Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 1

ACTIVE DIRECTORY - SEMINARIO TIC 08/09

CONCEPTOS GENERALES:
Antes de nada, y para entender las explicaciones que siguen, vamos a definir algunos
conceptos que hay que tener muy claros:
Servidor: Ordenador que forma parte de una red y provee servicios a otros
ordenadores de esa red a los cuales se denomina clientes.
Grupo de trabajo: Es una forma de agrupar ordenadores que sólo nos ofrece la
posibilidad de compartir recursos en la red. Cada ordenador del grupo se encarga de
forma individual de realizar el control de acceso a los recursos que pone a disposición de
los demás. Esta forma de agrupación se usa en redes con pocos ordenadores y no
permite la administración centralizada de los recursos ni otras posibilidades tales como
la movilidad de los usuarios en la red (perfiles móviles) o la definición de normas que se
aplicarán a los usuarios y equipos de nuestra red (políticas o directivas de grupo)
Dominio: Es una forma de agrupación de ordenadores cuyo objetivo fundamental es
que la seguridad de la red este centralizada en uno o más servidores. En ocasiones, la red
es demasiado grande para crear sólo un dominio, por lo que aparecen múltiples
dominios, cada uno de ellos con servidores que controlan los recursos de su dominio
(pensad en una multinacional con sedes en distintos países). En nuestro centro educativo
sólo necesitaremos un dominio con un servidor principal y otro de reserva por si el
primero falla.
Directorio Activo (Active Directory): es un servicio de directorio (base de datos)
utilizado para guardar información relativa a los recursos de red de un dominio. El
Directorio Activo permite a los administradores establecer políticas a nivel de empresa,
desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una
organización entera. Un Directorio Activo almacena información de una organización en
una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios
Activos con cientos de objetos para una red pequeña hasta Directorios Activos con
millones de objetos. Un Directorio Activo (DA) es una estructura jerárquica de objetos.
Los objetos se enmarcan en tres grandes categorías. — recursos (Ej: impresoras),
servicios (Ej: correo electrónico), y usuarios (cuentas, o usuarios y grupos). El DA
proporciona información sobre los objetos, los organiza, controla el acceso y establece la
seguridad.

Definidos los anteriores conceptos, vamos a intentar determinar cuál es la mejor forma
de usar Windows 2003 Server en nuestro centro educativo. Para ello, hemos de tener en
cuenta que un ordenador en el que se ejecute Windows 2003 puede desempeñar tres
funciones distintas en una red:
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 2

• Controlador de dominio: Es un servidor que se encarga de la seguridad de un

dominio, es decir, administra de forma centralizada toda la información
correspondiente a usuarios y recursos de su dominio. Todo dominio necesita al
menos un controlador.
• Servidor miembro: Es un equipo en el que se ejecuta Windows 2003 y pertenece al
dominio, pero que no actúa como controlador de dominio. Puede realizar funciones
de servidor de aplicaciones, de impresión, etc.
• Servidor independiente: Es cuando un servidor se incorpora a un grupo de trabajo en
lugar de a un dominio.

Un servidor al que le acabamos de instalar 2003 Server no puede ofrecernos apenas

servicios ya que por defecto no vienen instalados y es miembro de un grupo de trabajo.
Como mucho, podemos usarlo para albergar en él carpetas sin límite de usuarios
conectados a las mismas y que compartiremos con las máquinas del grupo de trabajo.
Tendríamos por tanto un Servidor Independiente.
Para obtener funcionalidad plena de un servidor con el sistema operativo de red
Windows 2003 Server, deberemos instalar el servicio de Directorio Activo (Active
Directory), el cual nos permitirá centralizar a nuestros usuarios, equipos y recursos
compartidos (carpetas, impresoras…) para así facilitarnos la administración de nuestra red.
Al instalar Active Directory, nuestro servidor se convertirá en un Controlador de Dominio.

Una vez instalado Windows 2003 Server en nuestro servidor, y antes de nada,
deberemos realizar las siguientes acciones en el orden que aparecen:
1. Instalarle un antivirus.

2. Desinstalar la “Configuración de seguridad mejorada de Internet Explorer”. Para

ello nos iremos a Panel de control => Agregar o quitar programas => Componentes
de Windows y desmarcaremos la casilla “Configuración de seguridad mejorada de
Internet Explorer”. La razón de desinstalar esto es por la comodidad de no tener que
pasar el tercer grado cuando nos conectamos a Internet desde el servidor.
Normalmente no usaremos el servidor para navegar y vosotros mismos podéis
comprobar lo molesto que resulta el hecho de conectarnos a un sitio cuando esta
característica está habilitada.

3. Configurar las propiedades de red asignando una IP, máscara, puerta de enlace y
servidores DNS de forma que nos podemos conectar a Internet desde él.

4. Conectarse a “Windows Update” para descargar e instalar todas las actualizaciones

que corrijan los posibles fallos de seguridad o mejoren la funcionalidad del software
instalado en nuestro servidor. Para ello iremos al menú de inicio y pulsaremos
“Windows Update”. Reiniciar y conectarse a “Windows Update” tantas veces como
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 3

sea necesario hasta que comprobemos que no quedan actualizaciones por instalar.
Hacer esto ahora, nos ahorrará quebraderos de cabeza en el futuro.

Una vez hechas las anteriores acciones pasaremos a instalar Active Directory. A título
de curiosidad se indican los requisitos mínimos que debe tener la máquina en la que vamos
a instalarlo:

• Microsoft Windows Server 2003 Standar Edition, Enterprise Edition o

Datacenter Edition.

• 250 Megabytes de espacio de disco. 200 MB para la base de datos de Active

directory y 50 MB para los logs de transacciones del directorio activo (las máquinas
que nos mandará el ISFTIC cumplen de sobra con los requisitos de hardware).

• Una partición o un volumen con formato NTFS (se entiende que la creamos
cuando instalamos 2003 Server). La partición NTFS se requiere para la carpeta
SYSVOL. Lo lógico es instalar el sistema operativo en una partición no muy grande
y organizar el resto del disco duro del servidor con una o más particiones para
guardar datos.

• Privilegios necesarios para crear el dominio (somos administradores de la

máquina).

• TCP/IP instalado (también lo hemos indicado en la instalación de 2003).

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 4

PASOS PARA INSTALAR ACTIVE DIRECTORY:

1. Ir a las propiedades de red e indicar como servidor DNS la propia IP del servidor.
Este mismo servidor nos prestará el servicio de DNS:

2. Ir a Inicio => Ejecutar y escribir el comando dcpromo.

3. Pulsamos siguiente.

4. Pulsamos siguiente.

5. Ahora nos da la opción de crear un dominio nuevo o añadir un controlador adicional

a un dominio existente. Nosotros vamos a crear un dominio nuevo por lo que
escogeremos esta opción y seguiremos adelante.

6. Nos preguntará que tipo de dominio queremos crear e indicaremos “Dominio en un

nuevo bosque”. Pulsamos siguiente.

7. Llegado este punto deberemos indicar el nombre del dominio que estamos creando.
Tenemos tres posibilidades a la hora de nombrar un dominio: utilizar el mismo
nombre que el dominio que tenemos registrado en Internet, utilizar un subdominio
de éste o utilizar un nombre distinto para el dominio de Windows. En nuestro caso
utilizaremos la tercera opción. Ej: “manjon.local”. Es importante poner .local .org
.com .es .edu... Pulsamos siguiente.

8. Si en la red tenemos equipos con sistemas operativos antiguos, no van a reconocer

el nombre del dominio tal como lo hemos escrito. Por lo tanto deberemos recurrir a
su nombre Netbios, que en nuestro ejemplo sería MANJON. Pulsamos siguiente.

9. Nos preguntará por la ubicación de la base de datos de Active Directory. Dejamos la

ubicación que viene por defecto y pulsamos siguiente.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 5

10. Crea la carpeta compartida del volumen del sistema. Esta estructura se replica para
todos los controladores de dominio que montemos en nuestro dominio. Contiene las
siguientes carpetas: La carpeta compartida SYSVOL que contiene la información de
las políticas de grupo y la carpeta compartida Net Logon, que contienen los logon
scripts para computadoras en las que no esta instalado Windows 2003 Server.

11. Nos aparecerá un error de diagnostico del servicio DNS ya que Active Directory
necesita de DNS para funcionar. Elegiremos la última opción que aparece por
defecto en la que se nos propone que este mismo servidor sea configurado como
servidor DNS: “Instalar y configurar este equipo de manera que utilice este
servidor DNS como el preferido”. Pulsamos siguiente.

12. Elegimos los permisos que nos vienen marcados por defecto (2000 o 2003) y
pulsamos siguiente.

13. En el siguiente paso deberemos introducir la contraseña del usuario Administrador

que se utilizará en el caso que necesitamos restaurar el directorio ante algún
desastre. En este punto debemos tener unas cuantas cosas claras:
• Al instalar el sistema operativo, se crea el usuario Administrador del equipo
(Administrador local) y se establece su contraseña.
• Al crear el dominio, se crea la cuenta Administrador del dominio, cuya contraseña
coincide con la del administrador local.
• Además, se permite modificar la contraseña del administrador local, ya que será
la que se utilice en el caso de que sea necesario restaurar el dominio. Esto es
lógico, ya que al restaurar el dominio, no puede estar funcionando el servicio
Active Directory, por lo que sólo podemos usar la cuenta del administrador local.
Tras poner esta contraseña, pulsamos siguiente.

14. Cuando llegamos al último paso, el asistente nos mostrará un resumen de la

configuración que hemos establecido en los pasos anteriores. Si alguna cosa no es
correcta, este será el momento de corregirla yendo hacia atrás. Pulsamos siguiente.

15. Para completar la instalación nos pedirá introducir el CD de Windows 2003 Server
para copiar algunos ficheros. Si estamos instalando 2003 Server en una máquina
virtual podemos introducir el CD físico o bien conectar al CD virtual una imagen
.iso de 2003, indicando su ruta en los settings de la máquina virtual. Pulsamos
aceptar. Ahora comenzará un proceso que tardará varios minutos y tras el cual se
nos pedirá que reiniciemos.
Si todo va bien el controlador de dominio estará instalado. Para comprobarlo
podemos ir a “Mis sitios de red” y observar que nos aparece el dominio que hemos
creado y que el único equipo que de momento tenemos es el servidor. Además en
Inicio => Programas => Herramientas administrativas habrán aparecido varios
complementos más relacionados con Active Directory siendo el que más usaremos
el de “Usuarios y equipos de Active Directory”.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 6

POLÍTICAS DE GRUPO:

Lo siguiente que haremos será instalar la nueva consola de administración de

políticas de grupo la cual podremos descargar en español del siguiente sitio:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887

Una vez instalado el paquete (gpmc.msi) deberemos reiniciar aunque no nos lo pide.
Podemos comprobar que podemos acceder a dicha herramienta desde Inicio => Programas
=> Herramientas administrativas => Administración de directivas de grupo
Nota: Aquellos que descargasteis la versión en inglés podéis desinstalar el paquete acudiendo a Inicio =>
Configuración => Panel de control => Agregar o quitar programas y desinstalarlo para posteriormente instalar
la versión en español.
Este paquete nos permitirá gestionar las políticas o directivas de grupo de nuestro
dominio que no son más que normas que aplicamos a nuestro sistema para definir como
queremos que funcionen determinadas cosas. La consola de administración de directivas
grupo nos permite cambiar la definición de normas que ya existen o crear otras nuevas. Las
políticas de grupo se pueden aplicar a nivel de Sitio, Dominio y Unidad organizativa,
entendidos estos como contenedores de objetos del dominio organizados jerárquicamente.
Nosotros usaremos los dos últimos niveles para aplicar nuestras normas.
La aplicación de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio,
Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de
Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica
a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos
equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una
Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del
contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.

Ejemplo de modificación de una directiva de grupo existente que se aplica a todo el

dominio:
El primer problema que nos vamos a encontrar cuando decidamos crear un usuario
en nuestro dominio, es que si intentamos poner nuestra típica contraseña “123456”, el
sistema nos va a decir que no cumple con los requisitos de seguridad de contraseñas. En
este momento nos damos cuenta que hay una norma en nuestro dominio (política o
directiva de grupo) que define como han de ser las contraseñas de los usuarios. Como la
definición de esa norma nos resulta poco práctica a la hora de asignar contraseñas a
usuarios, la cambiaremos para que acepte contraseñas más flexibles.
En el dominio, hay una política por defecto llamada “Default Domain Policy”, la
cual vamos a cambiar para arreglar nuestro problema. Para ello, abrimos la consola de
administración de directivas de grupo o bien nos vamos a “Usuarios y equipos de Active
Directory” en Herramientas Administrativas. Optaremos por esta segunda opción. Situados
en el icono que representa nuestro dominio (manjon.local) haremos clic con el botón
derecho. Con esto nos aparecerán las propiedades de dicho dominio. Haremos clic en la
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 7

pestaña “Directiva de grupo” y pulsaremos “Abrir”. Se nos abrirá entonces la Consola de

Administración de directivas de grupo:

Situados sobre la “Default Domain Policy” haremos clic con el botón derecho y
daremos a Editar. Aparecerá el editor de objetos de directiva de grupo y en él recorreremos
el siguiente camino:
Configuración del Equipo => Configuración de seguridad => Directivas de cuenta =>
Directivas de contraseñas => Las contraseñas deben cumplir los requerimientos de
complejidad => Deshabilitar / Longitud mínima de la contraseña = 0 caracteres

La propagación de las políticas en el directorio lleva un pequeño tiempo. Para que

las políticas se apliquen de forma inmediata podemos usar el comando gpupdate en el
servidor. Este comando no es efectivo para todos los casos en que definimos una política,
por ejemplo para políticas de distribución de software.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 8
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 9

DEFINICIÓN DE LA ESTRUCTURA DEL DOMINIO.

UNIDADES ORGANIZATIVAS. CREACIÓN DE USUARIOS
Y GRUPOS:

Una vez resuelto el problema de las contraseñas, el siguiente paso que nos debemos
plantear es qué estructura organizativa queremos dar al dominio de nuestro centro, antes
incluso de crear el primer usuario. Iremos entonces a la consola de “Usuarios y Equipos de
Active Directory” para crear una estructura funcional. Al abrir dicha consola aparecen una
serie de carpetas que han sido creadas por defecto al convertir nuestro servidor en un
controlador de dominio:

Carpeta Descripción
Representa el dominio administrado: manjon.local
Dominio
Contendrá todos los equipos CLIENTES que se unan posteriormente a nuestro
Computers / Equipos
dominio.
Domain Controlers / Contiene todos los controladores de dominio que existen en nuestro dominio. Por
Controladores de Dominio ahora sólo tenemos uno.
Contiene todos los usuarios del dominio, incluyendo a los grupos de usuarios y
Users / Usuarios
usuarios que están definidos por defecto en 2003 Server
Builtin Contiene todos los grupos de usuarios definidos por defecto en 2003 Server
No tendremos otros dominios ni relaciones de confianza entre ellos por lo que no
ForeignSecurityPrincipals
nos afecta ni tenemos que tocar nada aquí.

Realmente, raras veces nos va a hacer falta tocar estas carpetas por lo que crearemos
las nuestras propias para organizar nuestros usuarios, equipos y recursos compartidos de la
forma que más nos convenga. Estas carpetas contenedoras de objetos que crearemos
reciben el nombre de “Unidades Organizativas” (UO).
De un primer análisis, podemos deducir que al menos nos hacen falta dos unidades
organizativas principales para agrupar a nuestros usuarios: alumnos y profesores. Para
crear una nueva UO nos situamos en el icono que representa al dominio y con el botón
derecho elegimos Nuevo… => Unidad organizativa. Ponemos el nombre y aceptamos.
Situados sobre la unidad organizativa donde queramos crear un nuevo usuario,
pulsamos con el botón derecho y elegimos Nuevo… => Usuario. Indicaremos su nombre y
el nombre del inicio de sesión y la contraseña que queremos para ese usuario.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 10

Por defecto el usuario deberá cambiar la contraseña que nosotros le ponemos la

primera vez que inicia sesión, aunque también podemos indicar que la contraseña sea para
siempre (“La contraseña no caduca nunca”). Si deshabilitamos la cuenta, el usuario se
creará pero no podrá iniciar sesión hasta que la cuenta no sea habilitada de nuevo. También
podemos indicar que el usuario no pueda cambiar su contraseña. Todas estas decisiones, al
igual que las políticas de grupo que se aplicarán, corren a cargo del administrador.

Al hacer doble clic sobre el usuario que acabamos de crear podremos ver y definir
todas sus propiedades organizadas en distintas pestañas:

Puede que nos convenga agrupar varios usuarios que van a disfrutar de los mismos
privilegios en un grupo. Por ejemplo, podemos agrupar a todos los profesores de un mismo
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 11

departamento en un mismo grupo. Para crear un grupo nos posicionaremos sobre la unidad
organizativa sobre la que queremos crear el grupo y con el botón derecho del ratón
elegiremos Nuevo… => Grupo. Pondremos el nombre, nos cercioraremos de que estamos
creando un grupo de Seguridad Global y aceptaremos. Si quisiéramos que este grupo
contuviese a otros Grupos tendríamos que crear un grupo de Seguridad Local.
Al hacer doble clic en el grupo recién creado podemos decir qué usuarios serán
miembros de ese grupo haciendo clic en la pestaña Miembros y pulsando Agregar. Basta
con escribir los nombres de los usuarios separados por un punto y coma. También podemos
hacer clic en Avanzadas y hacer una búsqueda para que nos aparezcan los usuarios del
dominio y desde ahí agregarlos.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 12

UNIR UN EQUIPO CLIENTE AL DOMINIO:

Para unir un equipo cliente al dominio, deberemos hacer login en dicho equipo con
un usuario con privilegios para realizar esta acción (preferentemente como administrador).
haremos clic en Mi PC, botón derecho del ratón => Propiedades => Pestaña Nombre del
Equipo => Botón Cambiar => Elegiremos Dominio y escribiremos el nombre completo del
dominio al que queremos unirlo (Ejemplo: manjon.local).
Se nos pedirá que nos autentifiquemos como un usuario con privilegios para realizar
esta acción. Los mismos usuarios que previamente hemos dado de alta en “Usuarios y
Equipos de Active Directory” o el administrador del dominio son los usuarios que tienen
potestad para realizar esta acción. Tras unos segundos, se nos dará la bienvenida al dominio
y se nos pedirá que reiniciemos el equipo.

Para iniciar sesión en la máquina cliente como un usuario del dominio, deberemos
indicarlo expresamente en Conectarse a: donde diremos que nos conectaremos a nuestro
nombre de dominio (en este caso MANJON). Obsérvese que aquí vemos el nombre
NetBios del dominio y no el completo (manjon.local).
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 13

Cuando iniciemos sesión, se creará un perfil local (en el disco duro de la máquina
cliente). Esto quiere decir que todo el espacio de trabajo de este usuario se almacenará
localmente, incluidos sus documentos personales. Puede que esto nos convenga o no
dependiendo de las características de nuestros usuarios.

Lo más normal en este tipo de entornos es que el espacio de trabajo del usuario
(perfil de usuario) y sus documentos no residan en la máquina local sino que ambos se
almacenen en la red. Esto facilita la movilidad del usuario dentro del centro ya que podrá
iniciar sesión en cualquier equipo cliente teniendo disponibles sus documentos y su
espacio de trabajo (escritorio, favoritos…) desde la red. También facilita la realización de
las copias de seguridad de esos documentos y que habrán de ser programadas por el
administrador del dominio.
Los perfiles móviles y la forma de guardar los documentos de los usuarios en la red, serán
tratados en la segunda parte de este documento.

Nota: Para saber más o recordar cosillas, podéis echar mano del curso de “Redes de Área
Local: Aplicaciones y servicios en Windows” del CNICE, dónde se explican muchos de los
conceptos y procedimientos aquí citados.