluso, establecer relaciones de
confianza entre dominios
1
del Servidor y hacer clic sobre Dominios y confianzas de Active directory.
2
Este es el aspecto de la ventana Dominios y confianzas de Active directory.
101
Finalmente, una de las operaciones que todo operador debe tener siempre presente
es el establecimiento de una poltica de copias de seguridad que le permitan dormir
tranquilo frente a las posibles situaciones de emergencia que amenacen la red.
En Windows Server 2012 R2 disponemos de una extraordinaria herramienta que nos
facilita este tipo de trabajos.
1
del Servidor y hacer clic sobre Copias de seguridad de Windows.
102
2
Este es el aspecto de la ventana Copias de seguridad de Windows.
103
De momento, nos conformaremos con nombrarlas, pero volveremos sobre ellas a lo

largo del libro.
4.8. Agrupar las herramientas ms usadas

Con la herramienta Microsoft Management Console (MMC), podemos crear grupos de
herramientas de forma que tengamos ms a mano las caractersticas de Windows
Server 2012 R2 que utilizamos con ms frecuencia. Estas agrupaciones reciben el
nombre de Consolas.
Las consolas se guardan en archivos con extensin .msc que podemos utilizar como
cualquier otro archivo del sistema (compartirlos con otros usuarios mediante una
carpeta de red, enviarlos por e-mail, etc).
Como cualquier otro archivo, se pueden asignar privilegios sobre l a determinados

usuarios o grupos, de forma que podamos delegar sobre ellos algunas tareas
administrativas particulares (lgicamente, los usuarios o grupos implicados debern
tener tambin privilegios para realizar las tareas contenidas en la consola).
Veamos a continuacin cmo podemos crear una nueva Consola:
1
Para comenzar, hacemos clic, con el botn derecho del ratn, sobre el botn Inicio y
elegimos Ejecutar
104
A continuacin, en la ventana Ejecutar, escribimos la orden mmc.
2
Y hacemos clic sobre el botn Aceptar.
105
3
Veremos que aparece una ventana con el ttulo Consola 1 [Raz de consola].
106
4
En el men Archivo, elegimos Agregar o quitar complemento
Observaremos que se abre la ventana Agregar o quitar complementos. Esta ventana

se divide, bsicamente, en dos paneles de complementos (disponibles y
seleccionados) y un grupo de botones a la derecha.
El funcionamiento bsico consiste en seleccionar uno o varios de los complementos de

la lista de la izquierda y hacer clic sobre el botn Agregar para pasarlos a la lista de la
derecha.
5
Los complementos que incluyamos en la lista de la derecha sern los que formen
parte de la Consola que estamos creando
107
Puede que al aadir alguna de las herramientas, como ocurre con las Copias de
seguridad de Windows, sea necesaria alguna configuracin complementaria. En ese
caso, ser suficiente con seguir las indicaciones del asistente que aparece.
6
En el caso de las Copias de seguridad de Windows, habr que indicar si se utilizar
para hacer copias de seguridad de este equipo o de otro equipo de la red.
108
Entre otras cosas, los botones de la derecha nos van a permitir eliminar de
la Consola algn componente que hayamos aadido por error, o modificar el orden en
el que se muestran.
7
Cuando hayamos concluido, haremos clic sobre el botn Aceptar.
109
8
Al volver a la ventana Consola 1 [Raz de consola] vemos que ya se han incluido todas
las herramientas elegidas.
110
Para volver a utilizarla en el futuro, slo tenemos que guardarla en un lugar que resulte
fcilmente accesible. Recuerda que se crear un archivo con el nombre que nosotros
elijamos y la extensin .msc.
9
Nos dirigimos al men Archivo y elegimos Guardar como
111
Elegimos una ubicacin, por ejemplo en el Escritorio, y escribimos el nombre que

queremos darle a la Consola.
10
En este caso, Herramientas comunes.
112
Despus de grabar, veremos que aparece un nuevo icono en el Escritorio. Ya

podemos cerrar la ventana, que ahora se titular Herramientas comunes [Raz de
consola].
11
Lgicamente, cuando queramos volver a utilizar la Consola, slo tenemos que hacer
doble clic sobre su icono
113
12
y volver a abrirse la ventana Herramientas comunes [Raz de consola].
114
13
Ahora, slo tendremos que desplegar las diferentes opciones en el panel de la
izquierda, para comenzar a trabajar con las herramientas elegidas.
115
116

Capítulo 4 Dominios en Windows Server 2012

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capítulo 4 Dominios en Windows Server 2012

Cargado por

Copyright:

Formatos disponibles

Ingeniera de Sistemas

SIS313 - Sistemas Operativos III U. M. R. P. S. F. X. CH.

o 4.1. Introduccin al concepto de directorio y dominio

o 4.2. Conceptos bsicos en una estructura de Directorio Activo

o 4.3. Instalar un dominio bsico desde la interfaz grfica

o 4.4. Degradar un controlador de dominio desde la interfaz grfica

o 4.5. Instalar un dominio bsico sin interfaz grfica

o 4.4. Degradar un controlador de dominio sin interfaz grfica

o 4.7. Herramientas relacionadas con la administracin del Directorio Activo

o 4.8. Agrupar las herramientas ms usadas

4.1. Introduccin al concepto de directorio y

AD DS puede almacenar informacin sobre la organizacin, sitios, ordenadores,

El motor de esta base de datos es el mismo que incorpora Microsoft Exchange

Adems de administrar polticas que sern vlidas en toda la organizacin, Active

Cuando utilizamos Active Directory, tenemos a nuestra disposicin herramientas de

En cuanto a la estructura del servicio de directorio, lo primero que debemos saber es

4.2. Conceptos bsicos en una estructura de

Una de las ventajas que ofrece Active Directory es que puede

una interfaz orientada a objetos y que permiten el acceso a caractersticas de Active

Cada objeto dispondr de una serie de caractersticas especficas (segn la clase a la

Como veremos ms adelante, las caractersticas especficas de cada tipo de objeto

En general, los objetos se organizan en tres categoras:

Desde un punto de vista informtico, un usuario es un conjunto de permisos y

de privilegios sobre determinados recursos.

En este sentido, un usuario no tiene que ser, necesariamente, una persona.

Usuarios: identificados a travs de un nombre (y, casi siempre, una

contrasea), que pueden organizarse en grupos, para simplificar la

usuarios segn sus privilegios. Por ejemplo, carpetas compartidas, impresoras,

acceso. Por ejemplo, el correo electrnico.

mbito de control (facilitarn la apertura y el cierre de sesin, las bsquedas en el

En un dominio dado, puede haber varios controladores de dominio asociados, de

De esta forma, sabremos que los dominios somebook.es e

Si un determinado usuario es creado dentro de un dominio, ste ser reconocido

Como ya hemos dicho, los dominios pueden estar organizados jerrquicamente en un

De forma predeterminada, un bosque contiene al menos un dominio, que ser

Otra gran ventaja de las unidades organizativas es que simplifican la delegacin de

Tambin suele emplearse una terminologa orientada a objetos, donde la

En realidad, pueden encontrarse fsicamente en ese lugar o, como mnimo, estar

En otras palabras, un controlador de dominio puede estar en la misma zona geogrfica

Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales.

El SID est formado por tres partes:

Un identificador asignado por ISO para dominios Microsoft

Un nmero asignado de forma secuencial, a partir de 1000, llamado RID (Relative

Como hemos dicho al principio de este captulo, cuando disponemos de

Sin embargo, existe un conjunto especializado de tareas que deben estar

Para entender la situacin, vamos a poner un ejemplo: Supongamos que

4.3. Instalar un dominio bsico desde la

Instalar el rol Servicios de dominio de Active Directory

Para comenzar, haremos clic sobre el enlace Agregar roles y caractersticas de la

Puede que el servidor no pueda atendernos de forma inmediata porque se encuentre

En ese momento se iniciar el Asistente para agregar roles y caractersticas. Este

Es importante seguir las recomendaciones del propio asistente en cuanto a

Como vemos en la siguiente imagen, ahora tenemos la posibilidad de instalar los

Una caracterstica muy interesante que se ha aadido al Administrador del

Si necesitamos cubrir esta tarea, en el siguiente paso elegiremos la opcin Seleccionar

En nuestro caso, slo aparece el servidor en el que estamos trabajando.

En la siguiente etapa, tendremos que elegir el servicio o servicios que queremos

Observa que, a la derecha de la lista, en el cuadro Descripcin, aparece una breve

Al hacerlo, comprobamos que la lnea Servicios de dominio de Active Directory ya

Despus de seleccionar los roles, el asistente nos ofrece la posibilidad de instalar

Tambin nos recuerda la necesidad de disponer de un servidor DNS y nos informa de

Antes de proceder con la instalacin, tenemos la oportunidad de marcar la

Por ltimo, en la pantalla que resumen de la instalacin, podemos comprobar los