W2Kcastellano PDF

Windows 2000 Server
1. Visión general de Windows 2000

2. Introducción a los servicios de directorio
3. Planificación del espacio de nombres y de los dominios
4. Instalación de Windows 2000 Server
5. Configuración de las instalaciones nuevas de Windows 2000 Server
6. Actualización a Windows 2000
7. Sistemas de almacenamiento
8. Active Directory, Instalación
9. Active Directory, Configuración
10. Active Directory, Administración
11. Gestión de Usuarios
12. Gestión de Grupos
13. Gestión de Directivas de Grupo
14. Operaciones cotidianas
15. Instalación y gestión de Impresoras
file:///D|/downloads/W2000%20server/index.htm (1 of 2) [27/12/2002 20:55:25]

Windows 2000 Server
16. Cómo implantar la administración de discos

17. Planificación de la seguridad
18. Interoperatividad con Novell NetWare y con UNIX
19. Uso de los servicios para Macintosh
20. Implantación de Servicios de Terminal Server
21. Control del rendimiento y ajustes
22. Copia de seguridad
23. El Registro de Windows 2000
24. Consola de Recuperación
file:///D|/downloads/W2000%20server/index.htm (2 of 2) [27/12/2002 20:55:25]

Capítulo 1
Capítulo 1
Microsoft Windows 2000 constituye un gran avance en las áreas de administración de redes, soporte de
hardware, acceso a Internet y demás. Sin embargo, eso no quiere decir que no existan limitaciones.
Windows 2000 tiene que funcionar tanto en el presente como en el futuro, y la necesidad de una
compatibilidad con lo anterior conlleva unos compromisos que, aún siendo esenciales, no son
probablemente lo que se podría esperar.
Sin embargo, los cambios positivos son varios. Windows 2000 es, con certeza, más fiable, más sencillo
de administrar (una vez que nos hemos habituado a los cambios) y más rápido que Microsoft Windows
NT. Microsoft Windows 2000 Server, llamado también Microsoft Windows 2000 Server Standard
Edition, es el sucesor de Microsoft Windows NT 4. Basado en el Active Directory, incluye seguridad
Kerberos e infraestructura de clave pública (PKI, Public-Key Infraestructure), Servicios de terminal
(Terminal Services), COM+, Servicios de componente (Component Services), Servicios de información
de Internet (Internet Information Services), Servicio de índices (Indexing Services) y Colas de mensajes
(Message Queuing). También soporta hasta 4 Gb de memoria física y hasta 4 vías de multiprocesamiento
simétrico (SMP, Symmetric Multiprocesing).
Microsoft Windows 2000 Advanced Server es el sucesor de Microsoft Windows NT 4 Enterprise

Edition. Tiene todas las características de Windows 2000 Server además de equilibrado de la carga de la
red, agrupamiento de aplicaciones con gestión de fallos mejorado, hasta 8 Gb de memoria física y SMP
de 8 vías. Microsoft Windows Datacenter Server tendrá las características del Advanced Server además
de SMP de 32 vías, hasta 64 Gb de memoria física y agrupamiento aún más avanzado.
Implantación conjunta de las funciones de servidor y de estación de

trabajo
La implantación conjunta de Windows 2000 Professional y Windows 2000 Server proporcionará

beneficios excepcionales por medio de las tecnologías de administración nula de Windows (ZAW, Zero
Administration for Windows). Estas tecnologías almacenan de forma inteligente los datos, aplicaciones,
archivos de sistema y configuraciones administrativas de los usuarios de los escritorios basados en
Windows 2000 Professional en los servidores que ejecutan Windows 2000 Server.
Por ejemplo, IntelliMirror es un servicio de réplica distribuido y altamente configurable que permite a
clientes y servidores compartir la información del sistema de archivos local o distribuido y hacer espejos
de este sistema. El Servicio de inicio remoto de IntelliMirror proporciona un mecanismo para que
cualquier computadora cliente autorizada cargue todo o parte de una instalación desde un servidor
remoto, incluyendo una versión completamente configurada del sistema operativo, aplicaciones e
file:///D|/downloads/W2000%20server/Capitulo1.htm (1 of 45) [27/12/2002 20:55:32]

Capítulo 1
información especifica del sitio.
Con ZAW, una aplicación asignada a un usuario, simplemente aparece en su menú Inicio y se instala la
primera vez que pulsa sobre ella. Si la aplicación no se requiere inmediatamente, el administrador puede
publicarla de forma que aparezca como una opción en Agregar o quitar programas para que el usuario la
instale cuando la necesite. Cuando se encuentre disponible una actualización para una aplicación, se
aplica automáticamente la siguiente vez que el usuario ejecuta la aplicación.
Los documentos y la configuración personal del usuario pueden almacenarse, o duplicarse, en un

servidor gestionado por un administrador. Esto proporciona:
● Acceso mejorado: Los usuarios pueden conectarse a cualquier PC en la red; todos sus
documentos y configuraciones personales aparecerán en cualquier computadora que utilicen.
● Disponibilidad incrementada: La información duplicada en el servidor también reside en la
máquina local, de forma que está disponible incluso cuando los usuarios no están conectados a la
red. Cuando un usuario se vuelve a conectar, la información del servidor se sincroniza con la
nueva información local. Como la información de los usuarios de computadoras portátiles se
sincroniza con el servidor cada vez que una computadora portátil se conecta a la red, los
administradores de la red pueden hacer una copia de seguridad de la información de los usuarios
móviles incluso cuando las computadoras portátiles no están conectadas.
● Mejor protección: Todos los archivos residen en el servidor, de forma que se pueden hacer
copias de seguridad como parte de los procedimientos de copia y restauración normales y
centralizados.
Mientras que los sistemas operativos de máquinas que ejecutan Windows 95/98, Macintosh y UNIX se
pueden conectar como clientes de Windows 2000 Server, la totalidad de las mejoras sólo está disponible
para la combinación de Windows 2000 Server y Windows 2000 Professional instalados conjuntamente.
Sin embargo, se puede ganar bastante con actualizaciones graduales o parciales. Se pueden obtener
beneficios simplemente actualizando un único servidor a Windows 2000 Server.
Primero se debe actualizar el controlador primario de dominio (PDC, Primary Domain

Controller) a Windows 2000. Si se añade un controlador de Windows 2000 o se actualiza
cualquier otro controlador que no sea el PDC en un dominio Windows NT existente, se
creará un nuevo dominio Windows 2000 que se parece al dominio existente, pero no es el
mismo dominio.
Aunque se puede utilizar Windows 2000 en un entorno Windows NT 4 más o menos de forma
indefinida, no se obtendrán muchas de las ventajas reales implícitas en Windows 2000 hasta que se
realice el compromiso con un entorno Windows 2000.
Gestión de la Red

Capítulo 1
Hay que admitir que la suerte de un administrador de red no es siempre favorable, particularmente
cuando se enfrenta a grandes cambios que pueden tener un impacto negativo en el presupuesto
departamental. No hay ninguna duda de que cualquier mejora tiene su lado negativo. Existe el coste (en
tiempo) del aprendizaje de las nuevas tecnologías y su puesta en práctica. Aparece entonces el coste
(económico) de las inevitables actualizaciones de hardware y software necesarias para implantar
Windows 2000 Server y Windows 2000 Professional conjuntamente para cosechar los beneficios
tecnológicos, algunos de los cuales no serán evidentes de forma inmediata.
En el caso de Windows 2000, los esfuerzos serán recompensados con fiabilidad, dimensionabilidad y
seguridad incrementadas, además de las herramientas administrativas para simplificar la gestión de
grandes y complicadas redes.
Incluso los administradores de Windows NT experimentados (quizás especialmente esos

administradores de Windows NT experimentados) deberían emplear bastante tiempo en
aprender y practicar los nuevos conceptos de Windows 2000. La organización de la
interfaz no será familiar, y una red de pruebas dedicada es esencial para cualquiera que
vaya a vérselas con Active Directory por primera vez.
Interfaces de Administración
La consola de administración de Microsoft (MMC, Microsoft Management Console) incorpora

herramientas administrativas mostradas como consolas. Estas herramientas, formadas por una o más
aplicaciones, están construidas mediante módulos llamados complementos. Este diseño permite
personalizar las herramientas de forma que se puedan delegar tareas administrativas específicas a
usuarios o grupos. Almacenadas como archivos MMC, estas herramientas personalizadas se pueden
enviar por correo electrónico, compartirse en una carpeta de red o publicarse en la Web. Por medio de la
configuración de la política del sistema, se pueden asignar también archivos MMC a usuarios, grupos o
computadoras. Una herramienta puede dimensionarse, integrarse a la perfección en el sistema operativo,
reempaquetarse y personalizarse. De hecho, se puede hacer todo con estas herramientas, incluso añadir
diseños y tapices de fondo personalizados.
● Consola Microsoft de Gestión (MMC). La Consola Microsoft de Gestión (MMC) ofrece a los
administradores de sistema una consola común para ver las funciones de red y usar las
herramientas administrativas. La MMC muestra consolas que albergan programas llamados
complementos, que ofrecen las funcionalidades necesarias para administrar la red. La MMC
rebaja el coste total de propiedad de los desktops. La delegación de tareas, el agrupamiento lógico
de herramientas y procesos y la administración mediante un interfaz único permiten a los
administradores de sistemas organizar mejor sus herramientas y tareas y simplificar la
administración remota.
● Administración del Ordenador (complemento de la MMC): el complemento de

Capítulo 1
Administración del Ordenador es una herramienta de configuración de ordenadores que los

administradores podrán usar para operar desde cualquier ordenador de la red y a distancia para
detectar problemas y configurar otros ordenadores de la red. el complemento de Administración
del Ordenador es una caja de herramientas remotas, una carpeta de Herramientas Administrativas.
No sólo ofrece acceso a las herramientas básicas de Windows 2000 Server (ver eventos, crear
comparticiones, administrar dispositivos, etc.), sino que además descubre dinámicamente que
servicios y aplicaciones de servidor hay para administrar.
● Administración de Disco (complemento de la MMC): el complemento de Administración de

Disco es la herramienta gráfica para administrar discos que sustituye al Administrador de Discos.
Soporta particiones, drivers lógicos y volúmenes dinámicos, incluyendo además menús de
asistentes acceso directo para simplificar la creación de volúmenes y la inicialización y
actualización de discos. Esta herramienta permite a los administradores realizar tareas
administrativas como la creación, extensión y copia espejo de volúmenes e incluso el añadido de
discos, todo ello son necesidad de reiniciar el sistema o interrumpir el trabajo de los usuarios
● Administración de Servicio de Sistema (complemento de la MMC): Esta herramienta le

permite detener, iniciar, pausar o desconectar los servicios de un ordenador local o remoto.
Reemplaza la aplicación de Panel de Control de Servicios de las versiones anteriores a Windows
2000 Server. Esta funcionalidad permite al servicio SCM ocuparse de la mayoría de los problemas
más comunes de los usuarios. Por ejemplo, cuando un servicio falle, lo reiniciará
automáticamente, ejecutará un script .exe o incluso reiniciará el servidor.
● Asistente de Hardware y Administrador de Dispositivos (complemento de la MMC): El

Asistente de Hardware es un complemento de la Consola Microsoft de Gestión que le permite
configurar los dispositivos y recursos de su ordenador. Añadir hardware nuevo, desconectar o
sacar un dispositivo o cambiar sus propiedades y resolver cualquier conflicto de hardware son
sólo algunas de las operaciones que podrá llevar a cabo con el Asistente de Hardware.
● Políticas de Grupo: El interfaz de usuario para el desarrollo de aplicaciones, las opciones de

políticas para ordenadores y usuarios y los scripts es un complemento de la MMC llamado
Políticas de Grupo (GP). Este complemento es el responsable de administrar la configuración de
las políticas de grupo aplicadas a un sitio, dominio o Unidad Organizativa dado. La
administración basada en políticas automatizará tareas como las actualizaciones del sistema
operativo, la instalación de aplicaciones o el bloqueo del sistema desktop y los perfiles de usuario.
● Windows Scripting Host (WSH): Windows 2000 Server soporta la ejecución directa de scripts
desde el interfaz de usuario o la ventana de comandos. Este soporte se realiza a través del
Windows Scripting Host (WSH), una herramienta extremadamente flexible con soporte integrado
para los scripts Visual Basic y Java y una arquitectura independiente de lenguaje. Windows
Scripting Host permite a administradores y usuarios ahorrar tiempo automatizando muchas de las
acciones del interfaz de usuario, como la creación de accesos directos, la conexión o desconexión

Capítulo 1
a un servidor de red, etc.

● Programador de Tareas: El Programador de Tareas ofrece un interfaz de usuario muy cómodo
para programar una agenda de aplicaciones. Este interfaz es en mismo que el de Windows 95, con
la salvedad de que incluye funcionalidades de seguridad adicionales. Con el Programador de
Tareas es posible invocar cualquier script, programa o documento puente cualquier momento o
con el intervalo que se desee, desde una vez al día a anualmente, y en eventos como la
reinicialización del sistema, la conexión del usuario o los tiempos de inactividad del sistema.
Administración nula
El propósito de Windows 2000 es proporcionar clientes y servidores «intocables». En otras palabras, una
vez que se configuran los clientes y servidores, el hardware, el software y los cambios de los usuarios se
gestionan automáticamente, utilizando reglas y perfiles para determinar lo que pasa. Los administradores
pueden controlar las reglas para una red completa desde una única localización central. Aunque ZAW no
está completamente desarrollado en Windows 2000, se han realizado muchos progresos en esa dirección.
La siguiente tabla resume algunas de las tareas de administración de red centralizada disponibles en
Windows 2000.
Las tareas de administración centralizadas en Windows 2000 Server son:
● Administración de los documentos del usuario: Duplica la información del usuario en la red y
almacena en la caché la información de red localmente en el cliente. Para ello se utiliza Active
Directory, Política de grupos, Archivos sin conexión, Administrador de sincronización, cuotas de
disco y mejoras de la interfaz
● Administración de las configuraciones del usuario: Duplica las configuraciones del usuario en
la red y aplica lo establecido de forma predeterminada por el administrador al entorno del
usuario. Para ello se utiliza Active Directory, Política de grupos, Archivos sin conexión, perfiles
de usuario móviles y mejoras de la interfaz.
● Instalación remota del SO: Instala el sistema operativo desde servidores de red. Para ello se
utiliza Active Directory, Política de grupos, Servidor de instalación remota, estación de trabajo
con instalación remota.
● Administración de los perfiles del usuario: Permite a los usuarios «navegar» entre
computadoras dentro de la red corporativa. Para ello se utiliza Perfiles de usuario móviles,
Política de grupos.
● Instalación de software: Proporciona instalación a tiempo de software (aplicaciones y
actualizaciones del sistema operativo). Para ello se utiliza Active Directory, Política de grupos,
Instalación de Windows, Instalación de software, Agregar o quitar programas, Panel de control y
mejoras de la interfaz.
● Instalación Remota del Sistema Operativo: Usando la tecnología de inicio remoto basado en
estándares (PXE), un PC podrá conectarse automáticamente a un Windows 2000 Server e instalar
Windows 2000 Professional. El servicio de instalación remota del sistema operativo puede ser
usado para configurar un nuevo ordenador, actualizarse a Windows 2000 Server o reformatear y
reinstalar el sistema operativo en un ordenador ya existente.

Capítulo 1
● Administración de Datos del Usuario: Los usuarios podrán moverse por cualquier PC Windows
2000 Professional de la red corporativa y tendrán acceso a sus datos, aplicaciones y preferencias
informáticas. Podrán además usar los recursos de la red sin conexión, sincronizandose
automáticamente al reestablecerse ésta. Los datos del usuario están siempre disponibles, y la vista
del usuario del entorno informático es homogénea, tanto si el ordenador cliente está conectado
como si no. Además, se evita la pérdida o el daño de los datos de usuario en caso de error del
ordenador local.
● Mantenimiento e Instalación de Software: Los administradores pueden definir un conjunto de
aplicaciones para que esté siempre a disposición del usuario o grupo de usuarios. Si una
aplicación en concreto no lo estuviera, sería instalada automáticamente en cuanto fuera necesaria.
También soporta la autoreapración, actualización y eliminación de aplicaciones.Los
administradores IT pueden implementar y mantener las aplicaciones de cualquier usuario o grupo
de usuarios en un par de pasos, sin intervención de usuario y sin tener que acudir a su desktop.
● Administración de Configuraciones de Usuario: El control y la administración centralizada de
los ordenadores desktop permite bloquear las configuraciones desktop. Con la tecnología de
administración IntelliMirror, las configuraciones del usuario pueden ser copiadas en una imagen
espejo en la red, de forma que los administradores puedan definir los entornos específicos de
usuarios y ordenadores.
Servicios de Terminal Server
Los servicios de Terminal Server permiten a las aplicaciones basadas en Windows ejecutarse en equipos
que normalmente no pueden ejecutar grandes aplicaciones Windows. Todo el procesamiento de la
aplicación y el almacenamiento de información tiene lugar en el servidor; la máquina cliente sólo
necesita ser capaz de ejecutar un «cliente ligero», que requiere cantidades de memoria y espacio de
almacenamiento de disco muy pequeños. (Bajo Windows 2000, un cliente puede ser tanto un cliente
ligero como un cliente pesado, simultáneamente.) Esto permite a máquinas que hubieran requerido
actualizaciones de hardware para poder ejecutar Windows 2000 tener acceso a aplicaciones que no
hubieran estado disponibles de otro modo. Mediante el uso de un complemento de terceros, incluso
máquinas DOS, UNIX y Macintosh pueden ser clientes.
Con los Servicios de Terminal Server, los usuarios se conectan y ven únicamente su propia sesión, la
cual es completamente independiente de cualquier otra sesión cliente. La aplicación opera en el servidor,
y todo el proceso es trasparente al usuario. Instalando los Servicios de Terminal se obtiene:
● Soporte de Clientes Múltiples: Ofrece el GUI Windows a los usuarios de Terminales Windows
y desktops heredados, incluyendo Win16, Macintosh y UNIX, así como desktops de interfaz de
programación de aplicaciones Win32. Los clientes podrán usar su hardware heredado.
● Soporte de Desconexión en Itinerancia: Soporta la opción de desconectarse de una sesión sin

salir del sistema. Los usuarios podrán dejar una sesión activa u operativa sin desconectarse,
pudiendo retomarla desde otro ordenador o en otro momento.

Capítulo 1
● Soporte de Conexión Múltiple: Soporta varias sesiones de conexión simultanea desde desktops
diferentes. Los usuarios podrán conectarse a varios Terminal Servers o a uno solo varias veces
para realizar diferentes tareas o para operar con varias sesiones en un solo desktop.
● Soporte del Sistema de Archivo Distribuido: Soporta la conexión a una compartición Dfs. Los
usuarios podrán albergar comparticiones Dfs de un Terminal Server.
● Administración de los Servicios de Terminal y Administración de Control Remoto: La

herramienta de Administración de los Servicios de Terminal es usada para buscar y administrar
Sesiones Terminal Server y usuarios y procesos de los Terminal Servers.
Cualquier usuario de los Servicios de Terminal con privilegios administrativos y acceso a las
utilidades de gestión del Terminal Server podrá administrar de forma remota el Terminal Server.
Entre otras funciones, esta utilidad puede:
❍ Desconectarse de una sesión

❍ Enviar un mensaje a una Sesión o usuario
❍ Restaurar una Sesión
❍ Mostrar el estado de conexión de una Sesión
❍ Mostrar la información del cliente de la Sesión
❍ Mostrar los procesos del sistema y del usuario
❍ Finalizar un proceso
● Configuración de los Servicios de Terminal: Crea, modifica y borra sesiones y configuraciones

de sesión en su Terminal Server. Entre otras funciones, esta utilidad puede:
❍ Configurar una nueva conexión
❍ Administrar permisos para conectarse
❍ Añadir usuarios y grupos a las listas de permisos
❍ Controlar la configuración de las pausas de inactividad y de las desconexiones
● Integración con el Monitor de Rendimiento de Windows 2000 Server: Permite al

administrador de sistemas mantener un seguimiento fácil del rendimiento del sistema Terminal
Server. Usando el Monitor de Rendimiento con los Servicios de Terminal, los administradores de
red pueden:
❍ Seguir el uso del procesador por sesiones de usuario
❍ Seguir la localización de memoria por sesiones de usuario
❍ Seguir el uso e intercambio de memoria compaginada por sesiones de usuario
● Pausa de Inactividad Configurable: Los administradores pueden configurar cuando desactivar

una sesión por su inactividad. Esta funcionalidad permite una reducción de la carga del servidor.
● Niveles múltiples de Encriptación: Los administradores tendrán la opción de configurar la
transmisión de datos entre el Terminal Server y los Clientes Terminal Server. Los administradores
podrán encriptar parte de o todos los datos transmitidos entre el cliente y el servidor en tres
niveles diferentes, dependiendo de sus necesidades de seguridad.
INTEROPERATIVIDAD

Capítulo 1
La red natural en un medio de una gran empresa es completamente heterogénea, de forma que la
interoperabilidad entre sistemas operativos es fundamental. Para una interoperabilidad mejorada,
Windows 2000:
● Se comunica de forma nativa con sistemas UNIX y NetWare, utilizando TCP/IP.

● Proporciona servicios para compartir archivos e impresoras con UNIX, NetWare, Macintosh e
IBM (esta última por medio de un Servidor SNA).
● Soporta software con Conectividad abierta de bases de datos (ODBC, Open Database
Connectivity), Servicios de colas de mensajes y Modelo de objetos de componentes (COM+,
Component Object Model), de forma que las nuevas aplicaciones puedan interoperar con el
software e información existentes.
Además, si se implanta el Active Directory, se pueden integrar múltiples espacios de nombres bajo varios
sistemas operativos en un directorio unificado y fácilmente administrable.
SEGURIDAD DEL SISTEMA Y DE LA RED
La seguridad está disponible en Windows 2000 para cualquier configuración, desde un simple grupo de
trabajo hasta sistemas servidores para empresas. El énfasis en la seguridad y el hecho de que los
mecanismos de seguridad impregnen cada esquina de Windows 2000 no debería ser una sorpresa. La
seguridad es una cuestión que se vuelve cada vez más crítica en prácticamente cualquier empresa.
Intranets, extranets y acceso telefónico a redes, por no mencionar la eventual actuación incorrecta del
usuario, son amenazas tanto para la información como para la infraestructura. Al mismo tiempo, un
aparato de seguridad demasiado complejo pone a prueba la paciencia de administradores y usuarios por
igual. Windows 2000 trata de resolver estas necesidades conflictivas con un sistema de seguridad fácil de
administrar y transparente al usuario.
El Administrador Configuración de la seguridad es una herramienta integrada que permite a un

administrador configurar en un único emplazamiento ajustes del registro sensibles a la seguridad, control
de acceso en archivos y claves del registro. Esta información puede incorporarse en una plantilla de
seguridad que se puede aplicar después a múltiples computadoras en una única operación.
Windows 2000 Server incluye soporte completo para el protocolo de seguridad del MIT Kerberos
versión 5, proporcionando un único acceso a recursos empresariales basados en Windows 2000 Server.
Kerberos reemplaza al Administrador de LAN de NT (NTLM, NT LAN Manager), utilizado en
Windows NT 4 como principal protocolo de seguridad. Para proporcionar una integración sin
complicaciones, Windows 2000 permite ambos métodos de autenticación -NTLM, cuando el cliente o el
servidor ejecuta una versión anterior de Windows, y Kerberos, para servidores y clientes Windows 2000-
. Además, el soporte para Capa de conectores seguros/Seguridad de la capa de transporte (SSL/TLS,
Secure Socket Layer/Transport Layer Security) está incorporado para usuarios que se conecten a un
servidor Web seguro.

Capítulo 1
Entre el resto de mejoras de seguridad se incluyen:
● Un servidor de certificados de clave pública basado en X.509 integrado con el Active Directory,
que permite el uso de certificados de clave pública para la autenticación.
● Soporte para tarjetas inteligentes anti-manipulación para almacenar contraseñas, claves privadas,
números de cuentas u otra información de seguridad.
● Seguridad del protocolo de Internet de Microsoft (IPSec, Internet Protocol Security), que gestiona
la comunicación segura extremo a extremo. Una vez implementada IPSec, las comunicaciones
son seguras de forma transparente; no es necesario el entrenamiento o la interacción del usuario.
Varias de las funciones de seguridad en Windows 2000 son innatas al Active Directory, y su
implementación completa sólo está disponible cuando se utiliza el Active Directory. Además, algunas
funciones de seguridad no se pueden llevar a cabo completamente en un entorno mixto de dominios de
servidor. Por ejemplo, Windows 2000 incluye soporte para la transitividad de la confianza, lo que
significa que cuando un dominio Windows 2000 se une a un bosque de dominios Windows 2000, se
establece automáticamente una relación de confianza transitiva de dos direcciones. No se requiere
ninguna tarea administrativa para establecer esta relación de confianza. Sin embargo, para establecer una
relación de confianza entre un dominio Windows 2000 y un dominio Windows NT es necesario hacerlo
explícitamente.
● CHAP, MS-CHAP, PAP: El Challenge Handshake Authentication Protocol es un estándar IETF

usado comúnmente para la autentificación de usuarios a través de conexiones PPP.
El Microsoft CHAP es una variación del CHAP usado para autentificar usuarios contra un
Módulo de Acceso de Seguridad (SAM) Windows 2000 Server, e incluye soporte para cambios de
contraseñas. MS-CHAP ofrece una encriptación y un intercambio de claves transparente y
automático.
El Password Authentication Protocol ofrece autentificación de contraseña de texto limpio. Este
protocolo es completamente soportado, pero no se recomienda su uso por cuestiones de seguridad.
Los sistemas funcionan así sin necesidad de alteraciones con los protocolos de autentificación más
frecuentemente usados por ISPs.
● Extensible Authentication Protocol (EAP): El EAP extiende los métodos de autentificación

usados por el PPP. Usando APIs EAP, los ISVs pueden ofrecer nuevos módulos de
autentificación para tarjetas inteligentes, hardware biométrico, etc. Permite añadir servicios de
autentificación más potentes a las conexiones VPN y de marcación telefónica, para aumentar así
la seguridad en la conexión.
● Soporte de Tarjetas Inteligentes (EAP-TLS): El módulo EAP integrado soporta la

autentificación de certificados de clave pública basada en tarjetas inteligentes para conexiones
VPN y de marcación telefónica. Funciona con cualquier tarjeta inteligente certificada para
Windows. Funciona sin necesidad de alteraciones con la mayoría de las tarjetas inteligentes para
simplificar la integración de servicios de autentificación más potentes.

Capítulo 1
● Servicios de Encriptación RC4: Dispondrá de soporte integrado para la encriptación RC4 de 40

y 128 bits para conexiones VPN y de marcación telefónica mediante la Microsoft Point to Point
Encryption. La generación inicial de claves y la actualización no requieren la intervención del
usuario. Permite a los usuarios poder elegir una opción de encriptación fuerte sin el gasto y los
esfuerzos asociados a una infraestructura de clave pública.
● Cliente RADIUS— RFC 2138: Ahora, un servidor de PC operando con Windows 2000 Server
pueden actuar como cliente RADIUS de un servidor RADIUS, ofreciendo opciones adicionales de
autentificación- El RADIUS (Remote Authentication Dial-In User Service) es el protocolo de
contabilidad y autentificación de marcación telefónica usado por los proveedores de servicios de
Internet. Ofrece una opción para autentificar a los usuarios contra una base de datos de usuarios
externos con Windows.
● Servidor RADIUS: Internet Authentication Server es un completo RADIUS. Soporta la

autentificación y contabilidad RADIUS, almacena la información en el Directorio Activo o en una
base de datos local del servidor IAS. Ofrece un interfaz de usuario gráfico muy intuitivo para la
mayoría de los atributos necesarios, además de un tabulador de input para todos los atributos de
cada fabricante. Además, emplea los mecanismos de Acceso de Usuario Basado en Políticas
(políticas y perfiles). Permite mantener las cuentas de usuario de forma centralizada dentro del
Directorio Activo, a la vez que permite a los sistemas no Windows 2000 Server autentificarse
contra Windows 2000 Server.
● Filtrado de paquetes IP: El servicio de enrutamiento soporta una amplia variedad de

funcionalidades de filtrado de paquetes de entrada y salida, una importante medida de la seguridad
del sistema que incluye: puerto TCP, puerto UDP, ID de protocolo IP, tipo ICMP, código ICMP,
dirección fuente y destino, etc. Ofrece un método básico para bloquear la entrada a la red de cierto
tipo de tráfico, mejorando la seguridad de la red.
● Filtrado de paquetes IPX: El servicio de enrutamiento soporta un nivel similar de filtrado de

paquetes para paquetes IPX. Entre las diversas opciones destacan la dirección fuente y destino, el
nodo fuente y destino, el enchufe fuente y destino y el tipo de paquete. Ofrece un método básico
para bloquear el tráfico NetWare de porciones de una red.
● Set de Herramientas de Configuración de la Seguridad: El Set de Herramientas de

Configuración de la Seguridad ofrece una herramienta inmediata de análisis y configuración de la
seguridad para Windows 2000 Server. Permite configurar varios parámetros de seguridad, acceder
a los controles sobre las claves de registro y archivo y la configuración de la seguridad de los
servicios de sistema. El Administrador de Configuraciones de Seguridad es una tecnología
"definir una vez, aplicar infinitas veces" que permite a los administradores de redes definir las
configuraciones de seguridad como si fueran una plantilla, para luego aplicarlas a los ordenadores
designados al efecto con una sola operación.

Capítulo 1
● Autentificación Kerberos: El protocolo de autentificación Kerberos Versión 5 reemplaza a

NTLM como protocolo de seguridad primario para acceder a los recursos en uno o varios
dominios Windows 2000 Server. El soporte completo de la versión 5 de Kerberos permite una
conexión única a Windows 2000 Server basada en los recursos empresariales y en el resto de
entornos que soportan este protocolo.
● PPTP/L2TP: El PPTP/L2TP ofrece soporte para VPNs, permitiendo a las empresas usar Internet
como una VPN para asegurar y autentificar sus comunicaciones. Permite a los usuarios remotos
conectarse a su empresa por Internet. De esta forma se sustituye el caro alquiler de líneas
telefónicas por el uso de Internet.
● Servidor de Certificados de Clave Pública: El servidor de certificados de clave pública X.509 y

la integración con el Directorio Activo permite el uso de certificados de clave pública para
servicios de autentificación. Servidor de Certificados de Clave Pública integrado en Windows
2000 Server está orientado a organizaciones que deseen crear certificados de clave pública para
sus usuarios sin depender de los servicios CA comerciales.
● Infraestructura de Tarjeta Inteligente: Las tarjetas inteligentes ofrecen un almacenamiento a

prueba de errores de manipulación para proteger las claves privadas, los número de cuenta, las
contraseñas y otros tipos de información personal. Las tarjetas inteligentes son un componente
fundamental de la infraestructura de clave pública que Microsoft está integrando en la plataforma
Windows porque mejoran las soluciones sólo de software (autentificación de clientes, conexión
única, almacenamiento y administración de sistema seguros, etc.).
● Protocolo de Seguridad IP: El IPSEC soporta la encriptación e integridad de datos y la

autentificación a nivel de redes, integrándose con la seguridad inherente del sistema operativo
Windows 2000 Server para ofrecer la plataforma ideal para asegurar las comunicaciones por
intranets y por Internet. La Administración de Seguridad IP de Microsoft gobierna las
comunicaciones seguras entre puntos finales. Una vez que el administrador implementa la
seguridad IP de una empresa, las comunicaciones son aseguradas de forma transparente, sin
necesidad de intervención por parte del usuario.
Nueva Descripción Beneficios

Funcionalidad
Windows 2000 Professional y Windows 2000 Server
Administración de direcciones y nomenclatura

Capítulo 1
DNS Dinámico El DNS Dinámico es un El DNS Dinámico reduce

estándar IETF para la los costes de
actualización dinámica administración de redes
de registros en servidores al elimina la necesidad de
DNS, para reflejar los editar y replicar
cambios y adiciones en manualmente la base de
los mapas dirección-a- datos DNS cada vez que
nombre. Windows 2000 se produzca un cambio
Server incluye una en la configuración del
implementación de cliente DNS. La
servidor de DNS integración con el
Dinámico intergrada con Directorio Activo acaba
DHCP y el Directorio con el requeremiento de
Activo, así como soporte mantener una
de DNS Dinámico para infraestructura de
implementaciones no replicación separada sólo
Windows 2000 Server. para DNS. El soporte de
los protocolos de
actualización DNS de
IETF permite la
interoperatibilidad con
los entornos DNS
existentes y con las
implementaciones de
DNS dinámico de otros
fabricantes.
DHCP con soporte de DNS El Dynamic Host Se trata de una mejora
Dinámico Configuration Protocol significativa para ahorrar
(DHCP) permite rebajar tiempo y dinero, en
el coste total de comparación con la
propiedad para redes IP, asignación manual de
puesto que asigna direcciones IP utilizables.
dinámicamente
direcciones IP a los PCs
y resto de recursos
conectados a una red IP.
El servidor DHCP
Windows 2000 Server se
integra con el DNS
Dinámico y el Directorio
Activo para simplificar la
administración de
direcciones y reflejar

Capítulo 1
dinámicamente las
asignaciones de
direcciones.
Servicio Localizador de ILS ofrece un registro Permite a usuarios y
Información (ILS) dinámico para los aplicaciones conectarse a
servicios específicos de servicios dinámicos
aplicaciones. El cuando se necesita más
Marcador Telefónico de una dirección IP para
Windows 2000 Server la conexión.
emplea el ILS para
programar y localizar
llamadas de conferencia
de red.
WINS El Windows Internet Ofrece un modo Plug &
Name Service ofrece una Play para que los clientes
resolución nombre-a- Windows encuentren los
dirección para peticiones servicios Windows en
de cliente NetBIOS. una red enrutada. Protege
su inversión actual en
clientes Windows, y
permite la administración
escalable de namespaces
NetBIOS.
calidad de servicio (QoS)
Calidad de Servicio Permite a las aplicaciones Permite a tipos

Diferenciada multimedia o de misión específicos de
(diff-serve) crítica (SAP, correo aplicaciones obtener un
electrónico, etc.) obtener mejor servicio en las
de la red la calidad de conexiones de red y por
servicio necesaria. las porciones diff-serve
Además, los de las redes corporativas
administradores de red internas.
podrán gestionar el
impacto de estas
aplicaciones en los
recursos de red.
Interopera con RSVP.

Capítulo 1
Servicio de Control de Los administradores Las redes con el ACS

Admisión pueden controlar la implementado pueden
cantidad de ancho de evitar su invasión por
banda que cada vídeo de gran ancho de
aplicación se reserva banda de larga duración.
según políticas Los recursos de red
configuradas en el pueden ser asignados así
Directorio Activo. a aplicaciones de gran
valor, como las de
telefonía IP, por ejemplo.
LANs Priorizadas IEEE Permite la Priorización Permite un mejor servicio
802.1p del tráfico LAN. de redes para aquellas
Windows 2000 Server ha aplicaciones que no
integrado soporte QoS pueden tolerar la pérdida
para permitir al tráfico de o el retraso en la
red por LANs 802.1p transmisión de paquetes
obtener servicios (aplicaciones de audio,
priorizados. Este soporte de misión crítica, etc.)
está integrado con el
Servicio de Control de
Admisiones, el RSVP y
los Servicios
Diferenciados.
RSVP Permite a las aplicaciones Mejora el rendimiento de
(principalmente a las las aplicaciones de
multimedia) obtener la latencia y sensibles al
calidad de acceso que ancho de banda en redes
necesitan de la red. locales (por ejemplo,
Permite además a los aplicaciones de difusión
administradores de red multimedia continua de
gestionar el impacto de audio o vídeo).
estas aplicaciones sobre
los recursos de red.
Interopera con diff-serv.
SOPORTE DE HARDWARE
Windows 2000 incluye cientos de nuevos controladores de impresoras, módem y demás hardware,
haciendo la instalación y configuración del hardware más eficiente. La fusión de los equipos de

Capítulo 1
desarrollo y prueba de Windows NT con los de Windows 98 abrió el mundo de los dispositivos
soportados por Windows 98. Por consiguiente, Windows 2000 soporta tipos de dispositivos que resultan
difíciles de utilizar en Windows NT. Un controlador de puerto paralelo bidireccional permite a Windows
2000 comunicarse con muchos más escáneres, impresoras y dispositivos multioffice.
La conexión y uso inmediatos (PnP, Plug and Play) ha llegado finalmente con Windows 2000, lo que es
una buena noticia especialmente para los usuarios de portátiles. Sin embargo, muchos portátiles antiguos
necesitarán una actualización de la flash BIOS o software complementario para aprovechar la gestión de
energía de Windows 2000.
A la vez que añade soporte para mucho hardware nuevo, Windows 2000 conserva la compatibilidad con
los controladores de vídeo de Windows NT 4. La trampa está en que al utilizar estos controladores de
vídeo se desactivan las funciones de gestión de energía en Windows 2000, aunque el resto de
controladores de Windows NT 4 debería funcionar. Microsoft está animando a los distribuidores de
tarjetas de vídeo a escribir nuevos controladores para Windows 2000 y, al final, todos los controladores
nativos de Windows NT 4 se actualizarán.
DISPONIBILIDAD Y FIABILIDAD
Si se ha trabajado antes con Windows NT Server, se habrá observado sin duda que prácticamente
cualquier modificación en la configuración requiere el reinicio. Cada vez que se instala un escáner o un
controlador de red o se cambia cualquier otro parámetro de la configuración, es necesario reiniciar.
Se han eliminado aproximadamente cincuenta, y ahora sólo es necesario reiniciar tras instalar un Service
Pack, actualizar un controlador de dominio, cambiar las fuentes del sistema, cambiar la ubicación
predeterminada del sistema o al añadir o eliminar puertos COM (cuando es necesario hacer cambios en
los puentes). Además, las nuevas herramientas para controlar la salud del sistema pueden jugar un papel
decisivo a la hora de mantener activos y en funcionamiento los servidores un alto porcentaje del tiempo.
Windows 2000 Advanced Server (el sustituto de Windows NT Enterprise Edition) permite conectar dos
servidores en un agrupamiento (cluster) de hasta 64 procesadores, de forma que los recursos del servidor
estén más disponibles y sean más fáciles de administrar. Este agrupamiento controla la salud de las
aplicaciones estándar y de los servidores, y puede prevenir de forma automática a la información y a las
aplicaciones críticas de muchos tipos de errores, normalmente en menos de un minuto.
ACTIVE DIRECTORY
Un servicio de directorio es una herramienta que conecta los directorios a lo largo de la red y actúa como
una gran guía telefónica para todos los usuarios. Por medio de una consulta en lenguaje natural, un
usuario puede obtener un listado de recursos disponibles. Los servicios de directorio en Windows NT 4
proporcionan funciones importantes en forma de un inicio de sesión único y un único punto de
administración y réplica. Aunque éstas son críticas, los servicios de directorio de Windows NT 4 no las

Capítulo 1
equilibran suficientemente bien. El Active Directory es la siguiente generación de servicios de directorio

de Microsoft y ofrece grandes ventajas en dimensionabilidad, ampliación y seguridad, a la vez que
proporciona una vista jerárquica del directorio y réplica multimaestro.
Active Directory combina los estándares de denominación X.500, el Sistema de nombres de dominio
(DNS, Domain Name System) de Internet como dispositivo de localización y el Protocolo de acceso
ligero a directorios (LDAP, Lightweight Directory Access Protocol) como protocolo principal. El Active
Directory permite un único punto de administración para todos los recursos, incluyendo usuarios,
archivos, dispositivos periféricos, conexiones al anfitrión (host), bases de datos, accesos a la Web,
servicios y recursos de red. Soporta un espacio de nombres jerárquico para usuarios, grupos e
información de cuentas de la máquina y puede englobar otros directorios para reducir la carga
administrativa y los costes asociados al mantenimiento de múltiples espacios de nombres.
La migración al Active Directory no es muy complicada, pero la planificación del diseño de los nuevos
directorios puede ser pesada. Los errores de diseño pueden perjudicar a la estabilidad y eficiencia de la
red. Afortunadamente, no es necesario deshacerse de los dominios existentes para aprovechar las
ventajas del Active Directory, y la migración puede realizarse de forma gradual. Los servidores se
pueden actualizar de Windows NT 4 a Windows 2000 sin que los usuarios se den cuenta de los cambios.
● Lightweight Directory Access Protocol (LDAP): El LDAP versión 2 y versión 3 es

implementado para el acceso cliente. Permite la interoperatibilidad entre diferentes sistemas
operativos y directorios.
● Nomenclatura Estándar: Tanto las aplicaciones como los usuarios se ven afectados por el
formato de nombre usado en los servicios de directorio. Si cualquiera de ellos necesita encontrar o
usar algo, deberá saber antes el nombre o alguna de sus propiedades para localizarlo. Hay varias
formas comunes para los nombres de los directorios, definidos por estándares formales y de facto,
y el Directorio Activo soporta muchos de estos formatos, incluyendo los Nombres de URL HTTP,
las URLs LDAP y los Nombres X.500 y UNC. Este soporte extendido para formatos de nombre
diversos permite a los usuarios emplear el formato con el que estén más familiarizados al acceder
al Directorio Activo.
● Integrado en DNS: DNS es el servicio de directorio más usado en todo el mundo. Se trata del
servicio de localización usado en Internet y en la mayoría de las intranets. Se emplea un servicio
de localización para traducir un nombre (por ejemplo, MiMaquina.MiEmpresa.com) en una
dirección TCP/IP. Dado que DNS ha sido diseñado para escalarse en grandes sistemas, a la vez
que permanece lo suficientemente "ligero" como para ser usado en un sistema con pocos
ordenadores, las organizaciones pueden estar seguras de que el servicio de directorio de Windows
2000 Server se escalará a la medida de sus necesidades específicas.
● Interfaz de Servicios de Directorio Activo (ADSI): ADSI integra todas las capacidades de los
servicios de directorio de varios proveedores de redes para presentar un solo set de interfaces de

Capítulo 1
servicios de directorio para administrar los recursos de red. ADSI es un conjunto de interfaces de
programación fáciles de usar y ampliar, diseñados para escribir aplicaciones que accedan y
administren:
❍ El Directorio Activo
❍ Cualquier directorio LDAP
❍ Otros servicios de directorio de la red del cliente, incluyendo NDS
Esto simplifica notablemente el desarrollo de aplicaciones de directorio, así como la

administración de sistemas distribuidos. Los desarrolladores y los administradores podrán usar
este set único de interfaces de servicios de directorio para enumerar y administrar los recursos de
un servicio de directorio, independientemente del entorno de red que contenga esos recursos.
● Esquema Extensible: El Directorio Activo ofrece a los desarrolladores y administradores la

posibilidad de aumentar el esquema de directorio y crear nuevas propiedades y objetos. Los
desarrolladores pueden usar esta funcionalidad de extensibilidad para crear sus propias estructuras
de datos en el directorio para aplicaciones, usando así el directorio como almacén de datos. Es
más, los usuarios de la red podrá publicar la información importante en el directorio, de forma que
el resto de usuarios puedan encontrarla fácilmente.
● Catálogo Global: Otro nuevo concepto del Directorio Activo es el Catálogo Global (GC), que
incluye todos los objetos de todos los dominios del directorio Windows 2000 Server, y un
subconjunto de las propiedades de cada objeto. Diseñado para alcanzar un gran rendimiento, el
GC permite a los usuarios encontrar con facilidad un objeto, independientemente de dónde se
encuentre en el árbol, mientras realiza una búsqueda por atributos seleccionados.
● Replicación Multimaster: Con la replicación multimaster se pueden realizar cambios en
cualquier controlador de dominios del dominio. El controlador de dominios replica luego los
cambios en sus partners de replicación. El uso de esta funcionalidad permite conseguir una alta
disponibilidad del directorio para cambios, incluso cuando un controlador de dominios
independiente no esté disponible. Además, ofreciendo varias copias del directorio en diferentes
servidores, el directorio Windows 2000 Server es capaz de escalarse para satisfacer las
necesidades de la empresa.
● Compatibilidad Hacia Atrás: Windows 2000 Server soporta un entorno mixto de los
controladores de dominio del Directorio Activo de Windows 2000 Server y los controladores de
dominio de Windows NT Server 4.0. Los clientes de bajo nivel pensarán que están accediendo a
los controladores de Windows NT Server 4.0. Esta compatibilidad hacia atrás permite a las
empresas migrar sus controladores de dominio primero y luego sus clientes, o migrar una mezcla
de servidores y clientes. No hay nunca un punto en el proceso de migración que requiera de una
migración masiva a la nueva versión del sistema operativo en servidores o clientes, así como no es
necesario desconectar un dominio entero para migrar los clientes o controladores de dominio.
ALMACENAMIENTO Y SOPORTE DE SISTEMAS DE ARCHIVOS

Capítulo 1
Se han producido grandes cambios en el área del almacenamiento y el soporte de sistemas de archivos,
incluyendo una nueva versión de NTFS 5 que permite cuotas de disco para observar y limitar el uso del
espacio de disco en volúmenes NTFS a la vez que se mejora drásticamente la seguridad. Los
administradores pueden establecer cuotas de disco globales que impidan a los usuarios almacenar o
copiar más información en un dispositivo de almacenamiento una vez que han alcanzado su cuota.
● Administración del Servicio de Archivo: El complemento de la MMC de Administración del

Servicio de Archivo permite a los usuarios crear comparticiones y administrar las sesiones y
conexiones en ordenadores locales y remotos. Sustituye una funcionalidad anterior de la
aplicación Panel de Control del Sistema. Además de sus capacidades remotas, permite al usuario
crear compaticiones para cualquier servicio de archivo instalable de Microsoft: Servicios de
Archivo e Impresión para Macintosh, Servicios de Archivo e Impresión para NetWare, etc. Usada
junto con el Sistema de Archivo Distribuido (dfs), esta herramienta puede emplearse para
conectar juntas comparticiones en toda la empresa en un solo namespace lógico (es decir, los
usuarios se conectan a un solo recurso para acceder a todos los recursos publicado en cualquier
volumen Dfs). También puede ser usado con la Herramienta de Administración de Directorio para
publicar una compartición como un Objeto de Volumen en el Directorio Activo, que los usuarios
podrán rastrear fácil y rápidamente en busca de cualquier recurso disponible.
● Mejoras NTFS: Windows 2000 Server incluye una versión mejorada del sistema de archivo
NTFS, con soporte para la encriptación de archivo, la posibilidad de añadir espacio de disco a un
volumen NTFS sin tener que reiniciar, seguimiento de links distribuidos y cuotas de disco por
usuario para controlar y limitar el uso del espacio de disco, así como otras mejoras de
rendimiento.: Los descriptores de seguridad pueden ser almacenados una sola vez para luego ser
usados en varios archivos, ahorrando así espacio de disco. El soporte nativo para propiedades
como el flujo NTFS pemite realizar búsquedas más rápidas. Además, se puede evitar tener que
descomprimir y recomprimir los datos de los archivos al transmitirlos por una red, reduciendo así
el sobreuso de la CPU del servidor.
● Sistema de Archivos Encriptados: La Encriptación del Sistema de Archivo (NTFS) de Windows

2000 protege sus datos según un criterio de archivo o directorio. Se emplea una tecnología de
encriptación de clave pública, operando como un servicio de sistema integrado fácil de
administrar, difícil de atacar y transparente para el usuario. En versiones anteriores de Windows
2000 Server cualquiera con acceso físico al sistema podía sortear las funcionalidades de seguridad
integradas en el sistema operativo usando una herramienta para leer las estructuras en el disco del
sistema de archivo (NTFS) de Windows 2000 Server.
● Seguimiento de Links Distribuidos: Windows 2000 Server ofrece un Servicio de Seguimiento

de Links Distribuidos para que las aplicaciones cliente puedan rastrear las fuentes de los enlaces
modificados. El Seguimiento de Links Distribuidos ayuda a resolver los cortes y links OLE a los
archivos NTFS que hayan sufrido un cambio de nombre o ruta.

Capítulo 1
● Cuotas de Disco: Windows 2000 Server y Windows 2000 Professional soportan las cotas de
disco para volúmenes formateados por NTFS (volúmenes NTFS). Podrá usar las cuotas de disco
para controlar y limitar el uso de espacio de disco. Podrá asignar una cuota a cada objeto de un
disco, así como definir políticas y acciones que se ejecuten cuando se sobrepase un umbral de
nivel predeterminado.
● Archivos Esparcidos: El soporte de archivos esparcidos permite a una aplicación crear grandes
archivos sin tener que asignar espacio de disco a todos los bytes. Usando los archivos esparcidos,
NTFS sólo localizará el espacio de disco físico a las porciones del archivo escritas.
● Servicios de Almacenamiento Remoto (RSS): Los RSS son una herramienta de administración
de almacenamientos jerárquicos. Monitoriza de forma automática la cantidad de espacio
disponible en un disco duro local, de forma que cuando el espacio libre del disco duro primario
desciende por debajo del nivel necesario, los RSS eliminan datos locales copiados en el
almacenamiento remoto, disponiendo así del espacio de disco libre necesario. Dado que los discos
ópticos y las cintas de almacenamiento son menos caros (por MB) que los discos duros, éste
puede ser el medio más económico de lograr la máxima capacidad de almacenamiento con un
rendimiento local óptimo.
● Administrador de Almacenamiento no Fijo (RSM): El RSM presenta un interfaz común para

librerías de medios y robots de cambios automáticos, permitiendo a varias aplicaciones compartir
librerías locales y drives de disco y cintas, y controla los medios regrabables en un sistema de un
solo servidor. La Administración de Disco ha sido mejorada en Windows 2000 Server para
permitir a los administradores realizar tareas online sin tener que apagar el sistema o interrumpir
la labor de sus usuarios.
● Utilidad de Copia de Seguridad NT: Seagate Software ofrece una actualización de Copia de
Seguridad Windows 2000 Server basada en medios en lugar de en cintas, que incluye además un
nuevo interfaz de usuario con asistentes de copias de seguridad y recuperación, hojas de
propiedades y acceso al Vecindario de Red. La Utilidad de Copia de Seguridad Windows 2000
Server ayuda a proteger los datos de pérdidas accidentales por fallos de los medios de
almacenamiento o el hardware. Con Windows 2000 Server, la utilidad puede hacer una copia de
seguridad de los datos en una amplia gama de medios de almacenamiento (drives de cinta o de
disco dura externo, discos zipeados, CD-ROMs regrabables, drives lógicos, etc.).
● Utilidad de Desfragmentación de Discos: Windows 2000 Server y Windows 2000 Professional

soportan la posibilidad de desfragmentar volúmenes de disco, formateados como FAT, FAT32 y
NTFS. Además de ser segura y compatible con todo tipo de discos, esta nueva utilidad de
desfragmentación opera mientras el sistema está en marcha y los discos en uso.
● Sistema de Archivo Distribuido (Dfs): El Sistema de Archivo Distribuido (Dfs) de Microsoft

implementa un solo namespace para recursos del sistema de archivo dispares en un mismo sitio.

Capítulo 1
Un Dfs está organizado como una estructura jerárquica de volúmenes lógicos independiente de la
localización física del recurso en cuestión. El Dfs para Windows 2000 Server es un servicio de red
que facilita a los administradores la tarea de gestionar servidores de archivos, y ofrece a las
organizaciones una mayor disponibilidad en servidores de archivo y a los usuarios un vista única
de todos los servidores de archivos de red mediante un solo árbol de directorios.

Funcionalidad
Integración con el Windows 2000 Los usuarios contarán con un método

Directorio Activo Server incluye un sencillo de búsqueda de impresoras en
objeto de la red, mediante atributos (capacidades
impresora estándar como PostScript, color, tamaño del
para el Directorio papel, etc.) y localizaciones
Activo. Usando almacenadas en el Directorio Activo.
este objeto, las
organizaciones
pueden publicar
impresoras en el
Directorio Activo
para compartirlas
por la red.
Protocolo de IPP es el último Los usuarios podrán imprimir
Impresión por estándar de fácilmente sus documentos vía intranet
Internet (IPP) Internet para poder o Internet. Por ejemplo, usted podrá
imprimi mandar a imprimir su documento a
directamente en www.colorprinter.kinkos.com/.
una URL, ver el
estado de la
impresora con un
navegador e
instalar drivers
desde una URL.

Capítulo 1
Impresión de Alta Las organizaciones Los usuarios dispondrán del más alto
Disponibilidad pueden aprovechar nivel de disponibilidad del servidor de
los servicios de impresión.
cluster de
Windows 2000
Advanced Server y
Windows 2000
Datacenter Server
para construir
servidores de
impresión de
mayor
disponibilidad.
Interfaz de Usando el nuevo Estas funcionalidades convierten la
Usuario soporte de Plug instalación y configuración de una
Simplificado y &Play, el asistente impresora para su uso desde el servidor
Mejorado mejorado para y las estaciones de trabajo en una tarea
añadir impresoras sencilla; por ejemplo, los usuarios no
y la coniguración tendrán que saber nada sobre drivers,
de dispositivos lenguajes de impresoras o puertos,
simplificada, los puesto que todo esto se les dará hecho.
usuarios podrán
preparar una
impresora para su
uso con Windows
2000 Server de una
forma muy
sencilla.
Comunicaciones
La comunicación es el alma de los negocios, y no sólo las comunicaciones de red, tan importantes como
son. Windows 2000 incluye docenas de mejoras para hacer que las comunicaciones sean más sencillas y
fiables. Para las conexiones tanto dentro como fuera de una empresa, Windows 2000 ofrece las
siguientes herramientas:
Por medio del soporte de Internet integrado en Windows 2000 Professional, los usuarios pueden enviar
correo electrónico, mantener conversaciones y consultar grupos de noticias.

Capítulo 1
Windows 2000 proporciona soporte cliente para el estándar industrial red privada virtual (VPN, Virtual
Private Network) por medio de dos protocolos: el Protocolo punto a punto canalizado (PPTP, Point-To-
Point Tunneling Protocol) y el Protocolo canalizado de la capa dos (L2TP, Layer Two Tunneling
Protocol). Estos protocolos permiten a los clientes o sucursales conectarse a otra red (como a su red
corporativa) a través de Internet.
Windows 2000 Professional integra Microsoft Outlook Express, un cliente de correo electrónico basado
en los estándares de Internet.
Los usuarios pueden enviar, recibir, controlar y administrar faxes directamente desde el escritorio. Hay
disponibles diversas utilidades sencillas de utilizar desde el menú Inicio.
● Mejoras TCP/IP: El TCP/IP Microsoft ha sido actualizado en Windows 2000 Server para incluir
diversas mejoras de rendimiento para redes en entornos LAN y WAN de gran ancho de banda. El
amplio soporte Windows mejora el rendimiento del TCP/IP cuando grandes cantidades de datos
permanecen "volando" o ignoradas largo tiempo en su camino entre dos host conectados.
● Servidor Telnet: Telnet emplea el protocolo TELNET, parte de la suite del protocolo TCP/IP,
para conectarse a un ordenador remoto por la red. El Servidor Telnet actúa como puerta de
comunicaciones para que todos los clientes se comuniquen entre si, pudiendo soportar hasta 63 de
estos al mismo tiempo. El software de servidor Telnet permite a los clientes Telnet conectarse a
un ordenador remoto, realizar la conexión a un ordenador, lanzar aplicaciones en modo carácter y
modificar las preferencias de usuario.
● Seguridad IP (IPSec): El protocolo de Seguridad IP es un estándar propuesto por IETF para la
encriptación del tráfico IP. Windows 2000 Server integra perfectamente IPSec con la
administración de políticas de sistema para asegurar la encriptación entre sistemas (transparente
para los usuarios). IPSec puede ser usado tanto para comunicaciones privadas y VPNs. Los
usuarios pueden enviar comunicaciones administradas por políticas de grupo y aseguradas vía
encriptación por cualquier red. Dado que IPSec está integrado en el sistema operativo, es más
fácil de configurar y administrar que las soluciones add-on. Además, se encripta todo el tráfico,
no sólo el que transcurre entre dispositivos de red como enrutadores o cajas de encriptación.
● Layer 2 Tunneling Protocol (L2TP): El Layer 2 Tunneling Protocol en una anteproyecto de
especificación de IETF para el encapsulamiento y la transmisión de tráfico no IP por redes
TCP/IP. Emplea IPSec para una encriptación opcional y soporta la asignación de direcciones IP
dinámicas para una administración simplificada de las VPNs. Los usuarios pueden usar esté
nuevo estándar para soportar protocolos IP o no IP (IPX, AppleTalk, etc.) a través de conexiones
VPN basadas en IPSec.
● Point-to-Point Tunneling Protocol (PPTP): El Point-to-Point Tunneling Protocol en un
protocolo de múltiples fabricantes ampliamente adoptado para crear soluciones de Redes
Virtuales Privadas (VPNs). Como el L2TP, el PPTP ofrece servicio de túnel para soportar
protocolos no TCP/IP. Emplea MPPE como sus servicios de encriptación, y es compatible con el
viejo soporte de VPNs de versiones anteriores de Windows. Se trata pues de una excelente
alternativa a IPSec y al L2TP para aquellas organizaciones que no deseen instalar y administrar
una infraestructura de clave pública para VPNs. Los usuarios pueden usar una VPN sencilla de

Capítulo 1
secreto compartido para evitar los gastos asociados al mantenimiento de una infraestructura de
clave pública. Podrán proteger además su inversión en el PPTP como solución VPN, puesto que
ofrece una encriptación de software eficiente y es una opción apropiada para los procesadores 486
y los primeros Pentium
● H.323: H.323 es un estándar ITU para realizar llamadas multimedia por redes IP. Este protocolo
es soportado como parte del sistema operativo Windows 2000 Server, y es accesible con los APIs
de telefonía estándar. Las aplicaciones Windows que usen H.323 podrán interoperar con las
aplicaciones y los servicios H.323 de otras plataformas.
● TCP/IP Mejorado: El Transmission Control Protocol/Internet Protocol es la suite de protocolos
estándar de la Fuerza de Trabajo de Ingenieros de Internet (IETF) para transmitir el tráfico por
Internet. La implementación del TCP/IP de Microsoft cumple los requerimientos para Hosts de
Internet (RFC 1122 y RFC 1123), la especificación que enumera los requerimientos para
implementaciones de sistema host de la suite de protocolo de Internet. El TCP/IP de Windows
2000 Server incluye soporte para redes de alta velocidad (RFC 1323) y soporte para
Reconocimientos Selectivos (SACK) para un mejor rendimiento en redes sin cables o de IPS. Su
soporte de TCP/IP estándar implica que Windows 2000 Server se conecta fácilmente a Internet e
interopera con la más amplia gama posible de soluciones de redes de otros fabricantes.
● IPX/SPX: El Internet Packet Exchange/Sequenced Packet Exchange es el protocolo propietario
heredado para Novell NetWare. El soporte IPX protege sus inversiones heredadas en redes
NetWare, facilitando la integración de estos entornos con Windows 2000 Server.
● AppleTalk: El AppleTalk es el protocolo propietario heredado usado para las antiguas
comunicaciones Apple Macintosh. Apple ya ha establecido el TCP/IP como su protocolo de redes
preferido para los sistemas Macintosh, soportando la compartición de archivos vía Apple File
Protocol a través del TCP/IP. Con Windows 2000 Server, los clientes pueden elegir entre
mantener el AppleTalk o sustituirlo por el Apple File Protocol a través del TCP/IP. El soporte
AppleTalk protege sus antiguas inversiones en sistemas Macintosh, dándole la opción de soportar
viejos ordenadores Macintosh sin tener que cambiar el cliente. Los sistemas Macintosh más
nuevos pueden usar el TCP/IP para reducir la complejidad de administración de varios protocolos
de red para soportar clientes Macintosh.
● Point-to-Point Protocol (PPP): El Point-to-Point Protocol es un estándar IETF para conexiones
de marcación telefónica multiprotocolo. El protocolo soporta la asignación dinámica de
direcciones IP a sistemas remotos. El PPP permite a los sistemas Windows 2000 Server
conectarse directamente a Internet o a otros servicios de marcación telefónica con módems y sin
necesidad de añadir hardware nuevo.
Servicios de puerta de comunicaciones y protocolos de enrutamiento
● Traductor de Direcciones de Red (NAT): El Traductor de Direcciones de Red (NAT)

administra internamente direcciones IP de redes externas, traduciendo una dirección interna
privada a dirección externa pública. Reduce los costes de registro de direcciones IP al permitir a
los usuarios eliminar el registro de direcciones IP internamente, con traducción a un reducido
número de direcciones IP registradas externamente. Esconde además la estructura interna de la
red, reduciendo el riesgo de ataques de servicio contra los sistemas internos.

Capítulo 1
● IGMP versión 2: El Internet Group Management Protocol es empleado para registrar clientes IP
con sesiones de comunicaciones multidifusión. Windows 2000 Server soporta IGMP v2, lo que
permite a las subredes emplear este sistema operativo para enrutamientos multidifusión. Permite a
varios clientes compartir una sesión de multidifusión común, para mejorar así el rendimiento y
reducir los costes en las redes de las delegaciones.
● RIP v2 (y v1) para IP: El Routing Information Protocol protocolo de enrutamiento de muy
frecuente uso en redes de tamaño medio. Es relativamente fácil de usar, y ofrece un gran
rendimiento. El servicio soporta las versiones 1 y 2 de RIP. Permite la interoperatibilidad con
enrutadores RIP de otros fabricantes.
● OSPF: El Open Shortest Path First es el protocolo estándar de enrutamiento de estado de los links
estándar de la IETF para enrutamientos IP. Es más sofisticado que RIP, ofreciendo una
convergencia de algoritmos de enrutamiento más rápida. La implementación OSPF del servicio es
resultado del esfuerzo de colaboración entre Microsoft y Bay Networks, un proveedor lider en
sistemas de interconexiones de red. Permite la interoperatibilidad con enrutadores OSPF de otros
fabricantes.
● Proxy DNS: El Proxy DNS dirige las peticiones de nombre DNS del ordenador cliente y por una
red IP privada a un servidor DNS de Internet. Mejora la seguridad en la ocultación de redes a la
vez que soporta la interoperatibilidad de los estándares IETF para resolución de nombres.
● DHCP Relay Agent: El servicio ofrece una función de relay agent para los servidores DHCP, de
forma que las asignaciones DHCP puedan ser hechas a través de redes enrutadas,
independientemente de si la conexión es vía LAN o WAN. Permite a clientes de diferentes redes
obtener asignaciones de dirección IP de un servidor DHCP central.
● RIP y SAP para IPX: El Routing Information Protocol (RIP) y el Service Advertising Protocol
(SAP) son dos protocolos de enrutamiento muy comunes en entornos Novell NetWare (IPX) de
tamaño pequeño y mediano. El servicio soporta estos protocolos para hacer posible la
ineroperatibilidad en entornos de red mixtos. Ofrece la posibilidad de enrutar tráfico IPX a la vez
que se interopera con entornos NetWare heredados.
● Enrutamiento estático: El servicio sigue soportando el uso de asignaciones de enrutamiento fijas
o estáticas. Los administradores podrán controlar la ruta que sigue el tráfico en una red enrutada.
Servicios VPN y acceso remoto
● Servicios de Acceso Remoto: Los Servicios de Acceso Remoto de Windows 2000 Server ofrecen
un acceso VPN y de marcación telefónica integrado para individuos y delegaciones a través de
IPSec, PPTP y/o L2TP. Esto permite contar con la flexibilidad de poder usar marcación telefónica
directa, VPN de Internet o ambas para conectarse a sistemas remotos de la red. Las compañías
pueden conectar fácilmente a gente fuera de la oficina a la red a la vez que controlan las políticas
para reducir costes. Los protocolos múltiples permiten a los administradores optimizar los
beneficios, mientras que su transparencia facilita la labor a los usuarios.
● Redes de Marcación Telefónica: Windows 2000 Server incluye el interfaz de redes de
marcación telefónica habitual, que permite conectarse a redes corporativas directamente a través
de conexiones VPN. Permite a los usuarios conectarse a un ISP para obtener acceso a Internet o
marcar telefónicamente a su servidor Windows fácilmente mediante un solo interfaz.

Capítulo 1
Servicios de Internet
Con Windows 2000, cualquier cosa que se puede hacer en una red corporativa se puede realizar también
en un entorno Web. Windows 2000 incorpora un conjunto de servicios que proporcionan soporte del lado
del servidor para los protocolos de Internet para las aplicaciones más populares, permitiendo que un
servidor Windows 2000 funcione como servidor Web, servidor FTP, host SMTP o host NNTP
En el sistema operativo Microsoft Windows NT 4, estos servicios se proporcionan como un componente

opcional llamado Servidor de información de Internet (Internet Information Server). Para obtener un
soporte completo para los servicios de Internet en un entorno Windows NT 4, los administradores deben
instalar el Servidor de información de Internet instalando el Service Pack 3 para Windows NT 4 o
superior y el Option Pack para Windows NT 4. En contraposición, los servicios básicos de Internet están
integrados en las plataformas Windows 2000 Server y Windows 2000 Advanced Server. Estos servicios
se denominan ahora Servicios de información de Internet 5 en lugar de Servidor de información de
Internet.
Como los Servicios de información de Internet están completamente integrados en Windows 2000, se
pueden hacer cosas como hospedar múltiples sitios Web en un único servidor Windows 2000 y una única
dirección IP Además, cada sitio Web puede tener su propia base de datos de usuarios, lo que significa
que pueden coexistir múltiples dominios de usuarios independientes en un único servidor.
● Configuración y Actualización Integradas: Internet Information Server se instala como un

servicio de red de as Windows 2000 Server. Aquellos clientes con Windows NT Server 3.51 o 4.0
serán actualizados automáticamente a los servicios Web de Windows 2000 Server. También serán
actualizados si están actualizando, como lo serán los usuarios de Windows 9x y PWS durante la
actualización a Windows 2000 Professional desde Windows 9x. Facilita a los usuarios la tarea de
aprovechar los nuevos servicios y funcionalidades de Windows 2000 Server y IIS.
● Contabilidad de Procesos: Ofrece información sobre cómo usan los sitios Web los recursos de la
CPU del servidor. La Contabilidad de Procesos es habilitada y personalizada según un criterio por
sitio. Los administradores de sistemas y los desarrolladores de aplicaciones pueden usar esta
funcionalidad para conocer todos los datos disponibles sobre la utilización de la CPU.
Los Proveedores de Servicio de Internet (ISPs) pueden usar esta información para determinar qué
sitios están usando una cantidad desproporcionada de recursos de la CPU o contienen scripts o
CGIs de funcionamiento erróneo. Los administradores IT pueden usar esta información para
facturar el coste de albergar un sitio o una aplicación Web a la división apropiada dentro de la
compañía.
● Potenciación de la CPU: Aprovechando los Objetos de tarea de Windows 2000 Server, los
administradores pueden limitar el tiempo de proceso de la CPU que una aplicación o sitio Web
podrá emplear en un periodo de tiempo dado. Las organizaciones operando con varios sitios Web

Capítulo 1
en un solo ordenador o con varias aplicaciones en el mismo ordenador (que hace las veces de
servidor Web) pueden limitar el tiempo que las aplicaciones fuera de servicio de un sitio Web
pueden usar el procesador. Esto asegura que siempre haya capacidad de proceso disponible para el
resto de sitios Web y aplicaciones ajenas al entorno Web.
● Dominios de Usuario Múltiples: En el caso de albergar varios sitios Web en Windows 2000
Server, los administradores pueden ofrecer un namespace único para cada sitio. Permite a los ISPs
albergar varios sitios Web en un solo servidor, a la vez que ofrecen dominios de usuario
independientes para cada sitio. De esta forma, cada dominio de usuario puede ser administrado
con un nivel de seguridad alto por el administrador de sitio asignado.
● Asistente de Certificados: La seguridad SSL es un requisito cada vez más común para los sitios
Web que pretendan ofrecer capacidades de comercio electrónico y acceso a información
empresarial confidencial . El nuevo Asistente SSL hace más sencilla la configuración de sitios
Web preparados para SSL en Windows 2000 Server. Con el Asistente de Certificados, los
administradores podrán configurar y mantener de manera sencilla la encriptación SSL y la
autentificación de certificados cliente en un sitio Web Windows 2000 Server.
● Asistente de Permisos: El Asistente de Permisos acompaña a los administradores en las tareas de

configuración de permisos y acceso autentificado en un sitio Web IIS. Facilita en gran medida la
configuración y administración de sitios Web que requieren de un acceso autorizado a sus
contenidos.
● Almohadilla de Tareas de la MMC: IIS saca el máximo partido a las capacidades de

almohadilla de tareas de la Consola de Gestión Microsoft. Se presenta a los administradores una
lista de tareas realizables en cada nodo u objeto de el complemento IIS. Por ejemplo, si un usuario
ha seleccionado un servidor con el snap-.in de la MMC, la almohadilla de tareas mostrará los
asistentes correspondientes para crear nuevos sitios Web y FTP. Convierte en increíblemente
sencillo administrar un servidor IIS. Con sólo elegir las tareas que se desea ver completadas, los
asistentes se encargarán de hacer el resto por usted.
● Scripts Administrativos de Línea de Comando Mejorados: IIS incluye scripts adicionales que
pueden ser ejectados desde la línea de comando para automatizar las tareas de administración del
servidor Web más comunes. Desde la línea de comando, los administradores pueden crear scripts
personalizados con los que automatizar la administración de IIS.
● Distribuir por Protocolo HTTP: Sirve una difusión unicast vía HTTP a otro Windows 2000
Server y servidor multimedia. Facilita la difusión a través de firewalls sin tener que abrir puertos
específicos en ellos.
● Autentificación de proxy distribuido: Si el usuario se enfrenta a un reto con el proxy, el servidor

le ofrecerá la oportunidad de introducir su ID y contraseña. Con lo que se consigue seguridad

Capítulo 1
firewall.
● Reenvío UDP: Si se pierde algún paquete UDP , el servidor lo reenviará inmediatamente. Con lo
que se consigue mejor calidad de multimedia al usar el protocolo UDP.
● Limitar las conexiones cliente por punto de publicación: Limita el número de clientes
conectados a un punto de publicación. Con lo que se consigue mejor gestión de los servidores
albergados para maximizar los clientes en un punto de publicación específico. Excelente para los
escenarios de contabilidad.
● Limitar el ancho de banda total por punto de publicación: Limita el ancho de banda por punto
de publicación. Con lo que se consigue mejor gestión de los servidores albergados para maximizar
los clientes en un punto de publicación específico.
● Output a formato de archivo W3C: Eventos de registro del output basado en las estadísticas
cliente. Con lo que se consigue que las herramientas de análisis estándar pueden mantener un
seguimiento de la información fácilmente.
● Análisis e Informe basado en el Analizador de Usos: Integración con Site Server para informar
con registros Windows Multimedia. Con lo que se consigue mejor integración con Site Server
para informar sobre usos.
● Modelo de autorización conectable: Los usuarios pueden autorizar el inicio de la difusión de un

contenido específico con aplicaciones personalizadas. (API abierto en el SDK). Con lo que se
permite a las aplicaciones de comercio operar con difusiones Windows Multimedia.
● Modelo de notificación conectable: El servidor puede indicar qué cliente está iniciando,
pausando o deteniendo una difusión en el momento en el que lo hace. (API abierto en el SDK).
Excelente para las compañías encargadas de albergar contenidos que desean saber cuánto tiempo
permanecen sus clientes conectados, y para escenarios de contabilidad.
● Muestras de autorización de servidor de comercio y notificación de eventos: Muestras de

autorización integradas para beneficio de los usuarios. Con lo que se facilita el empezar a usar la
funcionalidad de autorización.
● Modelo de autentificación conectable: Use su propia base de datos de autentificación

personalizada. (API abierto en el SDK). Con lo que se podrá usar los Servicios Windows
Multimedia con sus bases de datos de autentificación actuales.
● Seguridad por punto de publicación: Restringe el acceso a grupos de archivos o eventos en vivo
a través de seguridad en los puntos de publicación. Con lo que se consigue uno de los nuevos
niveles de seguridad que hacen posible el ofrecer más información confidencial a determinados

Capítulo 1
individuos.
● Autentificación BASIC usando NTLM: Los administradores pueden restringir el acceso en base
a la ID y contraseña del usuario. Con lo que se consigue más seguridad en el servidor para
conceder o denegar el acceso a sus contenidos.
● Membresías mediante autentificación BASIC: Los administradores pueden restringir el acceso

en base a la ID y contraseña del usuario. Con lo que se consigue más seguridad en el servidor para
conceder o denegar el acceso a sus contenidos.
● Distribuir por Protocolo HTTP: Sirve una estación a través del protocolo HTTP protocol a otro
Servidor Multimedia Windows 2000 Server. Con lo que se facilita la difusión a través de firewalls
sin tener que abrir puertos específicos en ellos.
● Autentificación de proxy distribuido: Si se enfrenta a un reto con el proxy, el servidor le

ofrecerá la oportunidad de introducir su ID y contraseña. Con lo que se consigue Requeriría de
autentificación proxy entre Servidores Multimedia y mejor seguridad entre Servidores
Multimedia.
● Gathering multidifusión sin conexión: Al recibir una multidifusión, el cliente usará el protocolo
HTTP para registar las estadísticas cliente en un servidor Web HTTP. Con lo que se consigue
mejor acceso a la información cliente en gatherings de multidifusión sin conexión.
● Tres asistentes completamente funcionales: Asistente Bajo Demanda para contenidos

almacenados. Asistente Unicast en Vivo. Asistente Multidifusión para transmisiones de este tipo.
Con lo que se simplifica la configuración para crear escenarios complejos.
Soporte para los estándares más nuevos
● Soporte para WebDAV: El Versionado y Autoría Distribuidos (DAV) es una extensión del
estándar HTTP 1.1 para mostrar un medio de almacenamiento de archivos jerárquico, del tipo de
un sistema de archivos, a través de una conexión HTTP. Usando el DAV, los autores remotos
pueden acceder fácilmente a recursos en el sistema de archivo vía http. Con la implementación IIS
de DAV, los usuarios podrán permitir a los autores remotos editar, mover, buscar y borrar los
archivos y directorios del servidor.
● Carpetas Web: El Soporte para Carpetas Web permite a los usuarios navegar en un servidor de
Versionado y Autoría Distribuidos (DAV) y visualizar los contenidos (con los permisos
apropiados) como si fuera parte del mismo namespace que el sistema local. Los usuarios podrán
arrastrar y soltar archivos, recuperar/modificar información de las propiedades de los archivos y
realizar otras tareas relacionadas con el sistema de archivo. El Soporte para Carpetas Web permite
a los usuarios mantener una imagen y capacidad de uso homogéneos a la hora de navegar por un
sistema de archivos local, un drive en red y un sitio Web en Internet. Por ejemplo, usando las

Capítulo 1
Carpetas Web y el DAV es posible realizar el equivalente de un comando DIR en un recurso http
y recuperar toda la información necesaria para completar un vista Microsoft Windows Explorer.
● Autentificación Compendiada: La Autentificación Compendiada ofrece las mismas
funcionalidades que la Autentificación Básica, pero implica un modo diferente de transmitir las
credenciales de autentificación. La Autentificación Básica envía las contraseñas por Internet como
texto limpio, mientras que la Compendiada la oscurece en la conexión. Los usuarios con
navegadores que soporten la Autentificación Compendiada se autentifican a si mismos ante un
servidor IIS sin comprometes sus credenciales de conexión.
● Compresión HTTP: Integración con el protocolo de compresión HTTP estándar. Esta
funcionalidad comprime y almacena en caché los archivos estáticos, y puede opcionalmente
realizar una compresión bajo demanda de los generados dinámicamente. Ofrece una transmisión
rápida de páginas entre el servidor Web y los clientes con la funcionalidad de compresión
habilitada. Esto es muy útil en escenarios en los que el ancho de banda es limitado pero hay
recursos disponibles en el servidor para realizar la compresión. Las versiones 4 y 5 de Internet
Explorer soportan los métodos de compresión usados en Windows 2000 Server.
● Reinicio FTP: Si se interrumpe a un usuario la descarga de un archivo largo de un sitio de FTP,
la próxima vez que trate de descargarlo comenzará a hacerlo desde dónde lo dejó. Se trata de un
modo más sencillo, cómodo y rápido para descargar información de Internet.
Sitios Web dinámicos más fáciles de construir
● Mejoras de Rendimiento: ASPs sin script. Los archivos ASP que no contienen scripts de
servidor son procesados como páginas HTML estáticas.
❍ Control de Flujos. En lugar de redireccionar las peticiones que requieren de un viaje de
ida y vuelta al cliente de alto impacto sobre el rendimiento, los desarrolladores Web
pueden transferirlas directamente a un archivo .asp, para que no tengan que salir del
servidor.
❍ Objetos de Rendimiento Mejorado. IIS ofrece versiones de rendimiento mejorado
actualizadas de los componentes instalables más populares.

❍ AutoSintonización. IIS detecta la ejecución de peticiones bloqueadas por recursos
externos, ofreciendo automáticamente más hilos de información para ejecutar

simultaneamente peticiones adicionales que permitan continuar con los procesos normales.
El rendimiento es fundamental para construir e implementar soluciones empresariales rentables

para la Web. Las continuas mejoras de rendimiento de IIS ofrecen a las organizaciones una
solución más rentable para construir e implementar aplicaciones empresariales para la Web.
● Tratamiento de Errores: Los desarrolladores pueden redireccionar los errores a páginas ASP
con información útil (descripción del error, número de línea en el archivo .asp, etc.). Con estas
capacidades, los desarrolladores pueden evitar perder tanto tiempo escribiendo procedimientos de
tratamiento de errores personalizados, para centrarse en la lógica empresarial de las aplicaciones.
● Scriptlets de Servidor: Con los Scriptlets de Server, los desarrolladores pueden encapsular
scripts comunes, como los usados para acceder a bases de datos o generar contenidos, en

Capítulo 1
componentes reutilizables accesibles desde cualquier programa o archivo .asp. Los scriptlets
pueden además ser incorporados a los programas escritos en lenguajes de programación COM,
como Microsoft VBScript o Microsoft Visual J++. Con scriptlets, los desarrolladores pueden
aprovechar los lenguajes de scripting más fáciles de usar para convertir sus procedimientos de
script de lógica empresarial en componentes COM reutilizables en otras aplicaciones Web y en
otros programas compatibles con el COM.
Servicios de aplicación Web
● Páginas Activas de Servidor (ASPs): Las Páginas Activas de Servidor son un entorno de trabajo
de aplicaciones diseñado para ofrecer a las organizaciones un modo sencillo para construir
aplicaciones Web. Las ASPs de Windows 2000 Server incluyen las siguientes funcionalidades:
❍ Control de Flujo Mejorado. El objeto ASP Server tiene ahora dos nuevos métodos a
disposición de los desarrolladores para controlar el flujo de programas, Server.Transfer

and Server.Execute. En lugar de redireccionar las peticiones, lo que hace necesario un
viaje de ida y vuelta al cliente con la consiguiente pérdida de rendimiento, podrán usar
estos nuevos métodos para transferir las peticiones directamente a un archivo .asp sin tener
que salir del servidor.
❍ Tratado de Errores. Las ASPs cuentan con una nueva capacidad de tratado de errores,
que permite a los desarrolladores atraparlos en un archivo .asp de mensaje de error

personalizado. Usando el nuevo método Server.GetLastError, el administrador podrá
mostrar la información útil (descripción del error, número de línea en el archivo .asp, etc.)
al usuario.
❍ Scriptlets de Servidor. Las ASPs soportan una nueva y potente tecnología Microsoft de
scripting, los Scriptlets de Server. Con ellos, los desarrolladores podrán convertir sus
procedimientos de script de lógica empresarial en componentes COM reutilizables en otras
aplicaciones Web y en otros programas compatibles con el COM.
❍ Objectos de Rendimiento Mejorado. Las ASP ofrecen ahora versiones de rendimiento
mejorado de sus populares componentes instalables. Estos objetos se escalarán de forma

fiable de una amplia gama de entornos de aplicación Web.
Las nuevas funcionalidades ASP de Windows 2000 Server han sido diseñadas para:
❍ Facilita a los desarrolladores la tarea de construir aplicaciones Web.

❍ Ofrecer mejores capacidades de tratado de errores para aplicaciones Web
❍ Ofrecer mejor rendimiento y escalabilidad
● Potenciación de la CPU: Las organizaciones que operen con varios sitios Web en un sólo
ordenador o con otras aplicaciones en su servidor Web podrán limitar la cantidad de tiempo que
se les permite a las aplicaciones fuera de proceso de un sitio Web utilizar el procesador. Permite
asegurarse de que de dispone de tiempo del procesador para los sitios Web y las aplicaciones no
Web.
● Contabilidad de Procesos: La Contabilidad de Procesos agrega campos personalizados al
archivo W3C Extended Log para registrar la información sobre el modo en que los sitios Web

Capítulo 1
emplean los recursos de la CPU del servidor. La Contabilidad de Procesos está habilitada y
personalizada según un criterio por sitio. Esta información puede ser útil para que los ISPs puedan
determinar qué sitios están usando una cantidad desproporcionada de recursos de CPU o cuentan
con scripts o procesos CGI dañados.
Servicios de cola de mensajes
● Integración del Directorio Activo: Los Servicios de Cola de Mensajes de Windows 2000 Server
usan el directorio para almacenar la información de la cola de mensajes. Permite a las
aplicaciones localizar sin problemas las colas de mensajes en una red.
RESISTENCIA A LAS CATEGORÍAS
Como se puede deducir del apartado anterior, resulta difícil clasificar muchos de los cambios de
Windows 2000. El sistema de archivos NTFS 5 afecta a la administración de discos porque permite
establecer cuotas de disco para controlar y limitar el uso del espacio de disco en volúmenes NTFS. Es al
mismo tiempo un importante componente de seguridad, ya que añade cifrado de archivos a sus
características de seguridad ya existentes.
Como consecuencia no siempre es posible tener categorías ordenadas.
Nueva Funcionalidad Descripción Beneficios
Herramientas de configuración y resolución de problemas
Administración de Para soportar la Windows 2000 Server

Componentes Opcionales instalación de soporta la posibilidad de
componentes opcionales, integrar componentes
la configuración de opcionales para que los
Windows 2000 Server integradores de sistemas
incluye ahora un puedan personalizar las
mecanismo para ligar instalaciones de add-ons
cualquier número de de otros fabricantes.
componentes añadidos a
un módulo de instalación,
instalándolos durante o
tras la configuración del
sistema.

Capítulo 1
Configuración en Modo Windows 2000 soporta El modo seguro evita el

Seguro ahora una pantalla de sistema operativo si es
opciones de modo seguro imposible de iniciar por
accessible desde el inicio un driver de
del sistema con sólo "comportamiento
pulsar F8. erróneo" de otro
fabricante o por una
aplicación que usa drivers
de modo kernel
(especialmente filtros de
sistema de archivo).
Duplicación de Discos La configuración incluye Los usuarios corporativos
un mecanismo para que que deben implementar
los OEMs, VARs y miles de desktops y
administradores de servidores Windows 2000
sistemas puedan duplicar Server en entornos
o "clonar" sistemas informáticos homogéneos
completamente instalados con el mismo hardware
en circunstancias desean contar con la
controladas (por ejemplo, posibilidad de
configuraciones de un personalizar un solo
dominio o hardware ordenador para luego
idéntico) "clonar" su disco duro en
el resto de desktops de la
corporación.
Asistente de Este asistente de En el caso de detectarse
Incompatibilidad de resolución de problemas una incompatibilidad, el
Drivers detecta y avisa al usuario usuario puede ir
si alguna aplicación o directamente a un sitio
componente provoca Web creado por el
errores en la OEM/ISV para hallar más
actualización o es información al respecto o
previsible que no para arreglar su problema,
funcione una vez o bien usar un disco del
completada ésta. OEM/ISV para reparar la
aplicación incompatible.

Capítulo 1
Asistente Configure su Windows 2000 Server En cada escenario la

Servidor puede ser ahora configuración sólo
configurado instalará los servicios
automáticamente para un relevantes; por ejemplo, el
gran número de escenario de Directorio
escenarios de uso: Activo configura el
Servidor de Directorio servidor como controlador
Activo, Servidor de de dominios e instala los
Aplicaciones y Servidor servicios AD y DNS
Avanzado, Servidor de (opcionalmente, también
Archivos, Servidor de puede instalar DHCP).
Impresoras, Servidor
Web/Media y Servidor de
Redes.
Configuración sin La Configuración sin Esto permite hacer más
Supervisión Supervisión es la rápidas las instalaciones
solución para que los personalizadas del sistema
OEMs, los operativo.
administradores de
corporaciones, los
Vendedores de Valor
Añadido (VARs) y el
resto de usuarios puedan
instalar Windows 2000
Server y los componentes
opcionales (Windows
Media Services,
Clustering, Directorio
Activo, etc.) sin
intervención del usuario.
Consola de Comandos de Esta utilidad permite a un En lanzamientos beta
Reparación usuario autorizado anteriores Microsoft no
leer/escribir volúmenes ofrecía ningún medio
NTFS usando los Discos sancionado de acceder a
de Inicio de Windows un volumen NFTS sin
2000 Server, y por tanto tener Windows 2000
copiar archivos, iniciar y Server inicializado. En
detener servicios y algunos casos, sin
reparar el sistema. Podrá embargo, era imposible
además reparar el sector hacerlo si un archivo de
de Inicio / Registro de sistema fundamental había
Inicio Master y sido dañado o borrado. La

Capítulo 1
formatear/fdisk única solución en ese caso

volúmenes. era volver a instalar
Windows 2000 Server en
paralelo o activar el
proceso de reparación,
perdiendo bastante tiempo
en ambos casos. Muchas
veces, y debido
precisamente a esto, los
administradores
instalaban Windows 2000
en la FAT, de forma que
pudieran acceder al
volumen en todo
momento usando un
disquete de DOS.
Soporte de Disco Permite actualizaciones e Un volumen de disco
Dinámico instalaciones limpias en dinámico es cualquier
volúmenes de disco disco partido por el
dinámicos (por ejemplo, Administrador de Disco
volúmenes que no Lógico (que contiene una
precisan de partición de sistema de 4
inicializaciones para MB al final del disco
implementar cambios de físico), que permite
configuración). aumentar el volumen ser
configurado para ser
tolerante a fallos.
Nueva Funcionalidad Descripción Beneficios
Más Rendimiento y Escalabilidad para aplicaciones

Capítulo 1
Arquitectura de Memoria Memorias mayores de 4GB La localización de

Empresarial en plataformas Intel (PAE). procesadores de 64
Dependiendo de la bits permite a las
plataforma, podrán soportar aplicaciones que
memorias físicas principales realizan procesos de
de hasta 64 GB. transacciones o
soporte de decisiones
en grandes conjuntos
de datos en memoria,
para mejorar el
rendimiento.
Escalabilidad SMP Microsoft ha centrado sus Windows 2000
Mejorada esfuerzos de desarrollo, Server ha sido
prueba y sintonización de optimizado para una
escalabilidad SMP en cantidad creciente de
Windows 2000 Advanced servidores SMP de 4,
Server y Datacenter Server. 8 y 32 modos a
precios competitivos
basados en
procesadores de
arquitectura Intel
cada vez más
rápidos.
Soporte I20 La arquitectura I2O emplea I2O alivia el host de
un procesador dedicado con tareas I/O de
su propia memoria de interrupción
descargar de procesos I/O el intensiva, mejorando
procesador principal. Este notablemente el
permite incrementar en gran rendimiento I/O en
medida el rendimiento y aplicaciones de
rebajar la utilización de la banda ancha (vídeo
CPU. por red, procesos
cliente/servidor y
groupware, etc.).

Capítulo 1
Dispersión/Unificación de LA Dispersión/Unificación Permite un

I/O de I/O es un tipo especial de rendimiento I/O
I/O de alto rendimiento mayor cuando los
disponible mediante las datos de las
funciones Win32 aplicaciones están
ReadFileScatter y situados en
WriteFileScatter. localizaciones de
memoria no
contiguas (lo
normal) y necesitan
pues ser reescritos en
una localización de
archivo contiguo.
Clasificación de Alto Optimiza el rendimiento de Esta clasificación ha
Rendimiento clasificación comercial en sido diseñada para
grandes conjuntos de datos. preparar los datos
para ser cargada en
aplicaciones de data-
warehouse y data-
mart y para preparar
operaciones de
archivo lote e
impresión a gran
escala sensibles a
clasificaciones.
Equilibrado de Cargas de El Equilibrado de Cargas de A medida que los
Red Red equilibra y distribuye servicios de Internet
las conexiones cliente se han convertido en
(conexiones TCP/IP) por esenciales para
servidores múltiples realizar los procesos
escalando el rendimiento de empresariales
servicios TCP/IP (servidores diarios, es necesario
Web, Proxy o FTP, por que sean capaces de
ejemplo) y asegurando una manejar grandes
alta disponibilidad. volúmenes de
peticiones de clientes
sin generar demoras.
Escalando el
rendimiento
mediante el
Equilibrado de
Cargas de Red,

Capítulo 1
podrá añadir hasta 32

servidores Windows
2000 a su cluster
para satisfacer la
demanda de estos
servicios.
Más fiabilidad y disponibilidad para aplicaciones
Objetos de Tarea Windows 2000 Server Los ISPs suelen

contiene una extensión de albergar varios sitios
modelo de procesos Web sin relación
denominada tarea. Los alguna entre si en un
objetos de tarea son solo servidor, y para
renombables, asegurables y ello necesitan contar
compartibles, y su misión es con un modo de
controlar los atributos de sus localizar los recursos
procesos asociados, usado por cada sitio
permitiendo administrar y dinámico. Los ISPs
manipular los grupos de podrían usar los
procesos como si fueran una objetos de tarea para
unidad. contabilizar el uso de
la CPU por las
aplicaciones Web y
para definir los
límites de este uso de
cada una de ellas.
Servicios de Clustering El clustering de Windows El soporte de
2000 Advanced Server y Clustering permite
Windows 2000 Datacenter ofrecer un alto nivel
Server permite conectar tres de servicio a los
o cuatro servidores en un usuarios a la vez que
"cluster" para mayor se gana control sobre
disponibilidad y una la administración de
administración más sencilla los recursos de
de los recursos de servidor. servidor críticos. Los
El servicio de clustering cluster de Windows
controla la salud de las 2000 Advanced
aplicaciones y los servidores Server y Windows
estándar, pudiendo recuperar 2000 Datacenter
automáticamente las Server aprovechan
aplicaciones y datos de las tecnologías de
misión crítica tras los tipos redes y las

Capítulo 1
de caída más comunes. plataformas PC

estádares actuales. El
Destacan entre las nuevas modelo de driver por
mejoras el soporte para el capas de Windows
Directorio Activo, el soporte 2000 Server
para conexiones de red de permitirá a Microsoft
marcación telefónica de alta añadir soporte
disponibilidad, servicios de rápidamente para las
sistema preparados para el tecnologías de
cluster (DHCP, WINS, Dfs) cluestering de alto
y soporte para rendimiento y
actualizaciones en serie. propósito especial
(por ejemplo,
interconexiones de
latencia baja) a
medida que sean
desarrolladas por los
fabricantes
especializados.
Menos Reinicializaciones Para mejorar la Un menor número de
de Servidor configuración y el reinicializaciones
mantenimiento de hardware para las tareas
y software se ha eliminado la comunes de
necesidad de reiniciar en mantenimiento del
varias funciones que lo servidor implica
precisaban con Windows NT mayor operatividad
Server 4.0 (aumentar un para los usuarios.
volumen de Windows 2000
almacenamiento, configurar Advanced Server y
protocolos de red o Windows 2000
reconfigurar parámetros en Datacenter Server
PCI y otro hardware PnP. soportan
actualizaciones en
serie, que permiten
un mantenimiento
planeado con el
menor tiempo de
caída posible.

Capítulo 1
Protección de Archivos La WFP evita el reemplazo Versiones anteriores

Windows (WFP) de archivos de sistema de los sistemas
fundamentales, evitando los operativos Windows
errores de versiones de permitían que los
archivo. Protege estos archivos de sistema
archivos mediante un compartidos
mecanismo de fondo que pudieran ser
opera dentro del sobreescritos durante
WINLOGON.EXE de la instalación de una
Windows 2000. Tras aplicación. Una vez
iniciarse, el servicio de hechos los cambios,
Protección de Archivos el usuario no podía
Windows chequea todos los predecir su resultado,
archivos de catálogo (.cat) que oscilaba entre el
usados para mantener un fallo de la aplicación
seguimiento de las versiones y la caída del sistema
de archivo correctas. Si falta completo. Este
o está dañado alguno de problema afecta
ellos, la Protección de sobre todo a las
Archivos Windows librerías delinks
renombrará el archivo dinámicos (DLLs) y
afectado y recuperará un a los archivos
versión almacenado en el ejecutables (EXEs),
directorio de caché de dlls. siendo denominado
familiarmente
"infierno DLL".
Con Windows 2000,

la Protección de
Archivos Windows
impide la sustitución
de los archivos de
sistema
monitorizados,
evitando así estos
errores de versión.

Capítulo 1
CHKDSK y recuperación Una caída de kernel permite Dependiendo del uso

de caídas más rápida un reinicio más rápido de del sistema, esto
sistemas con grandes puede disminuir
cantidades de memoria hasta un 80% el
física. Una caída resumen es tamaño y tiempo de
generada tras un error de la caída, mejorando
parada, y precisa menos así la disponibilidad
tiempo y espacio porque y capacidad de
sólo salva las páginas recuperación del
válidas de la memoria kernel sistema.
y, opcionalmente, las
páginas de usuario válidas
de los procesos en curso.
Menos Caídas de "Pantalla Windows 2000 incluye Estas
Azul" varias funcionalidades para funcionalidades
permitir a los desarrolladores protegen las áreas
evitar problemas en los sitios del sistema operativo
de sus clientes: de bugs en otras
secciones,
● Protección de modo permitiendo a lso
kernel: emplea el desarrolladores
administrador de evitar posibles
memoria de Windows problemas en los
2000 para ofrecer sitios de sus clientes.
protección contra la
sobreescritura de
código y
subsecciones de sólo
lectura del kernel y
los drivers de
dispositivo.
● Tecnología de Firma
de Código:
complementa la
Protección de
Archivos de Sistema
usando las
tecnologías
criptográficas de
Firma Digital
existentes para
verificar la fuente de

Capítulo 1
archivo de sistema
antes de instalarlo.
● Etiquetado de Pools:
permite a los editores
de drivers de
dispositivos de kernel
producir mejores
drivers y código más
limpio, llevando
todas las
localizaciones de
memoria de los
drivers seleccionados
a un pool especial en
lugar de a un pool de
sistema compartido.
Verificador de Drivers El Verificador de Drivers es Los drivers deben

un potente mecanismo cumplir unas
configurable por el complejas reglas
administrador diseñado para para interactuar de
que Windows 2000 pueda forma segura con el
mostrar los drivers de modo resto de drivers y
kernel y activar sus defensas componentes del
en caso de encontrar alguno sistema operativo.
imposible de instalar. Una pequeña
desviación de estas
reglas puede
significar una
corrupción muy
dificil de localizar y
reparar. El
Verificador de
Drivers muestra y
señala con precisión
el código erróneo.

Capítulo 1
Firma de Drivers Para asegurar a los usuarios La certificación

que los drivers de demuestra al usuario
dispositivo cargados en sus que los drivers que
sistemas son productos está empleando son
certificados y avisarles en idénticos a los
caso contrario, Microsoft probados por
ofrece un potente Microsoft, evitando
mecanismo de firma cualquier cambio en
criptográfica sobre el código su código una vez el
binario del driver, y ha producto es incluido
empezado a firmar en la Lista de
digitalmente los drivers que Compatibilidad de
han superado los tests de los Hardware.
Windows Hardware Quality
Labs (WHQL).
PageHeap Una vez habilitada la La funcionalidad
funcionalidad PageHeap PageHeap puede
para una aplicación, todas ayudar a los
las localizaciones heap (área desarrolladores a
especial en la memoria que detectar problemas
se utiliza para guardar de corrupción heap
recursos importantes) de esa de forma más rápida
aplicación (incluyendo las de y fiable.
las DLLs en ese proceso)
son colocadas en la memoria
de forma que el fin de la
localización heap esté
alineada con el fin de una
página virtual de memoria.
La siguiente página estará
definida como
NO_ACCESS. Cualquiera
lectura o escritura de
memoria por detrás de la
localización heap provocará
una violación de acceso
inmediata, captada por el
depurador para mostrar al
desarrollador la línea exacta
causante de la corrupción
heap.

Capítulo 1

Funcionalidad
Servicios de componente
COM+ El Modelo de Objetos de COM+ tiene las siguientes

Componente (COM+) de ventajas:
Windows 2000 Server
simplifica radicalmente la ● Escalabilidad de
creación y uso de componentes aplicaciones

de software, ofreciendo unos mejorada.
servicios y un rendimiento Tecnologías como la
fáciles de usar con cualquier Base de Datos en
herramienta o lenguaje de Memoria permiten a
programación, y permitiendo la las aplicaciones
interoperatibilidad entre operar y escalarse más
componentes rápidamente.
independientemente de cómo ● Flexibilidad mejorada.
hayan sido implementados. – Tecnologías como

los Componentes en
● El Servicios de Cola y los Eventos de
Publicación y Publicación y
Suscripción de Eventos Suscripción facilitan a
es un mecanismo de los desarrolladores la
evento general para que tarea de integrar su
varios clientes se puedan código en los sistemas
"suscribir" a múltiples de otros fabricantes.
eventos "publicados". ● Programación
Cuando el editor simplificada. La

suspende un evento, el integración con el
sistema de eventos modelo de
COM+ revisa la base de programación MTS y
datos de suscripción y se COM simplifica el
lo notifica a todos los desarrollo y aumenta
suscriptores. el soporte para la
● Los componentes en programación por
cola permiten a los atributos.
clientes invocar métodos
en componentes COM
usando un modelo
asícrono, muy útil en
redes poco fiables y en

Capítulo 1
escenarios de uso
desconectados.
Analizador de El Analizador de XML El Analizador de XML de

XML Windows 2000 es Microsoft XML tiene una
implementado como un arquitectura multicapa de alto
componente COM, y ofrece la rendimiento ideal para el
base XML completa para las proceso de XSL y XML de
aplicaciones DNA de Windows cliente y servidor.
DNA Entre sus funcionalidades
se cuentan:
● Un completo modelo de
programación
independiente de la
programación, que
incluye soporte para
ECMAScript, Java, Perl,
Python, SQL, el sistema
de desarrollo Visual
Basic® y Visual C++®
y Visual Basic Scripting
Edition (VBScript).
● Soporte para el W3C
XML 1.0, XML DOM, y
las recomendaciones
Namespaces.
● Soporte para DTDs y
validación.
● El prime soporte de la
industria para XSL,
querying y una vista
previa de la tecnología
de esquemas.
NECESIDAD DE PLANIFICACIÓN
Si se diseña una nueva red o se realizan cambios en una existente, la planificación es el componente

Capítulo 1
esencial y sofisticado que hay que tener en cuenta antes que cualquier otra cosa. Poca diversión y mucho
trabajo convierten esta tarea en algo desagradable, pero es importante comprender que cada minuto y
cada hora empleados en planificar le serán después correspondidos al administrador (o a sus herederos y
ayudantes) multiplicados por cien.
Algunas veces cuesta apreciar los beneficios de una planificación meticulosa -hasta que se ha tenido la
mala fortuna de tener que soportar una instalación mal planteada-. Windows 2000 es particularmente
implacable con una planificación tomada a la ligera. Como se mencionó anteriormente, se puede añadir
Windows 2000 Server o Professional a una red Windows NT 4. Sin embargo, a menos que se piense
utilizar finalmente el Active Directory y otras herramientas específicas de Windows 2000, los beneficios
de simplemente acoplar un par de máquinas Windows 2000 serán mínimos. Y en todos los casos, el
diseño de directorios -por no mencionar la aplicación de los nuevos conceptos como bosques y árboles-
requiere una planificación considerable y la capacidad de proyectar la experiencia actual al futuro. Por lo
tanto, los administradores de sistemas sensatos poseen una mayor perspectiva.

Capítulo 2
Capítulo 2
Todo el mundo utiliza directorios dentro o fuera del ordenador. Después de todo, si no fuera por las
programaciones televisivas que aparecen en los periódicos, se perderían horas cambiando de canal,
buscando algo que ver.
Otro tipo de directorio que muchos encuentran indispensable es la guía de teléfonos. De hecho, las guías
telefónicas son la fuente de analogía para dos formas de búsqueda necesarias en los directorios
informáticos. Existe la búsqueda en "páginas blancas" por atributo, por medio de la cual se puede
conocer el nombre u otro dato del objeto y cuya búsqueda se realiza utilizando ese fragmento de
información. El segundo tipo de búsqueda, llamada búsqueda en "páginas amarillas", se realiza por
categoría. El tener los dos tipos de búsqueda disponibles implica que no es necesario conocer muchos
datos de un objeto para localizarlo.
La falta de coherencia que puede ir unida a los directorios tiene grandes consecuencias en una red de
cualquier tamaño. Los servicios de directorio reales -un catálogo global de servicios y recursos de la red-
no existen en las redes Microsoft Windows NT. Las funciones de directorio disponibles en la versión 4
proporcionan los tan importantes inicio único y punto de administración único que los entornos
empresariales necesitan, pero tienen serias deficiencias cuando se involucra una gran cantidad de
usuarios. Los intentos de organizar documentos en carpetas y directorios funcionan hasta cierto punto,
pero cuando el número de objetos se incrementa, su administración se vuelve compleja y pesada.
Hasta ahora, el servicio de directorio informático considerado como el mejor era Servicios de directorio
de Novell (NDS, Novell Directory Services), incorporado en NetWare 4.0 en 1993.
Introducción a los Servicios de Directorio (DC)
En un entorno informático Windows NT normal, un usuario puede iniciar sesión en la red con un nombre
de usuario, digamos Mperez, y una contraseña. Asumiendo que tiene los permisos necesarios, Mperez
puede pulsar con el ratón en Entorno de red o conectarse a una unidad de red y buscar los archivos que
necesite.
Todo esto funciona muy bien hasta que el ámbito de la red cambia. La empresa introduce correo
electrónico y Mperez obtiene otra identidad (mariaperez@dominio.com). Los servicios, bases de datos y
herramientas administrativas adicionales -cada uno identificando a María Pérez de forma ligeramente
distinta- necesitan estar accesibles por el mismo usuario. Cuando se considera que todo esto es sólo para
uno de cientos e incluso miles de usuarios, no cuesta ver lo difícil de resolver que pueden resultar los
errores que pueden presentarse. A medida que el número de objetos en una red crece, los servicios de
directorio -un lugar centralizado donde almacenar la información administrativa que se emplea para

Capítulo 2
gestionar el sistema informático completo- se vuelven esenciales.
Los servicios de directorio se diferencian de un directorio en que son tanto la fuente de la información de
directorio como los servicios que hacen que la información esté disponible para los usuarios. Al ser al
mismo tiempo una herramienta de administración y una herramienta para el usuario final, los servicios de
directorio necesitan contemplar estas necesidades:
● Acceso a todos los servidores, aplicaciones y recursos por medio de un inicio de sesión único. (El
acceso del usuario se permite o se bloquea por medio de permisos.)
● Réplica multimaestro. Toda la información se distribuye por todo el sistema y se replica en varios
servidores.
● Búsquedas en «páginas blancas» basadas en atributos, por ejemplo, por nombre o tipo de archivo.
● Búsquedas en «páginas amarillas» basadas en clasificaciones, por ejemplo, todas las impresoras
de la tercera planta o todos los servidores de la oficina de Madrid.
● La capacidad de eliminar la dependencia con las ubicaciones físicas para propósitos de
administración. Esto es, debería ser posible delegar la administración del directorio, tanto parcial
como completamente.
Aunque Microsoft ha empleado alguna vez el término «servicios de directorio» en relación con Windows
NT (al igual que en el Administrador de servicios de directorio para NetWare), Windows NT no
proporciona un auténtico servicio de directorio jerárquico. En Windows NT, las funciones de directorio
se dividen en una gran cantidad de servicios basados en dominios. El Servidor del Sistema de nombres de
dominio (DNS, Domain Name System) proporciona la traducción de nombres en números IP y se integra
con los servidores con Protocolo de configuración dinámica de host (DHCP, Dynamic Host
Configuration Protocol) utilizados para asignar dinámicamente direcciones TCP/IP. El Servicio de
nombres de Internet para Windows (WINS, Windows Internet Naming Service) se utiliza para la
resolución de nombres de NetBIOS y lo necesitan las redes Windows NT para compartir archivos y
algunas aplicaciones. La seguridad se implementa por medio de listas de control de acceso (ACLs,
Access Control List), la base de datos del gestor de cuentas de seguridad (SAM, Security Accounts
Manager) y otros servicios.
En Microsoft Windows 2000 Server, Active Directory reemplaza la colección de funciones de directorio
de Windows NT con una implementación integrada que incluye DNS, DHCP, Protocolo de acceso ligero
a directorios (LDAP, Lightweight Directory Access Protocol) y Kerberos.
X.500 es un estándar para servicios de directorio establecido por la Unión internacional

de telecomunicaciones (ITU, International Telecommunications Union). La Organización
internacional de normalización/ Comisión electrotécnica internacional (ISO/IEC,
International Standars Organization/International Electrotechnical Commission) también
ha publicado el mismo estándar. El estándar X.500 define el modelo de información
utilizado en los servicios de directorio. En este modelo, toda la información de un
directorio se almacena en entradas, cada una de las cuales pertenece al menos a una clase

Capítulo 2
de objetos. La información real de una entrada se determina por los atributos que
contiene.
El estándar original X.500 de 1988 se centró principalmente en los protocolos que debían
implementarse. El Protocolo de acceso a directorios (DAP, Directory Access Protocol)
especifica cómo acceden las aplicaciones de usuario a la información del directorio. El
Protocolo de servicios de directorio (DSP, Directory Service Protocol) se utiliza para
propagar las peticiones al directorio entre los servidores de directorio cuando el servidor
de directorio local no puede satisfacerlas.
Ningún servicio de directorio existente implementa completamente el estándar X.500, pero

todos se modelan según las especificaciones básicas de X.500, como Active Directory.
Active Directory en Windows 2000 (AD)
Active Directory posee numerosas ventajas, no sólo el poder manejar instalaciones de cualquier tamaño,
desde un único servidor con unos cientos de objetos hasta miles de servidores con millones de objetos.
Active Directory también simplifica enormemente el proceso de localizar recursos a lo largo de una gran
red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a
los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una
única forma de acceder a múltiples directorios, ya estén basados en LDAP, NDS o en los Servicios de
directorio de NT (NTDS, NT Directory Services).
En Windows 2000, Active Directory integra el concepto de espacio de nombres de Internet con los
servicios de directorio del sistema operativo. Esta combinación permite la unificación de múltiples
espacios de nombres entre, por ejemplo, la mezcla de entornos software y hardware de las redes
corporativas, incluso de un lado a otro de las fronteras entre sistemas operativos. La capacidad de
subsumir directorios empresariales individuales en un directorio de propósito general implica que Active
Directory puede reducir notablemente los costes de la administración de múltiples espacios de nombres.
Active Directory no es un directorio X.500. En cambio, utiliza LDAP como protocolo de acceso y
soporta el modelo de información X.500 sin requerir sistemas que soporten toda la sobrecarga de X.500.
LDAP está basado en TCP/IP y es considerablemente más simple que el DAP de X.500. Al igual que
X.500, el modelo de directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para
identificar una entrada sin ambigüedad. Pero en lugar de utilizar la estructurada codificación de datos de
X.500, LDAP adopta un enfoque sencillo basado en cadenas para representar las entradas de directorio.
LDAP utiliza muchas de las técnicas de acceso a directorio especificadas en el estándar DAP de X.500
pero requiere menos recursos del cliente, haciéndolo más práctico cuando se tiende a usarlo sobre un
enlace TCP/IP.
Active Directory también soporta directamente el Protocolo de transferencia de hipertexto (HTTP,

Hypertext Transfer Protocol). Todo objeto de Active Directory se puede mostrar como una página en

Capítulo 2
Lenguaje de marcas de hipertexto (HTML, Hypertext Markup Languaje) en un explorador Web. El

directorio soporta extensiones para que el Servicio de información de Internet (IIS, Internet Information
Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en páginas HTML para
mostrarlas en cualquier cliente HTML.
Active Directory permite un punto único de administración para todos los recursos públicos, entre los
que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de datos, accesos Web,
usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de
localización, organiza los objetos en dominios dentro de una jerarquía de unidades organizativas (OU,
Organizational Unit) y permite que varios dominios se conecten en una estructura en árbol. Los
conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de
reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory sólo utiliza
controladores de dominio, y las actualizaciones se replicarán en el resto de controladores de dominio.
Terminología y conceptos de Active Directory
Algunos de los términos empleados para describir conceptos de Active Directory se han utilizado durante
algún tiempo en otros contextos, por lo que resulta importante comprender lo que significan cuando se
utilizan específicamente en referencia al Active Directory.
Espacio de nombres y resolución de nombres
«Espacio de nombres» es quizás un término poco familiar para un concepto muy familiar. Cada servicio
de directorio es un espacio de nombres -un área circunscrita en la cual un nombre se puede resolver-. Un
listado de programas televisivos constituye un espacio de nombres en el cual se puede traducir un
programa de televisión al canal correspondiente. Un sistema de archivos informático constituye un
espacio de nombres en el cual se puede relacionar un nombre de archivo con el propio archivo.
Active Directory constituye un espacio de nombres en el cual se puede relacionar el nombre de un objeto
del directorio con el propio objeto. La resolución de nombres es el proceso de relacionar un nombre con
algún objeto o información que representa dicho nombre.
Atributo
Cada fragmento de información que describe algún aspecto de una entrada se denomina atributo. Un
atributo está formado por un tipo del atributo y uno o más valores del atributo. Un ejemplo de un tipo de
atributo puede ser "número de teléfono", y un ejemplo de valor del atributo número de teléfono puede ser
«914 785 426».
Objeto
Un objeto es un conjunto determinado de atributos que representa algo concreto, como un usuario, una

Capítulo 2
impresora o una aplicación. Los atributos contienen la información que describe lo que se identifica por
medio del objeto de directorio. Entre los atributos de un usuario se podrían incluir el nombre del usuario,
los apellidos y la dirección de correo electrónico. La clasificación de un objeto define qué tipos de
atributos se utilizan. Por ejemplo, los objetos clasificados como «usuarios» podrían permitir el uso de
tipos de atributos como «nombre», «número de teléfono» y «dirección de correo electrónico», mientras
que la clase de objetos «empresa» permitiría tipos de atributos como «nombre de la empresa» y «tipo de
negocio». Un atributo puede tener uno o más valores, dependiendo de su tipo.
Identidad del objeto
Cada objeto en Active Directory tiene una identidad única. Los objetos se pueden mover o renombrar,
pero su identidad nunca cambia. Los objetos se conocen internamente por su identidad, no por su nombre
actual. La identidad de un objeto es un identificador único global (GUID, Globally Unique Identifier),
asignado por el Agente del sistema del directorios (DSA, Directory System Agent) cuando se crea el
objeto. El GUID se almacena en un atributo, objectGUID, que forma parte de todo objeto. El atributo
objectGUID no se puede modificar ni borrar. Cuando se almacena una referencia a un objeto de Active
Directory en un almacén externo (por ejemplo, una base de datos), se debería utilizar objectGUID
porque, a diferencia de un nombre, no cambiará.
Contenedor
Un contenedor se parece a un objeto en el hecho de que posee atributos y forma parte del espacio de
nombres de Active Directory. Sin embargo, a diferencia de un objeto, un contenedor no representa algo
concreto. Es un almacén de objetos y otros contenedores.
Árbol y subárbol
Un árbol en Active Directory es

simplemente una extensión de la idea
de árbol de directorios. Es una
jerarquía de objetos y contenedores
que muestra cómo se relacionan los
objetos o el camino desde un objeto
hasta otro. Los puntos finales del
árbol son generalmente objetos.
Un subárbol es cualquier camino sin

interrupciones del árbol, incluyendo
todos los miembros de cada contenedor de dicho camino.
Nombre distinguido
Todo objeto en Active Directory tiene lo que se denomina un nombre distinguido (DN, Distinguished

Capítulo 2
Name). En este contexto, «distinguido» implica las cualidades que permiten distinguir al nombre. Los
nombres distinguidos identifican el dominio que contiene el objeto además del camino completo a través
de la jerarquía del contenedor utilizado para alcanzar el objeto. Un DN típico podría ser CN=María
Pérez,OU=Investigación,DC=dominio,DC=com. Este DN identifica al objeto usuario «María Pérez» en
el departamento de investigación, en el dominio dominio.com.
CN se interpreta como nombre propio (Common Name), OU como unidad organizacional

(Organizational Unit) y DC significa controlador de dominio (Domain Controller).
Algunos atributos se derivan del modelo X.500; un administrador puede definir otros.
Active Directory utiliza también un nombre distinguido relativo (RDN, Relative Distinguished Name), el
cual forma parte del nombre distinguido que es un atributo del propio objeto. En el ejemplo anterior, el
RDN del objeto usuario es CN = María Pérez. El RDN del objeto padre es OU = Investigación.
El fragmento "DC=" de un nombre distinguido permite a los directorios X.500 conectarse al espacio de
nombres DNS, lo que también hace Active Directory. La raíz del espacio de nombres global de Active
Directory es el espacio de nombres DNS. De este modo, los nombres de dominio DNS se mezclan con el
esquema de denominación de Active Directory. Por ejemplo, dominio.com es un nombre de dominio
DNS correcto y también podría ser el nombre de un dominio de Active Directory. La integración con
DNS implica que Active Directory se adapte perfectamente a entornos de Internet e intranet. Los
servidores de Active Directory pueden conectarse directamente a Internet para simplificar las conexiones
seguras y el comercio electrónico con clientes y socios.
Esquema
" Esquema" es un término utilizado generalmente en el trabajo con bases de datos. En el contexto de
Active Directory, el esquema son todos los fragmentos que componen un Active Directory: los objetos,
atributos, contenedores, etc. Active Directory posee un esquema predeterminado que define la mayoría
de las clases de objetos habituales, como usuarios, grupos, computadoras, departamentos, políticas de
seguridad y dominios.
El esquema de Active Directory se puede actualizar de forma dinámica. Esto es, una aplicación puede
ampliar el esquema con nuevos atributos y clases y utilizar las extensiones inmediatamente. Las
actualizaciones del esquema se realizan creando o modificando los objetos esquema almacenados en el
directorio. ACLs protege los objetos esquema, de forma que sólo los usuarios autorizados puedan
modificar el esquema.
ARQUITECTURA DE ACTIVE DIRECTORY
Active Directory no es, estrictamente hablando, un servicio de directorio X.500, aunque como el resto de
servicios de directorio, se deriva de ese estándar. Las características de la arquitectura de Active
Directory son:

Capítulo 2
El Directory System Agent (DSA)
El DSA es el proceso que proporciona acceso al almacén físico de la información del directorio ubicada
en un disco duro. El DSA es parte del subsistema Local System Authority (LSA) de Windows 2000. Los
clientes pueden acceder a la información del directorio por medio de alguno de los siguientes
mecanismos:
● Los clientes LDAP se conectan a DSA utilizando el protocolo LDAP; Active Directory soporta
LDAP v3, definido en el RFC 2251; y LDAP v2, definido en el RFC 1777. Los clientes Windows
2000 Server y los clientes Windows 95/98 con los componentes clientes de Active Directory
instalados utilizan LDAP v3 para conectarse a DSA.
● Los clientes Interfaz de programación para aplicaciones de mensajería (MAPI, Messaging
Applications Programming Interface) como Microsoft Exchange se conectan a DSA utilizando la
interfaz Llamada a procedimientos remotos (RPC, Remote Procedure Call) MAPI.
● Los clientes Windows que utilizan Windows NT se conectan al DSA por medio de la interfaz
SAM.
● Los DSA de Active Directory se conectan entre ellos para realizar replicaciones por medio de una
interfaz RPC propietaria.
Formatos de denominación
Active Directory soporta varios formatos de denominación para adaptarse tanto a los usuarios como a las
aplicaciones:
● Nombres RFC 822, conocidos por la mayoría de usuarios como direcciones de correo electrónico
de Internet, como mariaperez@dominio.com. Active Directory proporciona un «nombre
intuitivo» de la forma RFC 822 para todos los objetos. De este modo, un usuario puede emplear
un nombre intuitivo tanto como dirección de correo electrónico como nombre utilizado para
iniciar la sesión.
● URL HTTP, conocidos por la mayoría de usuarios que tienen exploradores Web. Un URL
normal tiene la forma http://dominio/camino-hasta-la-página, donde dominio se refiere al servidor
que ejecuta los servicios de Active Directory y camino-hasta-la-página es el camino al objeto de
interés a través de la jerarquía de Active Directory. El URL para María Pérez es http:
//AServer.dominio.com/División/Producto/Investigación/MaríaPérez.
● Nombres LDAP, que son más complicados que los nombres de Internet, pero que generalmente
se ocultan dentro de una aplicación. Los nombres LDAP utilizan el convenio de denominación
por medio de atributos de X.500. Un URL LDAP especifica el servidor que contiene los servicios
de Active Directory y el nombre del objeto utilizando atributos -por ejemplo,
ldap://AServer.dominio.com/CN=mariaperez, OU=Investigación, OU=Producto, OU=División,
0=MegaIntl, C=ES.
● Nombres UNC, el convenio de denominación universal utilizado en servidores basados en

Capítulo 2
Windows NT y redes basadas en Windows 2000 Server para referirse a volúmenes, impresoras y
archivos compartidos. Por ejemplo,
\\dominio.com\División.Producto.Investigación.Volúmen\DocumentosWord\informeabril.doc.
El modelo de datos
El modelo de datos de Active Directory se deriva del modelo de datos de X.500. El directorio contiene
objetos que representan elementos variados, descritos por medio de atributos. El universo de objetos que
se pueden almacenar en el directorio está definido en el esquema. Para cada clase de objeto, el esquema
define qué atributos debe tener un ejemplar de la clase, qué atributos adicionales podría tener y qué clase
de objetos puede ser su padre.
Implementación del esquema
El esquema de Active Directory está implementado como un conjunto de ejemplares de clases de objetos
almacenados en el directorio. Esto difiere bastante de los directorios que poseen un esquema pero lo
almacenan como un archivo de texto que se lee al iniciar. Almacenar el esquema en el directorio tiene
muchas ventajas. Por ejemplo, las aplicaciones de los usuarios pueden leerlo para averiguar qué objetos y
propiedades se encuentran disponibles.
El modelo de seguridad
Active Directory es parte de la base de confianza informática de Windows 2000 y participa

completamente en la infraestructura de seguridad de Windows 2000. El modelo de seguridad distribuida
se basa en el protocolo de autenticación Kerberos del MIT (versión 5). La autenticación Kerberos
incorpora seguridad tanto de clave pública como de clave privada, utilizando el mismo soporte ACL que
el sistema operativo subyacente, Windows 2000. Los ACL protegen todos los objetos de Active
Directory. Determinan quién puede ver el objeto, qué atributos puede ver cada usuario y qué acciones
puede realizar cada usuario sobre el objeto. Si un usuario no tiene permiso para ver un objeto o un
atributo, nunca conocerá su existencia.
Un ACL, a su vez, se construye con Entradas de control de acceso (ACE, Access Control Entries)
almacenadas junto al objeto que protege el ACL. En Windows NT y Windows 2000, un ACL se
almacena como un valor binario, llamado descriptor de seguridad. Cada ACE contiene un identificador
de seguridad (SID, Security Identifier) que identifica al director (usuario o grupo) al cual el ACE aplica y
proporciona la información sobre qué tipo de acceso permite o rechaza el ACE.
Los ACL de los objetos del directorio contienen ACE que se aplican a la totalidad del objeto y ACE que
se aplican a atributos individuales del objeto. Esto permite a un administrador controlar no sólo qué
usuarios pueden ver un objeto, sino también qué propiedades pueden ver. Por ejemplo, todos los usuarios
podrían tener permiso para leer los atributos correo electrónico y número de teléfono del resto de
usuarios, pero el acceso a las propiedades de seguridad de los usuarios estaría prohibido para todos

Capítulo 2
excepto para los miembros de un grupo de seguridad especial de administradores. Además, los usuarios
individuales deberían tener permiso de escritura a atributos personales como el teléfono y las direcciones
de correo de sus propios objetos usuario.
Active Directory es el almacén del sistema de seguridad, incluyendo las cuentas de usuario, grupos y
dominios. Este almacén reemplaza a la base de datos del registro de cuentas y es un componente de
confianza dentro del LSA.
Delegación y herencia
La delegación es una de las características de seguridad más importante de Active Directory. Un

administrador puede autorizar a un usuario a realizar un conjunto específico de acciones en algunos
subárboles identificados del directorio. Esto se denomina administración. La administración delegada
permite un control muy fino sobre quién puede hacer qué y permite a los administradores delegar
autoridad sin conceder privilegios elevados. Esto elimina también la necesidad de los administradores de
dominio con amplia autoridad sobre grandes segmentos de la población de usuarios.
Los administradores conceden permisos sobre operaciones concretas en clases de objetos concretas
añadiendo ACE al ACL del contenedor.
La herencia permite propagar un ACE dado desde el contenedor en el que fue aplicado a todos los hijos
de dicho contenedor. La herencia se puede combinar con la delegación para conceder derechos
administrativos a subárboles completos del directorio con una única operación.
Contextos de denominación y particiones
Active Directory se compone de uno o más contextos de denominación o particiones. Un contexto de

denominación es cualquier subárbol contiguo del directorio. Los contextos de denominación son las
unidades de división. Un servidor único siempre contiene al menos tres contextos de denominación:
● El esquema.
● La configuración (topología de réplica e información relacionada).
● Uno o más contextos de denominación de usuarios (subárboles que contienen los objetos reales
del directorio).
El Catálogo global
El DN de un objeto incluye suficiente información para localizar una copia de la partición que contiene
al objeto. Muchas veces, sin embargo, el usuario o la aplicación no conoce el DN del objeto objetivo, o
qué partición debería contener el objeto. El Catálogo global (GC, Global Catalog) permite a los usuarios
y a las aplicaciones encontrar objetos en un árbol de dominio de Active Directory, proporcionando uno o
más atributos del objeto deseado.

Capítulo 2
El Catálogo global contiene una copia parcial de cada contexto de denominación del directorio. También
contiene el esquema y los contextos de denominación de la configuración. Esto significa que el GC
contiene una copia de cada objeto de Active Directory, pero con sólo un pequeño número de sus
atributos. Los atributos en el GC son los utilizados con mayor frecuencia en las operaciones de búsqueda
(como el nombre y apellidos de un usuario, el nombre de entrada al sistema, etc.) y aquellos necesarios
para encontrar una copia completa del objeto. El GC permite a los usuarios encontrar los objetos de
interés rápidamente sin conocer qué dominio los contiene y sin que sea necesario un espacio de nombres
ampliado contiguo en la empresa.
El Catálogo global está integrado en el sistema de réplicas de Active Directory. La topología de réplicas
del GC también se genera de forma automática. Las propiedades replicadas en el GC incluyen un
conjunto base definido por Microsoft. Los administradores pueden especificar propiedades adicionales
para satisfacer las necesidades de su instalación.

Capítulo 3
Capítulo 3
Cuando se emplea tiempo en analizar la estructura y necesidades de la organización y en determinar la

mejor forma de trasladar esos requisitos al nuevo espacio de nombres, se obtiene como recompensa unos
costes de soporte reducidos, una flexibilidad mejorada y una menor reorganización posterior. Es
importante comprender que la planificación del espacio de nombres de una organización o compañía
grande o incluso de tamaño medio es un proceso iterativo.
Análisis de las necesidades de convenios de denominación
Para planificar cómo debería quedar la estructura de espacios de nombres y dominios, es necesario
analizar la organización y tratar de comprender sus necesidades de denominación fundamentales. Este
proceso requiere una profunda comprensión del tipo de organización que se trata y quiénes son los
actores, además de algunas conjeturas razonables acerca de adónde se dirigirá la organización en el
futuro.
Árboles y bosques
Como primer paso, es necesario entender las diferencias entre los dos tipos básicos de espacios de
nombres -árboles y bosques- para decidir cómo se adaptan a la organización. Se pueden cambiar los
modelos después y no sin tener
impacto sobre la totalidad de los
nombres utilizados, por lo que se debe
emplear algún tiempo para asegurarse
de la comprensión de lo que realmente
necesita la organización. Lo que la
organización necesita puede ser
diferente de lo que se piensa que
quiere.
Árboles
El espacio de nombres en árbol es un espacio de nombres único y contiguo, donde cada nombre del
espacio de nombres desciende directamente de un único nombre raíz. Este sencillo tipo de diseño de
denominación es apropiado para una organización esencialmente cohesiva que tiene un único nombre
bajo el cual puede haber muchas divisiones diferentes y diversos negocios. Muchos pequeños o medianos
negocios encajarán bien en este modelo. Incluso negocios muy grandes pueden ajustarse cómodamente a
una estructura en árbol si la organización está bastante centralizada y se la conoce por un único nombre.

Capítulo 3
Como se puede observar en la figura, con un espacio de nombres estructurado en árbol, cada rama del
árbol tiene un nombre que desciende directamente de la raíz del árbol. Este convenio facilita el encontrar
cualquier hoja o rama del árbol
rastreando la estructura de su nombre.
Bosques
Un espacio de nombres en bosque es

una colección de árboles esencialmente
iguales, sin una única raíz en el espacio
de nombres. El espacio de nombres en
árbol es apropiado para una
organización que tenga múltiples líneas
de negocio, cada una con su propio
nombre independiente e identificable.
Generalmente serán grandes empresas, especialmente aquellas que hayan crecido por medio de
adquisiciones. Por lo general no disponen de un grupo de sistemas de información único y central que
gestiona toda la organización, y cada división tiene normalmente una identidad e infraestructura
esencialmente independiente.
Definición de un convenio de denominación
Tanto si se va a tener un único árbol o un bosque de árboles como espacio de nombres global, es
necesario tomar algunas decisiones sobre cómo se llamarán las distintas ramas del árbol. Ésta podría ser
con facilidad una de las decisiones más difíciles y políticamente delicadas que se tendrán que tomar al
diseñar toda la estructura de denominación.
Existen esencialmente dos tipos de convenios de denominación: organizativo y geográfico. Ambos tienen
sus defensores, y existe un argumento para cada elección. No se debe olvidar que la gente puede volverse
muy sensible de forma asombrosa sobre la manera de llamar a su división o departamento y sobre su
peso relativo en la organización.
El convenio de denominación organizativo
Por medio de un convenio de denominación organizativa se podría modelar el espacio de nombres de la

misma forma que está estructurada la organización. Así, la raíz del árbol podría ser dominio.com, con un
primer nivel que consista en admin.dominio.com, finanzas.dominio.com, rrhh.dominio.com, etc.
Algunas de las ventajas e inconvenientes del convenio de denominación organizativo son:
Ventajas

Capítulo 3
● Refleja la organización de la compañía.

● Se entiende fácilmente.
● Posee un camino natural de crecimiento.
● Permite organizar los recursos por tipo de necesidad.
Inconvenientes
● Resulta difícil de ajustar cuando las estructuras y nombres de la organización cambian.

● Puede ser políticamente delicado.
● Puede resultar difícil de implementar si las divisiones de la organización tienen múltiples
ubicaciones de sus sitios.
● Es difícil el soporte de divisiones que se dividen y mezclan.
El convenio de denominación geográfico
Por medio de un convenio de denominación geográfico se podría modelar el espacio de nombres sobre
las divisiones geográficas de la organización. Por ejemplo, con la misma raíz dominio.com, se podría
tener un primer nivel que consista en corp.dominio.com, nortam.dominio.com, europa.dominio.com,
africa.dominio.com, etc. Bajo este primer nivel, podría desglosarse cada entrada en los países o
estados/provincias individuales, dependiendo del tamaño y complejidad de la organización.
Los sitios, una nueva estructura de Windows 2000 proporcionada por Active Directory, se
pueden utilizar para reducir o eliminar el problema de la implementación de la estructura
de denominación organizativa con divisiones que tienen múltiples ubicaciones. Una
compañía puede crear un sitio para cada isla de computadoras con conexión LAN. Por
ejemplo, la oficina principal podría ser un sitio, y una sucursal otro sitio. Cualquier
dominio que abarque más de un sitio ajusta automáticamente sus parámetros de réplica
para optimizar el uso del lento enlace WAN entre los sitios. Los clientes también se dirigen
de forma automática a los controladores locales de dominio para solicitar servicios,
disminuyendo así el uso de los enlaces WAN.
Algunas de las ventajas e inconvenientes del convenio de denominación geográfica son:
Ventajas
● Es apolítico.
● Emplea nombres que tienden a ser persistentes.
● Ofrece mayor flexibilidad y granularidad.
Inconvenientes
● No refleja la naturaleza de la organización.

● Puede requerir más dominios para satisfacer las necesidades de seguridad.

Capítulo 3
Los sitios son útiles para optimizar el uso de los lentos enlaces WAN en redes que utilizan
un convenio de denominación geográfico. Aunque generalmente no existen dominios que
abarquen múltiples sitios en redes que utilizan el convenio de denominación geográfico, el
uso de sitios optimiza mucho más el uso de enlaces WAN al ajustar la réplica entre
dominios de Active Directory.
Convenios de denominación mixtos
Por último, se puede optar por utilizar una mezcla de los convenios de denominación organizativo y
geográfico, especialmente en un espacio de nombres en bosque donde distintas culturas empresariales
han crecido y tienen sus propias agendas. El truco, por supuesto, es que esto puede producir mucha
confusión y volver más costosa cualquier tarea de soporte, ya que no existe consistencia en la forma de
hacer las cosas. Al crear los primeros espacios de nombres de Active Directory en Windows 2000, se
debería considerar la realización de todos los esfuerzos para racionalizar la estructura, puesto que
facilitará todo el trabajo de soporte posterior.
Incluso si se emplea un convenio de denominación puramente geográfico a lo largo de toda la

organización, es posible que resulte ventajoso crear departamentos o dominios en el nivel inferior del
árbol porque los grupos que trabajan en áreas similares o en proyectos relacionados tienden a necesitar
acceder a los recursos de naturaleza similar. Las necesidades de la planta de fabricación suelen ser
diferentes de la de contabilidad, por poner un ejemplo. Estas necesidades comunes pueden identificar las
áreas naturales de soporte y control administrativo.
Determinación de la resolución de nombres
Una segunda decisión que se debe tomar es si se desea que el espacio de nombres utilizado internamente
sea el mismo que el que se presenta al mundo exterior. Se podría pensar que los nombres deberían ser los
mismos, pero en realidad puede haber razones de peso para optar por espacios de nombres internos y
externos diferentes.
Utilización del mismo espacio de nombres interna y externamente
Si se tiene un único espacio de nombres, las máquinas tienen los mismos nombres en la red interna y en
Internet. En otras palabras, se obtiene un único nombre de la autoridad de registro en Internet
correspondiente y se mantiene un único espacio de nombres DNS, aunque sólo un subconjunto de los
nombres será visible desde fuera de la compañía.
Si se utiliza el mismo nombre en los espacios de nombres interno y externo, se debe asegurar que la
capacidad de resolver nombres desde fuera de la compañía se limita a máquinas fuera del cortafuego que
se suponen que son visibles externamente. Hay que asegurarse de que ningún servidor de Active
Directory resida fuera del cortafuego. Sin embargo, también es necesario asegurarse de que las máquinas

Capítulo 3
internas puedan resolver nombres y acceder a recursos en ambos lados del cortafuego.
Algunas de las ventajas e inconvenientes de utilizar el mismo espacio de nombres de forma interna y
externa son:
Ventajas
● Proporciona consistencia en las denominaciones interna y externa.

● Permite registrar los nombres una única vez.
● Permite a los usuarios tener una identidad de acceso y de correo electrónico única.
Inconvenientes
● Necesita una configuración del servidor proxy compleja.

● Requiere el mantenimiento de distintas zonas que tienen los mismos nombres.
● Obliga a los usuarios a trabajar con diferentes vistas de los recursos, dependiendo de donde se
encuentren.
Utilización de distintos espacios de nombres interna y externamente
Si se establecen espacios de nombres interno y externo distintos, la presencia pública debería ser
dominio.com, mientras que internamente se podría usar dom.com. Todos los recursos que residen fuera
de la red de la compañía podrían tener nombres que terminen en dominio.com, como www.dominio.com.
Sin embargo, dentro de la red de la compañía, se podría utilizar un espacio de nombres independiente
que tuviera dom.com como raíz.
Una consideración que conviene recordar en este escenario: es conveniente registrar tanto el nombre
público como el privado con la autoridad de nombres de Internet correspondiente. Se puede pensar que
no es necesario preocuparse sobre el nombre que es sólo interno si no se tiene intención de exponerlo en
Internet. Sin embargo, lo que se está haciendo realmente es asegurarse de que nadie más utilice el mismo
nombre, lo que podría causar problemas de resolución a los clientes internos.
Algunas de las ventajas e inconvenientes de utilizar distintos espacios de nombres de forma interna y
externa son
Ventajas
● Proporciona una distinción clara entre lo que es interno y lo que es externo.

● Ofrece un mantenimiento y configuración de proxy más sencillos.
● Facilita a los usuarios la comprensión de las diferencias entre los espacios de nombres interno y
externo.
Inconvenientes

Capítulo 3
● Requiere que se registren dos espacios de nombres.

● Implica que los nombres de acceso de los usuarios difieran de sus nombres de correo electrónico.
Planificación de una estructura de Dominios
Una vez que se ha establecido todo el diseño del espacio de nombres, es necesario diseñar la estructura
de dominios que le dé soporte. Cada rama del espacio de nombres se divide bien en un dominio, bien en
una unidad organizativa (OU, Organizational Unit). El que una rama sea un dominio o una OU
dependerá de múltiples consideraciones, incluyendo la necesidad de réplica, política de seguridad,
disponibilidad de recursos, calidad de la conexión, etc.
Dominios y unidades organizativas
Los árboles de red de Windows 2000 están formados por dominios y unidades organizativas. Cada uno
proporciona fronteras administrativas entre las ramas del árbol, pero tienen implicaciones y requisitos de
recursos diferentes.
Dominios
La unidad principal de Active Directory de Windows 2000 es el dominio, al igual que en Windows NT
3.x y Windows NT 4. Todos los objetos de la red forman parte de un dominio, y la política de seguridad
es uniforme a lo largo de un dominio. A diferencia de Windows NT, la seguridad de Windows 2000 se
basa en la versión 5 de Kerberos, y las relaciones de confianza son transitivas. En las relaciones
transitivas, si un dominio A confía en un dominio B y un dominio B confía en un dominio C, entonces el
dominio A también confía en el dominio C.
Se pueden establecer relaciones de confianza unidireccionales al estilo de Windows NT 4.

Y aún más importante, las relaciones entre los dominios Windows 2000 y los dominios
Windows NT heredados se basan en las relaciones de confianza unidireccionales no
transitivas inherentes a Windows NT. Es esencial considerar estas relaciones al planificar
la estructura de dominios.
Con Windows 2000, los conceptos de controlador de dominio principal y controlador de reserva de
dominios han desaparecido. Los controladores de dominio (DC, Domain Controller) de Windows 2000
están basados en múltiples maestros y parejos. Cada controlador de un dominio tiene la misma autoridad
sobre el dominio, y si el controlador cae, los demás continúan administrando y autenticando el dominio.
Cualquier DC puede originar un cambio en el dominio y propagarlo después a los demás DC del
dominio.
El dominio es también la unidad de réplica. Los cambios en un dominio se replican a lo largo del mismo,
incluso cuando el dominio abarca múltiples sitios o ubicaciones. Esta capacidad permite a los

Capítulo 3
controladores de dominio de sitios distantes originar cambios en el dominio y tener los cambios
replicados a lo largo del dominio.
Aunque los derechos de acceso son transitivos a ambos lados de las fronteras entre dominios, los
derechos administrativos están limitados, de forma predeterminada, al dominio. Esto permite conceder
derechos administrativos a un usuario clave en un dominio concreto sin tener que preocuparse de
comprometer toda la seguridad de la organización, dado que los derechos administrativos terminan en la
frontera del dominio, a no ser que se concedan de forma explícita en otros dominios.
Unidades organizativas
El concepto de OU es nuevo en Windows 2000. Tiene algunas de las características de un dominio, pero
sin la sobrecarga de recursos. Una OU está contenida en un dominio y actúa como contenedor de objetos
de servicios de directorio. Forma una rama del espacio de nombres contiguo, y puede contener a su vez
otras OU. Así, el dominio corp.dominio.com puede contener otros dominios, como
finanzas.corp.dominio.com, y también puede contener OU, como hr.corp.dominio.com. La OU
proporciona una frontera administrativa conveniente, y los derechos y privilegios para la administración
se pueden conceder a los usuarios en una OU sin comprometer al resto del dominio. Sin embargo, una
OU no requiere un controlador de dominio independiente ni está implicada en la réplica.
La analogía más cercana a una OU en el modelo de dominios de Windows NT es el dominio de recursos,

pero sin la sobrecarga del controlador de dominio que se requería bajo Windows NT. En los casos en los
que no se necesita una política de seguridad independiente para un contenedor administrativo dado, la
OU proporciona una frontera apropiada que consume pocos recursos. Por otra parte, una OU se puede
convertir, si es necesario, en un dominio.
Diseño de una estructura de dominios
Una vez que se ha diseñado el espacio de nombres y todos los involucrados se han registrado en él, se
puede empezar a diseñar e implementar la estructura de dominios. El diseño de la estructura de dominios
se corresponderá con el diseño del espacio de nombres, si bien se puede tomar la decisión de que ciertas
fronteras del espacio de nombres requieran sólo OU, no dominios completos. La decisión entre una
unidad organizativa y un dominio debería basarse en si es necesaria una política de seguridad
independiente para las entidades en los límites del espacio de nombres. Si un límite concreto del espacio
de nombres no requiere una política de seguridad diferente de la de su padre, probablemente una OU
resultará una división apropiada, ya que requiere menos recursos para su implementación. Como se
menciona anteriormente, se puede convertir fácilmente una OU en un dominio más adelante si resulta
necesario.
Diseño de una estructura de dominios en árbol
Si se va a crear un espacio de nombres único y contiguo y, por lo tanto, una estructura de dominios

Capítulo 3
puramente en árbol, se deseará crear los dominios en orden jerárquico, comenzando por la parte superior
del árbol. El primer dominio será el dominio raíz y tendrá, por lo general, o todos los usuarios en él (para
modelos pequeños con un único dominio) o ningún usuario en absoluto (si se utiliza un dominio
estructural como dominio raíz). Para los que estén familiarizados con los modelos de dominios de
Windows NT 4, este patrón se corresponde aproximadamente con el modelo de dominio «maestro
único», con una importante diferencia. Los usuarios no necesitan (y muy menudo no deberían) residir en
un único dominio maestro, sino que deberían residir en el lugar real que les corresponde en la estructura
de dominios.
A medida que se ramifica el árbol del espacio de nombres, se crearán dominios o unidades organizativas
para cada rama del árbol. La decisión sobre si crear una OU o un DC dependerá del modelo de seguridad,
la calidad de la conexión a la ubicación y variedad de otros factores, incluyendo las consideraciones
políticas de la planificación original del espacio de nombres. Si se tiene alguna duda en algún punto,
basta con crear una OU, que se puede actualizar fácilmente a un dominio más tarde.
Diseño de una estructura de dominios en bosque
La estructura de bosque de árboles se utiliza a menudo para adaptarse a un espacio de nombres existente
que no es contiguo y no se puede hacer contiguo de forma sencilla. Al final habrá múltiples dominios
raíz, todos al mismo nivel. Bajo cada uno de esos dominios raíz se tendrá un espacio de nombres
contiguo para ese árbol. Cada rama del espacio de nombres será bien un dominio (con el requisito que
conlleva de uno o más controladores de dominio) o una unidad organizativa. Generalmente se creará
cada árbol de arriba a abajo, y cada rama del árbol tendrá automáticamente una relación de confianza
transitiva con las otras ramas del árbol.
Los árboles del bosque compartirán los mismos esquemas, configuración y Catálogo global, con
relaciones de confianza transitivas Kerberos, entre todos los miembros del bosque. La jerarquía de
confianza dentro de cada árbol seguirá la jerarquía de denominación. Sin embargo, la jerarquía de
confianza en el bosque considerado como un todo seguirá el orden en el que los árboles se unan al
bosque. Este hecho es trasparente a los usuarios pero puede ser modificado por el administrador para
mejorar la gestión y otros aspectos relacionados.
Directivas para la seguridad de los dominios
Dentro de cada dominio, los requisitos, la política y la configuración de seguridad son consistentes. Si se
necesita modificar los requisitos y la política de seguridad para una subunidad dentro de un dominio, será
necesario crear esa subunidad como otro dominio, no como OU. Conviene recordar esta limitación al
planificar el espacio de nombres al completo: será necesario tener una rama independiente del espacio de
nombres para poder tener una política de seguridad independiente.
La política de seguridad incluye:

Capítulo 3
● Requisitos de acceso.
● Certificados.
● Caducidad y longitud mínima de las contraseñas.
● Tarjetas inteligentes u otros complementos de autenticación.
● Restricciones de la máquina o los horarios de conexión.
Muchas de estas cosas podrán mantenerse constantes a lo largo de toda la organización, pero puede haber
ciertas áreas que requieran una seguridad significativamente mayor que la que se necesita en el resto de
la organización. Si es así, conviene planificar que las áreas que requieren precauciones extra se
encuentren en un dominio independiente para que su seguridad más restrictiva no se imponga a toda la
organización.
Creación de unidades organizativas
En las situaciones donde no es necesario crear dominios independientes por motivos de seguridad pero se
quiere mantener un nivel independiente en el espacio de nombres, se creará una OU independiente. De
este modo, se podría tener un dominio llamado nortam.dominio.com que se quisiera dividir en unidades
de negocio dentro de la región. Se podrían crear dominios de ventas, soporte, educación, recursos
humanos, producción y finanzas independientes bajo nortam.dominio.com. Sin embargo, la sobrecarga
de los dominios independientes (y sus controladores necesarios) para cada una de esas unidades no es
necesaria, especialmente si todas ellas comparten una única política de seguridad. Así que basta con crear
una OU para cada una de ellas. Si más adelante se decide actualizar a dominio alguna de ellas, se puede
hacer fácilmente.
Las unidades organizativas establecen fronteras útiles para propósitos administrativos. Se pueden delegar
varias tareas y privilegios administrativos al administrador de una OU específica, liberando al
administrador del dominio y proporcionando a la OU el control local de sus propios recursos.
Planificación de varios Dominios
Cuando la organización es suficientemente compleja, o simplemente suficientemente grande, como para

tener que crear múltiples dominios, se debería emplear tiempo extra planificando exactamente cómo
implementarlos. El tiempo empleado en la interfaz de primer plano se ahorrará a la hora de la instalación.
Conviene recuperar la estructura de dominios planificada y compararla con el espacio de nombres

planificado (o existente). Hay que decidir qué debe ser simplemente un dominio y qué puede ser sin
problemas una OU. Se deben identificar los servidores que serán los controladores de dominio. No hay
que olvidar que los conceptos de controlador de dominio principal y controlador de reserva de dominios
ya no existen. Todos los servidores dentro de un dominio tienen el mismo peso e importancia. Las
modificaciones hechas a cualquier controlador de dominio se propagan al resto de controladores dentro
del dominio. Si se realizan cambios simultáneos en múltiples controladores, Active Directory utilizará
los números de actualización secuenciales y las marcas temporales de los cambios para resolver cualquier

Capítulo 3
conflicto.
Planificación de un espacio de nombres contiguo
Al planificar un espacio de nombres contiguo y, por lo tanto, una estructura con un único árbol, se tendrá
que crear inicialmente el dominio raíz del espacio de nombres. En este espacio de nombres se crearán las
cuentas administrativas principales, pero es mejor dejar la creación del resto de las cuentas para más
tarde. Las cuentas de usuarios y máquinas deberían residir en las hojas del árbol donde van a realizar la
mayoría de su trabajo. Esto es lo contrario que en Windows NT donde, si había múltiples dominios, a
menudo era necesario crear todas las cuentas de usuario en el nivel más alto del dominio a causa de la
naturaleza de las relaciones de confianza.
Si se está migrando desde un entorno Windows NT existente, se tendrán los usuarios en un dominio
único o multimaestro. Se puede mantener esta disposición y puede ser la forma más sencilla de migrar
desde un entorno existente.
Determinación de la necesidad de bosques
Si se tiene un entorno donde ya hay múltiples dominios raíz, o donde no existe un espacio de nombres
contiguo, será necesario crear un bosque en lugar de un entorno con un único árbol. El primer paso es
examinar lenta y concienzudamente los espacios de nombres no contiguos. Ahora es el momento de
hacerlo. Fusionarlos después será mucho más complicado.
Creación de bosques
Si se decide que simplemente no hay forma de obtener un único espacio de nombres contiguo, lo que
implica que será necesario crear un bosque, se debería decidir dónde residirá exactamente la raíz de cada
árbol del bosque. Hay que pensar en las ubicaciones físicas de los potenciales controladores de dominio,
la disposición de la red, el ancho de banda de cada sitio y la existencia actual de dominios y
controladores Windows NT 4. Una vez que se tiene un buen mapa físico y lógico de la red, se está en
disposición de planificar la estrategia de dominios.
Primero se deben crear los dominios del nivel raíz y después comenzar a construir los árboles. No es un
requisito absoluto, si se pasa por alto algún árbol o algo cambia, se puede volver atrás y añadir otro árbol
al bosque. Sin embargo, generalmente conviene crear primero las raíces, aunque sólo sea por mantener
las cosas alineadas y las relaciones de confianza de árbol a árbol en orden.
Una vez que se ha creado la raíz de un árbol, no existe una forma sencilla de cambiarle el
nombre o borrarla, por lo que no conviene apresurarse a la hora de crear la estructura de
dominios. Una planificación en detalle puede evitar grandes dolores de cabeza en el
futuro.

Capítulo 3

Capítulo 4
Capítulo 4
Planificar la instalación podría no reducir demasiado el tiempo total hasta que el servidor se encuentre
operativo, pero reducirá el número de procesos que se tendrán que hacer, deshacer y volver a hacer de
nuevo.
Requisitos del sistema
Antes de instalar Microsoft Windows 2000 Server hay que verificar que se dispone del hardware
adecuado. Esto implica tanto cumplir los requisitos de sistema mínimos (y a ser posible superarlos si se
quiere que el servidor realice algún trabajo real) como verificar la lista de hardware compatible (HCL,
Hardware Compatibility List) de Microsoft para asegurarse de que el equipo y los periféricos son
soportados.
Y, antes de comprar hardware para el servidor, hay que comprobar la HCL en la carpeta Support del CD
de instalación de Windows 2000. Si el sistema no aparece en la lista, conviene comprobar la HCL en el
sitio Web de Microsoft (http://www.microsoft.com/hwtest/hcl/). Si existen controladores actualizados
para el hardware que se va a utilizar, conviene descargarlos y copiarlos a un disquete o disco duro
disponible para poder utilizarlos durante la instalación, si es necesario.
Si un componente del sistema no aparece en la HCL se puede visitar el sitio Web del fabricante del
dispositivo o contactar con él para ver si hay disponibles controladores actualizados. En general, la regla
ha seguir es la siguiente: no utilizar un servidor que no es 100 por 100 compatible.
Requisitos mínimos para obtener un rendimiento adecuado:
● Intel Pentium 133 a 32 bits: Uno o más procesadores Intel Pentium II 300 ó más rápidos (o
procesadores compatibles; compruébese la HCL).
● 64 Mb de RAM: 128 Mb de RAM mínimo, 256 Mb o más recomendado.
● Monitor VGA: Monitor Súper VGA con resolución de al menos 800 x 600.
● Teclado y ratón u otro dispositivo señalador: Cualquier tipo de teclado y ratón u otro
dispositivo señalador. (Si el teclado es del tipo PS/2, el ratón debe ser también PS/2 o USB)
● Partición de 850 Mb con 650 Mb de espacio libre: 2 Gb de espacio libre en un disco duro Ultra
IDE o (preferiblemente) Ultra Wide SCSI con 7200 rpm o más.
● CD-ROM de inicio 12x: No se necesita más velocidad para la instalación, aunque tiene que ser
compatible con el sistema de inicio El Torito.
● Unidad de disco de 1.44 Mb: Si se va a realizar la instalación con los cuatro discos de inicio.
● Uno o más adaptadores de red: Si se va a realizar la instalación a través de la Red
file:///D|/downloads/W2000%20server/capitulo4.htm (1 of 28) [27/12/2002 20:55:41]

Capítulo 4
Planificación de las particiones
Lo siguiente es decidir cómo se desea dividir en particiones y configurar las unidades. Microsoft
recomienda utilizar el sistema de archivos de NT (NTFS) en todo el sistema, a menos que se necesite
mantener la compatibilidad con otro sistema operativo existente en el equipo, algo bastante raro en un
servidor. NTFS posee muchas ventajas, incluyendo eficiencia, fiabilidad, seguridad y compresión.
Además, muchas características o servicios de Windows 2000 requieren una partición NTFS. Por
ejemplo, para utilizar el servidor como controlador de dominio o servidor de Active Directory debe haber
disponible una partición NTFS.
NTFS ha sido siempre superior a la tabla de asignación de archivos (FAT, File Allocation Table) o los
sistemas de archivos FAT32, pero tiene un problema en Windows NT. Si, por alguna razón, no se puede
iniciar con la unidad de disco de sistema NTFS, la única esperanza de recuperación es realizar una
instalación paralela de Windows NT. Windows 2000 viene equipado con una opción de inicio en Modo
seguro, al estilo de Windows 95/98, además de un Consola de recuperación especial que permite iniciar
con una línea de comandos en un sistema que no inicia y acceder de forma segura a las particiones
NTFS.
Se pueden crear hasta cuatro particiones primarias en una unidad de disco, o hasta tres particiones
primarias y una partición extendida. Para instalar Windows 2000, se utilizará simplemente, en la mayoría
de los casos, una única partición con formato NTFS en la unidad de disco de inicio de aproximadamente
1 ó 2 Gb. Conviene dejar el resto del espacio libre del disco duro sin asignar hasta después de la
instalación, cuando se podrán crear particiones adicionales para programas y datos en el espacio sin
asignar.
Por regla general, se utilizarán una o más unidades de disco para datos, preferiblemente configuradas con
alguna clase de tolerancia a fallos. Si se utiliza una unidad o unidades de disco diferentes para los datos,
conviene convertirlas en discos dinámicos y darles formato con el sistema de archivos NTFS. Este
enfoque permitirá trabajar de forma sencilla con los volúmenes y almacenar la información de forma
segura y eficiente.
Recogida de información de la red
Después de determinar cómo se quieren dividir en particiones las unidades de disco, hay que localizar
todos los controladores para el hardware. Después, hay que almacenar (o crear) los siguientes
parámetros:
● Nombre en el Sistema de nombres de dominio (DNS, Domain Name System) del equipo: Este
nombre puede contener letras mayúsculas o minúsculas, números y el carácter guión. El nombre
DNS del host no debe sobrepasar los 15 caracteres si se pretende que el nombre NetBIOS sea el
mismo que el DNS y mantener así la compatibilidad con clientes que no sean Windows 2000.
● Nombre del dominio o grupo de trabajo al que debe unirse (si se encuentra en una red): Si

Capítulo 4
se está creando un nuevo dominio Windows 2000, este nombre debería ser compatible con el
DNS: por ejemplo, midepartamento.miempresa.com.
● Dirección IP del equipo: Esto es necesario a menos que la red disponga de un servidor de
Protocolo de Configuración Dinámica de Host (DHCP, Dynamic Host Configuration Protocol).
Si no se dispone de un servidor DHCP y no se asigna una dirección IP al equipo, Windows

2000 asignará al equipo una dirección IP restringida. Esta dirección IP funcionará en una
red sencilla con sólo una subred IP, pero no funcionará en redes más complejas, ni
funcionará como dirección IP de Internet. Para redes más complejas, conviene instalar un
servidor DHCP en la red o asignar las direcciones IP manualmente. Para adquirir una
dirección IP de Internet válida es necesario registrar un contexto de direcciones IP en el
proveedor de servicios de Internet.
● Componentes adicionales de Windows 2000 Server

● Modo de licencia de clientes y el número de clientes simultáneos (si el modo de licencia es
Por servidor) Windows 2000 Server soporta licencias Por servidor y Por puesto. Si no se está
seguro de qué modo de licencia utilizar, es mejor elegir Por servidor. Se puede cambiar de modo
Por servidor a Por puesto una vez (sin coste adicional) pero no de modo Por puesto a Por servidor.
Preparación física
Una vez almacenados los siguientes parámetros, aún quedan varias tareas físicas:
● Hacer copia de seguridad de la información existente en todas las unidades de disco de las que es
responsable el servidor.
● Desactivar cualquier disco espejo durante el proceso de instalación.
● Desconectar cualquier conexión a un sistema de alimentación ininterrumpida (SAI). El equipo
SAI puede interferir en la capacidad de detectar dispositivos conectados a puertos serie del
programa de instalación.
● Actualizar la BIOS del sistema a la última versión disponible. Esto es especialmente importante
en sistemas basados en ACPI.
Consideraciones sobre inicios duales
Bajo muchas circunstancias, un servidor no tiene dos sistemas operativos, pero algunas veces este
enfoque resulta apropiado. Por ejemplo, se puede utilizar una segunda instalación paralela de Windows
2000 en el servidor para poder reparar el sistema en el caso de que no se pueda iniciar con la instalación
normal. En este caso, las instalaciones deberían estar, no sólo en particiones separadas, sino en discos
duros físicamente independientes. Esta precaución tiene sentido cuando se considera que una de las
formas de las que se puede conseguir un sistema que no inicia es mediante una avería en el disco duro; si
ambas instalaciones están en el mismo disco duro físico, no estaremos de suerte.

Capítulo 4
Si se dispone de un dispositivo extraíble de almacenamiento masivo como una unidad Jaz de Iomega, se
puede realizar la instalación paralela de Windows 2000 en ese disco, que después se puede extraer para
ponerlo a buen recaudo. Y se puede utilizar una segunda instalación de Windows 2000 como entorno de
pruebas para esos inevitables experimentos de configuración que tendrán consecuencias impredecibles.
También se podría desear mantener una instalación existente de Windows NT 4 para minimizar el tiempo
de inactividad del servidor durante la transición a Windows 2000.
Múltiples copias de Windows 2000
Si se decide crear una instalación paralela de Windows 2000, se puede elegir Windows 2000 Professional
en lugar de la versión completa de Windows 2000 Server como segunda instalación. Se puede usar la
instalación paralela de Windows 2000 únicamente para reparar la instalación existente, y utilizar después
la instalación principal para corregir los problemas adicionales que haya.
Hay que tener un nombre de equipo diferente para cada instalación de sistema operativo
en una red. Para cada instalación de Windows en un dominio se genera un único
identificador de seguridad (SID, Security Identifier), y cada SID se asocia con un nombre
de equipo concreto. De este modo, se pueden iniciar varios sistemas operativos, pero en
cada sistema el equipo se conoce en la red por un nombre distinto.
Inicios duales con Windows NT
En lugar de actualizar el servidor, se puede optar por realizar una instalación limpia de Windows 2000
Server. Una instalación limpia permite preservar la instalación existente para utilizarla en caso de que se
encuentre algún problema al configurar el servidor con Windows 2000. Realizar una instalación limpia es
también la única opción si el servidor ejecuta una versión de Windows anterior a la 3.51 y no se desea
actualizar a la 3.51 ó 4.0. Sin embargo, cuando se realiza una instalación limpia, Windows 2000 no migra
los programas y la configuración existentes como si se hubiera actualizado el servidor.
Deberemos tener presentes algunas cuestiones cuando se utilice un inicio dual entre Windows NT y
Windows 2000 en equipos con unidades de disco NTFS:
● Sólo Windows NT 4 con Service Pack 4 o posterior puede acceder a las unidades de disco y
volúmenes NTFS 5.
● Las características de NTFS 5 como cuotas de disco y cifrado no funcionan en Windows NT 4.
(Los archivos cifrados no se pueden leer en Windows NT 4.)
● Las utilidades de disco de Windows NT 4 como Chkdsk no funcionarán con las unidades de disco
NTFS 5. Habrá que utilizar las versiones Windows 2000 de estas utilidades.
● Los discos de reparación de emergencia de Windows NT 4 no se podrán utilizar nunca más.
● No se podrá reinstalar Windows NT 4 después de instalar Windows 2000, a menos que se vuelva
a crear y dar formato a la partición en la que se instaló Windows NT 4.
● Los archivos que se guarden o se creen en Windows 2000 podrían no ser accesibles en Windows

Capítulo 4
NT 4.
● Los soportes extraíbles que tengan formato NTFS se convertirán automáticamente a NTFS 5
cuando se introduzcan o se utilicen con Windows 2000.
● Windows NT 4 no podrá leer ninguna unidad de disco con el formato del sistema de archivos
FAT32.
Si se opta por un inicio dual de Windows 2000 con otro sistema operativo (o copia de
Windows 2000) habrá que instalar Windows 2000 en una partición de disco
independiente. Los intentos de instalar dos sistemas operativos en una única partición
causarán problemas, tanto durante la instalación como poco después. Si, por alguna
razón, se planifica un inicio dual de Windows 95/98 y Windows 2000, deberemos instalar
Windows 95/98 primero y después Windows 2000.
Inicios duales con otros sistemas operativos
El inicio dual de Windows 2000 Server con MS-DOS, Windows 95, Windows 98 u otro sistema
operativo personal como BeOS debería realizarse en computadoras de sobremesa y no en el servidor.
Realizar un inicio dual con UNIX u otro sistema operativo de servidor es quizás más útil, pero se debería
evitar si resulta posible.
Si se opta por realizar un inicio dual con otro sistema operativo hay que utilizar la utilidad Copia de
seguridad de Windows 2000 u otro programa de copia de seguridad de Windows 2000 para realizar una
copia de seguridad completa del sistema incluyendo la información del estado del sistema. Además, se
debería crear un disco de reparación de emergencia utilizando la utilidad Copia de seguridad de Windows
2000 (sólo por si acaso). Al instalar o configurar los sistemas operativos, hay que tener cuidado con el
Registro de inicio principal (MBR, Master Boot Record).
Inicio dual de Windows 2000 con otros Sistemas Operativos
● Windows 95/98: Instalar y reiniciar antes de la instalación de Windows 2000 para evitar que
Windows 95/98 sobreescriba el MBR e impida que Windows 2000 se inicie.
● Todos los sistemas operativos: Los programas deben ser instalados de forma independiente en
cada sistema operativo. Windows 2000 no se puede instalar en una unidad de disco que se haya
comprimido con cualquier programa que no sea la utilidad Compresión de archivos de NTFS.
● MS-DOS, OS/2: Si se instala Windows 2000 en un equipo que ya realiza inicios duales entre MS-
DOS y OS/2 por medio del comando Boot, en el inicio sólo se podrá elegir entre iniciar con
Windows 2000 o con el sistema operativo iniciado más recientemente.
Instalación de Windows 2000
La elección de cómo instalar Windows 2000 Server depende de lo que ya hay en el servidor, de dónde se
encuentran los archivos de instalación y de cuántas instalaciones haya que hacer. Si se dispone de

Capítulo 4
Windows 95/98 o Windows NT en la máquina, hay que ejecutar la instalación de Windows 2000 de 32
bits desde Windows 95/98 o Windows NT. También se puede iniciar desde el CD-ROM de Windows
2000 o desde el disco de inicio de instalación (o un disco de inicio de MS-DOS con controladores de CD-
ROM o de red) y ejecutar el programa de instalación de Windows 2000 de 16 bits. Ambas versiones de la
instalación se pueden ejecutar desde la red o se pueden automatizar.
Instalación desde Windows 95/98 ó Windows NT
Si tenemos instalado Windows 95/98 ó Windows NT, la instalación recopila información y copia los
archivos que necesita el equipo
para iniciar en el modo de texto de
Windows 2000 y después reinicia
en modo texto. Se puede entonces
(opcionalmente) seleccionar la
partición apropiada, después de lo
cual se instala Windows 2000 en
el disco duro y se pasa al
Asistente para instalación de
Windows 2000 en modo gráfico,
que recopila más información,
configura los dispositivos y
termina de copiar los archivos.
Después de esto, la instalación
está completa y el equipo se
reinicia en Windows 2000.
1. Insertar el CD-ROM de
Windows 2000 y pulsar en
Instalar Windows 2000, si está activa la Reproducción automática del CD-ROM (Notificación
automática de inserción). Si no es así, hay que ejecutar winnt32.exe desde la carpeta \i386 del CD-
ROM de Windows 2000.
2. Para instalar Windows 2000 Server desde la red, hay que ejecutar el programa winnt32.exe desde
la unidad de disco de red que contenga los archivos de instalación de \w2ks y después, proceder
con la instalación normalmente.
3. Dependiendo del Sistema Operativo que tengamos y de la Licencia que hayamos adquirido
(Actualización o OEM), el sistema activará o desactivará las siguientes opciones, ofreciendo todas
las posibilidades de instalación posibles:
● Actualizar a Windows 2000.
● Instalar una nueva copia de Windows 2000.
4. Después de elegir la opción deseada pulsamos Siguiente.

5. Contrato de Licencia: Se debe leer el contrato de licencia, seguidamente hay que elegir el botón
de opción Acepto este contrato y pulsar con el ratón en Siguiente. La instalación muestra la

Capítulo 4
ventana Seleccionar
opciones especiales, y que
se utiliza para personalizar
las opciones de idioma,
cambiar cómo copiará la
instalación los archivos y
activar el uso de utilidades
de accesibilidad durante la
instalación para usuarios
con problemas de visión.
6. Seleccionar opciones
especiales: En esta pantalla
se pueden configurar las
siguientes pociones:
● Opciones de
Idioma: Si se desea
configurar el
sistema operativo
Windows 2000 para
que utilice conjuntos de caracteres de varios idiomas, hay que pulsar en el botón Opciones
de idioma, elegir el idioma principal de la lista desplegable, seleccionar cualquier grupo de
idiomas adicionales para los cuales se desea instalar soporte y después pulsar Aceptar
● Opciones avanzadas: Para especificar la carpeta y partición de instalación de Windows
2000, o para decirle a la instalación de Windows 2000 la ubicación de los archivos de

instalación, hay que pulsar con el ratón en el botón Opciones avanzadas en la ventana
Seleccionar opciones especiales para abrir la ventana Opciones avanzadas.
● Opciones de accesibilidad: Para configurar las opciones de pantalla con configuraciones
especiales para disminuidos físicos.

7. Se debe pulsar en Siguiente para copiar los archivos de instalación al equipo. Después de que la
instalación termine de copiar archivos, se reinicia el equipo y se pasa al modo de texto de
Windows 2000 para la parte de la instalación basada en texto.
Instalación desde un sistema con MS-DOS
Instalación desde un sistema con MS-DOS, la instalación copia los archivos necesarios al disco duro para
reiniciar en el modo de texto de Windows 2000 y después lo hace. La instalación realiza el mismo
proceso que hubiera realizado si se hubiera iniciado desde un CD-ROM o disco de inicio de instalación
de Windows 2000.
Instalación desde los discos de inicio de instalación de Windows 2000 ó desde el

CDROM
Si no se dispone de Windows 95/98 o Windows NT instalado en el servidor, es necesario iniciar el

Capítulo 4
sistema con el CD-ROM de Windows 2000 o los disquetes de inicio de instalación y configuración.
(También se puede iniciar con un disco de inicio MS-DOS, pero es mucho más lento.)
Para iniciar desde el CD-ROM de Windows 2000, hay que introducir el CD en la unidad y reiniciar el
sistema. Si la instalación no comienza automáticamente, quizás sea necesario configurar el inicio en la
BIOS para decirle al sistema que utilice la unidad CD-ROM antes que el disco duro.
Si no es posible iniciar desde el CD-ROM, hay que introducir el Disco de instalación 1 en la disquetera y
reiniciar la máquina. Se solicitará el resto de los disquetes de instalación y, entonces, el equipo pasará a
la fase en modo texto de la instalación de Windows 2000, como se describe en la siguiente sección.
Fase del Programa de instalación en modo texto
Cuando se inicia desde el CD-ROM o los disquetes de Windows 2000, o cuando se reinicia la primera
vez después de ejecutar la instalación desde MS-DOS, Windows 85/98 o Windows NT, se entra en la
fase basada en texto en la cual el programa de instalación copia los archivos necesarios para reiniciar en
Windows 2000 para la porción de la instalación basada en GUI. Durante la fase basada en texto de la
instalación, hay que seguir los siguientes pasos:
1. La primera pantalla que aparece es la de Instalación de Windows 2000 Server, en la que se

presentan tres posibilidades: Instalar Windows 2000, actualizar una instalación previa o salir del
programa de instalación. Para continuar con la instalación hay que pulsar Intro.
2. Hay que leer el contrato de licencia de Windows 2000 Server. Se puede utilizar la tecla AV PÁG
para desplazarse hacia abajo, y pulsar después F8 para continuar. Buscará instalaciones de
Windows 2000 que pueda actualizar y si las encuentra nos pedirá que confirmemos si queremos
actualizar o realizar una instalación nueva.
3. En la siguiente pantalla, se pide elegir en qué disco y partición se quiere instalar Windows 2000.
Se muestran todas las unidades de disco y particiones reconocidas del sistema, clasificadas por
identificador SCSI o IDE y el número de bus. Hay que seleccionar una partición o espacio sin
dividir en particiones utilizando las teclas de dirección del teclado.
Si se dispone de una unidad extraíble con capacidad de 829 Mb o más, se puede instalar
Windows 2000 en un disco extraíble. Este paso sólo está recomendado para instalaciones
paralelas, no para la instalación principal de Windows 2000.
4. Para borrar la partición seleccionada, hay que pulsar D; para crear una nueva partición, hay que
seleccionar algún espacio libre sin dividir en particiones y pulsar c. Si se elige crear una nueva
partición, la instalación preguntará si se quiere dar formato a la partición con el sistema de
archivos NTFS o FAT. Si se escoge el sistema de archivos FAT en una partición mayor de 2 Gb,
la partición se dará formato con el sistema de archivos FAT32.
Al borrar una partición, se borra toda la información que contiene. No se debe borrar una
partición a menos que toda su información se encuentre en una copia de seguridad fiable.
5. Cuando se termine de modificar las particiones, hay que seleccionar la partición en la que se desea
instalar Windows 2000 y pulsar Intro.

Capítulo 4
6. La instalación pedirá confirmación sobre la elección de la partición y se dará la opción de

formatear en FAT o NTFS. Si hubiera una partición formateada previamente, aparecerá una
tercera opción que nos permitirá dejar la partición con el mismo sistema de archivos que ya tiene.
Seleccionamos la opción correcta y pulsamos Intro.
7. La instalación comprueba la ausencia de errores en los discos duros y copia entonces los archivos
apropiados en la recién creada carpeta de Windows 2000 (llamada \WINNT de forma
predeterminada). Cuando la instalación termina de copiar los archivos, pide que se extraiga
cualquier disquete o CD-ROM, y entonces reinicia el sistema e inicia el Asistente para la
instalación de Windows 2000.
Asistente para la instalación de Windows 2000
Cuando la fase basada en texto de la instalación concluya, el equipo reiniciará y Windows 2000 se
iniciará por primera vez, cargando el Asistente para la instalación de Windows 2000. Para utilizar el
Asistente para la instalación hay que seguir los pasos que se indican a continuación. Al final de cada paso
hay que pulsar con el ratón el botón Siguiente o el botón Aceptar para continuar.
1. Pantalla Instalando Dispositivos: el Asistente para la instalación detecta y configura los

dispositivos instalados en el equipo. Si la instalación no puede detectar de forma apropiada un
dispositivo, mostrará un cuadro de diálogo de configuración de dispositivo para la configuración
manual del dispositivo.
2. Configuración regional: Después de detectar el hardware, se solicitan los parámetros regionales.
Estos parámetros afectan a factores tales como la disposición del teclado y cómo se muestran las
fechas y la moneda.
Para escoger la localización que se quiere utilizar, para establecer la posibilidad de leer y escribir
documentos en otros idiomas o para especificar el formato de números, fechas y monedas, hay
que pulsar el primer botón Personalizar.
● En el cuadro de lista desplegable Su idioma (ubicación), hay que elegir la localización
que se desea utilizar para la configuración de números, monedas y fecha y hora. Para
configurar el sistema de forma que se puedan leer o escribir documentos en otros idiomas,
hay que seleccionar la casilla de verificación situada junto a los idiomas que se quieren
activar para lectura y escritura. Las otras pestañas se utilizan para modificar el formato de
los números, monedas, fechas y horas.
● Para modificar la disposición del teclado, hay que pulsar el segundo botón Personalizar en
la ventana Configuración regional, y utilizar entonces las opciones de Idiomas instalados

para configurar el teclado para el idioma que se quiere utilizar. Hay que pulsar Siguiente.
3. Personalización del Software: Se debe introducir el nombre de la persona bajo la que se
registrará el equipo además de la empresa.
4. Clave del Producto: Introducir el CD-KEY del producto que se está instalando.
5. Modos de licencia: Hay que escoger el modo de licencia en la siguiente ventana, como Por
servidor o Por puesto. Por defecto aparecerán las licencias para las que tiene el producto. Si se
escoge Por servidor, hay que especificar cuántas Licencias de acceso de cliente se han adquirido.
6. Nombre del equipo y contraseña del administrador: Hay que introducir el nombre del equipo

Capítulo 4
en el cuadro de texto Nombre de equipo. El nombre del equipo puede contener los números del
cero al nueve, letras en mayúscula y minúscula y el carácter guión, pero no espacios o puntos. El
nombre debería ser compatible con DNS y puede tener un máximo de 63 caracteres de longitud,
pero en interés de la compatibilidad con clientes anteriores a Windows 2000, debería ser menor de
15 caracteres.
7. Tras introducir el nombre del equipo, hay que introducir la contraseña de la cuenta del
administrador de hasta 14 caracteres de longitud en el cuadro de texto Contraseña de
administrador, y escribirla de nuevo en el cuadro de texto Confirmar contraseña. Hay que pulsar
Siguiente.
Para hacer que el sistema sea lo más seguro posible, hay que asignar siempre una contraseña a
la cuenta de administrador, preferiblemente una contraseña de al menos siete caracteres de
longitud y que consista en letras y caracteres mezclados, mayúsculas y minúsculas. También se
debería limpiar el historial de accesos después de instalar Windows 2000 para que los aspirantes
a hackers tengan que adivinar tanto la contraseña como el nombre de usuario. Otra buena
precaución después de la instalación es utilizar la cuenta de administrador incorporada para
crear una segunda cuenta con todos los privilegios administrativos. Esta cuenta puede tener el
nombre del administrador o llamarse de alguna forma descriptiva. Conviene usarla para el
trabajo administrativo de cada día. Hay que asignar una contraseña especial segura para la
cuenta de administrador incorporada y cambiarle el nombre predeterminado. Hay que esconder
la contraseña y el nombre en algún lugar seguro y relegar esa cuenta a una semi-jubilación.
Como es posible desactivar cualquier cuenta de administrador, incluyendo la cuenta de
administrador incorporada, resulta prudente tener una cuenta de reserva. De esta forma, siempre
se tendrá una cuenta de administrador no contaminada; y que se sabe que es buena, a la que
recurrir sólo si se da el caso.
8. Componentes de Windows 2000: La siguiente ventana sirve para seleccionar los componentes a
instalar en este momento. Para instalar una opción, hay que seleccionar la casilla de verificación
situada a la izquierda de la opción, o seleccionar la opción y pulsar con el ratón en el botón
Detalles para modificar los subcomponentes que se deseen instalar.
9. En la ventana de ubicación de marcado que se muestra si la instalación detecta un módem, hay
que seleccionar el país, introducir el código de zona o la línea telefónica (si la hay), introducir los
códigos necesarios para obtener línea al exterior y pulsar Siguiente. (Se pueden escoger
localizaciones adicionales o modificar la localización actual por medio de la herramienta
Opciones de teléfono y módem del Panel de control cuando haya concluido la instalación.)
10. Valores de fecha y hora: Hay que revisar la fecha, hora e información de la zona horaria, realizar
cualquier corrección necesaria y pulsar Siguiente para configurar los parámetros de red.
11. Si se seleccionó Servicios de Terminal Server, hay que escoger el modo de operación, que puede
ser Modo de administración remoto o Modo de servidor de aplicaciones. Pulsar Siguiente.
12. Configuración de Red: Nos da dos posibilidades de configuración, una personalizada o típica.
● Configuración típica: se instalan los siguientes protocolos y servicios de red usados
comúnmente: Cliente para redes Microsoft, Compartir impresoras y archivos para redes
Microsoft y TCP/IP configurado para utilizar DHCP (o Direcciones IP privadas
automáticas (APIPA, Automatic Prívate IP Adressing) si no hay ningún servidor DHCP
disponible.)

Capítulo 4
● Configuración personalizada: muestra la lista predeterminada de componentes de red y

que se puede modificar según las necesidades. Para instalar componentes adicionales hay
que pulsar el botón Instalar, seleccionar Cliente, Servicio o Protocolo, pulsar Agregar,
seleccionar el componente deseado y pulsar Aceptar. Para desactivar un componente
instalado hay que desmarcar la casilla de verificación situada al lado del componente y
pulsar Desinstalar para eliminarla del sistema.
13. Grupo de Trabajo y Dominio: Para unirse a un grupo de trabajo, hay que elegir la primera
opción de la ventana Grupo de trabajo o dominio del equipo y escribir el nombre del grupo de
trabajo en el cuadro de texto Dominio o grupo de trabajo del equipo.
14. Si se está configurando un nuevo dominio, hay que escoger la primera opción y teclear en el
cuadro de texto Dominio o grupo de trabajo del equipo el nombre del dominio futuro (la
instalación hace que se cree un grupo de trabajo con ese mismo nombre). Para unirse a un
dominio existente, hay que pulsar la segunda opción e introducir el nombre del dominio al que se
desea unirse en el cuadro de texto Dominio o grupo de trabajo del equipo.
15. Hay que pulsar Siguiente cuando se haya terminado de configurar los parámetros del dominio o
grupo de trabajo. Si se escoge unirse a un dominio, aparece un cuadro de diálogo pidiendo la
introducción de un nombre de usuario y una contraseña para un usuario con permisos suficientes
para crear una nueva cuenta de equipo para el servidor. Hay que introducir el nombre de usuario y
la contraseña y pulsar después Aceptar. La instalación inicia sesión en el dominio y configura una
cuenta de equipo para el servidor.
16. Instalando componentes: El programa instala después los componentes especificados y
configura Windows 2000. Cuando finaliza ese proceso, se borran todos los archivos de instalación
temporales y se solicita la extracción de cualquier CD-ROM o disquete que haya en las unidades.
Hay que pulsar Finalizar para reiniciar el equipo.
17. Si se produce algún error durante el proceso de instalación, el programa de instalación muestra un
mensaje de error y pregunta si se desea ver el archivo de registro setuplog.txt creado. Para hacer
esto, hay que pulsar Aceptar. Conviene revisar el archivo y pulsar después Cerrar para reiniciar el
sistema.
18. Cuando la instalación reinicie el equipo, se verá la ventana de inicio de sesión estándar de
Windows 2000. Cuando se inicie sesión aparecerá el asistente para Configurar el servidor que
servirá de guía durante la configuración de los parámetros adicionales del servidor.
Automatización de las instalaciones de Windows 2000 Server
La instalación de Windows 2000 Server, como la instalación de cualquier sistema operativo, dura
bastante tiempo. La configuración de múltiples servidores puede consumir días enteros si se configura
cada servidor manualmente. El tiempo que se puede ahorrar mediante la automatización de las
instalaciones para un gran número de servidores similares compensa con creces los contratiempos
ocasionales que puedan aparecer.
Antes de automatizar las instalaciones, se debería realizar un par de instalaciones manuales para
familiarizarse mejor con el proceso de instalación. Conviene revisar los puntos anteriores y prestar
atención durante el proceso de instalación. Se puede avanzar un paso y utilizar los modificadores de la

Capítulo 4
línea de comandos para automatizar parcialmente la instalación. Después de eso, se pueden crear algunos
guiones que automaticen partes del proceso de instalación pero que aún permitan al usuario introducir
datos en otras partes. Cuando el proceso resulte familiar, se pueden crear y probar guiones de instalación
completamente automatizados.
Si el tiempo para ajustar los guiones de instalación crece demasiado, conviene tener en
cuenta que es necesario automatizar completamente todas las instalaciones. El uso de los
archivos de respuesta automatizados (guiones de instalación) puede proporcionar
considerables ahorros de tiempo, pero es importante elegir el nivel de automatización
apropiado para un trabajo concreto. Eso implicará crear algunas veces un único archivo
de respuesta que se utilizará para implantar cientos de servidores, y otras significará
utilizar sólo uno o dos parámetros de la línea de comandos para acelerar la instalación de
un único servidor.
Parámetros de la línea de comandos del Programa de instalación
Se puede hacer más eficiente el proceso de instalación en una única máquina ejecutando el programa de
instalación con parámetros de la línea de comandos; también se pueden utilizar los parámetros de la linea
de comandos para especificar un archivo de respuesta que automatice completamente la instalación Para
utilizar un parámetro de la línea de comandos en un equipo sin Windows 95/98 o Windows NT, hay que
iniciar el equipo con un disco de inicio MS-DOS o Windows 95/98. Después, en el símbolo del sistema,
hay que escribir [ruta de acceso]\winnt.exe [parámetro], sustituyendo [ruta de acceso] por la ubicación
de los archivos de instalación de Windows 2000.
Para utilizar un parámetro de la línea de comandos en un equipo con Windows 95/98, Windows NT o
Windows 2000, hay que iniciar el equipo con el sistema operativo y abrir una ventana con el símbolo del
sistema. Después hay que escribir [ruta de acceso]\winnt32.exe [parámetroJ, sustituyendo [ruta de
acceso] por la ubicación de los archivos de instalación de Windows 2000 además de reemplazar
[parámetro] por el parámetro o parámetros apropiados que se desean utilizar.
Parámetros del comando WINNT.EXE:
● /a: Activa las Características de accesibilidad durante la instalación.

● /e:[comando]: Ejecuta el comando que sigue al parámetro /e: cuando finaliza el Asistente para la
instalación de Windows 2000.
● /i:[archivo inf]: Especifica el archivo de información (.INF) que ha de utilizar Instalar (el
predeterminado es dosnet.inf). No hay que incluir la ruta de acceso al archivo.
● /r:[carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la cual se instala
Windows 2000. La carpeta permanece después de que el programa de instalación termine, y se
pueden copiar carpetas adicionales utilizando varios parámetros /r:.
● /rx:[carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la que se
instala Windows 2000. La carpeta se borra cuando el programa de instalación termina.

Capítulo 4
● /s:[ruta origen]: Especifica la ubicación de los archivos de instalación de Windows 2000. (La
forma predeterminada es la carpeta actual.) Debe de ser una ruta de acceso completa, X:\ruta o
\\servidor\ruta\compartida. Para especificar múltiples rutas de acceso para que el programa de
instalación busque los archivos necesarios, hay que utilizar varios parámetros /s:.
● /t:[letra de unidad]: Especifica la unidad de disco donde se quiere que el programa de instalación
copie sus archivos temporales. De forma predeterminada, el programa de instalación utiliza la
partición con mayor espacio libre.
● /u:[archivo de respuestas]: Ejecuta el programa de instalación en modo desatendido utilizando el
archivo de respuestas proporcionado. Se debe utilizar el modificador /s: para especificar la
ubicación del archivo de respuestas.
● /udf:[id, archivo UDF]: Especifica un archivo de base de datos único (UDF, Uniqueness
Database File) para modificar un archivo de respuestas. El ID identifica qué parámetro del archivo
de respuestas debería reemplazarse con información del archivo UDF. Por ejemplo,
/udf:ComputerName,nuestra_empresa.udf tomaría el Nombre de la empresa del archivo .UDF en
lugar del archivo de respuestas. Si no se especifica un archivo UDF, se pedirá la introducción de
un disco que contenga el archivo $Unique$.udf.
Parámetros del comando WINNT32.EXE:
● /checkupgradeonly: Ejecuta una prueba de compatibilidad en el equipo para ver si tiene algún
problema que pudiera interferir con la actualización del SO. Guarda un informe Winnt32.log en la
carpeta de instalación para las actualizaciones de NT, o un informe Upgrade.txt en la carpeta
Windows para las actualizaciones de Windows 95/98.
● /cmd:[comando]: Ejecuta el comando que sigue al parámetro /cmd: cuando el Asistente para la
instalación de Windows 2000 termine.
● /cmdcons: Activa el uso de la Consola de recuperación durante el inicio para poder reparar
instalaciones fallidas. Sólo se puede utilizar después de que se haya instalado Windows 2000.
● /copydir:[nombre de carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta
en la que se instala Windows 2000 (\Winnt). La carpeta permanece cuando el programa de
instalación termina y se pueden copiar carpetas adicionales utilizando el parámetro varias veces.
La carpeta puede contener controladores u otros archivos necesarios después de la instalación.
● /copysource:[nombre de carpeta]: Nombra una carpeta adicional que debe ser copiada en la
carpeta en la cual se instala Windows 2000. La carpeta se borra cuando el programa de instalación
termina.
● /debug[nivel: nombre de archivo]: Crea un archivo de registro de depuración con el nivel
especificado. El predeterminado crea un archivo de registro llamado C:\winnt32.log con el nivel
establecido a 2 (Advertencias).
● /m:[nombre de carpeta]: Especifica la ubicación de una carpeta que contiene los
reemplazamientos de los archivos de sistema. El programa de instalación examina primero esta
carpeta cuando busca los archivos a copiar y después la carpeta de instalación.
● /makelocalsource: Informa al programa de instalación que copie todos los archivos de la
instalación al disco duro local para que estén disponibles más adelante durante la instalación si el
CD-ROM de Windows 2000 o el recurso de red compartido no está accesible.

Capítulo 4
● /noreboot: Informa al programa de instalación que no reinicie después de que finalice la fase
inicial de copia de archivos de Windows NT/95/98/2000 de la instalación. Esto permite ejecutar
comandos adicionales antes de continuar.
● /s:[ruta de origen]: Especifica la ubicación de los archivos de instalación de Windows 2000. (La
forma predeterminada es la carpeta actual.) Debe ser una ruta de acceso completa, X:\ruta o
\\servidor\ruta\compartida. Para especificar múltiples rutas de acceso para que el programa de
instalación busque los archivos necesarios, hay que utilizar varios parámetros /s:. (Algunas veces
también se pueden acelerar las transferencias desde un servidor especificando el mismo origen
más de una vez.) El programa de instalación fallará si el primer servidor no está disponible.
● /syspart:[letra de unidad]: Especifica un disco duro al cual se quieren copiar los archivos de
inicio de la instalación. Se marca como activa esta unidad de disco y el programa de instalación
termina, permitiendo extraer el disco e insertarlo en otro equipo. Cuando se inicie de nuevo el
equipo, la siguiente fase de la instalación comenzará automáticamente. Hay que usar el parámetro
/tempdrive junto con el parámetro /syspart (ambos apuntando a la misma unidad de disco).
● /tempdrive:[letra de unidad]: Especifica la unidad de disco donde se quiere que el programa de
instalación copie sus archivos temporales e instale Windows 2000. De forma predeterminada, el
programa de instalación utiliza la partición con mayor espacio libre.
● /unattend: Actualiza la versión anterior de Windows en modo desatendido, tomando toda la
configuración de la instalación anterior. Los OEMs no deberían utilizar el modificador unattend
en las ventas para usuarios finales porque admite de forma explícita la comprensión y aceptación
del contrato de licencia para usuarios finales (EULA, End User Licence Agreement).
● /unattend:[núm:archivo de respuestas]: Ejecuta el programa de instalación en modo desatendido
utilizando el archivo de respuestas proporcionado. El parámetro núm especifica el número de
segundos que debe esperar después de copiar los archivos y antes de reiniciar el equipo, y sólo
funciona cuando se ejecuta el programa de instalación desde Windows 2000. Hay que utilizar el
modificador /s: para especificar la ubicación del archivo de respuestas.
● /udf:[id, archivo UDF]: Especifica un UDF a utilizar para modificar un archivo de respuestas. El
ID identifica qué parámetro del archivo de respuestas debería reemplazarse con información del
archivo UDF. Por ejemplo, /udf:ComputerName,nuestra_empresa.udf tomaría el Nombre de la
empresa del archivo .UDF en lugar del archivo de respuestas. Si no se especifica un archivo UDF,
se pedirá la introducción de un disco que contenga el archivo $Unique$.udf.
Como se puede ver, muchos de estos parámetros se apoyan en otros parámetros, y muy pronto se
acabarán escribiendo (y algunas veces reescribiendo) largas cadenas en el símbolo del sistema. Si se
acaba haciendo esto a menudo, conviene crear un archivo de procesamiento por lotes (un archivo de texto
con la extensión .BAT) que contenga el comando y los parámetros del programa de instalación.
Entonces, basta simplemente con ejecutar el archivo procesamiento por lotes en lugar de escribir todos
los parámetros.
Creación de una carpeta de distribución
Una carpeta de distribución (llamada algunas veces directorio origen) es una carpeta compartida en el

Capítulo 4
servidor que contiene la carpeta \i386 del CD-ROM y cualquier controlador de dispositivo u otros
archivos que se añadan para dar soporte a sistemas específicos:
Si se utiliza la herramienta Setup Manager del Kit de recursos de Windows 2000 para crear guiones de
instalación automatizados, se puede disponer de una carpeta de distribución ya creada. O se puede crear
esta carpeta manualmente. Para crearla hay que seguir los siguientes pasos:
1. Conectarse al volumen donde se quiere crear la carpeta de distribución. Copiar la carpeta \i386
desde el CD-ROM de Windows 2000 al volumen en el cual se quiere crear la carpeta de
distribución.
2. Crear una subcarpeta en la carpeta \i386 para cualquier controlador o programa adicional que se
quiera preinstalar en los sistemas. Todos los archivos y carpetas de esta carpeta se copian a la
carpeta temporal de la instalación durante el proceso de instalación.
3. Crear las subcarpetas adicionales necesarias para las instalaciones.
Con Windows 2000, se pueden aplicar service packs a las carpetas de distribución. Esto no sólo
elimina el paso del service pack del proceso de instalación, sino que también asegura que si en
algún momento un equipo necesita los archivos originales de Windows 2000 de la carpeta de
distribución, recibe archivos actualizados. (De esta forma los service packs no tienen que ser
reaplicados nunca más tras cambiar la configuración del sistema.) Para actualizar una carpeta
de distribución, hay que ejecutar el programa de instalación del service pack y dirigirlo a la
carpeta de distribución.
Subcarpetas que se pueden crear para almacenar archivos extra

Carpeta Descripción
\$OEM$\textmode La carpeta en la cual se sitúa cualquier archivo dependiente
del hardware para utilizarlo durante la carga de la
instalación de Windows 2000 y durante la fase en modo
texto del programa de instalación. Entre estos archivos se
incluye cualquier HAL del fabricante de equipos original
(OEM, Original Equipment Manufacturer) que se podría
usar, además de controladores SCSI actualizados, de
teclado, de vídeo y de dispositivos señaladores.
En esta carpeta se incluye también el archivo txtsetup.oem
para controlar la carga e instalación de estos archivos. Para
crear el archivo txtsetup.oem hay que crear un archivo de
texto normal e incluir los nombres de todos los archivos de
esta carpeta. (Hay que asegurarse de incluir este archivo y
todos los archivos mencionados en el archivo Unattend.txt,
bajo la sección [OEMBootFiles].)

Capítulo 4
\$OEM$\$$ La carpeta que contiene cualquier archivo o archivos de

sistema nuevos que reemplazan a los archivos de sistema
existentes. Estos archivos se copian en los diferentes
subdirectorios que se crean en la carpeta de sistema de
Windows 2000 (\winnt).
Esta carpeta debe tener una estructura que se corresponda
exactamente con las subcarpetas de sistema de Windows
2000 para aquellas carpetas en las que se quieran añadir o
reemplazar archivos de sistema. Por ejemplo, para copiar
archivos nuevos o de reemplazamiento en la carpeta
\%windir%\System32, hay que crear una carpeta
\$OEM$\$$\System32.
\$OEM$\$1 La carpeta en la cual se sitúan los archivos que se quieren
copiar a la unidad de disco donde se instalará Windows
2000. Es equivalente a la variable de entorno
%systemdrive% y se puede utilizar para permitir que las
letras de unidad cambien sin causar problemas a las
aplicaciones que se dirigen a una letra de unidad debido a
su codificación. También se pueden crear subcarpetas aquí
para los archivos que se desee y toda la estructura de
carpetas se copiará a la unidad del sistema.
\$OEM$\letra_unidad La carpeta que especifica los archivos y carpetas
adicionales que se han de copiar a la carpeta raíz de la
unidad de disco mencionada. Habrá una entrada para cada
unidad que necesite archivos adicionales. Por ejemplo, los
archivos situados en la carpeta \$OEM$\C se copian en la
carpeta raíz de la unidad C: durante la fase enmodo texto
de la instalación. También se copia cualquier subcarpeta de
la carpeta \$OEM$\C.
Todos los archivos deben utilizar nombres cortos (8.3),
pero se pueden renombrar después de la instalación
incluyéndolos en el archivo $$Rename.txt.
Las carpetas \Display y \Net que se utilizaban en la carpeta \$OEM$ en Windows NT 4 ya

no se usan en Windows 2000. También se puede situar la carpeta \$OEM$ fuera de la
carpeta de distribución si se incluye la ruta de acceso (archivo o UNC) a la carpeta
\$OEM$ en el archivo de respuestas después de la clave OEMFILESPATH.
Instalación de controladores Plug and Play en la carpeta de distribución
Para configurar la carpeta de distribución con controladores Plug and Play (PnP) hay que seguir los
siguientes pasos:

Capítulo 4
1. Crear una subcarpeta en la carpeta \$OEM$\$1 con un nombre que no contenga más de ocho
caracteres.
2. Dentro de la subcarpeta creada se pueden crear subcarpetas adicionales para clasificar los
dispositivos; por ejemplo, se deberían tener los siguientes directorios:
\$OEM$\$1\Company\Net
\$OEM$\$1\Company\Video
\$OEM$\$1\Company\Sound
3. Copiar los controladores y los archivos .INF en la subcarpeta apropiada.
4. Si no se crean subcarpetas adicionales y se sitúan todos los controladores en una única subcarpeta
(por ejemplo, \$OEM$\$1\Company), hay que añadir la siguiente línea al archivo de respuestas:
OEMPnPDriversPath = "Company".
Si se crean múltiples subcarpetas para las unidades, hay que añadirlas al archivo de respuestas con
el siguiente formato, en el que cada referencia a carpeta va separada por punto y coma:
OEMPnPDriversPath = "Company\net; Company\video; Company\sound" .
Conversión de los nombres de archivo cortos en nombres de archivo largos de nuevo
La instalación en modo texto de Windows 2000 requiere el uso de los formatos de archivo 8.3 de MS-
DOS porque el programa está basado en una implementación MS-DOS de 16 bits. Por lo tanto, todos los
archivos que se incluyan en la carpeta de distribución necesitan tener nombres cortos compatibles con
MS-DOS. Sin embargo, el programa de instalación los convertirá en nombres largos mediante el uso de
un archivo de renombramiento. Para crear un archivo de renombramiento, hay que seguir los siguientes
pasos:
1. Abrir el Bloc de notas.

2. Entre corchetes hay que escribir la ruta de acceso a la subcarpeta que contenga los archivos que se
quieren renombrar (dejándola en blanco o utilizando el carácter barra invertida (\) para la carpeta
raíz).
3. Debajo de la cabecera entre corchetes hay que introducir cada nombre de archivo corto que se
desea renombrar (sin encerrarlo entre comillas) seguido de un signo igual y el nombre de archivo
largo entre comillas.
4. Se debe repetir el paso 3 con cada subcarpeta adicional en la cual haya archivos o carpetas que sea
necesario renombrar. A continuación se muestra un ejemplo de archivo de renombramiento:
[media]
nmarchl.txt = "Aquí el nombre de archivo largo.txt"
ding.wav = "Campanada realmente alta y molesta.wav"
whiz.drv = "Whizbang Deluxe Video.drv"
[images]
desktpl.bmp = "logo empresarial.bmp"
desktp2.bmp = "logo de división.bmp"
5. Hay que guardar el archivo como $$rename.txt en la carpeta de distribución antes de ejecutar el
programa de instalación.

Capítulo 4
También se incluye un archivo $$rename.txt ejemplo en el CD adjunto, en la carpeta \Samples\Chapter

5\unattend files.
Creación de archivos de respuestas por medio del Asistente para administración de la instalación
Cuando se instala Windows 2000, el programa de instalación se detiene varias veces a lo largo del
camino esperando la introducción de datos por parte del usuario. Los archivos de respuesta son
simplemente archivos de texto que suministran esos datos al programa de instalación, automatizando de
este modo la mayor parte del proceso de instalación. Si se dispone del Kit de recursos de Windows 2000,
se tiene el Asistente para administración de la instalación de Windows 2000, una práctica herramienta
para crear archivos de respuestas.
Es un paso, que realmente ahorra trabajo, se puede configurar un servidor o cliente típico
y dejar después que el Asistente para administración de la instalación construya un
archivo de respuestas que duplique la configuración de la máquina. Después se puede
utilizar el archivo de respuestas para configurar múltiples versiones de la máquina típica.
Para crear un nuevo archivo de respuestas hay que instalar primero las herramientas de soporte del Kit de
recursos de Windows 2000. Después hay que elegir el comando Ejecutar del menú Inicio, escribir
setupmgr en el cuadro de texto Abrir y seguir los siguientes pasos:
1. Pulsar Siguiente para empezar a utilizar el asistente, y escoger entonces la opción de crear un
nuevo archivo de respuestas. El Asistente para administración de la instalación de Windows 2000
recorre la creación o modificación de archivos de respuestas que se pueden utilizar para
automatizar las instalaciones.
2. Elegir el tipo de instalación para el que se quiere crear un archivo de respuestas escogiendo el tipo
de instalación apropiado. A continuación, pulsar Siguiente. ,
3. Seleccionar el producto para el cual se está creando el archivo de respuestas.
4. Suministrar el nombre y la empresa que se quieren utilizar, y después pulsar con el ratón en
Siguiente. (El cuadro de diálogo dice que si se dejan las cajas en blanco, no se especificará ningún
nombre o empresa en el archivo de respuestas, pero para un archivo de respuestas totalmente
automatizado, se requieren nombre y empresa.)
5. Especificar el modo de licencia que utilizarán los servidores, y, si es necesario, para cuántas
conexiones simultáneas se dispone de licencia; después hay que pulsar Siguiente.
6. Crear una lista de nombres de equipo para que la utilicen los sistemas. Se debe introducir un
nombre de equipo en el cuadro de texto Nombre de equipos, y pulsar después Agregar. El
Asistente para administración de la instalación de Windows 2000 toma los nombres (si hay dos o
más) y crea un UDF que el programa de instalación consultará para obtener los nombres de los
equipos, utilizando cada nombre solamente una vez. Conviene asegurarse de que los nombres de
equipo son tanto compatibles DNS como compatibles NetBIOS si se quiere mantener la
compatibilidad con clientes anteriores a Windows 2000. Hay que continuar introduciendo todos
los nombres de equipo necesarios para el número de sistemas que se espera configurar por medio

Capítulo 4
de este archivo de respuestas. Para eliminar un nombre de la lista, hay que seleccionar el nombre
y pulsar después el botón Quitar. Para importar una lista de nombres desde un archivo de texto,
hay que pulsar el botón Importar. Se puede seleccionar Generar de forma automática nombres de
equipo basados en nombres de organización para que el programa de instalación lo haga
automáticamente: los nombres incluirán unas pocas letras del nombre de la empresa pero, por otro
lado, serán aleatorios e inútiles. Cuando se haya terminado, hay que pulsar Siguiente.
A la hora de determinar el nivel de interacción que se le va a solicitar al usuario, existen varias
alternativas, y la elección que se haga determina el nivel de atención al proceso necesario por la
persona que ejecute la instalación. A continuación se incluye una explicación más detallada de los
niveles de interacción:
● Proporcionar valores predeterminados (Provide Defaults): Utiliza la información del
archivo de respuestas como respuestas predeterminadas durante la instalación de Windows

2000. El usuario todavía tiene que confirmar los valores predeterminados o realizar
cambios a medida que progresa la instalación.
● Completamente automatizado (Fully Automated): Automatiza completamente la
instalación por medio de los parámetros especificados en el archivo de respuestas

proporcionado. Esta opción resulta adecuada para configurar rápidamente múltiples
sistemas con idénticas configuraciones.
● Ocultación de páginas (Hide Pages): Automatiza las partes de la instalación para las que
se proporciona información, pero requiere que el usuario suministre cualquier información

que no se incluya en el archivo de respuestas. Se puede utilizar esta opción para configurar
un sistema de una forma específica, al tiempo que aún se permite al usuario personalizar
algunas opciones limitadas. (El usuario sólo verá las partes de la instalación que no se
cubran en el archivo de respuestas.)
● Sólo lectura (Read Only): Oculta las partes de la instalación para las que se proporciona
información, al igual que la opción Ocultación de páginas. Sin embargo, si se suministra en

el archivo de respuestas sólo parte de las respuestas de una ventana (y por lo tanto no está
oculta para el usuario), el usuario puede completar sólo la porción no respondida de la
ventana. Los parámetros proporcionados en el archivo de respuestas no se pueden cambiar
durante la instalación.
● GUI atendida (GUI Attended): Automatiza la parte basada en texto de la instalación. La
persona que ejecute el programa de instalación suministrará respuestas para el Asistente

para la instalación de Windows 2000. Conviene usar este nivel cuando se quiera
automatizar la parte de la instalación basada en texto y permitir que la persona que ejecute
la instalación proporcione los parámetros durante la parte GUI.
7. La siguiente ventana se puede utilizar para especificar cómo han de elegirse las contraseñas de las
cuentas de administrador de los sistemas.
El archivo de respuestas que crea el Asistente para administración de la instalación de Windows
2000 es un archivo de texto no cifrado. Si se especifica una contraseña de cuenta de
administrador en el archivo de respuestas, hay que asegurarse de que después de la instalación
se cambie la contraseña de la cuenta de administrador por algo más seguro.
8. Se puede seleccionar la configuración de pantalla que va a utilizar el equipo durante la instalación
en la siguiente ventana. Se podrían dejar los valores predeterminados o bien utilizar los

Capítulo 4
parámetros más básicos (pantalla a 640 x 480 con 16 colores y 60Hz) para asegurar la
compatibilidad. También se puede especificar una configuración personalizada pulsando en el
botón Personalizada y especificando los parámetros deseados, pero se recomienda seguir adelante
con el mínimo común denominador de los parámetros para reducir problemas en la instalación. Se
puede ajustar la resolución y los colores después de la instalación si es necesario. A continuación
hay que pulsar Siguiente.
9. Se puede elegir la opción Configuración típica para instalar TCP/IP, activar DHCP e instalar el
Cliente para redes Microsoft en los sistemas, o se puede elegir la opción Configuración
personalizada para especificar cómo se desean configurar los parámetros de red de los sistemas. A
continuación, pulsar Siguiente.
10. Esta ventana ofrece la opción de unir el equipo o equipos a un dominio o a un grupo de trabajo. Si
los sistemas se van a unir a un grupo de trabajo hay que elegir la opción Grupo de trabajo y
escribir el nombre del grupo de trabajo apropiado.
Si los sistemas se van a unir a un dominio, hay que elegir la opción Dominio de servidor
Windows. Hay que escribir el nombre del dominio de Windows Server en el cuadro de texto
proporcionado. Para crear una cuenta para el equipo en el dominio se debe pulsar la casilla de
verificación Crear una cuenta de equipo en el dominio y suministrar un nombre de usuario y
contraseña. El nombre de usuario y contraseña deben ser los de una cuenta de usuario que tenga
suficientes privilegios administrativos para autorizar la creación de una cuenta de equipo. Para
continuar, hay que pulsar Siguiente.
Si se introduce un nombre de usuario y contraseña con privilegios suficientes para crear una
cuenta de equipo en el dominio para los nuevos sistemas, se añade un riesgo de seguridad porque
el archivo de respuestas almacena todas las contraseñas en un archivo de texto plano sin cifrar.
La mejor solución es no incluir contraseñas de cuentas administrativas en un archivo de
respuestas, pero, si es necesario hacerlo, hay que proteger cuidadosamente el archivo y
asegurarse de borrarlo después de completar la instalación.
11. En la siguiente ventana se puede especificar la zona horaria que utilizarán los sistemas. Pulsar
Siguiente.
12. En este punto ya se ha recogido suficiente información para crear el archivo de respuestas, pero
también se pueden especificar parámetros adicionales. Si se opta por no editar los parámetros
adicionales, se puede saltar al paso 18. En otro caso, hay que seleccionar Sí, modificar la
configuración adicional y pulsar Siguiente.
13. Elegir Configuración regional, donde se especifica (o se rehúsa especificar) el conjunto de
caracteres para el idioma y región donde se utilizará el equipo. Esta configuración determina la
representación predeterminada para la hora, la fecha, la moneda y otros caracteres específicos de
una región.
14. En la ventana Idiomas se puede seleccionar cualquier grupo adicional de idiomas que se desee
utilizar. Pulsar Siguiente.
15. En la ventana Configuración del explorador y el shell se puede seleccionar el método de
personalización de Internet Explorer. Se pueden dejar los valores predeterminados, utilizar un
guión de autoconfiguración personalizado creado con el Kit de administración de Internet
Explorer, o especificar los parámetros concretos del proxy y de la página inicial predeterminada.
16. En la ventana Carpeta de instalación, se puede escoger la carpeta en la que se desea instalar

Capítulo 4
Windows 2000. Se debe utilizar la carpeta predeterminada e instalar en una carpeta llamada
\Winnt a menos que se tenga un motivo específico para hace otra cosa.
17. Si se elige crear una carpeta de distribución desde la cual el sistema instalará Windows 2000, se
pedirá especificar si se debería crear una nueva carpeta o modificar una existente. Si se va a
instalar Windows 2000 desde un CD-ROM, no se necesitará una carpeta de distribución, por lo
que se debe elegir No.
18. Para instalar controladores de almacenamiento masivo (generalmente controladores para nuevos
adaptadores SCSI o controladores FibreChannel), hay que pulsar el botón Examinar en la ventana
Proporcionar controladores adicionales de almacenamiento masivo. Se solicitará la ubicación de
los controladores.
19. Hay que especificar una HAL de reemplazamiento si se necesita una. Pulsar el botón Examinar y
localizar la HAL proporcionada por el fabricante del sistema.
20. Introducir cualquier comando a ejecutar al final de la instalación en el cuadro de texto Comandos
para ejecutar, pulsando Agregar después de escribir cada comando. Obsérvese que no se pueden
ejecutar comandos que requieran que un usuario inicie sesión. Se pueden eliminar comandos de la
lista seleccionando el comando y pulsando Quitar.
21. Para personalizar la instalación, se puede incluir un logotipo o fondo para que se muestre durante
la instalación. Se puede especificar un mapa de bits con el logotipo para que se muestre en la
esquina durante la parte GUI de la instalación. El mapa de bits con el fondo debe ser de 640 por
480 con 16 colores y se mostrará como fondo durante la instalación.
22. En la ventana Copia de archivos o carpetas adicionales, se pueden seleccionar archivos o carpetas
que se copiarán automáticamente en el equipo destino. Esta lista se puede extender a varias
carpetas. Hay que resaltar una carpeta y pulsar Agregar archivo. Después hay que buscar el
archivo o la carpeta a añadir.
Si se dispone de controladores adicionales para dispositivos Plug and Play que no estén incluidos
en Windows 2000, se deben copiar a la carpeta IPlug and Play Drivers en la unidad de disco del
sistema. La instalación de Windows 2000 buscará los controladores en esta carpeta si no pudiera
encontrarlos.
23. Escribir el nombre y la ubicación para el archivo de respuestas y después pulsar Siguiente. Hay
que pulsar Finalizar para cerrar el asistente. El Asistente para administración de la instalación crea
un archivo de procesamiento por lotes (con el mismo nombre que el archivo de respuestas) que,
cuando se ejecute, iniciará la instalación y utilizará los contenidos del archivo de respuestas. Se
puede utilizar este archivo de procesamiento por lotes o ejecutar el programa de instalación con
los parámetros apropiados, incluyendo el parámetro con la ruta de acceso del archivo de
respuestas.
Los archivos de procesamiento por lotes que crea el Asistente para administración de la
instalación de Windows 2000 utilizan la versión de 32 bits del programa de instalación. Si
no se dispone de una versión de 32 bits de Windows en la máquina donde se pretende
instalar Windows 2000, hay que modificar el archivo de procesamiento por lotes para que
utilice el archivo con la versión de 16 bits del programa de instalación, borrando el 32
desde la tercera hasta la última línea del archivo. También hay que cambiar el parámetro
/unattend: desde la segunda hasta la última línea por /u:

Capítulo 4
Resolución de los problemas de las instalaciones
En muchos casos, la instalación de Windows 2000 Server es un proceso relativamente llevadero; sin
embargo, cuando el programa de instalación falla por una u otra razón, la vida se complica.
Afortunadamente, la mayoría de los problemas de la instalación se resuelven con facilidad.
El Programa de instalación se paraliza o se bloquea
Algunas veces la instalación de Windows 2000 se bloquea inexplicablemente al poco tiempo de

comenzar el proceso de instalación. Si se recibe un mensaje de error STOP, conviene anotarlo y consultar
bien el Solucionador de problemas relacionados con errores graves en la ayuda de Windows 2000 o en el
soporte técnico de Microsoft.
En general, estos fallos son intermitentes y no vienen acompañados más que con un mensaje de error de
escasa utilidad. Lo primero es reiniciar el sistema presionando CTRL+ALT+SUPR. Hay que hacer esto
de forma repetida si es necesario. Si no se obtiene respuesta hay que pulsar el botón RESET del equipo o
apagar el sistema, esperar 10 segundos y volverlo a encender. Si aparece un Menú de inicio, hay que
escoger la opción Instalación de Windows 2000 Server para permitir que Instalar Windows 2000 trate de
continuar con su instalación. Si no aparece ningún Menú de inicio, hay que ejecutar el programa de
instalación de nuevo. En cualquier caso, no se debe optar por reparar la instalación sino por continuar con
el programa de instalación.
El programa de instalación detecta, normalmente, que ha ocurrido un error en su último intento de

instalar Windows 2000 y lo compensa con un método más seguro de instalación. Si el programa de
instalación se bloquea o deja de responder de nuevo, hay que repetir el proceso. Algunas veces, el
programa de instalación se bloqueará en múltiples ocasiones antes de finalizar la instalación de Windows
2000, por lo que hay que ser persistente. Si la instalación se paraliza en una parte concreta del proceso, se
puede intentar elegir unas opciones de instalación más sencillas, si son aplicables. Por ejemplo, se
pueden descartar los componentes opcionales de Windows.
A continuación se muestran otros procedimientos que se pueden utilizar para solucionar problemas de
instalación:
● Desactivar la caché del sistema (la caché del procesador) en la BIOS, y ejecutar el programa de
instalación de nuevo. Para realizar esta operación conviene consultar la documentación del
hardware para obtener más información sobre el procedimiento correcto. Una vez que se ha
completado la instalación, hay que activar la caché de nuevo para evitar una pérdida significativa
del rendimiento.
● Intentar añadir un estado de espera para la RAM en la BIOS del sistema. Esto puede ser de ayuda
con chips de RAM parcialmente defectuosos. (Sin embargo, si este servidor es importante -¿y qué
servidor no lo es?- conviene plantearse el reemplazar esa RAM sospechosa antes de realizar

Capítulo 4
cualquier trabajo crítico en la máquina.)

● Verificar que los módulos RAM estén fabricados por la misma empresa y sean de la misma
velocidad y tipo. Aunque esto no sea una necesidad puede, a menudo, eliminar problemas.
● Modificar el orden de los módulos RAM o quitar algunos módulos y tratar de instalar de nuevo.
● Verificar los módulos RAM para buscar chips RAM defectuosos con un programa de terceros.
Hay que reemplazar cualquier módulo defectuoso y ejecutar el programa de instalación de nuevo.
● Comprobar el equipo en busca de un virus MBR iniciando desde un disquete libre de virus y
después ejecutar un programa detector de virus y explorar las unidades en busca de virus. Si se
encuentra algún virus hay que eliminarlo del sistema y ejecutar el programa de instalación de
nuevo.
Si el programa de instalación se paraliza sistemáticamente durante el Asistente para la instalación basado

en Windows 2000 y el sistema tiene una BIOS compatible con ACPI, la BIOS podría no funcionar en
modo ACPI con Windows 2000. Las paralizaciones pueden producirse en cualquier momento durante el
Asistente para la instalación, aunque se producen más frecuentemente durante la fase de detección de
dispositivos. Si se sospecha que la BIOS no está funcionando correctamente con Windows 2000,
conviene descargar la última versión desde el distribuidor del sistema.
Si aun así hay problemas, o si no se encuentra disponible la BIOS actualizada, se puede

intentar desactivar la ACPI durante la instalación presionando F5 al principio de la fase
en modo texto del programa de instalación, justo después de que se indique que se puede
pulsar F6 para instalar controladores de almacenamiento de terceros. Si esto no resuelve
los problemas de la instalación, significa que no existe un problema con el soporte ACPI
de la BIOS. Se puede volver a añadir el soporte ACPI una vez finalizada la instalación
abriendo el cuadro de diálogo Propiedades de PC estándar en el Administrador de
dispositivos y utilizando el Asistente para actualización de controlador de dispositivo para
instalar el controlador Equipo compatible con ACPI, sin embargo, esto podría introducir
problemas de estabilidad en el sistema y sólo debería intentarse si se es amante del riesgo.
También se puede activar o desactivar manualmente el soporte ACPI tras finalizar la fase
de copia de archivos de la instalación, justo antes de que el equipo pase al Asistente para
la instalación de Windows 2000. (Algunas veces se puede hacer esto después de que el
sistema se paralice durante el Asistente para la instalación.) Para forzar a Windows 2000
a que active o desactive el soporte ACPI se deben seguir los siguientes pasos:
1. Después de que finalice la fase en modo texto del programa de instalación, pero
antes de que Windows 2000 pase a Asistente para la instalación, hay que ir al
símbolo del sistema.
2. Escribir attrib -r -s -h c:\txtsetup.sif en el símbolo del sistema.
3. Abrir el archivo c:\txtsetup.sif por medio del comando edit u otro editor de textos y
buscar "ACPIEnable=".
4. Para forzar la activación del soporte ACPI, lo que algunas veces soluciona
problemas de instalación, hay que cambiar el valor de "ACPIEnable=" a 1.

Capítulo 4
5. Para desactivar el soporte ACRI, hay que cambiar el valor de «ACPIEnable=» a 0.

6. Guardar el archivo y reiniciar para pasar al Asistente para la instalación de
Windows 2000.
De nuevo si alguno de los pasos realizados revela hardware cuestionable, hay que reemplazar el
hardware antes de confiar en el equipo para almacenar información importante o proporcionar funciones
críticas a los usuarios.
El Programa de instalación se detiene durante la copia de archivos
Si el programa de instalación se bloquea mientras copia archivos, podría existir un problema con la
configuración de la unidad de disco IDE. Se pueden intentar algunas de las siguientes soluciones:
● Reiniciar la máquina usando CTRL+ALT+suPR o Reset y acceder a la BIOS del sistema. Hay
que verificar que los controladores IDE estén activados y configurados apropiadamente. Conviene
asegurarse de que todos los discos duros o CD-ROM IDE se han detectado correctamente. (Para
verificarlo, posiblemente haya que reiniciar el sistema y observar la pantalla, porque a menudo las
unidades no se muestran dentro de la BIOS.)
● Comprobar la configuración física de los puentes de las unidades de disco para asegurarse de que
indiquen correctamente que hay un maestro y un máximo de un esclavo por canal IDE.
● Si la unidad de CD-ROM se encuentra en el mismo canal que el disco duro, conviene moverla al
segundo canal y configurarla como maestra.
● Intentar disminuir la tasa de transferencia de datos de las unidades; por ejemplo, se pueden
configurar las unidades para que utilicen PIO modo 2 en lugar del modo Ultra DMA o modo de
transferencia Ultra 66.
● Asegurarse de que las unidades estén correctamente cableadas y que los cables no estén
defectuosos.
● Verificar la configuración del hardware para asegurarse de que el controlador del disco duro no
esté en conflicto con otro dispositivo. Se pueden intentar extraer todas las tarjetas del equipo,
excepto la tarjeta de vídeo y el adaptador SCSI (si se está utilizando una unidad SCSI), y ejecutar
el programa de instalación de nuevo. Si la instalación tiene éxito, hay que añadir las tarjetas una a
una después de la instalación, y utilizar el Asistente para nuevo hardware encontrado de Windows
2000 para configurar los dispositivos y resolver cualquier conflicto de hardware que se encuentre.
Windows 2000 proporciona una variedad de herramientas que se pueden utilizar para
iniciar un sistema que no quiere iniciar, incluyendo las opciones Modo seguro y La última
configuración buena conocida, además de la Consola de recuperación, que permite un
acceso de línea de comandos a una unidad NTFS o FAT que no iniciaría.
Si nada de esto sirve de ayuda, se pueden intentar las recomendaciones de la sección anterior o consultar
la Base de conocimiento de Windows 2000.

Capítulo 4
El sistema operativo anterior no se inicia
Cuando se instala Windows 2000 Server en un equipo que ya utiliza un sistema operativo y se opta por
no actualizar, el programa de instalación crea un inicio dual de forma que se pueda seleccionar qué
sistema operativo se quiere utilizar en el momento de iniciar.
Si el equipo nunca muestra el menú del Cargador de Windows 2000 que permite escoger el sistema
operativo anterior, el problema se debe generalmente a uno o dos motivos: el archivo boot.ini tiene un
tiempo límite establecido a 0 (y, de este modo, el Menú de inicio no se muestra), o bien el MBR se ha
sobreescrito durante la instalación, impidiendo el inicio del sistema operativo anterior incluso si se
dispone de la entrada apropiada en el archivo boot.ini.
Para restaurar la capacidad de iniciar el resto de sistemas operativos, primero hay que realizar una copia
de seguridad del disco duro con un programa de copia de seguridad de Windows 2000 que guarde la
información del estado del sistema (como la utilidad Copia de seguridad incluida en Windows 2000).
Hay que crear un disco de reparación de emergencia, también con Copia de seguridad, y seguir después
los siguientes pasos:
1. Reiniciar el equipo y presionar la BARRA ESPACIADORA después de que se muestren las

pantallas de la BIOS y en cuanto aparezcan los puntos en la parte superior de la pantalla. Esto
muestra la pantalla Menú de recuperación de perfil y configuración de hardware.
2. Presionar F3 para mostrar la pantalla del Cargador de Windows 2000 sin valor de tiempo límite.
3. Seleccionar el sistema operativo anterior y pulsar INTRO para iniciarlo.
También se puede cambiar el parámetro tiempo límite si se abre el subprograma Sistema

del Panel de control de Windows 2000, se pulsa en la pestaña Avanzado, se pulsa Inicio y
recuperación, se selecciona entonces la casilla de verificación Mostrar lista de sistemas
operativos durante y se establece el número de segundos que se desea que se muestre el
menú de inicio.
Si esto funciona y se desea que se muestre el Cargador de Windows 2000 automáticamente, hay que
cambiar el valor timeout en el archivo boot.ini a un valor superior a 0. Para hacer esto hay que seguir los
siguientes pasos:
1. En el símbolo del sistema de Windows 2000 (si la unidad de inicio está con formato NTFS) o de
MS-DOS (iniciando desde un disquete) hay que escribir el siguiente comando:
attrib -r -s -h c:\boot.ini
edit c:\boot.ini
2. Cambiar el valor del tiempo límite de 0 al número de segundos que se desea que el sistema
muestre la pantalla del Cargador de Windows 2000 antes de iniciar automáticamente. (El valor
predeterminado es de 30 segundos.)
3. Guardar y cerrar Edit, y escribir el siguiente comando:

Capítulo 4
attrib +r +s +h c:\boot.ini
4. Reiniciar el equipo de forma normal.
Si el equipo no tiene un archivo boot.ini, se puede utilizar o modificar uno de los archivos boot.ini
incluidos en el CD adjunto o crear uno partiendo de cero. A continuación se muestra un ejemplo de
archivo boot.ini.
[Boot Loader]
Timeout=30
Default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[Operating Systems]
multi(0)disk(0)rdisk(0)partition(1) \WINNT="Windows 2000 Server"
/fastdetect multi(0)disk(1)rdisk(0)partition(1) \WINNT="Windows 2000
Profesional (Instalación paralela)" /fastdetect
Las variables clave de un archivo boot.ini
● Timeout: Número de segundos que se debe mostrar el menú del Cargador de Windows 2000.
● Default: Ubicación del sistema operativo predeterminado para iniciar.
● Multi: Número y tipo de controlador de disco duro utilizado. Hay que reemplazarlo por un
parámetro scsi para unidades de disco conectadas a un controlador SCSI con su BIOS
desactivada.
● Disk: Número del disco en el que reside el sistema operativo. Este valor siempre será 0 para
unidades IDE, pero será el ID SCSI de una unidad SCSI.
● rdisk: Número del disco en el que reside el sistema operativo. Para unidades IDE será el número
ordinal de la unidad, comenzando por el 0. Para un disco SCSI siempre será 0.
● Partition: Número de la partición en la que reside el sistema operativo. La numeración comienza
por el 1.
● \WINNT: Ruta de acceso al sistema operativo en la partición especificada.
● "Windows 2000 Server": Nombre del sistema operativo que se muestra en el Menú de inicio del
Cargador de Windows 2000. Puede ser cualquiera.
La creación incorrecta de un archivo boot.ini puede causar que un sistema no inicie. No

conviene realizar este procedimiento a menos que se disponga de una copia de seguridad
actual, un disco de inicio que funcione y permita acceder a todos los recursos necesarios
del equipo (¡hay que verificar el disco primero!), junto con el CD de instalación de
Windows 2000, los discos de inicio del programa de instalación y un Disco de reparación
de emergencia recién creado.
Cuando se crea el archivo boot.ini hay que asegurarse de utilizar el número de unidad de disco y de
partición correctos o el sistema no iniciará. Una vez que se haya modificado o creado el archivo boot.ini,
hay que copiarlo a la carpeta raíz de la unidad de disco de inicio y reiniciar el equipo. Cuando aparezca el

Capítulo 4
menú del Cargador de Windows 2000, hay que seleccionar el sistema operativo que se desea cargar y
presionar INTRO.
Las particiones se numeran de la siguiente manera: primero se numeran las unidades que
se encuentran en particiones primarias por orden de posición en el disco, después las
unidades lógicas creadas en las partición extendida.
Si el sistema operativo que tiene problemas para iniciar es Windows NT o Windows 2000, se puede
utilizar un modificador en la sección [Operating Systems] del archivo boot.ini para ayudar en la
resolución del problema.
Si no se puede iniciar apropiadamente con ninguno de los sistemas operativos, es necesario eliminar el
archivo boot.ini recién creado. Hay que iniciar el equipo por medio de la Consola de recuperación o un
disco de inicio, escribir las siguientes líneas en el símbolo del sistema y reiniciar entonces el sistema.
attrib -r -s -h c:\boot.ini
del boot.ini
Si el sistema operativo no inicia adecuadamente, podría ser necesario volver a crear el MBR del sistema
operativo que estaba instalado antes. Esto es un asunto arriesgado, por lo que conviene releer la
advertencia de la el Aviso anterior y asegurarse de que se dispone de tiempo para reinstalar el sistema
operativo y restaurar una copia de seguridad si ocurre algún problema. Para volver a crear el MBR del
sistema operativo anterior, hay que seguir los siguientes pasos:
1. Iniciar el equipo con un disco de inicio del sistema operativo que no se puede iniciar. (Hay que
asegurarse de que el disco contenga el archivo Sys.com.)
2. Escribir lo siguiente en el símbolo del sistema para transferir los archivos del sistema del disquete
al disco duro: A:\sys c:
Si este paso no funciona en ese sistema operativo, hay que transferir los archivos del sistema de
la forma que permita el sistema operativo o intentar utilizar cualquier utilidad de reparación de
MBR incluida en ese sistema operativo.
3. Extraer el disquete y reiniciar el equipo. Hay que verificar que el sistema operativo que se quiere
reparar se inicia correctamente antes de realizar el siguiente paso.
4. Iniciar Windows 2000 por medio del CD-ROM o los discos de inicio del programa de instalación
de Windows 2000.
5. Cuando se ejecute la instalación de Windows 2000, hay que presionar Intro para empezar y
pulsar después R para reparar una instalación existente.
6. Presionar R de nuevo y presionar después M para realizar una reparación manual.
7. Desmarcar todas las casillas de verificación excepto la casilla Inspeccionar el sector de inicio.
Pulsar después Intro.
8. Insertar el disco de reparaciones de emergencia cuando se solicite, o presionar Esc para que el
programa de instalación busque la instalación de Windows 2000.

Capítulo 4
9. Cuando el programa de instalación termine de reparar el MBR, hay que reiniciar el equipo y
escoger el sistema operativo apropiado en el menú del Cargador de Windows 2000.
Modificadores para resolución de problemas del sistema operativo:
● /basevideo: Arranca utilizando el controlador estándar VGA. Muy útil si se tienen problemas de
visualización.
● /sos: Muestra en pantalla cada controlador tal y como se ha cargado durante la fase de carga del
núcleo. Muy útil para determinar si un controlador está provocando un fallo de arranque.
● /noserialmice: Desactiva la detección de serie. Puede añadirse =COMX sólo para eliminar esta
detección con un puerto COMK específico.
● /crashdebug: Activa la característica Recuperación automática y reinicio.
● /maxmem:n: Limita la cantidad de memoria a "n" megabytes. Muy útil para la resolución de
problemas con errores de paridad de memoria.
● /scsiordinal:n: Asigna el número 0 al primer controlador SCSI y el número 1 al segundo.

Capítulo 5
Capítulo 5
Después de instalar Microsoft Windows 2000 es necesario configurar el servidor añadiendo los
dispositivos que hagan falta, cambiando posiblemente los protocolos y servicios de red e instalando las
herramientas clave del servidor.
Configuración de dispositivos
Inmediatamente después de finalizar una instalación de Windows 2000, o cualquier otro sistema
operativo de similar propósito, hay que asegurarse de que los dispositivos se han reconocido y
configurado apropiadamente. Aunque el Programa de instalación de Windows 2000 realiza un buen
trabajo de detección y configuración, el Programa de instalación no es capaz de resolver los conflictos de
recursos o superar la carencia de controladores. También será necesario activar dispositivos, como un
sistema de alimentación ininterrumpida (SAI), que se desconectaron o desactivaron antes de comenzar la
instalación.
Windows NT 4 no es el mejor sistema operativo a la hora de encontrar y solucionar los problemas de los
dispositivos porque carece de funciones Plug and Play (PnP) y sólo tiene soporte para una base limitada
de hardware. En cambio, Windows 2000 integra soporte PnP junto con un método más centralizado de
administrar los dispositivos hardware, por medio del Administrador de dispositivos y el Asistente para
agregar o quitar hardware, y mejorando en general el soporte de controladores de dispositivos. Hay que
comprobar la existencia de conflictos en la lista de dispositivos a través del Administrador de
dispositivos en dispositivos que no se instalaron durante la instalación, y utilizar entonces el Asistente
para agregar o quitar hardware para hacer los cambios necesarios.
Asistente para agregar o quitar hardware
Aunque se puede utilizar el Administrador de dispositivos en lugar del Asistente para agregar o quitar
hardware para gestionar la mayoría de las funciones del asistente, es necesario utilizar el Asistente para
agregar o quitar hardware para añadir un dispositivo que Windows 2000 no puede reconocer o para
desconectar o extraer un dispositivo. Una vez iniciado aparecen dos opciones

Capítulo 5
● Desinstalar o desconectar
un dispositivo: lo
seleccionaremos en el
Asistente para agregar o
quitar hardware, y utilizar
después la ventana siguiente
bien para desconectar
temporalmente un dispositivo
con conexión en caliente o
bien para desinstalar
permanentemente un
dispositivo del sistema.
Siempre se puede volver a
agregar el dispositivo después
utilizando este mismo
asistente o por medio de la
autodetección de dispositivos
PnP de Windows 2000.
● Agregar dispositivo o solucionar problemas: lo seleccionaremos para agregar un dispositivo al
sistema, hay que asegurarse de que el dispositivo está físicamente conectado y/o encendido.
Después hay que pulsar dos veces en el icono Agregar o quitar hardware en el Panel de control y,
cuando aparezca la ventana de bienvenida, pulsar Siguiente para iniciar el asistente. y pulsar
Siguiente. Windows 2000 busca hardware PnP en el sistema y muestra después una lista con el
hardware detectado. Si se detecta nuevo hardware PnP, Windows 2000 instala los controladores,
si puede localizarlos, y muestra una lista de los dispositivos que ha instalado. Hay que pulsar
Finalizar para terminar el proceso de instalación.
Resolución de problemas con un dispositivo

Capítulo 5
Si después de añadir un dispositivo,

Windows 2000 no lo detecta o lo
hace de forma incorrecta, se puede
solucionar el problema por medio
del Asistente para agregar o quitar
hardware. Cuando no se encuentran
nuevos dispositivos, Windows 2000
muestra todos los dispositivos del
sistema, mostrando primero
cualquier dispositivo o dispositivos
deshabilitados o con problemas.
Para solucionar un problema con un

dispositivo, hay que seleccionar el
dispositivo en la lista y después
pulsar Siguiente para ver el estado
del dispositivo e iniciar un asistente
para resolver problemas. Para
agregar un dispositivo que Windows 2000 no pueda detectar, hay que seleccionar Agregar un
dispositivo nuevo en la lista de la ventana Seleccione un dispositivo de hardware y seguir los siguientes
pasos:
1. Escoger si se desea que Windows 2000 busque el hardware o si se quiere seleccionar el

dispositivo manualmente de una lista.
2. Seleccionar de la lista de dispositivos detectados o seleccionar el tipo de hardware que se
desea instalar de la lista proporcionada y pulsar Siguiente.
3. Si se escogió la selección manual del dispositivo, hay que seleccionar el fabricante y el
dispositivo o pulsar Utilizar disco para proporcionar unos controladores propios y después
pulsar Siguiente. Windows 2000 instala los controladores del dispositivo y muestra después un
resumen de sus acciones.
4. Pulsar Finalizar para terminar el asistente.
El Administrador de dispositivos
El Administrador de dispositivos es un almacén central de información sobre dispositivos de Windows

2000. Si ya se ha utilizado el Administrador de dispositivos de Windows 95/98, no se tendrá ningún
problema con el nuevo Administrador de dispositivos de Windows 2000. Se utiliza para ver o imprimir la
configuración y los controladores cargados de cualquier dispositivo del sistema además de para
deshabilitar, desinstalar o modificar la configuración de un dispositivo.

Capítulo 5
Inicio del Administrador

de dispositivos
Se puede acceder al
Administrador de
dispositivos de muchas
formas. Quizás la más útil
es pulsar el icono
Administración de
equipos en el menú
Herramientas
administrativas del menú
Inicio. Hay que pulsar el
signo más junto a
Herramientas del sistema
para expandir el árbol y
pulsar después
Administrador de
dispositivos.
También se puede acceder

al Administrador de
dispositivos abriendo la herramienta Sistema del Panel de control. Hay que pulsar la pestaña Hardware
y pulsar después el botón Administrador de dispositivos. La pestaña hardware también contiene el
Asistente para hardware y la herramienta Firma de controladores que se puede utilizar para especificar si
se desea permitir el uso de controladores de dispositivos no firmados.
Para utilizar el complemento Administración de equipos para administrar remotamente

otro equipo que ejecuta Windows 2000, hay que seleccionar Administración de equipos en
el árbol de consolas y escoger después Conectar con otro equipo en el menú Acción. Hay
que seleccionar el equipo que se desea administrar y pulsar Aceptar para empezar a
hacerlo.
Trabajo con el Administrador de dispositivos
Tras abrir el Administrador de dispositivos, se podrá observar una lista de todos los dispositivos que
Windows 2000 ha detectado en el sistema. Los dispositivos que no funcionan se muestran con un signo
de admiración, indicando que existe un problema con el dispositivo; los dispositivos deshabilitados se
muestran con una pequeña "x" roja sobre el icono.
En la parte derecha de la barra de herramientas se encuentran disponibles varios iconos según el

dispositivo resaltado. En la figura aparecen los siguientes botones (leyendo de izquierda a derecha):

Capítulo 5
Buscar cambios en el hardware: Se puede pulsar este botón para decirle al sistema que busque
cambios en el hardware. Hay que usar este botón después de añadir nuevos dispositivos PnP o
después de cambiar el hardware.
Deshabilitar/Habilitar: Hay que resaltar un dispositivo y pulsar este botón para deshabilitarlo o
habilitarlo, dependiendo de su estado actual. Cuando un dispositivo está deshabilitado, sus
recursos se liberan y sus controladores permanecen pero no se cargan durante el inicio. Hay que
tener cuidado de no deshabilitar algo que sea necesario para iniciar la máquina.
Desinstalar: Hay que resaltar un dispositivo y pulsar este botón para desinstalarlo. Esto sólo
debería ser necesario para dispositivos no PnP Un dispositivo PnP se puede desinstalar
simplemente extrayéndolo del equipo. La desinstalación de un dispositivo no elimina los
controladores del dispositivo del disco duro.
Para modificar la forma en la que se muestra el Administrador de dispositivos hay que escoger una
opción del menú Ver. Se pueden utilizar las diferentes opciones de vista del Administrador de
dispositivos para organizar los dispositivos del sistema de forma que resulte sencillo encontrar la
información que se necesita.
Opciones de vista:
● Dispositivos por tipo: Muestra los dispositivos

clasificados por tipo de dispositivo; normalmente es
la vista más útil (también la predeterminada).
● Dispositivos por conexión: Muestra todos los
dispositivos en relación a cómo están conectados a
otros dispositivos.
● Recursos por tipo: Muestra todos los recursos del
sistema, clasificándolos por tipo de recurso.
● Recursos por conexión: Muestra todos los recursos
del sistema, clasificándolos y agrupándolos por el
dispositivo al que están conectados.
● Mostrar dispositivos ocultos: Incluye dispositivos que no son PnP además de dispositivos que
podrían haberse extraído físicamente pero que todavía tienen sus controladores instalados.
Trabajo con las Propiedades del dispositivo
Para mostrar las propiedades de un dispositivo, hay que seleccionar el dispositivo y pulsar después el
botón Propiedades de la barra de herramientas o pulsar dos veces sobre el dispositivo. En la ventana
Propiedades del dispositivo existen varias pestañas. Se puede ver la información del estado y la
configuración, además del fabricante del dispositivo, el tipo de dispositivos y su ubicación, en la parte
superior de la pestaña General.

Capítulo 5
El nombre de
dispositivo que se
muestra en el
Administrador de
dispositivos es el
nombre del
controlador que
Windows 2000 está
utilizando para el
dispositivo y puede
ser en realidad
incorrecto si se ha
cargado el
controlador
equivocado para el
dispositivo.
El cuadro Estado del

dispositivo en el centro de la
pestaña General muestra el
estado del dispositivo,
incluyendo cualquier error.
Si el dispositivo tiene algún problema, el cuadro Estado del dispositivo describirá resumidamente el
problema y, normalmente, describirá también la forma apropiada de proceder para corregir el problema.
Se puede pulsar el botón Solucionador de problemas para utilizar los mecanismos incorporados para
detectar la naturaleza del problema.
Entre las otras pestañas se incluye la pestaña Controlador, que muestra los detalles del controlador que
se está utilizando. Esta pestaña también permite actualizar o desinstalar el controlador. La pestaña
Recursos muestra los recursos hardware que se están utilizando. Esta pestaña permite ver y resolver
cualquier conflicto causado por dispositivos no PnP junto con estas pestañas, algunos dispositivos
cuentan con configuración avanzada adicional o pestañas para parámetros específicos del dispositivo.
El Administrador de dispositivos trabaja en equipos remotos en modo de sólo lectura. Se

puede utilizar el Administrador de dispositivos para diagnosticar problemas, pero habrá
que realizar los cambios de forma local.
Configuración de parámetros de la Red
Aunque el Programa de instalación de Windows 2000 solicita los parámetros de red necesarios, podría
ser necesario modificar esos parámetros en algún punto después de completar la instalación,
posiblemente inmediatamente, si los parámetros especificados eran erróneos o incompletos.

Capítulo 5
Cambio de la identidad de red
Los cambios son algunas veces necesarios, aunque con un servidor es mejor emplear el tiempo en
planificar primero que tener que hacer cambios después. Sin embargo, incluso con una planificación
cuidadosa, se puede descubrir que una máquina necesita tener un nombre diferente o necesita unirse a un
dominio diferente.
Cambio de un servidor autónomo
Para cambiar la identidad de un servidor que no

es un controlador de dominio, hay que iniciar
sesión utilizando una cuenta de administrador y
seguir los siguientes pasos:
1. Abrir la herramienta Sistema del Panel

de control y pulsar después en la
pestaña Identificación de red.
2. Para cambiar el nombre y el dominio o
miembro de grupo de trabajo del equipo,
hay que seleccionar Propiedades.
Después hay que introducir el nuevo
nombre del equipo en el cuadro de texto
Nombre de equipo en el cuadro de
diálogo Cambios de identificación.
3. Para modificar el dominio o el grupo de
trabajo al que se pertenece, hay que
escoger la opción Dominio o la opción
Grupo de trabajo, y escribir después el
nombre del dominio o del grupo de
trabajo en el cuadro de texto.
4. Se puede pulsar Más para especificar
manualmente el nombre del dominio
para el equipo y para obtener una vista
previa del nombre NetBIOS del sistema. Hay que pulsar Aceptar cuando se haya terminado.
Es una buena idea utilizar un nombre de equipo que sea tanto compatible DNS como
compatible NetBIOS de forma que todos los tipos de clientes vean el mismo nombre para
el equipo. Para hacer esto hay que mantener el nombre con un tamaño inferior a 15
caracteres y no utilizar asteriscos o puntos. Para obtener la mejor compatibilidad con las
aplicaciones, hay que tratar también de evitar el uso de espacios, subrayados y guiones.
La modificación de la identidad de un controlador de dominio es un proceso de varios

Capítulo 5
pasos. Primero hay que bajar de categoría al controlador de dominio. Después se puede
cambiar la identidad y, finalmente, se puede ascender de nuevo al controlador de dominio.
Configuración de los componentes de Red
Para agregar o modificar la configuración

de los componentes principales de la red
como clientes, servicios y protocolos, hay
que abrir la carpeta Conexiones de red y de
acceso telefónico, pulsar con el botón
derecho del ratón en el icono Conexión de
área local y escoger Propiedades en el menú
contextual. Este procedimiento abre la
ventana Propiedades de Conexión de área
local que se puede utilizar para ver y
modificar los componentes de red del
servidor.
Para instalar un componente de red, hay que

seleccionar Instalar, escoger el tipo de
componente que se desea instalar (Cliente,
Servicio o Protocolo) y pulsar después Agregar. Hay que seleccionar el componente de la lista presentada
y pulsar Aceptar. Para configurar el componente (si el componente tiene la opción de configuración) hay
que seleccionar el componente y pulsar Propiedades.
Si se dispone de un sistema de multipropiedad (un servidor con más de un adaptador de

red) conviene dar a las conexiones de área local un nombre que indique a qué red están
conectados los adaptadores.
TCP/IP
TCP/IP es el protocolo más importante de las redes actuales y es el eje central de la visión de Microsoft
de red con Windows 2000. El protocolo se adapta bien a las redes de empresa y se requiere para acceder
a Internet.
Instalación de TCP/IP
TCP/IP se instala como protocolo de red predeterminado y se detecta un adaptador de red durante la
instalación. Si se ha ignorado el método predeterminado durante la instalación, se puede agregar TCP/IP
como sigue:
1. Pulsar el botón Inicio, seleccionar Configuración y escoger entonces Conexiones de red y de

Capítulo 5
acceso telefónico.
2. Pulsar con el botón derecho del ratón en la conexión para la que se desea instalar TCP/IP y
escoger Propiedades.
3. Si TCP/IP no se encuentra en la lista de componentes utilizados hay que pulsar Instalar.
4. Resaltar Protocolo y pulsar Agregar.
5. En el cuadro Seleccione el protocolo de red, hay que resaltar Protocolo Internet (TCP/IP) y
pulsar Aceptar.
6. Hay que comprobar que la casilla de verificación Protocolo Internet (TCP/IP) está seleccionada y
pulsar después Cerrar.
Direccionamiento dinámico o estático
La forma más sencilla y más fiable de configurar máquinas de una red que funciona con TCP/IP es
utilizar un servidor DHCP para distribuir automáticamente las direcciones IP DHCP también puede
informar a los clientes de los servidores DNS y puertas de enlace apropiados a utilizar. Un servidor
DHCP no sólo simplifica la configuración del cliente, también ayudaa la administración de la Red dado
que administra la base de datos de direcciones IP disponibles de forma dinámica y automática. El
direccionamiento dinámico por medio de DHCP es la configuración predeterminada de Windows 2000.
Si la red no dispone de un servidor DHCP o si se está configurando un servidor DHCP, es necesario

configurar TCP/IP manualmente para que utilice una dirección IP e información DNS estáticas. Para
hacer esto hay que obtener la dirección IP de la persona que mantiene la base de datos de direcciones IP
que la empresa puede utilizar. Si se utiliza DHCP, todos los servidores DHCP necesitan ser actualizados
también para excluir las direcciones IP estáticas.

Capítulo 5
Pasa configurar el direccionamiento de la

tarjeta de Red deberemos seguir los
siguientes pasos:
1. Seleccionar el componente
Protocolo Internet (TCP/IP) en la
ventana Propiedades de Conexión
de área local y pulsar Propiedades.
● Obtener una dirección IP
automáticamente.
Seleccionar esta opción para
que el host se convierta en
cliente de un Servidor
DHCP.
● Usar la Siguiente dirección
IP: Se debe seleccionar esta

opción para dotar al host de
una configuración manual de
TCP/IP, debiendo
proporcionar una dirección IP
y una máscara de subred
apropiadas. Deberemos
introducir la dirección IP de
la puerta de enlace o enrutador predeterminado en el campo Puerta de enlace
predeterminada. La puerta de enlace predeterminada reenvía o encamina cualquier tráfico
destinado a hosts fuera de la subred local, posiblemente a otra porción de la red de área
extensa (WAN, Wide Area Network) o a Internet.
2. Para seleccionar los servidores DNS existen, también, dos opciones:
● Obtener la dirección del servidor DNS automáticamente si el servidor DHCP está
configurado para proporcionar las direcciones del servidor DNS a los clientes.
● Usar las siguientes direcciones de servidor DNS: hay que introducir las direcciones IP
de los servidores DNS que se desean utilizar.
Opciones de Configuración avanzada de TCP/IP
Si no se utiliza un servidor DHCP para configurar las direcciones IP del servidor y su configuración
asociada y es necesario introducir otros parámetros aparte de las direcciones IP del servidor y los
servidores DNS, hay que seleccionar Avanzada en la ventana Propiedades de Protocolo Internet
(TCP/IP). Esto abre el cuadro de diálogo Configuración avanzada de TCP/IP, el cual se puede utilizar
para especificar parámetros adicionales, incluyendo servidores WINS, NetBIOS sobre TCP/IP y
parámetros opcionales de TCP/IP.

Capítulo 5
Ficha Configuración de IP
El cuadro de diálogo Configuración

avanzada de TCP/IP contiene cuatro
fichas, la primera de las cuales es la ficha
Configuración de IP Esta ficha se utiliza
para añadir la dirección IP y la máscara
de subred de la conexión de red, además
de las puertas de enlace que debería
utilizar el servidor. Las opciones que se
pueden configurar en esta ficha son:
● Direcciones IP: Utilizar los

botones Agregar, Modificar y
Quitar bajo el cuadro Direcciones
IP para modificar la configuración
de la dirección IP y la máscara de
subred. Se pueden usar hasta cinco
direcciones IP y máscaras de
subred para la conexión de red,
tanto para acceder a diferentes
redes IP lógicas como para utilizar
diferentes direcciones IP en una
única red IP lógica.
● Puertas de enlade predeterminadas: Para añadir una puerta de enlace o enrutador
predeterminado hay que seleccionar Agregar e introducir la dirección IP del enrutador.
● Métrica de interfaz: La métrica de la interfaz asigna un coste relativo al uso de un enrutador
particular para acceder a una dirección IP concreta. Conviene asignar métricas de interfaz
inferiores a los enrutadores que se conecten a redes rápidas, como otra sección de una red local; y
conviene asignar números más altos a las conexiones más lentas, como una conexión a Internet
por medio de la Red digital de servicios integrados (RDSI) o de una Línea de suscriptor digital
(DSL, Digital Subscriber Line).
Ficha DNS
Para acceder a la configuración avanzada de DNS de la conexión de red, hay que pulsar en la pestaña
DNS donde se pueden configurar los siguientes parámetros:

Capítulo 5
● Direcciones de servidores de
DNS, por orden de utilización:
Utilizar los botones Agregar,
Modificar y Quitar bajo el
cuadro de direcciones DNS para
añadir o modificar los servidores
que se deseen utilizar para esta
conexión. Se pueden usar las
flechas hacia arriba y hacia abajo
cercanas al cuadro para cambiar el
orden en el cual el servidor
consulta los servidores DNS.
● Parámetros para resolución de
nombres no cualificados:
Seleccionar las opciones
apropiadas para nombres no
cualificados.
● Anexar sufijos DNS
principales y de
conexiones específicas:
Limita la resolución de
nombres no cualificados a
los sufijos de dominio y los
sufijos de conexiones
específicas. De esta forma,
si el sufijo DNS principal es eng.dominio.com y se escribe ping srv4 en el símbolo del
sistema, DNS buscará srv4.eng.dominio.com. Si se especifica también un nombre
específico de la conexión (bajo Sufijo DNS para esta conexión), como dev.dominio.com,
DNS consultará srv4.eng.dominio.com y srv4.dev.dominio.com.
i. Anexar sufijos primarios del sufijo DNS principal: Incluye sufijos primarios
hasta el dominio de segundo nivel en la resolución de nombres no cualificados. De
esta forma, si el sufijo DNS principal es eng.uk.corp.dominio.com y se escribe ping
srv4 en el símbolo del sistema, DNS consultará lo siguiente:
- srv4.eng.uk.corp.dominio.com
- srv4.uk.corp.dominio.com
- srv4.corp.dominio.com
- srv4.dominio.com
● Anexar estos sufijos DNS (en este orden): Especifica los únicos sufijos de dominio a
anexar a los nombres de dominio no cualificados durante el proceso de resolución de

nombres. Si se especifican sufijos de dominio aquí, los sufijos principal y de conexiones
específicas no se utilizan.
● Sufijo DNS para esta conexión: Para ignorar el nombre DNS primario del dominio especificado
para el equipo en la ficha Identificación de red de la herramienta Propiedades del sistema del

Capítulo 5
Panel de control, hay que escribir el nombre DNS del dominio que se desea utilizar en el cuadro
de texto Sufijo DNS para esta conexión.
● Registrar estas direcciones de
conexiones en DNS: Para impedir
que se registre el nombre DNS
completo de la dirección IP del
servidor en el servidor DNS, hay
que desactivar la casilla de
verificación Registrar estas
direcciones de conexiones en
DNS.
● Utilizar este sufijo DNS de
conexión para registro DNS:
Para registrar las direcciones IP de
las conexiones de red en DNS
basándose en el nombre de
dominio de las conexiones,
además de en el FQDN del
servidor, hay que seleccionar la
casilla de verificación Utilizar este
sufijo DNS de conexión para
registro DNS. El nombre de
dominio de la conexión se
introduce en el cuadro de texto
Sufijo DNS para esta conexión o
se asigna por el servidor DHCP
Ficha WINS
Para configurar los parámetros de WINS del equipo, hay que pulsar la pestaña WINS en el cuadro de
diálogo Configuración avanzada de TCP/IP.
● Direcciones WINS, en orden de uso: Si hay servidores WINS operativos en la red, se deberían
añadir sus direcciones aquí. Haciendo esto se consiguen los mejores resultados a la hora de
comunicarse con hosts que ejecuten sistemas operativos de Microsoft anteriores a Windows 2000.
Al igual que con el resto de fichas del cuadro de diálogo Configuración avanzada de TCP/IP, se
pueden utilizar los botones Agregar, Modificar y Quitar para modificar la lista de servidores
WINS.
● Habilitar la búsqueda de LMHOSTS: Para habilitar el uso de un archivo LMHOSTS para
asignar direcciones IP a nombres NetBIOS, hay que seleccionar la casilla de verificación Habilitar
la búsqueda de LMHOSTS y pulsar el botón Importar LMHOSTS para importar un archivo
LMHOSTS. Se recomienda no utilizar archivos LMHOSTS a menos que sea absolutamente
necesario dado que tratar de mantenerlos actualizados puede ser difícil: la minúscula reducción

Capítulo 5
del tráfico de red que ofrecen los archivos LMHOSTS no compensa.
Cuando se configura un servidor WINS hay que utilizar el comando Ipconfig en el símbolo
del sistema para obtener la dirección IP actual e introducir entonces esa dirección en el
campo Direcciones WINS. No se debe introducir ningún otro servidor WINS en este
campo; no es deseable que el servidor WINS registre su nombre NetBIOS en otro servidor
WINS si el servicio WINS no se ha iniciado a tiempo para responder en el inicio.
● Habilitar NetBIOS sobre TCP/IP: Lo más probable es que sea necesario comunicarse con
clientes que ejecutan sistemas operativos de Microsoft anteriores a Windows 2000, por lo que
conviene asegurarse de que esta opción esté seleccionada.
● Deshabilitar NetBIOS sobre TCP/IP: Sólo hay que desactivarla si hay comunicación
exclusivamente con otros equipos que ejecutan Windows 2000 o equipos que se basan únicamente
en DNS para los servicios de resolución de nombres (por ejemplo, UNIX). Además, conviene
observar que cualquier aplicación que utilice NetBIOS no funcionará si se desactiva NetBIOS
sobre TCP/IP.
● Usar configuración NetBIOS del servidor DHCP: Cuando se obtiene una dirección IP a través
de DHCP, esta opción está seleccionada de forma predeterminada para que el equipo utilice la
configuración NetBT proporcionada opcionalmente por el servidor DHCP y la configuración
mediante DHCP. Sólo hay que seleccionar esta opción si la red tiene un servidor DHCP que
configure completamente el equipo y proporcione la configuración NetBIOS correcta.
Configuración de las opciones de TCP/IP
Si es necesario configurar cualquier opción de TCP/IP, hay que pulsar la pestaña Opciones del cuadro de
diálogo Configuración avanzada de TCP/IP Hay que seleccionar la opción que se quiera configurar y
pulsar Propiedades.
Configuración de NWLink IPX/SPX
El protocolo NWLink IPX/SPX se diseñó como un protocolo de enrutamiento fácil de usar y configurar
compatible con el protocolo IPX/SPX de NetWare. Como tal, es un protocolo popular en muchas
empresas y puede ser clave para mantener la interoperabilidad con diferentes entornos de red.
Afortunadamente, la configuración del protocolo NWLink IPX/SPX es sencilla. Basta con seguir los
siguientes pasos:
1. Instalar el protocolo en el cuadro de diálogo Propiedades de Conexión de área local, al que se

puede acceder pulsando con el botón derecho del ratón en el icono Conexión de área local en la
carpeta Conexiones de red y de acceso telefónico y seleccionando Propiedades.
2. Seleccionar el protocolo y pulsar Propiedades.
3. Para dar a conocer los servicios que se ejecutan en el servidor (como Servicios de archivos e
impresión vara NetWare o Enrutamiento IPX) a los clientes NetWare nativos, hay que introducir

Capítulo 5
un número hexadecimal de ocho dígitos único para identificar al servidor en el cuadro de texto
Número de red interno.
4. En muchos casos también se puede dejar a Windows 2000 que maneje la detección del tipo de
trama seleccionando la opción Detección automática del tipo de trama.
Windows 2000 detecta después el tipo de trama apropiado enviando una petición de protocolo de
información de enrutamiento (RIP, Routing Information Protocol) para todos los tipos de trama y
esperando la respuesta. El tipo de trama para el que recibe respuesta Windows 2000 se convierte
en el predeterminado. Si se reciben respuestas para múltiples tipos de trama, Windows 2000
establece los tipos de trama predeterminados para los que ha recibido respuestas siguiendo este
orden: Ethernet 802.2, Ethernet 802.3, Ethernet II, SNAIP
5. Si se desea especificar el tipo de trama de forma manual o añadir múltiples tipos de trama, hay
que seleccionar la opción Detección manual del tipo de trama, seleccionar Agregar y escoger
después un tipo de trama e introducir el número de red para ese tipo de trama.

Capítulo 6
Capítulo 6
Mejoras de Arquitectura en Windows 2000
Las mejoras de arquitectura en Windows 2000 incluyen cambios en los tipos de funciones de servidor
disponibles y en el tipo de confianzas de dominio utilizadas; nuevo soporte para dispositivos, Plug and
Play (PnP), gestión de energía y, por supuesto, la inclusión del servicio Active Directory. Sin embargo,
todos estos cambios implican que algunas aplicaciones y controladores existentes pueden no funcionar
bajo la nueva arquitectura de Windows 2000.
Los controladores de dominio y los papeles de servidor en Windows 2000
En Windows 2000, los tipos de papeles de servidor son ligeramente diferentes a los disponibles bajo
Windows NT. Los servidores Windows NT 4 pueden tener uno de cuatro papeles: controlador primario
de dominio (PDC, Primary Domain Controller), controlador de reserva del dominio (BDC, Backup
Domain Controller), servidor miembro y servidor independiente.
Los dominios Windows NT están basados en un solo maestro, con el PDC sirviendo como almacén
maestro para un dominio dado. Todos los cambios realizados al dominio deben ser llevados a cabo por el
PDC. Los BDC se utilizan para hacer copias de seguridad del PDC y también reducen la carga en el PDC
prestando, ellos mismos, servicio a las peticiones de los clientes. Los BDC mantienen una copia
actualizada del dominio sincronizándose periódicamente con el PDC y pueden asumir el papel del PDC
si este servidor falla o esta fuera de servicio.
Los servidores miembro son simplemente servidores Windows NT que pertenecen a un dominio
Windows NT y normalmente trabajan compartiendo archivos o compartiendo impresoras o ejecutando
algún otro tipo de software de servidor, como Web, Sistema de nombres de dominio (DNS, Domain
Name System) o software servidor de Protocolo de configuración dinámica de host (DHCP, Dynamic
Host Configuration Protocol).
Los servidores independientes son servidores Windows NT que no pertenecen a un dominio Windows
NT sino que son parte de un grupo de trabajo. Es importante comprender que aunque un servidor
independiente no pertenece a un dominio Windows NT, no esta limitado en sus funciones como servidor.
Aun puede operar como DNS, DHCP a otro tipo de servidor, pero, por definición, no puede ser PDC o
BDC.
Las funciones del servidor miembro y del servidor independiente son las mismas en Windows 2000 y en
Windows NT, pero las funciones del PDC y del BDC son reemplazadas por una única función de un

Capítulo 6
controlador de dominio (DC, Domain Controller). Si, los dominios en Windows NT están por fin basados
en múltiples maestros, con todos los DCs de Windows 2000 actuando parejos unos con otros. Cualquier
DC puede realizar cambios al dominio cuando sea oportuno. Toda la información del dominio se
almacena en el Active Directory, que gestiona las replicas entre todos los controladores de dominio. La
parte negativa es que los DCs de Windows 2000 no pueden existir en un dominio Windows NT hasta que
el PDC del dominio se actualice a Windows 2000.
Los servidores miembro Windows 2000 y los servidores independientes pueden ser ascendidos al nivel
de controlador de dominio, y los controladores de dominio pueden ser degradados a servidores miembro
o a servidores independientes sin reinstalación del sistema operativo como ocurre en Windows NT.
Active Directory
Active Directory es probablemente la característica nueva mas importante de la familia Windows 2000
Server. Es un servicio de directorio ampliable, fácilmente administrable y tolerante a fallos, que es
requerido por los controladores de dominio Windows 2000 y también es recomendable para su uso en
servidores DNS Windows 2000.
Dominios de Active Directory
Aunque Active Directory no hace cambios fundamentales en la forma en que funcionan los dominios en
Windows 2000 de cara a los usuarios finales, introduce algunas estructuras de dominio importantes que
podrían afectar a la forma de aproximarse al diseño del dominio. Active Directory, al igual que el
servicio de directorio de Windows NT, utiliza dominios como unidades principales de la estructura
lógica. Los dominios ayudan a organizar la estructura de la red ajustándose a la organización de la
empresa, ya sea política o geográficamente. Cada dominio requiere al menos un DC (preferiblemente
más) para almacenar la información del dominio, siendo cada DC un maestro del dominio.
Los dominios Windows 2000, a diferencia de los dominios Windows NT, usan nombres DNS para los
nombres de dominio. Al igual que los dominios DNS, los dominios Windows 2000 están organizados
jerárquicamente. En Active Directory, los grupos de dominios con un espacio de nombres contiguo
organizados jerárquicamente se llaman árboles, mientras que las agrupaciones de árboles con espacio de
nombres no contiguos se llaman bosques.
Sitios, dominios estructurales y unidades organizativas
Active Directory también introduce los conceptos de sitios, dominios estructurales y unidades
organizativas.
● Un sitio se define como un grupo de una o mas subredes con Protocolo Internet (IP) que
comparten conectividad LAN. Dentro de un sitio puede haber uno o mas dominios, o un dominio
único puede abarcar múltiples sitios.

Capítulo 6
● Los dominios estructurales son dominios que no contienen cuentas; simplemente sirven como
raíz para dominios hijos de nivel mas bajo. Como tales, los dominios estructurales facilitan la
reestructuración de los dominios hijos y también hacen que la replica entre dominios sea mas fácil
y rápida, ya que todos los dominios simplemente se replican con el dominio estructural, que actúa
como algo parecido a un concentrador de replicas.
● Las unidades organizativas (OU, Organizational Unit) son muy similares a los dominios en el
hecho de que tienen contenedores para objetos de red tales como cuentas de usuarios y recursos.
Sin embargo, a diferencia de los dominios, no marcan un limite de seguridad y no requieren
controladores de dominio. Las OU de Active Directory proporcionan una forma excelente de
proporcionar organización en un dominio sin la necesidad de directivas de seguridad y
controladores de dominio adicionales. también se pueden convertir fácilmente en dominios y los
dominios pueden convertirse fácilmente en OU, lo que los hace flexibles.
Relaciones de confianza en Active Directory
Las relaciones de confianza implicaban cierta dificultad si se trataba de múltiples dominios Windows
NT. Windows 2000 simplifica esta labor.
Relaciones de confianza entre dominios de diferentes tipos

Dominio Windows Dominio Windows Dominio Windows
NT 2000 (mismo 2000 (diferente
bosque) bosque)
Dominio Windows Confianza Confianza Confianza
NT unidireccional * unidireccional unidireccional
Dominio Windows Confianza Solo confianza Confianza
2000 unidireccional transitiva unidireccional
bidireccional
* Una confianza unidireccional se puede establecer en ambas direcciones.
Una relación de confianza es un mecanismo por el cual los usuarios de un dominio pueden ser
autentificados por un controlador de dominio en otro dominio. Entre unos y otros dominios Windows
NT, todas las confianzas son no transitivas, lo que significa que cada confianza es una relación en un
único sentido que debe ser establecida explícitamente. Para que dos dominios confíen mutuamente, se
deben establecer dos relaciones de confianza por separado, -una en cada sentido. Una confianza no
transitiva también esta estrictamente limitada. Por ejemplo, supóngase que un dominio Finanzas confía
en un dominio Administración y el dominio Fabricación confía en el dominio Administración. Cuando se
involucran confianzas no transitivas esta afirmación dice solamente que Finanzas y Fabricación permiten
al controlador de dominio en Administración autenticar usuarios. No dice nada acerca de la relación entre
Finanzas y Fabricación. Ni tampoco indica si Administración, a su vez, permite a Finanzas o Fabricación
autenticar usuarios. Cada relación de confianza debe ser establecida separada y explícitamente.

Capítulo 6
Windows 2000 permite el concepto de confianzas transitivas. Las confianzas transitivas son siempre de
dos sentidos. Además, cuando se crea un dominio secundario, Windows 2000 establece automáticamente
una confianza transitiva entre el dominio secundario y el dominio principal. Sin embargo, las confianzas
transitivas no entran en escena hasta que se eliminan todos los controladores Windows NT del dominio y
el dominio se cambia explícitamente al modo nativo. Mientras los controladores Windows NT están
activos, el dominio esta en el modo mixto predeterminado, lo cual es necesario para que los DC de
Windows 2000 se repliquen con los BDC de Windows NT.
Soporte de hardware
Windows NT siempre ha sido muy particular con respecto al hardware. Los usuarios de Windows 95 y
Windows 98 han disfrutado mucho del amplio soporte para controladores de dispositivos, PnP, Gestión
de energía, IEEE 1394 (Firewire) y Bus serie universal (USB, Universal Serial Bus), el más reciente en
Windows 95 OSR 2.1 y Windows 98. Los usuarios de Windows NT carecen esencialmente de todo lo
citado, aunque disponen de otras ventajas.
Windows 2000 introduce un buen soporte para PnP, USB, IEEE 1394 (Firewire) y la configuración de
dispositivos y gestión de energía configuración avanzada a interfaz de energía (ACPI, Advanced
Configuration Power Interface), también se ha mejorado enormemente el soporte de dispositivos, aunque
Windows 2000 todavía soporta menos dispositivos que Windows 95/98. (Hay excepciones, como el
soporte de impresoras. Casi todas las impresoras soportadas bajo Windows 98 y Windows NT 4 se
soportan en Windows 2000). En la mayoría de los casos, si el dispositivo es soportado bajo Windows NT
4, también será soportado por Windows 2000. Sin embargo, esto mismo no siempre es cierto para
Windows 95/98, así que conviene comprobar la Lista de hardware compatible (HCL, Hardware
Compatibility List) o contactar con el fabricante del dispositivo para determinar si el dispositivo es
soportado bajo Windows 2000.
En la actualidad, se requiere BIOS compatible con ACPI para un uso completo de PnP y
Gestión de energía. Se soportan la Administración avanzada de energía (APM, Advanced
Power Management) heredada y las BIOS PnP, pero sus funciones son limitadas.
Los controladores de dispositivos en Windows 2000 han cambiado para mejorar la estabilidad del
sistema al incrementar el numero de dispositivos soportados. Ahora se soporta el Modelo de controlador
de Win32 (WDM, Win32 Driver Model), lo que permite a muchos controladores funcionar de forma
intercambiable en Windows 2000 y Windows 98. también se soporta la firma de controladores de
dispositivo (Device Driver Signing), y los controladores que no han sido verificados y firmados
digitalmente por Microsoft activan una alerta cuando se instalan (Los administradores también pueden
crear directivas para evitar que se instalen controladores sin firma). También se han realizado cambios en
el modelo de controlador para evitar la inestabilidad del sistema y facilitar el PnP y la Gestión de energía,
lo cual impide desgraciadamente que algunos controladores Windows NT funcionen en Windows 2000.
Además, la Gestión de energía y el PnP no están disponibles con los controladores de Windows NT 4.

Capítulo 6
Como en Windows NT 4, los controladores de dispositivos elaborados para Windows 95,

3.x o MS-DOS no funcionan en Windows 2000.
Soporte de software
El soporte de software es un área en la cual Windows 2000 tiene algunos aspectos de compatibilidad. Al
igual que Windows NT 4, es posible que Windows 2000 experimente problemas de compatibilidad con
programas para MS-DOS y Windows 3.x (especialmente con algunos que accedan directamente al
hardware). Las aplicaciones para Windows 95/98 que no se soporten explícitamente en Windows NT o
Windows 2000 también pueden convertirse en problemas. Casi todas las aplicaciones para Windows NT
4 se ejecutan bajo Windows 2000.
La actualización de un sistema existente basado en Windows 95/98 presenta complejidades adicionales

debidas a que los distribuidores tienen a menudo diferentes versiones de su software para Windows
95/98 y Windows NT/2000, o porque la misma aplicación se instala de diferente manera dependiendo del
sistema operativo implicado. Consecuentemente, algunas aplicaciones requieren archivos de migración
suministrados por el distribuidor (paquetes de actualización) durante la actualización del sistema
operativo.
Planificación de una actualización del Dominio
La actualización de un dominio Windows NT a un dominio Windows 2000 requiere una considerable

planificación incluso antes de ejecutar el Programa de instalación de Windows 2000 en el primer equipo.
Algunos equipos, como los PDC y los BDCs, deben ser actualizados en un orden especifico, siendo el
PDC el primero a actualizar. Otros equipos, como los servidores miembro y servidores independientes
Windows NT, además de equipos cliente, pueden actualizarse en cualquier momento antes o después de
la actualización del dominio propiamente dicho.
Antes de comenzar la actualización de un dominio Windows NT existente, es importante evaluar la red

actual y planificar el enfoque que se quiere tomar para la actualización.
Documentación de la red existente
El primer paso en la planificación de la actualización de un dominio in situ es documentar la estructura

de la red actual. Para hacerlo de esta manera es necesario tomar nota del modelo del dominio existente,
las confianzas existentes, el numero y la ubicación de los controladores de dominio, los dominios de
cuentas y recursos, los espacios de nombres DNS actualmente en uso, los servidores de aplicaciones y
algunos servidores Windows NT 3.51.
La actualización de un dominio in situ es la actualización de un dominio que se realiza

dejando el dominio intacto también se pueden actualizar los dominios eliminando el PDC

Capítulo 6
del dominio, dejando que los BDCs suministren los servicios. Hay que actualizar el PDC a
Windows 2000, probarlo y, entonces, devolverlo al dominio de la producción.
● El modelo de dominio existente: El tipo de estructura del dominio, o modelo, que los dominios
Windows NT existentes utilizan determina como implementar los árboles y bosques de Active
Directory de Windows 2000.
❍ Dominio único: Un único dominio Windows NT.
❍ Maestro único: Un dominio de cuentas y múltiples dominios de recursos.
❍ Múltiples maestros: Múltiples dominios de cuentas con confianzas bidireccionales entre

ellos y múltiples dominios de recursos que confían en todos los dominios maestros.
❍ Confianza completa: Cada dominio es un dominio de recursos y un dominio de cuentas,

con cada dominio confiando en cada uno de los otros dominios.
● Relaciones de confianza existentes: Ya que las relaciones de confianza se preservarán durante el
proceso de actualización, es conveniente comprobar y documentar que relaciones de confianza
existen actualmente.
● Ubicación y número de controladores de dominio: Hay que determinar dónde están localizados
los PDC y todos los BDC. El PDC se debe actualizar primero. Los BDC pueden actualizarse
después y, obviamente, no pueden desempeñar sus funciones deseadas durante la actualización.
● Dominios de cuentas y dominios de recursos: Hay que registrar el numero de dominios de

cuentas y dominios de recursos actuales, también conviene registrar como están configurados
estos dominios e ir pensando si se desea realizar una reestructuración del dominio antes o después
de la actualización de la red a Windows 2000.
● Espacios de nombres DNS: Si la empresa ya ha implantado algún DNS se deberían documentar

cuidadosamente los espacios de nombres actualmente en uso. Los dominios no se pueden
renombrar una vez creados y deben ser únicos en la red, así que es importante tener nombres de
dominios que no hayan sido usados en la organización.
● Servidores: Un paso crucial y a veces olvidado en la documentación de una red es hacer un

inventario de los servidores de aplicaciones. Esto incluye todos los servidores DNS, DHCP y
WINS, así como servidores de aplicaciones como servidores Exchange, servidores SQL,
servidores proxy, etc. DNS es un servicio requerido en un dominio Windows 2000 nativo, así que
se debería dedicar algún tiempo a determinar si se quieren usar servidores DNS existentes para
este propósito, implantar nuevos servidores DNS o usar controladores de dominio como
servidores DNS, que es lo que recomienda Microsoft.
También conviene examinar algunos servidores NetWare en el entorno y determinar si se quiere

Capítulo 6
sincronizar Active Directory con Servicios de directorio de Novell (NDS, Novell Directory
Services). también se deberían revisar las notas de la versión incluidas en el CD-ROM de
Windows 2000 Server para comprobar algunos aspectos de compatibilidad con la versión de
NetWare.
Los servidores de aplicaciones como Exchange, SQL o servidores de medios también deberían
evaluarse para comprobar la compatibilidad con los nuevos dominios Windows 2000. La mayoría
de los servidores no presentaran problemas, pero es una buena oportunidad para comprobar
doblemente, además de volver a evaluar las funciones de estos servidores y su eficacia en la red.
● Servidores Windows NT 3.51: Los servidores Windows NT 3.51 presentan problemas en un

dominio Windows 2000 lo que hace generalmente inadecuado su uso, así que la estrategia de
actualización debe tener en cuenta la actualización o inutilización de servidores que se ejecutan en
Windows NT 3.51. Entre los problemas se incluyen servidores de aplicaciones Windows NT 3.51
tanto negando acceso a inicios de sesión de usuarios o grupos, como concediendo incorrectamente
acceso a usuarios o grupos que tienen el acceso denegado. Estas dificultades se producen a causa
de la forma en que Windows NT 3.51 genera testigos de acceso cuando un usuario inicia sesión
en el sistema.
Elaboración de un plan de recuperación
Después de evaluar la situación de la red actual, hay que concebir un plan de recuperación para el caso en
el que algo vaya mal durante la actualización del dominio. Si falla la actualización a Windows 2000 del
PDC y no hay ningún BDC disponible, el dominio entero puede venirse abajo. Es importante tener un
plan de copias de seguridad satisfactorio para estas y otras situaciones.
Comprobación de que todos los dominios tienen al menos un BDC
Es necesario asegurarse de que todos los dominios que se planea actualizar poseen al menos un BDC,
además del PDC, para evitar que el dominio se quede huérfano si falla la actualización a Windows 2000
del PDC. Además, antes de actualizar el PDC, hay que asegurarse de que se sincroniza el PDC con todos
los BCDs.
Realización de copias de seguridad de todos los equipos antes de actualizar
Es de sentido común hacer una copia de seguridad de los sistemas antes de actualizarlos. Aunque esto es
quizás demasiado cauteloso en algunos sistemas de escritorio Windows NT, es realmente importante en
servidores, especialmente en los controladores de dominio. Además, hay que asegurarse de que se
verifican las copias de seguridad; no hay nada mas inútil que una cinta con copias de seguridad
estropeada.
Sincronización de todos los BDCs con el PDC

Capítulo 6
Hay que sincronizar el PDC con todos sus asociados de replica antes de actualizarlo. Si el PDC falla
durante la actualización del dominio, se puede ascender un BDC a PDC y el dominio no perderá ninguno
de los cambios.
Utilización de un BDC desconectado para la copia de seguridad
Tener los BDCs recientemente sincronizados y nuevas copias de seguridad del PDC en cinta servirá de
protección ante muchos desastres. Además, desconectar un BDC recientemente sincronizado antes de
actualizar el PDC es un buen seguro. Esto proporciona una copia de seguridad del dominio como se
encontraba antes de comenzar el proceso de actualización a Windows 2000 operativa y rápidamente
disponible. Si el PDC actualizado replica información de dominio defectuosa a los BDCs o el dominio
resulta dañado de alguna otra forma, tener una copia de seguridad desconectada permite retroceder y
comenzar de nuevo. Si se registran todos los cambios realizados en el dominio después de desconectar el
BDC, se puede incluso retroceder en los cambios antes de conectar de nuevo el BDC (si ocurre un
desastre) y no perder los cambios en el dominio.
Para preparar un BDC para que actúe como una copia de seguridad del dominio sin conexión hay que
sincronizar el BDC que se desea utilizar con el PDC del dominio, hacer copia de seguridad en ese BDC y
desconectar después el cable de red del BDC. Si se produce un desastre serio durante la actualización del
PDC a Windows 2000 y es necesario recuperar el estado del dominio antes de Windows 2000, hay que
degradar todos los DCs Windows 2000 que haya en la red, volver a conectar a la red el BDC
desconectado, ascender el BDC anteriormente desconectado a PDC y sincronizar después el resto de la
red con el. Esto devolverá al dominio al estado en que se encontraba inmediatamente antes de
desconectar el BDC.
Todos los cambios realizados en el dominio después de desconectar el BDC con la copia
de seguridad se perderán si se vuelve a conectar el BDC y se asciende a PDC.
Planificación del árbol de Active Directory
Existen varios pasos que se deberían realizar a la hora de planificar el árbol de Active Directory,
incluyendo la definición del espacio de nombres del DNS y la creación de la estructura del árbol inicial.
Definición del espacio de nombres
Cuando se ha decidido cómo implementar un espacio de nombres DNS, normalmente es necesario

decidir si se va a utilizar un espacio de nombres DNS existente y se va a crear el dominio raíz con un
nombre de dominio existente o si se va a crear un nuevo dominio raíz y su espacio de nombres DNS
asociado. La decisión es crucial porque el dominio raíz no se puede eliminar o renombrar fácilmente.
Con estos antecedentes, la siguiente lista resume las tareas necesarias para definir a implementar el
espacio de nombres.

Capítulo 6
● Decidir si se puede utilizar un nombre de dominio existente para el dominio raíz o si es necesario
crear uno nuevo.
● Si se va a utilizar un nuevo nombre de dominio, hay que determinar que restricciones existen en el
proceso de selección de nombres y utilizar los canales apropiados para escoger el nombre del
dominio.
● Configurar el dominio raíz para crear el nivel superior del espacio de nombres, con una pareja de
controladores de dominio para tener redundancia.
● Configurar uno o mas servidores DNS para el árbol del dominio raíz. El servidor DNS necesita
soportar el registro de recursos de servicio (el registro de recursos DNS para la especificación de
la ubicación de los servicios) y debería soportar también, idealmente, actualizaciones dinámicas.
Microsoft recomienda instalar el DNS en cada controlador de dominio y almacenar la información
de la zona en el Active Directory.
● Añadir el resto de dominios como dominios secundarios para el dominio raíz. Es un excelente
momento para realizar una reestructuración del dominio, o al menos para consolidar algunos de
los dominios de recursos en las OU.
Creación de la estructura inicial del árbol
Una vez tomadas las decisiones sobre el espacio de nombres DNS es el momento de planificar el árbol de
Active Directory con detalle. Se asumirá que se tiene un bosque con un único árbol, con todos los
dominios compartiendo un espacio de nombres contiguo. En la practica, muchas empresas necesitaran
utilizar un bosque con múltiples árboles, cada uno con su propio espacio de nombres. Sin embargo, el
proceso no es diferente; cada árbol se construye y se añade al bosque de la misma forma.
El primer dominio que se actualice a Windows 2000 (o que se cree si se utiliza un modelo
de múltiples dominios maestros que no se presta a una consolidación bajo uno de los
dominios actuales) ha de ser necesariamente el dominio raíz. El dominio raíz almacena la
configuración y el esquema de todo el bosque de Active Directory y no se puede cambiar
de nombre o eliminar.
Adaptación a modelos de dominios específicos
En Windows NT hay disponibles cuatro modelos de dominios.

Capítulo 6
● Modelo de un Único dominio: El modelo

de un único dominio es fácil de actualizar:
el único dominio bajo Windows NT se
convierte en el dominio raíz en Active
Directory bajo Windows 2000. Se pueden
utilizar después las OU para organizar las
cuentas y los recursos y para delegar parte
de la carga administrativa.
● Modelo de dominios de un solo maestro:
Si existe un modelo de dominios de un solo
maestro, hay que hacer que el antiguo
dominio maestro sea la raíz del árbol y
añadir los dominios de recursos como
dominios secundarios de la raíz. Si la
empresa posee una estructura de red centralizada, se podría tomar en consideración la
reestructuración de los dominios en un único dominio después de haber actualizado el dominio y
cambiado a modo nativo. Se pueden utilizar OU bien para imitar los dominios de recursos o para
organizarlos de forma mas lógica, con las cuentas y los recursos agrupados y organizados en
concordancia con la estructura de la empresa.
Mezclar los dominios de recursos de nuevo en un único dominio ofrece varias ventajas. Como hay
menos dominios que administrar, la carga administrativa es menor. Se pueden utilizar las OU para
crear una estructura de red detallada sin la necesidad de tratar con confianzas. Además, se puede
delegar autoridad administrativa a las
OU, lo que proporciona la flexibilidad
para gestionar las tareas administrativas
de la forma deseada. Las consultas de
Active Directory también se realizan
mas rápido y de forma mas eficiente en
un único dominio. Finalmente, como las
OU no requieren controladores de
dominio, existe el potencial para liberar
algunos de los recursos informáticos
infrautilizados para dedicarlos a otras
tareas.
Una empresa con una organización mas
descentralizada, o una con diferentes unidades de negocio, podría desear mantenerse fiel a los
múltiples dominios pero convertir sus dominios de recursos en dominios hechos y derechos, tanto
con recursos como con cuentas. (Con Active Directory no hay motivo para mantener dominios de
recursos distintos). Esta solución permite a los usuarios estar en el mismo dominio que los
recursos que utilizan, lo que reduce el trafico y facilita a los usuarios la búsqueda y el acceso a los
recursos que necesitan. Sin embargo, se debería esperar hasta que la red se convirtiera al modo
nativo de Windows 2000 antes de trasladar las cuentas porque las confianzas transitivas facilitan
bastante el traslado de cuentas entre dominios y este tipo de confianza solo esta disponible en un

Capítulo 6
dominio en modo nativo. Como alternativa se puede establecer una confianza bidireccional entre
los dominios de recursos y el dominio principal, pero normalmente tiene mas sentido esperar
hasta que todos los dominios trabajen en modo nativo.
Algunas soluciones de terceros pueden proporcionar mucha de esta flexibilidad organizativa en
Windows NT 4, con la intención de permitir a las empresas reestructurar sus dominios de forma
que funcionen correctamente con Active Directory antes de trasladarlos a Windows 2000.
● Modelo de dominio principal múltiple: Debido a la flexibilidad y a las ventajas que ofrece el
modelo con un único dominio, muchas empresas con un modelo de dominio principal múltiple
optan por consolidar sus dominios en un único dominio Windows 2000, utilizando las OUs para
estructurar jerárquicamente su red. Si se opta por fusionar los dominios, primero se debería
realizar la actualización del dominio de igual forma que si se fuera a preservar las estructura de
dominios existente y, entonces, realizar la fusión de dominios solo después de actualizar la red al
modo nativo después de que los dominios estén en modo nativo, todas las cuentas se pueden
trasladar a un único dominio sin la necesidad de volver a asignar los permisos sobre los objetos.
Si se desea crear un árbol con un
único dominio (con un espacio de
nombres contiguo) durante la
actualización del dominio, se puede
utilizar uno de los dominios
existentes como raíz del árbol, o se
puede crear un nuevo dominio raíz y
añadir el resto de los dominios
maestros como sus hijos. Se puede
considerar la utilización de un
dominio estructural para este dominio
raíz. Primero hay que actualizar o
crear el dominio raíz. Una vez que
existe el dominio y trabaja con un par de controladores de dominio, hay que actualizar el resto de
los dominios y añadirlos al árbol.
Si se desea mantener cada dominio maestro con un papel autorizador, se puede crear un bosque
con múltiples árboles, con cada dominio maestro sembrado como la raíz de un nuevo árbol del
bosque. En este caso, no importa que dominio maestro se actualice primero, pero se debe
actualizar cada dominio maestro de cada árbol antes de actualizar los dominios de recursos que se
piensen añadir al árbol.
El modelo de dominio principal múltiple se utiliza ampliamente en grandes organizaciones por un
par de motivos. Primero, porque permite que la red crezca mas allá de los límites del
Administrador de cuentas de seguridad (SAM, Security Accounts Manager), el único que utiliza
los dominios únicos y los dominios de un solo maestro. El SAM de Windows NT se almacena en el
registro del sistema y, cuando crece por encima de los 40 Mb, la degradación del rendimiento se
vuelve evidente. Esto implica que el límite practico de un dominio es de 40.000 objetos, con un
máximo de 20.000 cuentas de usuarios. Para poder tener mas cuentas de usuarios a objetos,
Microsoft recomienda la migración a un modelo de dominio principal múltiple.
El segundo motivo por el cual las empresas utilizan dominios principales múltiples bajo Windows

Capítulo 6
NT es para poder tener sitios de red físicamente diferentes que no posean conexiones de red de
área local (WAN, Wide área Network) lo suficientemente rápidas y fiables como para permitir
que tenga lugar la replica de controladores de dominio sin consumir una cantidad inapropiada
del ancho de banda de la WAN. La utilización de un dominio maestro en cada sitio permite
superar esta carencia de conectividad adecuada, dado que entre dominios de cuentas maestros
no hay replica y todo el ancho de banda de la WAN queda disponible para otros usos.
La tercera razón para utilizar una estructura de dominios Windows NT con múltiples maestros es
reflejar la organización de la empresa en los casos en los que diferentes partes de la empresa
necesitan controlar sus propios recursos y usuarios. Cada dominio de cuentas maestro puede
tener su propio administrador o se puede centralizar la administración, dependiendo de los
deseos de la empresa.
Active Directory de Windows 2000 trata estos asuntos con efectividad, permitiendo a muchas
empresas migrar a un modelo de un único dominio (o al menos reducir el numero de dominios) y
ganar las ventajas que ofrece ese modelo. Active Directory almacena toda la información del
dominio en su base de datos (que es externa al registro y puede aumentar su tamaño con
libertad), de forma que cada dominio almacene su panel del directorio completo en lugar de que
un servidor almacene todo el esquema de la red, lo que permite que el dominio crezca hasta
aproximadamente un millón de objetos. No se necesita otro dominio; toda la organización se
puede realizar con OUs. también se pueden crear múltiples sitios físicos con un único dominio
que abarque todos los sitios y una replica entre sitios configurada para hacer el mejor use de los
enlaces WAN lentos.
● Modelo de confianza o relación completa: El modelo de confianza completa de Windows NT se
utiliza muy a menudo en empresas muy descentralizadas o en empresas que han ido
implementando dominios poco a poco y conectándolos de forma gradual. El modelo proporciona
bastante autonomía y flexibilidad en cada dominio maestro, pero también conlleva una gran carga
administrativa.
Al igual que con el modelo de
dominio principal múltiple, muchas
empresas, cuando actualicen un
dominio que utiliza el modelo de
confianza completa a Windows 2000,
intentaran consolidar sus dominios en
un único árbol o incluso en un único
dominio. Sin embargo, si se desea
mantener la autonomía de la
estructura de dominios actual del
modelo de confianza completa, se
puede configurar cada dominio
maestro actual como un nuevo árbol o (si es necesario) como un nuevo bosque. Cuando se crea
una estructura Active Directory como esta se reduce automáticamente la cantidad de
administración necesaria, dado que todas las confianzas entre dominios en un árbol o bosque
Active Directory son automáticamente transitivas.
Las confianzas transitivas no tienen efecto hasta que los dominios se convierten al modo nativo

Capítulo 6
de Windows 2000.
Cuando se actualiza el dominio, hay que crear primero el dominio raíz creando un nuevo dominio
(estructural o normal) o actualizando un dominio existente y sembrándolo como la raíz del árbol
Active Directory. Una vez que la raíz este funcionando con un par de controladores de dominio,
se puede pasar a actualizar el resto de dominios y a añadirlos como hijos del dominio raíz o como
raíces de nuevos árboles o bosques. Si es necesario, después de actualizar todos los dominios y
cambiar al modo nativo de operación, se pueden reemplazar todas las confianzas de un sentido al
estilo de Windows NT por confianzas transitivas para limitar el acceso dentro de un bosque o para
proporcionar a dominios externos acceso a dominios específicos del árbol o del bosque.
Una confianza de un único sentido también se puede configurar para permitir que un dominio
heredado Windows 3.51 o NT 4 o un dominio secundario de otro bosque (como, por ejemplo uno
que pertenezca a un socio del negocio) acceda a un dominio especifico del árbol o del bosque.
Cuando se establece una confianza en un único sentido explicita en Windows 2000, funciona de
forma idéntica que las confianzas en Windows NT, esto es, la confianza no es transitiva. Si se
concede a un dominio acceso a un único dominio del árbol o del bosque, el dominio en que se
confía no puede acceder a ningún otro dominio del árbol, aun cuando el árbol este enlazado con
confianzas transitivas.
Planificación de la topología de un sitio
Los sitios, una nueva característica importante de Windows 2000, definen los limites de la conectividad
LAN, haciendo mas eficientes los enlaces WAN. Cuando se configuran sitios que delimitan las secciones
de la red que tienen conectividad de alta velocidad, Active Directory ajusta la forma en que utiliza los
enlaces WAN reduciendo la frecuencia de replica entre sitios y dirigiendo las peticiones de servicio de
los clientes (como inicios de sesión clientes o búsquedas en el directorio) a los controladores de dominio
que estén disponibles localmente.

Capítulo 6
Los sitios son independientes de los dominios. Mientras que los dominios generalmente duplican la
estructura organizativa lógica de la una empresa, los sitios duplican la estructura física de la red de una
empresa. Un único sitio puede consistir en uno o mas dominios, árboles o incluso bosques, y un único
dominio puede abarcar múltiples sitios. Un sitio puede consistir en una única subred IP (lo que es a
menudo el caso, porque las subredes marcan con frecuencia los limites de la red física) o en múltiples
subredes IP, pero todas las subredes deben compartir una conectividad fiable de alta velocidad para poder
ser parte de un único sitio.
En estos días de los enlaces WAN con modo de transferencia asíncrona (ATM,
Asynchronous Transfer Mode), cada vez es más común que el enlace WAN de una empresa
sea tan rápido (o algunas veces mas rápido) que la LAN interna. Sin embargo, la carga
del enlace WAN podría estar basada en el uso, o una empresa podría utilizar el enlace
principalmente para tareas en tiempo real con un uso intensivo del ancho de banda como
el video, lo que reduce el ancho de banda disponible. En tales casos, aun se puede
establecer una estructura de sitios para el bosque Active Directory, para evitar
sobrecargar el enlace WAN con una replica o peticiones de servicio excesivos.
A la hora de planificar la actualización de un dominio Windows NT a Windows 2000, es importante

planificar la topología del sitio para que se pueda configurar la estructura del sitio sin demora después de
la actualización. Conviene plantearse las siguientes cuestiones y registrar las respuestas:

Capítulo 6
● ¿Qué sitios será necesario crear en el bosque Active Directory?

● ¿Qué enlaces hay disponibles entre esos sitios, y cómo son de rápidos y caros? ¿Se utilizan ya
intensamente o hay disponible abundante ancho de banda?
● ¿Se han planificado enlaces entre los sitios?
● ¿Existen dominios que abarcaran sitios físicos y, si es así, son suficientemente rápidos los enlaces
entre los sitios como para soportarlo?
Hay dos tipos de conexiones disponibles para la replica

entre sitios: RPC síncrono de baja velocidad punto a punto
y el Protocolo simple de transferencia de correo (SMTP,
Simple Mail Transfer Protocol). Cualquier dominio que
abarque varios sitios debe tener al menos una conexión
RPC síncrona de baja velocidad entre los sitios incluidos en
el dominio. Se requiere esta conexión porque no se puede
utilizar SMTP para una replica intensiva entre
controladores de dominio en el mismo dominio; sólo se
puede utilizar SMTP para replicar el esquema, la
configuración y la información del Catalogo global. Por lo
tanto, si se tienen dominios con varios sitios, hay que
comprobar dos veces el enlace entre los sitios para
asegurarse de que se dispone de la conectividad adecuada
para esta configuración.
Las empresas que utilizan el modelo de dominio principal múltiple o el de confianza

completa bajo Windows NT escogerán normalmente un dominio existente para utilizarlo
como la raíz de su árbol Active Directory. Sin embargo, algunas organizaciones podrían
optar por utilizar un dominio estructural como raíz de su árbol, con los anteriores
dominios maestros como dominios secundarios.
Un dominio estructural es simplemente un dominio sin cuentas de usuario ni recursos -

existe puramente para formar la estructura del dominio (de ahí el nombre) además de
ayudar a una replica entre dominios fácil y eficiente. Los dominios estructurales se pueden
utilizar para proporcionar una estructura de dominios adecuada para una futura
reestructuración más a fondo. Si se sitúan uno o más niveles de dominios estructurales en
el árbol Active Directory, se proporciona un ancla inalterable en el árbol de dominios,
bajo la cual se pueden trasladar dominios secundarios sin alterar la estructura de
dominios de nivel superior. Al mismo tiempo, el dominio raíz estructural actúa como un
escudo ante el mundo de forma que los cambios en la complejidad quedan ocultos tras el.
Los dominios estructurales también son útiles para la replica entre sitios, especialmente
cuando se accede o se replica el Catálogo Global (CG), que es el catálogo maestro de
todos los objetos de la porción de Active Directory del dominio del host y un catalogo

Capítulo 6
parcial de objetos almacenados en otros dominios. Si se dispone de mas de un sitio, se

puede optar por crear un dominio estructural en la raíz que abarque todos los sitios y
mantenga una copia del CG de cada sitio. (también se debería almacenar una copia del
CG en el dominio local de nivel mas alto de cada sitio y utilizar el dominio estructural
simplemente como un enlace entre los sitios). Disponer de un CG en el sitio permite que
los dominios locales de todos los sitios se concentren en el procesamiento y réplica de la
información interna del sitio, dejando que el dominio estructural realice toda la réplica
entre sitios.
La utilización de dominios estructurales para la réplica también facilita la configuración y

el mantenimiento de los vínculos de réplica. Los dominios secundarios simplemente se
replican hacia arriba, hacia el dominio principal, obviando la necesidad de conocer el
nombre de cada dominio con el que necesitan replicarse.
Desarrollo de una estrategia para la actualización
Después de documentar la infraestructura de red existente, realizar un plan de recuperación y diseñar los
árboles y sitios Active Directory, es el momento de juntarlo todo y crear el plan real de actualización.
Comprobación de que el PDC es suficientemente potente
Hay que comenzar la actualización del dominio examinando cuidadosamente el PDC actual. Aunque
Windows 2000 utiliza controladores de dominio principales múltiples parejos, el primer controlador de
dominio conserva servicios extra que, en algunos casos, no se pueden trasladar fácilmente a otros
controladores de dominio. Entre estos servicios se incluyen el servidor del Catalogo global, el Maestro de
operaciones y el emulador de PDC. (El emulador de PDC proporciona servicios para clientes Windows
NT y Windows 95/98 y también realiza algunas tareas en un entorno Windows 2000 puro). En otras
palabras, todos los controladores de dominio son iguales, pero el primer controlador de dominio de
Windows 2000 es un poco mas igual que los otros, por lo que puede ser deseable que esa máquina sea
especialmente rápida y potente.
Creación del nuevo dominio raíz antes de actualizar el PDC
Si se esta migrando desde un modelo de dominio principal múltiple o de confianza completa y se desea
crear un nuevo dominio para que trabaje como la raíz del árbol de dominios, es necesario hacerlo antes
de actualizar el PDC. Una vez que se haya creado el nuevo dominio y este funcionando con un par de
controladores de dominio (además de todos los nuevos sistemas o instalaciones limpias), se puede
actualizar el PDC y unirlo a este nuevo árbol como dominio secundario.
Actualización del PDC primero
El primer servidor que ha de ser actualizado debe ser el PDC Windows NT del dominio de cuentas que

Capítulo 6
se quiera utilizar como la raíz del nuevo árbol Active Directory. Esto es cierto tanto si el árbol que se esta
creando es el primero del bosque o el número veinte del tercer bosque; siempre es necesario actualizar el
PDC primero si se desea actualizar el dominio Windows NT en lugar de crear un nuevo dominio.
Actualización de los BDC a continuación
Conviene actualizar todos los BDCs del dominio tan pronto como sea posible tras el comienzo del
proceso de actualización. Este paso permitirá cambiar el dominio al modo nativo de Windows 2000 y
obtener los beneficios administrativos del modo nativo cuanto antes.
Cuando se actualice un BDC a Windows 2000, se replicará con el primer controlador de

dominio que pueda alcanzar. Si en el anterior PDC, ahora Windows 2000, el controlador
de dominio no esta disponible, el BDC tratará de configurarse como el primer controlador
Windows 2000 del dominio, creando serios problemas cuando el primer controlador de
dominio vuelva a estar disponible. Hay que asegurarse de que el primer controlador de
dominio Windows 2000 es visible en la red cuando se actualiza un BDC.
Actualización de los servidores miembro y de los clientes de forma independiente
Los servidores miembro y las estaciones de trabajo se pueden actualizar cuando se desee, o bien antes o
bien después de actualizar el dominio a Windows 2000. Los clientes Windows 2000 y los servidores
miembro funcionan perfectamente bien con los dominios Windows NT; sin embargo, no pueden acceder
a los beneficios de Active Directory hasta que el dominio se actualice.
Programación apropiada de la actualización del dominio
Hay que programar la actualización del dominio para un momento en que tenga el menor impacto en la
población de usuarios. Aunque probablemente sea una vana esperanza, es mejor evitar las
actualizaciones durante los proyectos mas importantes y en las épocas mas ocupadas del año. Incluso las
actualizaciones perfectas producen algún impacto en los usuarios, especialmente si se realiza una
reestructuración o consolidación de los dominios.
Preparación de los Dominios y de los Equipos para la actualización
El primer paso de la actualización a Windows 2000 es preparar los dominios y los equipos. Este
importante paso hará mas eficiente el proceso de actualización para que transcurra con los menos
contratiempos posibles.
Preparación de los dominios
Para preparar los dominios para su actualización a Windows 2000 hay que asegurarse de que todos los
servidores que se piensan actualizar ejecutan Windows NT 4. también es buena idea hacer limpieza de

Capítulo 6
directorios y cuentas de usuario para eliminar la basura anticuada. Cuando se actualiza el dominio a
Windows 2000, todas las cuentas de usuario se trasladan al Active Directory -y aunque el Active
Directory es extremadamente dimensionable, consume una buena parte del espacio del disco duro-. No
tiene sentido almacenar las cuentas deshabilitadas y las no utilizadas indefinidamente, por lo que es
mejor eliminarlas antes de actualizar. Conviene vaciar y limpiar los directorios no utilizados y desinstalar
el software caducado. Hay que desactivar las confianzas que no se deseen preservar. Se debe sincronizar
el PDC con todos los BDCs a implementar después el plan de recuperación, incluyendo la desconexión
de uno de los BDC de la red.
Preparación de los equipos
Para preparar los equipos para la actualización, hay que seguir estos pasos en cada equipo involucrado:
1. Comprobar los requisitos de sistema de Windows 2000 para asegurarse de que el equipo los
cumple. Solo porque el equipo satisfaga los requisitos mínimos de sistema no significa
necesariamente que este preparado para las tareas previstas para él.
2. Comprobar la HCL en la carpeta Support del CD-ROM de instalación de Windows 2000. Si el
sistema no aparece en la lista, hay que comprobar la HCL en el sitio Web de Microsoft
(http://www.microsoft.com/hwtestlhcl/). Si existen controladores actualizados para el hardware
hay que descargarlos y copiarlos a un disquete o a un disco local para poder utilizarlos durante la
instalación, si fuese necesario. Si un componente del sistema no aparece en la HCL de Microsoft,
se puede visitar el sitio Web del fabricante o contactar con el fabricante del dispositivo para ver si
hay disponibles controladores actualizados. En general, es mejor reemplazar los componentes que
no aparezcan como 100 por 100 compatibles.
3. Leer los archivos lealro.txt y leame.doc incluidos en el CD-ROM de Windows 2000 para obtener
detalles sobre aplicaciones y sobre el hardware.
4. Desinstalar cualquier programa de protección antivirus que haya instalado, a menos que se sepa
que funciona bajo Windows 2000 sin modificaciones.
5. Realizar y verificar una copia de seguridad de todo el sistema.
6. Crear o actualizar el disco de reparación de emergencia o el disco de inicio de Windows 95/98.
7. Registrar la configuración del hardware del sistema para tenerla como referencia en caso de que
se produzca un conflicto o problema con el hardware. Entre los elementos a registrar se incluyen
los dispositivos instalados, las IRQ, la configuración de los puentes y las configuraciones de
discos duros.
8. Desactivar el duplicado de disco si se esta utilizando. (Se puede activar cuando finalice la
actualización).
9. Descomprimir el disco duro. (Esto sólo se aplica a los clientes Windows 95/98).
10. Desconectar el cable serie de cualquier dispositivo de alimentación ininterrumpida (SAI) de
puerto serie. (Los dispositivos SAI/USB se pueden dejar enchufados).
11. Localizar todas las unidades y obtener el CD-ROM de Windows 2000 o conectarse a un recurso
compartido de red con los archivos de la instalación de Windows 2000.

Capítulo 6
Actualización a Windows 2000 Professional desde Windows 95/98
Con toda probabilidad un administrador de redes empleara mas tiempo en realizar actualizaciones de
clientes que actualizaciones de servidores. Windows 2000 es el primero de los sistemas operativos de red
de Microsoft que proporciona una vía de actualización para los sistemas operativos de escritorio
(Windows 95 y Windows 98) además de para el sistema operativo de estaciones de trabajo (Windows NT
Workstation).
Las actualizaciones de Windows 95/98 son la vía de actualización a Windows 2000 mas difícil y, a causa
de estas dificultades, se recomienda considerar la realización de instalaciones limpias en lugar de
actualizaciones siempre que sea posible. Antes de decidir si se deben actualizar o realizar nuevas
instalaciones, hay que leer las secciones que siguen y probar la actualización en algunos clientes que sean
representativos de la población de clientes.
Windows 2000 Professional es de lejos el mejor cliente para empresas que vende
Microsoft. Sin embargo, por algún motivo, Microsoft no lo ha promocionado como la
primera opción para todas las empresas y continua revisando la línea Windows 95/98 aun
cuando, en general, Windows 95 y Windows 98 no son los mejores sistemas para el lugar
de trabajo. De acuerdo, estos poseen reexpedidotes funcionales para redes Microsoft y se
pueden actualizar para acceder a Active Directory, pero también carecen de muchos de
los atributos que hacen que un sistema operativo sea bueno para la empresa. Si Windows
2000 se ejecutara en los sistemas clientes, casi siempre será mejor utilizarlo que Windows
95/98.
Windows 2000 Professional tiene una sorprendente estabilidad de sistema, superando

incluso a la de Windows NT Workstation. La seguridad del sistema es personalizable; se
puede hacer que la seguridad del cliente sea muy flexible o extremadamente estricta.
(Windows NT 3.51 esta certificado con la seguridad de nivel C2, y se espera que Windows
NT 4 y Windows 2000 reciban también esta certificación cuando emerjan del proceso de
prueba un tanto prolongado). Windows 2000 también esta construido para ser rápido, con
un eficiente núcleo de 32 bits completamente multienhebrado con multitarea preferente y
multiprocesamiento simétrico (SMP, Symmetric Multiprocessing), lo que permite a los
usuarios ejecutar mas aplicaciones y ejecutar esas aplicaciones mas rápido. Los usuarios
con múltiples procesadores y software escrito para sacar ventaja del SMP pueden utilizar
un segundo procesador, algo no disponible en Windows 95/98. Windows 2000 es en
realidad significativamente mas rápido en muchas aplicaciones que Windows 98 en un
hardware equivalente (asumiendo que el hardware cumple los requisitos de sistema
mínimos para Windows 2000).
Windows 2000 Professional esta diseñado para complementar la familia Windows 2000
Server, y como tal proporciona los mejores servicios de cliente para las redes basadas en
Windows 2000, superando enormemente las excelentes prestaciones de red de Windows

Capítulo 6
NT 4 Workstation. En un dominio Windows 2000, los clientes Windows 2000 Professional

pueden administrarse remotamente, hacer uso de los escritorios móviles y aprovechar las
ventajas de las aplicaciones instaladas remotamente. (Incluso el sistema operativo se
puede instalar remotamente).
Dificultades en las actualizaciones de Windows 95/98
Una actualización directa de Windows 95 o Windows 98 a Windows 2000 es posible y no se hace bien,
pero resulta sorprendente descubrir que se hace completamente. La dificultad radica en una diferencia
fundamental en las arquitecturas: Windows 2000 esta basado en Windows NT, y Windows 95 y
Windows 98 son herederos de MS-DOS/Windows 3.x (aunque obviamente todos los sistemas operativos
anteriores incluyen grandes cantidades de código nuevo). Para complicar aun mas el asunto, Windows 95
y 98 no utilizan los mismos controladores que Windows 2000. Estos son los principales obstáculos a
vencer, aunque si hay controladores Windows 2000 disponibles para los componentes del sistema, el
problema de los controladores se puede solucionar fácilmente.
El hecho es que algunas aplicaciones Windows 95/98 no se ejecutarán bajo Windows 2000 sin alguna
modificación. Por lo tanto, cuando se realiza una actualización desde Windows 95 o Windows 98, es
importante o bien desinstalar las aplicaciones que no funcionan sin modificaciones tanto en Windows 98
como en Windows 2000, o bien obtener un paquete de actualización (también llamado DLL de
migración) del distribuidor de la aplicación.
Con lo dicho, se puede actualizar un sistema basado en Windows 95 o en Windows 98 a Windows 2000
Professional, y se puede conseguir que funcione. Sin embargo, una persona prudente realizara varias
actualizaciones en sistemas representativos antes de decidirse sobre la estrategia de actualización.
Muchos paquetes de aplicación instalan diferentes versiones del mismo programa,

dependiendo de si la instalaron se realiza para Windows 95/98 o bajo Windows 2000.
Cuando este sea el caso, la versión Windows 95/98 normalmente no se ejecutara bajo
Windows 2000. Si hay que enfrentarse a esta situación, es necesario obtener un paquete de
actualización o una DLL de migración del distribuidor de la aplicación. O se puede
desinstalar la aplicación antes de actualizar a instalar después la versión compatible con
Windows 2000.
Inicio dual
Si es necesario trabajar con aplicaciones heredadas que solo funcionan bajo Windows 95/98, se puede
configurar un inicio dual con Windows 95/98 y Windows 2000. El inicio dual permite a los usuarios
seleccionar el sistema operativo en el inicio, estando cada sistema operativo instalado en una partición o
unidad de disco independiente y manteniendo sus propias aplicaciones. Aunque el uso de un inicio dual
permite bastante flexibilidad, no es algo que se deba hacer a gran escala a causa del trabajo
administrativo adicional y los recursos extra requeridos.

Capítulo 6
Si se desea realizar un inicio dual con Windows 95/98 se deberían tener en cuenta las siguientes
limitaciones:
● Windows 95/98 no puede acceder a las particiones NTFS, aunque Windows 2000 puede acceder a
todas las particiones FAT y FAT32. Por lo tanto, si es necesario acceder a toda la información de
la unidad de disco desde ambos sistemas operativos, es necesario utilizar FAT o FAT32 como
formato para las particiones. Sin embargo, la utilización de FAT y FAT32 elimina muchas de las
ventajas en seguridad que Windows 2000 ofrece, por lo que se debe utilizar esta solución con
precaución.
● Se debe instalar cada aplicación de forma independiente en cada sistema operativo.
● Se necesita un nombre de equipo diferente para cada sistema operativo. El equipo aparecerá en la
red como nombre1 cuando se inicie en Windows 95 o Windows 98; aparecerá como nombre2
cuando se inicie en Windows 2000.
Si actualmente ya se utiliza un inicio dual entre Windows 95/98 y Windows NT se puede

actualizar la instalación Windows NT a Windows 2000 y después utilizar un inicio dual
entre Windows 95/98 y Windows 2000. Sin embargo, en esta situación no se puede
actualizar la instalación Windows 95/98 a Windows 2000.
Para configurar un inicio dual desde Windows 95/98 hay que ejecutar el Programa de instalación o bien,
si la opción para notificar automáticamente la inserción esta activa, basta con insertar el CDROM de
Windows 2000 y pulsar No cuando se pregunte si se desea actualizar a Windows 2000. En la primera
ventana que aparece después de ejecutar el Programa de instalación o pulsar No hay que seleccionar
Instalar una nueva copia de Windows 2000 para realizar una instalación limpia.
Ejecución de la actualización
Se puede ejecutar el Programa de instalación desde el CD-ROM de Windows 2000 o desde una unidad
de red. En cualquier caso, primero hay que ejecutar Windows 95 o Windows 98, cerrar todos los
programas y desinstalar cualquier programa de protección ante virus que haya instalado.
Para ejecutar el Programa de instalación desde el CD-ROM hay que insertar el CD-ROM de Windows
2000. Aparece el cuadro de dialogo CD de Microsoft Windows 2000 si esta activa la Reproducción
automática del CD-ROM (Notificar automáticamente la inserción). (Si esta opción no esta activa, hay
que abrir la carpeta i386 del CD-ROM y pulsar dos veces en winnt32.exe). Este cuadro de dialogo
pregunta si se desea actualizar la versión de Windows. Hay que pulsar Sí para iniciar el Programa de
instalación.
Para actualizar a Windows 2000 Professional a través de la red hay que ejecutar el programa winnt32.exe
desde la unidad de red que contenga los archivos de instalación de Windows 2000 Advanced Server y,
después, proceder con el Programa de instalación. Una vez ejecutado el Programa de instalación hay que
seguir estos pasos para actualizar el equipo a Windows 2000 Professional:

Capítulo 6
1. Seleccionar la opción Actualizar a Windows 2000 y después pulsar Siguiente. Esto actualizara el
equipo a Windows 2000 Professional manteniendo la configuración y los programas intactos.
2. Leer el contrato de licencia y seleccionar la opción Acepto este contrato y, después, pulsar
Siguiente.
3. Pulsar el hipervínculo proporcionado para conectarse al sitio Web de Microsoft para buscar los
archivos de actualización que se pudieran necesitar y, después, pulsar Siguiente. después, el
Programa de instalación explora el sistema en busca de incompatibilidades software y hardware.
4. Si se dispone de paquetes de actualización (también conocidos como DLLs de migración) para
cualquiera de los programas, hay que seleccionar la opción correspondiente y después pulsar
Agregar para seleccionar la carpeta que contiene los archivos. Si no se dispone de paquetes de
actualización hay que seleccionar la segunda opción y pulsar Siguiente.
5. Indicar si se desea actualizar la unidad a NTFS en la siguiente pantalla y después pulsar Siguiente.
(NTFS es necesario pare utilizar las características de seguridad de Windows 2000).
6. Si se sabe que se posee hardware pare el cual Windows 2000 no tiene controladores, hay qua
indicar qua se suministraran al Programa de instalación controladores actualizados y después
pulsar Siguiente.
7. El Programa de instalación muestra un informe de la actualización que documenta el estado del
hardware y del software. Hay qua leer este informe detenidamente para determinar si todavía se
desea realizar la actualización o no. Hay que desinstalar los programas qua el Programa de
instalación indique que causan problemas y, después, pulsar Siguiente pare permitir qua el
Programa de instalación actualice el equipo. El Programa de instalación procederá.
Si no se proporcionan controladores actualizados, los dispositivos con controladores

anticuados no funcionaran hasta que se instalen controladores más nuevos. Esto se puede
hacer después de instalar Windows 2000 sin causar problemas.
Actualización a Windows 2000 Server desde Windows NT
Cuando existen servidores o clientes Windows NT, la actualización a Windows 2000 Server o Advanced
Server es con mucho la vía más sencilla. hacer esto permite preservar todas las configuraciones y, cuando
se actualize el PDC, permite preservar el dominio y todas sus cuentas de usuario y recursos. Realizar una
instalación limpia también es una opción, pero no es necesario a menos que se este ejecutando un sistema
operativo de servidor distinto de Windows NT 3.51 ó 4. (Normalmente es mejor actualizar primero los
servidores qua ejecutan versiones anteriores de Windows NT a 3.51 ó 4 y después actualizar a Windows
2000, en lugar de realizar una instalación limpia).
De forma similar, no se recomienda la configuración de un inicio dual a menos qua haya alguna
necesidad de utilizar la configuración del servidor o cliente Windows NT existente parte del tiempo. El
inicio dual entre Windows NT 4 y Windows 2000 tiene varias limitaciones.
Para actualizar a Windows 2000 Advanced Server con el CD-ROM de actualización de Windows 2000

Capítulo 6
Advanced Server, es necesario estar ejecutando Windows NT 4 Enterprise Edition. Si se dispone de la

versión completa de Windows 2000 Advanced Server, pensada para equipos nuevos, se puede actualizar
desde los siguientes productos:
● Windows NT 4 Enterprise Edition.

● Windows NT 4 Terminal Server.
● Windows NT 4 Server.
● Windows NT 3.51 Server.
Después de planificar la actualización del dominio y preparar el equipo, es el momento de comenzar la

actualización. Si se esta actualizando un PDC hay que sincronizar con los BDC del dominio una ultima
vez antes de iniciar la actualización.
Se deben cerrar todos los programas abiertos y desactivar todos los programas de protección antivirus y
después insertar el CD-ROM de Windows 2000. Si esta activada la Reproducción automática del CD-
ROM (Notificar automáticamente la inserción), aparece el cuadro de dialogo CD de Microsoft de
Windows 2000. (Si esta opción no esta activada, hay que abrir la carpeta i386 del CDROM y pulsar dos
veces en winnt32.exe). El cuadro de dialogo pregunta si se desea actualizar la versión de Windows. Hay
que pulsar Si para iniciar el Programa de instalación y, después, seguir estos pasos para actualizar a
Windows 2000:
1. Seleccionar la opción Actualizar a Windows 2000 y, después, pulsar Siguiente. Esto actualizara el
equipo a Windows 2000 manteniendo las configuraciones y los programas intactos.
2. Leer el contrato de licencia y seleccionar la opción Acepto este contrato y después pulsar
Siguiente.
3. Si el Programa de instalación encuentra hardware que no es compatible con Windows 2000 lo
muestra en la siguiente pantalla. Hay que seleccionar el hardware incompatible y pulsar Utilizar
disco para proporcionar controladores Windows 2000 actualizados para el dispositivo y, después,
pulsar Siguiente. En este punto el Programa de instalación reinicia, instala Windows 2000 y
después reinicia el recién actualizado sistema operativo.
4. Si se esta actualizando un PDC o un BDC comenzara el Asistente para instalación de Active
Directory. Para más información acerca de la utilización de este asistente para instalar Active
Directory y un servidor DNS si se desean implantar ambos servicios en el controlador del
dominio.
Modos operativos en los dominios
Después de actualizar el PDC a Windows 2000, el dominio opera en modo mixto, lo que significa que
pueden estar presentes controladores tanto Windows 2000 como Windows NT. Esta es la configuración
predeterminada para los servidores Windows 2000. En modo mixto, las confianzas operan como lo
harían entre dominios Windows NT 4.

Capítulo 6
Acerca del modo nativo
Para operar en modo nativo, un dominio Windows 2000 solo debe tener controladores de dominio
Windows 2000 y debe cambiarse explícitamente al modo de operación nativo. Dado que esta es una
migración en un solo sentido, se debe hacer de forma manual. Desde el momento en que se actualice a
modo nativo, los controladores Windows NT 4 dejaran de funcionar en el dominio. Por lo tanto, no se
debería cambiar a modo nativo a menos que se este seguro de que se han actualizado o desconectado
todos los BDC Windows NT y de que no se van a actualizar en el futuro controladores de dominio
Windows NT.
Los servidores miembro Windows NT 4 funcionan sin problemas en un dominio Windows

2000 en modo nativo, al igual que lo hacen los clientes basados en Windows NT 4 y en
Windows 95/98. El modo nativo solo se refiere a los controladores de dominio, no a las
maquinas del dominio.
Los dominios Windows 2000 en modo nativo ofrecen varias ventajas sobre los dominios Windows NT 4,
además de sobre los dominios Windows 2000 en modo mixto. Además de las ventajas mostradas en la
tabla, cambiar al modo nativo permite a clientes heredados beneficiarse de las relaciones transitivas entre
dominios en el Active Directory y, una vez autentificados, acceder a recursos en cualquier parte del árbol
del dominio, siempre que tengan los permisos adecuados.
Diferencias entre dominios Windows NT 4, dominios Windows 2000 en modo

mixto y dominios Windows 2000 en modo nativo
Característica Windows NT 4 Windows 2000 en Windows 2000 en
modo mixto modo nativo
Objetos por Menos de 40.000 Menos de 40.000 Hasta 1 millón
dominio (20.000 cuentas de (20.000 cuentas de
usuario) usuario)
recomendado recomendado
Réplica con No Sí Si
múltiples maestros
Tipos de grupos Global, Local Global, Local Universal, Global
del dominio, Local
del dominio, Local
Grupos anidados No No Sí
Administración a Limitada Limitada Completa
través del dominio
Filtros de Instalados Instalados Instalados
contraseñas manualmente en manualmente en automáticamente
cada PDC y BDC cada DC en todos los DC

Capítulo 6
Consultas por No Solo en DC Si

medio del cambio Windows 2000
de
escritorio/gestión
de configuración
Protocolos de NTLM NTLM, Kerberos Kerberos
autentificación
Es importante comprender que no todos los sistemas del dominio tienen que estar ejecutando Windows
2000 para poder operar en modo nativo. El modo nativo solo afecta a la operación de los controladores
de dominio. Sin embargo, el problema de tener sistemas que no sean Windows 2000 en el dominio es
importante cuando se va a planificar la implantación de un servidor WINS. Mientras haya clientes y
servidores heredados (no Windows 2000) en el dominio, se necesitan servidores WINS para la resolución
de nombres NetBIOS (a menos que se tenga una red pequeña no enrutada que pueda gestionar la
resolución de nombres NetBIOS mediante difusión). Además, no se debería desactivar NetBIOS sobre
TCP/IP en las maquinas Windows 2000 hasta que la red conste únicamente de Windows 2000 porque los
sistemas heredados no serán capaces de comunicarse con los sistemas Windows 2000. (Los sistemas
heredados basan su comunicación de red en llamadas NetBIOS).
Cambio al modo nativo
Cuando todos los BDCs Windows NT 4 hayan sido bien actualizados a Windows 2000 o bien
desconectados, se puede cambiar la red al modo nativo de Windows 2000. Para realizar el cambio hay
que iniciar sesión en un controlador de dominio utilizando una cuenta de administrador y seguir estos
pasos:
1. Abrir Dominios y confianzas de Active Directory desde la carpeta Herramientas

administrativas.
2. Pulsar con el botón derecho del ratón en el dominio que se desee convertir al modo nativo y
escoger Propiedades en el menú contextual.
3. Pulsar el botón Cambiar el modo en la ventana Propiedades. Obsérvese que el cuadro Modo de
operación del dominio muestra Modo mixto.
4. Cuando Windows 2000 pida que se confirme el cambio hay que pulsar Si. Hay que pulsar
Aceptar en el siguiente cuadro de dialogo.
5. Reiniciar el controlador de dominio en el que se han hecho cambios además de cualquier DC del
dominio después de que el DC modificado informe de que se esta ejecutando en modo nativo.
Cambiar al modo nativo es un proceso irreversible. después de cambiar al modo nativo no

se pueden usar controladores de dominio Windows NT 4 en el dominio.

Capítulo 6

Capítulo 7
Capítulo 7
En Windows 2000, tanto compartir archivos como los medios de almacenamiento extraíbles se han
simplificado para el usuario final. Y mientras que las tareas rutinarias asociadas a la administración se han
racionalizado, compartir archivos y los medios de almacenamiento extraíbles ahora son más complejos de
administrar debido a que las características de tecnologías simples han crecido.
El Sistema de Archivos Distribuido (DFS)
Uno de los problemas con compartir archivos y las redes es que los usuarios suelen tener dificultades para
encontrar los archivos en la red a la que tienen acceso. Si se crea un único servidor de archivos para la red,
este problema puede ser intrascendente. Sin embargo, cuando se añaden múltiples servidores de archivos en
diversas ubicaciones, la ayuda a los usuarios a encontrar los recursos compartidos correctos puede
convertirse en un trabajo a tiempo completo.
El Sistema de archivos distribuido (Distribuited File System, DFS) fue diseñado para ayudar a aliviar este
dilema, mientras se proporciona también los beneficios del equilibrio de carga, tolerancia a fallos adicional
y conservación del ancho de banda libre de la red. DFS logra estos objetivos ocultando la estructura
subyacente de compartir archivos dentro de una estructura de carpeta virtual tal que los usuarios verán una
única estructura continua de carpetas, la cual está formada en realidad por carpetas que residen en una
docena de distintos servidores esparcidos a través de la organización.
Ventajas
La principal ventaja de DFS es su único punto de acceso para todos los recursos compartidos de la red. Otro
beneficio es que permite organizar los recursos compartidos de archivos y administrar disponibilidad y
tolerancia a fallos mejorada, así como la funcionalidad de equilibrio de carga. Además, la seguridad es fácil
con DFS.
Un punto de acceso para todos los archivos de red
DFS hace más fácil al usuario encontrar y acceder a los archivos compartidos que necesiten. Sin DFS, los
usuarios a menudo tienen que conectarse a una serie de recursos compartidos diferentes en varios servidores
de archivos para obtener los archivos que necesitan. A menos que los usuarios sepan en qué servidores y
qué archivos compartidos buscan, tienen que buscar los archivos por todos. DFS permite la creación de una
colección virtual y organizada de forma jerárquica de archivos compartidos para que los usuarios sólo
tengan que conectarse a un único servidor (el servidor host para la estructura de DFS). Todas las carpetas
que necesite el usuario aparecen como si estuviesen almacenadas en el servidor incluso cuando las carpetas
en realidad están almacenadas en múltiples servidores.

Capítulo 7
Alta disponibilidad y mejor rendimiento
DFS admite la configuración de la topología de carpetas compartidas de forma que maximiza la

disponibilidad, incrementa la tolerancia a fallos y permite a los administradores configurar el equilibrio de
carga para archivos compartidos de gran uso. Cuando los archivos compartidos redundantes se combinan
con dominios de Windows 2000 usando sitios para delimitar las áreas de alta conectividad, DFS también
incrementa el rendimiento del vínculo de red enlazado a los usuarios de las carpetas compartidas lo más
cercanas posible.
Para enriquecer esta gran disponibilidad, DFS protege el verdadero archivo compartido de los usuarios. Los
usuarios navegan por la estructura de carpetas de DFS de manera totalmente transparente. Es posible
beneficiarse de esta abstracción de muy distintas formas. Por ejemplo, se puede incrementar la
disponibilidad permitiendo actualizaciones y mantenimiento del servidor sin tener que dejar la carpeta
compartida fuera de línea. Para hacerlo, sólo hay que cambiar el vínculo DFS para que apunte a otro
servidor con una copia de la carpeta compartida. Esta posibilidad de estar en línea puede ser especialmente
útil para los sitios Web. Sólo hay que crear un sitio Web en una carpeta compartida, crear un vínculo DFS a
la carpeta compartida y configurar Internet Information Server (IIS) para que use el vínculo DFS a la
carpeta como sitio Web. Si es necesario quitar de línea el servidor que almacena la carpeta compartida, sólo
hay que cambiar el vínculo DFS a una copia de la carpeta compartida en otro servidor (no se rompen
hipervínculos haciendo esto).
Cuando se usa DFS en un dominio de Windows 2000, la topología de DFS se publica en Active Directory y
automáticamente se replica a todo los controladores de dominio del dominio, lo que asegura que los
usuarios siempre tendrán acceso al árbol DFS, aun cuando uno o más servidores estén caídos. También se
puede configurar una raíz de DFS o una carpeta compartida en un servidor para replicar con un duplicado
de la carpeta compartida en otro servidor, proporcionando tolerancia a fallos en caso de que uno de los
servidores falle.
La replicación entre carpetas compartidas DFS también permite un sencillo equilibrio de la carga de red.
Configurando un vínculo DFS para que apunte a una serie de servidores distintos, cada uno con idénticas
carpetas compartidas que están replicadas para que sean idénticas, los archivos compartidos populares
pueden lograr un beneficio de rendimiento: tener múltiples servidores manteniendo las carpetas, mientras
que al usuario final todo parece estar mantenido en una única máquina.
Seguridad
Otra ventaja es que la seguridad de DFS es fácil de administrar. Se asignan los permisos para la raíz de DFS
sobre quién puede acceder o modificar la estructura de DFS, pero el resto de la seguridad la trata el sistema
de archivos NTFS. Esta ordenación tiene sentido gracias a que DFS proporciona sólo una estructura virtual
del conjunto existente de archivos compartidos. Las mismas opciones de seguridad que se aplican para
acceder directamente a los archivos compartidos se aplica para acceder a archivos compartidos por medio
del árbol de DFS.
Conceptos y terminología

Capítulo 7
DFS es una nueva tecnología de Windows que introduce nuevos conceptos y términos.
Clientes de DFS
Para acceder a la estructura de carpetas de DFS, es necesario un cliente DFS. Un cliente de DFS, no se
puede acceder al árbol de DFS y lograr los beneficios de DFS; se puede acceder a los archivos compartidos
sólo como se podría hacer si no se hubiese configurado DFS en la red. Si se está ejecutando un sistema
operativo que no sea Microsoft no puede ser cliente DFS.
El tipo de clientes DFS admitidos que proporcionan diversos sistemas operativos son:
● No Microsoft, Macintosh, UNIX, OS/2: Ninguno

● MS-DOS: Ninguno
● Windows 3.x: Ninguno
● Windows 95: Se puede descargar el cliente para DFS 4.x y 5
● Windows 98/98 Segunda edición: Clientes de DFS 4.x y 5 independientes incluidos y el cliente de
DFS 5 basado en dominio se puede descargar
● Windows NT 4 con Service Pack 3 o posterior: Clientes de DFS 4.x y 5 independientes incluidos
● Windows 2000: Soporte pleno incorporado
Servidor de DFS
El componente del lado del servidor para DFS está integrado en Windows 2000 Server y no se puede
eliminar. Windows NT 4 con Service Pack 3 o posterior también puede ser host de raíces para DFS. Sin
embargo, las raíces de DFS sólo pueden implantarse en servidores Windows NT independientes, no en
servidores que pertenezcan a un dominio, ya que DFS basado en dominio depende fuertemente de Active
Directory, con los cuales Windows NT sólo tiene posibilidades para interactuar.
Para usar la característica de sincronización de carpetas de DFS que mantiene dos archivos compartidos
idénticos, es necesario implantar los archivos compartidos en particiones NTFS de Windows 2000.
Finalmente, no se puede instalar un servidor de DFS en NetWare o en UNIX. DFS actualmente es una de
esas características sólo Microsoft, tanto el cliente como el servidor. Sin embargo, se pueden incluir
archivos compartidos en el árbol de DFS desde cualquier sistema operativo que pueda resolverse mediante
un camino UNC, incluyendo Microsoft Windows 95, Windows 98 y NetWare.
DFS dentro y fuera de dominios
DFS viene en dos variantes: independiente y basado en dominios.
● DFS independiente o una estructura DFS con una raíz de DFS hospedada en un servidor que no
pertenece a un dominio de Windows 2000 tiene dos limitaciones respecto a DFS basado en

Capítulo 7
dominios.
❍ La primera de estas limitaciones es que DFS independiente no puede usar Active Directory.
Esta limitación es obvia, ya que los dominios de Windows 2000 están basados en Active
Directory. El inconveniente más importante es que DFS independiente no puede realizar la
replicación automática de carpetas compartidas en un conjunto de réplica, ni puede replicar la
raíz de DFS en forma alguna.
❍ La segunda limitación de DFS independiente es que sólo puede tener una única capa de
vínculos DFS. Esto en la actualidad también es una limitación real de DFS basado en
dominio, ya que las uniones a medio nivel todavía no están implementadas.
En consecuencia, tanto la topología de DFS independiente como la basada en dominios están

limitadas a una única capa de vínculos. Para lograr árboles de carpetas más profundos, las carpetas
compartidas necesitan tener o bien carpetas, o bien es necesario crear un vínculo DFS a otra raíz
DFS en otro servidor.
● DFS basadas en dominios se diferencian de DFS independientes en un par de cosas. DFS basado en
dominios debe residir en un miembro o en un controlador de dominio de un dominio de Windows
2000. Alojar DFS en un servidor de un dominio Windows 2000 hace que publique automáticamente
la topología de DFS en Active Directory, proporcionando tolerancia a fallos y la optimización del
rendimiento de la red dirigiendo a los clientes a la carpeta DFS más cercana del conjunto de réplica.
Active Directory también permite que DFS basado en dominio sincronice automáticamente las carpetas
compartidas del conjunto de réplica, así como las copias de la raíz de DFS. Y mientras que DFS en la
actualidad sólo puede crear un nivel de vínculos DFS por raíz (exactamente igual que DFS independiente),
en futuras versiones de Windows, DFS basado en dominios admitirá un número ilimitado de vínculos DFS
anidados.
Estructura y topología
La estructura de un árbol DFS empieza con una raíz DFS. La raíz DFS es una carpeta compartida ordinaria
que sirve como carpeta raíz para un determinado árbol DFS. Debido a que DFS es sólo un sistema de
archivos virtual, la carpeta usada como raíz DFS tiene las mismas funciones que cualquier otra carpeta
compartida y puede contener archivos y subcarpetas ordinarias. El servidor que almacena la raíz de DFS se
llama servidor host.
Windows NT admite sólo una raíz de DFS por servidor, mientras que Windows 2000 no
posee limitaciones de arquitectura al número de raíces DFS que puede admitir un único
servidor. Sin embargo, en la actualidad Windows 2000 posee la misma limitación DFS de
raíz por servidor que Windows NT
Por sí misma, la raíz DFS no es más que sólo un archivo compartido. Sin embargo, se puede usar el
complemento Sistema de archivos distribuido para añadir vínculos DFS a otros archivos compartidos de la
organización. Los vínculos DFS funcionan de manera casi idéntica a los hipervínculos de las páginas Web.

Capítulo 7
Los vínculos DFS que se crean de forma transparente vinculan la raíz DFS a cualquier otra carpeta
compartida de la red. Cuando el usuario abre la raíz DFS, todas las carpetas vinculadas aparecen como si
fuesen subcarpetas de la raíz DFS. Por lo tanto, cuando los usuarios abren una subcarpeta, abren de forma
transparente el archivo compartido vinculado. Independientemente de si está en una unidad distinta del
mismo servidor o en un servidor en un departamento completamente distinto, los usuarios nunca se darán
cuenta de que la carpeta que han abierto no es sino una subcarpeta de la carpeta que abrieron previamente
(en la raíz DFS).
Los vínculos DFS no tienen por qué apuntar a una sola carpeta, pueden apuntar hasta a 32 carpetas
idénticas, llamadas carpetas compartidas DFS o réplicas y el usuario final verá sólo una única carpeta. Se
pueden crear réplicas de archivos compartidos normales, así como de la raíz DFS, y se puede hacer que se
sincronicen automáticamente con todas las restantes réplicas en un conjunto de réplica (si se usa DFS
basado en dominio).
El uso de conjuntos de réplicas -un grupo idéntico de réplicas- crea un nivel de tolerancia a fallos y de
equilibrio de carga, mejorando tanto el tiempo de acceso a los archivos compartidos como la respuesta de
los archivos compartidos. Los clientes DFS escogen automáticamente una réplica en su sitio, si está
disponible, reduciendo el tránsito de la red. Si hay más de una réplica disponible en el sitio del cliente, cada
cliente escoge de forma aleatoria una réplica, permitiendo que la carga se distribuya a través de los
servidores disponibles.
También se pueden crear vínculos DFS a otras raíces DFS residentes en otros servidores. Estos vínculos se
llaman vínculos ínter-DFS y en la actualidad son la única forma de crear árboles DFS con mayor
profundidad de un nivel. Los vínculos ínter-DFS también son la forma de vincular distintos espacios de
nombres de DNS, ya que todos los vínculos normales de DFS tienen que ser a archivos compartidos dentro
del mismo espacio de nombres de DNS. Para lograr la flexibilidad necesaria para crear árboles jerárquicos
anidados en profundidad, DFS necesita soporte de unión a medio nivel: vínculos DFS desde una carpeta que
no sea la raíz DFS. Las uniones a medio nivel todavía no están admitidas en Windows 2000.
Configuración, creación y apertura de una raíz DFS
El primer paso para trabajar con DFS es crear una raíz DFS (o abrir una para trabajar con una raíz

Capítulo 7
existente). Para hacerlo, hay que

seguir estos pasos:
1. Se inicia el complemento
Sistema de archivos
distribuido desde la carpeta
Herramientas
administrativas.
2. Seleccionamos Sistema de
Archivos distribuidos y
seleccionamos Nueva raíz
DFS en el menú Acción y
después pulsar Siguiente. Se
abre el Asistente para crear
nueva raíz DFS.
3. Seleccionar el tipo de raíz
DFS que se quiere crear:
● Crear una raíz DFS
de dominio: seleccionarlo si se pertenece a un dominio y pulsar Siguiente

● Crear una raíz DFS independiente: si no se pertenece a un dominio
4. Si hemos elegido la primera opción, en la siguiente pantalla, se presenta el cuadro de selección del
dominio donde se quiere crear la raíz DFS. Se selecciona el dominio del host a usar para la raíz DFS
y después se pulsa Siguiente.
5. En la siguiente pantalla, se introduce el nombre de DNS del servidor que mantendrá la raíz DFS o se
pulsa Explorar para buscar en la red el host apropiado. Se pulsa Siguiente.
6. Se elige un archivo compartido existente a usar como raíz DFS o se crea un nuevo recurso
compartido para mantener la raíz DFS, introduciendo el camino a la carpeta y el nombre de recurso
compartido a usar para la carpeta. Después, hay que pulsar Siguiente.

Capítulo 7
7. Se introduce el nombre para la

raíz DFS en el cuadro Nombre
de raíz DFS, el cual verán los
usuarios de DFS cuando abran
la raíz DFS, se introducen los
comentarios en el cuadro
Comentarios y se pulsa
Siguiente.
8. Se revisan las opciones y
después se pulsa Finalizar
para crear la raíz DFS.
Si se administran con
frecuencia múltiples raíces de
DFS, hay que abrir una MMC
en blanco, abrir el
complemento Sistema de
archivos distribuido, abrir
todas las raíces que se pretenda usar y después salvar el archivo de la consola. Después,
cuando sea necesario acceder a todas las raíces de DFS, hay que iniciar la consola
guardada en lugar del complemento estándar.
Cómo añadir vínculos DFS
Los vínculos DFS son lo que hacen especial a la raíz DFS. Sin vínculos DFS, no es más que otro archivo
compartido. Los vínculos DFS permiten navegar desde la raíz DFS a otros archivos compartidos de la red
sin tener que abandonar la estructura DFS. Para crear un vínculo DFS, hay que seguir estos pasos:
1. Desde el panel de árbol de la izquierda, se selecciona la raíz DFS a la que agregar vínculos DFS.
2. Se escoge la orden Nuevo vínculo DFS en el menú Acción. Esto muestra el cuadro de diálogo
Crear un nuevo vínculo DFS.

Capítulo 7
Nombre de vínculo: se
●
introduce el nombre que los

usuarios verán para la carpeta
compartida que se está
vinculando.
● Enviar el usuario a esta
carpeta compartida: Se
introduce el UNC o el
camino de DNS de la carpeta
compartida o se pulsa
Explorar para buscar la
carpeta compartida a enlazar.
● Comentario: se introducen
todos los comentarios que se

desea que vean los usuarios.
● Los clientes mantienen en
caché esta referencia

durante: se usa para
introducir la cantidad de tiempo que los clientes mantendrán en caché esta referencia antes de
comprobar si la referencia aún es válida. Asignar un tiempo mayor reduce el tráfico de red,
pero puede ocasionar referencias inadecuadas o interrupciones del servicio en caso de que
cambie el vínculo DFS (durante la recuperación de un miembro de un conjunto de réplica a
otro o manualmente, para preparar el mantenimiento de un servidor que alberga el archivo
compartido).
3. Hay que pulsar Aceptar cuando se haya terminado.
Al igual que en el texto del hipervínculo de una página Web no es necesario reflejar el
nombre de archivo de la página Web a la que está vinculado, el nombre de un vínculo DFS
puede ser completamente distinto del nombre real de la carpeta compartida a la que está
vinculado.
Configuración de la réplica
Una de las características clave de DFS es la posibilidad de configurar una carpeta compartida en el árbol de
DFS para que se replique automáticamente (o manualmente) con una carpeta compartida idéntica que
también pertenezca al árbol DFS. Se puede implementar esta característica sobre cualquier carpeta
compartida DFS o sobre la propia raíz DFS.
Réplica de la raíz DFS La raíz DFS es la parte más importante a replicar del árbol DFS, ya que alberga la
mayor parte de los vínculos DFS del árbol. Si el servidor de la raíz DFS cae, el árbol DFS estará inaccesible
-a menos que se haya replicado la raíz DFS-. Para configurar la réplica de la raíz DFS, hay que seguir estos
pasos:
1. Se inicia el complemento Sistema de archivos distribuido y seleccionamos la raíz DFS que se

Capítulo 7
desea replicar.
2. Se elige Nueva réplica de raíz en el menú Acción.
3. Aparece el Asistente para crear nueva raíz DFS. Se introduce el nombre del servidor que se desea
utilizar para albergar la réplica de la raíz DFS o se pulsa Explorar para buscar en la red el host
apropiado. Se pulsa Siguiente.
4. Se elige un recurso compartido existente a usar como réplica de la raíz DFS o se crea uno nuevo para
albergar la réplica de la raíz DFS, introduciendo el camino de la carpeta y el nombre de recurso
compartido que se desea utilizar para la carpeta. Se pulsa Finalizar.
5. Se repiten los pasos 2 al 4 para todas las carpetas compartidas que se deseen utilizar como réplica de
esta raíz DFS; después váyase al paso 6.
6. Se elige la orden Directiva de réplica en el menú Acción para mostrar el cuadro de diálogo
Directiva de réplica.
7. Se selecciona la carpeta compartida que se pretende que sea la copia principal inicial para el
conjunto de réplica y después se pulsa Habilitar.
8. Se selecciona cada carpeta compartida que se desea que participe en la réplica y se pulsa Habilitar
después de seleccionar cada una.
9. Si se desea cambiar la copia maestra inicial para el conjunto de réplica, hay que seleccionar la
carpeta compartida y pulsar Copia principal inicial.
10. Se pulsa Aceptar una vez terminado.
DFS basado en dominios está totalmente influenciado por Active Directory, réplica de
archivos multicopia principal; sin embargo, la primera vez que se crea un conjunto de
réplica es necesario especificar una copia principal inicial que se usará como carpeta fuente
principal para sincronizar las otras réplicas.
Réplica de carpetas compartidas Un sistema de archivos fácil de usar, tolerante a fallos y con alto
rendimiento no vale demasiado si los datos a los que se desea acceder no están disponibles. Por esta razón,
DFS posee la réplica de carpetas compartidas. Se puede configurar que cualquier carpeta compartida tenga
hasta 32 réplicas de sí misma, de tal forma que aunque ocurra el más profundo desastre, al menos haya
todavía un servidor disponible con los datos que necesiten los usuarios. (Sin embargo, esto no es infalible si
se pierde la corriente de la red completa, todos los servidores podrían estar inaccesibles).
Aunque la réplica de carpetas compartidas básicamente es lo mismo que configurar la réplica de la raíz
DFS, existe una ligera diferencia, por lo que hay que seguir estos pasos para realizar el procedimiento:
1. Se selecciona el vínculo DFS en el árbol DFS al cual se desean añadir réplicas.

2. Se elige nueva réplica en el menú Acción.
3. Dentro del cuadro de diálogo proporcionado, se introduce el camino UNC para el recurso
compartido de red que se desea utilizar como réplica o se pulsa Examinar para localizar la carpeta de
la red.
4. Se elige si se desea que la carpeta compartida se replique automáticamente (por defecto, cada 15
minutos) o manualmente. Se pulsa Aceptar.
En un conjunto de réplica no se debe asignar una parte de las carpetas para réplica automática y
otra para réplica manual. Se ocasionaría que las carpetas se sincronizasen de una forma bastante

Capítulo 7
pobre.
5. Se repiten los pasos 2 al 4 para todas las carpetas compartidas que se desean agregar al conjunto de
réplica; después váyase al paso 6.
6. Se elige Directiva de réplica en el menú Acción para mostrar el cuadro de diálogo Directiva de
réplica.
7. Se selecciona la carpeta compartida que se desea como copia principal inicial para el conjunto de
réplica y después se pulsa Habilitar.
8. Se selecciona la carpeta compartida que se desea que participe en la réplica y después se pulsa
Habilitar tras seleccionar cada una.
9. Si se desea cambiar la copia principal del conjunto de réplica, hay que seleccionar la carpeta
compartida y pulsar Copia principal inicial.
10. Se pulsa Aceptar una vez terminado el procedimiento.
DFS basado en dominios está totalmente influenciado por Active Directory, réplica de
archivos multicopia principal; sin embargo, la primera vez que se crea un conjunto de
réplica es necesario especificar una copia principal inicial que se usará como carpeta fuente
principal para sincronizar las otras réplicas.
Almacenamiento Remoto
Aunque los precios de los discos han caído de forma dramática y las posibilidades se han mejorado
tremendamente, nunca se tiene espacio suficiente en el disco duro. Debido a esta insaciable necesidad de
espacio, Windows 2000 incluye una utilidad de administración de almacenamiento jerárquico de Seagate
Software que permite a los servidores aprovechar un recurso varias veces más barato que el espacio en
disco duro: las cintas. Esta utilidad, llamada Almacenamiento remoto, se beneficia del soporte integrado de
agrupación de Windows 2000 para las unidades de almacenamiento jerárquico y habilita a Windows 2000
para extender un volumen NTFS de forma casi infinita. Almacenamiento remoto lo hace de forma
transparente migrando los archivos no usados frecuentemente a una cinta, a la vez que los mantiene
fácilmente accesibles.
Los usuarios ven los archivos migrados como si todavía estuviesen almacenados en el disco en lugar de en
la cinta. Aun cuando los usuarios acceden a archivos migrados, las únicas diferencias apreciables son un
pequeño cuadro de diálogo informando de que se está volviendo a llamar al archivo de la cinta y un tiempo
de carga del archivo más largo. Además, excepto para la instalación y configuración de Almacenamiento
remoto, esta característica viene con poco o nada de carga para los administradores. Almacenamiento
remoto realiza toda la migración y recuperación de la cinta de forma automática (a menos que el medio
necesario esté fuera de línea, en cuyo caso Medios de almacenamiento extraíbles situará la petición para un
operador).
Conceptos y requisitos del sistema
Almacenamiento remoto también es conocido como Administración de almacenamiento jerárquico, ya que

permite dos capas de almacenamiento de datos. La primera capa, el almacenamiento local, es el disco duro

Capítulo 7
estándar o la unidad de disco extraíble albergada en un volumen NTFS (como una unidad Jazz de Iomega).
La segunda capa, proporcionada por Almacenamiento remoto y acertadamente denominada como capa de
almacenamiento remoto, es la unidad de cinta y la biblioteca de cintas automatizada. Los datos están
almacenados inicialmente en el almacén local, y una vez que los datos han caducado (no se ha accedido a
ellas dentro del periodo de tiempo especificado), se copian o migran al medio de almacenamiento remoto,
aunque también permanecen intactos o en la caché del almacén local para un rápido acceso.
Almacenamiento remoto sólo administra físicamente los archivos de un volumen, no sigue enlaces DFS.
Finalmente, cuando el almacén local se llena y es necesario liberar espacio para datos adicionales, los
archivos que hayan caducado y se hayan migrado al almacén remoto se convierten en reservas de sitio o
vínculos, liberando el espacio que solían consumir.
Los archivos que se hayan desplazado al almacén remoto y que no vayan a estar más en la caché local,
todavía aparecerán como residentes en el almacén local. Estas reservas de sitio se parecen y actúan de igual
forma que los archivos guardados de forma local, exceptuando un par de diferencias.
La primera diferencia es que el icono del archivo que se movió al almacén remoto posee un pequeño reloj
sobre él para indicar que al abrir el archivo, el usuario tendrá que esperar a que Windows 2000 recupere el
archivo del almacén remoto.
La segunda diferencia es que, aunque el Explorador de Windows muestre los archivos remotos usando la
misma cantidad de espacio en disco que cuando estaban almacenados de forma local y esto no cambia la
forma de funcionamiento de las cuotas de disco (los archivos remotos se descuentan de la cuota de disco
igual que lo hacen los archivos locales), el Explorador de Windows resta los archivos remotos del total de
espacio usado en la estimación de disco. En otras palabras, Windows 2000 trata los archivos remotos
exactamente igual que los archivos locales, excepto cuando calcula la cantidad de espacio libre en disco, en
cuyo caso Windows 2000 reconoce que los archivos almacenados de forma remota no consumen espacio en
disco. El Explorador de Windows también añade la ficha Almacenamiento remoto al cuadro de diálogo
Propiedades de los volúmenes administrados, permitiendo a los administradores visualizar y cambiar la
configuración de los volúmenes administrados directamente desde el Explorador de Windows.
Cuando un usuario accede a un archivo almacenado de forma remota, aparece el cuadro de diálogo
Recuperando desde el almacenamiento remoto, explicando que Windows está volviendo a llamar al archivo
desde Almacenamiento remoto. Si un usuario no desea esperar al archivo, puede pulsar Cancelar y dejar el
archivo en el almacén remoto. En caso contrario, el archivo se restaura en el almacén local y su marca de
fecha de último acceso se pone a cero, impidiendo que se migre al almacén remoto hasta que el archivo
haya vuelto a caducar.
Las operaciones de copiar y mover realizadas sobre reservas de sitio actúan de forma algo diferente a las
operaciones de copiar y mover sobre archivos normales. Las reservas de sitio que se renombran o mueven a
una ubicación diferente del mismo volumen no necesitan que se renombren en el almacén remoto. Sin
embargo, cuando el usuario copia un archivo, Almacenamiento remoto vuelve a llamar al archivo y después
lo copia en la nueva ubicación. El nuevo archivo no está vinculado al archivo antiguo del almacén remoto,
tal y como se esperaría de un archivo copiado. Cuando el usuario mueve una reserva de sitio a un volumen
distinto, Almacenamiento remoto vuelve a llamar al archivo, lo copia a su nueva ubicación y después

Capítulo 7
elimina el archivo original.
Compatibilidad con programas
La compatibilidad de Windows 2000 con programas es un aspecto importante de Almacenamiento remoto.

Aunque Almacenamiento remoto está fuertemente integrado en el sistema operativo, algunos programas
pueden no comportarse de forma óptima a menos que se especifique que sean conformes con
Almacenamiento remoto. Dos ejemplos son los programas de copia de seguridad y los programas antivirus.
● Programas conformes a Almacenamiento Remoto: Los programas de copia de seguridad

conformes a Almacenamiento remoto pueden realizar copias de seguridad de todos los datos
almacenados localmente y de los vínculos a datos, pero no existe una forma de hacer la copia de
seguridad de los datos que se han desplazado al almacén remoto (excepto mediante la restauración
de los archivos almacenados de forma remota, con la funcionalidad de Almacenamiento remoto). Si
un programa de copia de seguridad es conforme a Almacenamiento remoto (como el programa
Copia de seguridad de Windows 2000), se tiene la opción de recuperar archivos del almacén remoto
y hacerles la copia de seguridad junto con todos los datos almacenados de forma local y después
devolver los archivos al almacén remoto una vez que se haya terminado.
● Programas no conformes a Almacenamiento Remoto: Los programas antivirus, de copia de
seguridad, de búsqueda y de indexación que no son conformes a Almacenamiento remoto tienen una
mala tendencia a acceder a todos los archivos que comprueban, poniendo a cero por lo tanto
Almacenamiento remoto, así como llamando a archivos del almacén remoto para comprobar si
tienen virus. Los programas conformes a Almacenamiento remoto no tienen esta desventaja.
Microsoft Office 97 provoca que todos los documentos de Word, documentos de PowerPoint
y archivos HTML del almacén remoto se vuelvan a llamar al final de la instalación de Office
97. Esto se puede detener terminando el proceso Findfast.exe. Se debe desactivar FindFast
usando la herramienta Panel de control de FindFast y asegurándose de que no hay ningún
acceso directo a Findfast.exe en la carpeta Inicio del menú Inicio. Office 95 y Office 97
también pueden volver a llamar a archivos del almacén remoto cuando se use la orden
Buscar del menú Edición.
Almacenamiento remoto minimiza el efecto de los programas que no son compatibles con Almacenamiento
remoto limitando el número de llamadas sucesivas que permite el almacén remoto. Si un programa llama a
un archivo del almacén remoto y solicita que se vuelva a llamar a otro sin pasar 10 segundos desde que se
llamó al primero, Almacenamiento remoto lo cuenta. Cuando el contador alcance el límite configurable (el
valor por defecto es 60), Almacenamiento remoto prohíbe más llamadas durante esa sesión. Fijar un límite
no suele afectar a los usuarios normales, pero puede impedir que un programa antivirus no conforme a
Almacenamiento remoto restaure todos los archivos del almacén remoto.
Seguridad de datos
Probablemente se esté preguntando cómo se asegura que los datos tienen una copia de seguridad adecuada
cuando se trabaja con Almacenamiento remoto. Si un archivo se ha movido a una cinta, ¿qué ocurre si la

Capítulo 7
cinta se daña o se pierde?, ¿y qué ocurre si el vínculo del almacén local al archivo se pierde? Los miedos a
la pérdida de datos se pueden mitigar de varias formas.
La primera forma es bastante conocida: frecuentes y minuciosas copias de seguridad. Se deben combinar las
copias de seguridad regulares de los sistemas de almacenamiento locales con la creación de copias del
medio de Almacenamiento remoto.
La segunda forma de proteger los datos es combinar las copias de seguridad regulares de los sistemas de
almacenamiento locales con la creación de copias del medio de almacenamiento remoto. Por lo tanto, cada
vez que se haga la copia de seguridad del almacén local, se hace una copia del medio de Almacenamiento
remoto y se guarda con la copia de seguridad del almacén local. Este paso asegura que se hace una copia de
seguridad del sistema de almacenamiento completo. También se pueden proteger los datos usando un
programa de copia de seguridad compatible con Almacenamiento remoto para hacer la copia de seguridad
del almacén remoto junto con la copia de seguridad del almacén local. El proceso de recuperación es el
mismo para casi todos los tipos de copia de seguridad.
Para resumir, si se desea una protección minuciosa de los datos y se tiene la posibilidad de copiar el medio
de Almacenamiento remoto, hay que usar una estrategia similar a una de las siguientes.
● Copia de seguridad de los datos locales regularmente.

● Cada vez que se realice una copia de seguridad completa, crear una copia de los medios de
Almacenamiento remoto y guardar esa copia con la copia de seguridad completa.
● Hacer más de una copia (hasta tres) del medio principal de Almacenamiento remoto y regularmente
sincronizar estas copias con la copia principal del medio.
● Considerar la copia de seguridad de los datos del almacén remoto a la vez que se hace la copia de
seguridad del almacén local. Puede llevar más tiempo y el uso de más medios, pero ofrece la mayor
protección de datos y la mayor flexibilidad en caso de desastre.
Requisitos del sistema
Almacenamiento remoto no es particularmente intensivo con los recursos, y como tal funciona con casi
todos los sistemas que cumplan la configuración de sistema recomendada para Windows 2000 Server. Se
puede ejecutar Almacenamiento remoto en una máquina con Windows 2000 Professional y que
Almacenamiento remoto sólo puede administrar volúmenes con formato NTFS 5.
Sin embargo, Almacenamiento remoto es algo exigente sobre el subsistema de almacenamiento extraíble a
usar. La unidad necesita ser reconocida por Almacenamiento remoto; hay que usar hardware sólo de la Lista
de compatibilidad de hardware. Además, por el momento, Almacenamiento remoto sólo admite las
bibliotecas de cintas SCSI 4mm, 8mm y DLT que reconozca Medios de almacenamiento extraíbles.
Almacenamiento remoto no admite unidades ópticas, bibliotecas de cintas QIC, ni cualquier tipo de unidad
de disco extraíble (Jazz, Zip y demás).
Los sistemas cliente que usen el Administrador de archivos de Windows no pueden acceder a archivos

Capítulo 7
administrados por Almacenamiento remoto, el cual impide que los clientes Windows 3.x puedan acceder a
estos archivos. También, los usuarios de Windows 95 deben evitar el uso del Administrador de archivos si
desean acceder a archivos de Almacenamiento remoto.
Instalación y configuración
Deberemos instalar Almacenamiento remoto en el sistema, configurarlo de forma óptima según las
necesidades y asegurarnos de que se está protegido de forma correcta frente a desastres. Es necesario tener
el dispositivo configurado correctamente antes de ejecutar el programa de instalación de Almacenamiento
Remoto, ya que los dispositivos añadidos con posterioridad no se detectarán.
Instalación de Almacenamiento remoto
Almacenamiento remoto es fácil de instalar. Sólo hay que asegurarse de que la biblioteca de
almacenamiento que se desea utilizar con Almacenamiento remoto está conectada y configurada; después
hay que seguir estos pasos:
1. Se abre la herramienta Agregar o quitar programas desde el Panel de control.

2. Se pulsa sobre Agregar o quitar componentes de Windows en el panel izquierdo.
3. Se selecciona el cuadro de verificación Almacenamiento remoto, si todavía no está seleccionado, y
se pulsa Siguiente.
4. Se reinicia el equipo.
5. Se inicia Almacenamiento remoto desde la carpeta Herramientas administrativas del menú Inicio.
Aparecerá el Asistente para instalación de Almacenamiento remoto. Se pulsa Siguiente. El asistente
detecta todos los dispositivos de almacenamiento compatibles y comprueba las opciones de
seguridad.
6. En la siguiente pantalla se seleccionan los volúmenes con los que se desea usar Almacenamiento
remoto (sólo aparecen volúmenes NTFS) y después se pulsa Siguiente.
7. En el cuadro Espacio libre deseado, se introduce la cantidad mínima de espacio libre que se desea
que esté disponible en los volúmenes administrados.
8. En el cuadro Mayor de, se introduce el tamaño más pequeño de archivo que se desea que
Almacenamiento remoto migre a la cinta si hace falta más espacio en disco.
9. En el cuadro No accedido en, se introduce el número de días que tendrán que pasar desde que se
accedió al archivo por última vez para que el archivo se pueda elegir para su migración a cinta.
Después se pulsa Siguiente.
10. Se selecciona el medio deseado para su uso en Almacenamiento remoto en el cuadro de lista
desplegable Tipos de medio (sólo se listan los medios detectados y admitidos). Se pulsa Siguiente.
11. Se pulsa Cambiar agenda para cambiar cuando Almacenamiento remoto copie los archivos a cinta o
se pulsa Siguiente para continuar.
12. Se revisan las opciones introducidas y después se pulsa Finalizar para completar la instalación de
Almacenamiento remoto.
Configuración de volúmenes adicionales con Almacenamiento remoto

Capítulo 7
Si se desean configurar volúmenes de almacenamiento adicionales en el sistema para su uso con

Almacenamiento remoto después de haber completado la instalación inicial, se puede usar al Asistente para
agregar administración de volumen. Para hacerlo, hay que seguir estos pasos:
1. Iniciar el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas

administrativas del menú Inicio, o introducir %RaízDeSistema%\System32\RsAdmin.msc en el
cuadro de diálogo Ejecutar o en la línea de órdenes.
2. Se selecciona la carpeta Administrar volúmenes en el árbol de consola.
3. Se pulsa el botón de la barra de herramientas Nuevo volumen a administrar para iniciar el Asistente
para agregar administración de volumen y después se pulsa Siguiente en la primera pantalla.
4. Se selecciona el cuadro de verificación junto al volumen NTFS que se desea o se escoge la opción
Administrar todos los volúmenes para decirle a Almacenamiento remoto que administre todos los
medios disponibles. Después se pulsa Siguiente.
5. En el cuadro Espacio libre deseado, se introduce la cantidad de espacio libre que se desea que haya
en el volumen, como tanto por ciento del espacio.
6. En el cuadro Mayor de, se introduce el tamaño de archivo mínimo que se desea para que
Almacenamiento remoto migre a cinta los archivos. Nótese que la migración de archivos menores de
12 Kb normalmente no tiene sentido, ya que lleva demasiado tiempo, pero se puede cambiar esta
opción si es necesario.
7. En el cuadro No accedido en, se introduce el número de días que deben pasar desde que se accedió
por última vez al archivo, para que el archivo sea elegible para su migración al almacén remoto.
Después se pulsa Siguiente. Hay que recordar que asignar un número demasiado alto limitará la
cantidad de espacio que Almacenamiento remoto puede liberar, pero la asignación demasiado baja
ocasionará una cantidad innecesaria de llamadas a cinta.
8. Se revisan las opciones en la pantalla final del asistente y después se pulsa Finalizar.
Cambio de opciones de volumen
Almacenamiento remoto usa un conjunto de reglas para gobernar qué archivos son elegibles para la
migración al almacén remoto. Estas reglas se pueden fijar inicialmente cuando se instala un volumen de
almacenamiento en la computadora para que Almacenamiento remoto lo administre, usando bien el
Asistente para instalar Almacenamiento remoto, bien el Asistente para agregar volumen a administrar. Sin
embargo, puede que se deseen cambiar estas opciones más tarde o agregar exclusiones, como que ciertos
tipos de archivos nunca se migren a la cinta. Para hacerlo, hay que seguir estos pasos:
1. Se inicia el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas

administrativas del menú Inicio.
2. Se selecciona la carpeta Volúmenes administrados en el árbol de consola, se pulsa el botón derecho
sobre el volumen que se desea configurar y se elige Configuración en el menú de contexto.
3. En el cuadro Espacio libre deseado, se introduce la cantidad de espacio libre que se desea tener en el
volumen, como tanto por ciento del espacio total.
También se pueden cambiar las opciones de un volumen administrado pulsando el botón derecho
sobre el volumen en el Explorador de Windows, eligiendo Propiedades en el menú de contexto y
después pulsando la ficha Almacenamiento remoto. Sin embargo, aquí no se pueden incluir o excluir

Capítulo 7
reglas.
4. En el cuadro Mayor de, se introduce el tamaño mínimo de archivo que se desea para que
Almacenamiento remoto migre a cinta el archivo. La mayoría de los usuarios encontraran que sobre
todo hay que incrementar el tamaño del archivo, aunque si se tiene una gran cantidad de archivos
pequeños de gran acceso, habría que considerar bajarlo.
5. En el cuadro No accedido en, se introduce el número de días que deben pasar desde que se accedió
por última vez al archivo para que sea elegible para la migración al almacén remoto. Hay que
recordar que asignar un número muy alto a esta opción limitará la cantidad de espacio en disco que
Almacenamiento remoto podrá limitar, pero asignarlo demasiado bajo ocasionará una cantidad
innecesaria de llamadas a la cinta.
6. Se pulsa la pestaña Reglas de inclusión o exclusión para crear o modificar reglas que especifiquen
los tipos de archivo a excluir de Almacenamiento remoto.
7. Se selecciona la regla que se desea modificar (algunas reglas no se pueden cambiar) y se pulsa Editar
para modificar la regla o Eliminar para eliminarla.
8. Para agregar una nueva regla, se pulsa Agregar para mostrar el cuadro de diálogo Modificar regla de
inclusión o exclusión.
9. Se introduce el camino de la carpeta a la que se desea aplicar la regla en el cuadro Camino o se
introduce una barra invertida para aplicar la regla al volumen completo.
10. En el cuadro Tipo de archivo, se introduce el tipo de archivo que se desea incluir o excluir de
11. Se selecciona Excluir archivos coincidentes si se desea excluir de Almacenamiento remoto los
archivos coincidentes con el criterio.
12. Se selecciona Incluir archivos coincidentes si se desea permitir explícitamente que Almacenamiento
remoto administre los archivos que coincidan con el criterio. Esto es muy útil si se desea tomar una
excepción para excluir de la regla sólo a determinadas carpetas.
13. Se selecciona el cuadro de verificación Aplicar reglas a las subcarpetas, si se desea que
Almacenamiento remoto aplique la regla a todas las subcarpetas de las carpetas listadas en el cuadro
Camino.
Cómo desactivar Almacenamiento remoto para un volumen administrado
Si se piensa desinstalar Almacenamiento remoto, habrá que interrumpir antes la administración de los
volúmenes para que se pueda volver a llamar a los archivos del almacén remoto. Este paso es muy
importante, ya que si no se hace, se puede perder la posibilidad de acceder a los archivos guardados en el
almacén remoto.
También podría quererse hacer esto si se planea realizar una reinstalación completa (limpieza) de Windows
2000. Volver a llamar a los datos permite dejar los datos intactos en la unidad mientras se reinstala
Windows o se hace una copia de seguridad de los datos usando un programa que no sea conforme a
Almacenamiento remoto. (Si se desea volver a dar formato a la unidad, se puede hacer una copia de los
datos y después restaurarlos una vez terminado). Si no se vuelve a llamar a los datos o se realiza una copia
de seguridad de todos los datos (incluyendo los del almacén remoto) antes de hacer la reinstalación de
limpieza de Windows 2000, se puede encontrar realizando un complejo procedimiento de recuperación de

Capítulo 7
Otro caso en el que se puede elegir interrumpir la administración de Almacenamiento remoto de un

volumen es cuando el medio que se está usando para el volumen se llena y no se desea que la base de datos
de almacenamiento remoto se extienda a varias cintas. En este caso, se puede interrumpir la administración
de Almacenamiento remoto del volumen, lo cual le dice a Almacenamiento remoto que deje de copiar
archivos en el almacén remoto, pero que siga llamando a los archivos que ya están en el almacén remoto.
Cualquiera que sea la razón para finalizar la administración de Almacenamiento remoto de un volumen del
sistema, se puede usar el Asistente para eliminar administración de volumen, para eliminar la
administración de un volumen de Almacenamiento remoto:

2. Se pulsa sobre Volúmenes administrados en el árbol de consola.
3. Se pulsa el botón derecho sobre el volumen que se desea eliminar de Almacenamiento remoto y
después se elige Eliminar en el menú de contexto. Se pulsa Siguiente cuando se abra el Asistente
para eliminar administración de volumen.
4. Para volver a llamar a todos los archivos del almacén remoto y situarlos de nuevo en el volumen
administrado para que Almacenamiento remoto no los vuelva a usar en este volumen, se selecciona
la opción Recuperar archivos copiados en almacenamiento remoto. Nótese que el volumen
administrado necesita tener espacio suficiente para albergar a todos los archivos llamados.
5. Para hacer que Almacenamiento remoto deje de añadir archivos adicionales al almacén remoto
mientras permite continuar la administración de los archivos que actualmente estén en el almacén
remoto, se selecciona la opción Mantener archivos copiados en el almacén remoto y después se pulsa
Siguiente.
6. Se pulsa Sí en el cuadro de diálogo que se abre.
7. Se revisan las opciones y después se pulsa Finalizar para implantarlas.
Cómo realizar las tareas de forma manual
Almacenamiento remoto se configura para realizar casi todas las operaciones de forma automática usando la
carpeta Tareas programadas de Windows 2000. Sin embargo, a veces puede que sea necesario copiar
inmediatamente todos los archivos elegibles al almacén remoto, crear espacio adicional en un volumen
administrado o validar todas las reservas de sitio. Para realizar estas tareas, hay que seguir estos pasos:

2. Se pulsa sobre Volúmenes administrados en el árbol de consola.
3. Se pulsa el botón derecho sobre el volumen en el que se desea realizar una tarea, se elige Todas las
tareas en el menú de contexto y después se elige la tarea determinada en el submenú. Las tareas que
se pueden llevar a cabo son:
● Copiar archivos al almacén remoto Copia de inmediato todos los archivos elegibles del
volumen administrado al almacén remoto.

● Validar archivos Verifica que todas las reservas de sitio y los archivos en caché local estén

Capítulo 7
aún vinculados a datos válidos del almacén remoto y actualiza las estadísticas del volumen.
● Crear espacio libre Elimina todos los datos en caché de archivos que ya se hayan migrado al
almacén remoto. Esto crea espacio libre sólo si existen datos en la caché local.
4. Se pulsa en Aceptar en el cuadro de diálogo que se abre.
Visualización de las tareas de Almacenamiento remoto
Almacenamiento remoto sitúa todas las tareas en la carpeta Tareas programadas, tanto las tareas que
Almacenamiento remoto realiza de forma automática, como las tareas que se realicen de forma manual.
Para visualizar o modificar cuándo se van a realizar (o si se van a realizar), hay que seguir estos pasos:
1. Se abre la carpeta Tareas programadas abriendo el menú Inicio y eligiendo Programas, Accesorios,
Herramientas de sistema.
2. Para realizar de inmediato una tarea programada, se pulsa el botón derecho sobre la tarea y se elige
Ejecutar en el menú de contexto.
3. Para cancelar una tarea que se está ejecutando ahora, se pulsa el botón derecho sobre la tarea y se
escoge Finalizar tarea en el menú de contexto.
4. Para visualizar las propiedades de la tarea (puede que para cambiar la agenda), se pulsa el botón
derecho sobre la tarea y se elige Propiedades en el menú de contexto.
Cambio de la programación de tareas
Para cambiar la agenda que Almacenamiento remoto usa para copiar archivos al almacén remoto, para
validar reservas de sitio y archivos en caché, o para crear espacio en disco, hay que seguir estos pasos:
1. Para cambiar la agenda de copia de archivos de Almacenamiento remoto, se pulsa el botón derecho
sobre la raíz de Almacenamiento remoto en el árbol de consola y se elige Cambiar programación en
el menú de contexto.
2. Se pulsa el botón Cambiar programación.
3. Se usa el cuadro de diálogo proporcionado para configurar la programación.
4. Para tener múltiples programaciones, hay que seleccionar el cuadro de verificación Mostrar todas las
programaciones y usar los botones Nueva o Eliminar para agregar o eliminar programaciones.
5. Para modificar la información avanzada sobre programación, hay que pulsar el botón Avanzadas.
6. Para modificar las programaciones de otras tareas de Almacenamiento remoto, hay que abrir la
carpeta Tareas programadas abriendo el menú Inicio y elegir Programas, Accesorios y después
Herramientas de sistema.
7. Se pulsa el botón derecho sobre la tarea y se elige Propiedades en el menú de contexto.
8. Se pulsa la pestaña Programación y después se modifica la información de programación, tal y como
se describe en los pasos 4 y 5.
Asignación de los límites de rellamada
La característica de limitación de rellamada de Almacenamiento remoto puede volverse muy útil. Recuerde
que debe usarse la característica de límite de rellamada debido a que existen programas no conformes a

Capítulo 7
Almacenamiento remoto, como programas de copia de seguridad, antivirus o buscadores, que tienen una
insistente manía por poner todos los datos fuera del almacén remoto, haciendo que Almacenamiento remoto
sea bastante poco útil. Cuando se fija el límite de rellamada, también conocido como un límite de
rellamadas desbocadas debido a que sólo limita las rellamadas que tienen lugar en los 10 segundos
posteriores a la última llamada, se impiden estos asaltos automáticos al Almacenamiento remoto deteniendo
las llamadas desbocadas al almacén remoto. Esto no suele afectar a los usuarios (males, ya que la mayoría
de los usuarios no son tan rápidos cuando realizan operaciones de copia masiva. Para configurar el límite de
rellamada, hay que seguir estos pasos:
1. Se pulsa el botón derecho sobre la raíz de Almacenamiento remoto en el árbol de consola y se elige
Propiedades en el menú de contexto.
2. Se pulsa sobre la ficha Límite de recuperación.
3. En el cuadro proporcionado, se introduce el número de rellamadas sucesivas deseado que pueden
realizarse en los 10 segundos posteriores a la última rellamada antes de impedir más rellamadas. Si
los usuarios realizan tareas de copia masiva con frecuencia y se usan aplicaciones conformes con
Almacenamiento remoto, debería fijarse un límite alto; en caso contrario, debe dejarse así o reducirlo
según las necesidades.
4. Si se desea eximir a los usuarios con privilegios administrativos de este límite, hay que seleccionar el
cuadro de verificación Eximir a los administradores de este límite.
La selección del cuadro de verificación Eximir a los administradores de este límite permitirá
a aplicaciones no compatibles que se ejecuten como administrador hacer rellamadas
potenciales a archivos del almacén remoto si el administrador no detiene explícitamente el
proceso de rellamada de los datos.
Recuperación de datos y protección
Podría pensarse que debido a que los datos se almacenan remotamente en una cinta, esto es seguro. Puede
que en algunas ocasiones sea una forma más segura que cuando se ubican en un disco duro local, pero la
protección de los datos es aún más importante para los datos almacenados de forma remota, debido a la
imposibilidad de los dispositivos de cinta de tener tolerancia a fallos como unidades espejo. También,
debido a las nuevas tecnologías, un administrador es más probable que se encuentre un error que impida la
recuperación de datos de un almacén remoto. Por lo tanto, hay que aprender e implementar un buen plan de
protección de los datos.
Debido a que ni el mejor plan de protección puede prevenir un desastre, también hay que saber cómo
recuperar datos si aparece el problema. Las secciones siguientes enseñan cómo proteger y recuperar datos
con Almacenamiento remoto.
Introducción a las estrategias de protección de datos
La estrategia a usar para proteger los datos almacenados de forma remota variará dependiendo de la
posibilidad de crear copias del medio de Almacenamiento remoto. (Hacen falta dos unidades del mismo tipo

Capítulo 7
de medio para poder hacerlo).
Estrategias de unidad única: Si se está usando una única unidad de cinta con Almacenamiento remoto,
recomendamos que se realice la copia de seguridad de los archivos locales de acuerdo al plan de copia de
seguridad preexistente. Por ejemplo, se podría realizar una copia de seguridad incremental cada noche y una
copia de seguridad completa todos los fines de semana. Para las copias de seguridad completas, hay que
asegurarse de instruir al programa de copia de seguridad para que realice la copia de seguridad de los datos
migrados por Almacenamiento remoto, o de lo contrario no se tendrá una copia de seguridad de los archivos
migrados. Nótese que esto significa casi hacer la copia de seguridad en una unidad distinta a la que
mantiene el medio de Almacenamiento remoto. Si no se dispone de otro dispositivo de copia de seguridad,
hay que considerar comprar un duplicado del dispositivo de Almacenamiento remoto.
Probablemente no sea necesario hacer la copia de seguridad de los archivos migrados en un plan de copia de
seguridad diferencial o incremental, ya que los archivos que se añaden al almacén remoto probablemente no
hayan cambiado desde la última copia de seguridad completa. Estos archivos se pueden devolver al almacén
local a partir de la última copia de seguridad completa. Si los archivos han cambiado desde la última copia
de seguridad completa y se han migrado al almacén remoto y eliminado su caché local (si se tiene un plan
de copia de seguridad largo o un plan de migración corto y el volumen lleno), se pueden restaurar estos
archivos desde una copia de seguridad diferencial o incremental reciente. Por supuesto, no hay que olvidar
que a mayor tiempo entre las copias de seguridad completas, más parches incrementales habrá que aplicar si
es necesaria la restauración de una copia de seguridad (una buena razón para usar en su lugar copias de
seguridad diferenciales), o más datos se perderán si no se realizan con frecuencia estas copias de seguridad
incrementales.
Además de un plan regular de copia de seguridad, recomendamos que se verifiquen con frecuencia las
reservas de sitio del almacén remoto y los archivos en caché para asegurarse de que todavía están
vinculados a archivos válidos del almacén remoto. Nótese que Almacenamiento remoto crea
automáticamente un plan de validación cuando se instala.
Estrategias de varias unidades Si se poseen varias unidades del mismo tipo de medio que se pueden usar
para hacer copias del medio de Almacenamiento remoto, se tiene un poco más de flexibilidad para la
protección de datos que con una única unidad. Aunque la espina dorsal del plan de protección de datos
seguirá siendo un buen plan de copia de seguridad, se puede complementar éste creando copias del medio
de almacenamiento remoto y sincronizando estas copias de forma frecuente.
Hay que hacer la copia de seguridad de acuerdo al plan de copia de seguridad existente. Para las copias de
seguridad completas, se puede elegir dar instrucciones a un programa de copia de seguridad para que haga
la copia de seguridad de los datos migrados por Almacenamiento remoto. Esto proporciona algo de
seguridad extra, eliminando la necesidad de tratar con Almacenamiento remoto en la recuperación; en
cambio, sólo se pueden restaurar todos los datos al almacén local y ni siquiera preocuparse de
Almacenamiento remoto. Esta es una buena idea si se tienen las facilidades (y el tiempo) para hacerlo. En
caso contrario, hay que hacer la copia de seguridad sólo del almacén local, de acuerdo con el plan normal de
copia de seguridad.

Capítulo 7
Además del plan de copia de seguridad, se deben hacer de una a tres copias del medio principal (el medio
que mantiene los datos del almacén remoto) y sincronizarlos de forma rutinaria. Si el medio principal falla,
se puede volver a crear a partir de una de las copias. Si no se hace la copia de seguridad de los archivos
migrados al almacén remoto durante las copias de seguridad completas, hay que asegurarse de sincronizar la
copia del medio y mantenerla con la copia de seguridad completa. Esto asegura que la copia de seguridad
completa ha realizado la copia de seguridad de todos los datos.
Además de un plan de copia de seguridad regular, se deben verificar frecuentemente las reservas de sitio del
almacén remoto y los archivos en caché para asegurarse de que todavía están vinculados a datos válidos del
almacén remoto. Almacenamiento remoto crea automáticamente un plan de validación cuando se instala y
suele ser ajustado para la mayoría de los propósitos. Sólo hay que asegurarse de que cubre todos los
volúmenes que administra Almacenamiento remoto.
Trabajo con copias de medios
Debido a que se pueden crear arrays tolerantes a fallos de dispositivos de almacenamiento remoto,
Microsoft proporciona la posibilidad de crear copias de los medios de Almacenamiento remoto para que
exista algún nivel de redundancia en los datos almacenados de forma remota.
Hay que poner los medios nuevos en la cola de medios libres en lugar de manualmente en la
cola de Almacenamiento remoto. Almacenamiento remoto tomará automáticamente y dará el
formato apropiado a los medios de la cola de medios libres cuando sea necesario.
Cambio del número de copias principales: No es necesario crear explícitamente copias de medios en
Almacenamiento remoto; en su lugar, se puede especificar cuántas se desean y Almacenamiento remoto se
pondrá a hacerlas de forma automática. Cuando se termine una copia, Almacenamiento remoto comenzará
la copia siguiente, suponiendo que hay suficientes medios disponibles en la cola de aplicación de
Almacenamiento remoto o en la cola de medios libres. A cada grupo de copias de medios se le denomina
Conjunto de copias de medios e incluye una copia de cada uno de los medios principales. (Es posible tener
más de un medio principal cuando la cantidad de datos en el almacén remoto es demasiado grande para
ajustarse a una cinta). Para especificar el número de conjuntos de copias de medios que se desean, hay que
seguir estos pasos:
1. Se pulsa el botón derecho sobre la raíz de Almacenamiento remoto en el árbol de consola de

Almacenamiento remoto y se elige Propiedades en el menú de contexto.
2. Se pulsa sobre la ficha Copias de medio y después se especifica el número de conjuntos de copias de
medios que se desea crear para cada conjunto de medios principales (hasta un máximo de tres).
Si se decide que no son necesarios tantos conjuntos de copias de medios como se pensó
originalmente, se puede decrementar el número de conjuntos que muestra Almacenamiento
remoto y acceder según lo descrito. Sin embargo, nótese que hacer esto no quita la
asignación de ningún medio. Si se desea liberar algún medio, hay que eliminarlo de la copia
de medios, tal y como se describe en la sección siguiente.

Capítulo 7
Cómo eliminar y verificar el estado de copias de medio Si ya no va a hacer falta la copia de medios o se
desea verificar si la copia de medios está funcionando correctamente (es decir, para ver si se tiene una cinta
errónea), hay que eliminar o verificar las copias de medios. No sólo hay que reducir el número de copias
admitidas por Almacenamiento remoto. Para eliminar o verificar el estado de una copia de medio, hay que
seguir estos pasos:
1. Se selecciona la carpeta Medio en el árbol de la consola de Almacenamiento remoto.

2. Se pulsa el botón derecho sobre el medio principal que está asociado a la copia de medio que se
desea eliminar o verificar y después se elige Copias de medio en el menú de contexto.
3. Se visualiza la información de las copias de medios y después se pulsa el botón Eliminar copia
correspondiente, para todas las copias de medio que se deseen eliminar.
Sincronización de copias de medio Sincronizar copias de medios es tan sencillo que parece ridículo. Sólo
hay que abrir el complemento de MMC Almacenamiento remoto, pulsar el botón derecho sobre Medio en el
árbol de consola y después elegir Sincronizar copias de medios en el menú de contexto. Aparecerá el
Asistente para la sincronización de medios; esto nos llevará a lo largo del resto del proceso.
No se pueden hacer llamadas o copiar datos al almacén remoto mientas se sincronizan las
copias de medios. Por lo tanto, se deben sincronizar las copias de medio fuera de horas.
Cómo volver a crear una copia principal en caso de desastre: Si el medio principal está dañado o se ha
perdido, se puede volver a crear a partir de una copia de medio sincronizada de forma reciente. Nótese que
se perderán todos los datos que se hayan migrado al almacén remoto tras la última vez que se sincronizó la
copia del medio, a menos que la caché local de los datos no se haya eliminado todavía. Los pasos siguientes
se deben seguir sólo si se experimentan errores:
1. Hay que asegurarse de que haya medios suficientes disponibles en la cola de almacenamiento remoto
o en la cola de medios libres y después abrir la carpeta Medios del árbol de la consola de
2. Se pulsa el botón derecho sobre la copia de medio sincronizada de forma más reciente y después se
escoge Copias de medios en el menú de contexto.
3. Se pulsa la ficha Recuperación y después se pulsa Volver a crear copia principal.
Recuperación de un desastre: Los desastres ocurren. Los servidores se caen. Las unidades fallan. Son
hechos. Sin embargo, si se está preparado de antemano, se puede reducir el impacto negativo del desastre
cuando éste golpee.
Pueden darse unos pocos tipos distintos de desastres con Almacenamiento remoto y existen unas pocas
formas de recuperarse de ellos. Si el disco duro falla, hay que restaurar los archivos almacenados de forma
local a partir de las copias de seguridad que se mantienen religiosamente, pero hay que tener cuidado de no
realizar la operación de validación de Almacenamiento remoto hasta que se hayan restaurado todas las
copias de seguridad incrementales o diferenciales. Cuando no se vea afectada la base de datos de
Almacenamiento remoto guardada en la carpeta %RaízDeSistema%\System32\RemoteStorage, no es

Capítulo 7
necesario hacer nada más que realizar la validación para limpiar cualquier problema de las reservas de sitio.
Si el disco duro que guarda Windows 2000 falla, hay que restaurar el sistema a partir de una copia de
seguridad. El sistema debe funcionar normalmente; sin embargo, podría verse el siguiente error cuando se
llame a un archivo almacenado de forma remota:
Camino\nombrearchivo.doc. El sistema no puede acceder al archivo.
Si se experimenta este error, véase el artículo Q235469 de la Base de conocimiento y realícese el

procedimiento Restauración de una base de datos RSS dañada.
Si es necesario realizar una limpieza y reinstalar Windows 2000, la mejor solución es llamar primero a
todos los datos del almacén remoto. Sin embargo, si ocurre un desastre que impide volver a llamar a los
datos y no se puede restaurar el sistema a partir de una copia de seguridad, hay que realizar un
procedimiento especial para restaurar la base de datos de Almacenamiento remoto a partir del medio de
Almacenamiento remoto, tras la reinstalación de Windows 2000. Para ver cómo realizar este procedimiento,
véase el artículo Q235469 de la Base de conocimiento. Si se ve cualquiera de los siguientes mensajes de
error cuando se accede a Almacenamiento remoto, véase el artículo Q235032 de la Base de conocimiento:
● Copia de seguridad no puede conectar con Almacenamiento remoto. Este servicio es necesario para
usar las unidades de cinta y otros dispositivos de copia de seguridad.
● Almacenamiento remoto: Ha fallado la ejecución del servidor.
● Ha fallado la carga de la base de datos de almacenamiento remoto. Verificar el visor de sucesos.
Carpetas Compartidas
En Windows 2000 se pueden administrar las carpetas compartidas de dos formas. Se puede pulsar el botón
derecho sobre una carpeta en el Explorador de Windows y escoger Compartir en el menú de contexto o se
puede usar el complemento de MMC Carpetas compartidas. El complemento de MMC Carpetas
compartidas proporciona una forma de visualizar todos los archivos compartidos a la vez, junto con las
conexiones actuales a los archivos abiertos. El Explorador de Windows no.
Para usar la herramienta Carpetas compartidas, hay que seguir estos pasos:
1. Se abre el complemento de MMC Administración de equipos en la carpeta Herramientas

administrativas del menú Inicio o se introduce %RaízDeSistema%\System32\ Compmgmt.msc
en el cuadro de diálogo Ejecutar o en una línea de órdenes.
2. Se expande la carpeta Carpetas compartidas en el árbol de consola.
3. Hay que usar las carpetas Recursos compartidos, Sesiones, y Archivos abiertos para visualizar los
archivos compartidos del sistema que se está administrando y ver cuánta actividad están
acumulando.
Configuración de Carpetas compartidas

Capítulo 7
Windows 2000 facilita compartir una carpeta o volumen en el sistema con otros usuarios de la red
corporativa. Sólo hay que seguir estos pasos:
1. En la consola
Administración de
equipos, se abre la carpeta
Carpetas compartidas en
el árbol de la consola.
2. Se pulsa el botón derecho
sobre la carpeta Recursos
compartidos y se elige
Nuevo recurso
compartido de archivo en
el menú de contexto.
3. En el cuadro de diálogo
Crear carpeta compartida
se pulsa el botón Explorar
para localizar o crear la
carpeta que se desea
compartir.
4. Se introduce el nombre que se desea dar al recurso compartido de archivo. Este nombre debe ser
perfectamente compatible con DNS y NetBIOS para una mejor interacción con los clientes de bajo
nivel y no Microsoft.
5. Se introduce una descripción para el recurso compartido en el cuadro Descripción del recurso y
después se pulsa Siguiente.
6.
Opcionalmente, se pueden especificar los permisos Nivel de recurso compartido y después se pulsa
Finalizar.

Capítulo 7
Se recomienda que se implementen los

permisos a nivel de archivos NTFS en
lugar de los permisos a nivel de
recurso compartido. El uso de
permisos a nivel de recurso
compartido no suele ser lo bastante
seguro en la mayoría de los casos, y el
uso de ambos introduce un nivel de
complejidad inaceptable.
Sin embargo, existen algunas

excepciones para esta regla; por
ejemplo, puede que se desee permitir a
todos los usuarios acceso a un
volumen en una determinada
subcarpeta, pero permitir sólo a un
determinado grupo el acceso al
directorio raíz. (Los administradores siempre pueden acceder a la carpeta raíz de una
unidad conectando el recurso compartido oculto de la unidad, por ejemplo, C$). En este
caso, podrían crearse dos recursos compartidos de archivo: uno para el nivel de la
subcarpeta sin seguridad de recurso compartido y uno para la carpeta raíz con seguridad a
nivel de recurso compartido, permitiendo el acceso sólo al grupo especificado.
Algo aún más útil es la posibilidad de ocultar los recursos compartidos de archivo añadiendo
un carácter signo dólar ($) al final del nombre del recurso compartido. Esta notación
permite a cualquier usuario conectarse al recurso compartido -suponiendo que él o ella
conoce el nombre del recurso compartido-. Una vez que los usuarios se conecten, todavía
están ligados a los permisos de seguridad de NTFS, pero esto puede ser práctico para
almacenar potentes herramientas muy útiles a las que los administradores quieran poder
acceder desde un sistema de usuario y con una cuenta de usuario. La seguridad de archivos
realmente no es el problema; lo único que no queremos es que los usuarios pierdan el tiempo
con los archivos.
Cómo dejar de compartir una carpeta
Para dejar de compartir una carpeta en la red, hay que seguir estos pasos:

Capítulo 7
1. En la consola
Administración
de equipos, se
abre la carpeta
Carpetas
compartidas en el
árbol de la
consola y después
se abre la
subcarpeta
Recursos
compartidos.
2. Se pulsa el botón
derecho sobre la
carpeta
compartida que
se desea dejar de
compartir y se
elige Dejar de compartir en el menú de contexto.
3. Se pulsa Aceptar.
Cómo desconectar usuarios
Si es necesario desconectar usuarios del servidor por alguna razón (digamos para cerrar el servidor mientras
se actualizan los archivos), hay que seguir estos pasos:
Hay que ser deferente con los usuarios y avisarles antes de desconectarlos. La desconexión
de un usuario que está trabajando puede ocasionar la pérdida de datos y los malestares
consecuentes.
1. Se abre Carpetas compartidas en la consola Administración de equipos y después se abre la

subcarpeta Sesiones.

Capítulo 7
2. Se pulsa el botón derecho sobre el

usuario que se desea desconectar y se
elige Cerrar sesión en el menú de
contexto.
3. Para desconectar todas las sesiones, se
pulsa el botón derecho sobre la carpeta
Sesiones y se elige Desconectar todas
las sesiones en el menú de contexto.
4. Para cerrar un archivo abierto, se pulsa
sobre la carpeta Archivos abiertos, se
pulsa el botón derecho sobre el archivo
que se desea cerrar y después se elige
Cerrar archivo abierto en el menú de
contexto.
5. Para cerrar todos los archivos abiertos,
se pulsa el botón derecho sobre la
carpeta Archivos abiertos y se elige
Desconectar todos los archivos abiertos
en el menú de contexto.
Propiedades de los Recursos compartidos
Para ver las propiedades de los recursos

compartidos abrimos Carpetas compartidas en la consola Administración de equipos y después se abre la
subcarpeta Recursos compartidos. Si pulsamos el botón Propiedades aparecen tres pestañas.
Pestaña General
Aparece el nombre del recurso, la ruta y la descripción, único elemento que se puede modificar en esta
pantalla.
● Límite de usuarios: Se puede limitar el número de conexiones de usuarios simultáneas que se desea
permitir para una carpeta compartida, de forma que una determinada carpeta compartida no
sobrecargue al servidor con conexiones de usuario.
❍ Máximo permitido: Si mantenemos seleccionada esta opción se podrán conectar al servidor
el número de usuarios establecido en las licencias del servidor

Capítulo 7
❍ Permitir: Se debe seleccionar y

establecer un límite de usuarios
si no se quiere que se
sobrecargue el servidor con
conexiones de usuario.
Windows 2000 Professional admite un

máximo de diez usuarios simultáneos.
Pestaña Permisos de los recursos compartidos
Como norma general no hay que usar los

permisos a nivel de recurso compartido en la
mayoría de los casos, a menos que no se esté
usando la seguridad a nivel de archivos de
NTFS. Los permisos a nivel de recurso
compartido permiten o deniegan el acceso a
una carpeta compartida dependiendo del grupo
de usuarios del que se es miembro y de las
opciones de seguridad del recurso compartido
de archivo. La seguridad a nivel de archivo,
por otro lado, tiene un nivel de control mucho
más fino, proporcionando la posibilidad de
conceder o denegar a usuarios y grupos la posibilidad de realizar un amplio rango de acciones, tanto para
carpetas como para archivos individuales. Debido a que los permisos NTFS se suelen usar en situaciones en
las que la seguridad es importante, generalmente no se recomiendan los permisos a nivel de recurso
compartido. Sin embargo, se puede hacer, y por lo tanto, aquí está cómo. (También se pueden cambiar
permisos NTFS usando este procedimiento, lo que es bastante cómodo).
Configuración de recursos compartidos Web
Si se ha instalado IIS en el sistema, se tiene la posibilidad de compartir cualquier carpeta en el sistema con
todos los usuarios Web de la Intranet que puedan acceder al servidor. Normalmente, los recursos
compartidos Web se instalan con IIS, pero también se puede hacer rápidamente usando el Explorador de
Windows. Hay que seguir estos pasos:

Capítulo 7
1. Se abre el Explorador de Windows, se

pulsa el botón derecho sobre la carpeta
o unidad que se desea compartir en el
Web y se elige Propiedades en el menú
de contexto.
2. Se pulsa sobre la ficha Uso compartido
de Web.
3. Se elige el sitio Web en el que se desea
compartir la carpeta en la lista
desplegable Compartir en.
4. Se selecciona la opción Compartir esta
carpeta y después, en el cuadro de
diálogo que aparece, Modificar alias, se
introduce el nombre de la carpeta que se
desea usar para el recurso compartido.
Nótese que el alias que se introduce se
anexa al nombre del sitio Web:
http://miservidor.micompañia.com/alias.
5. Se fijan los permisos de acceso para la
carpeta seleccionando los cuadros de
verificación de la sección Permisos de
acceso del cuadro de diálogo. (Es
importante fijar estos permisos de
acceso, especialmente si el servidor está visible en Internet).
6. Las opciones Permisos de la aplicación se usan para escoger el nivel de permisos que se desea
conceder a las aplicaciones para esta carpeta, y después se pulsa Aceptar.

Capítulo 8
Capítulo 8
La gestión del servicio de directorio Active Directory es una parte importante del proceso de
administración de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas
que se proporcionan para este propósito. Casi todas las herramientas utilizan complementos de Microsoft
Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa
Herramientas administrativas del menú Inicio incluye algunos complementos, pero para el
funcionamiento diario se deberán añadir otros manualmente mediante la función Agregar complemento
de la MMC.
Se descubrirá que algunas de las herramientas de administración de Active Directory son programas que
se ejecutan cada día, mientras que otras solo son necesarias durante la instalación de Active Directory a
ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de
administración de Active Directory son los siguientes:
● Asistente para instalación de Active Directory crea controladores de dominio, nuevos

dominios, árboles y bosques.
● Dominios y confianzas de Active Directory cambia el modo del dominio, gestiona las relaciones
de confianza entre dominios y configura los sufijos del nombre principal de usuario (UPN).
● Usuarios y equipos de Active Directory crea, gestiona y configura los objetos Active Directory.
● Sitios y servicios de Active Directory crea y configura sitios dominio y gestiona el proceso de
replica del controlador de dominio.
● Esquema de Active Directory modifica el esquema que define los objetos y propiedades de
Active Directory.
Además de los complementos MMC, Microsoft Windows 2000 Server incluye utilidades independientes
para importar y exportar información a y desde Active Directory.
Asistente para la instalación de Active Directory
A diferencia de la versión 4 y anteriores de Microsoft Windows NT Server, Windows 2000 Server no

permite designar un sistema como controlador de dominio durante la instalación del sistema operativo.
Cada servidor de Windows 2000 se instala como un sistema independiente o un miembro de un dominio.
Cuando la instalación esta completa se puede promocionar al servidor al estado de controlador de
dominio utilizando el Asistente para instalación de Active Directory de Windows 2000. Esta herramienta
proporciona una gran flexibilidad adicional a los administradores de Active Directory porque los
servidores se pueden promover o degradar en cualquier momento, mientras que los servidores Windows
NT 4 se designan irrevocablemente como controladores de dominio durante el proceso de instalación.

Capítulo 8
Algo que también ha desaparecido es la distinción entre controladores principales de dominio y

controladores de dominio de reserva. Los controladores de dominio Windows 2000 son todos parejos en
un sistema de replica con múltiples maestros. Esto significa que los administradores pueden modificar
los contenidos del árbol de Active Directory de cualquier servidor que funcione como controlador de
dominio. Esto es un avance muy importante desde el sistema de replica de un solo maestro de Windows
NT 4, en el cual un administrador sólo puede cambiar el controlador principal de dominio (PDC, Primary
Domain Controller) para que después los cambios se repliquen a todos los controladores de dominio de
reserva (BDC, Backup Domain Controller).
Otra ventaja de Windows 2000 es que se puede utilizar el Asistente para instalación de Active Directory
para degradar un controlador de dominio de nuevo a un servidor independiente o miembro.
En Windows NT 4, una vez que se instala un servidor come controlador de dominio, es posible
degradarlo de PDC a BDC, pero no se puede eliminar su estado de controlador de dominio
completamente, excepto reinstalando el sistema operativo.
La función básica del Asistente para instalación de Active Directory es configurar un servidor para que
funcione come controlador de dominio, pero dependiendo del estado actual de Active Directory en la red,
esta tarea puede tomar distintas formas. Si se instala el primer Windows 2000 Server de la red, antes de
la promoción del sistema a controlador de dominio crea un Active Directory completamente nuevo con
esa computadora alojando el primer dominio del primer árbol del primer bosque.
Preparación de la instalación
Para promover Windows 2000 Server a controlador de dominio, primero hay que completar todo el
proceso de instalación del sistema operativo. Después del ultimo reinicio, hay que iniciar sesión en la
maquina utilizando una cuenta de administrador.
NTFS 5
Para alojar Active Directory, el servidor debe tener una partición NTFS 5. NTFS 5 es una versión
actualizada del sistema de archives introducido en el primer lanzamiento de Windows NT. Cuando se
crean nuevas particiones NTFS durante una instalación de Windows 2000 o se actualizan las particiones
NTFS existentes creadas con versiones anteriores de Windows NT, el sistema utiliza NTFS 5. Si se opta
por instalar Windows 2000 en un sistema con solo particiones FAT, se debe convertir al menos una
partición a NTFS antes de poder utilizar el Asistente para instalación de Active Directory. Esto se puede
hacer utilizando la utilidad Convert.exe desde el símbolo del sistema o la pantalla Administración de
discos del complemento Administración de equipos de MMC.
La conversión de la partición de inicio de Windows 2000 (la partición en la que se instaló

Windows 2000) requiere reiniciar el sistema. Como la conversión no se puede hacer en
realidad mientras esté cargado el GUI de Windows 2000, se utiliza un indicador del

Capítulo 8
registro para programar la conversión y que tenga lugar la próxima vez que se reinicie la
maquina. Después se puede volver a cargar el Asistente para instalación de Active
Directory y comenzar la secuencia de instalación de nuevo.
Servidor DNS
El ultimo requisito para instalar Active Directory es que el servidor tenga acceso a un servidor DNS.
Active Directory utiliza el DNS para almacenar información sobre los controladores de dominio de la
red. Los sistemas cliente localizan un controlador de dominio para la autenticación mediante el envío de
una petición al servidor DNS identificado en sus configuraciones TCP/IP cliente. El servidor DNS que
utiliza Active Directory ni necesita estar ejecutándose en el equipo que se va a convertir en un
controlador de dominio, ni tiene que ejecutar el servicio DNS de Microsoft. Sin embargo, el servidor
DNS que se utilice debe soportar el registro de recursos Localización de servicios definido en el
documento RFC 2052 y el protocolo de Actualización dinámica definido en la RFC 2136.
Las peticiones de comentarios (RFC, Request For Comments) son los documentos de
especificación del TCP/IP publicados por el Grupo de trabajo de ingeniería de Internet
(IETF, Internet Engineering Task Force). Todos los documentos son de dominio publico y
se pueden consultar en http://www.rfc-editor.org.
Si no hay disponible en lo red un servidor DNS que soporte las nuevas características, el asistente se
ofrecerá a instalar y configurar Microsoft DNS Server en el sistema automáticamente. Se puede rechazar
la oferta a instalar un servidor DNS en otro sistema, pero el nuevo servidor debe ser capaz de acceder al
servidor DNS para poder instalar Active Directory y promover el sistema a controlador de dominio.
Si la red utiliza actualmente servidores DNS fuera del sitio para la resolución de nombres.
Como los proporcionados por el proveedor de servicios Internet (ISP, Internet Service
Provider), se debería instalar por lo menos un nuevo servidor DNS en la red local para
dar soporte a Active Directory. Aunque los servidores DNS del ISO podrían soportar el
registro de recursos Localización de servicios y el protocolo Actualización dinámica, es
poco probable que los servidores Windows 2000 que se dispongan estén autorizados para
actualizar dinámicamente los registros del servidor DNS del ISP E incluso si se
permitiera, no resulta practico para los sistemas cliente atravesar un enlace WAN para
solicitar información sobre recursos locales.
Instalación del Primer controlador de dominio
Siguiendo el patrón de un asistente estándar, la instalación de Active Directory en un servidor es una

cuestión de responder a las solicitudes en una secuencia de pantallas. Windows 2000 incorpora vínculos
al asistente en la página de Active Directory de la página principal de Configurar el servidor de Windows
2000. Esta página se muestra en el explorador Microsoft Internet Explorer automáticamente después de
la instalación del SO. Esta página Web local esta diseñada para guiar al administrador a través de los

Capítulo 8
procesos necesarios para configurar un nuevo servidor mediante preguntas al estilo de los asistentes y
vínculos a las herramientas apropiadas para cada tarea.
Para instalar el Primer controlador deberemos seguir los siguientes pasos:
1. Iniciar la Herramienta
Configuración del
Servidor desde el menú de
Herramientas
Administrativas. Los
usuarios que sean nuevos
en Windows 2000, esta
página Web funciona como
una combinación de
minitutorial y una lista de
comprobación de los
procedimientos de
configuración del servidor.
Los usuarios mas
avanzados pueden saltarse
la Página Web de
configuración a iniciar el
asistente directamente
ejecutando el archivo
ejecutable Dcpromo.exe desde el cuadro de dialogo Ejecutar. Los usuarios también pueden
ejecutar el archivo desde el símbolo del sistema después de iniciar sesión por medio de la cuenta
de administrador local. Dcpromo.exe se encuentra en la carpeta %SystemRoot%\System32, lo que
permite ejecutarlos desde cualquier carpeta sin especificar una ruta de acceso.
Cuando se actualiza un controlador principal de dominio Windows NT 4 a Windows 2000 Server,
el sistema ejecuta automáticamente el Asistente para instalación de Active Directory después de
que termine la instalación del sistema operativo.
2. Tipo de Controlador de Dominios: Después de una pantalla de bienvenida, el Asistente para

Capítulo 8
instalación pregunta sobre

la acción que se va a
realizar, basándose en el
estado actual de Active
Directory en el sistema. Si
el servidor ya es un
controlador de dominio, el
asistente solo proporciona
la opción de degradar el
sistema de nuevo a
servidor independiente o
miembro. En un equipo
que no es un controlador
de dominio, el asistente
muestra la pantalla Tipo de
controlador de dominios, la
cual pide que se seleccione
una de las siguientes
opciones:
● Controlador de dominio para un nuevo dominio: Instala Active Directory en el servidor
y lo designa como el primer controlador de dominio de un nuevo dominio.

● Controlador de dominio adicional para un dominio existente: Instala Active Directory
en el servidor y replica la información del directorio desde un dominio existente.
Para instalar el primer servidor Active Directory en la red, se selecciona la opción Controlador
de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de
Active Directory, cree el nuevo dominio y lo registre en el DNS .

Capítulo 8
3. Crear árbol o dominio

secundario. Deberemos
elegir el tipo de dominio
que queremos configurar
de las dos opciones que se
presentan en el siguiente
cuadro
● Crear un nuevo
árbol de dominios:
Configura el nuevo
controlador de
dominio pare que
aloje el primer
dominio de un
nuevo árbol.
● Crear un nuevo
dominio
secundario en un
árbol de dominios
existente: Configura el nuevo controlador de dominio pare que aloje un hijo de un
dominio de un árbol que ya existe.
Como este va a ser el primer servidor Active Directory de la red, se debería escoger Crear un
nuevo árbol de dominios.
4. Crear o unir bosque, que permite especificar una de las siguientes opciones:
● Crear un nuevo bosque de árboles de dominios: Configure el controlador de dominio
pare que sea la raíz de un nuevo bosque de árboles.

● Situar este nuevo árbol de dominios en un bosque existente: Configure el controlador
de dominio pare que aloje el primer dominio de un nuevo árbol en un bosque que ya
contiene uno o más árboles.

Capítulo 8
En este caso hay que

seleccionar Crear un
nuevo bosque de árboles
de dominios, porque el
primer controlador de
dominio Windows 2000 de
la red será siempre un
nuevo dominio, en un
nuevo árbol, en un nuevo
bosque. A medida que se
instalen controladores de
dominio adicionales, se
pueden utilizar estas
mismas opciones para
crear otros bosques nuevos
o para poblar el bosque
existente con árboles y
dominios adicionales.
5. Nombre de nuevo Dominio: Para identificar el controlador de dominio en la red se debe

especificar un nombre DNS valido para el dominio que se esta creando.
Este nombre no tiene por que ser el mismo que el del dominio que utiliza la empresa para su
presencia en Internet (aunque puede serlo). El nombre tampoco tiene que estar registrado en el
Centro de información de redes de Internet (InterNIC, Internet Network información), la
organización responsable de mantener el registro de los nombres DNS en los dominios de nivel
superior com, net, org y edu. Sin embargo, el use de un nombre de dominio registrado es una
buena idea si los usuarios de la red van a acceder a los recursos de Internet al mismo tiempo que a
los recursos de red locales, o si los usuarios externos a la organización accederán a los recursos de
red locales vía Internet.

Capítulo 8
Cuando los usuarios

acceden a los recursos de
Internet al mismo tiempo
que a los recursos de la red
Windows 2000, existe la
posibilidad de que un
nombre de dominio no
registrado entre en
conflicto con un dominio
de Internet registrado que
utilice el mismo nombre.
Cuando los usuarios de
Internet tengan permiso
para acceder a los recursos
de la red utilizando
protocolos estándar de la
capa de aplicación como
HTTP y FTP, puede surgir
alguna confusión si los
usuarios internos y los externos deben utilizar diferentes nombres de dominio.
6. Nombre de dominio NetBIOS: Después de introducir un nombre DNS para el dominio, el
sistema solicita un equivalente NetBIOS para el nombre del dominio para que los utilicen los
clientes que no soporten Active Directory. Los sistemas Windows 2000 todavía utilizan el espacio
de nombres NetBIOS para sus nombres de equipo, pero Active Directory utiliza la nomenclatura
DNS para los dominios. Windows NT 4 y los sistemas Microsoft Windows 9x utilizan nombres
NetBIOS para todos los recursos de la red, incluyendo los dominios.
Si se dispone de clientes de nivel inferior en la red (esto es, Windows NT 4, Windows 9x,
Microsoft Windows para Trabajo en grupo o Cliente de red Microsoft para sistemas MS-DOS),
estos solo serán capaces de ver el nuevo dominio por medio del nombre NetBIOS. La pantalla
Nombre de dominio NetBIOS contendrá una sugerencia para el nombre, basándose en el nombre
DNS especificado, qua se puede utilizar o bien se puede reemplazar con un nombre qua se elija
qua tenga 15 caracteres o menos.

Capítulo 8
7. Después de especificar los

nombres de dominio, el
asistente solicita las
ubicaciones de la base de
datos, los archivos de
registro y el volumen del
sistema de Active
Directory. La base de datos
de Active Directory
contendrá los objetos
Active Directory y sus
propiedades, mientras qua
los archivos de registro
registran las actividades
del servicio de directorio.
Los directorios para estos
archivos se especifican en
la pantalla ubicación de la
base de datos. La ubicación
predeterminada tanto para la base de datos como para los registros es la carpeta
%SystemRoot%\Ntds del volumen del sistema, pero se pueden modificar esas ubicaciones como
sea necesario; de hecho, probablemente se debería, para no tener todos los directorios en la misma
cesta.
8. La pantalla Volumen del sistema compartido permite especificar la ubicación de lo qua se
convertirá en el recurso compartido Sysvol del controlador de dominio. El volumen del sistema es
un recurso compartido que contiene información del dominio que se replica al resto de
controladores de dominio de la red. De forma predeterminada, el sistema crea este recurso
compartido en la carpeta %SystemRoot%\Sysvol en la unidad de disco del sistema.

Capítulo 8
La base de datos, los

registros y el volumen del
sistema de Active
Directory tiene que situarse
en volúmenes que utilicen
el sistema de archivos
NTFS 5. Si el asistente
detecta que alguno de los
volúmenes escogidos no
utiliza NTFS 5, habrá que
convertirlos o seleccionar
otro volumen antes de
poder completar el proceso
de instalación de Active
Directory.
Como Active Directory
escribe a menudo en la
base de datos y en los
registros al mismo tiempo,
Microsoft recomienda no almacenarlos en el mismo disco duro. Esto no es una cuestión
demasiado importante en un único controlador de dominio a otra red pequeña, pero en una red
empresarial con frecuentes actualizaciones del servicio de directorio y muchos controladores de
dominio replicando sus bases de datos, la carga del almacenamiento de información puede ser
significativa, por lo que se recomienda encarecidamente la utilización de discos independientes.
La recomendación de situar los archivos de la base de datos y de registro indica la utilización de
discos duros independientes, no distintos volúmenes de la misma unidad de disco. Esto se debe a
que las restricciones físicas del mecanismo de desplazamiento de las cabezas del disco pueden
ser responsables de la reducción del rendimiento del disco. Las cabezas de una única unidad de

Capítulo 8
disco no pueden estar en

dos posiciones al mismo
tiempo, por lo que el
dispositivo debe realizar
escrituras en la base de
datos o en los registros de
forma consecutiva. Cuando
los archivos se almacenan
en discos independientes,
las escrituras puede
realizarse
simultáneamente. también
es preferible utilizar
unidades SCSI para este
propósito en lugar de las
EIDE, porque SCSI es más
adecuado para ejecutar
comandos simultáneos en
múltiples dispositivos.
9. Instalación de DNS: En este punto, el Asistente para instalación de Active Directory tiene toda la
información de configuración necesaria para instalar Active Directory y promover el servidor a
controlador de dominio. El sistema comprueba que los nombres de dominio suministrados no los
utiliza ya en servidor DNS a otros equipos de la red. Si, por ejemplo, el nombre NetBIOS
seleccionado ya lo esta utilizando un dominio Windows NT 4 en la red, el asistente pide que se
seleccione otro nombre.
10. El asistente también determina si el servidor DNS que alojara el dominio soporta el protocolo de
Actualización dinámica. Si el sistema no puede contactar con el servidor DNS especificado en la
configuración TCP/IP cliente del equipo, o si el servidor DNS especificado no es capaz de dar
soporte a un dominio Windows 2000, el
asistente se ofrece a instalar Microsoft
DNS Server y configurarlo para que
funcione como servidor autorizado para
el dominio. La pantalla Configurar DNS
permite especificar si se desea instalar el
servidor DNS o configurar uno
personalmente. Si se opta por utilizar
otra maquina para el servidor DNS, es
preciso instalarlo y configurarlo antes de
poder completar la instalación de Active
Directory.
11. Finalización de la instalación de
Active Directory: Después de que el
asistente contacte con el servidor DNS que proporcionara el servicio localizador para el nuevo

Capítulo 8
dominio, se completa la instalación y configuración de Active Directory sin mas introducción de

datos por parte del usuario. El asistente registra todas las actividades que se producen durante el
proceso de instalación en dos archivos llamados Dcpromo.log y Dcpromoui.log, localizados en la
carpeta %SystemRoot%\debug. La instalación puede durar varios minutos, después de lo cual hay
que reiniciar el sistema para que tengan efecto los cambios. El asistente crea una cuenta de
administrador para el nuevo dominio utilizando la misma contraseña que tiene la cuenta de
administrador local con la que se ha iniciado sesión antes de iniciar la instalación de Active
Directory.
Instalación de un Controlador de dominio de Réplica
Las replicas proporcionan tolerancia a fallos en un dominio Active Directory, y pueden reducir el trafico
entre redes permitiendo a los clientes de la red autenticarse utilizando un controlador de dominio en el
segmento local. Cuando un controlador de dominio no funciona correctamente o no esta disponible por
algún motivo, sus replicas asumen automáticamente sus funciones. Incluso un dominio pequeño necesita
al menos dos controladores de dominio para mantener esta tolerancia a fallos.
Para crear una réplica de un dominio existente, hay que ejecutar el Asistente para instalación de Active
Directory en un Windows 2000 Server recién instalado después de unirse al dominio que se trata de
replicar. En el equipo que se une al dominio, se puede realizar la unión por primera vez y suministrar las
credenciales administrativas que permiten al sistema crear un objeto equipo en el dominio, o bien se
puede crear el objeto equipo manualmente por medio de Usuarios y equipos de Active Directory.
Después de unirse al dominio, hay que iniciar sesión en el sistema utilizando la cuenta de administrador
local y ejecutar el asistente desde la página Configurar el servidor o ejecutando Dcpromo.exe desde el
cuadro de dialogo Ejecutar.

Capítulo 8
Cuando aparece la pantalla Tipo

de controlador de dominios en el
asistente, hay que seleccionar
Controlador de dominio
adicional para un dominio
existente y especificar el nombre
DNS del dominio que se va a
replicar. Después hay que
suministrar el nombre de usuario,
la contraseña y el nombre de
dominio de una cuenta con
privilegios administrativos en el
dominio.
El asistente instala Active

Directory en el servidor, crea la
base de datos, los registros y el
volumen del sistema en las
ubicaciones especificadas, registra
el controlador de dominio en el servidor DNS y replica la información de un controlador de dominio para
ese dominio existente.
Una vez que la replica del controlador de dominio esta en funcionamiento, no es distinguible del
controlador de dominio existente, al menos en lo que concierne a la funcionalidad de los clientes. Las
replicas funcionan como parejos, a diferencia de los servidores Windows NT, que están designados como
controladores de dominio principales o de reserva. Los administradores pueden modificar el contenido de
Active Directory (tanto los objetos como el esquema) de cualquier controlador de dominio, y los cambios
se replicaran al resto de controladores de dominio de ese dominio.
Cuando se crea una replica, el Asistente para instalación de Active Directory configura automáticamente
el proceso de replica entre los controladores de dominio. Se puede personalizar el pro-
ceso de replica utilizando Sitios y servicios de Active Directory, que se incluye en Windows 2000
Server.
Creación de un dominio secundario en un árbol existente
Cuando se crea el primer dominio Windows 2000 de la red, también se esta creando el primer árbol del
bosque. Se puede poblar el árbol a medida que se crean dominios adicionales haciéndolos secundarios de
dominios existentes. Un dominio secundario es uno que utiliza el mismo espacio de nombres que un
dominio principal. Este espacio de nombres se establece por el nombre DNS del dominio principal, al
cual el secundario añade un nombre precedente para el nuevo dominio. Por ejemplo, si se crea un

Capítulo 8
dominio llamado Miempresa.com, un secundario de ese dominio podría llamarse algo así como
Investigacion.miempresa.com. Por regla general, los dominios secundarios reflejan las divisiones
geográficas, departamentales o política de una organización, pero se puede utilizar cualquier principio
para el diseño del árbol que se desee. Un dominio principal puede tener cualquier numero de secundarios,
y la estructura del árbol puede
extenderse a través de cualquier
numero de generaciones, lo que
permite utilizar un único espacio
de nombres para crear un árbol de
dominios que refleje la estructura
de toda la organización.
Para instalar Active Directory y

crear un dominio secundario:
1. Unir el Windows 2000

Server en el que se desea
crear el Dominio
secundario al dominio
principal suministrando las
credenciales
administrativas o creando
manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active
Directory.
2. Iniciar sesión en el sistema utilizando la cuenta de administrador local
3. Ejecutar el Asistente para instalación de Active Directory desde la página Configurar el servidor o
ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.
Un dominio secundario no es una replica; es un dominio completamente independiente situado en
el mismo árbol. Por lo tanto, cuando el asistente muestra la pantalla Tipo de controlador de
dominios, hay que seleccionar Controlador de dominio para un nuevo dominio. En el cuadro de
dialogo Crear árbol o dominio secundario, hay que seleccionar Crear un nuevo dominio

Capítulo 8
secundario en un árbol de
dominios existente. El
asistente solicita a
continuación el nombre
DNS del dominio que ha
de ser el principal del
secundario. Después de
suministrar esto, hay que
especificar el nombre corto
para el dominio
secundario. El nombre
corto es el nombre que se
añadirá al nombre DNS del
dominio principal para
formar el nombre completo
del dominio secundario.
Por ejemplo, para crear un
dominio secundario
llamado
Investigacion.miempresa.com, se especifica Miempresa.com como nombre del dominio principal
a investigación como nombre corto del secundario.
4. Al igual que durante la creación del primer dominio del árbol, hay que proporcionar un nombre
NetBIOS para el nuevo dominio de no mas de 15 caracteres. En el ejemplo anterior, el dominio
podría llamarse Investigación. también hay que suministrar las credenciales de una cuenta que
tenga privilegios administrativos en el dominio principal. Después, el asistente completa la
instalación de Active Directory y pide que se reinicie el sistema.
Creación de un nuevo árbol en un bosque existente
Además de crear dominios secundarios en un árbol Active Directory, también se pueden crear árboles
completamente nuevos, formando de este modo un bosque. Cada árbol de un bosque tiene su propio
espacio de nombres independiente, pero todos los árboles comparten el mismo esquema y configuración.
Si, por ejemplo, se modifica el esquema para añadir atributos personalizados a un objeto particular de un
árbol, estos atributos estarán presentes en el mismo tipo de objeto del resto de los árboles del bosque.

Capítulo 8
Antes de crear un nuevo árbol en

un bosque existente, el nuevo
Windows 2000 Server debe unirse
al dominio raíz de ese bosque. El
dominio raíz es el primer dominio
creado en el bosque y el sistema
se une a ese dominio iniciando
sesión en el y especificando las
credenciales de una cuenta
administrativa en el dominio o
creando manualmente un objeto
equipo en el dominio por medio
de Usuarios y equipos de Active
Directory.
Una vez que el equipo posee una

cuenta en el dominio raíz del
bosque, se puede ejecutar el
Asistente para instalación de
Active Directory desde la pantalla Configurar el servidor o ejecutar Dcpromo.exe desde el cuadro de
dialogo Ejecutar. Cuando aparece el cuadro de dialogo Tipo de controlador de dominio hay que
seleccionar Controlador de dominio para un nuevo dominio. Después hay que seleccionar Crear un
nuevo árbol de dominios en el cuadro de dialogo Crear árbol o dominio secundario y seleccionar Situar
este nuevo árbol de dominios en un bosque existente en el cuadro de dialogo Crear o unir bosque.
Para crear el nuevo árbol, primero hay que especificar el nombre DNS del dominio raíz del bosque y
después el nombre DNS que se desea asignar al primer dominio del nuevo árbol. El segundo nombre
DNS no debe ser parte de ningún espacio de nombres existente en el bosque. Es decir, si un árbol ya
utiliza Miempresa.com como nombre DNS de su dominio raíz, no se puede utilizar el nombre
Investigacion.miempresa.com para el dominio raíz del nuevo árbol, incluso si ese nombre de dominio
exacto no existe en el árbol Miempresa.com.
Después de suministrar los nombres DNS se facilita un equivalente NetBIOS de la forma usual y se
proporcionan las credenciales de una cuenta administrativa en el dominio raíz del árbol. El asistente
completa entonces el proceso de instalación y pide que se reinicie el sistema.
Creación de un nuevo bosque
La diferencia fundamental entre la creación de un nuevo árbol y la creación de un nuevo bosque es que
los bosques tienen cada uno sus propios esquema y configuración individuales. El escenario mas obvio
en el que una red debería tener múltiples bosques es cuando dos empresas con instalaciones Active
Directory existentes se fusionan, y las suficientes diferencias de esquema y configuración existentes entre

Capítulo 8
las dos hace que la unión de ambas en un solo bosque sea impracticable.
El proceso de crear un nuevo bosque es el mismo que el de la creación del primer dominio de la red.
Actualización de los controladores de dominios de Windows NT 4
Windows 2000 simplifica el proceso de convertir los dominios de una red Windows NT 4 en dominios
Active Directory de Windows 2000 permitiendo actualizar los servidores gradualmente. Los
controladores de dominio Windows NT pueden coexistir en la misma red que los controladores de
dominio Windows 2000 a incluso pueden funcionar en el mismo dominio. La única regla especial del
proceso de actualización es que hay que actualizar el PDC de una red Windows NT 4 antes que
cualquiera de los BDCs.
Cuando se instala el sistema operativo Windows 2000 en el PDC, el Asistente para instalación de Active
Directory se ejecuta automáticamente después del ultimo reinicio y comienza el proceso de promoción.
Después de que el servidor se haya promovido a controlador de dominio, el sistema puede alojar el
dominio existente, utilizando los BDCs NT 4 como replicas. Después se pueden actualizar los BDC al
ritmo que se desee.
Cuando todos los controladores de dominio estén ejecutando Windows 2000, se podrá utilizar el
complemento Dominios y confianzas de Active Directory para convertir el dominio del modo mixto al
modo nativo, lo que permite aprovechar todas las ventajas de las capacidades de agrupamiento de Active
Directory.
Degradación de controladores de dominios
Una diferencia fundamental entre los controladores de dominio Windows 2000 y los controladores de
dominio Windows NT es que se puede degradar un controlador de dominio Windows 2000 a servidor
independiente o miembro. Cuando se ejecuta el Asistente para instalación de Active Directory, el
programa determina que el sistema ya esta funcionando como controlador de dominio y solo proporciona
la opción de degradar el servidor.
La pantalla Configurar el servidor también detecta el estado del sistema y proporciona una única opción.
La degradación de un controlador de dominio elimina la base de datos de Active Directory de la

máquina, borra todas las referencias a ella del servidor DNS y devuelve las cuentas de seguridad del
sistema a un estado idéntico al de un servidor Windows 2000 recién instalado. Si el dominio al que
pertenece el sistema tiene controladores de dominio de replica en la red, el servidor permanece como,
miembro de ese dominio después de la degradación.
Si el servidor es el único controlador de dominio de un dominio particular, la degradación provoca que el

dominio se elimine completamente de Active Directory, y que el sistema se convierta en un servidor

Capítulo 8
independiente hasta que se una a otro dominio. Si el servidores el único controlador del dominio raíz de
un bosque, hay que destruir el resto de dominios del bosque antes de que se pueda proceder con la
degradación del controlador de dominio raíz. Para degradar el controlador hay que seguir estos pasos:
1. Abrir el Asistente para instalación de Active Directory ejecutando Dcpromo.exe. Si se muestra

un cuadro de mensaje, no se debe proceder con la degradación del servidor hasta que se este
seguro de que existe al menos otro servidor de Catalogo global en el dominio.
2. Pulsar Siguiente.
3. Proporcionar una contraseña para la cuenta administrador del servidor. Después se mostrara un
resumen que indica lo que se ha seleccionado y el resultado que se obtendrá si se sigue adelante.
Se abrirá la pantalla Configurando Active Directory que proporcionara una descripción sobre la marcha
de los procesos que se estén realizando. Esto durara al menos unos minutos, y algunas veces realmente
mucho mas, dependiendo de la maquina. Cuando la configuración termine, el servidor ya no será un
controlador de dominio y se pedirá que se pulse Finalizar y, después, Reiniciar ahora.
Cambio de la identificación de un controlador de dominio
Cambiar la identificación de red de un controlador de dominio requiere degradar el servidor de su estado

como controlador de dominio, cambiar la identidad y después promover la maquina de nuevo.
Cuando se cambie el nombre de un controlador de dominio, hay que obrar con cuidado,
especialmente en un entorno mixto con clientes de nivel inferior. Pueden permanecer
referencias al antiguo nombre de dominio del servidor en servidores WINS, causando
problemas de exploración, edemas de impedir que se vuelva a utilizar el nombre del
equipo, y limpiar las base de datos WINS pare corregir el problema puede ser complicado.
Primero, hay que abrir Ejecutar desde le menú Inicio, escribir dcpromo y pulsar Aceptar. . Una vez que
se haya degradado el controlador de dominio, hay que seguir estos pesos pare cambiar la identidad de red
del equipo: '
1. Abrir la herramienta Sistema del Panel de control y pulsar en la pestaña Identificación de red.
2. Pulsar el botón Avanzada pare abrir el cuadro de dialogo Cambios de identificación.
3. Introducir el nuevo nombre pare el equipo o hacer cambios en el dominio o grupo de trabajo al
que pertenece el equipo.
4. Pulsar el botón Más para especificar manualmente el nombre de dominio DNS para el equipo y
para obtener una vista previa del nombre NetBIOS. Pulsar Aceptar cuando se haya terminado.
Hay que tratar de utilizar un nombre de equipo que sea compatible tanto con DNS como
con NetBIOS para que todos los tipos de clientes vean el mismo nombre para el equipo.
Para hacer esto hay que mantener el nombre por debajo de los 15 caracteres y no utilizar
asteriscos o puntos. también es preferible evitar el use de espacios, subrayados y guiones

Capítulo 8
para una mejor compatibilidad con las aplicaciones.
Una vez realizados los cambios en la identidad de red del equipo, es posible promoverlo una vez mas a
controlador de dominio siguiendo estos pasos:
1. Abrir Ejecutar desde el menú Inicio e introducir dcpromo para iniciar al Asistente para
instalación de Active Directory.
2. Seleccionar el tipo de controlador de dominio que se desea: un controlador de dominio
adicional para un dominio existente o un controlador para un nuevo dominio.
3. Suministrar un nombre de usuario y contraseña, asegurándose de usar una cuenta con
suficientes privilegios para realizar la operación.
4. Suministrar el nombre DNS completo del dominio, las ubicaciones de la base de datos de
Active Directory, el registro de Active Directory y la carpeta Sysvol.
5. La página resumen aparecerá de nuevo mostrando las opciones seleccionadas. Pulsar el botón
Atrás para hacer cualquier cambio; en otro caso, pulsar Siguiente.
6. Active Directory se configurara. El proceso dura varios minutos, incluso en un sistema
relativamente rápido.
Al final del proceso, el Asistente para instalación de Active Directory informa de que Active Directory
esta instalado y en que dominio y sitio. Es necesario reiniciar para que la instalación de Active Directory
este completa.
Establecimiento de un servidor de Catalogo global
El primer controlador de dominio Windows 2000 de un bosque es automáticamente un servidor de

Catalogo global. El Catalogo global (CG) contiene una replica completa de todos los objetos de
directorio del dominio en que se aloja además de una replica parcial de todos los objetos de directorio de
cada dominio del bosque. El objetivo de un CG es proporcionar autenticación a los inicios de sesión.
Además, como un CG contiene información sobre todos los objetos de todos los dominios del bosque, la
búsqueda de información en el directorio no requiere consultas innecesarias a los dominios. Una única
consulta al CG produce la información sobre donde se puede encontrar el objeto.
Mientras la empresa tenga controladores de dominio Windows NT, cada dominio debe
tener al menos un servidor de Catalogo global.
De forma predeterminada, habrá un CG, pero cualquier controlador de dominio se puede configurar
como servidor de Catalogo global. Si se necesitan servicios de inicio de sesión y búsqueda adicionales, se
pueden tener múltiples servidores de Catalogo global en el dominio.
Para convertir un controlador de dominio en un servidor de Catalogo global, hay que seguir estos pasos:
1. Escoger Sitios y servicios de Active Directory en el menú Herramientas administrativas.

Capítulo 8
2. Abrir Sites y seleccionar el sitio correspondiente.

3. Abrir Servers y seleccionar después el controlador de dominio que se desea convertir en servidor
de Catalogo global.
4. Seleccionar NTDS Settings en el panel derecho y escoger propiedades en el menú Acción.
5. En la pestaña General, seleccionar la casilla de verificación Catalogo global.
Mientras la empresa opere en modo mixto (esto es, que haya otros controladores de dominio además de
los controladores de dominio Windows 2000), hay que tener al menos un servidor de Catalogo global por
dominio. Una vez que se hayan actualizado todos los controladores de dominio a Windows 2000, se
puede cambiar el dominio a modo nativo.

Capítulo 9
Capítulo 9
Dominios y confianzas de Active Directory
Dominios y confianzas de Active Directory de Windows 2000 es un complemento MMC que se puede
utilizar para consultar un árbol que contiene todos los dominios del bosque. Con este complemento se
pueden administrar las relaciones de confianza entre los dominios, cambiar el modo del dominio y
configurar los sufijos del nombre principal de usuario (UPN, User Principal Name) para el bosque.
Dominios y confianzas de Active Directory también proporciona acceso a Usuarios y equipos de Active
Directory, que se puede utilizar para consultar y modificar las propiedades de los objetos individuales.
Inicio de Dominios y confianzas de Active Directory
Windows 2000 Server añade el

complemento Administrador de Dominios
y confianzas de Active Directory al menú
Inicio de forma predeterminada, por lo que
después de iniciar sesión utilizando una
cuenta con privilegios administrativos se
puede ejecutar la utilidad seleccionando
Dominios y confianzas de Active
Directory desde Herramientas
administrativas en el grupo Programas del
menú Inicio. El archivo del complemento
MMC se llama Domain.msc, por lo que
también se puede ejecutar el administrador
desde el cuadro de dialogo Ejecutar
ejecutando ese nombre de archivo.
Cuando se carga el Administrador de

Dominios y confianzas de Active
Directory, el árbol de la consola (a la
izquierda) muestra todos los dominios del
bosque como un árbol que se expande, partiendo de una raíz etiquetada como Dominios y confianza de
Active Directory. El panel de resultados (a la derecha) muestra los secundarios del dominio seleccionado
actualmente o, si se selecciona la raíz, los dominios raíz de todos los árboles del bosque. Las funciones
que proporciona Dominios y confianzas de Active Directory están todas accesibles desde los menús
Acción que se originan pulsando un nombre de dominio o el objeto raíz, además de dentro de la ventana
Propiedades de un dominio.

Capítulo 9
Cambio del modo del dominio
Desde Dominios y confianzas de Active Directory, cuando se abre la ventana Propiedades de un

dominio, la pestaña General muestra el nombre NetBIOS con el cual conocen los clientes de nivel
inferior al dominio y permite especificar una descripción para ese dominio. Esta pestaña también muestra
el modo de operación actual del dominio y permite cambiarlo.
De forma predeterminada, los

controladores de dominio recién
instalados operan en modo mixto, lo que
significa que se pueden utilizar BDC
Windows NT como controladores de
dominio en un dominio Windows 2000.
De esta forma, se puede actualizar un
dominio Windows NT existente a
Windows 2000 de forma gradual
actualizando primero el PDC Windows
NT a Windows 2000. después se puede
utilizar Active Directory para almacenar
información sobre el dominio y
modificar el directorio utilizando los
complementos de Active Directory
incluidos en Windows 2000 Server.
Cuando Windows 2000 Server opera en

modo mixto, los BDCs Windows NT
son controladores de dominio
completamente funcionales en el
dominio Active Directory, capaces de
realizar replica con múltiples maestros
al igual que los controladores de dominio Windows 2000. El único inconveniente de utilizar el modo
mixto es que no se pueden aprovechar las ventajas de las características avanzadas de agrupación de
Windows 2000, como la posibilidad de anidar grupos y crear grupos con miembros en dominios
diferentes.
Una vez que se ha completado la actualización a Windows 2000 de todos los BDC Windows NT del
dominio, se puede cambiar el equipo a modo nativo, lo que activa estas capacidades de agrupación. Sin
embargo, una vez que se ha cambiado el modo de operación del dominio de mixto a nativo, no se puede
cambiar de nuevo sin reinstalar Active Directory. Hay que asegurarse de que no se necesitaran mas los
controladores de dominio Windows NT de la red antes de hacer esta modificación.

Capítulo 9
El modo mixto se refiere únicamente a los controladores de dominio en un dominio

particular. Después de cambiar a modo nativo, todavía se pueden utilizar controladores
de dominio Windows NT en el mismo Árbol, siempre y cuando estén ubicados en diferentes
dominios.
Gestión de las relaciones de confianza entre dominios
La relación de confianza entre dominios se gestiona desde la pestaña Confía de la ventana Propiedades
de un dominio. Cuando se establece una relación de confianza entre dos dominios, los usuarios de un
dominio pueden acceder a recursos ubicados en otro dominio en que se confíe. Un árbol de dominios
Active Directory es una colección de dominios que no sólo comparten el mismo esquema, la
configuración y el espacio de nombres, sino que también están conectados por medio de relaciones de
confianza.
Windows 2000 soporta dos tipos de

relaciones de confianza: las confianzas
explicitas y de un sentido utilizadas por
Windows NT, y las confianzas
transitivas y jerárquicas proporcionadas
por el protocolo de seguridad Kerberos
en los dominios Active Directory. Las
relaciones de confianza de Windows NT
sólo funcionan en un sentido. Por
ejemplo, el hecho de que el dominio A
confié en los usuarios del dominio B no
implica que B confié en los usuarios de
A automáticamente. Un administrador
debe crear explícitamente las confianzas
en ambos sentidos para lograr una
relación mutua entre los dominios.
Active Directory crea automáticamente

relaciones de confianza Kerberos en
todos los dominios de un árbol; estas se
aplican en ambos sentidos y son
transitivas. Una relación de confianza
transitiva es aquella que se propaga a
través de la jerarquía del árbol. Por ejemplo, cuando un dominio A confía en un dominio B y un dominio
B confía en un dominio C, entonces el dominio A confía en el dominio C. La creación de cada nuevo
dominio en un árbol incluye el establecimiento de las relaciones de confianza con el resto de dominios
del árbol, lo que permite a los usuarios acceder a recursos en cualquiera de los dominios del árbol
(asumiendo que tienen los permisos apropiados) sin que un administrador tenga que configurarlo
manualmente.

Capítulo 9
Para proporcionar acceso al dominio a usuarios de otro árbol o para conceder acceso a otro árbol a los
usuarios del dominio, se pueden establecer relaciones de confianza manualmente pulsando uno de los
botones Agregar de la pestaña Confía y especificando el nombre NetBIOS de un dominio. Estas
relaciones son en un solo sentido; hay que
establecer una confianza para cada dominio
para crear una confianza bidireccional.
Dependiendo de la naturaleza del dominio
que confía o en el que se confía, la relación
podrá o no ser transitiva. Se puede establecer
una relación de confianza transitiva con
dominios Windows 2000 en otro árbol, pero
las relaciones con dominios Windows NT no
pueden ser transitivas.
Para establecer una relación de confianza con

otro dominio, hay que especificar el nombre
del dominio en el cuadro de dialogo Agregar
un dominio de confianza y proporcionar una contraseña. Para completar el proceso, un administrador del
otro dominio debe especificar el nombre de este dominio en el cuadro de dialogo Agregar un dominio
que confía y proporcionar la misma contraseña. Ambos dominios deben dar su aprobación antes de que
los sistemas puedan establecer la relación de confianza.
Especificación del administrador del dominio
La tercera pestaña de la ventana

Propiedades de un dominio, identifica al
individuo que es el administrador
designado para el dominio. Esta pestaña
proporciona información de contacto
sobre el administrador derivada de la
cuenta de usuario asociada en Active
Directory. Se puede cambiar el administrador pulsando el botón Cambiar y seleccionando otra cuenta de
usuario desde la pantalla de Active Directory que se muestra.
Configuración de los sufijos de nombre principal de usuario en un bosque

Capítulo 9
Un UPN es un nombre simplificado que los

usuarios pueden proporcionar cuando
inician sesión en Active Directory. El
nombre utiliza el formato estándar de
direcciones de correo electrónico que
consiste en un nombre de usuario prefijo y
un nombre de dominio sufijo, separados por
un signo @, como se define en la RFC 822
(por ejemplo, usuario@dominio.com). Los
UPNs proporcionan a los usuarios de la red
un formato de nombre de inicio de sesión
unificado que los aísla de la jerarquía de
dominios de Active Directory y de la
necesidad de especificar el complejo
nombre LDAP para sus objetos usuario cuando inician sesión.
De forma predeterminada, el sufijo del UPN de los usuarios de un bosque en particular es el nombre del
primer dominio creado en el primer árbol del bosque, también llamado el hombre DNS del bosque. Por
medio del Administrador de Dominios y confianzas de Active Directory se pueden especificar sufijos
UPN adicionales que los usuarios pueden emplear en lugar del hombre DNS del bosque cuando inicien
sesión. Para hacer esto, hay que seleccionar el objeto raíz en el árbol de la consola de la pantalla
principal de Dominios y confianzas de Active Directory, y escoger Propiedades en el menú Acción.
En la pestaña Sufijos UPN, hay que pulsar el botón Agregar para especificar sufijos adicionales. Estos
sufijos se aplican en todo el bosque y están disponibles para cualquier usuario de cualquier dominio de
cualquier árbol de ese bosque.
Gestión de los dominios
El complemento Dominios y confianzas de Active Directory también proporciona acceso al

complemento Usuarios y equipos de Active Directory que se utiliza para consultar y modificar los
objetos de un dominio y sus propiedades. Cuando se selecciona un dominio en el árbol de la consola de
la pantalla principal y se escoge Administrar en el menú Acción, la MMC abre el complemento Usuarios
y equipos de Active Directory con el foco en el dominio seleccionado.
Usuarios y equipos de Active Directory

Capítulo 9
El complemento Usuarios y
equipos de Active
Directory es la principal
herramienta de los
administradores de Active
Directory, y es la
herramienta que se utilizara
mas a menudo para el
mantenimiento diario del
directorio. Usuarios y
equipos de Active
Directory muestra todos los
objetos de un dominio por
medio de una pantalla con
un árbol expandible al
estilo del Explorador de Windows.
Los cuadros de dialogo de cada objeto proporcionan acceso a las propiedades del objeto, que se pueden
modificar para actualizar la información del usuario y las restricciones de la cuenta.
También se utiliza Usuarios y equipos de Active Directory para crear nuevos objetos y modelar la
jerarquía del árbol creando y poblando objetos contenedores Como unidades organizativas (OU).
Inicio de Usuarios y equipos de Active Directory
Usuarios y equipos de Active Directory, como la mayoría de las herramientas de administración de

Active Directory, es un complemento de la MMC. El archivo del complemento se llama Dsa.msc, y se
puede ejecutar el administrador de una de tres formas.
● Seleccionar Usuarios y equipos de Active Directory desde el grupo Herramientas

administrativas en el grupo Programas del menú inicio.
● Resaltar un dominio en el árbol de la consola del complemento Dominios y confianzas de
Active Directory y escoger Administrar en el menú Acción. Esto abre un nuevo cuadro de
dialogo de la MMC llamado Usuarios y equipos de Active Directory dejando la ventana Dominios
y confianzas de Active Directory intacta.
● Abrir el cuadro de dialogo Ejecutar desde el menú Inicio y ejecutar el archivo de complemento
Dsa.msc.
Para realizar muchas de las funciones que proporciona el complemento Usuarios y equipos de Active
Directory es necesario iniciar sesión en el dominio utilizando una cuenta que tenga privilegios
administrativos. Se puede utilizar el Asistente para delegación de control para delegar tareas
administrativas sobre objetos específicos a otros usuarios sin concederles acceso administrativo completo

Capítulo 9
al dominio.
Examen de los objetos de Active Directory
El cuadro de dialogo principal de Usuarios y equipos de Active Directory contiene muchos de los
elementos estándar de las pantallas de la MMC. El árbol de la consola (a la izquierda) muestra un
dominio Active Directory y los objetos contenedor dentro de una pantalla expandible. El panel de
resultados (a la derecha) muestra los objetos del contenedor resaltado. El administrador incluye una barra
de herramientas especializada que proporciona acceso instantáneo a las funciones más comúnmente
utilizadas y una barra de descripción que proporciona información sobre el estado del administrador o
sobre el objeto resaltado actualmente. El programa muestra las acciones que se pueden realizar sobre
cada objeto en el menú Acción una vez que se han pulsado los objetos.
Tipos de objetos de Active Directory
Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades físicas,
como equipos y usuarios, como las entidades lógicas, como grupos y unidades organizativas.
Modificando el esquema que controla la estructura del servicio de directorio, se pueden crear nuevos
tipos de objetos en Active Directory y modificar los atributos de los tipos existentes.
Modo normal y modo avanzado
De forma predeterminada, la pantalla Usuarios y equipos de Active Directory opera en modo normal. El
modo normal solo muestra los objetos a los que los administradores accederán con mayor probabilidad
durante una sesión de mantenimiento de Active Directory típica. Esto incluye las unidades organizativas
que contienen los usuarios y grupos predefinidos creados durante la instalación de Active Directory y
todos los objetos creados por los administradores después de la instalación. El modo normal también
oculta ciertas pestañas de la ventana Propiedades de un objeto, incluyendo la pestaña Objeto y la pestaña
Seguridad que se pueden utilizar para establecer permisos para el objeto.
Dominio: Objeto raíz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio
que está administrando actualmente el administrador.
Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lógicas de objetos
equipo, usuario y grupo.
Usuario: Representa un usuario de la red y funciona como un almacén de información de
identificación y autenticación.
Equipo: Representa un equipo de la red y proporciona la cuenta de maquina necesaria para que el
sistema inicie sesión en el dominio.
Contacto: Representa un usuario externo al dominio para propósitos específicos como envío de
correo electrónico; no proporciona las credenciales necesarias para iniciar sesión en el dominio.

Capítulo 9
Grupo: Objeto contenedor que representa una agrupación lógica de usuarios, equipos a otros
grupos (o los tres) que es independiente de la estructura del árbol de Active Directory. Los grupos
pueden contener objetos de diferentes unidades organizativas y dominios.
Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta
compartida en un sistema Windows 2000.
Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora
compartida en un sistema Windows 2000.
Sin embargo, cuando se escoge Características avanzadas en el menú Ver del administrador, la pantalla
cambia para incluir todos los objetos Active Directory del sistema que representan directivas, registros
DNS y otros elementos del servicio de directorio, además del contenedor LostAndFound.
Desde esta interfaz se puede consultar información sobre los objetos del sistema y controlar el acceso a
ellos modificando los permisos asociados. Como el acceso a estos objetos no se requiere con frecuencia,
se puede impedir que aparezcan dejando el administrador en modo normal. Sin embargo, cuando haya
que modificar los permisos de los objetos estándar como unidades organizativas, usuarios y grupos,
habrá que activar las Características avanzadas para acceder a la pestaña Seguridad de la ventana
Propiedades de un objeto.
Cambio de dominio
Se puede utilizar el complemento

Usuarios y equipos de Active
Directory para administrar cualquier
dominio de la red. Para cambiar el
dominio que se muestra en el
administrador, hay que resaltar la
raíz o el objeto dominio en el árbol
de la consola y escoger Conectar
con el dominio en el menú Acción.
Esto muestra el cuadro de diálogo
Conectar con el dominio, donde se
puede introducir el nombre del
dominio o buscar otro dominio.
En el menú Acción también se

puede escoger Conectar con el
controlador de dominio para
acceder al dominio seleccionado utilizando un controlador de dominio especifico de la red. A menos que
los controladores de dominio no estén sincronizados, la información debería ser la misma en todas las
replicas, pero algunas veces puede ser útil seleccionar un controlador de dominio en una ubicación
diferente para evitar una lenta o cara conexión WAN.

Capítulo 9
Filtros para simplificar la visualización
Cuando se empieza a poblar Active Directory con nuevos objetos, puede crecer rápidamente a un tamaño
difícil de manejar. El mero número de objetos en la pantalla puede dificultar la localización del objeto
especifico que se necesita. Para evitar
que se muestren temporalmente los
objetos que no es necesario ver, se
puede aplicar un filtro al complemento
Usuarios y equipos de Active Directory
basándose en los tipos de objetos o
basándose en el contenido de atributos
de objetos específicos.
Cuando se escoge Opciones de filtro

desde el menú Ver, aparece el cuadro de
diálogo Opciones de filtro. Aquí se
puede optar por mostrar todos los tipos
de objetos, seleccionar tipos de objetos
específicos a mostrar o crear un filtro
personalizado basándose en los atributos
de los objetos.
Cuando se selecciona la opción Crear

filtro personalizado y se pulsa el botón Personalizar, se muestra un cuadro de diálogo Buscar Búsqueda
personalizada. En este cuadro de diálogo se puede seleccionar un tipo de objeto, escoger un atributo de
ese objeto y especificar un valor completo o parcial para ese atributo.
Por ejemplo, se pueden mostrar solo los objetos usuario que tengan el valor Ventas en el atributo
Departamento (como se muestra en la figura), o se puede optar por mostrar sólo los usuarios que tienen
un código de área particular en el atributo Número de teléfono. Esto permite ajustar la mira rápidamente
en los objetos que se necesitan utilizar sin tener que desplazarse a lo largo de una pantalla
innecesariamente abarrotada.
Búsqueda de objetos
También se pueden buscar objetos específicos en todo Active Directory sin modificar lo que muestra el
administrador. Si se selecciona el objeto dominio y se escoge Buscar en el menú Acción, se muestra el.
cuadro de dialogo Buscar Usuarios, contactos y grupos, en el cual se puede especificar el tipo de objeto
que se desea localizar, un dominio especifico o todo el directorio y el nombre y descripción del objeto.

Capítulo 9
El programa busca
entonces en el CG que
se creo
automáticamente en el
primer controlador del
dominio para localizar
el objeto deseado. El
CG es un subconjunto
de todo Active
Directory que solo
contiene los atributos
mas comúnmente
utilizados, lo que
facilita la búsqueda de
un objeto especifico.
Sin el CG, la tarea de buscar en una instalación Active Directory que incluye controladores de dominio
en ubicaciones remotas podría requerir un extenso trafico WAN que es tan lento como caro.
A pesar de que Active Directory siempre crea el CG en el primer controlador de dominio

de un dominio, se puede cambiar su ubicación predeterminada modificando la
configuración NTDS en el complemento Sitios y servicios de Active Directory. También se
pueden especificar atributos adicionales que han de almacenarse en el CG utilizando el
complemento Esquema de Active Directory.
La pestaña Opciones avanzadas del cuadro de dialogo Buscar Usuarios, contactos y grupos utiliza la
misma interfaz que la característica Filtro personalizado. De la misma forma, se pueden buscar objetos
basándose en sus atributos. Si un atributo que se selecciona no es parte del CG, la búsqueda procederá
inspeccionando el contenido real de los controladores de dominio de la red. En algunos casos, esto puede
ralentizar considerablemente el proceso de búsqueda.
Mucha de la misma funcionalidad de búsqueda de objetos de Active Directory que se

encuentra en el complemento Usuarios y equipos de Active Directory también esta
disponible en la característica Buscar del menú Inicio.
Objetos predeterminados de Active Directory
Un dominio Active Directory recién creado contiene objetos unidades organizativas, equipos, usuarios y
grupos que crea de forma predeterminada el Asistente para instalación de Active Directory. Estos objetos
proporcionan acceso al sistema a varios niveles e incluyen grupos que permiten a los administradores
delegar tareas de mantenimiento de la red especificas a otros. Incluso si no se espera utilizar esos objetos
en el futuro, hay que utilizarlos para crear otros objetos con los permisos apropiados para la red.

Capítulo 9
Por ejemplo, aun si no se desea tener ningún usuario único con el control completo concedido a la cuenta
de administrador, hay que iniciar sesión como administrador para poder crear los nuevos objetos usuario
con los derechos y permisos deseados. Con Active Directory se pueden dejar partes de la estructura del
directorio «huérfanas» si se modifica, se borra o se desactiva la cuenta de administrador sin haber creado
primero otros objetos usuario o haberles concedido permisos equivalentes para las distintas partes del
directorio.
Los objetos predeterminados creados en un dominio Active Directory, junto con sus funciones y sus
ubicaciones en la jerarquía del dominio.
Objetos creados de forma predeterminada en un dominio Active Directory

Nombre del Tipo de ubicación Función
objeto objeto
Builtin builtinDomain Dominio Contenedor predeterminado para los grupos
raíz que proporcionan acceso a las funciones de
administración del servidor.
Computers Contenedor Dominio Contenedor predeterminado para cuentas de
raíz equipo actualizadas.
Users Contenedor Dominio Contenedor predeterminado para cuentas de
raíz usuario actualizadas.
Domain Unidad Dominio Contenedor predeterminado para los nuevos
controllers organizativa raíz controladores de dominio Windows 2000.
Opers. de cuentas Grupo de Builtin Sus miembros pueden administrar las
seguridad. cuentas de usuario y de grupo del dominio.
Integración
local
Administradores Grupo de Builtin Sus miembros pueden administrar
seguridad. completamente el equipo/dominio.
Integración
local
Operadores de Grupo de Builtin Sus miembros pueden saltarse la seguridad
copia seguridad. de los archivos para hacer copia de
Integración seguridad de ellos.
local
Invitados Grupo de Builtin Usuarios que tienen concedido acceso de
seguridad. invitado al equipo/dominio.
Integración
local

Capítulo 9
Opers. de Grupo de Builtin Sus miembros pueden administrar las

impresión seguridad. impresoras del dominio.
Integración
local
Duplicadores Grupo de Builtin Soporta la replica de archivos en un
seguridad. dominio.
Integración
local
Opers. de Grupo de Builtin Sus miembros pueden administrar.
servidores seguridad. servidores de dominio.
Integración
local
Usuarios Grupo de Builtin Usuarios corrientes.
seguridad.
Integración
local
Usuarios DHCP Grupo de Contenedor Sus miembros sólo tienen acceso de lectura
seguridad. Users al Servidor DHCP
Dominio local
DnsAdmins Grupo de Contenedor Administradores del DNS.
seguridad. Users
Dominio local
Servidores RAS Grupo de Contenedor Servidores Ras e IAS.
e IAS seguridad. Users
Dominio local
Usuarios WINS Grupo de Contenedor Sus miembros solo tienen acceso de lectura a
seguridad. Users WINS.
Dominio local
Publicadores de Grupo de Contenedor Agentes de certificación de la empresa y de
certificados seguridad. Users renovación.
Global
DnsUpdateProxy Grupo de Contenedor Clientes de DNS a los que se permite
seguridad. Users realizar actualizaciones dinámicas en
Global nombre de algunos otros clientes (como
servidores DHCP).
Admins. del Grupo de Contenedor Administradores designados del dominio.
dominio seguridad. Users
Global

Capítulo 9
Equipos del Grupo de Contenedor Todas las estaciones de trabajo y servido res
dominio seguridad. Users unidos al dominio.
Global
Controladores de Grupo de Contenedor Todos los controladores de dominio del
dominio seguridad. Users dominio.
Global
Invitados del Grupo de Contenedor Todos los invitados del dominio.
Global
Usuarios del Grupo de Contenedor Todos los usuarios del dominio.
Global
Administración Grupo de Contenedor Administradores designados de la empresa.
de empresas seguridad. Users
Global
Administradores Grupo de Contenedor Administradores designados del esquema.
de esquema seguridad. Users
Global
Administrador Usuario Contenedor Cuenta predefinida para administrar el
Users equipo/dominio.
Invitado Usuario Contenedor Cuenta predefinida para el acceso en calidad
Users de invitado al equipo/dominio.
IUSR_xxx Usuario Contenedor Cuenta predefinida para el acceso anónimo a
Users los Servicios de Internet información Server
(IIS).
IWAM_xxx Usuario Contenedor Cuenta predefinida para el acceso anónimo a
Users aplicaciones IIS sin proceso.
Krbtgt Usuario Contenedor Cuenta del servicio Centro de distribución
Users de claves.
Creación de unidades organizativas
El esquema del servicio de directorio establece qué objetos se pueden crear en un dominio Active
Directory, dónde se pueden ubicar y qué atributos se permite que tengan. Usuarios y equipos de Active
Directory solo permite crear objetos en las ubicaciones apropiadas para el tipo de objeto. Por ejemplo, no
se puede crear un objeto unidad organizativa (OU) subordinada a un objeto usuario, pero un objeto
usuario puede subordinarse a un objeto OU.
Sin embargo, las OU se pueden subordinar unas a otras y el número de capas de OU que se pueden crear

Capítulo 9
en el dominio Active Directory es ilimitado. Para crear una OU hay que pulsar el objeto dominio u otra
OU en el panel de ámbito o en el de resultados de Usuarios y equipos de Active Directory y escoger
Nuevo en el menú Acción y seleccionar Unidad organizativa. también se puede pulsar el botón Crear un
nuevo departamento en la barra de herramientas de Usuarios y equipos de Active Directory para
conseguir el mismo efecto. después de especificar un nombre para el nuevo objeto en el cuadro de
dialogo Nuevo objeto, el administrador crea un icono con el nombre apropiado y lo inserta en la pantalla
de Usuarios y equipos de Active Directory.
Una vez que se ha creado una OU es posible poblarla con otros objetos, como usuarios, equipos, grupos
y otras OU, o se pueden modificar sus atributos abriendo la ventana Propiedades desde el menú Acción.
Configuración de los objetos OU
La ventana Propiedades de una OU consta de

tres pestañas. La pestaña General y la
pestaña Administrado por permiten
especificar información sobre la OU como
una frase descriptiva y una dirección para la
ubicación del objeto, además de la identidad
de la persona responsable de administrar la
OU. La información que se incluye en estas
pestañas (si la hay) depende del criterio
utilizado para diseñar el Active Directory.
Una OU puede estar asociada a un
departamento particular dentro de una
organización, una ubicación física como una
habitación, una planta o un edificio, o
incluso una sucursal en una ciudad o país
particular.
La pestaña Directiva de grupo es donde se

crean y administran los vínculos a los
objetos directiva de grupo de Active Directory. Los objetos directiva de grupo son colecciones de
parámetros del sistema que controlan la apariencia y la funcionalidad de los clientes de la red. Cuando se
aplican directivas de grupo a OU, dominios y sitios, todos los objetos contenidos en esas entidades
heredan los parámetros del sistema. Las OU se pueden enlazar a múltiples objetos directiva de grupo en
esta pestaña y, se pueden controlar las prioridades con que se aplican las directivas. Cuando se utilice el
botón Modificar de la pestaña directiva de grupo para modificar un objeto directiva de grupo, Usuarios y
equipos de Active Directory ejecuta el complemento MMC directiva de grupo.
Cuando se activan las Características avanzadas en el menú Ver de Usuarios y equipos de Active

Capítulo 9
Directory, la ventana Propiedades de la OU

también muestra la pestaña Objeto y la
pestaña Seguridad. La pestaña Objeto muestra
la ruta de acceso complete al objeto en la
jerarquía del dominio, las fechas y horas de su
creación y ultima modificación y los números
de secuencia de actualización de la creación y
la ultima modificación.
La pestaña Seguridad permite controlar el

acceso al objeto asignando permisos a
usuarios y grupos. Con la casilla de
verificación Hacer posible que los permisos
heredables se propaguen, también se puede
controlar si el objeto hereda los permisos que
han sido asignados a su objeto primario.
El botón Avanzada de la pestaña Seguridad proporciona acceso al cuadro de dialogo Configuración de

control de acceso desde el que se puede controlar el acceso al objeto con un detalle mucho mayor. En el
cuadro de dialogo Seguridad, se puede especificar si usuarios y grupos específicos tienen permiso para
crear y eliminar objetos secundarios en la OU, pero esta pantalla permite especificar que tipos de objetos
se pueden crear y eliminar.
Delegación del control de los objetos
Active Directory esta diseñado para soportar redes empresariales mucho mas grandes que la que soportan
los dominios Windows NT, y las redes mas grandes requieren, naturalmente, mas atención y
mantenimiento por parte de los Administradores. Active Directory permite a los administradores delegar

Capítulo 9
el control sobre objetos

contenedor específicos a otros
usuarios sin otorgarles acceso
completo al dominio. Para hacer
esto, hay que ejecutar el Asistente
para delegación de control
escogiendo Delegar control desde
et menú Acción de un dominio o
unidad organizativa.
El asistente pide primero que se

especifique el objeto contenedor
sobre el que se desea delegar el
control y los usuarios o grupos (o
ambos) a los que se desea delegar
el control. Una vez que se haya
hecho esto, el asistente muestra la pantalla Tipo de objeto de Active Directory, que se puede utilizar para
especificar que tipos de objetos del contenedor podrán controlar los usuarios/grupos seleccionados. Se
puede, por ejemplo, conceder a un usuario o grupo especifico control sobre los objetos usuario solo en el
contenedor, permitiéndoles actualizar información de usuario pero impidiéndoles la modificación de
otros tipos de objetos.
En el cuadro de dialogo Permisos, se especifica el grado de control que se desea que tengan los
usuarios/grupos seleccionados sobre los objetos seleccionados. El cuadro Mostrar estos permisos permite
seleccionar si se desea trabajar con los permisos generales que conciernen a todo el objeto o los permisos
de la propiedad que controlan el acceso a los atributos individuales del objeto. Con este tipo de permisos
se puede conceder a los usuarios la capacidad de modificar algunas de las propiedades del objeto al
mismo tiempo que se protegen otras. De esta forma, cabe la posibilidad de permitir a los Administradores
del departamento realizar modificaciones sencillas en los objetos usuario, como cambiar las direcciones y
los números de teléfono, sin poner en peligro otras propiedades del objeto.
Una vez que se le ha proporcionado al asistente la información apropiada, se configura el objeto

seleccionado con los permisos adecuados. Si se comprueba la pestaña Seguridad de la ventana
Propiedades del objeto (que solo es visible cuando están activas las Características avanzadas en el menú
Ver de Usuarios y equipos de Active Directory), se podrán observar los permisos que ha asignado el
asistente a los usuarios o grupos seleccionados.
Creación de los objetos usuario
Una instalación típica de Active Directory consiste normalmente en mas objetos usuario que de cualquier
otro tipo, y la creación y gestión de los objetos usuario representa buena parte de la carga de
administración de Active Directory. La tarea de crear manualmente un objeto usuario es idéntica a la de

Capítulo 9
la creación de una unidad organizativa o cualquier otro objeto. después de seleccionar el contenedor en el
que residirá el objeto usuario (normalmente, una OU), hay que seleccionar el contenedor y escoger
Nuevo en el menú acción y seleccionar Usuario, o pulsar el botón Crear un nuevo usuario de la barra de
herramientas de Usuarios y equipos de Active Directory, lo que produce el cuadro de dialogo.
En el cuadro de dialogo Nuevo objeto,

hay que especificar el nombre y
apellidos del usuario y el nombre de
inicio de sesión que proporcionara el
usuario cuando se conecte a la red. El
nombre de inicio de sesión de nivel
inferior para el usuario (esto es, el
nombre con el que iniciara sesión el
usuario en las estaciones de trabajo
Windows NT o Windows 9.x) aparece
entonces automáticamente. El
siguiente cuadro de dialogo
proporciona un campo para la
contraseña del objeto usuario y
permite establecer opciones básicas
para la contraseña y la cuenta para el
usuario, como sigue:
● El usuario debe cambiar la contraseña en el siguiente inicio de sesión.

● El usuario no puede cambiar la contraseña.
● La contraseña nunca caduca.
● Cuenta deshabilitada.
Después de que una pantalla de resumen confirme la información introducida, Usuarios y equipos de
Active Directory crea el objeto usuario en el contenedor seleccionado.
Configuración de los objetos usuario
Una vez que se ha creado un objeto usuario, se puede proceder con el proceso de configuración, en el
cual se añade información sobre el usuario a la base de datos de Active Directory y se define el acceso a
la red del usuario. El menú Acción que genera Usuarios y equipos de Active Directory cuando se pulsa
sobre un objeto usuario contiene algunos de los comandos mas comúnmente utilizados por los
administradores, además del acceso a la ventana Propiedades del usuario. Estos comandos son los
siguientes:
● Agregar miembros a un grupo Genera un cuadro de dialogo desde el que se pueden seleccionar
los grupos a los que pertenecerá el usuario.

Capítulo 9
● Asignaciones de nombres (Solo visible cuando están activas las Características avanzadas.)
Permite a los administradores asignar certificados X.509 y nombres Kerberos al objeto usuario.
● Deshabilitar cuenta Impide que el usuario inicie sesión en la red utilizando la cuenta hasta que
sea activada manualmente por un administrador.
● Restablecer contraseña Genera un cuadro de dialogo con el que se puede modificar la
contraseña de inicio de sesión de la cuenta del usuario.
● Mover Permite a los administradores trasladar el objeto usuario a otro objeto contenedor (esto es,
un dominio o una unidad organizativa) de Active Directory.
● Abrir la página principal Abre el navegador predeterminado del sistema y muestra el URL que
aparece en el campo Página Web de la pestaña General de la ventana Propiedades del objeto
usuario.
● Enviar mensaje de correo Abre el cliente de correo electrónico predeterminado del sistema y
escribe la dirección de un mensaje utilizando la dirección de correo electrónico que aparece en el
campo Correo electrónico de la pestaña General de la ventana Propiedades del objeto usuario.
Aunque Usuarios y equipos

de Active Directory
proporciona estas
funciones en el menú
Acción para que resulte
mas cómodo, también se
puede acceder a muchas de
ellas a través de la ventana
Propiedades del objeto
usuario, que proporciona una interfaz completa para los atributos del objeto usuario.
Los atributos que aparecen en las pestañas de la ventana Propiedades son aquellos
incluidos en el esquema predeterminado que utiliza Active Directory. Se puede modificar
el esquema para crear atributos adicionales o cambiar los existentes utilizando el
complemento Administrador del Esquema de Active Directory.
La pestaña General
La pestaña General contiene información básica sobre el usuario, incluyendo el nombre y apellidos que
se especificaron al crear el objeto. Esta pestaña también posee campos para una frase descriptiva sobre el
usuario, la ubicación de la oficina, el número de teléfono, la dirección de correo electrónico y el URL de
la página Web del usuario. Aparte de los campos nombre, la información de esta pestaña es opcional y
únicamente se utiliza como referencia. Los usuarios pueden buscar en Active Directory utilizando los
valores de los atributos de esta (y otras) pestañas y la dirección de correo electrónico y el URL de la
página Web del usuario se insertan automáticamente en las aplicaciones cliente apropiadas, pero estos
campos no afectan al acceso a la red del usuario de ninguna forma palpable.
La pestaña dirección

Capítulo 9
En la pestaña dirección se encuentran los campos donde se puede insertar la información de la dirección
de correo del usuario. Como en la pestaña General, estos son campos de referencia que no juegan un
papel importante en la configuración del objeto.
La pestaña Cuenta
La pestaña Cuenta contiene el nombre de inicio de sesión de usuario que se especificó durante la
creación del objeto además de su nombre de usuario de nivel inferior.
Los botones Horas de inicio de

sesión a Iniciar sesión en
proporcionan acceso a cuadros de
dialogo que permiten restringir las
horas y días de la semana a los que
tiene permiso el usuario para iniciar
sesión en la red y las estaciones de
trabajo desde las que el usuario
puede iniciar sesión en la red.
La casilla de verificación La cuenta

esta bloqueada esta seleccionada si
la cuenta del usuario ha sido
desactivada, bien deliberadamente
por un administrador o a causa de
repetidos fallos al iniciar sesión.
Desactivar esta casilla libera la
cuenta y permite al usuario iniciar
sesión de nuevo. El área Opciones de
cuenta contiene numerosas opciones
para la contraseña y la cuenta
(algunas de las cuales están duplicadas en el cuadro de dialogo Nuevo objeto). Cuando se crean nuevas
cuentas de usuario, las siguientes opciones deben ser seleccionadas o desactivadas:
● El usuario debe cambiar la contraseña en el siguiente inicio de sesión Presenta al usuario un

cuadro de dialogo en el siguiente inicio de sesión requiriéndole una nueva contraseña.
● El usuario no puede cambiar la contraseña Impide que el usuario cambie su propia contraseña.
● La contraseña nunca caduca Impide que la cuenta de usuario sea objeto de las directivas s de
caducidad definidas en el cuadro La cuenta caduca.
● Cuenta deshabilitada Impide que el usuario inicie sesión utilizando esta cuenta hasta que la
casilla sea desactivada por un administrador.
La pestaña Perfil

Capítulo 9
En la pestaña Perfil se puede

especificar la ubicación del perfil de
usuario asociado con el objeto. De
forma predeterminada, cada usuario
que inicia sesión en un sistema
Windows 2000 tiene un directorio de
perfil creado en la carpeta
Documents and Settings de la unidad
de disco del sistema. Cuando se
especifica una ruta de acceso al
perfil en esta pestaña, el sistema
almacena una copia del perfil en el
directorio especificado. Si este
directorio esta localizado en una unidad de red compartida, el usuario puede acceder al perfil desde
cualquier sistema de la red. El campo Archivo de comandos de inicio de sesión especifica el nombre del
archivo de comandos que la estación de trabajo debería ejecutar cuando el usuario inicie sesión en la red.
Desde el cuadro Directorio principal, se puede crear un directorio personal en una unidad de red sobre el
que el usuario tendrá control completo. Almacenar los archivos de datos en una unidad de red facilita su
protección ante manipulaciones y los borrados accidentales. Se puede configurar la estación de trabajo
para que asigne una unidad a la unidad de disco compartida automáticamente durante el proceso de inicio
de sesión especificando una letra de unidad y el nombre UNC de un recurso compartido de la red en los
campos Conectar. En el campo para indicar la carpeta de documentos compartidos, se puede especificar
una ubicación donde los usuarios que requieren acceso a los mismos documentos pueden almacenar
archivos.
La pestaña Teléfonos
La pestaña Teléfonos contiene campos para los distintos números de teléfono asociados con un usuario,
incluyendo los números del localizador, del móvil, del fax y del teléfono de IP Un campo Notas de
múltiples líneas proporciona un área de propósito general para notas.
La pestaña organización
La pestaña Organización proporciona campos en los que se puede especificar el titulo, el departamento y
la organización del usuario. En el cuadro Administrador, se puede identificar el superior del usuario
seleccionando otro objeto usuario de Active Directory. Un campo Supervisa a, de múltiples líneas
permite almacenar las notas de un supervisor en el usuario.
La pestaña Miembro de

Capítulo 9
La pestaña Miembro de es donde se especifican los grupos de los que el usuario debería ser miembro. Si
se pulsa el botón Agregar, se muestra una lista de objetos desde la que se pueden seleccionar los grupos
apropiados. El botón Establecer grupo solo esta activo para usuarios de Macintosh. Los Servicios para
Macintosh de Windows reconocen una afiliación de grupo única, normalmente el grupo con el que los
usuarios de Macintosh comparten documentos en un servidor.
También se puede añadir un usuario a un grupo desde la pestaña Miembros de la ventana

Propiedades de un objeto grupo.
La pestaña Marcado
En la pestaña Marcado se controla si al usuario se le permite el acceso a la red a través de una conexión
telefónica del Servicio de acceso remoto (RAS, Remote Access Service). Con la opción Permitir acceso
se puede seleccionar si el objeto usuario necesita devolución de llamada o el Id del que llama para la
comprobación de seguridad, y se pueden especificar una dirección IP estática y rutas estáticas para la
conexión.
La pestaña Certificados publicados
La pestaña Certificados publicados, que solo es visible cuando se activa la opción de presentación
Características avanzadas de Usuarios y equipos de Active Directory, permite administrar los certificados
X.509 vinculados al objeto usuario. Desde esta página se pueden examinar los certificados publicados
para la cuenta del usuario, agregar nuevos certificados, eliminar certificados y exportar certificados a
archivos.
La pestaña Objeto
La pestaña Objeto muestra la ruta de acceso completa al objeto usuario, las fechas de su creación y
ultima modificación y los números de secuencia de actualización (USN, Update Sequence Number) de su
creación y ultima modificación.
La pestaña Seguridad
La pestaña Seguridad (visible solo cuando están activas las Características avanzadas) permite asignar
permisos que controlan el acceso al objeto usuario. La pestaña es virtualmente idéntica a la misma
pestaña de las ventanas propiedades de otros tipos de objetos.
Creación de grupos
Los objetos grupo hacen posible la asignación de permisos y otros atributos de objeto a múltiples
usuarios en una única operación, además de la distribución de correo electrónico a un gran número de
direcciones (cuando esta instalado Microsoft Exchange Server). Cuando se asignan permisos a un objeto

Capítulo 9
de Active Directory (o a un archivo o directorio de NTFS), se pueden añadir grupos a la lista de control
de acceso (ACL, Access Control List) del objeto, lo que provoca que los permisos se propaguen a todos
los miembros del grupo. Los objetos grupo se crean en Usuarios y equipos de Active Directory como se
haría con cualquier otro tipo de objeto, y después se seleccionan los objetos que se desea que sean
miembros del grupo.
Puede haber objetos grupos en las

unidades organizativas, en otros grupos
(cuando el dominio esta operando en modo
nativo) o directamente bajo el dominio
raíz. Cuando se selecciona uno de estos
objetos contenedor en Usuarios y equipos
de Active Directory, se escoge Nuevo en
el menú Acción y se selecciona Grupo, se
muestra el cuadro de dialogo Nuevo
objeto.
Como con otros objetos, primero hay que

especificar un nombre (de hasta 64
caracteres) para el nuevo grupo y un
nombre NetBIOS de nivel inferior
equivalente (de hasta 15 caracteres).
después hay que seleccionar una de las
siguientes opciones de ámbito de grupo:
● Dominio local: Un grupo Local de dominio puede contener objetos usuario, otros grupos Locales
de dominio del mismo dominio, grupos Globales de cualquier dominio del bosque y grupos
Universales. Se pueden insertar grupos Locales de dominio en la ACL de cualquier objeto de ese
dominio, pero no en objetos de otros dominios. Los grupos Locales de dominio no aparecen en el
CG.
● Global: Un grupo Global puede contener objetos usuario y otros grupos Globales del mismo
dominio. A diferencia de los grupos Locales de dominio, los grupos Globales se pueden insertar
en la ACL de cualquier objeto del bosque. Los grupos Globales se incluyen en el CG, pero sus
miembros no; la pertenencia a un grupo Global solo se replica dentro de su dominio.
● Universal: Un grupo Universal, el ámbito de grupo mas amplio, puede contener otros grupos
Universales, grupos Globales y usuarios de cualquier dominio del bosque. Al igual que los grupos
Globales, se pueden insertar grupos Universales en la ACL de cualquier objeto del bosque. Los
grupos Universales aparecen en el CG junto con sus miembros; el use de grupos Globales como
miembros de un grupo Universal disminuye el trafico de actualización al CG porque los cambios
de pertenencia a grupos Globales (que no se incluyen en el catalogo) son mucho mas frecuentes
que los cambios de pertenencia a grupos Universales.
El anidamiento de grupos (esto es, el almacenamiento de grupos dentro de otros grupos)

Capítulo 9
es una característica de Active Directory que sólo esta disponible cuando el dominio se
ejecuta en modo nativo. Para operar el modo nativo, todos los controladores del dominio
deben ejecutar Windows 2000 Server.
Después de seleccionar el ámbito del grupo hay que seleccionar uno de los tipos de grupos de la página
siguiente.
● Seguridad: Los grupos de seguridad están pensados para su inclusión en las ACL de recursos de
red como archivos a impresoras. también pueden servir como listas de distribución para correo
electrónico.
● Distribución: Los grupos de distribución están pensados únicamente para. utilizarlos como listas
de distribución de correo electrónico.
Cuando se pulsa Aceptar, el administrador crea el objeto grupo en el contenedor seleccionado
Configuración de los objetos grupo
La ventana Propiedades de un objeto grupo contiene hasta seis pestañas (dependiendo de si las
Características avanzadas están activas).
La pestaña General
La pestaña General proporciona campos donde se puede insertar una descripción del objeto grupo,
especifica el tipo y ámbito del grupo a incluye un campo de múltiples líneas para comentarios.
La pestaña Miembros
La pestaña Miembros es donde se especifican los objetos que van a ser los miembros del grupo. Pulsar el
botón Agregar produce un cuadro de dialogo en el que se puede examinar Active Directory y seleccionar
los objetos deseados.
La pestaña Miembro de
Cuando se opera en modo nativo, los objetos grupo de Active Directory pueden ser miembros de otros
objetos. En la pestaña Miembro de se pueden seleccionar los grupos de los que el nuevo grupo va a ser
miembro.
La pestaña Administrado por
La pestaña Administrado por permite especificar información sobre la persona responsable de

administrar el objeto grupo.

Capítulo 9
La pestaña Objeto
La pestaña Objeto (que sólo aparece cuando están activas las Características avanzadas de Usuarios y
equipos de Active Directory) muestra la ruta de acceso completa del objeto grupo, las fechas de su
creación y ultima modificación y sus USN de su creación y ultima modificación.
La pestaña Seguridad
La pestaña Seguridad (que solo aparece cuando están activas las Características avanzadas de Usuarios y
equipos de Active Directory) permite establecer los permisos que especifican a que objetos tendrá acceso
el objeto grupo y cuanto acceso tendrá.
Creación de los objetos equipo
Además de objetos contenedor, objetos

grupo y objetos usuario, Active Directory
también tiene objetos que representan
equipos. Para iniciar sesión en un dominio,
un equipo Windows 2000 debe tener un
objeto que lo represente en la jerarquía de
Active Directory. Cuando se promueve un
sistema a controlador de dominio o se
inicia sesión en un dominio por primera
vez, Windows 2000 crea automáticamente
un objeto equipo. (En el caso de un inicio
de sesión por primera vez, el sistema
solicita el nombre de usuario y la
contraseña de una cuenta con suficientes
privilegios para crear nuevos objetos. Sin
embargo, también se pueden crear objetos
equipo manualmente, de igual forma que
se crearía cualquier otro objeto).
Si se selecciona un contenedor, se escoge Nuevo en el menú Acción y se selecciona Equipo, se muestra

un cuadro de dialogo Nuevo objeto en el que se puede suministrar el nombre del nuevo objeto equipo
(que puede ser el nombre NetBIOS o el DNS del equipo). también se puede especificar el usuario o
grupo particular que esta autorizado para unir el equipo al dominio.
El complemento Usuarios y equipos de Active Directory crea un objeto cada vez, pero
algunas veces los administradores tienen que crear muchísimos objetos, por lo que esta
herramienta deja de ser práctica.

Capítulo 9
Configuración de los objetos equipo
Una vez que Usuarios y equipos de Active Directory crea el objeto equipo, se pueden configurar sus
atributos utilizando las siguientes siete propiedades: General, Sistema operativo, Miembro de, ubicación,
Administrado por, Objeto y Seguridad. Casi todas las pestañas tienen el mismo propósito que las de otros
objetos. Las dos que son únicas para el objeto Equipo son Sistema operativo y ubicación.
La pestaña Sistema operativo identifica el sistema operativo que se esta ejecutando en el equipo, la
versión y el service pack instalado actualmente. Estos campos no son modificables; están en blanco
cuando se crea manualmente un objeto equipo y se rellenan cuando el equipo se une a un dominio. La
pestaña ubicación permite especificar que ubicaciones sirve el sitio en la configuración del directorio.
Administración remota de equipos
Usuarios y equipos de Active Directory proporciona acceso administrativo a equipos remotos

representados por objetos en Active Directory. Cuando se pulsa un objeto equipo y se escoge
Administrar en el menú Acción, el administrador abre el complemento MMC Administración de equipos
con el equipo come foco. Con esta característica, se pueden leer los registros de sucesos del sistema
remote, manipular sus servicios y realizar cualquiera del resto de las tareas que proporciona el
complemento administración de equipos.
Publicación de carpetas compartidas
Los objetos carpeta compartida permiten publicar directorios de red compartidos en Active Directory, lo
que permite a los usuarios acceder a ellos directamente explorando el Entorno de red del objeto. Esto
elimina la necesidad de que los usuarios conozcan la ubicación exacta de la carpeta compartida. La
creación de un objeto carpeta compartida no crea realmente el recurso compartido; hay que hacer esto
manualmente en la pestaña Compartir de la ventana Propiedades de la unidad de disco o de la carpeta en
la ventana del Explorador de Windows o en la ventana Mi PC. también se pueden crear objetos carpeta
compartida para carpetas del Sistema de archivos distribuidos (DFS, Distributed File Sytem).
Para crear un objeto carpeta compartida, hay que pulsar un objeto contenedor en Usuarios y equipos de
Active Directory, escoger Nuevo en el menú Acción y seleccionar Carpeta compartida. En el cuadro de
dialogo Nuevo objeto, hay que especificar un nombre para el nuevo objeto a introducir la ruta de acceso
UNC al recurso compartido. después de que el administrador cree el objeto, es posible configurarlo
utilizando las pestañas de la ventana Propiedades del objeto.
Los permisos que se establecen en la pestaña Seguridad de la ventana Propiedades de la

carpeta compartida no controlan el acceso a la propia carpeta compartida, solo al objeto
carpeta compartida. Para acceder a la carpeta por medio de Active Directory, un usuario
debe tener permiso para acceder tanto al recurso compartido como al objeto. Lo mismo es
cierto para un objeto impresora.

Capítulo 9
Publicación de impresoras
La creación de objetos impresora

permite a los usuarios acceder a las
impresoras a través de Active
Directory prácticamente de la
misma forma en que acceden a las
carpetas compartidas. Un objeto
impresora se crea como se haría
con un objeto carpeta compartida,
seleccionando un contenedor y
escogiendo Nuevo\Impresora en el
menú Acción y especificando la
ruta de acceso UNC a la impresora compartida. El administrador crea entonces el objeto, combinando el
nombre del sistema anfitrión y el del recurso compartido para formar el nombre del objeto.
Traslado, cambio de nombre y eliminación de objetos
Una vez que se han creado objetos en Active Directory, se puede utilizar Usuarios y equipos de Active
Directory para remodelar el árbol en cualquier momento trasladando objetos a diferentes contenedores,
cambiándoles el nombre y eliminándolos. El menú Acción de casi cualquier objeto Active Directory
contiene un comando Mover, que abre un cuadro de dialogo en el que se puede buscar un contenedor
donde situar el objeto. También se pueden seleccionar varios objetos manteniendo presionada la tecla
CTRL mientras se pulsa en ellos con el ratón y moviéndolos al mismo contenedor.
Cuando se traslada un objeto contenedor a una nueva ubicación, se trasladan automáticamente todos los
objetos incluidos en el contenedor al mismo tiempo y también se modifican las referencias a esos objetos
en el resto de objetos de Active Directory. Si, por ejemplo, el Usuario X es un miembro del Grupo Y y se
traslada la unidad organizativa que contiene el objeto usuario de X a una nueva ubicación, X sigue siendo
miembro de Y, y la lista de miembros del Grupo Y se actualiza automáticamente para mostrar a X en su
nueva ubicación. De la misma forma, cuando se cambia el nombre de un objeto utilizando el comando
Cambiar nombre del menú Acción o pulsando sobre el objeto una vez, todas las referencias a ese objeto a
lo largo de Active Directory Cambian para reflejar el nuevo nombre. Cuando se elimina un objeto
contenedor, todos los objetos incluidos en el contenedor se eliminan también.

Capítulo 10
Capítulo 10
Sitios y servicios de Active Directory
Sitios y servicios de Active Directory es un complemento de Microsoft Management Console (MMC)

que utilizan los administradores para crear y administrar los sitios que constituyen una red de Microsoft
Windows 2000 y para establecer vínculos entre los sitios. Un sitio, en la terminología de Active
Directory, se define como un grupo de equipos de una o varias subredes de protocolo de Internet
(Internet Protocol, IP) que están bien conectadas. Una subred es una red que forma parte de otra red de
mayor tamaño.
Bien conectadas significa que los sistemas comparten un transporte de red que proporciona
comunicaciones de bajo coste y gran velocidad entre las máquinas y, generalmente, hace referencia a
sistemas de una misma ubicación que están conectados mediante LAN. Los sistemas que no están bien
conectados son los que utilizan comunicaciones relativamente lentas y caras. Active Directory consta de
uno o varios sitios, pero los sitios no forman parte de los espacios de nombres con los que se trabaja al
crear la jerarquía de Active Directory.
Al diseñar los árboles y los bosques para la instalación de Active Directory, las fronteras entre bosques,
árboles, dominios y unidades organizativas (OU) suelen estar motivadas por razones políticas. Por
ejemplo, Active Directory en una gran empresa puede consistir en árboles diferentes correspondientes a
divisiones de la empresa, dominios para los diferentes departamentos y OU para los grupos de trabajo.
Los sitios, por otro lado, se basan siempre en ubicaciones geográficas y en los tipos de conexiones
existentes entre esas ubicaciones.
A modo de ejemplo, supóngase que una empresa imaginaria tiene dos divisiones, cada una de las cuales
tiene su propia LAN de Fast Ethernet LAN a 100 Mbps. Si las dos divisiones se hallan en edificios
diferentes de la misma instalación, puede que tengan una conexión de fibra óptica de gran velocidad
entre las dos LAN que también transmita a 100 Mbps. En este caso, dado que todos los equipos de las
dos divisiones están igual de bien conectados, se puede decir que forman un único sitio. Si, por el
contrario, las dos divisiones se hallaran en ciudades diferentes y estuvieran conectadas mediante un
enlace T-1 a solo 1,544 Mbps, las divisiones formarían dos sitios diferentes ya que no todos los equipos
de la red estarían igual de bien conectadas.
Los sitios no aparecen como objetos en el espacio de nombres de Active Directory; se hallan apartados
completamente de la jerarquía de bosques, árboles y dominios. Un sitio puede contener objetos de
diferentes dominios, y los objetos de un dominio pueden estar repartidos entre sitios diferentes. La razón
fundamental para dividir la red de una empresa en varios sitios es aprovechar las comunicaciones

Capítulo 10
eficientes entre los sistemas bien conectados y regular el tráfico por las conexiones mas lentas y caras.
Más concretamente, Active Directory utiliza los sitios durante la autenticación y la réplica.
● Autentificación: Cuando un usuario inicia una sesión en la red desde una estación de trabajo, el
sistema lo autentifica siempre que sea posible con un controlador de dominio ubicado en el mismo
sitio. Esto acelera el proceso de autentificación y ayuda a reducir el tráfico WAN.
● Réplica: Las actividades de réplica de los controladores de dominios que deben atravesar los
limites de los sitios están sometidas a condiciones especiales debido a la necesidad de utilizar las
conexiones WAN.
Los sitios de Active Directory están asociados a subredes IP concretas utilizadas por la red. Durante el
proceso de autentificación, la estación de trabajo transmite información acerca de la subred en la que
reside. Los controladores de dominios utilizan esta información para hallar los servidores de Active
Directory de la misma subred que la estación de trabajo.
El uso de sitios durante la réplica es algo más complejo. Cuando dos controladores de dominios se hallan
en el mismo sitio, la réplica se realiza con toda la velocidad de la LAN, generalmente, de 10 a 100 Mbps.
Por otro lado, es probable que dos controladores de dominios situados en edificios o en ciudades
diferentes estén conectados mediante tecnología WAN, que es mucho más lenta y, también, mucho más
cara que la tecnología LAN. Por tanto, maximizar la eficacia de las comunicaciones entre los sitios suele
ser cuestión del momento y de la frecuencia de las réplicas que utilizan los vínculos WAN.
Definición de los objetos sitio
Cuando se crea el primer controlador de dominio de Windows 2000 de la red, el Asistente para Active
Directory crea el primer sitio, lo denomina Primer sitio predeterminado (se trata de su nombre verdadero)
y lo asocia con el servidor que se acaba de promover. Se puede dejar este nombre o proporcionar a este
sitio un nombre más descriptivo si se desea. Si todos los servidores de Active Directory de la red van a
estar ubicados lo bastante cerca unos de otros como para comunicarse mediante conexiones LAN no hace
falta ningún sitio más ni el complemento Sitios y servicios. A medida que se promueve cada servidor de
la red a controlador de dominio, Active Directory lo añade al sitio y configura automáticamente la
topología de réplica entre los servidores.
Si se van a tener servidores en ubicaciones remotas, sin embargo, se pueden crear otros sitios utilizando
Sitios y servicios de Active Directory. Al crear objetos subred y asociarlos con sitios concretos, se ofrece
a Active Directory la información que necesita para añadir de manera automática al sitio correspondiente
a cada servidor que se promueve a controlador de dominio, de acuerdo con la subred en la que se halla la
máquina. Si se desplaza un servidor a una ubicación nueva en un sitio diferente, no obstante, hay que
trasladar manualmente el objeto servidor al nuevo objeto sitio. Por tanto, si se piensa instalar y configurar
un controlador` de dominio en la oficina principal y luego enviarlo a una ubicación remota, hay que
utilizar Sitios y servicios para desplazar el objeto al sitio correspondiente.

Capítulo 10
Para desplazar un servidor a un sitio nuevo, hay que seguir el procedimiento siguiente:
1. Hay que abrir Sitios y servicios de Active Directory.

2. Hay que pulsar el signo más (+) situado junto a Sitios para abrir la lista de los sitios disponibles.
3. Para abrir la lista de servidores, hay que pulsar el sitio en que se halla actualmente el servidor.
4. Hay que pulsar con el botón derecho del ratón el servidor que se desea desplazar y escoger
Mover en el menú de accesos directos.
5. En la ventana Mover Servidor, hay que seleccionar el nuevo sitio para el servidor y pulsar
Aceptar.
Objetos subred
Active Directory utiliza los objetos subred para definir los limites de los sitios. Los objetos subred
consisten en una dirección de red y en una máscara de subred utilizada por todos los equipos del sitio o
por algunos de estos. Un sitio puede asociarse con varios objetos subred para que, si la red tiene varias
subredes en una misma ubicación, se puedan incluir todas en un solo sitio. En redes con dos o más sitios,
el Asistente para la instalación de Active Directory necesita los objetos subred para ubicar los objetos
servidor de los controladores de dominios recién promovidos en los sitios correctos. Sin los objetos
subred, el Asistente puede crear el objeto servidor en el lugar equivocado. Si esto sucede, se puede
desplazar de manera manual el objeto servidor hasta el sitio correspondiente.
Objetos servidor
Los objetos servidor son siempre secundarios de los objetos Sitio y los crea el Asistente para instalación
siempre que promueve un servidor de Windows 2000 a controlador de dominio. No hay que confundir
los objetos servidor de Active Directory con los objetos equipo que también crea el asistente durante el
proceso de promoción. Los dos, aunque relacionados, son objetos completamente diferentes con
propósitos distintos. Se pueden crear objetos servidor de manera manual en el complemento Sitios y
servicios, pero esto no debería ser necesario.
Cuando la instalación de Active Directory incluye dos o más sitios, el Asistente para instalación utiliza
las subredes asociadas con los objetos sitio para determinar el sitio apropiado para el objeto servidor.
Aunque no haya ningún sitio asociado con la subred utilizada por el nuevo controlador de dominio, el
asistente crea el objeto servidor. Posteriormente hay que crear el sitio al que pertenece el servidor y
desplazarlo hasta el o bien habrá que crear un nuevo objeto subred y asociarlo con un sitio existente.
Introducción a la réplica de dominios
La réplica es el proceso de copia de datos de Active Directory entre los controladores de dominio para
asegurarse de que todos poseen la misma información. Las posibilidades de réplicación con múltiples
maestros de Windows 2000 hacen todo el proceso de réplica más complejo que en Microsoft Windows
NT. En las redes de Windows NT los servidores escriben en primer lugar todas las modificaciones de los

Capítulo 10
directorios de dominio en el controlador de dominios principal, que luego propaga la información a los
controladores de dominios de reserva. Este proceso es una réplicación de un sólo maestro. En Windows
2000 los administradores pueden modificar Active Directory escribiendo en cualquier controlador de
dominio. Todos los controladores de dominios ejecutan eventos de réplica periódicos que copian las
modificaciones en todos los demás controladores de dominios. El calendario y la topología de estos
eventos de réplica varia en función de si los controladores de dominios se hallan en el mismo sitio o en
sitios diferentes.
Réplica intrasitios
La réplica entre controladores de dominios ubicados en el mismo sitio se denomina réplica intrasitios y
es completamente automática y autorregulada. Un módulo denominado comprobador de la consistencia
del conocimiento (Knowledge Consistency Checker, KCC) crea conexiones entre los controladores de
dominios del sitio y activa los eventos de réplica siempre que se modifica la información de directorio de
un controlador de dominio. Como se supone que todos los controladores de dominios del sitio están bien
conectados, el proceso de réplica esta diseñado para conservar la latencia (es decir, el retraso entre la
escritura en el directorio y su propagación a los demás controladores de dominios) en un valor mínimo,
incluso a costa de la anchura de banda de la red.
El KCC crea de manera dinámica objetos conexión en Active Directory; cuando la comunicación entre
los controladores de dominios de un mismo sitio se interrumpe, el KCC crea de manera inmediata nuevas
conexiones para asegurar el oportuno contacto entre los sistemas. Oportuno contacto en el interior de un
sitio significa que ningún controlador de dominio se halla a más de tres conexiones (o saltos) de
cualquiera de los demás. Los administradores pueden crear objetos conexión adicionales, lo que puede
mejorar la comunicación entre los controladores y reducir aun más la latencia mediante la reducción del
número máximo de saltos permitidos, pero este enfoque también aumenta los recursos del sistema
utilizados por el proceso de réplica, incluidos los ciclos del procesador, los accesos al disco y la anchura
de banda de la red. Como regla general, la topología de réplicas en el interior de un sitio no necesita
mantenimiento administrativo.
Réplica entre sitios
Cuando se crean varios sitios en Active Directory, los controladores de dominios dan por supuesto que
las conexiones de red entre los sitios son más lentas que las establecidas en su interior, más caras o
ambas cosas. En consecuencia, los controladores de dominios utilizan la réplica entre sitios para intentar
minimizar el tráfico de réplica entre los sitios y para proporcionar a los administradores una topología de
réplica mucho más flexible.
Cuando hay controladores de dominios en varios sitios, Active Directory sigue creando una topología de
réplica predeterminada de manera automática durante el proceso de instalación. Sin embargo, hay varias
diferencias entre los modelos de réplica predeterminados de las topologías en el interior de un sitio y
entre sitios. Entre esas diferencias están las siguientes:

Capítulo 10
● Número de conexiones: El KCC sigue creando de manera automática conexiones entre los
controladores de dominios de los diferentes sitios, pero crea menos. Entre sitios no se tiene en
cuenta la regla del máximo de tres saltos con objeto de minimizar el ancho de banda utilizado.
● Calendario de réplicas: Las actividades de réplica en el interior de un sitio se activan por
cambios en la base de datos de Active Directory de los controladores de dominios. La réplica
entre sitios tiene lugar a la hora y con el intervalo previstos. Los administradores pueden
personalizar el calendario para aprovechar los momentos en que el tráfico es bajo y el ancho de
banda resulta menos caro.
● Compresión: Los controladores de dominios transmiten los datos de réplica en el interior de los
sitios sin comprimirlos, con lo que le ahorran al procesador los ciclos necesarios para
descomprimirlos en destino. El tráfico entre sitios se transmite siempre comprimido para
conservar el ancho de banda.
Una de las funciones principales del complemento Sitios y servicios es la configuración del modelo de
réplica entre los sitios. Para ello hay que crear objetos de vínculos a sitios y puentes de vínculos a sitios
que especifiquen el modo y el momento de transmisión de los datos de réplica entre los sitios.
Inicio de Sitios y servicios
La herramienta Sitios y
servicios es un complemento
estándar de la aplicación MMC
que se inicia seleccionando
Sitios y servicios de Active
Directory en Herramientas
Administrativas del grupo
Programas del menú Inicio.
El modulo del complemento se
denomina Dssite.msc; también
se puede iniciar Sitios y
servicios ejecutando ese
nombre de archivo desde la
línea de comandos o desde el
cuadro de dialogo Ejecutar.
Examen de los objetos de

réplica
La interfaz de Sitios y servicios utiliza los mismos paneles del árbol de consola y de resultados que gran
parte de las demás herramientas administrativas de Active Directory. El contenedor Sites del árbol de la
consola contiene el objeto Nombre-Predeterminado-Primer-Sitio creado de manera automática por la
instalación de Active Directory y otros dos contenedores denominados Inter-Site Transports y Subnets.
Cuando se crean mas sitios, aparecen como objetos diferentes en el contenedor Sites. Los objetos creados

Capítulo 10
por los administradores aparecen en el contenedor bajo el epígrafe Sites, los objetos subred en el
contenedor Subnets y los objetos de vínculos a sitios y de puentes de vínculos a sitios en el contenedor
Inter-Site Transports.
Creación de los objetos sitio
La creación de mas objetos

sitio en Active Directory sólo
es cosa de pulsar el contenedor
Sites con el botón derecho del
ratón y escoger Nuevo Sitio en
el menú de contexto. Cuando
aparezca el cuadro de dialogo
Nuevo objeto - Sitio hay que
darle un nombre al objeto sitio
y seleccionar el vínculo a sitios
que debe utilizar para definir el
mecanismo de transporte del
sitio. El Asistente para
instalación de Active Directory
crea el objeto Defaultipsitelink
durante el proceso de
instalación, por lo que este
objeto siempre está disponible
si no se ha creado todavía
ningún otro vínculo a sitios.
Después de crear el objeto
sitio, se le pueden introducir
los objetos servidor y asociarlos con las subredes en que se hallan.
Examen de las propiedades de los objetos sitio: Cada objeto sitio de Active Directory tiene un
contenedor Servers que guarda los objetos que representan los servidores del sitio, un objeto Licensing
Site Settings y un objeto NTDS Settings. La ventana Propiedades del objeto sitio permite especificar una
descripción del sitio y de su ubicación, así como contener las fichas estándar Objeto, Seguridad y
Directiva de grupo que se hallan en la ventana equivalente de tantos otros objetos de Active Directory.
El objeto Licensing Site Settings especifica el equipo y el dominio que conceden la licencia al sitio. En la
ventana Propiedades del objeto NTDS Settings, se puede desactivar la generación automática por KCC
de una topología de réplicas en el mismo sitio, entre ese sitio y otros o de ambos modos. Si se desea
configurar manualmente el comportamiento de réplica de un sitio, se pueden activar estas opciones, pero
suele resultar innecesario. Se pueden crear mas conexiones para complementar las creadas por KCC y
configurar el comportamiento de réplica del sitio de otra manera sin desactivar su funcionalidad
primordial.

Capítulo 10
Creación de objetos servidor y conexión
Los objetos servidor se crean durante la instalación de Active Directory en cada controlador de dominio,
en el sitio asociado con la subred en que se halla el servidor. Cada objeto servidor contiene un objeto
NTDS Settings que, a su vez, contiene los objetos que representan las conexiones de ese servidor con
otros controladores de dominios de la red. Estas conexiones deben existir para que los controladores de
dominios repliquen los datos de su Active Directory. Todas las conexiones, tanto las creadas
automáticamente por KCC
como las creadas manualmente
por un administrador, aparecen
como objetos asociados con un
servidor. Un objeto conexión
es un camino unidireccional
hasta otro controlador de
dominio de la red, bien se halle
en el mismo sitio o en uno
distinto. Para que el tráfico de
réplica se realice en los dos
sentidos debe haber objetos
conexión para cada uno de los
servidores.
El KCC crea de manera

automática objetos conexión
que aseguran la réplica continua de los datos de Active Directory a todos los controladores de dominios
en funcionamiento de cada dominio. Cuando la situación de la red se modifica como ocurre cuando cae
un controlador de dominio y eso obliga a que el tráfico de réplica entre otros dos controladores de
dominios cualesquiera del sitio recorra más de dos saltos-, el KCC crea nuevos objetos conexión para
reducir ese recorrido del tráfico a tres saltos o a menos. Cuando el controlador de dominio que no
funcionaba vuelve a estar operativo, el KCC puede eliminar los objetos conexión para devolver el tráfico
de réplica a su topología recomendada.
Normalmente, la única razón por la que hay que crear manualmente objetos conexión es la
personalización de la topología de réplica de la red. Si, por ejemplo, se desea que las actividades de
réplica sólo tengan lugar a unas horas dadas, se puede crear un objeto conexión y configurar su
calendario. también se pueden crear objetos conexión para disminuir el número de saltos entre
determinados controladores de dominios.
La principal diferencia entre los objetos conexión creados manualmente y los creados por el KCC es que
los objetos creados manualmente siguen en su sitio hasta que se eliminan manualmente; el KCC no los
elimina independientemente de la manera en que cambie la topología de réplica. Los objetos conexión
creados por el KCC, sin embargo, se eliminan de manera automática cuando se modifica la topología de

Capítulo 10
réplica.
Para crear un objeto conexión:
1. Hay que pulsar con el botón derecho del ratón el objeto NTDS Settings de un servidor en el
árbol Sitios y servicios de la consola y escoger Nueva conexión de Active Directory en el menú
de accesos directos. Esto hace que aparezca el cuadro de dialogo Buscar controladores de
dominio.
2. Hay que seleccionar el controlador de dominio para el que se desea crear una conexión y pulsar
Aceptar para abrir el cuadro de diálogo Nuevo objeto - conexión.
3. Hay que darle un nombre a la nueva conexión y pulsar Aceptar. El programa añade un objeto
conexión al panel de detalles.
La ventana Propiedades de los objetos conexión contiene la conocida ficha Objeto, la ficha Seguridad y
una ficha conexión de Active Directory. En esta ficha se puede escribir una expresión descriptiva de la
conexión, seleccionar el modo de transporte de los mensajes de réplica (IP, RPC o SMTP) y programar
los eventos de réplica.
El cuadro de dialogo que aparece cuando se pulse el botón Cambiar programación permite especificar las
horas del día en que debe tener lugar la réplica y el intervalo entre los eventos de réplica (una, dos o
cuatro veces por hora). Hay que tener en cuenta que esta conexión solo controla los mensajes de réplica
que viajan desde el servidor bajo el que aparece el objeto hasta el servidor seleccionado como destino al
crear el objeto. El tráfico en el otro sentido lo controla el objeto conexión del otro servidor (si es que
existe).
Creación de objetos subred
El contenedor Subnets es el lugar en que los administradores crean los objetos que representan las
subredes IP de la red y las asocian con objetos sitio concretos. Cuando se promueve el primer servidor a
controlador de dominio, el Asistente para instalación de Active Directory crea un sitio y ubica el objeto
servidor en ese sitio. Si se crean más sitios, se utilizan los objetos subred para asegurar que cada
controlador de dominio que se instale posteriormente se situé en el sitio adecuado. Durante el proceso de
promoción, el asistente identifica la subred en la que reside el servidor y busca en Active Directory el
objeto subred correspondiente. Cuando el asistente halla el objeto subred, lee sus propiedades para
determinar el sitio con el que esta asociada esa subred y crea en el el nuevo objeto servidor.
Los objetos subred no resultan esenciales para la topología de réplicas de Active Directory. Se pueden
crear sitios y desplazar a ellos manualmente los objetos servidor. Sin embargo, si se van a instalar
muchos servidores, los objetos subred automatizan la construcción de la topología de réplicas y hacen
más manejable todo el proceso de implantación del sitio. Para crear un objeto subred, hay que seguir este
procedimiento:

Capítulo 10
1. Hay que pulsar el contenedor Subnets con el botón derecho del ratón en el árbol de la consola del
complemento Sitios y servicios y escoger Nueva subred en el menú de accesos directos.
2. En el cuadro de dialogo Nuevo objeto - Subred hay que escribir el nombre del objeto, que debe
ser la dirección y la máscara de red de la subred.
3. Hay que seleccionar el sitio con el que la subred va a estar asociada y pulsar Aceptar.
A este sitio se añadirá de manera automática cualquier servidor de la subred que se promueva a
controlador de dominio. Se pueden asociar varias subredes con un solo sitio para soportar una red de
prácticamente cualquier tamaño.
Creación de objetos vínculo a sitios
El contenedor Inter-Site Transports es el lugar donde se crean los objetos vínculo a sitios y puente de
vínculos a sitios que determinan el modo en que se transmite entre los sitios el tráfico de réplicas. Dos
contenedores de Inter-Site Transports representan los dos protocolos de transporte soportados por Active
Directory: IP y el protocolo sencillo de transporte de correo (Simple Mail Transport Protocol, SMTP).
Los objetos vínculo a sitios representan el mecanismo WAN utilizado para transmitir los datos entre los
dos sitios, como puede ser una conexión T1 alquilada o un soporte con modo de transferencia asíncrono
(Asynchronous Transfer Mode, ATM) en el caso IP, o cualquier medio por el que los sistemas envíen
correo electrónico utilizando SMTP Active Directory crea un objeto vínculo a sitios predeterminado,
denominado Defaultipsitelink, cuando crea el primer sitio de la red durante la promoción del primer
servidor a controlador de dominio. Si todos los sitios están vinculados utilizando tecnologías con la
misma velocidad, no hace falta crear mas vínculos a sitios. Cuando se tienen diferentes tecnologías en las
conexiones entre los sitios, sin embargo, hay que crear varios objetos vínculo a sitios para tener
diferentes programas de réplicas para cada una de ellas.
Al crear un objeto vínculo a sitios, hay que seleccionar dos o mas sitios que estén conectados por el
mecanismo de transporte y especificar un valor para el coste del enlace. El valor del coste permite
asignar prioridades a las diferentes conexiones WAN en función de sus velocidades relativas. Un mayor
valor del coste indica que la conexión es mas caro de utilizar y el KCC programa, en consecuencia,
réplicas menos frecuentes en las conexiones entre esos dos sitios. Cada incremento en el valor del coste
representa quince minutos en el programa de réplicas. Un valor de coste de tres, por ejemplo, haría que la
réplica tuviera lugar cada cuarenta y cinco minutos.
Para crear un objeto vínculo a sitios, hay que seguir este procedimiento:
1. Hay que pulsar con el botón derecho del ratón el transporte IP o SMTP en el árbol de la consola
de Sitios y servicios y escoger Nuevo vínculo a sitios en el menú de accesos directos.
2. En el cuadro de dialogo Nuevo objeto - Vínculo de sitio, hay que especificar el nombre del objeto
y seleccionar los sitios que conecta el enlace. Si el enlace va a representar una conexión punto a
punto como las de tipo T1, hay que seleccionar solo dos sitios. Para tecnologías como los soportes

Capítulo 10
ATM, que pueden conectar varios sitios, hay que seleccionar más de dos objetos sitio. Cuando el
objeto vínculo a sitios conecta mas de dos objetos sitio, se puede suponer que cualquiera de los
sitios escogidos puede transmitir a cualquier otro.
3. Hay que pulsar el botón Aceptar y el administrador crea el objeto de vínculo.
Los objetos vínculo a sitios no pueden encaminar el tráfico de réplicas. Esto significa que,
si un vínculo a sitios conecta el sitio A con el sitio B y otro enlace conecta el sitio B con el
C, el sitio A no puede transmitir al C. Para que esto suceda, hay que crear un puente de
vínculos a sitios.
Configuración de los vínculos a Sitios: Hay que pulsar el nuevo objeto de vínculo con el botón derecho
del ratón y seleccionar Propiedades pare configurar sus propiedades. La ventana Propiedades de los
objetos de vínculos a sitios contiene las fichas estándar Objeto y Seguridad, así como una ficha General,
en la que se puede aportar una descripción del objeto y especificar los sitios conectados por el vínculo.
Se pueden añadir nuevo sitios al enlace después de crear el objeto si es necesario.
La ficha General también contiene campos con los que especificar el coste del enlace (desde 1 hasta
32.767) y el intervalo entre los eventos de réplica (desde 15 hasta 10.080 minutos). Pulsar el botón
Cambiar programación permite especificar periodos de tiempo en los que las réplicas están autorizadas o
prohibidas. Si se desea limitar las actividades de réplicas a las horas de menor tráfico, por ejemplo, se
puede especificar que los eventos de réplica no tengan lugar entre las 9 A.M. y las 5 P.M. El KCC
observa los limites de calendario del objeto vínculo a sitios cuando crea de manera dinámica conexiones
entre los controladores de dominios.
Aunque el valor del coste determina el intervalo entre los eventos de réplica, se puede
ajustar la frecuencia de las réplicas utilizando el selector Réplicar cada de la ficha
General de la ventana Propiedades de los vínculos a sitios. Si los clientes reciben de
manera habitual información de directorio incorrecto de los controladores de dominios,
hay que aumentar la frecuencia de las réplicas.
Creación de objetos de puentes de vínculos a sitios
Los objetos de puentes de vínculos a sitios actúan de manera similar a los vínculos a sitios, salvo que, en
lugar de agrupar sitios, agrupan vínculos a sitios. Un objeto de puente de vínculos a sitios suele
representar un enrutador de la infraestructura de la red. Se crean objetos de puentes de vínculos a sitios
para permitir el encaminamiento del tráfico de réplicas entre los sitios enlazados. Cuando se crea un
puente de vínculos a sitios que contiene dos enlaces que conectan el sitio A con el sitio B y el sitio B con
el C, el puente permite que el sitio A transmita los datos de réplica al sitio C a través del sitio B.
El procedimiento para crear un objeto de puente de vínculos a sitios es prácticamente idéntico al de la

creación de objetos de vínculos a sitios, salvo que se seleccionan dos o más vínculos a sitios en lugar de
seleccionarse sitios. No hace falta especificar el coste de enrutamiento para los puentes de vínculos a

Capítulo 10
sitios porque Active Directory lo calcula de manera automática sumando los costes de enrutamiento de
todos los sitios del puente. Por tanto, un objeto de puente de vínculos a sitios que contenga dos sitios con
costes de enrutamiento de tres y de cuatro tendrá un coste de enrutamiento de siete.
El esquema de Active Directory
El esquema es el sello de Active Directory, lo que indica el tipo de objetos que puede haber en la base de
datos y sus atributos. Para personalizar Active Directory para su uso en la red, se puede modificar el
esquema para crear nuevos tipos de objetos, añadir nuevos atributos a los tipos de objetos existentes y
modificar el tipo de información incluída en un atributo. Para ello hay que utilizar el complemento de
MMC denominado Esquema de Active Directory.
La modificación del esquema es una tarea que, por lo general, los administradores no tienen que realizar
nunca. Como mucho, se llega a modificar el esquema de manera ocasional o, quizás, solo una vez. Las
modificaciones del esquema son objeto de las mismas advertencias que las modificaciones del registro
del sistema de Windows 2000, salvo que a mayor escala. Igual que las modificaciones inadecuadas del
registro pueden afectar negativamente a un solo sistema, las modificaciones inadecuadas del esquema
pueden tener un efecto devastador en toda la red.
Examen de la seguridad del esquema
Como la modificación del esquema de Active Directory no es algo que se deba hacer a tontas y a locas,
Windows 2000 utiliza varios mecanismos de seguridad para evitar que se modifique el esquema de modo
accidental o sin que existan buenas razones para ello. Solo se puede modificar el esquema cuando se
hayan satisfecho los requisitos de los tres mecanismos de seguridad.
Permisos de administrador del esquema
Para modificar el esquema hay que haber iniciado la sesión en un servidor o estación de trabajo de
Windows 2000 utilizando una cuenta que pertenezca al grupo Administradores de esquema. Se trata de
un grupo intrínseco que se crea durante la instalación de Active Directory y concede a sus componentes
el permiso para escribir en el objeto esquema. La cuenta del administrador pasa a formar parte de manera
automática del grupo Administradores de esquema. Los usuarios que no forman parte de este grupo
también pueden modificar el esquema si algún administrador les ha concedido los permisos
correspondientes para el objeto esquema.
Operaciones del esquema flexibles de un solo maestro
Active Directory utiliza un sistema de réplica de varios maestros para las modificaciones del contenido
de la base de datos, pero para las modificaciones del esquema utiliza un sistema de un único maestro.
Esto significa que solo un controlador de dominio puede modificar el esquema en cada momento. A
diferencia de la mayoría de los modelos de réplica de maestro único, que exigen que todas las

Capítulo 10
modificaciones se escriban en un sistema determinado y que se copien con posterioridad a las demás
réplicas, los administradores pueden modificar el esquema de Active Directory desde cualquier
controlador de dominio. El mecanismo que hace posible esto se denomina operaciones del esquema
flexibles de un solo maestro. Mientras un administrador modifica el esquema en un controlador de
dominio, se deniegan las solicitudes de acceso para escritura al esquema en todos los otros controladores
de dominios.
Acceso al esquema solo para lectura
Finalmente, todos los controladores de dominios se configuran de manera predeterminada durante la

instalación de Active Directory para que permitan el acceso al esquema sólo para lectura. Para permitir el
acceso para escritura, hay que crear una entrada nueva en el Registro. Hay que explorar esta clave
utilizando uno de los editores del Registro de Windows 2000 (Regedit.exe o Regedt32.exe):
HKEY_LOCAL_MACHINE
\System
\Current Control ser
\Services
\NTDS
\Parameters
Hay que crear una nueva entrada DWORD denominada Schema Update Allowed. Hay que asignar a la
entrada un valor de 1 para permitir el acceso de escritura. Hay que cambiar el valor a 0 para volver a
desactivar el acceso para escritura después de haber completado las modificaciones.
Inicio del Esquema de Active Directory
Debido a su uso poco frecuente y al

riesgo potencial que supone, el
Administrador del esquema se halla
separado dos pasos del menú
Herramientas administrativas Aunque al
instalar Active Directory se instalan
algunas Herramientas Administrativas, es
posible que Esquema de Active Directory
no se haya instalado). Para examinar o
modificar el esquema, hay que instalar
antes todas las Herramientas
administrativas. Luego hay que ejecutar el complemento Esquema de Active Directory en una consola
MMC.
1. Inicie la sesión como administrador.

Capítulo 10
2. Inserte el disco compacto de Windows 2000 Server en la unidad de CD-ROM y, a continuación,

haga clic en Explorar este CD.
3. Haga doble clic en la carpeta I386, haga doble clic en Adminpak y, a continuación, siga las
instrucciones que aparecen en el Asistente para instalación de herramientas de administración de
Windows 2000.
4. Haga clic en Inicio y en Ejecutar, escriba mmc /a (en modo autor) y, a continuación, haga clic en
Aceptar.
5. Hay que seleccionar Agregar o guitar complemento en el menú Consola.
6. Hay que pulsar el botón Agregar y seleccionar Esquema de Active Directory en la lista de
complementos que se proporciona. Una vez cargado el complemento, se puede guardar la pantalla
de la consola en un archivo para proporcionar un acceso sencillo al complemento en un futuro.
Cuando se abra el panel de vistas, se podrán ver dos contenedores en el árbol de la consola que
guardan las clases y los atributos de los objetos que configuran esas clases. Al destacar cualquiera
de esos dos contenedores, aparecen las clases o los atributos de Active Directory en el panel de
resultados.
No obstante, antes de modificar el

esquema conviene asegurarse de
que el complemento esquema tiene
acceso a la base de datos de Active
Directory en el controlador de
dominio que actúa como principal
en ese momento (es decir, el
controlador de dominio en el que
se permite acceso para escritura).
Para determinar el controlador de
dominio al que se tiene acceso en
un momento dado, hay que seguir
el procedimiento siguiente:
1. Hay que seleccionar

Esquema de Active
Directory y escoger
Cambiar el controlador
de dominio en el menú
contextual. En el cuadro de
dialogo Cambiar el
controlador de dominio, se
puede ver el controlador de dominio vigente y se puede cambiar el foco a cualquier otro
controlador de dominio o especificar uno concreto.
2. Hay que pulsar con el botón derecho del ratón el objeto Esquema de Active Directory del árbol
de la consola y escoger Maestro de operaciones en el menú contextual.
3. En el cuadro de dialogo Cambiar el maestro de esquema, se puede ver el controlador de

Capítulo 10
dominio que actúa como maestro de operaciones y especificar si se puede modificar el esquema
en ese sistema. Para cambiar el esquema, hay que cambiar la réplica principal al controlador de
dominio que se esta utilizando o cambiar la réplica que se esta empleando al maestro.
Modificación del esquema
El proceso de modificación del esquema de Active Directory implica la creación o modificación de las
clases y los tipos de atributos de los objetos que aparecen en el Administrador del esquema. Las clases
son fundamentalmente conjuntos de atributos que forman un tipo de objeto de Active Directory por si
mismos o contribuyen con determinados atributos a otros tipos de objetos. Este ultimo caso se conoce
como clase auxiliar. Para añadir atributos a un tipo de objeto ya existente, el mejor método es crear una
clase nueva que contenga los nuevos atributos y añadirla al tipo de objeto como clase auxiliar. Este
método es mas manejable y menos arriesgado que la modificación de las clases que representan al propio
tipo de objeto.
Puede que los productos de software de otros fabricantes proporcionen sus propias modificaciones del
esquema que creen tipos de objetos completamente nuevos, pero la adición de atributos a tipos de objetos
ya existentes es la forma mas frecuente de modificación del esquema llevada a cabo manualmente por los
administradores -por ejemplo, la adición de atributos al tipo de objeto de usuario que permite guardar
información adicional relativa al usuario en Active Directory-. Este proceso, relativamente sencillo,
consta de los pasos que se describen a continuación, que se examinaran con más detalle en apartados
posteriores.
● Creación de nuevos objetos atributo correspondientes a los campos de información que se desea
añadir al objeto.
● Creación de un nuevo objeto clase para utilizarlo como clase auxiliar del tipo de objeto ya
existente.
● adición de los atributos recién creados a la nueva clase auxiliar.
● adición de la clase auxiliar a la clase objeto ya existente.
Creación de atributos
La creación de atributos es cuestión de proporcionar un nombre mediante el cual se identificara al

atributo y de especificar el tipo de datos que se va a guardar en él. Los datos pueden ser numéricos o de
texto y se pueden aplicar restricciones que los limiten a una longitud o a un valor concretos. Por ejemplo,
para añadir un atributo que guarde el número de la seguridad social del usuario, se especificaría que los
datos del atributo deben estar en forma de número entero y limitados a nueve cifras. Para crear un objeto
atributo hay que seguir este procedimiento:

Capítulo 10
1. Hay que pulsar con el botón

derecho del ratón el contenedor
Atributos del árbol de la
consola del Administrador del
esquema y escoger Crear
atributo en el menú contextual.
Esto hace aparecer al cuadro de
dialogo Crear atributo nuevo.
2. En el cuadro Identificación, hay
que especificar el nombre del
nuevo objeto.
● Nombre común debe
contener el nombre con el

que aparecerá el atributo
en los cuadros de dialogo
estándar.
● Nombre LDAP para
mostrar debe contener el

nombre por el que se
conocerá en la jerarquía de
directorios LDAP (LDAP
es el acrónimo de Lightweight Directory Access Protocol, Protocolo de compacto de
acceso a directorios.) A menudo, los dos nombres serán iguales.
● Id. de objeto X500 único debe contener una cadena de caracteres numérica que
identifique de manera univoca al objeto atributo en el espacio de nombres X.500. Los

organismos de normalización, como la Unión International de Comunicaciones, emiten Id.
de objeto (OID, Object ID) para asegurar que tengan valores únicos.
3. En el cuadro Sintaxis a intervalo hay que definir la naturaleza de los datos que se vayan a
guardar en el atributo.
● Sintaxis ofrece mas de una docena de opciones que definen el tipo de información que
puede guardarse en los atributos.

● Mínimo y Máximo permiten definir el rango de valores posibles. También se puede
especificar si el atributo debe poder tomar varios valores.

4. Hay que pulsar el botón Aceptar y el administrador creara el nuevo objeto atributo.
No hay que intentar inventar OID. Aunque se ejecute Active Directory en una red aislada
es muy fácil asignar un OID a un atributo o a una clase nuevos que duplique alguno de los
cientos de OID ya asignados a los objetos de Active Directory.
Hay que configurar el nuevo objeto atributo (o cualquier otro) abriendo la ventana Propiedades desde el
menú de contexto. Desde esta ventana se puede especificar una descripción del objeto, modificar el rango
de valores posibles y activar cualquiera de las opciones siguientes:

Capítulo 10
● Mostrar los objetos de la misma clase al explorar.

● Desactivar el atributo.
● Incluir el atributo en el índice de Active Directory.
● La resolución de nombres ambiguos (Ambiguous Name resolución, ANR).
● Réplicar el atributo en el Catalogo Global (Global Catalog, GC).
● Copiar el atributo al duplicar un usuario.
Creación de clases de objetos
Los objetos atributo en si mismos son inútiles hasta que forman parte de una clase de objetos. Los
objetos atributo creados se pueden añadir a una clase ya existente, pero suele resultar mas practico crear
un nuevo objeto clase para ellos. Para crear un objeto clase, hay que pulsar con el botón derecho del
ratón el contenedor Clases del complemento Esquema y escoger Crear clase en el menú contextual.
Al igual que ocurre con los objetos atributo, en primer lugar hay que especificar un nombre común, un
nombre LDAP para mostrar y un Id. de objeto X.500 único. Luego, en el cuadro Herencia y tipo, hay que
especificar la clase primaria del objeto nuevo (es decir, la clase de la que debe obtenerse el objeto nuevo)
y escoger uno de los tipos de clase siguientes:
● Clase estructural: Los objetos de directorio con los que se trabaja habitualmente en programas
como el Administrador de Active Directory. Un objeto de clase estructural puede tener come,
objeto primario una clase abstracta a otra clase estructural.
● Clase abstracta: Son los objetos de los que se obtienen los objetos de clase estructural. también
se puede especificar una clase abstracta ya existente como primario de los objetos nuevos de clase
abstracta.
● Clase auxiliar: Los conjuntos de atributos que se pueden añadir tanto a los objetos de clase
abstracta como a los de clase estructural para aumentar sus capacidades. Los objetos de clase
auxiliar nuevos solo pueden obtenerse de una clase abstracta.
Para guardar los atributos nuevos conviene crear un tipo de clase auxiliar
Adición de atributos a las clases
Después de crear los objetos atributo y el objeto clase que los vaya a contener, hay que añadir los
atributos a la clase. Esto se lleva a cabo abriendo la ventana Propiedades del objeto clase recién creado.
La ventana de los objetos clase tiene cuatro fichas, incluida la ficha Seguridad estándar. En la ficha
General, hay que escribir una descripción del objeto y especificar si la clase objeto debe ser visible al
explorar. también se puede desactivar el objeto seleccionando la casilla de verificación Desactivar esta
clase.
En la ficha Atributos, hay que añadir a la clase los objetos atributo recién creados pulsando el botón
Agregar de la lista Obligatorio o el de la lista Opcional y seleccionando los objetos por su nombre.

Capítulo 10
Cuando un atributo sea obligatorio, hay que asignarle un valor al crear un objeto nuevo de esa clase. Si,
por ejemplo, se crea un atributo número de la seguridad social, hay que añadirlo a la clase auxiliar como
atributo obligatorio y luego añadir la clase auxiliar a la clase usuario; la próxima vez que se cree un
nuevo objeto usuario, se exigirá un número de seguridad social para el usuario. No se exige ningún valor
para los atributos opcionales.
Adición de clases auxiliares a las clases estructurales
Los objetos de clases auxiliares no pueden guardar información de los atributos hasta haberse añadido a
un objeto de clase estructural, como puede ser un usuario o un equipo. Para ello, hay que abrir la ventana
Propiedades del objeto de clase estructural y seleccionar la ficha Relación.
En esta ficha, hay que pulsar el botón Agregar de la lista Clases auxiliares y seleccionar el objeto clase
que se acaba de crear. Esto hace que Active Directory añada los atributos de la clase auxiliar a la clase
estructural. En la lista Superior posible, hay que especificar las otras clases de objetos que pueden
contener esa clase de objetos. Por ejemplo, la clase de objetos usuario tiene en su lista Superior posible la
clase de objetos unidad organizativa, lo que permite la creación de usuarios nuevos en las OU. Lo
contrario no se cumple, sin embargo; no se puede crear una OU por debajo de un usuario, por lo que los
objetos usuarios no son superiores posibles de los objetos OU.
Introducción a las funciones de maestros de operaciones
Los controladores de dominios deben manejar cinco funciones de maestros de operaciones en cada
bosque de Active Directory. Algunas de las funciones de maestros de operaciones resultan fundamentales
para la red y, si la máquina que los facilita falla, se pondrá de manifiesto inmediatamente. Otras pueden
no estar disponibles durante mucho tiempo sin que ni el operador ni los usuarios se den cuenta. Las
funciones son las siguientes:
● Emulador del controlador principal de dominio (PDC, Primary Domain Controller): actúa
como el controlador principal de dominio de Windows NT en los dominios que tienen
controladores de dominio secundarios de Windows NT o que tienen equipos sin el software
cliente de Windows 2000.
● Maestro de esquema: Controla todas las actualizaciones y modificaciones del esquema.
● Maestro de nombres de dominio: Controla la adición o eliminación de dominios.
● Maestro de identificadores relativos (RID, Relative Identifier): Asigna ID relativos cada
controlador de dominio.
● Maestro de infraestructuras: Actualiza los cambios en las referencias de grupo a usuario cuando
se modifican las pertenencias a los grupos.
Generalmente no hay motivo para interferir en los maestros de operaciones. La transferencia de

funciones resulta relativamente trivial. Se realiza una transferencia cuando el titular original de la función
está disponible. En circunstancias graves, cuando el controlador que posee la función no esta disponible,

Capítulo 10
se puede tomar una función, pero se trata de una medida drástica y no se debe adoptar a la ligera. En
todos los casos, salvo con el emulador PDC, cuando se toma una función de maestro de operaciones (en
lugar de transferirla), no se debe reactivar al titular original de la función tomada sin volver a dar formato
completo al disco de inicio y reinstalar Windows 2000. Los siguientes apartados explican con mas detalle
las funciones de maestros de operaciones.
El emulador del controlador principal de dominio
A1 actualizar un dominio de Windows NT, solo un controlador de dominio puede crear cuentas de
usuario, de grupo y de equipo -el fundamento de la seguridad-. Este controlador de dominio de Windows
2000 se configura como maestro de operaciones PDC y emula a los controladores principales de
dominios de Windows NT. El emulador PDC soporta los protocolos Kerberos y NTLM, lo que permite
que los controladores de dominios de Windows NT se sincronicen con los entornos de Windows 2000
que se ejecutan en modo mixto.
Cada dominio debe tener un controlador de dominio que actúe como emulador de PDC mientras ese
dominio contenga clientes sin software cliente de Windows 2000 o controladores secundarios de
dominios de Windows NT. Que el controlador que actúa como emulador PDC no este disponible afecta a
los usuarios porque la propia red queda afectada. Por tanto, si se sabe que el controlador que actúa como
emulador PDC no va a estar disponible, hay que transferir esa función.
Transferencia del emulador PDC: Para transferir la función de emulador PDC, hay que seguir el
procedimiento siguiente:
1. Hay que elegir Usuarios y equipos de Active Directory en el menú Herramientas administrativas.
2. Hay que pulsar con el botón derecho del ratón el nodo del dominio y escoger Conectar con el
controlador de dominio en el menú de accesos directos.
3. Hay que seleccionar el controlador de dominio al que se desea atribuir la función de emulador
PDC y pulsar Aceptar.
4. Hay que pulsar el nodo del dominio con el botón derecho del ratón y escoger Maestro de
operaciones en el menú de accesos directos. Hay que pulsar la ficha PDC para ver el foco actual
(el controlador que pasara a ser emulador PDC) y el controlador que es el maestro de operaciones
actual.
5. Hay que pulsar Cambiar y Aceptar.
Toma del emulador PDC: Si el emulador PDC deja de estar disponible de manera inesperada y no se
puede volver a poner en servicio rápidamente, hay que forzar a otro controlador de dominio para que
tome su función. Para tomar el emulador PDC, hay que seguir el procedimiento siguiente:
Para asumir la función de maestro de nombres de dominio
1. Haga clic en Inicio y Ejecutar, y después escriba cmd.

Capítulo 10
2. En el símbolo del sistema, escriba ntdsutil.

3. En el símbolo del sistema de ntdsutil, escriba roles.
4. En el símbolo del sistema fsmo maintenance, escriba connections.
5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de
dominio completo.
6. En el símbolo del sistema server connections , escriba quit.
7. En el símbolo del sistema fsmo maintenance, escriba seize domain naming master.
8. En el símbolo del sistema fsmo maintenance , escriba quit.
9. En el símbolo del sistema de ntdsutil, escriba quit.
Asumir la función de maestro de nombres de dominio es un paso drástico que únicamente

se debe considerar si el servidor de operaciones actual nunca va a volver a estar
disponible.
Antes de asumir esta función, quite el servidor principal de operaciones actual de la red y
compruebe que el nuevo servidor principal de operaciones esté actualizado. Para obtener
más información acerca de las operaciones con un sólo servidor principal, consulte los
temas relacionados.
Cuando el emulador PDC original vuelve a estar disponible, se puede utilizar el mismo procedimiento
para devolverle la función de emulador PDC.
Maestro de esquema
No puede resultar una sorpresa que el maestro de esquema maneje todas las actualizaciones del esquema.
Solo existe un maestro de esquema en todo el bosque. El maestro de esquema se asigna al primer
controlador de dominio del dominio y permanece allí a menos que se cambie. Como las modificaciones
del esquema son poco frecuentes, el maestro de esquema puede no estar operativo durante un amplio
periodo de tiempo sin que ello afecte a los usuarios.
Transferencia del maestro de esquema: Para transferir la función de maestro de esquema, hay que
seguir el procedimiento siguiente:
1. Hay que abrir el complemento Esquema de Active Directory.

2. Hay que pulsar con el botón derecho del ratón en Esquema de Active Directory en la ventana de
la consola y escoger Cambiar el controlador de dominio. Hay que cambiar el foco al controlador
que vaya a asumir la función de maestro de esquema.
3. Hay que pulsar con el botón derecho del ratón en Esquema de Active Directory en la ventana de
la consola y escoger Maestro de operaciones en el menú de accesos directos. Hay que pulsar el
botón Cambiar y Aceptar.
Toma del maestro de esquema: No hay que tomar el maestro de esquema a menos que no queden

Capítulo 10
esperanzas de volver a poner en servicio el controlador original. Antes de tomar la función de maestro de
esquema, el maestro de esquema original debe estar desconectado de la red. Para tomar la función de
maestro de esquema, hay que seguir el procedimiento siguiente:
1. Hay que escoger Ejecutar en el menú Inicio (o abrir una ventana de comandos), escribir ntdsutil y
pulsar INTRO.
2. A cada petición, hay que facilitar la siguiente información y pulsar INTRO:
• En ntdsutil, hay que escribir roles.
• En fsmo maintenance, hay que escribir connections.
• En server connections, hay que escribir connect to server seguido del nombre de dominio
completo del controlador que vaya a ser el nuevo schema master.
• En server connections, hay que escribir quit.
• En fsmo maintenance, hay que escribir seize schema master.
• En ntdsutil, hay que escribir quit.
La toma de la función de maestro de esquema es una medida radical. No debe hacerse a

menos que el maestro de esquema original quede definitivamente fuera de servicio. Si se
volviera a reactivar el maestro de esquema original, hay que volver a dar formato a su
disco de arranque y volver a instalar Windows 2000 para evitar problemas graves con la
actualización del esquema.
Maestro de nombres de dominio
Sólo un servidor de la empresa adopta la función de maestro de nombres de dominio, por lo que el
maestro de nombres de dominio se crea en el primer dominio y la función sigue allí independientemente
del tamaño del bosque. El maestro de nombres de dominio puede no estar disponible durante algún
tiempo y la red no se vera afectada hasta que se necesite establecer un dominio nuevo. Por tanto, a menos
que el controlador que desempeña esta función vaya a eliminarse de la red de manera permanente,
normalmente no será necesario transferir ni tomar esta función.
Transferencia del maestro de nombres de dominio: Si hace falta transferir esta función a otro
controlador hay que seguir el procedimiento siguiente.
1. Hay que escoger Dominios y confianzas de Active Directory en el menú Herramientas

administrativas.
2. Hay que pulsar con el botón derecho del ratón Dominios y confianzas de Active Directory y
escoger Conectar con el controlador de dominio en el menú de accesos directos.
3. Hay que seleccionar el controlador de dominio al que se desea atribuir la función de maestro de
hombres de dominio y pulsar Aceptar.
4. Hay que pulsar otra vez con el botón derecho del ratón Dominios y confianzas de Active
Directory y seleccionar Maestro de operaciones en el menú de accesos directos. Se abrirá un
cuadro de dialogo que muestra el maestro de hombres de dominio actual y el equipo que va a

Capítulo 10
pasar a ser maestro de hombres de dominio.

Toma del maestro de hombres de dominio: Si el maestro de hombres de dominio debe que dar
apartado de la red de manera imprevista y permanente se puede tomar la función de maestro de nombres
de dominio y reasignarlo a otro controlador de dominio. Para tomar la función, hay que seguir el
pulsar INTRO.
2. A cada petición, hay que facilitar la siguiente información y pulsar INTRO:
• En server connections, hay que escribir connect to server seguido del hombre de dominio
completo del controlador que vaya a ser el nuevo maestro.
• En fsmo maintenance, hay que escribir seize domain naming master.
Antes de tomar el maestro de hombres de dominio, el controlador titular de la función de

maestro de hombres de dominio debe quedar completamente desconectado de la red. La
Coma de la función de maestro de hombres de dominio es una medida radical y no debe
hacerse a menos que el maestro de hombres de dominio original quede fuera de servicio
de manera permanente. Si se vuelve a reactivar el maestro de hombres de dominio
original previamente, hay que volver a dar formato a su disco de arranque y reinstalar
Windows 2000.
Maestro de identificadores relativos
Cuando un controlador de dominio crea un objeto de seguridad -una cuenta de usuario, de grupo 0 de
equipo-, asigna a ese objeto un identificador único (SID). El SID se compone de dos partes: el ID de
seguridad del dominio, que es común para todos los objetos de seguridad del dominio, y el ID relativo,
que es único para cada objeto. El maestro RID es el controlador de cada dominio que asigna y controla
las secuencias de ID relativos.
Los usuarios no advierten la pédida temporal del maestro RID. Tampoco es probable que los
administradores lo noten, a menos que estén creando objetos de seguridad y el dominio agote los
números ID relativos. Por tanto, la transferencia de la función de maestro RID no suele ser necesaria, a
menos que el maestro RID se vaya a eliminar de la red de manera permanente.
Transferencia del maestro RID :Si hay que transferir esta función a otro controlador, hay que seguir el

Capítulo 10
1. Hay que escoger Usuarios y equipos de Active Directory en el menú Herramientas

administrativas.
2. Hay que pulsar con el botón derecho del ratón el nodo del dominio y escoger Conectar con el
controlador de dominio en el menú de accesos directos.
3. Hay que seleccionar el controlador de dominio al que se le desea asignar la función de maestro
RID. Hay que pulsar Aceptar.
4. Hay que pulsar el nodo del dominio con el botón derecho del ratón y escoger Maestro de
operaciones en el menú de accesos directos. Se abrirá un cuadro de dialogo. En la ficha RID
aparecerá el foco actual (el controlador que va a pasar a ser maestro RID) junto con el maestro de
operaciones actual.
Toma del maestro RID: Si el maestro RID debe quedar eliminado de la red de manera imprevista y
permanente, se puede tomar la función de maestro RID y reasignárselo a otro controlador de dominio.
Para tomar la función hay que seguir este procedimiento:
pulsar INTRO.
2. A cada petición hay que facilitar la siguiente información y pulsar INTRO:
• En ntdsutil hay que escribir roles.
• En fsmo maintenance hay que escribir connections.
• En server connections hay que escribir connect lo server seguido del nombre de dominio
• En server connections hay que escribir quit.
• En fsmo maintenance hay que escribir seize RID master.
• En ntdsutil hay que escribir quit.
Antes de proceder a la toma, el controlador titular de la función de maestro RID debe

estar completamente desconectado de la red. La toma de la función de maestro RID es una
medida radical. No hay que hacerlo a menos que el maestro RID está definitivamente
fuera de servicio. Si se vuelve a reactivar el maestro RID original antes, hay que volver a
dar formato a su disco de arranque y reinstalar Windows 2000.
Maestro de infraestructuras
El maestro de infraestructuras es responsable de tener al día los cambios en la pertenencia a los grupos y
de la distribución de las actualizaciones a los otros dominios. Hay un maestro de infraestructuras en cede
dominio. Si el controlador titular de la función de maestro de infraestructuras deja de estar disponible, los
usuarios no se verán afectados. Ni siquiera los administradores se dan cuenta hasta que varias
modificaciones en las cuentas de los usuarios no aparezcan en otros controladores de dominios. Por
tanto, es mejor no transferir la función de maestro de infraestructuras a menos que el controlador no vaya
a estar disponible durante un periodo de tiempo considerable.

Capítulo 10
A menos que el dominio solo tenga un controlador de dominio, no hay que asignar el rol
de maestro de infraestructuras al controlador que alberga el GC. Para averiguar si hay
que distribuir los cambios a otros dominios, el maestro de infraestructuras examina un GC
y se actualiza con su información. Si el GC y el maestro de infraestructuras están en el
mismo controlador, el maestro de infraestructuras no va a encontrar datos
desactualizados, por lo que no se replicará nada a otros dominios.
Transferencia del Maestro de infraestructuras: Para transferir la función de maestro de

infraestructuras a otro controlador hay que seguir el procedimiento siguiente:
1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas,
Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active
Directory.
2. En el árbol de la consola, haga clic con el botón secundario del ratón en el nodo del controlador
de dominio que se convertirá en el nuevo servidor principal de infraestructuras y, a continuación,
haga clic en Conectar con el dominio.
3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista.
4. En el árbol de la consola, haga clic con el botón secundario del ratón en Usuarios y equipos de
Active Directory y, a continuación, haga clic en Maestros de operaciones.
5. En la ficha Infraestructura haga clic en Cambiar.
Toma del maestro de infraestructuras: Si el maestro de infraestructuras queda apartado de la red de

manera inesperada y permanente, se puede tomar la función de maestro de infraestructuras y asignársela
a otro controlador de dominio. Para tomar la función hay que seguir este procedimiento:
pulsar INTRO.
2. A cada petición hay que facilitar la siguiente información y pulsar INTRO:
• En server connections, hay que escribir connect to server seguido del nombre de dominio
• En fsmo maintenance, hay que escribir seize infrastructure master.
Antes de proceder a la toma, el controlador titular de la función de maestro de

infraestructuras debe estar completamente desconectado de la red. La toma de la función
de maestro de infraestructuras es una medida radical. No hay que hacerlo a menos que el
maestro de infraestructuras este definitivamente fuera de servicio. Si se vuelve a reactivar
el maestro de infraestructuras original antes, hay que volver a dar formato a su disco de
arranque y reinstalar Windows 2000.

Capítulo 10

Capítulo 11
Capítulo 11
Creación de cuentas de Usuario
Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace
posible:
● Autentificar la identidad de la persona que se conecta a la red.

● Controlar el acceso a los recursos del dominio.
● Auditar las acciones realizadas utilizando la cuenta.
Windows 2000 solo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al usuario todos
los derechos y permisos, y la cuenta Invitado, que tiene derechos limitados. El resto de las cuentas las
crea un administrador y son cuentas de dominio (validas a lo largo de todo el dominio de forma
predeterminada) o cuentas locales (utilizables sólo en la máquina donde se crean).
Denominación de las cuentas de usuario
En el Active Directory, cada cuenta de usuario tiene un nombre principal. El nombre consta de dos
partes, el nombre principal de seguridad y el sufijo de nombre principal. Para las cuentas de usuario de
Windows NT existentes, el nombre principal de seguridad es de forma predeterminada el mismo nombre
utilizado para iniciar sesión en el dominio Windows NT. Para las nuevas cuentas de usuario de Windows
2000, un administrador asigna el nombre principal de seguridad. El sufijo de nombre principal
predeterminado es el nombre DNS del dominio raíz en el árbol de dominios. De esta forma un usuario
identificado como EduardoP en un dominio Windows NT tendría un nombre principal tal como
EduardoP@dominio.com.
Opciones de las cuentas
La planificación de las opciones de las cuentas de los usuarios simplificará el proceso de creación de
cuentas. Las opciones de las cuentas a considerar incluyen las siguientes:
● Horas de inicio de sesión: De forma predeterminada, un usuario puede iniciar sesión a cualquier
hora del día o de la noche. Por razones de seguridad, se podría restringir el acceso a algunos o a
todos los usuarios a ciertas horas del día o a ciertos días de la semana.
● Iniciar sesión en: De forma predeterminada, los usuarios pueden iniciar sesión en todas las
estaciones de trabajo. Por razones de seguridad se puede limitar el acceso para iniciar sesión a una
máquina o máquinas en particular si se dispone del protocolo NetBIOS instalado en el dominio.

Capítulo 11
Sin NetBIOS, Windows 2000 es incapaz de determinar la ubicación de un inicio de sesión

especifico.
● Caducidad de la cuenta: Se puede decidir si se desea establecer que las cuentas caduquen. Por
razones obvias, tiene sentido establecer una fecha de caducidad para empleados temporales de
forma que coincida con el fin de sus contratos.
Las tres opciones que se han enumerado aquí son las que muy posiblemente se apliquen a un gran
número de usuarios.
El nombre principal de seguridad debería asignarse utilizando un convenio de

denominación consistente, de forma que el administrador y sus usuarios puedan recordar
los nombres de los usuarios y encontrarlos en listas. Entre algunas alternativas para
nombres de usuario se incluyen las siguientes:
● Nombre de pila más la inicial del apellido Por ejemplo, MiguelG y SusanaM. En el
caso de nombres de pila duplicados se pueden añadir números (MiguelG1 y
MiguelG2) o letras suficientes para proporcionar identificación (IsabelMat a
IsabelMur).
● Nombre de pila más un número: Por ejemplo, David 112 y David 113. Este
enfoque puede ser un problema especialmente para personas cuyos nombres de
pila aparecen frecuentemente entre la población. Dificulta el recordar el propio
nombre de usuario y es incluso más difícil identificar los de los otros.
● Inicial del nombre de pila más el apellido: Por ejemplo, podría ser MSanchez. Si
hay tanto una Lidia Sánchez como una Lucia Sánchez, se debería utilizar
LiSanchez y LuSanchez o LSanchez1 y LSanchez2.
● Apellido más una inicial: Este convenio es útil en una red grande. Cuando hay
múltiples usuarios con el mismo apellido, hay que añadir algunas letras como en
SanchezLi o SanchezLu.
Contraseñas
Todos los usuarios deberían tener contraseñas bien escogidas y se les debería requerir que las cambiaran
periódicamente. Las cuentas deberían establecerse de forma que se bloquearan cuando se introdujeran
contraseñas incorrectas. (Se pueden permitir tres intentos, para dejar margen a errores tipográficos.)
Una buena contraseña tiene las siguientes características:
● No es una rotación de los caracteres de un nombre de inicio de sesión.

● Contiene al menos dos caracteres alfabéticos y uno no alfabético.
● Tiene una longitud de al menos seis caracteres.
● No es el nombre o las iniciales del usuario, las iniciales de sus hijos, otro dato
significativo o cualquiera de esos elementos combinado con otra información

Capítulo 11
personal comúnmente disponible como la fecha de nacimiento, el número de

teléfono o el número de matricula.
Entre las mejores contraseñas se encuentran los acrónimos alfanuméricos de frases que
tienen un significado para el usuario pero que no es probable que conozcan otros. Esto
hace que la contraseña sea fácil de recordar para el usuario, mientras que al mismo
tiempo sea difícil de adivinar por una persona de fuera.
Conviene educar a los usuarios sobre las contraseñas y su privacidad, pero, sobre todo,
merece la pena hacer caso de los propios consejos: hay que asegurarse de que la
contraseña seleccionada para administración es una buena contraseña y cambiarla
frecuentemente. Hacer esto ayudara a evitar las consecuencias de que alguien se
introduzca en el sistema y cause estragos. Si los usuarios se conectaran telefónicamente a
la red desde casa a otros sitios remotos, debería incluirse más seguridad que la
autorización por contraseña de nivel de dominio.
Los administradores deberían tener dos cuentas en el sistema: una cuenta administrativa y una cuenta de
usuario normal. Se debería utilizar la cuenta de usuario normal a menos que se estén realizando tareas
administrativas. A causa de los privilegios asociados a las cuentas administrativas, son un objetivo
primario para los intrusos.
Creación de cuentas de usuario del dominio
Las cuentas de usuario del dominio se

pueden crear en la OU Users, o se
puede crear otra OU para almacenar
cuentas de usuario del dominio. Para
añadir una cuenta de usuario del
dominio hay que seguir estos pasos:
1. Abrir Usuarios y equipos de

Active Directory desde el
menú Herramientas
administrativas.
2. Resaltar el nombre del dominio
y, en el menú Acción, apuntar a
Nuevo y escoger después
Usuario.
● Nombre, Iniciales y
Apellidos: Un nombre
de usuario no puede
coincidir con otro

Capítulo 11
nombre de usuario o de grupo en el equipo que está administrando. Puede contener hasta
20 caracteres, en mayúsculas o minúsculas, excepto los siguientes:
"/[]:;|=,+*?<>
● Nombre completo: se rellena automáticamente. El nombre completo debe ser único en la
OU donde se crea el usuario.

● Nombre de inicio de sesión de usuario: Hay que proporcionar el nombre de inicio de
sesión de usuario basado en el convenio de denominación. Este nombre debe ser único en
el Active Directory. El nombre de inicio de sesión anterior a Windows 2000 se rellena
automáticamente. Este es el nombre utilizado para iniciar sesión desde equipos que
ejecutan sistemas
operativos Windows
como Windows NT.
Pulsar Siguiente.
3. Contraseña y Confirmar
contraseña: Se puede escribir
una contraseña que contenga
hasta 127 caracteres. Sin
embargo, si utiliza Windows
2000 en una red que también
contiene equipos con Windows
95 o Windows 98, considere el
uso de contraseñas con menos
de 14 caracteres. Windows 95 y
Windows 98 admiten
contraseñas de hasta 14
caracteres. Si la contraseña es
más larga, es posible que no se
puedan iniciar sesiones en la
red desde estos equipos.
4. Directivas de contraseñas:
● El usuario debe cambiar la contraseña en el siguiente inicio de sesión: Normalmente se
selecciona para que el usuario controle la contraseña y no la conozca el Usuario que le ha

dado de alta.
● El usuario no puede cambiar la contraseña: Cuando por necesidades de seguridad la
contraseña debe ser controlada por el administrador.

● La contraseña nunca caduca: Si seleccionamos esta casilla, no se aplicaran las
restricciones de caducidad de contraseña a esta cuenta.

● Cuenta deshabilitada: Deshabilita cuentas que momentaneamente no se necesitan en la
red. También puede seleccionarse automáticamente debido a las restricciones de seguridad

impuestas por el Administrador. Pulsar Siguiente.
5. Se abre una pantalla de confirmación, mostrando los detalles de la cuenta que se va a crear. Si los
detalles son correctos, hay que pulsar Finalizar. En otro caso, se puede utilizar el botón Atrás
para realizar correcciones.

Capítulo 11
Creación de cuentas de usuario locales
Una cuenta local no puede acceder al dominio y, por lo tanto, solo tiene acceso a los recursos del equipo
donde se crea y utiliza. Para crear una cuenta de usuario local hay que seguir estos pasos:
1. Pulsar con el botón derecho del ratón en Mi PC y escoger administrar en el menú contextual.
2. En el árbol de la consola, hay que pulsar Usuarios locales y grupos. Pulsar con el botón derecho
del ratón en Usuarios y escoger Usuario nuevo en el menú contextual.
3. En el cuadro de dialogo Usuario nuevo hay que suministrar el nombre de usuario, el nombre
completo y la descripción.
4. Proporcionar una contraseña y definir las directivas de contraseñas. Pulsar Crear. Las cuentas
locales pueden pertenecer a grupos creados localmente (en el equipo único).
Administración de las cuentas de usuario
Especialmente en una red grande y ocupada, la gestión de las cuentas de usuario es un proceso continuo
de adiciones, eliminaciones y cambios. Aunque estas tareas no son difíciles, pueden consumir tiempo y
es necesario gestionarlas con cuidado.
Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. Abrir el
contenedor que almacena la cuenta de usuario. Seleccionar el Usuario que queremos administrar y
pulsar el menú Acción. Aparecerán las siguientes opciones:

Capítulo 11
1. Copiar:
❍ Escriba el nombre del usuario en
Nombre.
❍ En Apellidos, escriba los apellidos.
❍ Modifique Nombre para agregar
iniciales o invertir el orden del nombre

y los apellidos.
❍ En Nombre de inicio de sesión de
usuario, escriba el nombre con el que

el usuario iniciará una sesión y, en la
lista, haga clic en el sufijo UPN que se
debe anexar al nombre de inicio de
sesión de usuario, seguido del símbolo
arroba (@).
Si el usuario va a utilizar un nombre
diferente para iniciar una sesión en
equipos donde se ejecuta Windows
NT, Windows 98 o Windows 95,
cambie el nombre de inicio de sesión
de usuario que aparece en Nombre de
inicio de sesión de usuario (anterior
a Windows 2000) por el otro nombre.
En Contraseña y Confirmar
contraseña, escriba la contraseña del usuario.
❍ Seleccione las opciones de contraseña que desee.
❍ Si se ha deshabilitado la cuenta de usuario desde la que se copió la nueva cuenta de
usuario, haga clic en Cuenta deshabilitada para habilitar la cuenta nueva.

2. Agregar miembros a un grupo: Si queremos hacer miembro de otro grupo más al usuario
deberemos pulsar esta opción y seleccionar el grupo y después Agregar.
3. Deshabilitar cuenta: Si es necesario desactivar una cuenta de usuario del dominio por algún
periodo de tiempo, pero no eliminarla permanentemente, se puede deshabilitar. Si crea cuentas
deshabilitadas de usuario que pertenezcan a grupos comunes, puede utilizarlas como plantillas
para simplificar la creación de cuentas de usuario. Para habilitar una cuenta previamente
deshabilitada, hay que realizar los mismos pasos, escogiendo Habilitar cuenta en el menú
contextual.
4. Restablecer contraseña: Para que las contraseñas sean efectivas, no deben ser obvias o fáciles de
adivinar. Sin embargo, cuando las contraseñas no sean obvias o fáciles de adivinar, se olvidaran
inevitablemente. Cuando un usuario olvida su contraseña, se puede restablecer. La mejor política
es restablecerla a una clave sencilla y obligar al usuario a que la cambie la próxima vez que inicie
sesión en la red.
❍ Hay que escribir y confirmar la contraseña.

Capítulo 11
❍ Si desea que el usuario cambie esta

contraseña en el siguiente proceso
de inicio de sesión, active la casilla
de verificación El usuario debe
cambiar la contraseña en el
siguiente inicio de sesión.
❍ Si se cambia la contraseña de la
cuenta de usuario de un servicio,

deben restablecerse todos los
servicios cuya autenticación se
realice con esa cuenta de usuario.
5. Mover: Si un usuario pasa a pertenecer a
potro grupo o Unidad Organizativa
podemos moverlo pulsando esta opción:
❍ Una vez seleccionado el usuario,
abrimos el menú Acción y

pulsamos mover.
❍ Pulsar con el botón derecho del
ratón en la cuenta de usuario que se

va a mover y escoger Mover en el menú contextual.
❍ En el cuadro de dialogo Mover, hay que resaltar el contenedor destino y pulsar Aceptar.
6. Abrir la página principal: Accederemos a la página web del usuario si se le ha especificado en

la ficha General de las propiedades de dicho usuario.
7. Enviar mensaje de correo: Si se le ha especificado una dirección de correo, se abrirá el cliente
de correo predeterminado para enviarle un correo electrónico.
8. Eliminar: Cada cuenta de usuario del dominio tiene un identificador de seguridad asociado que es
único y nunca se reutiliza, lo que significa que una cuenta eliminada se elimina completamente. Si
se elimina la cuenta de Jaime y más tarde se cambia de opción, habrá que volver a crear no solo la
cuenta, sino los permisos, la configuración, las pertenencias a grupos y el resto de propiedades
que poseía la cuenta de usuario original. Por esta razón, si existe alguna duda sobre si una cuenta
podría necesitarse en el futuro, es mejor deshabilitarla y no realizar la eliminación hasta que se
este seguro de que no se necesitara de nuevo.
Después de pulsar en eliminar,aparece un cuadro de dialogo Active Directory, pidiendo
confirmación de la eliminación. Hay que pulsar Si y se eliminara la cuenta.
9. Cambiar el nombre: En ocasiones, es necesario cambiar el nombre de una cuenta de usuario. Por
ejemplo, si se tiene una cuenta configurada con una colección de derechos, permisos y
pertenencias a grupos para una posición particular y una nueva persona se hace cargo de esa
posición se puede cambiar el nombre, los apellidos y el nombre de inicio de sesión de usuario
para la nueva persona.
Para cambiar el nombre de una cuenta de usuario existente, después de pulsar el cambiar el
nombre se pulsa Aceptar. Se cambia el nombre de la cuenta y todos los permisos y el resto de la
configuración permanecen intactos. Si queremos cambiar alguna información más, habrá que
entrar en la ficha de Propiedades del usuario.

Capítulo 11
10. Actualizar: Produce un refresco de la pantalla

11. Propiedades: La
ventana Propiedades
de un usuario del
dominio puede tener
hasta una docena de
pestañas,
dependiendo de la
configuración del
dominio. Toda la
información introducida en la ventana Propiedades se puede utilizar como la base de una
búsqueda en el Active Directory. Por ejemplo, se puede buscar el número de teléfono o el
departamento de un usuario buscando por los apellidos del usuario.
Desbloqueo de cuentas de usuario
Si un usuario viola una directiva de grupo, como exceder el limite de intentos de inicio de sesión fallidos,
directiva de grupo bloqueará la cuenta. Cuando una cuenta esta bloqueada, no se puede utilizar para
iniciar sesión en el sistema. Para desbloquear una cuenta de usuario hay que seguir estos pesos:
1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas.

2. En el árbol de la consola hay que pulsar en la OU que contiene la cuenta bloqueada.
3. Pulsar con el botón derecho del ratón en la cuenta de usuario en el panel de detalles y escoger
Propiedades en el menú contextual.
4. En la ventana Propiedades, hay que pulsar en la pestaña Cuenta.
5. Desactivar la casilla de verificación junto a La cuenta esta bloqueada. Pulsar Aceptar.
De forma predeterminada, directiva de grupo no bloquea cuentas a causa de intentos de inicio de sesión
fallidos. Se debería crear esta configuración por razones de seguridad.
Propiedades del Usuario
Las pestañas de la ventana Propiedades de una cuenta de Usuario del dominio, son:
Pestaña General
Documenta el nombre, la descripción la ubicación de la oficina, el número de teléfono, la dirección de

correo electrónico y la dirección de la pagina Web del usuario.
Pestaña Dirección
Documenta la dirección física del usuario.

Capítulo 11
Pestaña Cuenta
Documenta el nombre de inicio de sesión, las restricciones de inicio de sesión, las opciones de la
contraseña y si la cuenta caduca.
Pestaña Perfil
Muestra la ruta de acceso al perfil del usuario, la ruta de acceso de cualquier archivo de comandos que se
ejecuta en el inicio de sesión, la ruta de acceso al directorio principal y cualquier conexión automática de
unidades.
● Perfil de Usuario:
❍ Ruta de acceso al perfil: Se debe especificar la ruta completa de acceso al perfil del
usuario.
❍ Archivos de comandos de inicio de Sesión: Se especifica el nombre de la secuencia de
comandos de inicio de sesión que va a utilizar esta cuenta de usuario. Las secuencias de
comandos de inicio de sesión están almacenadas en el recurso compartido NETLOGON,
que se encuentra en %systemroot%\SYSVOL\[nombre de dominio DNS]\scripts.
● Directorio principal:
❍ Ruta de acceso local: Se debe introducir la ruta hacia la carpeta particular a la que el
usuario puede tener acceso y que contiene archivos y programas de dicho usuario. Se
puede asignar una carpeta particular de red a un usuario individual o la pueden compartir
muchos usuarios. Si no se asigna aquí ninguna carpeta particular de red o local, la carpeta
particular predeterminada se encuentra en la unidad donde está instalado Windows 2000 en
el equipo del usuario.
❍ Conecta: Hay que especificar la letra de unidad que se le proporcionará a esa conexión.
❍ A: En este espacio hay que escribir la ruta de acceso a la red. Para especificar una ruta de
acceso de red para el directorio particular, deberá crear primero un recurso compartido y
establecer los permisos que concedan acceso al usuario. Puede hacerlo utilizando carpetas
compartidas en otro equipo.
Los directorios o carpetas principales son almacenes que se pueden proporcionar en un servidor de red
para los documentos de los usuarios. Situar los directorios principales en un servidor de archivos de la
red tiene varias ventajas:
● La copia de seguridad de los documentos de usuario esta centralizada.

● Los usuarios pueden acceder a sus directorios principales desde cualquier equipo cliente.
● Se puede acceder a los directorios principales desde clientes que ejecuten cualquier sistema
operativo de Microsoft (incluyendo MS-DOS y todas las versiones de Windows).
Los contenidos de los directorios principales no son parte de los perfiles de usuario, por lo que no afectan
al trafico de la red durante el inicio de sesión. (Un directorio principal también puede estar en un equipo

Capítulo 11
cliente, pero esto esta bastante en contra de su propósito.)
Para crear un directorio principal en un servidor de archivos de la red, hay que seguir estos pasos:
1. En el servidor hay que crear una nueva carpeta para los directorios compartidos. Hay que pulsar
con el botón derecho del ratón en la nueva carpeta y escoger Propiedades en el menú contextual.
2. Pulsar en la pestaña Compartir y en Compartir esta carpeta.
3. Pulsar en la pestaña Seguridad y eliminar el Control total predeterminado del grupo Todos y
asignar Control total al grupo Usuarios. (Esta configuración evitara que nadie excepto las cuentas
de usuario del dominio puedan acceder a la carpeta.)
Los directorios principales se deberían almacenar en una partición con formato NTFS.
Los directorios principales en una partición FAT solo se pueden asegurar asignando
permisos a la carpeta compartida usuario por usuario.
Para proporcionar un directorio principal a un usuario, se debe añadir la ruta de acceso de la carpeta a las
propiedades de la cuenta de usuario. Hay que seguir estos pasos para otorgar a un usuario acceso a un
directorio principal:
1. Abrir Usuarios y equipos

de Active Directory desde
el menú Herramientas
administrativas.
2. Pulsar la OU que contiene
la cuenta de usuario. Pulsar
con el botón derecho del
ratón en el nombre del
usuario y escoger
Propiedades en el menú
contextual.
3. Pulsar en la pestaña Perfil.
4. En el área Directorio principal hay que pulsar la opción Conectar y especificar una letra de unidad
a utilizar para conectarse al servidor de archivos.
En el cuadro A hay que especificar el nombre UNC de la conexión; por ejemplo,

\\nombre_del_servidor\carpeta_compartida\nombre_de_inicio_de sesion_del_usuario. Si se utiliza la
variable %username%, se le dará al directorio principal el nombre de inicio de sesión del usuario.
Pestaña Teléfonos
Enumera números de teléfono adicionales como el teléfono de un localizador, de un móvil o de Internet.

Capítulo 11
Pestaña Organización
Documenta el título, el departamento, la organización, el administrador y las supervisiones directas del

usuario.
Pestaña Miembro de
Enumera las pertenencias a grupos del usuario.
Pestaña Marcado
Documenta el acceso telefónico del usuario.
Pestañas Entorno, Sesiones, Control remoto, Perfil de Servicios de Terminal Server
Documenta el perfil de Servicios de Terminal Server del usuario.
Búsqueda de cuentas de usuario
Para buscar un cuenta de usuario en particular hay que abrir Usuarios y equipos de Active Directory
desde el menú Herramientas administrativas y, en la barra de herramientas, pulsar el icono Encontrar.
Esto abre el cuadro de

dialogo Buscar
Usuarios, contactos y
grupos. Sin embargo,
no hay que dejarse
engañar. Si se abre la
lista desplegable del
cuadro Buscar se
observara que se puede
utilizar esta
herramienta para buscar
equipos, impresoras,
carpetas compartidas,
departamentos y mucho
más.
Para buscar un usuario especifico, hay que seleccionar el ámbito de la búsqueda en el cuadro En. Se
puede escribir un nombre, parte de un nombre o algún otro elemento descriptivo que sea parte del perfil
del usuario, y pulsar Buscar ahora. Una búsqueda con parte de un nombre devuelve todos los usuarios
con ese elemento en sus nombres.

Capítulo 11
Cuanto más grande sea la red, más especifica tendrá que ser la búsqueda. En un entorno con una gran
red, se puede limitar la búsqueda a una unidad organizativa especifica. Hay que abrir Usuarios y equipos
de Active Directory desde el menú Herramientas administrativas. Hay que pulsar con el botón derecho
del ratón en la OU en la que se este interesado y seleccionar Buscar en el menú contextual.
Directorios principales
Mantenimiento de perfiles de usuario
Un perfil es un entorno personalizado específicamente para un usuario. El perfil contiene la

configuración del escritorio y de los programas del usuario. Cada usuario tiene un perfil, tanto si el
administrador lo configura como si no, porque se crea un perfil automáticamente para cada usuario
cuando inicia sesión en un equipo. Los perfiles ofrecen numerosas ventajas:
● Múltiples usuarios pueden utilizar el mismo equipo, con la configuración de cada uno recuperada
al iniciar la sesión al mismo estado en que estaba cuando cerró la sesión.
● Los cambios hechos por un usuario en el escritorio no afectan a otro usuario.
● Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios a cualquier
equipo de la red que ejecute Windows 2000 o Windows NT 4.
Desde el punto de vista de un administrador, la información del perfil puede ser una valiosa herramienta
para configurar perfiles de usuario predeterminados para todos los usuarios de la red o para personalizar
los perfiles predeterminados para diferentes departamentos o clasificaciones del trabajo. También se
pueden configurar perfiles obligatorios que permitan a un usuario hacer cambios en el escritorio mientras
esta conectado, pero no guardar ninguno de los cambios. Un perfil obligatorio siempre se muestra
exactamente igual cada vez que un usuario inicia sesión. Los tipos de perfiles son los siguientes:
● Perfiles locales: Perfiles creados en un equipo cuando un usuario inicia sesión. El perfil es
especifico de un usuario, local al equipo y se almacena en el disco duro del equipo local.
● Perfiles móviles: Perfiles creados por un administrador y almacenados en un servidor. Estos
perfiles siguen al usuario a cualquier maquina Windows 2000 o Windows NT 4 de la red.
● Perfiles obligatorios: Perfiles móviles que solo pueden ser modificados por un administrador.
Todos los perfiles comienzan como una copia del perfil Default User que esta instalado en
cualquier equipo que ejecuta Windows 2000. La información del registro para Default
User se encuentra en el archivo Ntuser.dat incluido en el perfil Default User. Dentro de
cada perfil se encuentran las siguientes carpetas:
● Configuración local: Datos de programa, Historial y Archivos temporales.

● Cookies: Mensajes enviados a un navegador Web por un servidor Web y
almacenados localmente para registrar información y preferencias del usuario.

Capítulo 11
● Datos de programa: Configuraciones especificas de programa determinadas por el

fabricante del programa además de configuración de seguridad especifica del
usuario.
● Entorno de red: Accesos directos a Mis sitios de red.
● Escritorio: Archivos, carpetas, accesos directos del escritorio y su apariencia.
● Favoritos: Accesos directos a ubicaciones favoritos, en particular sitios Web.
● Impresoras: Accesos directos a elementos de la carpeta Impresoras.
● Menú Inicio: Elementos del menú Inicio del usuario.
● Mis documentos: Documentos del usuario y Mis imágenes, que contiene los
archivos gráficos del usuario.
● Plantillas: Plantillas de programas.
● Reciente: Accesos directos a las carpetas y archivos más recientemente utilizados.
● SendTo: Elementos del menú Enviar a.
De forma predeterminada, solo Cookies, Escritorio, Favoritos, menú Inicio y Mis

documentos son visibles en el Explorador de Windows. Las otras carpetas están ocultas;
para verlas es necesario seleccionar Opciones de carpeta, pulsar en la pestaña Ver y
seleccionar Mostrar todos los archivos y carpetas ocultos.
Perfiles locales
Los perfiles locales se crean en los equipos cuando los usuarios individuales inician sesión. En un equipo
actualizado desde Windows NT 4, el perfil se almacena en la carpeta Perfiles de la partición raíz del
sistema. En un equipo con una nueva instalación de Windows 2000, el perfil del usuario esta en la
carpeta Documents and Settings.
La primera vez que un usuario inicia sesión en un equipo, se genera una carpeta de perfil para el usuario,
y los contenidos de la carpeta Default User se copian en ella. Cualquier cambio realizado por el usuario
al escritorio se almacena en ese perfil de usuario cuando cierra la sesión.
Si un usuario tiene una cuenta local en el equipo además de una cuenta de dominio a inicia sesión varias
veces utilizando ambas cuentas, el usuario tendrá dos carpetas de perfil en el equipo local: una para
cuando el usuario inicie sesión en el dominio utilizando la cuenta de usuario del dominio y otra para
cuando el usuario inicie sesión localmente en el equipo. El perfil local se mostrará con el nombre de
inicio de sesión. El perfil de dominio también se mostrara con el nombre de inicio de sesión, pero llevara
añadido el nombre del dominio.
Perfiles móviles
Los perfiles móviles son una gran ventaja para los usuarios que utilizan frecuentemente más de un
equipo. Un perfil móvil se almacena en un servidor y, después de que el inicio de sesión del usuario sea
autentificado en el servicio de directorio, se copia al equipo local. Esto permite al usuario tener el mismo

Capítulo 11
escritorio, la configuración de las aplicaciones y la configuración local en cualquier maquina que ejecute
Windows 2000 o Windows NT 4.
El funcionamiento es: se asigna una ubicación de un servidor para perfiles de usuario y se crea una
carpeta compartida con los usuarios que tengan perfiles móviles. Se introduce una ruta de acceso a esa
carpeta en la ventana propiedades de los usuarios. La siguiente vez que el usuario inicie sesión en un
equipo, el perfil del servidor se descarga al equipo local. Cuando el usuario cierra la sesión, el perfil se
almacena tanto localmente como en la ubicación de la ruta de acceso al perfil del usuario. La
especificación de la ruta de acceso al perfil del usuario es todo lo que hace falta para convertir un perfil
local en un perfil móvil, disponible en cualquier parte del dominio.
Cuando el usuario inicia sesión de nuevo, el perfil del servidor se compara con la copia en el equipo local
y se carga para el usuario la más reciente. Si el servidor no esta disponible, se utiliza la copia local. Si el
servidor no esta disponible y es la primera vez que el usuario ha iniciado sesión en el equipo, se crea un
perfil de usuario localmente utilizando el perfil Default User. Cuando un perfil no es descargado a un
equipo local a causa de problemas con el servidor, el perfil móvil no se actualiza cuando el usuario cierra
la sesión.
Hay que colocar los perfiles de usuario en un servidor miembro en lugar de en un

controlador de dominio para acelerar el proceso de autentificación y para evitar utilizar
la potencia de procesamiento y el ancho de banda de un controlador de dominio para la
descarga de perfiles. Además, conviene situar los perfiles en un servidor del que se hagan
copias de seguridad regularmente para que las copias de los perfiles móviles sean lo más
recientes posible.
Configuración de los perfiles móviles
Para configurar un perfil móvil simplemente hay que asignar una ubicación en un servidor y completar
los siguientes pasos:
1. Crear una carpeta compartida en el servidor para los perfiles.

2. En la pestaña Perfil de la ventana Propiedades de la cuenta de usuario hay que proporcionar una
ruta de acceso a la carpeta compartida, como
\\nombre_del_servidor\carpeta_de_perfiles_compartida\%username%.
Una vez que se ha creado una carpeta de perfiles compartida en un servidor y se ha suministrado una ruta
de acceso al perfil en la cuenta del usuario, se ha habilitado un perfil móvil. La configuración del usuario
de su escritorio se copia y almacena en el servidor y estará disponible para el usuario desde cualquier
equipo. Sin embargo, la mayor parte del tiempo no se deseará que los usuarios tengan que arreglárselas
solos. La vida es más fácil para ellos y para el administrador si se asigna un perfil personalizado a los
usuarios que ya este configurado con los accesos directos, conexiones de red y elementos del menú Inicio
apropiados. Para esto, será necesario configurar perfiles personalizados.

Capítulo 11
Perfiles obligatorios
Si se va a realizar todo el trabajo de asignar perfiles personalizados, indudablemente se deseara hacer que
esos perfiles sean obligatorios. Un perfil obligatorio se puede asignar a múltiples usuarios. Cuando se
modifica un perfil obligatorio, el cambio se realiza en los entornos de todos los usuarios a los cuales se
haya asignado el perfil obligatorio. Para convertir un perfil en un perfil obligatorio, se debe renombrar el
archivo oculto Ntuser.dat a Ntuser.man.
Asignación de secuencias de comandos de inicio de sesión a perfiles de usuario
Se pueden asignar secuencias de comandos de inicio de sesión por medio del perfil o a través de
Directiva de grupo. Para asignar una secuencia de comandos a un perfil, hay que seguir estos pasos:

2. En el árbol de la consola hay que pulsar Users. Pulsar con el botón derecho del ratón en la cuenta
de usuario y escoger Propiedades.
3. Pulsar en la pestaña Perfil a introducir el nombre de la secuencia de comandos de inicio de sesión
en el cuadro Archivo de comandos de inicio de sesión.
4. Pulsar Aceptar cuando se haya terminado.
Windows 2000 siempre busca las secuencia de comandos de inicio de sesión en el mismo lugar: en el
controlador de dominio de autentificación en la ruta de acceso
%SystemRoot%\SYSVOL\sysvol\nombre_del_ dominio. Las secuencias de comandos de esta carpeta se
pueden introducir en la ruta de acceso Archivo de comandos de inicio de sesión solo con el nombre. Si se
utilizan carpetas dentro de la carpeta Scripts, se debe mostrar la parte de la ruta de acceso en la ruta de
acceso Archivo de comandos de inicio de sesión. Las secuencias de comandos de inicio de sesión
también se pueden crear en VBScript y Jscript. La replica de las secuencias de comandos de inicio de
sesión a todos los controladores de dominio es automática en volúmenes NTFS en servidores Windows
2000. Otros tipos de archivos, como los archivos FAT, se deben replicar manualmente.
Las variables de secuencias de comando de inicio de sesión son:
● %homedrive%: Letra de la unidad de disco que contiene el directorio principal del usuario en la
estación de trabajo local del usuario.
● %homepath%: Ruta de acceso completa al directorio principal del usuario.
● %os%: Sistema operativo del usuario.
● %processor_architecture%: Tipo de procesador de la estación de trabajo del usuario.
● %processor_level%: Nivel de procesador de la estación de trabajo del usuario.
● %userdomain%: Dominio donde esta definida la cuenta del usuario.
● %username%: Nombre del usuario de la cuenta.
Configuración de recursos compartidos y permisos

Capítulo 11
Como se ha mencionado antes, el objetivo principal de una red es compartir recursos entre los usuarios.
Sin embargo, compartir es también una extensión de las características de seguridad que comienzan con
las cuentas de usuario y las contraseñas. El objetivo como administrador del sistema es asegurarse de que
todo el mundo pueda utilizar los recursos que necesita sin comprometer la seguridad de los archivos y el
resto de los recursos. Se pueden otorgar a los usuarios tres tipos de capacidades:
● Derechos: están asignados a los grupos predefinidos, pero el administrador puede extender los
derechos a grupos o individuos.
● Recursos compartidos: Directorios o unidades de disco que están compartidos en la red.
● Permisos: Capacidades del sistema de archivos que se pueden conceder tanto a individuos como
a grupos.
En el curso de eventos normal, solo habrá que ocuparse de los derechos en raras ocasiones. Sin embargo,
los recursos compartidos y los permisos son el corazón de las responsabilidades de un administrador.
En un volumen NTFS, Windows 2000, al igual que Windows NT Server, permite una seguridad tan
granular que es prácticamente microscópica. Se pueden establecer permisos de varios tipos, incluyendo
permisos en archivos individuales. Esto representa realmente una tentación para el administrador para
gestionar al detalle cada recurso. El mejor consejo que se puede dar es no caer en esta tentación. Se debe
comenzar con la menor restricción posible y añadir restricciones solo cuando se requieran.
Los recursos compartidos y los permisos, aunque pueden parecer muy similares, no son lo
mismo y es importante comprender las diferencias. Los recursos compartidos se aplican a
unidades de disco y directorios. Hasta que una unidad de disco o carpeta es compartida
en la red, los usuarios no pueden verla u obtener acceso a ella. Una vez que se comparte
la carpeta, todo el mundo en la red puede, de forma predeterminada, acceder a todos los
archivos de la carpeta y a todas las subcarpetas de esa carpeta, etc.
En un volumen FAT, se puede compartir una unidad de disco o carpeta y añadir después
restricciones adicionales en forma de permisos del recurso compartido. Estos permisos
solo se aplican a nivel de unidad de disco o carpeta -no a nivel de archivo- y están
limitados a permitir o denegar Control total, Leer y Modificar.
En volúmenes NTFS, los directorios tienen los mismos permisos de recurso compartido
que los de un volumen FAT, pero hay disponible otra capa de permisos sobre esos. Cada
carpeta tiene una ventana Propiedades de Seguridad que permite restricciones más
precisas. Cada archivo también tiene una ventana Propiedades de Seguridad que permite
que el acceso sea concedido o denegado para archivos individuales. Estos permisos de
carpeta y permisos de archivo pueden restringir el acceso tanto a través de la red como
localmente. Por ejemplo, se puede dejar el permiso de recurso compartido de una carpeta
con la configuración predeterminada, permitiendo Control total a Todos, y utilizar la

Capítulo 11
ventana Propiedades de Seguridad para establecer permisos más restrictivos por grupos o
individualmente, tanto a la carpeta como un todo como archivo por archivo dentro de la
carpeta.
Los permisos del recurso compartido determinan el acceso máximo en la red. Esto
significa que si se establecen permisos de recurso compartido que permiten Leer pero
deniegan Modificar, todos los usuarios se verán restringidos a Leer cuando accedan al
recurso compartido desde la red. Sin embargo, se puede conceder a un usuario acceso
más amplio que estará disponible cuando el usuario inicie sesión localmente. O se puede
bloquear la herencia de permisos en una subcarpeta y otorgar a un usuario Control total
de la subcarpeta en la red, mientras que la carpeta primaria permanece con solo Leer.
Los recursos compartidos no tienen efecto en usuarios que inicien sesión localmente. Para
los usuarios que iniciaran sesión localmente en una partición NTFS, se puede restringir el
acceso utilizando permisos.
Recursos compartidos especiales
Además de los recursos compartidos creados por un usuario o un administrador, el sistema crea varios
recursos compartidos especiales que se deberían modificar o eliminar. El recurso compartido especial
que más probablemente se verá es el recurso compartido ADMIN$ que aparece como C$, D$, E$, etc.
Estos recursos compartidos permiten a los administradores conectarse a unidades que en otro caso no
estarían compartidas.
Los recursos compartidos especiales existen como parte de la instalación del sistema operativo.
Dependiendo de la configuración del equipo, estarán presentes algunos o todos de los siguientes recursos
compartidos especiales. Ninguno de ellos debería modificarse o eliminarse.
● ADMIN$: Se utiliza durante la administración remota de un equipo. La ruta de acceso es siempre

la ubicación de la carpeta en la que Windows se instaló (esto es, la raíz del sistema). Solo los
Administradores, Operadores de copia y Operadores de servidores se pueden conectar a este
recurso compartido.
● letraunidad$: La carpeta raíz de la unidad especificada. Sólo los Administradores, Operadores de
copia y Operadores de servidores se pueden conectar a estos recursos compartidos en un servidor
Windows 2000. En un equipo Windows 2000 Professional, sólo los Administradores y
Operadores de copia pueden conectarse a estos recursos compartidos.
● IPC$: Utilizado durante la administración remota y cuando se revisan los recursos compartidos.
Este recurso compartido es esencial en la comunicación y no se debe cambiar, modificar o
eliminar.
● NETLOGON: Lo utiliza el servicio Inicio de sesión de red de un servidor que ejecuta Windows
NT Server cuando procesa los inicios de sesión en el dominio. Este recurso solo se proporciona en
servidores, no en Windows NT Workstation.

Capítulo 11
● PRINT$: Un recurso que soporta impresoras compartidas.

● REPL$: Se crea en un servidor cuando un cliente de fax esta enviando un fax.
Para conectarse a una unidad de disco no compartida en otro equipo, hay que utilizar la barra de
direcciones de cualquier ventana a introducir la dirección, utilizando la sintaxis:
\\nombre_equipo\[letraunidad]$
Para conectarse a la carpeta raíz del sistema (la carpeta en la cual esta instalado Windows) en otro equipo
hay que utilizar la sintaxis:
\\nombre_equipo\admin$
El resto de recursos compartidos especiales como IPC$ y PRINT$ los crea y utiliza únicamente el
sistema. NETLOGON es un recurso compartido especial en servidores Windows 2000 y Windows NT y
se utiliza cuando se procesan peticiones de inicio de sesión en el dominio.
Unidades compartidas y permisos en NTFS frente a FAT
En particiones con formato FAT se pueden restringir los archivos solo a nivel de carpeta, sólo desde la
red y sólo si la carpeta esta compartida. Para alguien que inicie sesión localmente, los recursos
compartidos no tendrán efecto.
En un volumen NTFS, los directorios pueden ser compartidos y también restringidos más profundamente
a causa del significado de los permisos. En un volumen NTFS, se deberían utilizar los permisos de
carpetas y archivos para el control de la seguridad tanto localmente como desde la red y permitir acceso
de Control total a Todos en el recurso compartido.
Carpetas compartidas
La forma más sencilla de crear carpetas compartidas es utilizar la herramienta Configurar el servidor del
menú Herramientas administrativas. Para hacerlo, hay que seguir estos pasos:
1. Abrir Configurar el servidor y pulsar Servidor de archivos en la columna de la izquierda.

2. Pulsar el vinculo Iniciar el Asistente para carpetas compartidas para abrir el cuadro de dialogo
Crear carpeta compartida.
3. Introducir el nombre y ruta de acceso de la carpeta y un nombre del recurso compartido.
4. Seleccionar los permisos de recurso compartido que se desean asignar a la carpeta teniendo en
cuenta que casi siempre es mejor controlar el acceso por medio de permisos en lugar que con
recursos compartidos. Pulsar Finalizar cuando se haya terminado.
Se pueden definir recursos compartidos directamente pulsando con el botón derecho del ratón en una

Capítulo 11
carpeta, escogiendo Propiedades en el menú contextual y pulsando después en la pestaña Compartir.
Si hay maquinas basadas en MS-DOS en la red (lo que incluye versiones de Windows
hasta la 3.11) que accederán a una carpeta compartida, hay que seguir el convenio de
denominación 8.3 en el nombre del recurso compartido. Un nombre de recurso
compartido que no se ajuste al estándar de denominación 8.3 de MS-DOS no lo podrán
ver usuarios con maquinas MS-DOS o Windows 3.x.
Los nombres de los archivos o directorios pueden tener hasta 255 caracteres. Los usuarios
de MS-DOS que se conecten al archivo o carpeta desde la red verán el nombre en el
formato 8.3. Windows NT truncara los nombres largos a un tamaño que una maquina MS-
DOS pueda reconocer, pero no lo hará con los nombres de recursos compartidos.
Windows 2000 convierte los nombres largos en nombres cortos utilizando las siguientes
reglas:
● Los espacios se eliminan.

● Los caracteres que no se permiten en los nombres MS-DOS son reemplazados por
subrayados (_).
● El nombre se reduce a sus primeros seis caracteres restantes y después se añade
una tilde y un digito. Para el primer archivo, el digito será 1. Para un segundo
archivo que utilice los mismos seis caracteres, el digito será 2. Por ejemplo, un
archivo llamado Presupuestos para marzo se reducirá a PRESUP~1. Un segundo
archivo, llamado Presupuestos para el segundo trimestre, se reducirá a
PRESUP~2.
● Si el nombre largo tiene algún punto seguido de otros caracteres, el ultimo punto y
los siguientes tres caracteres se utilizan como extensión del archivo en la versión
corta del nombre del archivo. Por lo que un archivo llamado
Diciembre.Ventas.Presentacion se reducirá a DICIEM~1.PRE.
Como se puede observar, los nombres largos de archivo pueden ser bastante misteriosos
cuando se truncan. Si la red incluye equipos MS-DOS, puede ser útil continuar utilizando
convenios de denominación MS-DOS para los primeros seis caracteres. Los archivos de
presupuestos utilizados arriba como ejemplos podrían convertirse en
MARPRE~Presupuestos para marzo.XLS y 2DOTR~Presupuestos para el segundo
trimestre.XLS. Para el equipo MS-DOS, los archivos aparecerán como MARPRE~1.XLS y
2DOTR~1.XLS.
Creación de un nuevo recurso compartido para una carpeta compartida
Una única carpeta puede ser compartida más de una vez. Por ejemplo, un recurso compartido podría
incluir Control total para Administradores y otro recurso compartido para usuarios podría ser más
restrictivo. Para añadir un nuevo recurso compartido, hay que seguir estos pasos:

Capítulo 11
1. Buscar la carpeta compartida en el Explorador de Windows y pulsar con el botón derecho del
ratón en ella. Hay que escoger Compartir en el menú contextual.
2. En el cuadro de dialogo que se abre, hay que pulsar el botón Nuevo recurso compartido.
3. En el cuadro de dialogo Nuevo recurso compartido hay que introducir un nuevo Nombre de
recurso compartido. (Cada recurso compartido debe tener un nombre único.) Hay que establecer
un limite de usuarios, si es necesario.
4. Pulsar Permisos para restringir el acceso. De nuevo, de forma predeterminada, la carpeta
compartida otorga Control total a todos los usuarios.
Desconexión de carpetas compartidas
Para que una carpeta deje de estar compartida, hay que abrir Administración de equipos desde el menú
Herramientas administrativas. Hay que expandir Herramientas del sistema, después Carpetas compartidas
y por ultimo Recursos compartidos. Hay que pulsar con el botón derecho del ratón en la carpeta
compartida en el panel de detalles y escoger Dejar de compartir en el menú contextual.
En Windows NT, cuando los usuarios se conectan a un carpeta que va a dejar de estar
compartida, se avisa con un cuadro de dialogo. Esto no ocurre en Windows 2000. Si se
deja de compartir una carpeta a la que están conectados usuarios, los usuarios son
expulsados de la carpeta sin avisos y pueden perder Information.
Permisos de recursos compartidos
Los permisos de recursos compartidos establecen el máximo ámbito de acceso disponible. Otras
asignaciones de permisos (en un volumen NTFS) pueden ser más restrictivas, pero no pueden expandirse
más allá de los limites establecidos por los permisos de recurso compartido.
Definición de los permisos de recursos compartidos
Para establecer permisos de recursos compartidos, hay que pulsar con el botón derecho del ratón en la
carpeta y escoger Compartir en el menú contextual. Hay que pulsar el botón Permisos para abrir el
cuadro de dialogo. El tipo de acceso se establece por medio de la lista de la parte inferior. Se pueden
utilizar los botones Agregar y Quitar para cambiar quien accede. Los permisos de recursos compartidos
se pueden asignar a usuarios individuales, a grupos y a las entidades especiales Todos, SYSTEM,
INTERACTIVE, NETWORK y Usuarios autentificados.
Los tipos de permisos de recursos compartidos desde el menos al más restrictivo son:
● Leer: Permite ver los nombres de los archivos y subcarpetas, siempre se puede revisar y borrar el
registro de seguridad.
● Modificar: Permite el acceso de Leer además de permitir agregar archivos y subdirectorios a la
carpeta compartida, modificar la información de los archivos y eliminar archivos y subdirectorios.

Capítulo 11
● Control total: Permite todo el acceso de Modificar además de permitir cambiar permisos (solo en
volúmenes NTFS) y tomar posesión (solo en volúmenes NTFS).
Asignación de directorios y unidades compartidos
Después de ir de acá para allá entre varias ventanas de Mis sitios de red para buscar una carpeta
compartida, los usuarios pueden simplemente pulsar, dos veces con el ratón en la carpeta para abrirla y
acceder a su contenido. Para facilitar el acceso, hay que pulsar con el botón derecho del ratón en la
carpeta compartida y arrastrarla al escritorio. Hay que seleccionar Crear iconos de acceso directo aquí
después de soltar el botón.
Si se utiliza frecuentemente, es sencillo conectarse a una carpeta o unidad de disco para que aparezca en
el Explorador de Windows (o en Mi PC) como otra simple unidad de disco local.
Una conexión a unidad es incluso mejor que un acceso directo a un recurso importante: si
se utilizan programas antiguos, no van a reconocer los sitios de red y no serán capaces de
abrir o guardar archivos en ninguna otra parte salvo en el propio equipo. Si se crea una
conexión a la unidad, el programa coopera porque la unidad del otro equipo parece (para
el programa al menos) ser local.
Para configurar estas conexiones para los usuarios:
1. Abrir Mis sitios de red y buscar el recurso compartido al que se quiere conectar.
2. Pulsar con el botón derecho del ratón en el objeto y escoger Conectar a unidad de red en el
menú contextual. El cuadro de dialogo que aparece tiene tres entradas configurables:
● Unidad: Esta es la letra que se asignara a la nueva carpeta o unidad en el equipo local.
● Conectar utilizando un nombre de usuario diferente: Si la conexión es para alguien
distinto del usuario actual, hay que pulsar este vínculo y suministrar el nombre y
contraseña del usuario.
● Conectar de nuevo al iniciar sesión: Se puede seleccionar este cuadro para que se realice
automáticamente la conexión al iniciar sesión en el equipo donde reside físicamente este

recurso.
3. Pulsar Finalizar cuando se haya terminado.
Desconexión de recursos conectados
Para deshacerse de una conexión a una unidad o carpeta se la puede resaltar y pulsar el botón derecho del
ratón. Hay que escoger Desconectar en el menú contextual
Trabajo con carpetas compartidas
Se puede ver una lista de recursos compartidos, sesiones actuales y archivos abiertos abriendo

Capítulo 11
Administración de equipos desde el menú Herramientas administrativas y expandiendo después Carpetas

compartidas.
Se puede expandir Recursos compartidos para ver una lista de las carpetas compartidas además de la
siguiente información sobre cada carpeta:
● La ruta de acceso al recurso compartido.

● El tipo de conexión (Windows, Macintosh, NetWare).
● El número de usuarios conectados al recurso compartido.
● Una descripción del recurso compartido..
Se puede expandir Sesiones en el árbol de la consola para ver la siguiente información sobre los usuarios
que están actualmente conectados:
● El nombre del usuario y el nombre del equipo del usuario.

● El tipo de conexión (Windows, Macintosh, NetWare).
● El número de archivos abiertos por el usuario en este recurso compartido.
● El tiempo transcurrido desde que se estableció la conexión.
● El tiempo desde que el usuario inicio por ultima vez una acción.
● Si el usuario esta conectado como invitado.
Se puede expandir Archivos abiertos en el árbol de la consola para obtener una lista de los archivos
abiertos actualmente. En el panel de detalles se puede ver el nombre del archivo, quien lo abrió, el tipo de
conexión, el número de bloqueos sobre el archivo (si los hay) y los permisos de recurso compartido que
se concedieron cuando se abrió el archivo.
Si se comprueban habitualmente los recursos compartidos, puede ser más eficiente crear una MMC que
contenga el complemento Carpetas compartidas. Se puede añadir un complemento Carpetas compartidas
para cada servidor y cambiar entre ellos fácilmente.
Mantenimiento de los permisos para carpetas y archivos
En un volumen NTFS se pueden establecer permisos a nivel de archivo. Esto significa que cualquier
archivo puede otorgar a los usuarios diferentes tipos de acceso. Aunque se pueden establecer esos
permisos tan detallados, esto sería una locura.
Siempre hay que tratar de trabajar con los permisos más simples posibles. Hay que definir las menos
restricciones posibles. Se deben asignar permisos a grupos, no individualmente. No hay que establecer
permisos archivo a archivo a menos que sea inevitable. Gestionar las nimiedades de los permisos puede
absorber fácil y rápidamente todo el tiempo.
Consideración de la herencia

Capítulo 11
Existen dos tipos de permisos, explícitos y heredados. Los permisos explícitos son los que se establecen
en las carpetas que se crean. Los permisos heredados son aquellos que se derivan de un objeto primario a
un objeto hijo. De forma predeterminada, cuando se crea una subcarpeta, hereda los permisos de la
carpeta superior.
Si no se desea que los objetos hijo hereden los permisos del primario, se puede bloquear la herencia a
nivel primario o a nivel hijo. Donde se bloquea la herencia es importante. Si se bloquea a nivel primario,
ninguna subcarpeta heredará permisos. Si se bloquea selectivamente a nivel hijo, algunas carpetas
heredarán permisos y otras no.
Para bloquear la herencia a nivel primario, hay que escoger Solo esta carpeta cuando se asignan permisos
especiales. Para evitar que un cierto archivo o carpeta herede permisos, hay que pulsar con el botón
derecho del ratón en la carpeta, seleccionar Propiedades y pulsar después en la pestaña Seguridad. Hay
que desactivar la casilla de verificación hacer posible que los permisos heredables de un objeto primario
se propaguen a este objeto.
Si las casillas de verificación de los permisos aparecen sombreadas, significa que los permisos son
heredados de un objeto primario. Hay tres formas de cambiar esta situación:
● Desactivar la casilla de verificación Hacer posible que los permisos heredables de un objeto
primario se propaguen a este objeto. Una vez que este desactivada la casilla de verificación, se
pueden hacer cambios en los permisos o cambiar los usuarios o grupos de la lista.
● Cambiar los permisos en la carpeta primaria.
● Seleccionar el permiso opuesto -Permitir o Denegar- para sustituir el permiso heredado.
Si ni Permitir ni Denegar esta activo, los usuarios/grupos pueden haber adquirido el

permiso por medio de la pertenencia a un grupo. En otro caso, un fallo al configurar
explícitamente Permitir o Denegar deniega efectivamente el permiso.
Significado de los permisos
Windows 2000 Server posee un conjunto de permisos estándar que son combinaciones de clases de
acceso especificas. Los permisos individuales son Control Total, Modificar, Lectura y ejecución, Listar
el contenido de la carpeta, Leer y Escribir.
Los permisos de archivo incluyen Control total, Modificar, Lectura y ejecución, Leer y Escribir. Al igual
que con las carpetas, cada uno de estos permisos controla un grupo de permisos especiales.
Permisos especiales para las carpetas

Capítulo 11
Permiso especial Control Modificar Lectura y Listar el Leer Escribir

total ejecución contenido
de la
carpeta
Recorrer
carpeta/Ejecutar Sí Sí Sí Sí Sí No
archivo
Listar carpeta/Leer
Sí Sí Sí Sí Sí No
datos
Atributos de lectura Sí Sí Sí Sí Sí No
Atributos
extendidos de Sí Sí Sí Sí Sí No
lectura
Crear
archivos/Escribir Sí Sí No No No Sí
datos
Crear
carpetas/Anexar Sí Sí No No No Sí
datos
Atributos de
Sí Sí No No No Sí
escritura
Atributos
extendidos de Sí Sí No No No Sí
escritura
Eliminar
subcarpetas y Sí No No No No No
archivos
Eliminar Sí Sí No No No No
Permisos de lectura Sí Sí Sí Sí Sí Sí
Cambiar permisos Sí No No No No No
Tomar posesión Sí No No No No No
Permisos especiales asociados con los permisos estándar

Capítulo 11
Permiso Especial Control Modificar Lectura y Listar el Leer Escribir

Total Ejecución contenido e
la carpeta
Recorrer
carpeta/Ejecutar Sí Sí Sí No No No
archivo
Listar carpeta/Leer
Sí Sí Sí Sí No No
datos
Atributos de lectura Sí Sí Sí Sí No No
Atributos extendidos
Sí Sí Sí Sí No No
de lectura
Crear
archivos/Escribir Sí Sí No No No Sí
datos
Crear
carpetas/Anexar Sí Sí No No No Sí
datos
Atributos de
escritura
Atributos extendidos
de escritura
Eliminar
subcarpetas y Sí No No No No No
archivos
Eliminar Sí Sí No No No
Permisos de lectura Sí Sí Sí Sí Sí Sí
Cambiar permisos Sí No No No No No
Tomar posesión Sí No No No No No
Cualquier usuario o grupo que tenga asignado Control total en una carpeta puede
eliminar archivos y subcarpetas independientemente de los permisos que tengan los
archivos o subcarpetas individuales.
Funcionamiento de los permisos
Si no se realiza ninguna acción en absoluto, los archivos y carpetas dentro de una carpeta compartida
tendrán los mismos permisos que el recurso compartido. Se pueden asignar permisos tanto para
directorios como para archivos a:

Capítulo 11
● Grupos locales de dominio, grupos globales, grupos universales y usuarios individuales.

● Grupos globales, grupos universales y usuarios individuales de dominios en los que confía este
dominio.
● Identidades especiales como Todos y Usuarios autentificados.
Las reglas importantes para los permisos se pueden resumir como sigue:
● De forma predeterminada, una carpeta hereda permisos de su carpeta primaria. Los archivos
heredan sus permisos de la carpeta en la que residen.
● Los usuarios pueden acceder a una carpeta o archivo si se les ha concedido permiso para hacerlo o
si pertenecen a un grupo que tiene permiso concedido. Los permisos son acumulativos, pero el
permiso Denegar gana al resto.
● El usuario que crea un archivo o carpeta es el propietario de ese objeto y puede establecer
permisos para controlar el acceso.
● Un administrador puede tomar posesión de cualquier archivo o carpeta, pero no puede ceder la
propiedad a nadie más.
Configuración de los permisos de las carpetas
Antes de compartir una carpeta en un volumen NTFS, hay que establecer todos los permisos en la
carpeta. Cuando se establecen permisos de carpeta se están estableciendo también permisos en todos los
archivos y subcarpetas de la carpeta.
Para asignar permisos a una carpeta, hay que pulsar con el botón derecho del ratón en la carpeta en el
Explorador de Windows y escoger Propiedades. Después hay que pulsar en la pestaña Seguridad y
seleccionar los Permisos.
Para eliminar un individuo o grupo de la lista, basta con resaltar el nombre y pulsar Quitar.
Para añadir a la lista de aquellos con permisos, hay que pulsar el botón Agregar. Esto abre el cuadro de
dialogo Seleccionar Usuarios, Equipos y Grupos.
Hay que pulsar Aceptar cuando se haya terminado y se abrirá el cuadro Permisos de carpeta con los
nuevos nombres.
Asignación de permisos a los archivos
Los permisos para archivos individuales se asignan de la misma forma que para las carpetas. Sin
embargo, existen algunas consideraciones especiales:

Capítulo 11
● Hay que recordar el conceder permisos a grupos en lugar de a individuos.

● Hay que crear grupos y asignarles permisos de archivos en lugar de asignar permisos directamente
a grupos locales.
Configuración de permisos especiales
En algunas circunstancias, puede ser necesario establecer, cambiar o eliminar permisos especiales bien
en un archivo o bien en una carpeta. (Los permisos especiales de una carpeta sólo afectan a la carpeta.)
Para acceder a los permisos especiales, hay que seguir estos pasos:
1. En el Explorador, hay que pulsar con el botón derecho del ratón en el archivo o carpeta y
2. Pulsar en la pestaña Seguridad y pulsar después el botón Avanzada.
● Para añadir un usuario o grupo, hay que pulsar el botón Agregar. Hay que pulsar dos
veces con el ratón en el nombre del usuario o grupo para abrir el cuadro de diálogo Entrada
de permiso.
● Para ver o modificar los permisos especiales existentes, hay que resaltar el nombre del
usuario o grupo y pulsar el botón Ver o modificar.

● Para eliminar los permisos especiales, hay que resaltar el nombre del usuario o grupo y
pulsar Quitar. Si el botón Quitar está atenuado, hay que desactivar la casilla de verificación
Hacer posible que los permisos heredables de un objeto primario se propaguen a este
objeto y saltar al paso 6.
3. En el cuadro de diálogo Entrada de permiso, hay que seleccionar dónde se desean aplicar los
permisos en el cuadro Aplicar en. Aplicar en sólo está disponible para, carpetas.
4. En Permisos hay que pulsar Permitir o Denegar para cada permiso.
5. Para evitar que las subcarpetas y archivos hereden estos permisos hay que seleccionar Aplicar
estos permisos a objetos y/o contenedores sólo dentro de este contenedor.
6. Pulsar Aceptar para cerrar los cuadros de diálogo.
Aplicación de los permisos especiales cuando está seleccionado Aplicar estos

permisos a objetos y/o contenedores sólo dentro de este contenedor
¿Se aplica a ¿Se aplica a ¿Se aplica a
Selección ¿Se aplica a ¿Se aplica a
subcarpetas archivos de archivos en
en la carpeta las carpetas
de la carpeta la carpeta las carpetas
Aplicar en actual? posteriores?
actual? actual? posteriores?
sólo esta
Sí No No No No
carpeta
Esta carpeta,
subcarpeta y Sí Sí Sí No No
archivos

Capítulo 11
Esta carpeta
Sí Sí No No No
y subcarpeta
Esta carpeta
Sí No Sí No No
y archivos
sólo
subcarpetas No Sí Sí No No
y archivos
sólo
No Sí No No No
subcarpetas
sólo
No No Sí No No
archivos
En el cuadro, de diálogo Entrada de permiso de las carpetas se puede escoger cómo y dónde aplicar los
permisos especiales.
Aplicación de los permisos especiales cuando está seleccionado Aplicar estos

permisos a objetos y/o contenedores sólo dentro de este contenedor
¿Se aplica a ¿Se aplica a ¿Se aplica a
Selección ¿Se aplica a ¿Se aplica a
subcarpetas archivos de archivos en
en la carpeta las carpetas
de la carpeta la carpeta las carpe tas
Aplicar en actual? posteriores?
actual? actual? posteriores?
Sólo esta
Sí No No No No
carpeta
Esta carpeta,
subcarpeta y Sí Sí Sí Sí Sí
archivos
Esta carpeta
Sí Sí No Sí No
y subcarpeta
Esta carpeta
Sí No Sí No Sí
y archivos
sólo
subcarpetas No Sí Sí Sí Sí
y archivos
sólo
No Sí No Sí No
subcarpetas
Sólo
No No Sí No Sí
archivos

Capítulo 11
La propiedad y su funcionamiento
Como se ha podido observar, los Administradores y los miembros de otros pocos grupos selectos son los
únicos que pueden conceder y cambiar permisos. La excepción se produce cuando, un usuario es el
propietario de la carpeta o archivo en cuestión. Todo objeto en una partición NTFS tiene un propietario y
el propietario es la persona que creó el archivo o la carpeta. El propietario controla el acceso al archivo o
carpeta y puede dejar fuera, a quien elija.
Para ver quién tiene permiso para acceder a su nueva carpeta, Maximiliano, pulsa con el botón derecho
del ratón en la carpeta y escoge Propiedades y después pulsa en Seguridad.
Para su sorpresa aparece que todo el mundo en la red tiene acceso a su material "privado". Pero dado que
Maximiliano, es el propietario de la carpeta, puede cambiar los permisos para tener la carpeta toda para
él. Para hacer eso, añade explícitamente su nombre a la lista, de permisos y desactiva la opción Hacer
posible que los permisos sean heredables.
Después de hacer esto, incluso el administrador verá un mensaje de Acceso denegado cuando, trate de
abrir la carpeta.
Por supuesto, nada en la red puede estar completamente más allá del alcance de los administradores, por
lo que el administrador puede pulsar con el botón derecho del ratón en la carpeta, y escoger Propiedades
en el menú contextual. Cuando pulse en la pestaña Seguridad, se abre el cuadro informativo.
En la ventana Propiedades de Seguridad no se pueden hacer cambios. Sin embargo, si el administrador

pulsa el botón Avanzada y después en la pestaña Propietario, puede cambiar el propietario de la carpeta a
un administrador.
No importa cual sea el estado de la carpeta, el administrador puede adquirir su propiedad. Cuando
Maximiliano inicie sesión la próxima vez, aún tendrá acceso a Material privado de Max, pero si pulsa
Avanzada y después Propietario, verá que no es el propietario de la carpeta. De este modo, aún cuando
los administradores pueden entrar en todas las áreas sin invitación, no pueden hacerlo sin dejar
evidencias de su presencia.
El propietario de un archivo o carpeta también puede conceder el permiso especial Tomar

posesión a otros, permitiendo a esos usuarios adquirir la propiedad en cualquier
momento.

Capítulo 11

Capítulo 12
Capítulo 12
La tarea central de una red es asegurar que los clientes (los usuarios) tengan todo lo que necesitan y nada
que no necesitan. Lo que necesitan incluye acceso a los archivos, carpetas, aplicaciones, impresoras y
conexiones de Internet que requieren para hacer su trabajo. Lo que no necesitan es problemas para
acceder a lo que si necesitan.
El administrador de la red tiene necesidades adicionales, como material que requiere conocimientos para
protegerse de aquellos que no tienen por que tener conocimientos y proteger a los usuarios de ellos
mismos. La clave de todas estas necesidades es la configuración de grupos, usuarios y directivas de
grupo.
Introducción a los Grupos
Por definición, los grupos en Microsoft Windows 2000 son objetos del servicio de directorio Active
Directory o del equipo local que pueden contener usuarios, contactos, equipos a otros grupos. Sin
embargo, en general, un grupo es normalmente una colección de cuentas de usuario. El objetivo de los
grupos es simplificar la administración permitiendo al administrador de la red asignar derechos y
permisos por grupo en lugar de a usuarios individuales.
Windows 2000 permite dos tipos de grupos: de seguridad y de distribución. Los grupos de seguridad son
esencialmente los únicos grupos utilizados en Windows 2000 porque son los únicos grupos por medio de
los que se pueden asignar permisos. A cada grupo de seguridad se asigna también un ámbito de grupo, el
cual define cómo se asignan los permisos a los miembros del grupo y los grupos de distribución que no
tienen seguridad activada y a los que no se pueden asignar permisos.
Asignación de ámbitos de grupo
Cuando se crea un grupo, se le asigna un ámbito de grupo que define cómo se asignaran los permisos. Las
tres posibilidades de ámbitos de grupo son: global, local de dominio y universal.
Ámbito global
A un grupo con ámbito global los permisos se pueden conceder para recursos ubicados en cualquier
dominio. Sin embargo, los miembros sólo pueden proceder del dominio en el que se crea el grupo, y en
ese sentido no es global. Los grupos globales son adecuados para objetos de directorio que requieren
mantenimiento frecuente, como cuentas de usuario y grupo.
Pueden ser miembros de:

Capítulo 12
● Grupos universales o locales de dominio en cualquier dominio.
Pueden contener los siguientes miembros:
● Otros grupos globales en el mismo dominio.

● Cuentas individuales del mismo dominio.
Ámbito local de dominio
Un grupo local de dominio puede contener miembros de cualquier dominio, pero sus permisos solo
pueden ser para recursos del dominio en el que se crea el grupo. Los miembros de un grupo local de
dominio tienen una necesidad común de acceder a ciertos recursos en un dominio particular.
Pueden tener uno o más de los siguientes miembros:
● Otros grupos locales de dominio en el mismo dominio.

● Grupos globales de cualquier dominio.
● Grupos universales de cualquier dominio.
● Cuentas individuales de cualquier dominio.
Las reglas de anidamiento se aplican completamente sólo en modo nativo, es decir, cuando
todos los controladores del dominio son servidores Windows 2000. En dominios en modo
mixto, los grupos de seguridad con ámbitos globales solo pueden contener cuentas
individuales, no otros grupos. Los grupos de seguridad con ámbito local de dominio
pueden contener tantos grupos globales como cuentas.
Ámbito universal
Un grupo de seguridad universal puede tener miembros procedentes de cualquier dominio y se le pueden
asignar permisos para recursos de cualquier dominio. El ámbito universal sólo esta disponible en
dominios que se ejecuten en modo nativo. Los grupos universales pueden tener los siguientes miembros:
● Otros grupos universales.

● Grupos globales.
● Cuentas individuales.
Incluso en modo nativo, los grupos universales se deben utilizar con prudencia a causa del impacto
negativo que pueden tener en el rendimiento de la red.
La importancia de planificar los grupos se hace más aparente cuando se considera el

efecto negativo que la organización de grupos puede tener en el rendimiento de la red.
Cuando un usuario inicia sesión en la red, el controlador de dominio determina los

Capítulo 12
miembros del grupo del usuario y asigna un testigo de seguridad al usuario. El testigo
incluye los ID de seguridad de todos los grupos a los que pertenece el usuario, además del
ID de la cuenta del usuario. A cuantos más grupos de seguridad pertenezca el usuario, más
se tardará en crear el testigo y más tardará el usuario en iniciar sesión.
Además, el testigo de seguridad, una vez creado, se envía a cada equipo al que accede el
usuario. El equipo destino compara todos los ID de seguridad del testigo con los permisos
para todos los recursos compartidos disponibles en ese equipo. Un gran numero de
usuarios añadidos a un gran numero de recursos compartidos (incluyendo carpetas
individuales) puede consumir bastante ancho de banda y tiempo de proceso. Una solución
es limitar la pertenencia a los grupos de seguridad. Conviene utilizar los grupos de
distribución para categorías de usuarios que no requieren permisos o derechos
específicos.
Los grupos con ámbito universal tendrán por si mismos un impacto en el rendimiento a
causa de todos los grupos, junto con sus miembros, que se muestran en el Catálogo
Global. Cuando hay un cambio en la pertenencia a un grupo con ámbito universal, este
hecho debe ser transmitido a todos los servidores de Catálogo Global del árbol de
dominios, añadiéndose al tráfico de réplica de la red. Los grupos con ámbito global o local
de dominio también se muestran en el Catalogo global, pero sus miembros individuales no,
por lo que la solución es limitar la pertenencia a los grupos universales antes que a los
grupos globales.
Planificación de estrategias de grupo
Como en muchos otros aspectos de la administración de red, la planificación es el paso esencial. El modo
del dominio determina los tipos de grupos disponibles. Un dominio en modo mixto no puede soportar
grupos con ámbito universal. De este modo, mientras haya controladores de dominio de reserva con
Microsoft Windows NT, se esta limitando a grupos con ámbito global y local de dominio.
Determinación de los nombres de grupo
A la hora de planificar los grupos, se debería determinar un esquema de denominación que sea apropiado
para la organización. Se deberían considerar dos factores:
● Los nombres de los grupos deberían reconocerse instantáneamente: Si es así, los

administradores que busquen en el Active Directory no tendrán que adivinar su significado.
● Los grupos comparables deberían tener nombres similares: En otras palabras, si hay un grupo
para ingenieros en cada dominio, hay que dar a todos los grupos nombres paralelos, como
Ingenieros América, Ingenieros Europa o Ingenieros Asia.
Grupos globales y locales de dominio
Será necesario desarrollar una estrategia para utilizar los diferentes grupos y hacer que los usuarios con
responsabilidades laborales similares pertenezcan a un grupo global. De este modo, se añadirían cuentas

Capítulo 12
de usuario para todos los artistas gráficos a un grupo global llamado Artistas gráficos. Otros usuarios con
necesidades comunes deberían asignarse a otros grupos globales. Después, se deben identificar los
recursos a los cuales necesitan acceder los usuarios y crear un grupo local de dominio para cada recurso.
Si, por ejemplo, hay varias impresoras y trazadores de color que se utilizan en departamentos específicos,
se podría crear un grupo local de dominio llamado ImpresorasDeColor.
Lo siguiente que se debería decidir es qué grupos globales necesitan acceder a los recursos identificados.
Continuando con el ejemplo, se debería añadir el grupo global Artistas gráficos al grupo local de dominio
ImpresorasDeColor, junto con el resto de grupos globales que necesiten acceder a las impresoras y los
trazadores. El permiso para utilizar los recursos de ImpresorasDeColor debería asignarse al grupo local de
dominio ImpresorasDeColor.
No se debe olvidar que los grupos globales pueden complicar la administración en situaciones de
múltiples dominios. Los grupos globales de diferentes dominios han de tener sus permisos establecidos
individualmente. Además, la asignación de usuarios a grupos locales de dominio y la concesión de
permisos al grupo no dará a los miembros acceso a los recursos fuera del dominio.
Hay que recordar que las reglas de anidamiento solo se aplican en modo nativo. En
dominios en modo mixto, los grupos de seguridad con ámbito global solo pueden contener
cuentas individuales, no otros grupos. Los grupos de seguridad con ámbito local de
dominio pueden contener grupos globales y cuentas.
Grupos universales
Los Grupos Universales sólo se pueden utilizar cuando el dominio se ejecuta en modo nativo y hay que
tener en cuenta las siguientes directrices:
● Evitar la adición de cuentas individuales a los grupos universales, para mantener el tráfico de
réplica bajo.
● Añadir grupos globales de múltiples dominios a grupos universales para proporcionar acceso a
recursos a los miembros en más de un dominio.
● Los grupos universales pueden ser miembros de grupos locales de dominio y otros grupos
universales, pero no pueden ser miembros de grupos globales.
Implementación de la estrategia de grupo
Una vez que se haya planificado la estrategia y comprobado utilizando variedad de escenarios, se estará
preparado para comenzar a poner en práctica la estructura.
Creación de grupos
Se puede utilizar Usuarios y equipos de Active Directory para crear y eliminar grupos. Los grupos

Capítulo 12
deberían crearse en el contenedor Users o en una unidad organizativa (OU, Organizational Unit) que se
haya creado con el propósito de contener grupos.
Para crear un grupo:
1. Abrir Usuarios y equipos de Active Directory desde Herramientas Administrativas.

2. En el árbol de consola, pulsar una
OU.
3. Pulsar el menú Acción, ir a Nuevo ,
y entonces pulsar Grupo. Aparece
el cuadro de dialogo Nuevo objeto -
grupo.
4. Nombre del grupo: introducir un
nombre representativo de la función
del grupo a crear.
5. Nombre de grupo (anterior a
Windows 2000): De forma
predeterminada, el nombre que
escriba en el campo anterior se
usará también para el grupo nuevo
en versiones anteriores a Windows
2000.
6. Ámbito de Grupo:
● Dominio Local: Un grupo
local de dominio se utiliza para asignar permisos para acceder a los diferentes recursos de
la red. Debido a que se utiliza el grupo para asignar permisos, se hace un grupo local de
dominio.
● Global: Se les pueden conceder permisos en cualquier dominio del bosque.
● Universal: El ámbito del grupo universal estará disponible cuando se estén ejecutando los
servicios de Active Directory en modo Nativo. Se les pueden conceder permisos en

cualquier dominio del árbol o el bosque de dominios
7. Tipo de Grupo:
● Seguridad: Se utilizan para recopilar usuarios, equipos y otros grupos en unidades más
fáciles de administrar. Los administradores deben asignar los permisos para recursos
(archivos compartidos, impresoras, etc.) a un grupo de seguridad, no a usuarios
individuales. Así los permisos se asignan una vez al grupo en lugar de varias veces a cada
usuario individual. Cada cuenta que se agrega al grupo recibe automáticamente los
permisos y derechos definidos para ese grupo. Al trabajar con grupos en lugar de usuarios
individuales se simplifica el mantenimiento y la administración de la red. Seleccionaremos
el botón de radio Seguridad.
● Distribución: Los grupos de distribución sólo se pueden utilizar como listas de
distribución de correo electrónico. No pueden utilizarse para filtrar configuraciones de

Directiva de grupo. Los grupos de distribución no tienen ninguna función relacionada con

Capítulo 12
la seguridad.
Eliminación de grupos
Cuando ya no se necesita más un grupo

hay que asegurarse de eliminarlo del
sistema cuanto antes. Los grupos
innecesarios son un riesgo para la
seguridad porque es muy fácil garantizar
permisos de forma no intencionada.
Cada grupo, como cada usuario, tiene un

identificador de seguridad (SID) único. El
SID se utiliza para identificar al grupo y
los permisos asignados al grupo. Cuando
el grupo se elimina, el SID se borra y no
se utiliza de nuevo. Si se elimina un grupo
y más tarde se decide volver a crearlo,
habrá que configurar los usuarios y los
permisos al igual que para un nuevo
grupo.
Para eliminar un grupo, simplemente hay

que pulsar con el botón derecho del ratón
en su nombre en Usuarios y equipos de
Active Directory y escoger Eliminar en el menú contextual. La eliminación de un grupo solo elimina el
grupo y los permisos asociados al grupo. El único efecto en las cuentas de los usuarios es que pierden los
derechos inherentes al grupo eliminado.
Cambio del ámbito de un grupo
Con el tiempo se puede descubrir que es necesario cambiar el ámbito de un grupo particular. Por ejemplo,
podría ser necesario cambiar un grupo global a universal de forma que los usuarios de otro dominio
puedan ser parte del grupo. Sin embargo, los tipos de cambios que se pueden hacer al ámbito de un grupo
están realmente limitados, y puede ser necesario eliminar el grupo y crear uno nuevo para obtener la
configuración que se necesita.

Capítulo 12
Para cambiar el ámbito de un grupo, hay que

pulsar con el botón derecho del ratón en el
nombre del grupo en Usuarios y equipos de
Active Directory y escoger Propiedades en el
menú contextual. Hay que realizar los cambios
necesarios en la pestaña General y pulsar
Aceptar cuando se haya terminado. Las reglas
para cambiar un ámbito de un grupo son las siguientes:
● En modo mixto, un grupo de seguridad no puede tener ámbito universal.

● Un grupo global se puede cambiar a universal si no es aun miembro de otro grupo global.
● Un grupo local de dominio se puede cambiar a universal si no contiene aun otro grupo local de
dominio.
● Un grupo universal no se puede cambiar.
Creación de grupos locales
Un grupo local es una colección de cuentas de usuario en un único equipo. Las cuentas de usuarios han de
ser locales al equipo, y los miembros de grupos locales solo pueden tener asignados permisos para
recursos del equipo donde se creó el grupo local.
Los grupos locales se pueden crear en cualquier equipo Windows 2000 excepto en controladores de
dominio. En general, no es conveniente utilizar grupos locales en un equipo que es parte de un dominio o,
al menos, es mejor hacerlo con moderación. Los grupos locales no aparecen en el Active Directory, por lo
hay que administrarlos independientemente en cada equipo individual. Para crear un grupo local, hay que
seguir estos pasos:
1. Pulsar con el botón derecho del ratón en el icono Mi PC del escritorio y escoger Administrar
en el menú contextual.
2. En el árbol de la consola hay que expandir Herramientas del sistema y después Usuarios locales
y grupos.
3. Pulsar con el botón derecho en la carpeta Grupos y seleccionar Grupo nuevo en el menú
contextual.
4. En el cuadro de dialogo Grupo nuevo hay que introducir el nombre del grupo. Se puede incluir
una descripción si se desea.
5. Pulsar el botón Agregar, si se desean añadir miembros al grupo se puede hacer ahora, sino, pulsar
Crear y el nuevo grupo se añadirá a la lista de grupos del panel de detalles.
Gestión de grupos predefinidos y de los derechos de los usuarios
Windows 2000 crea cuatro tipos de grupos predefinidos: locales, locales de dominio, globales y de
sistema. Cada tipo de grupo predefinido tiene un conjunto predeterminado de derechos de usuario. Todo

Capítulo 12
el que es asignado al grupo posee automáticamente esos derechos.
Grupos locales predefinidos
Los servidores miembro, los servidores independientes y los equipos que ejecutan Windows 2000
Profesional tienen grupos locales predefinidos que otorgan derechos para realizar tareas en una única
maquina.
Si se desea que los miembros del grupo Usuarios del dominio no tengan acceso a una
estación de trabajo o servidor miembro en particular, hay que eliminar Usuarios del
dominio del grupo local Usuarios de ese equipo. De forma similar, si no se desea que los
miembros de Admins. del dominio administren una estación de trabajo o un servidor
miembro en particular, hay que eliminar Admins. del dominio del grupo local
Administradores.
Grupos locales predefinidos:
● Administradores: Sus miembros pueden realizar todas las tareas administrativas en el equipo. La
cuenta predefinida Administrador que se crea cuando se instala el sistema operativo es un
miembro del grupo. Cuando un servidor independiente o un equipo que ejecuta Windows 2000
Profesional se une a un dominio, el grupo Admins. del dominio se hace parte de este grupo.
● Duplicadores: No se deben añadir cuentas de usuario de usuarios reales a este grupo. Si es
necesario, se puede añadir una cuenta de usuario "ficticia" a este grupo para permitir iniciar sesión
en los servicios Replicador de un controlador de dominio para administrar la réplica de archivos y
directorios.
● Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya
concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un
administrador haya concedido permisos específicamente.
● Operadores de copia: Sus miembros pueden iniciar sesión en el equipo, hacer copia de seguridad
y recuperar la información del equipo y apagar el equipo. Los miembros no pueden cambiar la
configuración de seguridad. No hay miembros predeterminados en el grupo.
● Usuarios: Los miembros de este grupo pueden iniciar sesión en el equipo, acceder a la red,
almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer
cambios en el sistema. Cuando un servidor miembro o una maquina Windows 2000 Profesional se
une a un dominio, el grupo Usuarios del dominio se añade a este grupo.
● Usuarios avanzados: Sus miembros pueden crear y modificar cuentas de usuario e instalar
programas en el equipo local pero no pueden ver los archivos de otros usuarios.
Grupos locales de dominio predefinidos
Los grupos locales de dominio predefinidos de Windows 2000 proporcionan a los usuarios derechos y
permisos para realizar tareas en controladores de dominio y en el Active Directory. Los grupos locales de
dominio tienen derechos y permisos predefinidos que están concedidos a los usuarios y a los grupos

Capítulo 12
globales que se añaden como miembros.
Grupos locales de dominio predefinidos usados más frecuentemente
● Administradores: Sus miembros tienen concedido automáticamente cualquier derecho o permiso

de todos los controladores de dominio y del propio dominio. La cuenta Administrador, el grupo
Administración de empresas y el grupo Admins. del dominio son miembros.
● Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya
concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un
administrador haya concedido permisos específicamente. Los grupos Usuarios invitados a
Invitados de dominio son miembros de forma predeterminada.
● Operadores de copia: Sus miembros pueden hacer copia de seguridad y recuperar información en
todos los controladores de dominio utilizando Copia de seguridad de Windows 2000.
● Operadores de cuentas: Sus miembros pueden crear, eliminar y gestionar cuentas y grupo de
usuarios. Los miembros no pueden modificar el grupo Administradores o cualquiera de los grupos
Operadores.
● Operadores de impresión: Sus miembros pueden gestionar todos los aspectos de la operación y
configuración de impresoras en el dominio.
● Operadores de servidores: Sus miembros pueden realizar la mayoría de las tareas administrativas
en los controladores de dominio, excepto la manipulación de las opciones de seguridad.
● Usuarios: Sus miembros pueden iniciar sesión en el equipo, acceder a la red, almacenar
documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en
el sistema. El grupo Usuarios del dominio es miembro de este grupo de forma predeterminada.
En Windows NT todos los usuarios del dominio son miembros del grupo Todos. Este grupo
esta controlado por el sistema operativo y aparece en cualquier red con servidores
Windows NT. En Windows 2000, el grupo equivalente se llama Usuarios autentificados. A
diferencia de Todos, Usuarios autentificados no contiene usuarios o invitados anónimos.
El grupo Todos sobrevive como una identidad especial. No se puede ver cuando se
administran los grupos y no se puede situar en un grupo. Cuando un usuario inicia sesión
en la red es añadido automáticamente a Todos. No se puede ver o cambiar la pertenencia
de las identidades especiales, que también incluyen el grupo Red y el Grupo interactivo.
Grupos globales predefinidos
Los grupos globales predefinidos se crean para englobar tipos de cuentas comunes. De forma
predeterminada, estos grupos no tiene derechos heredados; un administrador debe asignar todos los
derechos del grupo. Sin embargo, algunos miembros se añaden automáticamente a estos grupos, y se
pueden añadir como miembros basándose en los derechos y permisos asignados a los grupos. Los
derechos se pueden asignar directamente a los grupos o añadiendo los grupos globales predefinidos a
grupos locales de dominio.
Grupos globales predefinidos usados más frecuentemente

Capítulo 12
● Administración de empresas: Este grupo es para usuarios que tengan derechos administrativos
en toda la red. Administración de empresas es automáticamente un miembro del grupo local de
dominio Administradores en el dominio en el que se creo. Será necesario añadirlo al grupo local
de dominio Administradores de otros dominios.
● Admins. del dominio: Este grupo es automáticamente un miembro del grupo local de dominio
Administradores, por lo que los miembros de Admins. del dominio pueden realizar tareas
administrativas en cualquier equipo del dominio. La cuenta Administrador es un miembro de este
grupo de forma predeterminada.
● Controladores del dominio: Todos los controladores de dominio del dominio con miembros.
● Equipos del dominio: Son miembros todos los controladores y estaciones de trabajo del dominio.
● Invitados del dominio: La cuenta Invitado es un miembro de forma predeterminada. Este grupo
es automáticamente un miembro del grupo local de dominio Invitados.
● Propietarios del creador de directivas de grupo: Sus miembros pueden crear y modificar la
directiva de grupo del dominio.
● Usuarios del dominio: Todos los usuarios del dominio y la cuenta Administrador son miembros.
El grupo Usuarios del dominio es automáticamente un miembro del grupo local de dominio
usuarios.
Si se tienen usuarios que deberían tener menos derechos y/o permisos que los de un
usuario típico, hay que añadir esos usuarios a Invitados de dominio y eliminarlos de
Usuarios del dominio.
Derechos de usuario
Derechos son aquellas acciones que los usuarios pueden o no realizar. Los derechos se aplican
generalmente al sistema entero. La capacidad de hacer copia de seguridad de archivos o de iniciar sesión
en un servidor, por ejemplo, es un derecho que el administrador concede o retira. Los derechos se pueden
asignar de forma individual, pero la mayoría de las veces son característicos de los grupos, y un usuario
se asigna a un grupo particular en base a los derechos que necesita.
Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos específicos como archivos,
directorios a impresoras.
Los derechos, a su vez, están divididos en dos tipos: privilegios y derechos de inicio de sesión. Los
privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o forzar el apagado
desde un sistema remoto; obviamente cosas que no hacen la mayoría de los usuarios. Los derechos de
inicio de sesión implican la capacidad de conectarse a un equipo de forma especifica. Los derechos se
asignan automáticamente a usuarios individuales además de a grupos. Es preferible la asignación a
grupos, por lo que, en la medida de lo posible, se deberían asignar los derechos por pertenencia a un
grupo para simplificar la administración. Cuando la pertenencia de los grupos define derechos, se pueden
eliminar los derechos de un usuario eliminando simplemente al usuario del grupo.

Capítulo 12
Derechos de inicio de sesión asignados de forma predeterminada a los grupos

Nombre Descripción Grupos con el derecho
asignado de forma
predeterminada
Iniciar sesión como Permite iniciar sesión Ninguno
servicio como un servicio
utilizando una cuenta de
usuario y un contexto de
seguridad específicos.
Iniciar sesión como Permite iniciar sesión Administradores
trabajo de procesamiento utilizando una cola de
por lotes procesamiento por lotes.
Iniciar sesión local Permite iniciar sesión Administradores, Operadores
desde el teclado del de copia; Operadores de
equipo. cuentas, Operadores de
impresión, Operadores de
servidores
Tener acceso a este Permite la conexión al Administradores, Todos,
equipo desde la red equipo a través de la red. Usuarios avanzados.
Privilegios asignados de forma predeterminada a los grupos

Privilegio Descripción Grupos con el privilegio
asignado de forma
predeterminada
Actuar como parte del Permite a un proceso Ninguno
sistema operativo autenticarse como cualquier
usuario. Un proceso que
requiere este privilegio
debería utilizar la cuenta
LocalSystem, que ya
incluye este privilegio.

Capítulo 12
Administrar registros de Permite a un usuario Administradores

auditoria y de seguridad especificar opciones de
auditoria y ver y borrar el
registro de seguridad del
Visor de sucesos. Se debe
activar Auditar el acceso del
servicio de directorio para
que se pueda realizar la
auditoria de acceso a
objetos. Los administradores
siempre pueden ver y borrar
el registro de seguridad.
Agregar estaciones de Permite a un usuario añadir Administradores
trabajo a un dominio nuevas estaciones de trabajo
a un dominio existente.
Apagar el sistema Apaga Windows 2000. Administradores, Operadores
de copia, Todos, Usuarios,
Usuarios avanzados
Aumentar la prioridad de Permite el uso del Administradores, Usuarios
programación Administrador de tareas de avanzados
programación para cambiar
la prioridad de un proceso.
Aumentar las cuotas Permite a un proceso con Ninguno
permiso de escritura acceder
a otro proceso para
aumentar la cuota de
procesador asignada a ese
proceso.
Bloquear paginas en la Permite a un proceso Ninguno
memoria mantener información en la
memoria física. Este es un
privilegio obsoleto que
puede tener un serio efecto
negativo en el rendimiento
del sistema. No se debe
utilizar.
Cambiar la hora del Permite establecer la hora Administradores, Usuarios
sistema del reloj interno del equipo. avanzados.

Capítulo 12
Cargar y descargar Instalar y desinstalar Administradores

controladores de controladores de dispositivo.
dispositivo
Crear objetos Permite a un proceso crear Ninguno
compartidos permanentes un objeto de directorio. Lo
utilizan componentes de
modo de núcleo para
ampliar el espacio de
nombres de objetos de
Windows 2000. Los
componentes que se
ejecutan en modo de núcleo
ya tienen este privilegio.
Crear un archivo de Permite la creación y Administradores
paginación modificación de un archivo
de paginación
Crear un objeto Permite a un proceso crear Ninguno
identificador (token) un identificador (token) que
se puede utilizar para
acceder a cualquier recurso
local. Un proceso que
requiere este privilegio
debería utilizar la cuenta
LocalSystem, que ya
incluye este privilegio.
Depurar programas Permite al usuario asignar Administradores
un depurador a un proceso.
Desacoplar un equipo Permite desacoplar un Administradores, Usuarios
portátil portátil de una estación de
acoplamiento utilizando la
interfaz de Windows 2000.
Forzar el apagado desde Permite apagar un equipo Administradores
un sistema remoto desde una ubicación remota
de la red.
Generar auditorias de Permite a un proceso crear Ninguno
seguridad entradas en el registro de
seguridad.

Capítulo 12
Habilitar la opción de Permite a un usuario Administradores

confianza para la establecer la configuración
delegación en las cuentas Confianza para la
de usuario y de equipo delegación en un objeto.
Modificar valores del Permite la configuración de Administradores
entorno del firmware la RAM no volátil en
equipos que soportan tal
función.
Omitir la comprobación Permite a un usuario Todos
de recorrido recorrer los árboles del
directorio (estructuras de
carpetas) incluso si el
usuario no tiene permiso
para acceder a los
directorios por los que pasa.
Perfilar el rendimiento Permite observar el Administradores
del sistema rendimiento del sistema.
Perfilar un único proceso Permite observar el Administradores, Usuarios
rendimiento de un proceso. avanzados
Realizar copias de Permite hacer copias de Administradores, Operadores
seguridad de archivos y seguridad del sistema, de copia
directorios ignorando los permisos
específicos de archivos y
carpetas.
Reemplazar un Permite reemplazar el Ninguno
identificador (Token) de identificador (Token)
nivel de proceso predeterminado asociado
con un subproceso.
Restaurar archivos y Permite restaurar archivos y Administradores, Operadores
directorios carpetas en un sistema; de copia
invalida los permisos
específicos de archivos y
carpetas.
Sincronizar información Permite a un usuario iniciar Administradores
del servicio de directorio una sincronización del
Active Directory.

Capítulo 12
Tomar posesión de Permite a un usuario tomar Administradores

archivos y otros objetos posesión de cualquier objeto
de seguridad incluyendo
archivos y carpetas,
impresoras, claves de
registro y procesos. Invalida
los permisos específicos.

Capítulo 13
Capítulo 13
En muchas redes de pequeño o medio tamaño, los grupos predefinidos de Windows 2000 Server pueden,
con quizás algún pequeño ajuste, proporcionar perfectamente una seguridad adecuada. Sin embargo, en
configuraciones grandes y configuraciones con necesidades especiales, las configuraciones de seguridad
pueden ser demasiado estrictas para algunos grupos y demasiado relajadas para otros. En estas
situaciones, las directivas de grupo pueden proporcionar a los administradores un grado de control que es
tan granular como se podría desear. Además, las directivas de grupo pueden reducir la cantidad de
productividad perdida cuando los usuarios eliminan accidentalmente archivos de configuración del
sistema, "pierden" carpetas vitales o introducen un virus en la red.
Directiva de grupo es el sucesor del Editor de directivas del sistema de Windows NT. Las directivas de
grupo pueden controlar todos los aspectos del entorno, ya sea grande o pequeño, y se establecen
normalmente a nivel de sitio y de dominio. Con el complemento directiva de grupo, se pueden
especificar configuraciones para configuraciones de directiva basadas en el registro, configuraciones de
seguridad, instalación de software, secuencias de comandos y redirección de carpetas.
Terceras partes pueden ampliar directiva de grupo para alojar otras configuraciones de directiva. Toda la
información generada por directiva de grupo se almacena en un objeto de directiva de grupo (GPO,
Group Policy Object), que se replica en todos los controladores de dominio dentro de un único dominio.
Los directivas del sistema establecidas en Windows NT 4 no se migran a Windows 2000:

Un cliente Windows NT actualizado a Windows 2000 solo tendrá directivas de grupo
basadas en Active Directory; ninguna directiva de Windows NT 4 sobrevivirá a la
actualización. La principal diferencia entre las directivas del sistema de Windows NT y las
directivas de grupo de Windows 2000 reside en donde se escriben las directivas. Windows
2000 sólo utiliza los siguientes cuatro árboles del registro:
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Cuando una directiva de grupo cambia, estos árboles son esencialmente eliminados y sus
contenidos se vuelven a escribir. Aunque ninguna de las plantillas que vienen con
Windows 2000 incluye valores que escriban en otros lugares del registro, es posible
hacerlo. (Las directivas de Windows NT 4 pueden escribir en cualquier parte del registro.)
Sin embargo, no es aconsejable emplear directivas al estilo Windows NT que escriban en
otras partes del registro por las siguientes razones:

Capítulo 13
● Solo estos cuatro árboles son seguros. Las aplicaciones, el sistema operativo o los
usuarios pueden modificar otras partes del registro.
● Una vez que una directiva se define en otra parte del registro, persistirá hasta que
el registro sea editado o la directiva sea revertida específicamente.
● Mantenerse fiel a directiva de grupo de Active Directory proporciona
considerablemente más control sobre cuándo y cómo cambiarán las directivas.
Los clientes Windows NT 4 Workstation y Server no tienen Active Directory, por lo que
habrá que seguir utilizando el Editor de directivas del sistema (Poledit.exe) para definir
directivas para esos clientes. Las directivas de grupo no se aplicaran a ellos. De forma
similar, hay que ejecutar Poledit.exe en los clientes Windows 95 y Windows 98 y copiar el
archivo resultante Config.pol a la carpeta SYSVOL del controlador de dominio Windows
2000.
Componentes de directiva de grupo
Directiva de grupo consta de varios componentes configurables. El primero son las plantillas
administrativas, que establecen las directivas basadas en el registro. Se incluyen cinco plantillas
administrativas en Windows 2000. Dos de ellas se instalan de forma predeterminada:
● System.adm: directivas del sistema para clientes Windows 2000.

● Inetres.adm: directivas de Internet Explorer para clientes Windows 2000.
Estas plantillas utilizan las cuatro áreas del registro reservadas para la configuración de directiva de
grupo. Las tres plantillas administrativas adicionales (Winnt.ADM, Windows.ADM y Common.ADM)
son para directivas de seguridad para clientes Windows NT, Windows 95 y Windows 98. Se utilizan con
el Editor de directiva de seguridad (Poledit.exe) en los propios clientes y no deberían cargarse en
directiva de grupo.
Los otros componentes de directiva de grupo son los siguientes:
● Configuración de seguridad: Configura la seguridad para usuarios, equipos y dominios.

● Archivos de comandos: Especifica secuencias de comandos para el inicio y el apagado del
equipo además del inicio y cierre de sesión del usuario.
● Redirección de carpetas: Sitúa carpetas especiales como Mis documentos o carpetas de
aplicaciones especificas en la red.
● Software: Asigna aplicaciones a usuarios.
Todos los componentes de directiva de grupo se pueden editar utilizando el Editor de directivas de grupo
(GPE, Group Policy Editor).

Capítulo 13
Objetos de directiva de grupo
La configuración de directiva de grupo se almacena en un objeto de directiva de grupo (GPO, Group

Policy Object). Se pueden aplicar uno o más GPO a un sitio, dominio u OU (SDOU, Site, Domain or
OU), al igual que múltiples SDOU se pueden asociar con un único GPO. Los GPO almacenan
información en dos ubicaciones: en una estructura de carpetas llamada plantilla de directiva de grupo
(GPT, Group Policy Template) y en un contenedor de directiva de grupo (GPC, Group Policy Container)
en el Active Directory.
El GPT se encuentra en la carpeta SYSVOL de todos los controladores de dominio. Contiene

información sobre la directiva de software, implantacion de archivos y aplicaciones, secuencias de
comandos y configuraciones de seguridad. Un GPC contiene propiedades de GPO, incluyendo la
información de clase de Active Directory relacionada con la implantación de la aplicación. La
información almacenada en un GPC rara vez cambia.
Un GPO que se aplica localmente se almacenará en la carpeta

%SystemRoot%\system32\GroupPolicy del equipo local. Un equipo solo puede tener una
directiva de grupo local.
Plantillas de Directiva de grupo: Cuando se crea un GPO, la estructura de carpetas de la GPT se crea
automáticamente. El nombre de la carpeta para la GPT será el identificador único global (GUID,
Globally Unique Identifier) del GPO. Sin embargo, para ver la carpeta de la directiva, hay que mirar en
%SystemRoot%\SYSVOL\Sysvol\nombre_del_dominio\Policies.
Contenedores de directiva de grupo: Los objetos de directiva de grupo también tendrán un componente
del Active Directory llamado GPC que incluye subcontenedores con información de la versión,
Information del estado y una lista de las extensiones de directiva de grupo empleadas en el GPO. Los
GPC no tienen relevancia directa para la administración.
Acceso a Directiva de grupo
Las directivas de grupo se crean y modifican de varias formas diferentes, dependiendo del tipo de
directiva de grupo que se desea implementar y para que se apliquen hay que seguir, para cada grupo,
unos pasos determinados:
● El equipo local: Hay que seleccionar Directiva de Seguridad local en el menú Herramientas
administrativas. En una máquina Windows 2000 Professional hay que abrir el Panel de control,
pulsar Herramientas administrativas y seleccionar directiva de seguridad local.
● Otro equipo: Abrir MMC y agregar el complemento directiva de grupo. En el cuadro de
dialogo Seleccionar un objeto de directiva de grupo, hay que examinar en busca del objeto de
directiva de grupo que se desee.
● Un dominio: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que

Capítulo 13
pulsar con el botón derecho del ratón en el dominio y escoger Propiedades en el menú
contextual. Pulsar en la pestaña directiva de grupo.
● Una unidad organizativa: Abrir Usuarios y equipos de Active Directory. En el árbol de la
consola, hay que pulsar con el botón derecho del ratón en la OU y escoger Propiedades en el
menú contextual. Pulsar en la pestaña directiva de grupo.
● Un sitio: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que
pulsar con el botón derecho del ratón en el sitio y escoger Propiedades en el menú contextual.
Pulsar en la pestaña directiva de grupo
Gestión de las directivas de grupo
Las directivas de grupo se heredan y se acumulan. Cuando se asocia un GPO con un contenedor de
Active Directory, la directiva de grupo se aplica a todas las cuentas de equipo y usuario del contenedor.
Las carpetas Users y Computers de Usuarios y equipos de Active Directory no son

unidades organizativas y, por lo tanto, no pueden tener directivas de grupo aplicadas. Sin
embargo, la carpeta Domain Controllers si es una OU y puede tener un GPO especifico.
Orden de herencia
Como regla, la configuración de Directiva de grupo se transmite hacia abajo de contenedores primarios a
contenedores secundarios. Esta práctica implica que una directiva que se aplica a un contenedor primario
se aplicará a todos los contenedores -incluyendo usuarios y equipos- que se encuentren bajo ese
contenedor primario en el árbol jerárquico de Active Directory. Sin embargo, si se asigna
específicamente una directiva de grupo a un contenedor secundario que contradice la directiva del
contenedor primario, la directiva del contenedor secundario sustituirá a la directiva de grupo primaria.
Si las directivas no son contradictorias, se pueden implementar ambas. Por ejemplo, si una directiva de

Capítulo 13
contenedor primario provoca la

existencia de un acceso directo a una
aplicación en el escritorio del usuario,
mientras que la directiva de un
contenedor secundario sitúa otro acceso
directo a la misma aplicación,
aparecerán ambos. Los parámetros de la
directiva que se encuentren
deshabilitados se heredaran como
deshabilitados. Los parámetros de la
directiva que no estén configurados en
el contenedor primario no se heredaran.
Sustitución de la herencia
En Windows 2000 hay disponibles dos

opciones para cambiar el proceso de
herencia: No reemplazar y Bloquear la
herencia de directivas.
● No reemplazar: Cuando se
establece esta opción, los
contenedores secundarios no
pueden sustituir ningún GPO de
un nivel superior. Esta opción no se establece de forma predeterminada y es necesario activarla en
cada GPO si se desea. Para establecer la opción No reemplazar, hay que seguir estos pasos:
1. Abrir el GPO que se desee administrar.
2. Pulsar con el botón derecho del ratón en el GPO y escoger No reemplazar en el menú
contextual. Aparece una marca de verificación junto al GPO bajo No remplazar.
3. Pulsar Aceptar.
● Bloquear la herencia de directivas: Esta opción esta disponible en una casilla de verificación en
la ventana Propiedades del GPO. Cuando se selecciona esta opción, el contenedor secundario no
hereda ninguna directiva de los contenedores primarios. Si hay un conflicto entre estas dos
opciones, la opción No reemplazar siempre tiene preferencia.
Orden de implementación
Las directivas de grupo se procesan en el siguiente orden:
● Directiva del sistema de Windows NT 4 (si hay alguna).

● Directiva de grupo local.
● Sitio.

Capítulo 13
● Dominio.
● Unidad organizativa.
● OU secundaria.
La directiva local se procesa primero y la OU de la que es miembro el usuario o equipo se procesa al

final. Hay dos excepciones a esto. La opción Bloquear la herencia de directivas se puede establecer en un
SDOU, lo que implica que la directiva superior no se aplicará. Sin embargo, una directiva de grupo de un
SDOU con la opción No reemplazar establecida siempre se aplica, teniendo preferencia la directiva más
alta del árbol.
Implementación y directiva vigente
Como se pueden establecer directivas a varios niveles, cuando se pulsa con el ratón en un objeto de
directiva, se observa tanto la directiva local como la directiva vigente en el sistema. Estas no tienen por
que ser la misma si el equipo hereda la configuración de las directivas a nivel de dominio. Si se crea una
configuración de directiva y no se refleja en la directiva vigente, es posible que una directiva del dominio
esté reemplazando la configuración.
También es posible que la directiva no se haya actualizado desde que se hizo el cambio. Para forzar la
actualización de una directiva para el equipo local, hay que abrir una ventana de comandos y escribir:
secedit /refreshpolicy machine_policy
Definición del ámbito del GPO
Un objeto de Directiva de grupo se aplica a todos los usuarios y equipos del SDOU con el que esta
asociado el GPO. Inevitablemente, habrá usuarios y equipos en el SDOU que no deberían tener aplicado
un GPO en particular. Además, las directivas de un GPO particular solo se aplican a los usuarios que
tengan el permiso Leer para ese GPO. Para filtrar la aplicación de un GPO se pueden crear grupos de
seguridad y asignar el permiso Leer sólo a los grupos a los que se aplique el GPO.

Capítulo 13
El filtrado del ámbito de un GPO

involucra la utilización del Editor de
Listas de control de acceso (ACL,
Access Control List) para permitir o
denegar el acceso al GPO para
grupos particulares. Para establecer
el acceso, hay que seguir estos
pasos:
1. Abrir el GPO que se desea

administrar.
2. En la pestaña directiva de
grupo, hay que resaltar el
GPO y pulsar Propiedades.
3. Pulsar en la pestaña
Seguridad. En la parte
inferior de la pestaña
Seguridad, hay que pulsar el
botón Avanzada para abrir el
Editor de ACL.
4. Agregar, quitar grupos o
modificar la configuración.
Cuando se haya terminado, hay que pulsar Aceptar varias veces para cerrar todas las ventanas
abiertas.
La ubicación del grupo de seguridad no importa a la hora de crear configuraciones. Lo que importa es la
ubicación de los usuarios o equipos que son miembros del grupo. Si un usuario o equipo no es miembro
del SDOU con el que esta asociado el GPO (bien directamente, bien a través de un vínculo o bien
mediante herencia), ninguna combinación de permisos o pertenencias en un grupo de seguridad puede
forzar que se aplique el GPO a ese usuario o equipo.
Definición de las directivas para grupos de seguridad

Resultado Permisos necesarios Consecuencias
pretendido
Esta directiva de Aplicar directiva de La directiva de grupo se
grupo se aplicará a grupos: Permitir aplicara a todos los
los miembros de este Leer: Permitir miembros excepto los
grupo miembros que pertenezcan
a otro grupo con Aplicar
directiva de grupo o Leer
establecidos como Denegar.

Capítulo 13
Esta directiva de Aplicar directiva de grupos: La directiva de grupo no se

grupo no se aplicara Denegar aplicara a ningún miembro
a los miembros de Leer: Denegar de este grupo, no importa a
este grupo que otros grupos
pertenezcan.
La pertenencia a este Aplicar directiva de grupos: La aplicación de esta
grupo no debería ser Sin establecer directiva de grupo a los
un factor relevante Leer: Sin establecer miembros de este grupo
para la aplicación de dependerá de si los
la directiva de grupo. miembros pertenecen a
otros grupos de seguridad
con configuración Permitir
o Denegar.
Creación de objetos de directiva de grupo
Cuando se crea un dominio Active

Directory, también se crea una directiva
de dominio predeterminada. Se puede
comprobar pulsando con el botón
derecho del ratón en el dominio en
Usuarios y equipos de Active Directory,
escogiendo Propiedades y pulsando en
la pestaña directiva de seguridad. Para
configurar un GPO hay que seguir estos
pasos:
1. Abrir Usuarios y equipos de

Active Directory (para GPO de
dominio a OU) o Sitios y
servicios de Active Directory
(para GPO de sitio).
2. Pulsar con el botón derecho del
ratón en el objeto para el que se
desea crear un GPO y escoger
contextual.
3. Pulsar en la pestaña Directiva de
grupo y después pulsar el botón
Nueva.
4. Escribir el nombre del nuevo GPO y escoger uno de los siguientes botones:
● Nueva: Para crear una directiva nueva

Capítulo 13
Agregar: Para añadir un vinculo a la nueva directiva.

●
● Modificar: Para abrir el nuevo GPO en el Editor de directivas de grupo.
● Opciones: Para establecer No reemplazar o para deshabilitar el GPO.
● Eliminar: Para eliminar el GPO de forma permanente o para eliminarlo de la lista. Si se
escoge Quitar el vinculo de la lista, el GPO permanece en el Active Directory pero ya no

se aplica a ese SDOU en particular.
● Propiedades: Para filtrar el GPO a través de los grupos de seguridad.
Editor de directivas de grupo
Si se pulsa Default Domain Policy en el árbol de la consola de Directiva de grupo se observará que el
Editor de directivas de grupo (GPE, Group Policy Editor) muestra dos nodos: Configuración del equipo y
Configuración de usuario. Cuando se pulsan estos nodos, se descubre que cada uno muestra extensiones
para Configuración de software, Configuración de Windows y Plantillas administrativas.
● Configuración del equipo: se pueden utilizar para personalizar las directivas para equipos de la
red. Estas directivas entran en vigor cuando el equipo se enciende y se inicia el sistema operativo.
La configuración de estas carpetas se aplica a cualquier usuario que inicie sesión en el equipo.
● Configuración de usuario: contiene la configuración para entornos personalizados o directivas
de configuración para usuarios de la red. Las directivas de Configuración de usuario se aplican
cuando un usuario especifico inicia sesión en la red.

Capítulo 13
Desactivación de una rama de un

GPO: Si un GPO tiene un nodo
completo no configurado bajo
configuración de usuario o
configuración del equipo, hay que
deshabilitar el nodo para impedir que se
procese esa configuración. Esto acelera
el inicio y el inicio de sesión de todos
los usuarios sujetos a ese GPO. Para
deshabilitar un nodo, hay que seguir
estos pasos:

ratón en el objeto de Directiva
de grupo, bien en una consola o
en la ventana Propiedades de
Directiva de grupo.
2. Escoger Propiedades en el menú
contextual.
3. En la pestaña General, hay que
seleccionar una de las siguientes
opciones:
❍ Deshabilitar los
parámetros de
configuración del equipo.
❍ Deshabilitar los parámetros de configuración de usuario.
4. Pulsar Aceptar cuando se haya terminado. Los parámetros deshabilitados ya no afectarán a

ningún SDOU vinculado a este GPO.
Búsqueda de vínculos a directivas de grupo
Cuando hay numerosos GPO en una red es importante estar al corriente de los vínculos entre GPO y
SDOU. Para averiguar que SDOU utilice un GPO en particular, hay que pulsar con el botón derecho del
ratón en el objeto de Directiva de grupo, bien en una consola o bien en la ventana Propiedades de
Directiva de grupo. Hay que escoger propiedades y después pulsar en la pestaña vínculos. Hay que pulsar
el botón Buscar ahora para obtener una lista de los SDOUs que utilizan el objeto de Directiva de grupo.
Renovación de la directiva de grupo
Los cambios en una directiva son inmediatos, pero no se propagan a los clientes automáticamente. Los
equipos cliente solicitan una directiva cuando:
● El equipo se inicia.

Capítulo 13
● Un usuario inicia sesión.

● Una aplicación solicita una renovación.
● Un usuario solicita una renovación.
● Hay activo un intervalo de renovación de la directiva de grupo y el tiempo ha transcurrido.
Para establecer un intervalo

de renovación de la directiva
de grupo, hay que seguir
estos pasos:
1. Abrir el GPO.
2. En el árbol de la
consola, hay que
seleccionar
Configuración del
equipo y después
Plantillas
administrativas,
Sistema y, finalmente,
Directiva de grupo.
3. En el panel de
detalles, hay que
pulsar dos veces en
Intervalo de
renovación de la
directiva de grupo
para equipos.
4. Habilitar el intervalo de renovación. Pulsar Aceptar.
No conviene utilizar un intervalo muy corto a causa de la gran cantidad de trafico de red que se genera en
cada renovación. El intervalo de actualización para los controladores de dominio se establece por
separado.
Directiva de grupo para el redireccionamiento de carpetas
Redireccionamiento de carpetas es una extensión de Directiva de grupo que permite situar las carpetas
designadas en la red. En particular, se pueden redireccionar las carpetas Mis documentos de los usuarios
a otras carpetas que podrían volverse bastante grandes con el tiempo. Con las carpetas redirigidas se
aplican las siguientes condiciones:

Capítulo 13
● Un usuario puede
iniciar sesión en
diferentes equipos y
tener aún las carpetas
disponibles.
● Cuando se utilizan
perfiles móviles, solo la
ruta de acceso en la red
a las carpetas
redirigidas forma parte
del perfil, no las
propias carpetas. Esto
hace que el inicio de
sesión sea mucho más
rápido.
● Se pueden hacer copias
de seguridad de las
carpetas en un servidor
de red como parte del
mantenimiento de
rutina sin ninguna
acción por parte del usuario.
Las carpetas se pueden redireccionar a una ubicación para todo el mundo en el SDOU afectado por el
objeto de Directiva de grupo. También se pueden redireccionar a diferentes ubicaciones de forma acorde
con la pertenencia a los grupos de seguridad.
Redirección a una única ubicación
La forma más común con diferencia de redirección es enviar la carpeta Mis documentos de todo el
mundo a una única ubicación en un servidor de la red. Los siguientes pasos muestran como hacerlo. Se
puede sustituir por cualquier otra carpeta especial de Windows en los pasos para redireccionarlas de igual
forma.
1. Crear una carpeta compartida en el servidor.

2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene a los usuarios cuyas
carpetas se van a redireccionar.

Capítulo 13
3. En el árbol de la consola hay que

pulsar configuración de usuario,
después Configuración de
Windows, Redireccionamiento de
carpetas.
ratón en Mis documentos y
escoger Propiedades en el menú
contextual.
5. En la lista desplegable hay que
seleccionar Básico: redirigir la
carpeta de todos a la misma
ubicación. Hay que introducir la
ruta de acceso de la carpeta
compartida en el servidor. Se
debe utilizar una ruta de acceso
UNC con la variable
%username%.
Configuracion. Los siguientes
parámetros están habilitados de
forma predeterminada:
● Otorgar al usuario
derechos exclusivos para Mis documentos El usuario y el sistema local tienen derechos
exclusivos sobre la carpeta. No hay activo ningún derecho administrativo. Si este
parámetro se deshabilita, los permisos que existan en la carpeta en su posición actual
permanecerán.
● Mover el contenido de Mis documentos a la nueva ubicación
● Eliminación de la directiva El valor predeterminado es dejar la carpeta en la nueva
ubicación cuando se quite la directiva.

● Preferencias de Mis imágenes Mis imágenes seguirá a Mis documentos como subcarpeta.
Redireccionamiento por pertenencia a un grupo
Las carpetas especiales también se pueden redireccionar a varias ubicaciones basándose en la pertenencia
del usuario a los grupos de seguridad. Para hacer esto hay que seguir estos pasos:
1. Crear las carpetas compartidas en las ubicaciones a las que se redirigirán las carpetas.
2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene los usuarios cuyas carpetas
se van a redireccionar.
3. En el árbol de la consola hay que pulsar en configuración de usuario, después en configuración de
Windows y, finalmente, en Redireccionamiento de carpetas.

Capítulo 13
4. Pulsar con el botón derecho del ratón en la carpeta especial (en este caso Mis documentos) y
5. En la lista desplegable, hay que seleccionar Avanzado: especificar ubicaciones para diversos
grupos de usuarios y después pulsar el botón Agregar.
6. En el cuadro Especificar grupo y ubicación, hay que introducir el grupo de seguridad y la
ubicación para las carpetas redirigidas. Hay que utilizar siempre una ruta de acceso UNC, incluso
si las carpetas van a estar en el equipo local para que los usuarios móviles puedan ver sus
carpetas.
7. Pulsar Aceptar. Agregar más grupos y ubicaciones si es necesario.
8. Pulsar en la pestaña Configuración. Los siguientes parámetros están habilitados de forma
predeterminada:
● Otorgar al usuario derechos exclusivos para Mis documentos: El usuario y el sistema
local tienen derechos exclusivos sobre la carpeta. No hay activo ningún derecho
administrativo. Si este parámetro se deshabilita, los permisos que existan en la carpeta en
su posición actual permanecerán.
● Mover el contenido de Mis documentos a la nueva ubicación.:
● Eliminación de la directiva: El valor predeterminado es dejar la carpeta en la nueva
ubicación cuando se quite la directiva.

● Preferencias de Mis imágenes: Mis imágenes seguirá a Mis documentos como
subcarpeta.
Eliminación de las redirecciones
Si la directiva cambia después de haber redireccionado las carpetas, el efecto en las carpetas especiales
depende de la combinación de elecciones realizada en la pestaña Configuración de la ventana
propiedades de la carpeta especial.
Configuraciones y sus consecuencias cuando se elimina una redirección

Opción de eliminación Mover el contenido de la Consecuencias cuando se
de la directiva carpeta a la nueva elimina la directiva
ubicación
Devolver la carpeta a la Habilitado La carpeta vuelve a la
ubicación local de perfil ubicación del perfil de su
de usuario cuando la usuario; el contenido de la
directiva se haya carpeta se copia de nuevo a la
quitado. ubicación original; los
contenidos no se borran de la
ubicación redirigida.

Capítulo 13
Devolver la carpeta a la Deshabilitado La carpeta vuelve a la

ubicación local de perfil ubicación del perfil de su
de usuario cuando la usuario; el contenido de la
directiva se haya quitado carpeta no se mueve ni se
copia de nuevo a la ubicación
original. Advertencia: esto
significa que el usuario no
puede acceder al contenido de
la carpeta.
Cuando se quite la Habilitado o deshabilitado La carpeta y su contenido
directiva, dejar la permanecen en ubicación
carpeta en la nueva la redirigida; el usuario tiene
ubicación acceso al contenido en la
ubicación redirigida.

Capítulo 14
Capítulo 14
El trabajo de un administrador de red consiste en una gran cantidad de detalles y, si hay que hacerles frente, es necesario
buscar formas de gestionarlos y controlarlos. Microsoft Windows 2000 proporciona muchas herramientas para ello,
incluyendo las que permiten delegar tareas a otros usuarios o grupos, utilizar archivos de comandos para automatizar tareas y
tareas programadas para ejecutarse periódicamente. De todas formas, administrar una red es aún así un enorme proceso de
planificación y organización, y en este área no hay sustituto para el poder de la mente.
Inicio de sesión secundario
La práctica administrativa recomendada dicta que un administrador sólo debe iniciar sesión con una cuenta privilegiada (una
con derechos administrativos) cuando esté realizando tareas que requieran privilegios. Para el trabajo ordinario, se supone
que el administrador cierra la sesión de la cuenta privilegiada e inicia otra con una cuenta ordinaria. Por supuesto, no es
inusual que diez minutos más tarde surja una situación que requiera el uso de la cuenta privilegiada. Entonces es necesario
cerrar la sesión de la cuenta ordinaria e iniciar sesión de nuevo en la cuenta de administrador, repitiéndose el proceso a la
inversa diez minutos más tarde.
Después de que se repita esto durante varios días, incluso la persona más preocupada por la seguridad empieza a darle vueltas
a la idea de iniciar sesión con la cuenta de administrador y quedarse en ella. Y, con el tiempo, muchos administradores
sucumben a la tentación y permanecen en la cuenta privilegiada la mayor parte del tiempo.
Esta práctica hace que los sistemas Microsoft Windows NT sean altamente susceptibles a ataques del tipo «caballo de
Troya». Simplemente ejecutar Microsoft Internet Explorer y acceder a un sitio Web sin confianza puede ser muy arriesgado
si se hace desde una cuenta de administrador. Se puede descargar y ejecutar en el sistema una página Web con código caballo
de Troya. La ejecución, realizada en el contexto de los privilegios administrativos, será capaz de hacer un daño considerable,
incluyendo cosas como volver a dar formato al disco duro, eliminar todos los archivos o crear un nuevo usuario con acceso
administrativo. Si se piensa, es como darle las llaves de la red a un completo (y malicioso) desconocido.
Este problema ya se trata en Windows 2000 por medio del servicio RunAs. Este servicio permite trabajar en una cuenta
normal sin privilegios y aún así acceder a funciones administrativas sin tener que cerrar la sesión e iniciarla de nuevo. Para
configurar el servicio RunAs hay que seguir estos pasos:
1. Desde una sesión con derechos administrativos, hay que escoger Servicios en el menú Herramientas
administrativas.
2. En la lista de servicios, hay que pulsar dos veces en el Servicio RunAs.
3. Comprobar que el Tipo de inicio está establecido a Automático y que el Estado del servicio es Iniciado. (Si no es así,
hay que pulsar el botón Iniciar.) Pulsar Aceptar para cerrar el cuadro de diálogo.
Después de realizar estos pasos hay que crear una cuenta de usuario ordinaria para uso particular (si no se dispone ya de una).
Conviene asegurarse de que la cuenta de usuario tiene el derecho de iniciar sesión localmente en la máquina que se vaya a
utilizar.
Windows 2000 ve todos los controladores de dominio como casos especiales. En un controlador de dominio,
por ejemplo, toda la gestión de usuarios y grupos se debe hacer por medio del complemento Usuarios y
equipos de Active Directory. Además, de forma predeterminada, los usuarios no pueden iniciar sesión
localmente en un controlador de dominio.

Capítulo 14
Apertura de una ventana de línea de comandos para administración
Cuando el servicio RunAs está iniciado, se puede iniciar sesión con la cuenta de usuario habitual y abrir después una ventana
del intérprete de comandos para realizar tareas administrativas, como sigue:
1. Después de iniciar sesión como usuario normal, hay que abrir una ventana de comandos e introducir el comando
runas /user: <dominio\nombreusuario> cmd. En este caso, nombreusuario es la cuenta con privilegios
administrativos. Si se ha iniciado sesión como usuario local, el comando es runas /user:
<nombremáquina\nombreusuario> cmd.
2. Aparece una ventana con el símbolo del sistema y se solicita la contraseña de la cuenta administrativa.
3. Después de introducir la contraseña, aparece una segunda ventana en la que la barra de título indica claramente que se
está ejecutando la cuenta seleccionada.
Se puede realizar cualquier tarea de línea de comandos que se desee desde esta ventana. Por supuesto, existen algunas tareas
administrativas que no se pueden llevar a cabo desde la línea de comandos o que sólo se pueden hacer con grandes
dificultades. Algunas aplicaciones, como el Panel de control y la carpeta Impresoras, las ejecuta el entorno operativo (shell)
en el inicio de la sesión, por lo que, si se inicia
sesión como usuario ordinario, las funciones
del Panel de control permanecen en ese
contexto.
Para detener el entorno operativo e iniciarlo de

nuevo como un administrador de forma que se
puedan utilizar funciones como el Panel de
control, hay que seguir estos pasos:
1. Pulsar con el botón derecho del ratón

en la barra de tareas y escoger
Administrador de tareas en el menú.
2. Pulsar en la pestaña Procesos. Resaltar Explorer.exe y pulsar Terminar proceso. Aparecerá un mensaje de
advertencia. Hay que pulsar Sí. Todo el escritorio, excepto la ventana Administrador de tareas de Windows y
cualquier aplicación activa, desaparecerá.
3. Seleccionar la pestaña Aplicaciones en el Administrador de tareas de Windows y, después, pulsar Nueva tarea.
4. En el cuadro Crear una tarea nueva hay que introducir runas /user: <dominio\nombreusuario> explorer.exe. Como
antes, nombreusuario es la cuenta con privilegios administrativos. Si se ha iniciado sesión localmente, hay que utilizar
el comando runas /user: <nombremáquina\nombreusuario> explorer.exe.
5. Introducir la contraseña para el nombre del usuario. El escritorio junto con la barra de tareas vuelve a aparecer. Este
escritorio se encuentra en el contexto de seguridad del nombre usuario que se especificó en el comando.
Para volver al escritorio del usuario ordinario, hay primero que cerrar sesión del administrador con lo que se quedará en la
sesión del usuario por lo que tendremos que volver a utilizar el Administrador de tareas de nuevo iniciar una nueva instancia
escribiendo explorer.exe (sin runas, de forma que se vuelva a iniciar Internet Explorer en el contexto de seguridad original)
en el cuadro de diálogo Crear una tarea nueva.
No se debe cerrar el Administrador de tareas mientras se está trabajando en el contexto del escritorio administrativo, basta
con minimizarlo en la barra de tareas. Cerrar el Administrador de tareas puede producir resultados impredecibles y puede
costar más tiempo que el que posiblemente se ahorraría utilizando RunAs.
Herramientas de Administración

Capítulo 14
Muchas de las herramientas que se necesitarán para gestionar una red Windows 2000 están incluidas como parte de los
paquetes Windows 2000 Server y Windows 2000 Advanced Server, pero sólo unas pocas de ellas se instalan
automáticamente junto con el sistema operativo.
Las Herramientas de las que dispone Windows 2000 Server son:
● Administración de equipos: Administra discos, recursos compartidos, usuarios, grupos y servicios en el equipo local.
● Administración del servidor Telnet: Inicia, detiene y devuelve información sobre el servidor Telnet.
● Administrador de clústeres (sólo Advanced Server): Gestiona la configuración de clústeres y nodos.
● Administrador de Extensiones de servidor: Gestiona las extensiones de servidor de Front Page.
● Administrador de servicios Internet: Gestiona los Servicios de Internet Information Server (IIS).
● Administrador de Servicios de Terminal Server: Muestra los servidores de terminal de los dominios en que se
confía.
● Almacenamiento remoto: Gestiona el almacenamiento de los archivos a los que no se accede con frecuencia.
● Configuración de Servicios de Terminal Server: Configura las conexiones nuevas de los Servicios de Terminal
Server; modifica y elimina las conexiones existentes.
● Configurar el servidor: Define y configura los servicios de Windows.
● Control de admisión QoS (Calidad de servicio): Asigna ancho de banda de red a cada subred.
● Creador de cliente de Servicios de Terminal Server: Crea disquetes para instalar el software cliente de los
Servicios de Terminal Server.
● DHCP: Gestiona los servicios del Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration
Protocol).
● Directiva de seguridad local: Muestra y configura los derechos de los usuarios, la directiva de auditoria y otros
parámetros de seguridad del equipo local.
● DNS: Gestiona los servicios DNS.
● Dominios y confianzas de Active Directory: Administra las confianzas de los dominios, cambia el modo del
dominio y agrega y cambia los sufijos del nombre principal de los usuarios.
● Enrutamiento y acceso remoto: Administra las conexiones telefónicas, las redes privadas virtuales y las conexiones
a Internet.
● Entidad emisora de certificados: Administra los Servicios de Certificate Server, que expide certificados para la
seguridad de clave pública.
● Kit de administración de Connection Manager: Gestiona y personaliza las conexiones locales y remotas.
● Licencia: Gestiona las licencias de los clientes.
● Monitor de red: Captura tramas de información de la red para detectar y analizar los problemas de la red.
● Orígenes de datos: Agrega, elimina y configura bases de datos y controladores de Conectividad abierta de bases de
datos (ODBC, Open Database Connectivity).
● Rendimiento: Muestra gráficos del rendimiento del sistema; configura los registros y alertas de rendimiento.
● Servicio de autenticación de Internet: Configura la seguridad y la autenticación para los usuarios que se conectan
telefónicamente.
● Servicios: Inicia, detiene y configura los servicios.
● Servicios de componentes: Configura y administra los componentes y aplicaciones del Modelo de objetos
componentes (COM, Component Object Model).
● Sistema de archivos distribuidos: Gestiona la instalación, topología y réplica del Sistema de archivos distribuido
(DFS, Distributed File System).
● Sitios y servicios de Active Directory: Establece y administra sitios, la réplica y los servicios de seguridad.
● Telefonía: Gestiona clientes y servidores telefónicos.
● Usuarios y equipos de Active Directory: Administra usuarios, equipos y grupos dentro de un dominio.
● Visor de sucesos: Muestra los registros de aplicación, de seguridad y del sistema.
● WINS: Administra WINS.
Instalación local de las herramientas de administración

Capítulo 14
Para instalar el conjunto completo de Herramientas de administración localmente hay que abrir la carpeta ¡386 del CD-ROM
de Windows 2000 Server o Windows 2000 Advanced Server y, después, pulsar dos veces en el archivo Adminpak.msi. Esto
inicia el Asistente para instalación de Herramientas de administración que instalará las herramientas (y más tarde las
eliminará y las volverá a instalar, si se desea). Hay que pulsar Siguiente para que proceda con la instalación.
Puesta a disposición de Herramientas de administración de manera remota
Para hacer que Herramientas de administración esté disponible para otros en la red, se pueden asignar las herramientas a otros
equipos o publicarlas en Active Directory.
Herramientas de soporte
Las Herramientas de soporte de Windows 2000 son inmensamente valiosas porque proporcionan funcionalidad no disponible
en otro caso en el sistema operativo. Se puede obtener una lista completa escogiendo Tools Help en el menú Windows 2000
Support Tools.
Si no se encuentran las Herramientas de soporte de el menú Programas, será necesario instalarlas. Para instalar las
Herramientas de soporte de Windows 2000, hay que introducir el CD-ROM de Windows 2000. Hay que abrir la carpeta
Support y después la carpeta Tools. Hay que pulsar dos veces en Setup.
Las herramientas proporcionadas en el CD-ROM de Windows 2000 son un subconjunto de las que se pueden
obtener adquiriendo el Kit de recursos de Microsoft Windows 2000 Server completo. El Kit de recursos es un
producto independiente con su propio CD adjunto.
Network Connectivity Tester (Comprobador de la conectividad de red)
Las conexiones de red pueden fallar en un espectacular número de formas: en cualquier número de servidores y en variedad
de configuraciones de cliente. Determinar el origen de un problema puede ser un proceso desalentador. Netdiag.exe puede
informar sobre un número igualmente espectacular de funciones, ejecutando comprobaciones en el servidor DNS, el servidor
WINS, Kerberos, los vínculos, la WAN, las relaciones de confianza, la configuración IP, la tabla de enrutamiento, IPX,
NetWare, DHCP, la puerta de enlace predeterminada y más. Netdiag.exe se puede ejecutar en Windows NT y Windows
95/98 además de Windows 2000, por lo que se puede utilizar esta excelente herramienta de solución de problemas del mismo
modo en servidores que en clientes.
Windows 2000 Domain Manager (Administrador de dominios de Windows 2000)
Con Netdom.exe se pueden gestionar muchas formas de administración de dominios desde la línea de comandos. Se pueden
añadir, eliminar, cambiar el nombre o trasladar a otro dominio las cuentas de la máquina. Netdom.exe también recupera
información sobre las confianzas y permite establecer confianzas, sincronizar el tiempo y verificar las contraseñas de los
canales seguros. La sintaxis de Netdom.exe es sencilla, pero el rango de posibles parámetros es extenso.
Active Directory Replication Monitor (Monitor de réplicas de Active Directory)
Active Directory Replication Monitor (Replmon.exe) no sólo monitoriza la réplica a bajo nivel entre servidores, sino que
informa sobre un amplio rango de funciones de Active Directory. Muestra la topología del sitio al tiempo que informa sobre
las propiedades del servidor, indicando si es un servidor de Catálogo Global y mostrando sus asociados de réplica, su
historial de réplica y los atributos replicados.
Las unidades de réplica entre controladores de dominio son particiones de directorio que deben contener la información más

Capítulo 14
reciente sobre los objetos del dominio. Si un servidor cae o la red se interrumpe, la información podría no estar
completamente actualizada. Replication Monitor puede sincronizar un servidor monitorizado con un asociado de réplica
específico para hacer que todo vuelva a estar en orden. También genera informes de estado de servidores del bosque para
poder solucionar los errores de réplica.
Disk Probe
Disk Probe (Dskprobe.exe) es indispensable cuando un disco duro crítico va mal. Es un editor de sectores que se puede
utilizar para reparar tablas de partición dañadas, reemplazar el registro de inicio principal y reparar o reemplazar los sectores
de inicio de la partición. Incluso mejor, Disk Probe guardará los registros de inicio principal y los sectores de inicio de la
partición como archivos que se podrán utilizar para recuperar los sectores si se dañan en el futuro. Esto puede aportar un gran
beneficio porque estas estructuras de datos no son parte del sistema de archivos y no se puede hacer copia de seguridad de
ellas con ningún programa de copias de seguridad.
Fundamentos de Microsoft Managenent Console
Microsoft Management Console (MMC) es un poderoso añadido al arsenal del administrador del sistema. MMC trabaja
como un empaquetador de herramientas del sistema, permitiendo al administrador del sistema crear herramientas
especializadas que se pueden utilizar después para delegar tareas administrativas específicas a usuarios o a grupos. Estas
herramientas personalizadas, que se almacenan como archivos MMC (.MSC), se pueden enviar por correo electrónico,
compartir en una carpeta de red o publicar en la Web. Mediante la configuración de la directiva del sistema también se
pueden asignar a usuarios, grupos o equipos. Las herramientas son lo suficientemente flexibles como para que se puedan
modificar, ampliar o reducir y darles forma con normalidad para cualquier uso que se les desee dar.
Para construir una herramienta personalizada se puede partir de una consola existente y modificarla o partir de cero. En una
red desarrollada se utilizará posiblemente el primer método, tomar consolas predefinidas y añadir o quitar complementos.
Creación de una consola basada en MMC con complementos
La construcción de herramientas personales con la interfaz de usuario estándar de MMC es un proceso sencillo.
1. Pulsar el botón inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, hay que escribir MMC y después pulsar
Aceptar. Se abre una ventana MMC vacía, lista para que se añadan complementos.
2. En el menú Consola, hay que seleccionar Agregar o quitar complemento. (Los comandos de menú de la barra de menú
de la parte superior de la ventana MMC se aplican a toda la consola.) Se abre el cuadro de diálogo Agregar o quitar
complemento. Aquí se puede escoger qué complementos estarán en el archivo de la consola además de activar las
extensiones. En el cuadro Complementos agregados, a hay que aceptar el valor predeterminado Raíz de la consola.
3. Pulsar el botón Agregar. Esto abre un cuadro de diálogo que muestra los complementos instalados en el equipo.
4. Resaltar un complemento para ver una descripción de su función. Pulsar dos veces en un complemento para añadirlo a
la consola. Para este ejemplo se añadirá Administración de equipos. El cuadro de diálogo Administración de equipos
pide que se seleccione el equipo a administrar.
5. Seleccionar la opción Equipo local y seleccionar la casilla de verificación Permitir cambiar el equipo seleccionado al
iniciar desde la línea de comandos. Estas opciones son comunes a muchos de los complementos. Hay que pulsar
Finalizar.
6. En el cuadro de diálogo Agregar un complemento independiente, hay que seleccionar Visor de sucesos y pulsar
Agregar. Como antes, hay que seleccionar la opción Equipo local y seleccionar la casilla de verificación. Pulsar
Finalizar y cerrar después la lista de complementos disponibles. El cuadro de diálogo Agregar o quitar complemento
muestra dos complementos: Administración del equipo (local) y Visor de sucesos (local).
7. Pulsar en la pestaña Extensiones. De forma predeterminada, el cuadro con etiqueta Agregar todas las extensiones está
marcado, lo que significa que cuando se abra esta consola en una máquina particular, se utilizarán todas las

Capítulo 14
extensiones que se instalen localmente. Si esta casilla no está marcada, sólo se cargarán las extensiones seleccionadas
en la lista de extensiones disponibles.
8. Pulsar Aceptar para cerrar el cuadro de diálogo Agregar o quitar complemento. La ventana Raíz de la consola tiene
ahora dos complementos que parten de la carpeta Raíz de la consola.
Hay que guardar la consola escogiendo Guardar en el menú Consola. Se pedirá un nombre: conviene ser tan descriptivo como
sea posible. El archivo se almacena en la carpeta Herramientas administrativas de forma predeterminada. Esta carpeta forma
parte del perfil, por lo que tiene el beneficio añadido de que, si se utilizan perfiles móviles, todas las herramientas creadas
siguen al administrador.
Personalización del diseño de una consola
Una vez añadidos los complementos, se pueden proporcionar diferentes vistas administrativas a la consola añadiendo
ventanas. Para crear una ventana para cada uno de los complementos, hay que seguir estos pasos:
1. En el panel izquierdo de la ventana de la consola, hay que pulsar con el botón derecho en la carpeta Administración
del equipo y seleccionar Nueva ventana desde aquí. Esto abre una nueva ventana Administración del equipo con el
complemento Administración del equipo como raíz.
2. En la ventana Raíz de la consola, hay que pulsar con el botón derecho del ratón en la carpeta Visor de sucesos y
seleccionar Nueva ventana desde aquí. Hay que pulsar el botón de la barra de herramientas Muestra u oculta Árbol de
consola en cada ventana para ocultar el árbol de la consola.
3. Cerrar la ventana Raíz de consola original. Desde el menú Ventana hay que escoger Mosaico horizontal.
Obsérvese que los botones y menús de cada ventana sólo se aplican a esa ventana. No se debe olvidar guardar el trabajo
después de completar los cambios.
Cuando se crean consolas para administradores de grupos de trabajo u otros usuarios, se puede restringir el uso de la consola.
Se pueden establecer opciones de la consola para que los usuarios sólo puedan acceder a las herramientas que permita el
administrador. Para establecer las opciones de la consola, hay que seguir estos pasos:
1. Con el archivo de consola abierto, hay que pulsar en el menú Consola y escoger Opciones. Esto abre el cuadro de
diálogo Opciones.
2. Pulsar en la pestaña Consola. Escoger el modo de consola:
a. Modo autor: Sin restricciones. El usuario puede acceder a todas las partes del árbol de la consola además de
cambiar este archivo de consola a voluntad.
b. Modo usuario: acceso completo El usuario puede acceder a todas las partes del árbol de la consola, pero no
puede hacer cambios que afecten a la funcionalidad. Los cambios estéticos, como la disposición de las
ventanas, se guardan automáticamente.
c. Modo usuario: acceso delegado, ventanas múltiples El usuario sólo puede acceder a las partes de la consola
que eran visibles cuando se guardó el archivo de consola.
d. Modo usuario: acceso delegado, ventana única Igual que el modo anterior, excepto por que sólo es visible una
ventana.
3. En todos excepto en Modo autor, también se puede seleccionar la opción No guardar los cambios de esta consola de
forma que la consola se abra siempre en la misma vista.
4. Pulsar Aceptar y guardar el archivo de consoló.
Modificación de archivos de consola
Después de haber guardado un archivo de consola en un modo distinto del modo autor, el menú Consola ya no estará visible,
ni siquiera para los Administradores. Esto impide al usuario cambiar las opciones. Para modificar un archivo de consola, hay
que abrir una ventana con el símbolo del sistema y escribir mmc la. El modificador /a establece al Modo autor, sustituyendo

Capítulo 14
cualquier configuración de Modo usuario, y abre la ventana de la consola desde la cual se puede abrir cualquier archivo de
consola y realizar los cambios.
El administrador del sistema puede establecer perfiles de usuarios para anular el uso del modificador /a, y
debería hacerlo para asegurarse de que no se realicen modificaciones inapropiadas.
Distribución y uso de consolas
Como se mencionó antes, la ubicación predeterminada para los archivos de consola que se guardan es la carpeta
Herramientas administrativas. Los archivos de consola se pueden distribuir de varias formas. Se puede copiar un archivo de
consola a una carpeta compartida en la red, o se puede enviar por correo electrónico a otra persona pulsando con el botón
derecho del ratón, señalando Enviar a y seleccionando Destinatario de correo. Cuando se asigna una consola para su uso a
una persona en particular, hay que asegurarse de que el perfil de usuario de la persona incluya el permiso para acceder a las
herramientas y servicios de la consola. El usuario también tendrá que tener todos los permisos administrativos necesarios
para utilizar los componentes del sistema administrados por la consola.
Si se conoce la ubicación de una consola es posible abrirla desde el Explorador de Windows pulsando sobre ella como se
haría con cualquier otro archivo. También se puede abrir desde la línea de comandos. Por ejemplo, para abrir la consola
Servicio de fax (que reside en una carpeta del sistema) desde la línea de comandos, hay que escribir mmc
%systemroot%\systema32\faxserv.msc.
MMC para administración remota
Las herramientas basadas en MMC son admirablemente adecuadas para la administración remota. Se puede construir
fácilmente una consola para administrar varios equipos o una única máquina. Esta sección describe cómo crear una consola
que se pueda utilizar para administrar remotamente un controlador de dominio. La consola incluirá el complemento
Servicios, que gestiona los servicios del sistema y el complemento Visor de sucesos, que permite acceder a los distintos
registros de sucesos. Para crear esta consola de administración remota, hay que seguir estos pasos:
1. Pulsar el botón Inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, escribir MMC y después, pulsar Aceptar. Se
abre una ventana MMC vacía.
2. En el menú Consola hay que seleccionar Agregar o quitar complemento. Se abre el cuadro de diálogo Agregar o quitar
complemento.
3. Pulsar Agregar para abrir el cuadro de diálogo Agregar un complemento independiente.
4. Seleccionar Servicios y, después, pulsar Agregar.
5. En el área Este componente administrará siempre, hay que seleccionar Otro equipo y después pulsar Examinar. Esto
abre el cuadro de diálogo Seleccionar Equipo.
6. Resaltar el equipo que se desea que gestione este complemento y después pulsar Aceptar. Pulsar Finalizar.
7. Repetir los pasos 4 a 6, escogiendo el complemento Visor de sucesos. Cerrar el cuadro de diálogo Agregar un
complemento independiente. Pulsar Aceptar en Agregar o quitar complemento.
8. Hay que guardarla con un nombre descriptivo. Se puede utilizar esta consola para ver sucesos en la maquina remota y
para iniciar o detener servicios.
Como se puede observar, las consolas se pueden configurar de docenas o de cientos de formas diferentes y después distribuir.
Cada vez habrá más complementos disponibles para cada función imaginable tanto por parte de Microsoft como de terceros
suministradores.
Automatización de tareas con las secuencias de comandos
Por necesidad, muchos administradores de red adquieren rápidamente habilidad con las secuencias de comandos. El día no

Capítulo 14
tiene suficientes horas para hacer todo manualmente, incluso aunque fuera conveniente. Además, las buenas secuencias de
comandos son como cualquier programa: una vez que la información se ha introducido correctamente, no es necesario
preocuparse hasta que algo externo cambie.
Por medio de ActiveX, Windows 2000 permite escribir secuencias de comandos en Visual Basic, Scripting Edition
(VBScript), JScript o Perl. Anteriormente, el único lenguaje nativo para secuencias de comandos que soportaba Windows era
el lenguaje de comandos MS-DOS e, indudablemente, muchos administradores continuarán utilizando secuencias de
comandos MS-DOS porque son muy pequeñas y muy rápidas. ¿Por qué utilizar otra cosa si una secuencia de comando: MS-
DOS puede hacer el trabajo? La respuesta es que no se debería. Sin embargo, en una gran empresa o para secuencias de
comandos más complicadas, lo indicado es un lenguaje de secuencias de comandos más sofisticado.
Windows Scripting Host (WSH) está incorporado en Windows 2000 y Windows 98. Además Windows 95 y Windows NT
pueden ejecutar WSH, de forma que las secuencias de comandos son transportables a lo largo de todo el espectro Windows.
Las secuencias de comandos se ejecutan bajo WSH utilizando Wscript.exe y Cscript.exe. Wscript.exe se ejecuta en segundo
plano y Cscript.exe se ejecuta desde el símbolo del sistema. Para ejecutar una secuencia de comandos desde la línea de
comandos, la sintaxis es:
Cscript <nombresecuencia.extensión> [opciones] [argumentos]
Para ver la lista completa de opciones del host, hay que introducir Cscript /? en el símbolo del sistema. Las opciones más
importantes son:
● //B Especifica el modo por lotes; los errores de secuencias de comandos y los mensajes de entrada no se muestran.
● //D Activa el depurador.
● //T:nn Indica el tiempo máximo en segundos que la secuencia de comandos puede ejecutarse.
WSH es útil para crear secuencias de comandos de inicio y cierre de sesión que se pueden asignar a usuarios -
individualmente o como grupo- o a equipos. El otro uso importante de WSH es la creación de cuentas de
usuario, un proceso tedioso en el mejor de los casos y, en una gran empresa, completamente imposible sin
secuencias de comandos.
Auditoría de sucesos
La auditoria de ciertos equipos, usuarios y sucesos del sistema operativo es una parte necesaria de la administración de una
red. Hay que escoger lo que se desea auditar y después, revisando los registros de sucesos, controlar los patrones de uso, los
problemas de seguridad y las tendencias de tráfico en la red. No obstante, hay que tener cuidado con el impulso de auditarlo
todo. Cuantos más sucesos se auditen, más grandes serán los registros. Revisar enormes registros de sucesos es una tarea
desagradable y, al final, nadie los vuelve a mirar. Por lo tanto, resulta crítico decidir una directiva de seguridad que proteja la
red sin crear una gran carga administrativa. Tampoco conviene olvidar que cada suceso auditado provoca un pequeño
aumento de la sobrecarga del sistema.
De forma predeterminada, todas las categorías de auditoria están desactivadas cuando se instala Windows 2000. Las
categorías de sucesos que se pueden auditar son.
● Acceso a objetos: Se activa cuando se accede a un objeto.

● Acceso a servicio de directorio: Se activa cuando se accede a un objeto Active Directory.
● Administración de cuentas: Se activa cuando una cuenta de usuario o un grupo se crea o modifica.
● Cambio de directiva: Se activa cuando se modifica una directiva que afecta a la seguridad, a los derechos de usuario
o a la auditoria.
● Seguimiento de proceso: Se activa cuando una aplicación ejecuta una acción que se está registrando.

Capítulo 14
● Sucesos de inicio de sesión: Se activa cuando un usuario inicia o cierra una sesión.
● Sucesos de inicio de sesión de cuenta: Se activa cuando un controlador de dominio recibe una petición de inicio de
sesión.
● Sucesos del sistema: Se activa cuando un equipo se reinicia o se apaga u ocurre otro suceso que afecta a la seguridad.
● Uso de privilegios: Se activa cuando se utiliza un derecho de usuario para realizar una acción.
Cada suceso auditado dice algo, pero no siempre es algo que sea necesario saber. Por ejemplo, la auditoria de inicios y cierres
de sesión con éxito puede revelar el uso de una contraseña robada, pero también puede simplemente producir interminables
páginas que muestran que los usuarios debidamente autorizados están iniciando y cerrando sesiones como era de esperar. Sin
embargo, la auditoria de los fallos al iniciar sesión recompensará definitivamente si alguien intenta un ataque con contraseñas
aleatorias.
Antes de poder auditar el acceso a los objetos de Active Directory, se debe activar la configuración Directiva de auditoria por
medio de Directiva de grupo. Para hacerlo hay que seguir estos pasos:
1. Escoger Usuarios y equipos de

Active Directory en el menú
Herramientas administrativas.
ratón en el nombre del dominio en
el árbol de la consola y escoger
contextual.
3. Pulsar en la pestaña Directiva de
grupo y después en el botón
Modificar.
4. En el panel izquierdo de la consola
Directiva de grupo, hay que pulsar
a lo largo de Configuración del
equipo, Configuración de
Windows, Configuración de
seguridad y directivas locales hasta
alcanzar Directiva de auditoria.
ratón en la categoría de sucesos que se desea auditar y escoger Seguridad.
6. En el cuadro de diálogo que se abre, hay que seleccionar la casilla de verificación que define la configuración y
seleccionar la opción para auditar los intentos correctos y/o erróneos.
Parámetros de seguimiento de los objetos
Asumiendo que se ha activado una configuración de directiva para auditar un objeto de Active Directory, se puede crear una
configuración de auditoria siguiendo estos pasos:
1. Pulsar con el botón derecho del ratón en el objeto que se desea auditar y escoger propiedades en el menú contextual.
Pulsar en la pestaña Seguridad.
2. Pulsar el botón Avanzada y después en la pestaña auditoria.
3. Pulsar Agregar para configurar la auditoria para un nuevo grupo o usuario. Hay que realizar la selección y pulsar
Aceptar.
4. En el cuadro de diálogo Entrada de auditoria para Collwin, hay que seleccionar los objetos que se desean auditar en la
lista desplegable Aplicar en. Después, en la ventana Acceso, hay que seleccionar cada tipo de acceso que se desea
auditar. Pulsar Aceptar cuando se haya terminado.

Capítulo 14
De forma predeterminada, los objetos secundarios heredan la configuración de auditoria. En la pestaña

auditoria del cuadro Configuración de control de acceso para Collwin hay una casilla de verificación para
permitir heredar los valores de auditoria. Hay que desactivar este cuadro para que la configuración de
auditoria de este objeto permanezca constante, incluso si se cambia la configuración de auditoria del objeto
primario. Además, la desactivación del cuadro eliminará cualquier configuración de auditoria que ya se
hubiera heredado. La segunda casilla de verificación de esta pestaña reestablece la auditoria existente y
permite que los valores de auditoria se hereden de nuevo desde el objeto principal.
Los sucesos del sistema de archivos que se pueden auditar son:
● Recorrer carpeta/Ejecutar archivo: Se activa cuando se recorre una carpeta (es decir, alguien pasa por la carpeta
camino de una carpeta superior o inferior) o una aplicación se ejecuta.
● Listar carpeta/Leer datos: Se activa cuando se abre una carpeta o se examina la información de los archivos.
● Atributos de lectura: Se activa cuando se examinan los atributos de un archivo o carpeta.
● Atributos extendidos de lectura: Se activa cuando se examinan los atributos extendidos (definidos y creados por los
programas) de un archivo o carpeta.
● Crear archivos/Escribir datos: Se activa cuando se crea un archivo dentro de una carpeta o se modifica un archivo,
sobrescribiendo la información que contiene.
● Crear carpetas/Anexar datos: Se activa cuando se crea una carpeta dentro de la carpeta auditada o se añade
información a un archivo existente.
● Atributos de escritura: Se activa cuando se cambia un atributo de un archivo o carpeta.
● Atributos extendidos de escritura: Se activa cuando se cambian los atributos extendidos (definidos y creados por los
programas) de un archivo o carpeta.
● Eliminar subcarpetas y archivos: Se activa cuando se elimina un archivo o una subcarpeta.
● Eliminar: Se activa cuando se elimina un archivo específico.
● Permisos de lectura: Se activa cuando se examinan los permisos de un archivo o carpeta.
● Cambiar permisos: Se activa cuando se modifican los permisos de un archivo o carpeta.
● Tomar posesión: Se activa cuando se cambia la propiedad de un archivo o carpeta.
Examen de los registros de sucesos
Se deben examinar los registros de sucesos regularmente para que la auditoria tenga algún efecto. Para examinar el registro
de seguridad, hay que abrir el Visor de sucesos desde el menú Herramientas administrativas y después pulsar Registro de
seguridad. Se puede pulsar dos veces en cualquier entrada para obtener más información sobre ella. Se configuró la carpeta
para auditar los sucesos de Listar carpeta/Leer datos correctos. Un usuario que abrió la carpeta una única vez generó todas las
entradas que aparecen. Por supuesto, normalmente se aprenderá más de la auditoria de eventos incorrectos que de la auditoria
de los correctos, pero esto demuestra la necesidad de escoger las batallas de auditoria con cuidado.
Búsquedas de los registros de sucesos
No importa lo selectivo que se sea, los registros de sucesos mezclarán todo tipo de información, dificultando la búsqueda de
información específica. Para buscar un tipo específico de suceso, hay que resaltar el registro en el Visor de sucesos y escoger
Buscar en el menú Ver. En el cuadro de diálogo Buscar, hay que seleccionar el tipo o tipos de sucesos que se desea obtener.
Archivo de los registros de sucesos
Si se van a utilizar los registros de sucesos para hacer un seguimiento de las pautas de uso del sistema, hay que guardarlos.
Para almacenar un registro de sucesos, hay que abrir el Visor de sucesos desde el menú Herramientas administrativas y pulsar
en el registro que se desea almacenar. Después, en el menú Acción, hay que escoger Guardar archivo de registro como. Si se
guarda el archivo en el formato de los registros de sucesos (.EVT), se puede abrir de nuevo en el Visor de sucesos y toda la

Capítulo 14
información binaria de cada suceso se mantendrá. También se pueden guardar los registros como archivos .TXT o en el
formato delimitado por comas (.CSV), pero en estos casos la información binaria no se guarda. Para aprender más sobre la
red y ajustar su rendimiento.
Delegación del control
Obviamente, una de las formas más simples de minimizar las tareas administrativas es delegarlas. En una red Windows NT,
la forma usual de conceder amplios derechos administrativos es hacer a los usuarios miembros del grupo Administradores del
dominio. O se pueden repartir los derechos administrativos por medio de alguna combinación de otros grupos como
Operadores de impresión y Operadores de servidores.
Estos grupos todavía están disponibles, pero Windows 2000 hace que la delegación sea incluso más simple: permite asignar
la responsabilidad para administrar alguna porción del espacio de nombres a otro usuario o grupo. El destinatario de la
autoridad delegada puede tener un control administrativo completo dentro del área escogida, pero no los amplios derechos
administrativos inherentes al hecho de ser miembro del grupo Administradores del dominio.
Hay que asignar el control por unidades organizativas (OU) siempre que sea posible, porque la asignación de permisos a
nivel de objetos se vuelve rápidamente demasiado complicada para merecer la pena. Los registros de las asignaciones de
seguridad tienen una importancia fundamental, por lo que hay que estar al corriente de todas las delegaciones. Para delegar el
control, hay que utilizar el Asistente para delegación de control, que siempre asigna los permisos a nivel de OU.
Para utilizar el asistente, hay que seguir estos pasos:

2. Pulsar dos veces en el nodo del dominio y, después, pulsar con el botón derecho del ratón en el contenedor que se
desea delegar y escoger Delegar control en el menú contextual. Esto inicia el Asistente para delegación de control.
Pulsar Siguiente.
3. Pulsar el botón Agregar para seleccionar el usuario o grupo al que se concederá el control. Hay que realizar la
selección en la pantalla Seleccionar Usuarios, Equipos o Grupos.
4. En la pantalla Tareas para delegar, hay que
seleccionar las tareas que se desean delegar. Se
pueden seleccionar las tareas predefinidas o
pulsar Crear una tarea personalizada. Pulsar
Siguiente.
5. Si se seleccionó una tarea predefinida,
esencialmente se ha terminado. Hay que revisar
el resumen y pulsar Finalizar.
Si se seleccionó Crear una tarea personalizada, se

permite elegir de forma más específica de qué objetos
se está delegando el control y qué permisos específicos
se van a conceder. Cuando se hayan hecho las
elecciones se mostrará un resumen de la delegación.
Pulsar Finalizar.
El programador de tareas
Aunque es cierto que se podrían -y aún se pueden- programar tareas utilizando el comando AT, el Programador de tareas
proporciona una interfaz gráfica y es mucho más fácil de utilizar. Las tareas se pueden programar durante horas fuera de
oficina y para que se ejecuten periódicamente. El servicio Programador de tareas se inicia en el inicio del sistema y se ejecuta

Capítulo 14
en segundo plano. Para utilizar el Programador de tareas, hay que abrir el Panel de control, pulsar dos veces en la carpeta
Tareas programadas y seguir después estos pasos:
1. En la ventana Tareas programadas, hay que pulsar dos veces en la entrada Agregar tarea programada. Esto inicia el
Asistente para tarea programada nueva. Pulsar Siguiente.
2. Seleccionar un programa en la pantalla o pulsar el botón Examinar para localizar otro programa. Pulsar Siguiente.
3. Suministrar un nombre para la tarea e indicar después con qué frecuencia se desea que se realice. Pulsar Siguiente.
4. Seleccionar la hora del día a la que ha de realizarse la tarea. Dependiendo de la frecuencia seleccionada, será necesario
especificar una de las siguientes opciones:
● Tarea diaria: Cada día, cada n días o sólo en días laborables.
● Tarea semanal: Cada n semanas; hay que indicar el día de la semana.
● Tarea mensual: Hay que seleccionar el día del mes y los meses.
5. Suministrar el nombre y la contraseña del usuario que realizará las tareas programadas. Pulsar Siguiente. Obsérvese
que la cuenta especificada ha de tener los privilegios necesarios para realizar la tarea. Por ejemplo, si se programa una
copia de seguridad, el usuario debe tener derechos de copia de seguridad.
6. Si es necesario especificar parámetros para la tarea programada, hay que seleccionar el cuadro junto a Abrir
propiedades avanzadas y, después, pulsar Finalizar.
7. Hacer los cambios necesarios y pulsar Aceptar.
Para que las tareas se ejecuten como se espera, es importante que la fecha y hora del equipo sean correctas.
Muchos programas comenzarán su ejecución en el Programador de tareas y después se pararán, esperando una introducción
de datos que nunca llega, o que llega mucho más tarde, cuando alguien mira la máquina para ver que está haciendo. Para
asegurarse de que se dispone de todos los parámetros para que la tarea se puede ejecutar correctamente, hay que abrir una
ventana con el símbolo del sistema y escribir nombre-programa /?. Después hay que pulsar en la tarea con el botón derecho
del ratón en la ventana tareas programadas y escoger Propiedades. Hay que introducir los parámetros necesarios en el cuadro
de texto Ejecutar y pulsar Aceptar. Se puede programar una tarea para que se ejecute inmediatamente de forma que se pueda
comprobar su rendimiento. Si una tarea está programa por un usuario que no ha iniciado sesión en el momento programado,
la tarea todavía se ejecuta, pero en segundo plano y de forma no visible.
Cambio de un programa
Incluso la mejor programación puede tropezar con la realidad de vez en cuando, por lo que se necesita la posibilidad de
ajustar los sucesos planificados.
● Para ejecutar una tarea inmediatamente, hay que pulsar con el botón derecho del ratón en el icono de la tarea en la
ventana Tareas programadas y escoger Ejecutar en el menú contextual.
● Para detener una tarea que se está ejecutando, hay que pulsar con el botón derecho del ratón en el icono de la tarea en
la ventana Tareas programadas y escoger Finalizar tarea. Si la tarea programada se había configurado para iniciar otra
tarea, el comando Finalizar tarea sólo detendrá la tarea programada original.
● Para detener temporalmente todas las acciones del Programador de tareas, hay que abrir el menú Avanzado de la
ventana Tareas programadas y escoger Pausar Programador de tareas. Cualquier tarea que no se inicie porque el
Programador de tareas esté pausado, sólo se ejecutará de nuevo en su siguiente hora programada. Para iniciar el
Programador de tareas de nuevo, hay que pulsar en el mismo menú y escoger Continuar con Programador de tareas.
● Para dejar de utilizar el Programador de tareas, hay que abrir el menú Avanzado de la ventana Tareas programadas y
escoger No seguir usando Programador de tareas. No se. ejecutará ninguna tarea programada y el servicio
Programador de tareas ya no se iniciará automáticamente cuando se reinicie el sistema.
Seguimiento del Programador de tareas

Capítulo 14
El sistema mantiene un registro detallado de las actividades del Programador de tareas. Para examinar el registro, hay que
pulsar dos veces en Tareas programadas en el Panel de control. En el menú Avanzado hay que escoger Ver registro.
Si una tarea programada no se ejecuta como se espera, hay que pulsar con el botón derecho del ratón en la tarea en la ventana
del Programador de tareas y escoger propiedades en el menú contextual. Hay que comprobar que la tarea está de hecho
habilitada. (La casilla de verificación Habilitada de la ventana Propiedades de la tarea debería estar seleccionada).
Examen de las tareas de equipos remotos
Un administrador de un equipo remoto que ejecuta Windows NT o Windows 2000 puede examinar y modificar la
configuración del Programador de tareas de ese equipo. Hay que buscar el equipo en la ventana Mis sitios de red (en
Windows 2000) o en la ventana Entorno de red (en Windows NT) y, después, pulsar dos veces en la carpeta Tareas
programadas.
Para examinar y modificar las tareas programadas en equipos que ejecutan Windows 95 o posterior, el equipo remoto debe:
● Tener habilitada la administración remota.

● Especificar que la cuenta del usuario tiene acceso administrativo remoto.
● Compartir el disco duro en el que reside la carpeta Tareas programadas.
Windows 2000 incluye mejoras en las funciones de la línea de comandos, como la escritura automática de los
nombres de archivos y carpetas. Para activar esta característica, hay que abrir una ventana de línea de
comandos y escribir cmd /f:on. Ahora se puede evitar el escribir los nombres de archivos o carpetas largos en
la línea de comandos. Por ejemplo, para navegar dentro de la carpeta Archivos de programa desde la raíz de
la unidad de disco del sistema (generalmente C:\) se puede escribir c:\cd a y pulsar entonces CTRL+D. El
comando se expandirá inmediatamente a c:\cd «Archivos de programa». Se puede pulsar INTRO para elegir
esta ruta de acceso.
Esta característica también funciona con archivos. Digamos que estamos en C:\Archivos de
programa\Windows Media Player y se desea ejecutar Mplayer.exe. En la línea de comandos hay que escribir
mp y pulsar entonces CRTL.+F. La ruta de acceso se ampliará para incluir Mplayer.exe. Se puede pulsar
INTRO para ejecutar realmente el archivo.
Para obtener la documentación completa, hay que abrir una ventana de comandos y escribir help cmd.
El comando AT
También se puede utilizar el comando AT para programar tareas. De forma predeterminada, el comando AT se ejecuta
utilizando la cuenta LocalSystem, que requiere privilegios administrativos. Para especificar otra cuenta como usuario del
comando AT, hay que seguir estos pasos:
1. Abrir el Panel de control y pulsar dos veces en Tareas programadas.

2. En la ventana Tareas programadas, hay que abrir el menú Avanzado y después escoger Cuenta de servicios AT.
3. Pulsar Esta cuenta y especificar un usuario particular y su contraseña. Pulsar Aceptar.
Sintaxis del comando AT
La estructura de comando para el comando AT es como sigue:

Capítulo 14
AT [\\nombreequipo] [id] [[/delete]I/delete [/yes]]

AT [\\nombreequipo] hora [/interactive] [/every:fecha[,...] I /next :fecha [ , . . .
]
| comando
Se pueden utilizar los siguientes parámetros con el comando AT. Utilizado sin parámetros, el comando AT devuelve una lista
de comandos programados.
● \\nombreequipo: Especifica un equipo remoto. Sin este parámetro, se asume el equipo local.
● id: Indica el número de identificación, si se ha asignado uno.
● /delete: Cancela un comando programado. Si no se especifica un número de identificación, se cancelan todos los
comandos programados del equipo.
● /yes: Fuerza una respuesta afirmativa a todas las consultas del sistema cuando se cancelan todos los comandos.
● hora: Especifica cuándo se ejecuta el comando, expresado como horas:minutos en el formato de 24 horas.
● /interactive: Permite que la tarea interactúe con el escritorio del usuario que haya iniciado sesión en el momento de
ejecutarse el trabajo.
● /every:fecha[,...]: Ejecuta el comando en la fecha especificada. La fecha se puede especificar como uno o más días de
la semana (L, M, Mi, J, V, S, D) o como uno o más días del mes (mediante los números del 1 al 31). Hay que separar
las diferentes fechas con comas. Si se omite este parámetro, se asume el día actual del mes.
● /next:fecha[,...] Ejecuta el comando la siguiente vez que se presente el día especificado. Si se omite este parámetro, se
asume el día actual del mes.
● comando: Indica el programa, archivo de proceso por lotes o comando que debe ejecutarse. Si se requiere una ruta de
acceso, hay que utilizar una ruta de acceso en el formato del Convenio de denominación universal (UNC, Uniform
Naming Convention).
Algunas particularidades a la hora de usar el comando AT:
● El comando AT no carga Cmd, el intérprete de comandos, automáticamente, por lo que si el parámetro comando no
apunta a un archivo ejecutable, se debe especificar explícitamente Cmd, seguido del modificador /c, al comienzo del
comando.
● Los comandos programados utilizando AT se ejecutan como procesos en segundo plano, de forma que no muestra
ninguna salida. Para redirigir la salida a un archivo, hay que utilizar el símbolo de redirección (>). El símbolo de
redirección debe estar precedido por el símbolo de escape (^), así que un comando de ejemplo podría ser at
recuperar:bat ^>c:\registro.txt.
● Si es necesario utilizar una letra de unidad para conectarse a un directorio compartido, hay que incluir un comando AT
para desconectar la unidad cuando se haya completado la tarea. En otro caso, la letra de unidad asignada no estará
disponible ni se mostrará en el símbolo del sistema.
Se puede cambiar una y otra vez entre el comando AT y el Programador de tareas, aunque existen algunas
limitaciones. Por ejemplo, si se programa una tarea utilizando AT y más adelante se modifica esa misma tarea
utilizando el Programador de tareas, la tarea pertenece entonces al Programador de tareas y ya no se puede
acceder a ella utilizando AT

Capítulo 15
Capítulo 15
Ya desde los primeros y emocionantes días de las computadoras personales, se hablaba bastante de la "oficina
sin papeles" que estaba por llegar. Lamentablemente, ese día no solo no ha llegado, sino que en muchas
oficinas, la caja de papel reciclado es el receptáculo mas grande de todo el edificio! El coste de las impresoras
básicas ha disminuido a lo largo de los años, pero cada vez mas, las empresas han invertido en sofisticadas
impresoras de color de alta velocidad que permiten a los usuarios realizar trabajos que antes requerían una
imprenta exterior. Estas resultan costosas tanto de comprar como de usar. Por lo tanto, compartir las
impresoras permanece como una importante función del trabajo en red de la empresa. La configuración de
múltiples usuarios para que compartan impresoras reduce el coste y puede incrementar la salida de impresión.
El trabajo rutinario se puede dirigir a impresoras mas baratas, los trabajos de impresión largos se pueden
planificar para que se realicen fuera de las horas de oficina y se puede limitar el acceso a las impresoras de
gama alta.
La terminología de la impresión es mucho mas confusa de lo que debería a causa del uso
histórico de diferentes nombres para el mismo objeto. En Microsoft Windows NT 4, dispositivo
de impresión es el nombre de la impresora real e impresora designa la interfaz software. En
otras palabras, impresora se utiliza para referirse a la entidad lógica. En un entorno de red
NetWare u OS/2, el término cola de impresión se utiliza en lugar de impresora (refiriéndose a
la impresora lógica), pero el significado neto es el mismo.
En Windows 2000, la documentación utiliza ahora impresora para referirse al dispositivo que
realiza la impresión real a impresora lógica para referirse a la interfaz software.
Se puede tener una impresora lógica asociada a una única impresora, o se pueden tener varias
impresoras lógicas asociadas a una única impresora. En esta segunda disposición las
impresoras lógicas se pueden configurar con distintos niveles de prioridad de forma que una
impresora lógica maneje la impresión normal y otra los trabajos que se han de imprimir mas
tarde. Para que una impresora pueda utilizar tanto PostScript como el lenguaje de control de
impresoras (PCL, Printer Control Languaje), dos impresoras permitirán a los usuarios escoger
el tipo de impresión a realizar.
Una única impresora lógica se puede asociar también con múltiples impresoras físicas. Si todos
los dispositivos de impresión utilizan el mismo controlador de impresora, una única impresora
lógica permitirá enviar trabajos a la primera impresora física disponible. Esta disposición se
denomina grupo de impresoras. La ventaja de un grupo de impresoras es que un administrador
puede añadir o eliminar impresoras físicas sin afectar a las configuraciones de los usuarios
porque las impresoras físicas son intercambiables.
Las impresoras de red son impresoras normales con hardware de red adicional como una tarjeta de interfaz de
red y memoria adicional y, algunas veces, un disco duro para almacenar documentos grandes en la cola de

Capítulo 15
impresión. Estas impresoras trabajan con el protocolo apropiado para la red (generalmente TCP/IP o el
Protocolo de intercambio de paquetes entre redes [IPX, Internetwork Packet Exchange]) y tienen su propia
dirección de red única.
Las impresoras de red son el tipo mas comúnmente utilizado con los servidores de impresión
pero estas impresoras también pueden funcionar por si mismas en una red sin un servidor de
impresión.
Las impresoras de red son populares en muchas empresas a causa de su facilidad de configuración, velocidad
de impresión y flexibilidad en emplazamientos relativos al servidor de impresión y los clientes. No se necesita
hardware especializado en el servidor de impresión, lo que no siempre es el caso con servidores de impresión
que imprimen en múltiples impresoras de puerto serie o paralelo. La conexión directa a la red (a 10 Mb/seg. o
100 Mb/seg.) proporciona también una interfaz mucho más rápida que el relativamente lento puerto paralelo
usado a menudo por servidores de impresión autónomos.
Las impresoras de red se pueden configurar también sin un servidor de impresión, eliminando el coste de un
equipo adicional. Sin embargo, dado que no hay un servidor que ponga en cola los trabajos de impresión de
los clientes, cada usuario sólo ve sus propios documentos en la cola de impresión y no puede ver dónde se
encuentra un documento en relación con otros documentos en espera de imprimirse. De forma similar, dado
que no existe una única cola de impresión, los trabajos de impresión destinados a esta impresora no se pueden
administrar de forma centralizada, y sólo el usuario con el documento que se esta imprimiendo en ese
momento obtiene cualquier mensaje de error (como mensajes de atasco de papel). Finalmente, todo el
procesamiento previo a la impresión se realiza en el equipo del usuario, incrementando la cantidad de tiempo
que esta el equipo parcialmente o completamente no disponible para otras tareas. Por estos motivos es
conveniente utilizar un servidor de impresión con impresoras de red.
Un último punto sobre las impresoras de red: muchas de las más nuevas soportan Impresión Internet por
medio del Protocolo de impresión Internet (IPP, Internet Printing Protocol). La impresión Internet es una
característica que permite a un usuario con permisos suficientes y Microsoft Internet Explorer 4 ó superior
imprimir en una Impresión Internet, impresora activada desde cualquier parte del mundo (o desde la intranet
del usuario), no desde simplemente la red local.
Introducción a los servidores de impresión
Los servidores de impresión son equipos (o algunas veces aparatos de red) que administran las
comunicaciones entre las impresoras y los equipos cliente que quieren imprimir en las impresoras.
Microsoft Windows 2000 Profesional, además de las distintas versiones de Windows 2000
Server, funcionará como servidor de impresión; sin embargo, Windows 2000 Profesional puede
soportar un máximo de solo 10 usuarios simultáneos y no es capaz de soportar clientes
Macintosh o NetWare. Windows 2000 Server no tiene estas limitaciones.
Generalmente, existen dos enfoques a los servidores de impresión. El enfoque de Microsoft en Windows 2000
y Windows NT es tener un servidor de impresión que sea bastante "inteligente" , proporcionando a los clientes

Capítulo 15
los controladores de impresora apropiados y manteniendo la cola de impresión, además de gestionar la

comunicación entre las impresoras y los equipos clientes.
En cambio, UNIX (y algunas empresas como Intel) utilizan un servidor de impresión mucho más simple. La
forma mas popular de servidor de impresión no inteligente es el Demonio de impresora de líneas (LPD, Line
Printer Daemon). Un servidor de impresión no inteligente actúa generalmente como una interfaz entre la red y
la impresora, con cada cliente manteniendo su propia cola de impresión. El servicio LPD se ejecuta tanto en
un servidor UNIX, como en un aparato de red que proporciona funcionalidad LPD y de acceso a red, o en una
impresora conectada directamente a la red. Los clientes utilizan el servicio Acceso remoto a impresora de
líneas (LPR, Line Printer Remote) -una parte integral de UNIX y opcional en Windows 2000 y Windows NT-
para comunicarse con el servicio LPD, el cual se comunica después con la impresora.
Windows 2000 Server también puede ser un servidor LPD para mantener la compatibilidad con
los clientes UNIX y otros clientes que utilicen el servicio LPR.
A causa de las limitaciones del servicio LPD, se utilizan casi siempre los servidores de impresión de Windows
2000 y Windows NT en lugar de los servidores LPD cuando la red consiste principalmente en clientes
Windows. En un entorno mixto UNIX y Windows, el servicio LPD se puede instalar en un servidor de
impresión Windows 2000 para proporcionar servicios de impresión a clientes UNIX. Una alternativa común
para los servidores de impresión Windows es conectarlos a impresoras utilizando el servicio LPD (bien en la
impresora, bien conectándose a un dispositivo que ejecute el servicio LPD) como si fueran impresoras de red
normales. En este escenario, los clientes Windows tienen los beneficios de un servidor de impresión Windows
estándar al mismo tiempo que se mantiene la compatibilidad con clientes UNIX, que se comunican
directamente con el servicio LPD asociado a la impresora.
Las impresoras se conectan a menudo a un pequeño dispositivo de red o a un servidor UNIX

que ejecuta el servicio Demonio de impresora de líneas (LPD, Line Printer Daemon). Los
dispositivos o equipos que ejecutan LPD se llaman servidores de impresión, aunque no
funcionan del mismo modo que los servidores de impresión de Windows 2000 o Windows NT.
El servicio LPD actúa como una puerta de enlace de red para que las impresoras se
comuniquen con clientes UNIX a otros clientes que utilicen el servicio Acceso remoto a
impresora de líneas (LPR, Line Printer Remote), y muchas impresoras de red vienen con un
servicio LPD incorporado. Las impresoras que carecen de una interfaz de red se pueden
conectar a un dispositivo o equipo que ejecute LPD, el cual actúa después como tarjeta de
interfaz de red para la impresora, además de proporcionar la función usual del LPD de
permitir que los clientes UNIX impriman en la impresora conectada. Solo los clientes que
ejecutan el servicio LPR -una parte integral de UNIX y parte opcional de Windows y algunos
otros sistemas operativos- pueden acceder a las impresoras que utilizan un servidor de
impresión que ejecuta LPD.
Generalmente, si los clientes Windows necesitan acceder a una impresora que utiliza el servicio
LPD, un servidor de impresión Windows 2000 o Windows NT se conecta al LPD y comparte la
impresora como si estuviera conectada directamente al servidor de impresión Windows en

Capítulo 15
lugar de a través del LPD. El servidor de impresión Windows reserva la cola de impresión y
envía después cada trabajo de impresión al LPD, el cual pasa el trabajo a la impresora.
Alternativamente (o, en algunos casos, adicionalmente), el servidor Windows 2000 puede
conectarse directamente a la impresora, utilizando tanto un puerto de impresión TCP/IP
estándar como el servicio LPR, y ejecutar después el servicio LPD para proporcionar
funcionalidad de impresión a clientes tanto Windows como UNIX.
Métodos de conexión de impresoras a servidores de impresión
Las impresoras se pueden conectar directamente al servidor de impresión mediante una conexión de red a una
impresora de red o con una conexión a través de un puerto paralelo o serie, aunque esta ultima ha perdido
aceptación a causa de la cantidad de proceso consumida en la administración de los puertos. Las impresoras
USB a IEEE 1394 (Firewire o iLink) eliminan algunas de las desventajas de la conexión directa de las
impresoras al servidor de impresión, pero la forma mas popular con diferencia de conectar impresoras a un
servidor de impresión es por medio de una conexión de red.
Las impresoras de red incorporan tarjetas de red y normalmente memoria adicional (y algunas veces incluso
discos duros). Estas impresoras ejecutan el protocolo apropiado que utiliza la red (generalmente TCP/IP o
IPX) y tienen su propia dirección de red única.
Una conexión de red proporciona un ancho de banda incrementado a la impresora. Sin embargo, más
importante que el incremento de ancho de banda es la potencia de procesamiento que se conserva utilizando
una conexión de red en comparación con una conexión por medio de un puerto paralelo. El elevado uso de
CPU de las impresoras de puerto paralelo y serie provoca bastante tensión en el servidor de impresión y es una
de las principales razones de que las impresoras de red se hayan vuelto tan populares. La flexibilidad a la hora
de localizar impresoras de red es otro factor que ha contribuido al éxito de las impresoras de red. Aunque un
servidor de impresión puede administrar impresoras en ubicaciones ampliamente separadas, el aumento del
numero de impresoras conectadas a un único equipo producirá inevitablemente inconveniencias de cableado.
A menudo es mas fácil conectar impresoras a concentradores cercanos que llevar cables (que tienen
limitaciones de longitud) a todas las impresoras a las que sirve el servidor de impresión.
Introducción al proceso de impresión
Cuando una aplicación Windows imprime un documento, la aplicación llama a la Interfaz de dispositivo
grafico (GDI, Graphical Device Interface) de Windows, la cual llama después al controlador de impresora de
la impresora apropiada. (Otros sistemas operativos utilizan componentes diferentes para esta etapa de la
impresión.) La GDI y el controlador de impresora cooperan para representar el documento en el lenguaje de
impresora de la impresora y suministrar después el documento a la cola de impresión del cliente.
La cola de impresión del cliente envía el trabajo al proveedor de impresión remota (RPP, Remote Print
Provider), el RPP lo envía al servidor de impresión de Windows, que aloja la impresora destino, y el host
servidor de impresión almacena el trabajo de impresión al final de la cola de impresión de la impresora.
Cuando se utiliza el servicio LPR para imprimir por medio del servicio LPD, cada cliente

Capítulo 15
mantiene una cola de impresión individual. LPR y LPD son los servicios predeterminados en
equipos UNIX, los sistemas operativos Windows pueden utilizar también estos servicios para
mantener la compatibilidad con UNIX, aunque los servicios no se instalan de forma
predeterminada.
El proveedor de impresión local del servidor de impresión sondea al procesador de impresión para determinar
si es necesario convertir el trabajo de impresión a un tipo de datos diferente antes de imprimirlo. Cuando el
trabajo de impresión alcanza la cabeza de la cola, se mueve al Procesador de paginas de separación (SPP,
Separator Page Processor) para la inserción de una pagina de separación, si es requerido. después, el trabajo es
extraído de la cola de impresión y enviado al monitor de impresión, y desde aquí a la propia impresora a
través del Puerto de impresión apropiado. La impresora recibe el trabajo de impresión en su totalidad, o
gradualmente a medida que el monitor de impresión alimenta la impresora a la velocidad apropiada para
mantener los búferes de la impresora llenos. La impresora convierte cada página al formato de mapa de bits y
después imprime el documento.
Tipos de datos de la impresora
Cuando un trabajo de impresión alcanza el comienzo de la cola de impresión, el proveedor de impresión local
sondea al procesador de impresión para determinar si el trabajo de impresión está en el tipo de datos adecuado
para la impresora. Si el trabajo de impresión no tiene el formato adecuado, el procesador de impresión
necesita convertirlo. El tipo de datos que se utiliza para representar un trabajo de impresión es importante no
solo por la necesidad de correspondencia con el tipo de datos soportado por la impresora, sino también a causa
de consideraciones de rendimiento. Por lo tanto, es necesario comprender las diferencias entre los dos tipos de
datos principales soportados por el procesador de impresión predeterminado de Windows. (Los procesadores
de impresión de terceros suministran ocasionalmente -pero no a menudo- tipos de datos adicionales.)
El tipo de dato de impresora utilizado más comúnmente soportado por Windows es el metarchivo mejorado
(EMF, Enhanced Metafile). Este es el tipo de datos predeterminado para los clientes Windows 2000 o
Windows NT que utilizan el popular lenguaje de descripción de paginas PCL. El tipo de datos EMF es un
formato de metarchivo que permite una mejor portabilidad, trabajos de impresión mas pequeños y menos
tiempo consumido en la estación de trabajo cliente para preparar un documento para su impresión. Los
archivos EMF también consumen generalmente algo menos de ancho de banda de red, pero requieren mas
procesamiento en el servidor de impresión que los trabajos de impresión RAW.
El segundo tipo de datos mas comúnmente utilizado es el tipo de datos RAW, que es el tipo de datos
predeterminado para las impresoras PostScript y todos los clientes que no ejecutan Windows 2000 o Windows
NT. Los trabajos de impresión RAW se procesan completamente en el equipo cliente y no son modificados en
absoluto por el servidor de impresión.
El procesador de impresión de Windows 2000 (Winprint) soporta otros tres tipos de datos, aunque no se
utilizan tan a menudo. Los tipos de datos son RAW (FF anexado), RAW (FF auto) y text.
● RAW (FF anexado) añade un carácter de avance de pagina al trabajo de impresión, el cual requieren
algunas aplicaciones que de otra forma no imprimirían la última página cuando utilizan el tipo de datos

Capítulo 15
RAW con impresoras PCL.

● RAW (FF auto) comprueba automáticamente la presencia de un carácter de avance, de página y añade
uno si es necesario.
● text interpreta todo el trabajo de impresión como texto ASCII plano, después añade cualquier
especificación de impresión adicional mediante la configuración predeterminada de fábrica de la
impresora. Este tipo de datos es útil para impresoras que no trabajan adecuadamente con otros tipos de
datos.
Planificación de la implantación de las impresoras
Es posible que la compañía ya tenga impresoras implantadas, y es de esperar que también haya convenios de
denominación y directrices para situar las nuevas impresoras. Esta característica permite a los usuarios
localizar más fácilmente impresoras cercanas que tengan las características que necesitan.
Establecimiento de convenios de denominación de las impresoras
Los métodos de denominación de las impresoras efectivos llevan tanta información relevante sobre las
impresoras como es posible manteniendo al mismo tiempo el nombre intuitivo y compatible con todos los
clientes relevantes.
Al igual que la planificación del espacio de nombres de la red, la planificación del convenio de
denominación a utilizar para las impresoras es importante para mantener un entorno de
computación lógico y fácil de usar Una empresa debe asegurarse de obtener soporte
administrativo para el convenio. Es deseable establecer un esquema de denominación que se
pueda cumplir realmente en la empresa.
En las maquinas basadas en Windows, se trabaja con dos nombres: el nombre de la impresora y el nombre
compartido. Un nombre de impresora es el nombre otorgado a una impresora en el momento de su instalación
y puede tener una longitud de hasta 220 caracteres. Un nombre compartido es el nombre proporcionado a la
impresora para utilizarla en la red y puede tener una longitud de hasta 80 caracteres, aunque se mantiene
normalmente en 8 caracteres o menos para mantener la compatibilidad con clientes basados en MS-DOS o
Windows 3.x. Los nombres de impresora se muestran en el servidor de impresión y en el campo comentarios
cuando los clientes Windows examinan una impresora. El nombre compartido es el nombre que todos los
clientes ven cuando examinan una impresora, utilizan el Asistente para agregar impresoras o utilizan el
comando Net Use.
Algunas aplicaciones heredadas experimentan problemas con impresoras cuyo nombre de

impresora completo (el nombre del equipo y el nombre compartido de la impresora
combinados) excede de 31 caracteres. Este problema también puede producirse con impresoras
cuyos nombres tengan menos de 31 caracteres, si el nombre predeterminado de la impresora
tiene mas de 31 caracteres, además, los clientes MS-DOS no pueden acceder a impresoras con
nombres compartidos mas largos de 8 caracteres seguidos de una extensión de 3 caracteres.
Normalmente el nombre de la impresora que se utiliza es el nombre real de la impresora seguido de un

Capítulo 15
numero, si existen múltiples impresoras idénticas en la misma ubicación. Algunas empresas podrían desear
incluir también la ubicación de la impresora en el nombre de la impresora, por lo que una impresora láser HP
LaserJet 8100 podría llamarse HP LaserJet 8100-1 o HP LaserJet 8100 Planta 10-1.
El nombre compartido necesita ser mas escueto y a menudo es una referencia genérica a las capacidades de la
impresora. Por ejemplo, la impresora HP LaserJet 8100 que se acaba de mencionar podría utilizar el nombre
compartido de HPLaser1. O, si se dispone de una impresora láser color, se podría utilizar ClrLaser como
nombre compartido. Opcionalmente se puede usar una extensión de tres letras en el nombre compartido y
mantener aun la compatibilidad con clientes MS-DOS; algunas empresas utilizan la extensión para denotar el
numero de la impresora o para referirse a sus capacidades.
Se debe evitar el uso de espacios a otros caracteres especiales en los nombres compartidos a
menos que se mantenga una red donde todos son Windows 2000. En otro caso, algunos clientes,
como UNIX o MS-DOS, no serán capaces de reconocer los nombres.
Creación de convenios de denominación de las ubicaciones
Cuando se utiliza Active Directory de Windows 2000 para almacenar la información de la impresora, los
usuarios pueden examinar o buscar impresoras basándose en los criterios que quieran, incluyendo
características y ubicación de la impresora. En organizaciones pequeñas, los usuarios pueden buscar
impresoras sin utilizar el seguimiento de la ubicación de impresoras. Sin embargo, si se va a activar el
seguimiento de la ubicación de impresoras, el nombre de ubicación de la impresora se vuelve mas importante
que el nombre de la impresora.
Los nombres de ubicación son similares en forma a los nombres de dominio y se escriben de la forma
nombre/nombre/nombre/nombre. Comienzan con el nombre de ubicación mas general y se van volviendo
progresivamente mas específicos.
Cada parte del nombre puede tener un máximo de 32 caracteres y puede contener cualquier carácter excepto la
barra diagonal (/), que esta reservada para utilizarla como delimitador. El nombre de ubicación completo no
debe ser mayor de 260 caracteres, con un máximo de 256 niveles.
Si no se utiliza Active Directory para almacenar la información de la impresora, aun se puede incluir
información de la ubicación con las impresoras, aunque este enfoque tiene algunas limitaciones. Para
introducir la información de la ubicación, hay que escribir el nombre de ubicación en la pestaña General de la
ventana Propiedades de la impresora.
Instalación de impresoras
Para añadir una impresora al sistema en Windows 2000, al igual que en Windows NT 4 y en Windows 95/98,
se utiliza el Asistente para agregar impresoras. Si se ha configurado una impresora en alguno de estos sistemas
operativos, se encontrara que el proceso es similar en Windows 2000.
Para cambiar el comportamiento predeterminado del Asistente para agregar impresoras para

Capítulo 15
clientes, servidores o ambos, hay que utilizar el complemento Directiva de grupo.
Después de añadir una impresora por medio del Asistente para agregar impresoras, será necesario configurar
los permisos apropiados para la impresora, configurar cualquier opción de instalación con la que este equipada
la impresora y establecer los parámetros de impresión predeterminados.
Instalación de impresoras locales
Para utilizar el Asistente para agregar impresoras hay que seguir los siguientes pasos:
1. Pulsar el botón Inicio, escoger configuración y pulsar en Impresoras para abrir la carpeta Impresoras.
2. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras.
3. Pulsar Siguiente en la primera pantalla para comenzar a utilizar el Asistente para agregar impresoras y
aparece el cuadro de selección del tipo de instalación que vamos a realizar.
❍ Impresora local,
seleccionaremos esta
opción si los drivers van a
estar instalados en nuestro
equipo.
■ Detectar e instalar
mi impresora
Plug and Play
automáticamente:
por defecto está
seleccionada y
deberemos dejarla
seleccionada si
nuestra impresora
es Plug and Play,
lo que nos permite
detectar
automáticamente e
instalar de forma rápida muchos dispositivos de hardware, incluidas las impresoras. En
la actualidad, casi todas las impresoras del mercado son Plug and Play. Sin embargo, el
modo en que se detectan y el grado de intervención del usuario requerido en el proceso
de la instalación difieren de una impresora a otra y dependen de cómo se conecten al
equipo. Si no selecciona esta opción con una impresora Plug and Play, Windows 2000
detectara la impresora la próxima vez que se reinicie el sistema y tratara de instalar la
impresora una segunda vez. Si se utiliza una conexión USB o IEEE 1394 para la
impresora, Windows 2000 detectara la impresora automáticamente y la instalara en el
servidor tan pronto como se conecte la impresora al servidor (aunque podrían pedirse
controladores). En Windows 2000 Server, el Asistente para agregar impresoras
compartirá la impresora y la publicara en Active Directory a menos que se seleccione No
compartir esta impresora en la pantalla Compartir impresora. En Windows 2000
Profesional, la opción predeterminada es no compartir la impresora a menos que se

Capítulo 15
seleccione Compartir como en la pantalla Compartir impresora, en cuyo caso la

impresora será compartida y publicada.
❍ Impresora de Red: deberemos seleccionar esta opción si la impresora se encuentra en un
servidor de Impresión con los drivers apropiados a nuestro sistema operativo.

Pulsar Siguiente. Si hemos
seleccionado la opción Detectar e
instalar mi impresora Plug and
Play automáticamente, se iniciará
la búsqueda y Windows 2000 nos
mostrará el cuadro de diálogo
Nuevo hardware encontrado
cuando localiza la impresora. Si
Windows 2000 posee los
controladores apropiados para el
dispositivo, instala esos
controladores automáticamente.
Si la impresora no fue detectada,
hay que ejecutar el Asistente
para agregar impresoras de
nuevo, pero esta vez se debe
desactivar la casilla de
verificación Detectar a instalar
mi impresora Plug and Play automáticamente en la pantalla Impresora local o de red y después pulsar
Siguiente.
4. Seleccionar el puerto de impresora:
❍ Usar el puerto siguiente: si el puerto ya existe, lo seleccionamos y después pulsamos
Siguiente.
❍ Crear nuevo puerto: si el puerto no existe deberemos seleccionar esta opción, y se habilitará la
casilla Tipo, donde podemos seleccionar el tipo de puerto que debemos instalar.
❍ Seleccionar el botón de opción Crear nuevo puerto, y seleccionar después Standard TCP/IP Port
en la lista desplegable con dos opciones por defecto: Local Port y Standar TCP/IP Port.
■ Local Port:
Si
seleccionamos
esta opción
deberemos
proporcionar
el nombre del
nuevo puerto
local.
Seguramente
esto no será
necesarios ya
que Windows 2000 es capaz de encontrar la mayoría de los tipod de puertos que estén
instalados en el ordenador.

Capítulo 15
■Standard TCP/IP Port: Si la impresora está conectada directamente a la red, mediante

un interfaz de REd con TCP/IP instalado deberemos seleccionar esta opción y pulsar
siguiente. Windows 2000 ejecutará el Asistente para agregar puerto de impresora
estándar TCP/IP. Hay que asegurarse de que la impresora esta conectada a la red y
encendida para que Windows 2000 pueda establecer una conexión. Aparecerá el
asistente de instalación del nuevo puerto.
■ En Nombre de impresora o dirección IP, escriba el nombre DNS (Sistema de
nombres de dominio) o la dirección IP (Protocolo Internet) del host para la

impresora que va a agregar.
■ El nombre de puerto TCP/IP Windows 2000 lo rellena automáticamente.
Después, Windows 2000 trata de conectar con la impresora. Si Windows no

puede detectar la impresora, se solicitara información adicional. Como es el tipo
de tarjeta que tiene instalada la impresora. Si pulsamos siguiente aparecerá el
cuadro de confirmación de configuración del puerto.
■ Pulsamos Siguiente
5. Seleccionar el fabricante y modelo de la impresora en los cuadros de dialogo Fabricantes e Impresoras,

y pulsar Siguiente. O pulsar el
botón Windows Update para ver
una lista de controladores
actualizados y pulsar el botón
Utilizar disco para proporcionar
un disco con controladores.
6. Introducir un nombre para la
impresora en el cuadro de texto
Nombre de la impresora.
Introducir el nombre compartido
de la impresora en la red.
7. Escoger si se desea o no
compartir la impresora
seleccionando la opción No
compartir esta impresora o bien
la opción Compartir como. Si se
seleccionar la opción Compartir
como, hay que proporcionar un
nombre compartido para la impresora.
8. Introducir la ubicación de la impresión en el cuadro Ubicación. Se pueden describir las capacidades de
la impresora en el cuadro Comentario.
9. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba, y después pulsar
Siguiente para mostrar un resumen de la instalación de la impresora. Para modificar las opciones de
instalación, hay que pulsar Atrás; en otro caso, hay que pulsar Finalizar para completar la instalación.
Instalación de nuevos puertos para impresoras en la Red
Para compartir impresoras en una red, hay varias opciones. Se puede añadir una impresora compartida por
otro equipo, añadir impresoras TCP/IP en un puerto TCP/IP, añadir impresoras en un puerto LPR o añadir un

Capítulo 15
dispositivo de impresión AppleTalk.
Adición de impresoras compartidas por otro equipo
La forma más sencilla de conectarse a una impresora, después de utilizar una conexión física directa, es
utilizar una impresora compartida en la red. El equipo que comparte la impresora podría ser un servidor de
impresión o simplemente una estación de trabajo con una impresora conectada. Para configurar una impresora
que es compartida por un servidor o estación de trabajo en la red, hay que seguir los siguientes pasos para
utilizar el Asistente para agregar impresoras para conectarse a la impresora:
1. Configurar el equipo que comparte la impresora con el protocolo apropiado; hay que asegurarse de que
la impresora esta compartida en la red y de que se tienen los permisos adecuados para acceder a ella.
2. Para una impresora conectada a un servidor NetWare, hay que asegurarse de que se tienen instalados el
Protocolo de transporte compatible con NWLink IPX/SPX/NetBIOS y los Servicios puerta de enlace
para NetWare, activados y funcionando en el servidor de impresión Windows 2000.
Pulsar el botón Inicio, escoger Configuración y pulsar después en Impresoras para abrir la carpeta
Impresoras.
4. Seleccionar la opción Impresora de red. Introducir el nombre de la impresora en el cuadro de texto
Nombre, o pulsar Siguiente para buscar la impresora. Si se escoge buscar la impresora, Windows 2000
muestra la pantalla Buscar impresora.
Si las impresoras están publicadas en Active Directory, se puede seleccionar el botón de opción
Buscar una impresora en el directorio y pulsar Siguiente para buscar en el Active Directory por medio
de la ubicación o características de la impresora.
5. Escoger la impresora de la lista de impresoras compartidas y después pulsar Siguiente.
6. Si ya se ha instalado una o más impresoras en el servidor, hay que escoger si esta impresora ha de ser
la impresora predeterminada pulsando el botón Si o el botón No y pulsando después Siguiente.
después, el Asistente para agregar impresoras muestra un resumen de la instalación de la impresora.
7. Pulsar Finalizar para finalizar la instalación.
Adición de impresoras TCP/IP en un puerto de impresora TCP/IP
mas a menudo se va a configurar un servidor de impresión para que se conecte a una o más impresoras ya
conectadas directamente a la red. Una de las formas mas comunes de conectarse a estas impresoras de red es
configurar un puerto de impresión TCP/IP estándar que administre las comunicaciones con las impresoras
basadas en TCP/IP. Para configurar una impresora basada en red a través de un puerto de impresora TCP/IP
estándar -que Windows 2000 trata como puerto local- hay que seguir los siguientes pasos:
1. Pulsar el botón Inicio, escoger

Configuración y después pulsar en
Impresoras para abrir la carpeta
Impresoras.
3. Pulsar Siguiente en la primera pantalla para comenzar a utilizar el Asistente para agregar impresoras.

Capítulo 15
4. Seleccionar la opción Impresora local y desactivar la casilla de verificación Detectar e instalar mi

impresora Plug and play automáticamente.
5. Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Pulsar
Siguiente.
6. Aparecerá el asistente para la
creación de un puerto estándar de
impresión.
7. En la pantalla Compartir
impresora, seleccionar No
compartir esta impresora si no se
desea que esta impresora este
accesible a usuarios en la red.
Seleccionar Compartir como y
suministrar un nombre
compartido para la impresora, si
se desea que los usuarios de la
red sean capaces de utilizar esta
impresora. Pulsar Siguiente.
8. Introducir el nombre de ubicación
para la impresora en el cuadro
Ubicación. Se pueden describir
las capacidades de la impresora en el cuadro Comentario.
9. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente
para mostrar un resumen de la instalación de la impresora.
Adición de impresoras en un puerto de impresora LPR
Otra forma común de conectarse a una impresora de red es utilizar un puerto LPR, lo que permite al servidor
de impresión comunicarse con impresoras por medio del servicio LPD, usado normalmente para soportar
clientes UNIX.
Para configurar una impresora basada en red a través de un puerto LPR primero hay que asegurarse de que
están instalado el Componente de Windows Servicios de impresión para UNIX dentro de Otros servicios de
archivo e impresión de red:
1. Instalar los servicios de impresión para UNIX utilizando el Asistente para componentes de Windows.
2. Pulsar el botón Inicio, escoger Configuración y pulsar después en Impresoras para abrir la carpeta
Impresoras. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar
impresoras.
3. Seleccionar la opción Impresora local y desactivar la casilla de verificación Detectar e instalar mi
impresora Plug and play automáticamente.
4. Escoger la opción Crear nuevo puerto, seleccionar LPR Port en la lista desplegable y pulsar Siguiente.

Capítulo 15
5. Introducir el nombre o
la dirección de la
impresora o el
servidor de impresión
que ejecuta LPD en el
primer cuadro de
texto del cuadro de
dialogo Agregar
impresora compatible
LPR.
6. En el segundo cuadro
de texto hay que
introducir el nombre
de la impresora o cola
de impresión del
servidor LPD y
después pulsar
Aceptar. Windows
añade el puerto a la lista de puertos.
7. Si Windows no detecta la impresora, escoger el modelo de impresora en la Siguiente pantalla y después
pulsar Siguiente.
8. Proporcionar un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir
despu6s el nombre compartido de la impresora en la red.
9. Introducir el nombre de ubicación de la impresora en el cuadro Ubicación. Se pueden describir las
características de la impresora en el cuadro Comentario.
10. Para imprimir una pagina de prueba hay que pulsar Si en la pantalla Imprimir pagina de prueba. Pulsar
Siguiente para mostrar un resumen de la instalación de la impresora.
Adición de dispositivos de impresión AppleTalk
En un entorno informático mixto con clientes Macintosh, podría ser necesario utilizar uno o mas dispositivos
de impresión AppleTalk. Para instalar una impresora AppleTalk, primero hay que asegurarse de que están
instalado el Componente de Windows Servicios de impresión para Apple Talk dentro de Otros servicios de
archivo e impresión de red:
AppleTalk no soporta nombres de usuario o contraseñas en los clientes, lo que elimina la

capacidad de establecer permisos para usuarios Macintosh en el servidor de impresión. Sin
embargo, se pueden establecer permisos para los usuarios Macintosh como un grupo,
otorgando de este modo los mismos permisos de impresión a todos los clientes Macintosh.
1. Instalar los servicios de impresión para Macintosh utilizando el Asistente para componentes de
Windows.
2. Abrir la carpeta Impresoras. Pulsar dos veces en el icono Agregar impresora para iniciar el
Asistente para agregar impresoras.

Capítulo 15
3. Seleccionar la opción Impresora

local y desactivar la casilla de
verificación Detectar e instalar
mi impresora Plug and play
automáticamente.
4. Seleccionar Crear nuevo puerto y
después seleccionar Dispositivos
de impresión de AppleTalk en la
lista desplegable y pulsar
Siguiente. Windows 2000 busca
impresoras AppleTalk en la red.
5. Escoger una impresora en el
cuadro de dialogo Dispositivos
de impresión de AppleTalk
disponibles, y pulsar Aceptar
para instalar la impresora.
Cuando se pregunte si se desea
capturar el puerto hay que pulsar
Si, Windows añade el puerto a la
lista de puertos.
Cuando se captura un puerto de
impresión AppleTalk, la impresora es administrada exclusivamente por el servidor de impresión de
Windows 2000 y no se la puede conectar simultáneamente a un servidor de impresión Macintosh. Esta
limitación otorga al administrador del servidor de impresión un control completo sobre la impresora.
6. Escoger el modelo de la impresora en la siguiente pantalla, si Windows no detecta la impresora.
Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir el
nombre compartido a utilizar para la impresora.
7. Introducir el nombre de ubicación de la impresora en el cuadro Ubicación. Se pueden describir las
características de la impresora en el cuadro Comentario y después pulsar Siguiente.
8. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente
para mostrar un resumen de la instalación de la impresora.
Modificación de las propiedades de las impresoras
Después de instalar impresoras en el servidor de impresión, será necesario establecer la seguridad, configurar
varias opciones de las impresoras, seleccionar la impresora predeterminada y seleccionar el servidor de
impresión y sus opciones.
Definición de las opciones de seguridad
Aunque algunas personas no piensan en la seguridad cuando configuran impresoras, este puede ser un
importante factor a considerar. Por ejemplo, no es deseable que todo el mundo imprima a 800 pesetas la
pagina en la impresora de sublimación de tinta adquirida para el departamento de publicidad. A un nivel mas
básico, probablemente no se deseara que muchos usuarios modifiquen las propiedades de una impresora o

Capítulo 15
cambien las propiedades de los documentos de la cola de impresión.
La seguridad de las impresoras se gestiona estableciendo permisos para grupos (y ocasionalmente para
usuarios individuales) y auditando las acciones que realizan los usuarios y los grupos, de forma parecida al
acceso al equipo en general. Hay que configurar los usuarios para que pertenezcan a grupos y otorgar después
a los grupos el nivel de permisos apropiados para esos usuarios. Se debe activar la auditoria para usuarios
individuales o grupos de forma que el administrador o la persona responsable de la administración de los
registros de auditoria puedan hacer un seguimiento de las acciones del usuario en relación con la impresora.
Se debe utilizar una cuenta con permiso Administrar impresoras para ver y cambiar la
configuración de seguridad de la impresora.
Niveles de permisos de la impresora
Las impresoras son recursos de Windows 2000 y, por lo tanto, pueden ser protegidos como cualquier otro
recurso mediante las características de seguridad de Windows 2000. En Windows 2000 las impresoras tienen
propietarios y listas de control de accesos (ACL, Access Control Lists), que especifican los permisos que tiene
cada usuario o grupo. El creador de la impresora se convierte automáticamente en su propietario, y sólo los
usuarios con permisos suficientes (Administrar impresoras) pueden obtener la propiedad de la impresora del
creador. Un usuario o grupo tiene tres niveles de permisos de control para una impresora: Imprimir,
Administración de documentos y Administrar impresoras.
Los clientes Macintosh asumen que si un cliente puede enviar físicamente un documento a una
impresora, eso implica que tiene permiso para hacerlo de esa forma. Por lo tanto, un cliente
Macintosh no posee seguridad de impresión.
● Los miembros del grupo Todos tienen concedido el permiso Imprimir de forma predeterminada. Sin
embargo, se debería eliminar el permiso Imprimir del grupo Todos y asignarlo en cambio al grupo
incorporado Usuarios. Esto permite imprimir sólo a usuarios con cuentas de dominio. Los usuarios o
grupos con permisos Imprimir pueden hacer lo siguiente: conectarse a la impresora, imprimir
documentos y detener, reiniciar y borrar sus propios documentos de la cola de impresión.
● El grupo Creator/Owner tiene concedido el permiso Administración de documentos de forma
predeterminada. Este nivel otorga los permisos de Imprimir además de la capacidad de cambiar la
configuración de todos los documentos de la cola de impresión y detener, reiniciar y borrar cualquier
documento de la cola de impresión.
● Los usuarios avanzados, operadores de impresión y operadores de servidor en un controlador de
dominio y a administradores en un servidor tienen concedido el nivel de permiso Administrar
impresoras que es el equivalente en Windows 2000 al Control total de Windows NT. Además de los
permisos de Imprimir y Administración de documentos, el nivel de permiso Administrar impresoras
añade la capacidad de configurar impresoras compartidas, modificar las propiedades de las impresoras,
eliminar impresoras, cambiar los permisos de las impresoras y tomar posesión de las impresoras.
Se debería configurar una impresora teniendo en cuenta las mismas directrices que se seguirían con cualquier
recurso compartido. Se debe crear un grupo local con permisos Imprimir, darle un nombre que se corresponda

Capítulo 15
con el nombre de la impresora y añadir después grupos globales al grupo local. Si la seguridad no es un
problema, se puede otorgar el permiso Administración de documentos o Administrar impresoras al grupo
local.
Cambio de los permisos de la impresora
Para cambiar los permisos de una impresora, hay que seguir los siguientes pasos:
1. Abrir la carpeta Impresoras

localizada en el menú Inicio.
ratón en la impresora a
modificar y después escoger
contextual.
3. Pulsar en la pestaña Seguridad
en la ventana Propiedades de la
impresora.
4. Para modificar los permisos de
un grupo, hay que seleccionar el
grupo en la lista y seleccionar
después las casillas de
verificación en la sección
Permisos de la ventana para
escoger que permisos otorgar a
cada grupo.
5. Para añadir un usuario o grupo a
la lista, hay que pulsar el botón
Agregar, seleccionar un usuario o grupo de la lista para añadirlo y después pulsar Agregar. Cuando se
haya terminado de añadir usuarios o grupos, hay que pulsar Aceptar.
6. Para eliminar un usuario o grupo de la lista de usuarios y grupos con permiso para utilizar la impresora,
hay que seleccionar el usuario o grupo y después pulsar Quitar.
7. Para ver o cambiar la configuración de forma mas detallada, hay que pulsar el botón Avanzada.

Capítulo 15
8. Se puede utilizar la pestaña

Permisos del cuadro de dialogo
configuración de control de acceso
para ver o cambiar todos los
permisos de cada usuario o grupo.
(Las configuraciones adicionales
son Permisos de lectura, Cambiar
permisos o Tomar posesión.)
9. Para especificar si los permisos de
un usuario o grupo en particular se
aplican solo a la impresora, solo a
los documentos o tanto a la
impresora como a los documentos,
hay que seleccionar el usuario o el
grupo, pulsar el botón Ver o
modificar y después escoger una
configuración de la lista
desplegable Aplicar en. Pulsar
Aceptar.
Configuración de la auditoria de la
impresora
Para auditar acciones sobre la impresora (registrar las ocurrencias de acciones relacionadas con la impresora
con éxito o sin el realizadas por usuarios o grupos), hay que seguir los siguientes pasos:

Capítulo 15
1. En la carpeta Impresoras (localizada en el

menú Inicio), pulsar con el botón derecho
del ratón en la impresora a modificar y
después escoger Propiedades en el menú
contextual.
2. Pulsar en la pestaña Seguridad en la ventana
Propiedades de la impresora y después
pulsar Avanzada.
3. Pulsar en la pestaña Auditoria. Para añadir
una entrada de auditoria, hay que pulsar el
botón Agregar.
4. Seleccionar un grupo para auditarlo y
después pulsar Aceptar.
5. En el cuadro de dialogo Entrada de
auditoria, hay que seleccionar las acciones
que se desearían registrar y después pulsar
Aceptar.
6. Para modificar las auditorias creadas, hay
que seleccionar la entrada de auditoria y
pulsar el botón Ver o modificar.
Se pueden ver los resultados de la configuración de

la auditoria en el registro de seguridad. Después de
revisar el registro varias veces, se puede concluir
que se están auditando demasiados o muy pocos
eventos. Si se registran demasiadas acciones, el
registro se llenara rápidamente y los eventos que
son mas serios se pueden perder en la larga lista de los relativamente triviales. Si se registran muy pocos
eventos, se podría perder un patrón de accesos impropios a las impresoras.
Cambio de la propiedad de la impresora
El propietario de una impresora es la persona que tiene el control sobre que niveles de permiso tienen los
usuarios y grupos sobre la impresora. Para cambiar la propiedad de la impresora, hay que seguir los siguientes
pasos:

Capítulo 15
1. En la carpeta Impresoras, pulsar con el

botón derecho del ratón en la
impresora a modificar y después
contextual.
2. Pulsar en la pestaña Seguridad en la
ventana Propiedades de la impresora y
después pulsar Avanzada.
3. Pulsar en la pestaña Propietario para
ver la propiedad actual de la impresora.
4. Seleccionar el usuario o grupo que ha
de ser el nuevo propietario de la impresora y después pulsar Aceptar.
Solo los usuarios o grupos con el nivel de permiso Administrar impresoras aparecerán en la
listo de usuarios o grupos disponibles para tomar posesión de la impresora.
Cambio de las opciones de las impresoras
Windows 2000 instala las nuevas impresoras con las opciones de impresión diseñadas para que sirvan a la
mayoría de los usuarios, pero con frecuencia será necesario cambiarlas para que la impresora funcione de
forma óptima. Entre las modificaciones de las opciones de la impresora que podrían ser necesarias se incluyen
cambiar la impresora predeterminada, cambiar los controladores de la impresora del servidor de impresión,
especificar perfiles de color, cambiar la disponibilidad de la impresora, determinar las prioridades de
impresión del grupo y configurar las colas de impresión. Estas características podrían no estar disponibles
hasta que se activen explícitamente.
Dependiendo del controlador de impresora que se utilice, los cuadros de dialogo y las opciones
de la impresora que se tendrán serán probablemente distintos de los que aparecen aquí. Si se
utiliza un controlador de impresora proporcionado por el fabricante de la impresora, las
pestañas y opciones adicionales no estarán disponibles en los controladores de impresora
estándar de Windows 2000.
Cambio de la impresora predeterminada
Las aplicaciones del equipo que comparte la impresora imprimen automáticamente en la impresora
predeterminada a menos que se especifique una impresora diferente. En un servidor de impresión es mucho
mas difícil determinar que impresora es la impresora predeterminada, pero es importante para los clientes.
Para cambiar la impresora predeterminada hay que seguir estos pasos:

Capítulo 15
1. En la carpeta Impresoras, pulsar

con el botón derecho del ratón
en la impresora que se desea
modificar.
2. Escoger Establecer como
impresora predeterminada en el
menú contextual.
Cambio de las opciones generales a impresión de paginas de prueba
Para cambiar las opciones generales de la impresora, como el nombre de la impresora, o para imprimir una
pagina de prueba, hay que seguir estos pasos:

en la impresora a modificar y
después escoger Propiedades en
el menú contextual.
2. Utilizar la pestaña General de la
ventana Propiedades para ver o
modificar el nombre de la
impresora, el nombre de
ubicación o el comentario,
además de ver las características
de la impresora.
3. Para imprimir una pagina de
prueba, hay que pulsar el botón
Imprimir pagina de prueba en la
pestaña General.
También se puede imprimir una pagina

de prueba abriendo el Bloc de notas de
Windows y creando un documento
sencillo. De hecho, la impresión desde el Bloc de notas es una técnica de solución de problemas sencilla
utilizada para ver si la impresión básica funciona.
Impresoras compartidas y suministro de controladores a los clientes
Para cambiar el nombre compartido que utiliza la impresora en la red, para dejar de compartir la impresora o
para instalar controladores que las maquinas cliente pueden utilizar para la impresora, hay que seguir estos
pasos:

Capítulo 15

2. Pulsar en la pestaña Compartir.
Pulsar la opción Compartida
como a introducir el nombre
compartido de la impresora en
el cuadro de texto
proporcionado.
3. Para publicar la impresora en el
Active Directory, hay que
seleccionar la casilla de
verificación Mostrada en
Directorio, si esta disponible.
4. Para añadir controladores para
clientes que se descarguen a
instalen automáticamente
cuando un cliente Windows
2000 o Windows NT se conecta
a la impresora, hay que pulsar el botón Controladores adicionales.
5. En el cuadro de dialogo Controladores adicionales, hay que seleccionar la casilla de verificación junto
a cualquier controlador para cliente que ha de instalarse y después pulsar Aceptar. Para instalar
controladores adicionales para clientes es necesario acceder a los archivos de instalación de Windows
2000, bien en el CD-ROM, bien a lo largo de la red.
Cuando están instalados los controladores para

clientes en un servidor de impresión, muchos
clientes Windows descargan automáticamente los
controladores cuando se conectan inicialmente a la
impresora. Los clientes Windows 2000 y
Windows NT 4 comprueban automáticamente la
existencia de versiones actualizadas de los
controladores de la impresora en el inicio y
descargan las versiones mas recientes si es
necesario. Los clientes Windows NT 3.x
comprueban y actualizan automáticamente sus
controladores cuando imprimen en el servidor.
Los clientes Windows 95 y 98 no comprueban
automáticamente la existencia de controladores
actualizados y deben ser actualizados
manualmente.
Cambio de los controladores de impresora del servidor de impresión

Capítulo 15
Para cambiar el controlador que utiliza el servidor de impresión para una impresora, hay que seguir estos
pasos:
1. En la carpeta Impresoras, pulsar con el botón derecho del ratón en la impresora a modificar y después
2. Pulsar en la pestaña Avanzadas.
3. Escoger un controlador
de la lista desplegable
Controlador, o pulsar
la opción Controlador
nuevo para iniciar el
Asistente para actualizar un controlador.
Definición de las opciones de las colas de impresión y cambio del puerto
Una cola de impresión es útil para gestionar un gran volumen de impresión en una ubicación, particularmente
cuando existe una mezcla de documentos grandes y pequeños. Por ejemplo, alguien con un memorando de una
sola pagina no tiene por que quedarse estancado en la cola detrás de un trabajo de impresión que es la versión
empresarial de la Enciclopedia de la Real Academia de la Lengua Española.
Si las impresoras comparten un único controlador, pueden aparecer ante los clientes como una sola impresora.
La ventaja de utilizar una cola de impresión es que los clientes no necesitan encontrar que impresora se
encuentra disponible; simplemente imprimen en la impresora lógica única (controlador de impresora) del
servidor de impresión, el cual envía el trabajo de impresión a la primera impresora disponible. La
administración de las impresoras se simplifica también dado que todas las impresoras se consolidan bajo un
controlador. Si se modifican las propiedades de la impresora lógica única, todas las impresoras físicas de la
cola de impresión utilizan la misma configuración.
Las impresoras de una cola de impresión deberían situarse unas cerca de otras para facilitar la
búsqueda de un trabajo de impresión terminado.
Para configurar una cola de impresión o simplemente cambiar la configuración del puerto de una impresora,
hay que seguir los siguientes pasos:
2. Pulsar en la pestaña Puertos.
3. Seleccionar la casilla de verificación Habilitar la cola de la impresora.
4. Para cambiar la configuración de reintento de la transmisión de un puerto, hay que seleccionar el
puerto y pulsar Configurar puerto.
5. Para añadir impresoras adicionales a la cola de impresión, hay que seleccionar los puertos a los que
están conectadas las impresoras.
Todas las impresoras de una cola de impresión han de ser idénticas o al menos han de poder

Capítulo 15
utilizar el mismo controlador de impresora, dado que todas ellas están configuradas con un
único controlador de impresión.
Especificación de un perfil de color
Windows 2000 incluye la API Administración de color de imagen 2 (ICM, Integrated Color Management) que
permite mantener la consistencia de los colores en monitores, impresoras a color y escáneres. Cuando es
necesario conseguir una reproducción del color precisa, es útil configurar la impresora, además de los
monitores y escáneres de los usuarios, con un perfil de color apropiado. Para hacer eso, hay que seguir estos
pasos:

Administración del color.
Seleccionar la opción
Automático para que Windows
2000 escoja el mejor perfil de
color.
3. Para seleccionar manualmente
un perfil de color, hay que
escoger la opción Manual y
seleccionar después un perfil de
la lista o pulsar el botón
Agregar para instalar un perfil
de color adicional
proporcionado por el fabricante
del dispositivo. Pulsar Aceptar.
La administración del color en Windows ha avanzado bastante, pero muchos profesionales de

los gráficos aún utilizan soluciones de concordancia de color de terceros basadas en hardware
cuando la precisión del color es importante. Sin embargo, ICM proporciona una buena forma
de conseguir una medida de precisión razonable para el trabajo no crítico.
Cambio de la disponibilidad de la impresora
Para configurar la impresora de forma que sólo este disponible en determinados momentos -quizás para evitar
las impresiones fuera del horario de trabajo-, hay que realizar los siguientes pasos:
2. Pulsar en la pestaña Avanzadas y después pulsar la opción Disponible desde.

Capítulo 15
3. Seleccionar la hora mas temprana y mas tardía entre las que estará disponible la impresora para los
usuarios y después pulsar Aceptar.
Para dedicar una impresora a grandes trabajos de impresión de alta prioridad después de las
horas habituales de trabajo, hay que instalar una impresora lógica duplicada (controlador de
impresora) para la impresora. Hay que hacer que una de las impresoras lógicas este disponible
para todos los usuarios a las horas de trabajo. La otra ha de estar disponible después del
horario de trabajo solo para unos usuarios o grupos particulares.
Determinación de las prioridades de las impresoras para grupos
Algunas veces es deseable que la impresora este disponible preferentemente para ciertos grupos de usuarios de
forma que puedan saltar directamente a la cabeza de la cola de impresión. Esta característica puede ser
extremadamente útil para los usuarios que se ven presionados por el tiempo y necesitan tener preferencia
sobre otros usuarios a la hora de imprimir.
Para configurar grupos que tengan distintas prioridades sobre una impresora, es necesario configurar dos o
mas impresoras lógicas para la impresora física. De este modo, se tendrían dos o mas controladores de
impresora configurados para una única impresora, poseyendo cada controlador un nivel de prioridad diferente
y un conjunto de usuarios o grupos distinto. Para hacer esto hay que seguir estos pasos:
1. En la carpeta Impresoras hay que pulsar el icono Agregar impresora para añadir una o mas impresoras
lógicas duplicadas para una impresora física que ya esta instalada en el servidor de impresión.
2. Pulsar con el botón derecho en la impresora lógica cuya prioridad se desea cambiar y seleccionar
después Propiedades en el menú contextual. Pulsar en la pestaña Avanzadas.
3. Cambiar la prioridad asignada a la impresora
lógica y a los usuarios y grupos que utilizan
este controlador de impresora introduciendo
un número en el cuadro de texto Prioridad.
El intervalo de prioridades varia desde 1, que
es la prioridad mas baja, hasta 99, que es la prioridad mas alta.
4. Pulsar en la pestaña Seguridad y añadir los usuarios y grupos a los que se va a permitir imprimir con
este nivel de prioridad. Hay que eliminar o denegar los permisos de impresión a los usuarios cuyas
impresiones deberían producirse con un nivel de prioridad diferente. Esos usuarios utilizaran otra
impresora con su propio nivel de prioridad.
5. Pulsar Aceptar y repetir el proceso para el resto de impresoras lógicas creadas para la impresora.
Cambio de la configuración de la cola de impresión
Utilizar una cola de impresión o, lo que es lo mismo, almacenar un trabajo de impresión en disco antes de
imprimirlo, afecta a cómo perciben los clientes el rendimiento de la impresión además de a la velocidad real
de la impresión. Se puede cambiar la forma en que funciona la cola de impresión para corregir problemas de
impresión o para mantener los documentos impresos en la cola de impresión en caso de que un usuario
necesite imprimir el documento de nuevo. Hay que seguir estos pasos para cambiar la configuración de la cola

Capítulo 15
de impresión de un impresora:

botón derecho del ratón en la impresora a
modificar y después escoger Propiedades
en el menú contextual.
2. Pulsar en la pestaña Avanzadas para
mostrar la configuración de la cola de
impresión.
3. Para disminuir el tiempo que tarda en
imprimirse un documento, hay que
seleccionar la opción Imprimir utilizando
la cola y seleccionar la opción Empezar a imprimir de inmediato para comenzar la impresión tan
pronto como haya información suficiente en la cola de impresión.
4. Para asegurarse de que la impresora dispone de todo el documento antes de comenzar la impresión, hay
que seleccionar la opción Iniciar la impresión cuando la ultima pagina haya entrado en la cola. Este
paso podría corregir algunos problemas de impresión.
5. Si sigue habiendo problemas, se puede escoger la opción Imprimir directamente en la impresora para
desactivar la cola de impresión. Activar esta opción causara una alerta de rendimiento en el servidor.
6. Seleccionar la casilla de verificación Dejar pendientes documentos no coincidentes para mantener en la
cola los documentos que no coincidan con la configuración actual de la impresora. El resto de
documentos de la cola de impresión no se ven afectados por los documentos pendientes.
7. Seleccionar la casilla de verificación Imprimir primero los documentos de la cola de impresión para
imprimir primero el documento con mayor prioridad que ya este en la cola de impresión, por delante de
los documentos con prioridad superior que todavía están entrando en la cola de impresión. Este paso
acelera el rendimiento global de la impresora evitando que ésta espere a los documentos.
8. Seleccionar la casilla de verificación Conservar los documentos después de su impresión para mantener
una copia de los trabajos de impresión en la cola de impresión en caso de que los usuarios necesiten
imprimir el documento de nuevo. En esta circunstancia, el usuario puede reenviar el documento
directamente de la cola en lugar de imprimirlo desde su aplicación una segunda vez.
9. Desactivar la casilla de verificación Habilitar características de impresión avanzadas si se
experimentan problemas con la impresora. Al hacer esto se desactiva la introducción en la cola de
impresión de metarchivos, lo que desactiva algunas opciones de la impresora como el orden de
paginas, impresión de folletos y varias paginas por hoja (si están disponibles para la impresora).
Cambio de la configuración del procesador de impresión y especificación de una pagina de separación
El procesador de impresión determina el formato de datos utilizado para los documentos que se envían a la
impresora; generalmente RAW o EMF. Para modificar el tipo de procesador de impresión que utiliza el
servidor de impresión para una impresora o para especificar una pagina de separación que se inserte entre los
trabajos de impresión, hay que seguir estos pasos:

Capítulo 15

2. Pulsar en la pestaña Avanzadas.
Pulsar el botón Procesador de
impresión para cambiar el
procesador de impresión o para
especificar el tipo, de datos a
utilizar. Cuando se hayan
terminado de configurar las
opciones en el cuadro de
dialogo Procesador de
impresión hay que pulsar
Aceptar.
3. Pulsar el botón Página de
separación para seleccionar una
pagina que se inserte entre los
documentos impresos para
facilitar la separación de los
trabajos de impresión. Pulsar Aceptar.
Configuración de una impresora para que utilice tanto PostScript como PCL
Si se dispone de una impresora que soporta la impresión en dos lenguajes de impresión (normalmente
PostScript y PCL), se puede configurar la impresora para que soporte simultáneamente ambos lenguajes. Para
hacer esto, hay que configurar las impresoras lógicas (controladores de impresora) para la impresora: una para
cada tipo de datos. Los clientes con documentos PostScript utilizaran entonces la impresora lógica con
PostScript activado, mientras que los usuarios con documentos PCL utilizaran la impresora lógica PCL.
Hay que abrir la carpeta Impresoras y pulsar Agregar impresora para crear una impresora lógica que soporte el
primer tipo de datos (bien PostScript o bien PCL). después hay que utilizar Agregar impresora una segunda
vez para crear una impresora lógica que soporte el segundo tipo de datos.
Definición de las opciones instalables y configuración del dispositivo de impresión
Cada impresora viene con varias opciones de dispositivo configurables, como desde que bandeja de papel
imprimir, si se ha instalado un duplex y cómo gestionar las fuentes descargables. Aunque las opciones que se
pueden configurar varían según el modelo de la impresora, se puede utilizar el siguiente procedimiento para
cambiar la configuración de dispositivo de cualquier impresora:

Capítulo 15

configuración de dispositivo y
pulsar después las palabras
subrayadas para mostrar una
lista desplegable que se puede
utilizar para configurar cada
opción.
Si la impresora posee múltiples

bandejas con diferentes
formatos, hay que hacer
coincidir el formato con la
bandeja de forma que los
documentos que utilicen ese
formato se impriman siempre
correctamente. Bajo el titulo
Formato a asignación de bandeja hay que seleccionar cada bandeja y escoger el formato que
permite la bandeja. Si la impresora soporta Protección de pagina y dispone de 1 Mb o mas de
memoria opcional, se puede ir a la pestaña configuración de dispositivo y activar esta opción
para asegurarse de que las paginas complejas se impriman adecuadamente. Cuando se activa
esta opción, la impresora crea cada página en memoria antes de empezar a imprimir.
Cambio de los valores de impresión predeterminados
Después de configurar las opciones de la impresora para la impresora instalada, se deberían establecer los
valores de impresión predeterminados que utilizan los clientes. Cuando se configuran los valores de impresión
predeterminados que utiliza la impresora lógica en el servidor de impresión, se establece un conjunto de
valores predeterminados que utilizaran todos los clientes que se conecten a la impresora.
Definición de los valores de presentación predeterminados
La presentación involucra opciones tales como la orientación de los documentos y el papel, el orden en que se
imprimen las paginas y el numero de paginas por hoja de papel que se imprimen. Para cambiar esos
parámetros, hay que seguir los siguientes pasos:

Capítulo 15

contextual.
2. Pulsar en la pestaña General y después
pulsar el botón Preferencias de
impresión.
3. Para cambiar la orientación del papel,
hay que pulsar el botón Vertical, el
botón Horizontal o el botón Girado.
Hay que observar que la vista previa
cambia dependiendo de la selección
escogida.
4. Para especificar si la impresora debería
comenzar por la ultima pagina de un
documento o por la primera, hay que
seleccionar bien la opción Ascendente,
que es buena para una impresión cara
abajo, o bien la opción Descendente,
que es mejor para impresoras con las paginas hacia arriba.
5. Para imprimir múltiples paginas por hoja de papel, hay que seleccionar el numero de paginas a
imprimir en una hoja en la lista desplegable Paginas por hoja.
La orientación Girado, si esta disponible, imprime una pagina en forma horizontal, pero rotada
90 grados en sentido contrario a las agujas del reloj.
Definición del papel y calidad predeterminados
Las opciones de papel y calidad son importantes valores predeterminados porque generalmente muchos
usuarios imprimen en un cierto tamaño de papel de una bandeja de papel particular y con cierta configuración
de calidad. Muchos usuarios cambian las opciones predeterminadas solo si sus documentos no se imprimen
como quieren, causando potencialmente bastantes desechos si los valores predeterminados no son apropiados
y los usuarios no los corrigen hasta que han impreso una copia (o mas). Configurar estos valores
predeterminados con un tamaño de papel estándar (muy probablemente tamaño A4) y con la calidad mas
apropiada para los usuarios ahorrara a la empresa mucho dinero a lo largo del tiempo. Para especificar
configuración de las opciones de papel y calidad, hay que seguir estos pasos:

Capítulo 15

contextual.
2. Pulsar el botón Preferencias de
impresión en la pestaña General. Pulsar
la pestaña Papel/Calidad.
3. Utilizar la lista desplegable Origen del
papel para que bandeja (u otro origen
de papel) han de utilizar los usuarios
para imprimir de forma
predeterminada.
4. Seleccionar el tipo de papel con el que
se suele abastecer a la impresora en la
lista desplegable Medio.
5. Si el controlador de la impresora tiene
una sección configuración de calidad,
se puede utilizar esta parte del cuadro
de dialogo para escoger la resolución o
tipo de calidad a utilizar con los documentos de forma predeterminada. En general, conviene utilizar la
configuración de calidad mas baja que sea aceptable para los usuarios para incrementar la velocidad de
impresión, reducir desechos y disminuir costes.
6. Si se dispone de una impresora de color, se puede escoger si los usuarios deberían imprimir en blanco y
negro de forma predeterminada.
7. Si el controlador de impresora no dispone de opciones de Calidad en la pestaña Papel/Calidad, se
puede pulsar el botón Avanzadas y utilizar el cuadro de dialogo Opciones avanzadas para configurar
las opciones de presentación, calidad o papel que estén disponibles para la impresora.
Para configurar la impresión a doble cara, el uso de grapas y otras opciones avanzadas de la
impresora, hay que utilizar el botón Avanzadas -esos parámetros no estarán disponibles en
ninguna otra parte- dependiendo del controlador de la impresora y de si se han activado esas
opciones instalables.
Definición de las opciones de los servidores de impresión
Aunque la mayor parte de la configuración de la impresora se realiza en el controlador de impresora de una

impresora particular, se pueden configurar algunas de las opciones propias del servidor de impresión. Esta
configuración afecta a todas las impresoras alojadas en el servidor de impresión; incluye determinar que
formatos se encuentran disponibles para imprimir y que puertos y controladores de impresora están
disponibles para su uso, además de algunos parámetros de la cola de impresión.
Modificación de los formularios disponibles en el servidor de impresión
Los formularios son el material al que una impresora puede transferir tinta o tóner láser en la forma de letras,

Capítulo 15
caracteres o gráficos. Los formularios pueden ser papel de varios tamaños, cualquier clase de sobre a otros
tipos de medios como película. Los servidores de impresión están configurados de forma predeterminada para
gestionar una gran variedad de formularios estándar, pero ocasionalmente puede ser útil configurar
formularios adicionales que puedan utilizar las impresoras, quizás porque se utilicen formularios
empresariales especiales. O quizás se desee modificar o eliminar un formulario existente. Para hacer eso hay
que seguir estos pasos:
1. En la carpeta Impresoras hay que escoger el comando Propiedades del servidor en el menú Archivo
para abrir la ventana Propiedades de Servidor de impresión.
2. Para modificar un formulario hay que seleccionarlo y utilizar después los cuadros Medidas para
alterarlo.
3. Para crear un nuevo formulario hay que seleccionar la casilla de verificación Crear un nuevo
formulario, introducir un nombre para el formulario en el cuadro Descripción de formulario, utilizar los
cuadros Medidas para definir el formulario y pulsar después Guardar formulario.
Configuración de puertos y controladores
Se pueden utilizar las pestañas Puertos y Controladores de la

ventana Propiedades de Servidor de impresión para configurar
el puerto y los controladores de impresora que estén disponibles
en el servidor de impresión. Se pueden añadir nuevos puertos
para las impresoras o configurar los controladores de impresora
que se deseen que estén disponibles para que los descarguen los
clientes cuando se conecten al servidor de impresión. Para
hacerlo hay que seguir estos pasos:
1. En la carpeta Impresoras, hay que escoger Propiedades

del servidor en el menú Archivo.
2. Para ver los puertos disponibles en el servidor de
impresión, hay que pulsar la pestaña Puertos.
3. Seleccionar un puerto y pulsar Configurar puerto para
modificar la configuración del puerto, o pulsar Agregar
puerto o Eliminar puerto para añadir o eliminar un puerto
del sistema.
4. Pulsar la pestaña Controladores para ver una lista de los
controladores instalados actualmente en el servidor de
impresión.
5. Para ver los detalles del controlador de un controlador de impresora hay que seleccionarlo y pulsar
después el botón Propiedades para mostrar la ventana Propiedades del controlador. Se puede utilizar
este cuadro de dialogo para ver las propiedades de cada archivo que compone el controlador de
impresión.

Capítulo 15
6. Para actualizar un controlador de

impresora, hay que seleccionarlo y pulsar
Actualizar.
7. Para añadir un controlador de impresora
que se quiera dejar disponible para que lo
descarguen los clientes, hay que pulsar el
botón Agregar para ejecutar el Asistente
para agregar controladores de impresora,
que hará de guía durante el proceso de
instalación del controlador.
8. Para eliminar un controlador de
impresora, hay que seleccionarlo y pulsar
el botón Quitar.
Configuración de las opciones avanzadas del

servidor de impresión
La pestaña Avanzado del cuadro de dialogo

Propiedades de Servidor de impresión es
extremadamente útil para configurar el servidor
de impresión para un óptimo rendimiento y
facilidad de uso. Se puede y se debería
especificar dónde se almacena la cola de impresión, y también se puede controlar como gestiona el servidor de
impresión los eventos de impresión. Para configurar estas opciones, hay que seguir estos pasos:
1. En la carpeta Impresoras hay que escoger

Propiedades del servidor en el menú
Archivo.
2. Pulsar en la pestaña Avanzado. En el
cuadro de texto Carpeta de la cola de
impresión hay que introducir la
ubicación donde se desea almacenar la
carpeta de la cola de impresión.
Para un optimo rendimiento, conviene
situar la carpeta de la cola de impresión
en una unidad de disco independiente de
Windows 2000, sus aplicaciones y
especialmente su archivo de intercambio.
También conviene asegurarse de que la
unidad es lo suficientemente grande para
contener todos los documentos de la cola
de impresión. Si se escoge la opción de
conservar los documentos impresos, la
unidad necesitara ser incluso mas
grande.

Capítulo 15
3. Seleccionar las casillas de verificación situadas junto a los elementos que han de ser registrados.
Para que se notifiquen los errores producidos mientras se imprimen documentos remotos, hay que seleccionar
Emitir sonido al ocurrir errores en documentos remotos. Para enviar un mensaje al usuario cuando el
documento termine de imprimirse, hay que seleccionar Enviar notificación al terminar de imprimirse los
documentos remotos. Para mostrar un mensaje informativo en la computadora desde donde se imprimid el
documento (incluso si el usuario que lo imprimió esta conectado actualmente en otra parte), hay que
seleccionar Notificar al equipo, no al usuario, cuando se impriman documentos remotos.
La característica Enviar notificación al terminar de imprimirse los documentos remotos puede

ser útil con servidores de impresión ocupados cuando podría producirse un retraso
significativo desde el momento en que un cliente envía un documento a el momento en que el
documento alcanza la cabeza de la cola y se imprime realmente. Sin embargo, en servidores de
impresión poco ocupados o para usuarios que necesiten imprimir con frecuencia, esta
característica puede resultar molesta. Si se produce esta situación con los usuarios, se puede
desactivar la opción para eliminar el problema.
Búsqueda de Impresoras
Encontrar una impresora en una empresa grande puede ser peliagudo. Windows 2000 y Active Directory
proporcionan una útil alternativa a dar vueltas por los pasillos: el seguimiento de la ubicación de impresoras.
El seguimiento de la ubicación de impresoras utiliza Active Directory para almacenar la ubicación de la
impresora, permitiendo a los usuarios buscar impresoras basándose en sus nombres, ubicaciones y una larga
lista de características. Sin embargo, incluso sin el seguimiento de la ubicación de impresoras, con Windows
2000 se puede buscar y localizar una impresora fácilmente.
Active Directory
Para encontrar una impresora por

medio de Active Directory, hay que
dirigirse a Buscar en el menú Inicio y
escoger Impresoras. Con el
seguimiento de la ubicación de
impresoras activo, cuando se abre el
formulario de consulta, el sistema
determina la ubicación del equipo
desde el que se esta ejecutando la
consulta y rellena el cuadro ubicación.
Se puede pulsar el botón Examinar
para cambiar la ubicación. después, se
puede utilizar la pestaña características
para especificar las características
particulares que se necesitan, o pulsar la pestaña Opciones avanzadas para afinar la búsqueda con variedad de
valores.

Capítulo 15
Cuando el seguimiento de la ubicación de impresoras esta activo, se puede utilizar el

complemento Directiva de grupo para definir ubicaciones que no dependan de las ubicaciones
geográficas reales.
Seguimiento de la ubicación de impresoras
Para utilizar el seguimiento de la ubicación de impresoras, es necesario publicar las impresoras en Active
Directory con el campo ubicación y otros campos relevantes rellenos. Entonces los usuarios pueden buscar
impresoras en Active Directory basándose en la ubicación, las características de color y la impresión a doble
cara.
Reunión de los requisitos para el seguimiento de la ubicación de impresoras
El seguimiento de la ubicación de impresoras requiere unas pocas condiciones para funcionar correctamente.
Para utilizar el seguimiento de la ubicación de impresoras, se deben dar las siguientes condiciones:
● Se debe instalar Active Directory en la red y debe contener mas de un sitio con mas de una subred IP
● La red debe tener un esquema de direcciones IP que se corresponda con el diseño físico de la red
razonablemente bien.
● Los equipos cliente deben ser capaces de consultar Active Directory. (Deben soportar LDAP 2 o
superior.)
● Cada sitio debería estar en una subred separada.
● Cada subred a la que necesiten acceder los clientes debería tener su propio objeto subred en Active
Directory.
El seguimiento de la ubicación de impresoras no resulta particularmente útil a menos que una

empresa sea bastante grande. Sin embargo, se debería utilizar un convenio de denominación
compatible para que se pueda activar el seguimiento de la ubicación de impresoras en el
futuro.
Activación del seguimiento de la ubicación de impresoras
Una vez que se haya preparado la red, hay que seguir estos pasos para configurar el seguimiento de la
ubicación de impresoras:

Capítulo 15
1. Abrir Sitios y servicios de Active

Directory desde el menú Herramientas
administrativas.
2. En la carpeta Sitios, pulsar con el botón
derecho del ratón en el primer sitio y
contextual.
3. Pulsar en la pestaña Ubicación a
introducir el nombre de ubicación del
sitio, o pulsar el botón Examinar para
seleccionar la ubicación en el árbol de
ubicaciones de la empresa.
4. Pulsar Aceptar y repetir los pasos 2 y 3
para cada sitio de la subred de la empresa.
5. Abrir el complemento Usuarios y equipos
de Active Directory, pulsar con el botón
derecho del ratón en el dominio para el
que se desea activar el seguimiento de la
ubicación de impresoras, escoger
Propiedades en el menú contextual y
pulsar en la pestaña Directiva de grupo.
6. Seleccionar la directiva a modificar y
después pulsar el botón Modificar para
abrir el complemento Directiva de grupo.
7. Abrir la carpeta configuración del equipo, abrir la carpeta Plantillas administrativas y, finalmente, abrir
la carpeta Impresoras.
8. Pulsar dos veces en la directiva Preparar el texto de ubicación de búsqueda de la impresora, seleccionar
Habilitada y pulsar Aceptar. Cerrar la ventana Directiva de grupo y cerrar después la ventana
Propiedades del dominio.
9. Pulsar con el botón derecho del ratón en la primera impresora de la carpeta del impresoras del servidor
de impresión y escoger Propiedades en el menú contextual.
10. Rellenar el cuadro de texto para la ubicación o pulsar Examinar para seleccionar la ubicación en el
árbol de ubicaciones de la empresa.
11. Repetir los pasos 9 y 10 para todas las impresoras del servidor de impresión.
12. Probar el seguimiento de la ubicación de impresoras buscando maquinas clientes para asegurarse de
que todo está configurado adecuadamente.
Muchas empresas no tienen todas sus impresoras alojadas en servidores de impresión Windows
2000, pero, de forma ideal, todas las impresoras que estén disponibles para los clientes
deberían mostrarse en Active Directory. Para que esto ocurra, será necesario publicar
específicamente las impresoras que no hayan sido alojadas en Active Directory por medio de
un servidor de impresión Windows 2000. Hay que abrir Usuarios y equipos de Active Directory
(desde el menú Herramientas administrativas), pulsar con el botón derecho del ratón en el
dominio, la subred o la unidad organizativa donde se quiera publicar la impresora y escoger
Nuevo-Impresora en el menú contextual. Hay que introducir la ruta de la impresora que ha de

Capítulo 15
ser publicada en el cuadro Ruta de acceso de red del recurso compartido de impresión anterior
a Windows 2000 y después pulsar Aceptar.
Gestión de impresoras y de servidores de impresión
Una vez que están configuradas las impresoras y el servidor de impresión, resulta tentador considerar que el
trabajo esta acabado, pero, en realidad, la gestión de impresoras y de servidores de impresión es un proceso
continuo. Afortunadamente, Windows 2000 hace que el trabajo de gestionar impresoras y servidores de
impresión sea bastante fácil y flexible. Un servidor de impresión de Windows 2000 o una impresora alojada
puede ser gestionado por cualquier maquina Windows 2000 0, incluso, por cualquier sistema que utilice un
navegador Web siempre que estén instalados los Servicios de Internet Information Server (IIS) o los Servicios
Web Personales y la impresión basada en el Web no haya sido deshabilitada por medio del complemento
Directiva de grupo.
Esta sección se centra en algunas tareas de administración comunes, como conectarse a una impresora y ver
los trabajos de impresión, gestionar los trabajos de impresión en la cola y transferir trabajos de impresión de
una impresora a otra, todo tanto desde una maquina Windows 2000 como desde un navegador Web.
Gestión de impresoras desde Windows 2000
Se puede utilizar cualquier maquina que ejecute Windows 2000 para gestionar impresoras compartidas por un
servidor de impresión Windows 2000 o Windows NT. De hecho, probablemente se administraran las
impresoras desde una maquina remota en lugar de desde el servidor de impresión. La gestión de impresoras en
Windows 2000 es similar al proceso en Windows NT 4, por lo que, si se esta familiarizado con la
administración de impresoras en NT, se podrá saltar esta información básica.
Comprobación del estado de una impresora
Para comprobar el estado de una impresora y los trabajos en la cola de la impresora, hay que seguir estos
pasos:
1. Abrir la carpeta Impresoras en el servidor de impresión o realizar una búsqueda para localizar la
impresora a administrar.
2. Pulsar dos veces en la impresora para abrir una ventana de seguimiento que se puede utilizar para ver y
gestionar la cola de la impresora.
Se podría desear crear una carpeta con accesos directos a todos los servidores de impresión
que se administran. Para hacer esto, hay que crear una carpeta donde sea conveniente y
arrastrar después las carpetas Impresoras de cada servidor de impresión a la recién creada
carpeta.
Pausa, cancelación y reinicio de trabajos de impresión
Se puede utilizar la ventana Monitor de impresión para detener, cancelar o reiniciar cualquier documento que

Capítulo 15
espera a imprimirse, si se tienen los permisos Administrar impresoras.
Para hacer esto, hay que seguir estos pasos:
1. Seleccionar el documento o
documentos con los que se
desea trabajar en la cola de
impresión.
2. Pulsar con el botón derecho
del ratón en el documento y
seleccionar Pausa en el menú
contextual para detener
temporalmente la impresión
del documento. Pulsar con el botón derecho del ratón en el documento y seleccionar Reanudar para
continuar imprimiendo.
3. Para cancelar un trabajo de impresión, hay que pulsar con el botón derecho del ratón en el documento y
escoger Cancelar en el menú contextual. También se pueden cancelar trabajos de impresión
seleccionándolos y presionando la tecla SUPR.
4. Para reiniciar un trabajo de impresión (forzar a que se imprima el documento desde el principio de
nuevo), hay que pulsar con el botón derecho del ratón en el documento y escoger Reiniciar en el menú
contextual.
5. Para detener la impresora, provocando que todos los documentos se conserven, hay que escoger Pausar
la impresión en el menú Impresora. Hay que seleccionar de nuevo el comando para reanudar la
impresión.
6. Para cancelar todos los trabajos de impresión de la cola de impresión, hay que ir al menú Impresora y
escoger Cancelar todos los documentos.
Algunas veces un trabajo de impresión aparecerá estancado en la cola y rechazara el ser borrado. En este caso,
se puede intentar apagar la impresora y encenderla de nuevo. O se puede detener y reiniciar el servicio Cola de
impresión en el servidor de impresión.
Modificación de las propiedades de un trabajo de impresión
Además de iniciar o detener trabajos de impresión en la cola de la impresora, también se puede cambiar la
prioridad y programación de trabajos de impresión individuales, además de la persona a la que hay que
notificar cuando el documento termina de imprimirse.
Para cambiar la prioridad y la programación de los trabajos de impresión, hay que seguir estos pasos:

Capítulo 15
1. Pulsar con el botón derecho del ratón

en el trabajo de impresión que se va a
modificar y escoger Propiedades en el
menú contextual.
2. Para cambiar la persona que es
notificada cuando el documento
termina de imprimirse, hay que
introducir el nombre del usuario en el
cuadro Notificar.
3. Se puede utilizar el control deslizante
Prioridad para ajustar la prioridad del
documento, siendo 1 la menor
prioridad y 99 la mayor.
4. Para especificar que el documento
debería imprimirse sólo durante un
cierto período, hay que seleccionar la
opción Sólo de y escoger el intervalo
de tiempo durante el que se permite
imprimir el documento. Pulsar
Aceptar.
Se puede utilizar la característica Programación para establecer que un documento grande se

imprima solo en momentos en los que se espera que este libre la impresora.
Traslado de documentos de una impresora a otra
Cuando un impresora emite crujidos y se queja a cualquiera que la toca, es el momento de llamar al técnico y
de trasladar todos los trabajos de impresión a otra impresora que pueda utilizar el mismo controlador. Para
trasladar todos los documentos de una impresora (normalmente porque esta presenta problemas) a otra
impresora, hay que seguir estos pasos:
1. Pulsar dos veces en la impresora desde la que se desea trasladar documentos en la carpeta Impresoras
del servidor de impresión.
2. Escoger Propiedades en el menú Impresora y pulsar después la pestaña Puertos.
3. Si la impresora a la que se desean trasladar documentos se encuentra en el mismo servidor de
impresión, hay que seleccionar el puerto al que esta conectada la segunda impresora y pulsar Aceptar.
4. Si la impresora esta en cualquier otra parte de la red, hay que pulsar el botón Agregar Puerto y añadir
después el Puerto apropiado para la segunda impresora.
Gestión de impresoras desde navegadores Web
Windows 2000 permite gestionar las impresoras desde cualquier navegador, siempre y cuando se tenga
instalado IIS en el servidor de impresión y se posean privilegios suficientes, o funcionen los Servicios Web
personales si se utiliza Windows 2000 Profesional como servidor de impresión. (En cualquier caso, se
solicitara el nombre de usuario y la contraseña.) Esta característica puede ser extremadamente útil,

Capítulo 15
proporcionando la posibilidad de administrar impresoras desde ubicaciones remotas.
También se puede imprimir a través de la red o Internet desde un navegador Web, pero para
utilizar esta característica es necesario utilizar Microsoft Internet Explorer 4 o superior. Se
puede imprimir en una impresora con la "Impresión desde Internet" activada abriendo la
impresora en el navegador Web y pulsando el hipervínculo Conectar para descargar a instalar
los controladores apropiados para la impresora en el equipo. Entonces se pueden utilizar los
controladores de impresora recién descargados para imprimir documentos.
Comprobación del estado de una impresora
Para comprobar el estado de una impresora y los trabajos en la cola de la impresora, hay que seguir estos
pasos:
1. Introducir el
URL del
servidor de
impresión
seguido de
/printers en la
ventana
Dirección del
navegador.
2. Para mostrar la
cola de la
impresora hay
que pulsar en el
hipervínculo de
la impresora que
se desea
gestionar.
Se pueden añadir servidores de impresión o impresoras a la carpeta Favoritos o añadir un

marcador tal y como se puede hacer con una pagina Web.
Pausa, cancelación y reinicio de trabajos de impresión
Se puede utilizar la pagina Lista de documentos para detener, cancelar o reiniciar alguno o todos los
documentos que esperan a imprimirse. Para hacerlo hay que seguir estos pasos:
1. Pulsar un hipervínculo bajo el titulo Acciones de la impresora para pausar, reanudar o cancelar la
impresión de todos los documentos de la cola de impresión.
2. Para detener o cancelar un trabajo de impresión especifico, hay que seleccionar el botón de opción
situado a la izquierda del documento y después pulsar el hipervínculo Pausar o el hipervínculo

Capítulo 15
Cancelar bajo el titulo Acciones de documento.

3. Para ver las propiedades de la impresora, hay que pulsar el hipervínculo Propiedades bajo el titulo Ver.
Se observara que sólo se pueden ver las propiedades en el navegador; para cambiarlas, hay que utilizar
una maquina Windows 2000.
Resolución de problemas de impresión
El objetivo a la hora de resolver problemas de impresión, como en la resolución de cualquier tipo de problema
es, primero, aislar a identificar el problema y después determinar el curso de acción para arreglarlo. Esta
sección ayudara a diagnosticar los problemas de la impresora, localizar el subsistema de impresión donde se
encuentra el error y proporcionar algunas sugerencias especificas para resolver los problemas. El problema
mas probable que se encontrara es que un usuario no pueda imprimir, por lo que se presentan los
procedimientos para solucionar problemas centrados en esa tarea.
En realidad, a menudo se realizara la resolución de problemas básica en el cliente antes de pasar a comprobar
si el servidor de impresión esta funcionando, y sólo se utilizaran las tareas de solución de problemas mas
avanzadas después de establecer con seguridad donde se encuentra el problema.
Como no existe una técnica establecida para identificar donde se encuentra un problema, la dificultad real a la
hora de resolver problemas es determinar la causa del problema. Para ser capaz de hacer esto, se deben
comprender los distintos componentes involucrados en la impresión. Una pequeña intuición tampoco hace
daño.
Los problemas de impresión se suelen englobar en las siguientes categorías:
● Problemas físicos: Que incluyen problemas con la impresora y los medios de transmisión.
● Problemas del servidor de impresión: Que incluyen problemas con los controladores de impresora,
los niveles de permiso y el estado del software.
● Problemas de conectividad de la red: Que incluyen la ausencia de comunicación entre el servidor y
los clientes a causa de protocolos incorrectos, la configuración de la red o fallo del hardware. (Estos
problemas se pueden gestionar tanto en el cliente como en el servidor, dependiendo de que
experimenta el problema de conectividad.)
● Problemas del cliente: Que incluyen problemas con los controladores de impresión, los permisos y las
aplicaciones.
Hay que tratar de determinar en que categoría se encuentra el problema antes de obtener los detalles. Un
proceso de eliminación funciona normalmente. Se puede intentar imprimir desde un par de maquinas cliente.
Si sólo una no funciona, se habrá reducido el problema a esa maquina cliente. Si todos los clientes fallan, se
puede intentar imprimir desde el servidor de impresión. Si esto funciona, se sabrá que el problema se
encuentra en la configuración del servidor de impresión o en la conectividad de la red. Hay que seguir
probando alternativas hasta que se haya aislado el problema de forma tan precisa como se pueda, y empezar
después a aplicar las reparaciones mas comunes hasta que se resuelva el problema.
Si ya se ha aislado parcialmente el problema, se puede saltar hasta el título de esta sección que se aplique y

Capítulo 15
continuar. Si no se puede solucionar el problema siguiendo las directrices proporcionadas aquí, se debería al
menos ser capaz de aislar el problema en mayor grado.
Impresión desde la maquina cliente que sufre el problema
Tratar de imprimir desde la maquina cliente permitirá ver cualquier mensaje de error generado durante la
impresión. Estos mensajes dicen a menudo la causa del problema o indican al menos algunas posibilidades.
Si el documento se imprime correctamente probablemente será un error de usuario, en cuyo caso podría ser
necesario enseñar a los usuarios el procedimiento de impresión apropiado. En otro caso, se podría tratar de un
problema con un programa en particular o el controlador de impresora podría no estar configurado de forma
apropiada para los usuarios.
Muchos administradores realizan este paso mas adelante en el proceso de solución de

problemas para minimizar el numero de veces que necesitan visitar los sistemas del cliente.
Para comprender si el problema afecta solo al cliente o clientes que comunican el problema o
si es mas generalizado, comienzan por verificar el servidor de impresión o la impresión desde
otro equipo cliente como el que están utilizando ellos actualmente.
Documentos que se imprimen incorrectamente
Cuando un documento se imprime pero resulta incomprensible o tiene algún otro defecto, existe un problema
de compatibilidad entre el cliente, el controlador de impresora y la impresora. Hay que asegurarse de que el
cliente esta utilizando el controlador de impresora cliente apropiado y de que el servidor también utiliza el
controlador de impresora apropiado.
Se podría tratar de instalar una impresora lógica duplicada para comprobar si el controlador de impresora se
ha corrompido. Si este no es el problema, se puede intentar cambiar la configuración de la cola de impresión
del controlador del cliente (o, si múltiples clientes experimentan el mismo problema, el controlador de
impresora del servidor). Se puede probar a modificar específicamente las siguientes opciones de la pestaña
Avanzadas de la ventana Propiedades de la impresora.
● Para asegurarse de que todo el documento esta disponible para la impresora cuando comienza la
impresión, hay que seleccionar la opción Iniciar la impresión cuando la última pagina haya entrado en
la cola.
● Si se siguen teniendo problemas de impresión, hay que escoger la opción Imprimir directamente en la
impresora para desactivar la cola de impresión. Esta acción causara una alerta de rendimiento en el
servidor.
● Desactivar la casilla de verificación Habilitar características de impresión avanzadas en el servidor de
impresión para desactivar la cola de impresión de metarchivos, lo que desactiva algunas opciones como
el orden de paginas, la impresión de folletos y la impresión de varias paginas por hoja (si están
disponibles en la impresora).
Documentos que no se imprimen

Capítulo 15
Si el documento no se imprime adecuadamente, aparecerán con frecuencia mensajes de error que podrían
ayudar a identificar el problema. A continuación hay algunas soluciones que se pueden probar:
● Si se recibe un error afirmando que no esta disponible el controlador de impresora apropiado para su
descarga, es necesario instalar los controladores cliente apropiados en el servidor de impresión.
● Si se recibe un error afirmando que no esta disponible el dispositivo de impresión, podría haber un
problema de conectividad de la red o el cliente podría carecer de permisos suficientes. Si se escucha
mucho acceso a disco y el documento no se imprime, hay que comprobar que la unidad que almacena
la carpeta de la cola de impresión del cliente contiene suficiente espacio libre de disco para contener el
documento.
● Determinar si se puede ver y es posible conectarse al servidor de impresión a través de la red. Se puede
intentar copiar un archivo al servidor de impresión para ver si se puede acceder a e1. (Normalmente, si
no se puede acceder al servidor de impresión, no se puede acceder a ninguna de las impresoras que
tiene conectadas.)
● Intentar la creación de una nueva impresora local con el hombre compartido
\\nombreservidor\nombreimpresora de la impresora como nombre de puerto. Esto permitirá comprobar
si se pueden copiar archivos al servidor de impresión.
● Imprimir un documento de prueba desde el Bloc de notas. Si se puede imprimir con el Bloc de notas
pero no con la aplicación del usuario, los controladores de impresora están perfectamente y la
aplicación es probablemente el problema.
● Si no se puede imprimir con el Bloc de notas, se puede intentar imprimir desde la línea de comandos
escribiendo el siguiente comando: dir: [el hombre del puerto de la impresora], sustituyendo el hombre
del puerto de la impresora con el hombre compartido de la impresora de red.
La impresión no funciona desde algunas aplicaciones
Algunas aplicaciones experimentan problemas cuando imprimen en Windows 2000. Algunos de los aspectos
que se pueden encontrar se muestran a continuación:
● La impresión desde Microsoft Outlook en un sistema con múltiples idiomas es lenta: Se produce si
hay instalados idiomas en el cliente que no están disponibles en el servidor. Para remediar esto, hay
que copiar las fuentes a la carpeta %SystemRoot%\Fonts del servidor de impresión y abrir la carpeta
Fuentes (o reiniciar el servidor).
● Se produce un mensaje de error Acceso denegado cuando se configura una impresora dentro de
una aplicación: Se produce cuando no se poseen los suficientes privilegios para cambiar la
configuración de la impresora. Para configurar una impresora es necesario tener los permisos
Administrar impresoras.
● Se produce un mensaje de error Sin memoria en una aplicación cargada en un cliente Windows
3.x: Se puede producir si no se ha seleccionado una impresora predeterminada. Hay que instalar una
impresora y configurarla como la impresora predeterminada.
● Un programa MS-DOS no imprime en Windows 2000 o Windows NT: Se puede producir si se esta
utilizando un programa basado en MS-DOS que no imprime hasta que no finaliza. Se puede intentar
salir del programa. además, cuando se configura un controlador de impresora por medio del Asistente
para agregar impresoras, hay que escoger Si cuando se pregunte si se desea imprimir desde programas

Capítulo 15
MS-DOS.
Comprobación de la situación del servidor de impresión
Los administradores comprueban a menudo la situación del servidor de impresión antes de ir realmente a la
maquina cliente porque pueden hacerlo de forma remota. Aquí hay algunas cuestiones a comprobar:
● El monitor de impresión podría mostrar los documentos bloqueados o mensajes de error. Si la

impresora no tiene papel o toner o si hay un atasco de papel, con frecuencia aparecerá un mensaje de
error aquí.
● Comprobar que hay suficiente espacio de disco libre en la unidad que almacena la cola de impresión.
● Si los documentos se imprimen de forma ilegible, la impresora podría estar utilizando el tipo de datos
equivocado (EMF o RAW). Se puede intentar utilizar el tipo de datos RAW para ver si esto corrige el
problema. También se podría desactivar la casilla de verificación Habilitar características de impresión
avanzada en la pestaña Avanzadas de la ventana Propiedades de la impresora.
● Comprobar si los documentos se están imprimiendo. Si no hay documentos que observar en la cola de
impresión, se puede imprimir una pagina de prueba o un documento desde el servidor de impresión
para verificar que el servidor de impresión imprime correctamente.
● Si algunos documentos de la cola de impresión no se imprimen y no se pueden borrar, la cola de
impresión podría estar bloqueada. Hay que reiniciar el servicio Cola de impresión para ver si esto
corrige el problema. También se podría añadir otra impresora lógica (controlador de impresión) para la
impresora para tratar de descartar la posibilidad de un controlador de impresora corrompido.
● Comprobar que están instalados a iniciados los servicios apropiados para cualquier cliente no
Microsoft de la red. Por ejemplo, si un cliente Macintosh esta teniendo problemas de impresión, hay
que asegurarse de que los servicios de impresión para Macintosh están instalados y en ejecución.
Para impedir que documentos con determinados idiomas se impriman lentamente, hay que
instalar en los servidores de impresión las fuentes de todos los idiomas que utilizaran los
clientes para imprimir. Para hacer esto, hay que copiar las fuentes a la carpeta %SystemRoot%
(Fonts del servidor de impresión y abrir la carpeta Fuentes (o reiniciar el servidor).
Impresión desde otra máquina cliente
Tratar de imprimir desde otra maquina cliente ayuda a determinar si el problema se encuentra en el servidor o
en la maquina cliente original. Se puede imprimir un documento de prueba desde el sistema cliente y utilizar
después estas directrices para tratar los resultados del intento de impresión.
● El segundo cliente imprime: Si el segundo cliente desde el que se intenta imprimir imprime
correctamente, es necesario volver al cliente original y realizar una resolución de problemas con mas
profundidad como reinstalar los controladores de impresora y comprobar el subsistema de impresión.
● El segundo cliente no imprime: Si el segundo cliente no puede imprimir en la impresora especificada,
probablemente se tendrá un problema en el servidor de impresión o en la impresora. Si el servidor de
impresión no muestra problemas, hay que comprobar la impresora.

Capítulo 15
Comprobación de la impresora
Si se han descartado los clientes y el servidor como fuente del problema, pero todavía no se puede imprimir
ningún documento en la impresora, es necesario echar un vistazo mas de cerca a la impresora. Hay que
detener la cola de impresión y comprobar la impresora real. ¿La impresora informa de algún error? Si hay
algún atasco de papel o si la impresora esta baja de toner o necesita una revisión, la impresora mostrara
normalmente un mensaje de error. Hay que asegurarse de que la luz preparada (ready) o en línea (online) este
iluminada y de que el cable de la impresora este firmemente conectado o de que el cable de red este enchufado
adecuadamente y la luz cercana al puerto de red este iluminada (si hay una).
Si todavía no se puede imprimir en la impresora, hay que tratar de imprimir una pagina de prueba
directamente desde la impresora. La mayoría de las impresoras soportan esta característica. Si esto funciona,
hay que tratar de configurar un servidor de impresión diferente con la impresora. Si se puede imprimir desde
un servidor de impresión diferente, se tendrá un problema con el servidor de impresión original. Si esto no
funciona, hay que tratar de contactar con la impresora para ver si es posible comunicarse con ella.
El servicio Cola de impresión esta bloqueado
Si no se pueden borrar los documentos de la cola de impresión o si un documento no se imprime, la cola de

impresión podría estar bloqueada. Esto afectara también a cualquier servicio de fax que se este ejecutando en
el servidor. Para reiniciar el servicio Cola de impresión hay que seguir estos pasos:
1. Abrir el complemento Administración de equipos desde la carpeta Herramientas administrativas,

expandir Servicios y aplicaciones y después seleccionar Servicios.
2. Pulsar dos veces en el servicio Cola de impresión en el panel de la derecha para abrir la ventana Cola
de impresión Propiedades.
3. Pulsar el botón Detener para detener el servicio y después pulsar el botón Iniciar para reiniciar el
servicio.
4. Para ver los servicios (como Llamada a procedimiento remoto) de los que depende la cola de
impresión, hay que pulsar la pestaña Dependencias. También se puede utilizar esta pestaña para ver los
servicios que dependen de la cola de impresión para funcionar correctamente.
5. Para configurar un proceso de recuperación que debería tener lugar si el servicio Cola de impresión
falla, hay que pulsar la pestaña Recuperación y especificar después si se desea reiniciar el servicio,
reiniciar la computadora o ejecutar un programa después de cada fallo de la cola de impresión.
Reiniciar el servicio es normalmente una buena opción: ahorrara tiempo. Reiniciar el equipo automáticamente
es la ultima opción porque el resto de procesos podrían ser interrumpidos o detenidos si se reinicia.
Resolución de problemas del seguimiento de la ubicación de impresoras
El seguimiento de la ubicación de impresoras puede tener su propio conjunto de problemas, aunque suelen
estar relacionados normalmente con la forma en que estén configuradas las impresoras y la red. El resto de
esta sección trata algunos problemas que se podrían encontrar cuando se utilice el seguimiento de la ubicación
de impresoras y se sugieren algunos cursos de acción.

Capítulo 15
Los clientes no pueden localizar algunas impresoras en el Active Directory
Este problema se produce normalmente cuando el nombre de una impresora no se corresponde con el
convenio de denominación de la ubicación de las impresoras que decidió implementar la empresa. Cuando
esta activo el seguimiento de la ubicación de impresoras, los clientes solo pueden localizar impresoras con
atributos ubicación que se correspondan con el convenio de denominación de forma predeterminada. Para
corregir el problema, hay que introducir el nombre de ubicación correcto en el campo Ubicación que falta en
la impresora.
Es necesario modificar el esquema de denominación
Si a empresa cambia su estructura organizativa o si se descubre que hay que cambiar el esquema de
denominación de ubicaciones actual, hay que utilizar el siguiente procedimiento. (Windows 2000 no incluye
ninguna herramienta para editar objetos de Active Directory en grandes cantidades.)
Hay que utilizar Sitios y servicios de Active Directory para actualizar los nombres de los sitios y las subredes.
Hay que introducir los nuevos nombres de ubicación en el campo ubicación de cada impresora que se vea
afectada por la reestructuración del nombre de ubicación. También se puede hacer esto con el guión Interfaces
del servicio Active Directory (ADSI, Active Directory Services Interface).

Capítulo 16
Capítulo 16
Con Microsoft Windows 2000 el tema del almacenamiento local y de red se ha simplificado para el
usuario. Windows 2000 Server proporciona soporte tanto para almacenamiento remoto como para
almacenamiento local y en medios extraíbles -todo de forma completamente transparente al usuario-. A
la larga, el usuario no tiene que preocuparse de si un programa o archivo se almacena en disco, en cinta o
en cualquier parte de Internet, sólo de que esté disponible cuando sea necesario.
Terminología
Antes de adentrarnos en los detalles de la administración de discos y el almacenamiento, revisemos

algunas definiciones.
● Unidad física: El propio disco duro, incluyendo carcasa, electrónica, fuente y todos los
accesorios.
● Partición: Parte del disco duro. En muchos casos puede ser el espacio completo del disco duro.
● Unidad de asignación: La parte más pequeña de espacio de disco administrado en un disco duro
o unidad lógica. También llamada agrupación.
● Partición primaria: Parte del disco duro que está marcada como unidad lógica potencialmente de
inicio para un sistema operativo. MS-DOS puede admitir sólo una única partición primaria, pero
Microsoft Windows NT y Windows 2000 pueden admitir cuatro particiones primarias por disco
duro.
● Partición extendida: Partición no de inicio del disco duro que se puede dividir en unidades
lógicas. Sólo puede haber una única partición extendida por disco duro, pero se puede dividir en
múltiples unidades lógicas.
● Volumen extendido: Parecido a, y algunas veces sinónimo de, un volumen distribuido, que es
cualquier volumen dinámico que se puede ampliar para que ocupe todo su tamaño inicial. Cuando
usa partes de más de un disco físico, es más correcto denominarlo volumen distribuido.
● Unidad lógica: Sección o partición de un disco duro que actúa como una única unidad. Las
particiones extendidas se pueden dividir, por ejemplo, en múltiples unidades lógicas.
● Volumen lógico: Otro nombre para las unidades lógicas.
● Disco básico: Un disco duro tradicional se divide en una o más particiones, con una unidad lógica
en la partición primaria, si la hay, y una o más unidades lógicas en las particiones extendidas. Los
discos básicos no admiten las funciones más avanzadas del Administrador de discos, pero en la
mayoría de los casos se pueden convertir en discos dinámicos.
● Discos dinámicos: Disco duro administrado con el Administrador de discos que se puede utilizar
para crear diversos volúmenes.
● Volumen: Unidad de espacio de disco compuesta por una o más secciones de uno o más discos
dinámicos.

Capítulo 16
● Volumen simple: El equivalente del Administrador de discos a las particiones. A una parte de un
único disco dinámico se le puede asignar bien una única letra de unidad o no asignar letra, y se
puede adjuntar (montar) en cero o más puntos de montaje.
● RAID (array redundante de discos independientes -antiguamente «de bajo coste»-): Uso de
varios discos duros en un array para formar un volumen de mayor tamaño, tolerante a fallos y
mejor rendimiento. Los RAID vienen en distintos niveles, como RAID-0, RAID-1, RAID-5 y
demás.
● Volumen distribuido: Colección de partes de discos duros combinadas en una única unidad
direccionable. A un volumen distribuido se le da formato como una unidad simple y puede tener
asignada una letra de unidad, pero se expande a través de múltiples unidades físicas. Un volumen
distribuido -a veces llamado volumen extendido- no proporciona tolerancia a fallos e incrementa
la exposición a problemas, aunque permite realizar un uso más eficiente del espacio disponible en
el disco duro.
● Volumen seccionado: Al igual que un volumen distribuido, un volumen seccionado combina
partes de múltiples discos duros en una única entidad. Sin embargo, un volumen seccionado
utiliza un formato especial para escribir de igual forma en cada una de las partes de la sección,
incrementando el rendimiento. Los volúmenes seccionados no proporcionan tolerancia a fallos y,
de hecho, aumenta la posibilidad de fallos, pero es más rápido que los volúmenes distribuidos o
las unidades simples. Los conjuntos de secciones suelen denominarse RAID-0, aunque es un
término inapropiado, ya que las secciones básicas no incluyen información redundante.
● Volumen espejo: Un par de volúmenes dinámicos que contienen datos idénticos y que aparecen
en el mundo como una única entidad. Al hacer espejos de discos se pueden usar dos unidades del
mismo controlador de disco duro o usar dos controladores por separado, en cuyo caso a veces se
denomina duplexado. En caso de errores en la parte de una unidad, el otro disco duro se puede
desdoblar para que se continúe proporcionando acceso completo a los datos almacenados en la
unidad, dando un alto nivel de tolerancia a fallos. Esta técnica se denomina RAID-1.
● Volumen RAID-5: Al igual que el volumen seccionado, combina partes de múltiples discos
duros en una única entidad con datos escritos por igual a través de las múltiples partes. Sin
embargo, también se escribe información de paridad para cada sección dentro de las distintas
partes, proporcionando la posibilidad de recuperación en caso de fallo en una unidad simple. Un
volumen RAID-5 proporciona un excelente rendimiento en las operaciones de lectura, pero es
sustancialmente más lento que las restantes opciones disponibles para las operaciones de escritura.
● SLED (disco único extenso y de alto coste): Apenas usado en la actualidad, esta estrategia es la
contraria a la estrategia RAID. En lugar de utilizar diversos discos duros de bajo coste y
proporcionar la tolerancia a fallos mediante información redundante, se compra el mejor disco
duro que se pueda y se apuesta por completo en él.
Administración de Discos
El almacenamiento en un disco duro ha sido desde hace mucho tiempo el método normal de
almacenamiento para las computadoras modernas, desde las computadoras centrales a los equipos de
escritorio, y es poco probable que cambie, considerando incluso las opciones de almacenamiento más
ricas que se han añadido en Windows 2000.

Capítulo 16
RAID (Array redundante de discos independientes) es un término usado para describir

una técnica que ha aparecido como una solución final exotérica para una suposición
normal en la mayoría de los servidores. Hace siete u ocho años, RAID no era un término
demasiado conocido, aunque el artículo original en el que se definía RAID se escribió en
1988. Hasta hace poco, la mayoría de los sistemas de servidor dependían de discos duros
caros y de gran calidad, con una frecuente copia de seguridad. Las copias de seguridad
todavía son críticas, pero ahora se puede utilizar uno u otro formato de RAID para
proporcionar una protección sustancial frente a fallos de disco duro. Aún más, esta
protección cuesta mucho menos de lo que costaban aquellos enormes discos de servidor.
RAID se puede implementar a nivel de software o de hardware. Cuando se implementa a
nivel de hardware, el vendedor del hardware proporciona una interfaz de administración
para los arrays y las unidades para admitir que pueda trabajar con los diversos sistemas
operativos.
Windows 2000 implementa los niveles 0, 1 y 5 de RAID en software.
Mejoras de la administración de discos
La tarea de la
administración de discos en
Windows 2000 no sólo
brinda un nuevo formato de
interfaz, basada en la
Consola de administración
de Microsoft (MMC), sino
también un conjunto
completamente nuevo de
posibilidades.
El complemento
Administración de discos de
la MMC para administrar
los discos físicos está
dividido en dos paneles. Por
defecto, el panel superior
muestra las letras de unidad
(volúmenes) asociadas con
los discos locales y sus propiedades y estado, mientras que el panel inferior muestra una representación
gráfica organizada por unidades físicas. Se puede usar como una pantalla independiente o como parte de
la consola Administración de equipos.
● Administración remota: La nueva pantalla Administración de discos de Windows 2000 Server

Capítulo 16
permite administrar no sólo los discos duros locales, sino también unidades en otras computadoras
que ejecuten Windows 2000, permitiendo que el administrador realice tareas de administración de
discos y de ubicación de espacio desde una estación de trabajo sin tener que sentarse en la
máquina que está siendo administrada. Esta característica es un beneficio para la administración
remota de sitios y -utilizando MMC- facilita la delegación de autoridad y de responsabilidades
administrativas de un grupo de computadoras a otras sin tener que darles privilegios
administrativos totales.
● Discos dinámicos: La otra característica fundamental que Administración de discos añade a
Windows 2000 es el concepto de discos dinámicos. Convirtiendo un disco a disco dinámico, se da
a Administración de discos la posibilidad de administrarlo de una nueva forma, sin la necesidad
de reiniciar en la mayoría de las ocasiones. Se puede ampliar un volumen de disco, extender un
volumen entre múltiples discos duros, realizar secciones de un volumen para mejorar su
rendimiento, hacer un espejo o añadirlo a un array RAID-5 -todo desde MMC y sin tener que
reiniciar, una vez que el disco se ha convertido en disco dinámico-.La creación o conversión
inicial de un disco básico a disco dinámico necesitará que se reinicie. Cuando se combina con la
nueva funcionalidad de administración remota, los discos dinámicos dan potentes herramientas al
administrador de sistema para administrar el tipo y la configuración del almacenamiento en discos
duros entre diversas empresas.
Tareas de Administración de Discos
Al igual que todas las pantallas de MMC, el complemento Administración- de discos se puede abrir de
muy diversas formas. Una de las formas más directas es pulsar el botón derecho sobre el icono Mi PC en
la esquina superior izquierda del escritorio y escoger Administrar en el menú. Esto abre la versión local
de la pantalla Administración de equipos, que contiene las pantallas Herramientas del sistema,
Almacenamiento y Servicios y aplicaciones. Hay que pulsar Almacenamiento para acceder a Medios de
almacenamiento extraíbles (si hay instaladas unidades extraíbles), Desfragmentador de disco, Unidades
lógicas y Administración de discos, y después pulsar Administración de discos para acceder a la ventana
de Administración de discos. Para abrir sólo la pantalla de Administración de discos, hay que pulsar dos
veces sobre el archivo Diskmgmt.msc de la carpeta %RaízDeWindows%\System32.
Cuando se abre la pantalla de Administración de equipos, se tiene la posibilidad de administrar sólo los
recursos de la computadora local, pero también aquéllos de computadoras remotas. Esto facilita la
administración de discos en computadoras remotas. Si se ejecuta sólo Administración de discos, se está
limitado a administrar los discos de la computadora local, a menos que se cree una MMC personalizada.
Añadir una partición o volumen
Añadir una nueva unidad o partición a un servidor Windows 2000 es inmediato. Primero, obviamente, es
necesario instalar y conectar físicamente la unidad. Si se posee un panel o array de intercambio en
caliente de unidades, ni siquiera es necesario apagar el sistema para realizar esta tarea. Si se utilizan
unidades convencionales, sin embargo, habrá que apagar y desenchufar el sistema.

Capítulo 16
Una vez instalada la unidad y encendido de nuevo el sistema, Windows 2000 reconocerá
automáticamente el nuevo hardware y lo pondrá disponible. Si el disco ya está particionado y dado
formato, se podrá utilizar de inmediato. Si el nuevo disco no está marcado, será necesario prepararlo
primero. Incluso si es un disco que se ha utilizado y dado formato pero no contiene datos críticos, se
recomienda que se actualice a disco dinámico.
Cómo añadir un nuevo disco usando el Asistente para actualización y firma de discos
Para usar el Asistente para actualización y firma de discos para añadir un nuevo disco una vez iniciada la
sesión, hay que seguir estos pasos:
1. Se abre la consola Administración de equipos pulsando el botón derecho sobre el icono Mi PC del
escritorio y se selecciona Administrar en el menú de contexto.
2. En el menú Almacenamiento, se elige Administración de discos. Si el disco es nuevo, se verá la
primera pantalla del Asistente para actualización y firma de discos. Este asistente permite
actualizar el nuevo disco a disco dinámico. Se pulsa Siguiente. .
3. Aparecerá una confirmación del disco (o discos, si se ha añadido más de uno) que se puede
seleccionar para la actualización.
4. Hay que asegurarse de que existe una marca a la izquierda del disco o discos a actualizar y
después se pulsa Siguiente. Aparecerá un mensaje de confirmación. Si todas las opciones son
correctas, hay que pulsar Finalizar y el disco se actualizará a disco dinámico.
5. Una vez finalizado el asistente, nos encontraremos ante la consola de Administración de discos.
Nótese que el disco todavía no tendrá formato asignado y estará resaltado en negro (si no se han
cambiado las opciones de colores por defecto de Administración de discos).
Creación de un volumen
Para crear un volumen nuevo (el equivalente en discos dinámicos a una partición), hay que completar
estos pasos:
1. En la consola Administración de discos, se pulsa el botón derecho sobre el disco no asignado y se

escoge Crear volumen del menú de contexto. Esto abrirá el Asistente para crear volúmenes, que
guiará a través del proceso de crear un nuevo volumen en el disco dinámico. Se pulsa Siguiente.
2. Se selecciona el tipo de volumen que se va a crear. Dependiendo del número de volúmenes no
asignados disponibles, se verán unas u otras opciones para el tipo de volumen. Estas opciones
incluyen Simple, Distribuido (la opción de Windows NT 4), Seccionado (RAID-0), Reflejado
(RAID-1) y RAID-5. Se pulsa Siguiente.
3. Se seleccionan los discos dinámicos a usar para el nuevo volumen. Las opciones disponibles y las
selecciones que hay que hacer dependen del número de discos no asignados disponible.
4. En la misma pantalla, hay que ajustar el tamaño del nuevo volumen. Por defecto, el nuevo
volumen utilizará el máximo espacio disponible de cada uno de los discos seleccionados. Para
volúmenes distribuidos, éste será la suma de los espacios libres de los discos seleccionados; para

Capítulo 16
el resto de los volúmenes, será el número de veces que aparezca en los discos el espacio
disponible de la parte más pequeña de los discos seleccionados.
5. Se selecciona una letra de unidad o un punto de montaje para el nuevo volumen, o bien se opta
por no asignar una letra de unidad o camino en este momento. Con Windows 2000, se puede
"montar" un volumen sobre un subdirectorio vacío, minimizando el número de letras de unidad y
reduciendo la complejidad del almacenamiento que se muestra al usuario. Si se desea sacar
partido de esta característica, hay que utilizar el botón Explorar para localizar el directorio en el
que se desea montar el nuevo volumen. Se pulsa Siguiente.
6. Se seleccionan las opciones de formato que se desean. Incluso cuando se monta un volumen en
lugar de crear una nueva unidad, hay que escoger el tipo de formato sin preocuparse del formato
subyacente al punto de montaje. Se pulsa Siguiente.
7. Aparecerá una pantalla de confirmación. Si todas las opciones son correctas, se pulsa Finalizar
para crear y dar formato al volumen. De nuevo se mostrará la consola de Administración de
discos, en la que se verá el nuevo volumen.
Windows 2000 ha tomado prestado un concepto del mundo UNIX añadiendo la posibilidad de montar un
volumen o partición en una subcarpeta de una letra de unidad existente. Un volumen montado también
puede ser una letra de unidad asociada con la misma, aunque no necesariamente, y se puede montar en
más de un punto, dando la posibilidad de múltiples puntos de entrada para el mismo medio de
almacenamiento.
Los volúmenes hay que montarlos en una subcarpeta vacía de un volumen o unidad NTFS existente. Las
unidades FAT o FAT32 no admiten volúmenes montados. Sin embargo, se puede montar un volumen
FAT o FAT32 en cualquier punto de montaje. Se puede montar sólo un único volumen en un
determinado punto de montaje, pero después se pueden montar más volúmenes en la parte superior del
volumen montado, con las mismas reglas y restricciones que cualquier otro montaje. Las propiedades de
una unidad no mostrarán todo el espacio disponible de esa unidad, ya que no reflejarán ningún volumen
montado en la unidad.
Los volúmenes montados se pueden utilizar para proporcionar una mezcla de almacenamiento
redundante y no redundante en una estructura lógica que cumpla con las necesidades del negocio de la
empresa, a la vez que oculta a los usuarios las complejidades de la estructura física.
Creación de una partición
Sólo se pueden crear particiones para los discos básicos, no para discos dinámicos. Para crear una nueva
partición, hay que seguir estos pasos:
1. En la consola de Administración de discos, hay que pulsar el botón derecho sobre un disco básico
no asignado y seleccionar Crear partición. El Asistente para crear partición, se abrirá para guiar en
el proceso de creación de una nueva partición en el disco básico. Se pulsa Siguiente.
2. Se selecciona el tipo de partición que se va a crear. Si es un medio extraíble, se verá sólo una

Capítulo 16
opción para la partición primaria, pero si es un disco no extraible se podrá escoger entre partición
primaria o partición extendida. Los discos básicos pueden alojar hasta cuatro particiones primarias
o tres particiones primarias y una extendida. Se pulsa Siguiente.
3. Se especifica qué parte del espacio disponible del disco se desea utilizar para esta partición. Se
pulsa Siguiente.
4. Si se está creando una partición extendida, hay que ir al paso 6. Si se está creando una partición
primaria, hay que seleccionar una letra de unidad, o un punto de montaje para la nueva partición.
También se puede escoger aplazar la elección de dar a la nueva partición un punto de montaje o
una letra de unidad. Sin embargo, no estará disponible a los usuarios hasta que se haga. Se pulsa
Siguiente.
5. Se seleccionan las opciones de formato deseadas o se opta por aplazar el formato para más tarde.
Se pulsa siguiente.
6. Aparecerá una pantalla de confirmación. Si todas las opciones son correctas, hay que pulsar
Finalizar para crear la partición. Si es una partición primaria, estará formateada y tendrá asignada
una letra de unidad o un punto de montaje.
Windows 2000 admite tres formatos distintos de sistema de archivo: FAT, FAT32 y NTFS. Antes de que
se pueda usar cualquier disco o volumen, debe dársele formato. Para discos mayores de 510 Mb, FAT32
o NTFS usan el espacio de forma más eficiente. Sin embargo, sólo NTFS admite las características más
avanzadas de Windows 2000.
Se puede escoger entre dar formato rápido a una unidad para ponerla disponible de la forma más rápida
posible, pero esta opción sólo elimina las entradas de archivos del disco y no comprueba si hay sectores
defectuosos. Esta opción se debe escoger cuando se recicla un disco que ya tiene formato y cuando se
está seguro de que no está dañado.
En un volumen o partición NTFS, se puede especificar el tamaño de la unidad de asignación. Esta opción
permite que se ajuste el disco a los propósitos particulares, dependiendo del tamaño del disco y de la
función pretendida. Un volumen de almacenamiento de base de datos contendrá extensos archivos de la
base de datos que administrará mejor el programa de base de datos si se le permiten unidades grandes de
asignación (también llamadas agrupaciones), mientras que un disco que tenga que mantener pequeños
archivos es candidato a agrupaciones menores. Los tamaños por defecto son un compromiso aceptable
para la mayoría de las situaciones.
También se puede elegir la activación de la compresión de discos y de carpetas en volúmenes y

particiones NTFS. Esto ocasiona que se compriman todos los archivos y carpetas del volumen, en
contraposición a los archivos y carpetas individuales que se seleccionen. La compresión puede minimizar
la cantidad de espacio del disco duro que utilizan los archivos, pero tiene un impacto negativo en el
rendimiento.
Creación de unidades lógicas en una partición extendida

Capítulo 16
Si se ha creado una nueva partición extendida, el siguiente paso es crear unidades lógicas en la partición.
Se pueden asignar una o más unidades lógicas en una partición extendida, y a cada una de estas unidades
lógicas se puede asignar una letra de unidad y/o uno o más puntos de montaje. A cada una de las
unidades lógicas se puede dar formato con cualquiera de los sistemas de archivos admitidos,
independientemente del formato de las otras unidades lógicas. Para crear una unidad lógica, hay que
seguir estos pasos:
1. En la consola de Administración de discos, se pulsa el botón derecho en la parte Espacio libre de

la partición extendida y se selecciona Crear unidad lógica en el menú, para abrir el Asistente para
crear partición. Se pulsa Siguiente.
2. Aparecerá la pantalla Seleccionar tipo de partición, con la opción Unidad lógica seleccionada y
como única opción posible. Se pulsa Siguiente y se especifica el tamaño de la unidad lógica que
se va a crear. Se puede especificar la partición completa a una única unidad o se puede dividir la
partición en múltiples unidades lógicas. Se pulsa Siguiente.
3. Se selecciona la letra de unidad o punto de montaje para la nueva unidad lógica. También puede
no asignarse una letra o punto de montaje por el momento. Se pulsa Siguiente.
4. Se seleccionan las opciones de formato deseadas. Se pulsa de nuevo Siguiente y se verá la
pantalla final de confirmación. Si todas las opciones son correctas, se pulsa Finalizar para crear y
dar formato a la nueva unidad lógica. Si es necesario crear unidades lógicas adicionales en la
partición, se pueden repetir estos pasos tantas veces como sea necesario para crear el número de
unidades lógicas deseado.
Cómo eliminar una partición, volumen o unidad lógica
Eliminar una partición, eliminar una unidad lógica y eliminar un volumen son básicamente la misma
tarea, con una excepción importante. Cuando se elimina una unidad lógica, se termina con espacio libre
en la partición, pero el resto de las unidades lógicas de la partición permanecen intactas. Cuando se
elimina una partición o volumen, se elimina por completo el volumen o la partición. Sin embargo, no se
puede eliminar una partición extendida hasta que se hayan eliminado primero todas las unidades lógicas.
Se puede eliminar directamente una partición o un volumen.
En todos los casos, cuando se elimina un volumen, unidad lógica o partición, se termina con espacio libre
y no asignado y sin datos en el volumen, unidad o partición una vez hecho, por lo que hay que asegurarse
de tener una buena copia de seguridad si existe la posibilidad de que se necesiten después cualesquiera de
esos datos. Para eliminar una partición, unidad lógica o volumen, hay que seguir estos pasos:
1. Se pulsar el botón derecho sobre la partición, unidad lógica o volumen y se escoge Eliminar
partición, Eliminar unidad lógica o Eliminar volumen.
2. Si se está eliminando un volumen o partición, aparecerá un mensaje de aviso. La eliminación de
particiones extendidas conlleva pasos extra, ya que primero hay que eliminar las unidades lógicas
de la partición antes de poder eliminar la propia partición.

Capítulo 16
Una vez que el volumen o partición se ha eliminado completamente, el espacio que ocupa no estará
asignado. El espacio que no está asignado en los discos dinámicos se puede utilizar para crear espejos,
ampliar volúmenes existentes, crear un array RAID o cualquier otra administración de almacenamiento
del servidor. El espacio que no está asignado en un disco básico se puede particionar.
Cómo convertir un disco a disco dinámico
Las ventajas de los discos dinámicos son sustanciales. Incluso utilizando controladores hardware de
RAID y discos de intercambio en caliente para administrar los discos duros, probablemente sea una
buena idea el uso de discos dinámicos. No obstante, existe un inconveniente. Debido a que no se puede
arrancar desde o incluso ver un disco dinámico desde otro sistema operativo, habrá que considerar dejar
al menos el disco de inicio como unidad básica, ya que haciendo esto facilitaremos el trabajo con el
mismo. Si es necesario proporcionar redundancia en esa unidad y si el RAID hardware es una
posibilidad, hay que usar el nivel 1 de RAID para poder recuperar a partir de un disco fallido u otro
desastre, de manera que sea lo menos perjudicial posible. Para convertir un disco básico en disco
dinámico, hay que seguir estos pasos:
1. Se pulsa el botón derecho del ratón sobre el icono del disco de la parte izquierda de la consola
Administración de discos y se elige Actualizar a disco dinámico en el menú de contexto.
2. Aparecerá un cuadro de diálogo listando los discos básicos disponibles en la máquina. El disco
sobre el que se ha pulsado aparecerá marcado y se podrán seleccionar otros discos a actualizar al
mismo tiempo. Se pulsa Aceptar para continuar con la actualización.
3. Aparecerá un mensaje de aviso planteando que no se podrá utilizar otra versión de Windows en
estos discos. Se pulsa Siguiente.
4. Si no hay sistemas de archivos en el disco seleccionado para actualizar, esto es todo. Sin embargo,
si existen sistemas de archivos en cualquiera de los discos, aparecerá un mensaje de aviso
diciendo que el sistema de archivos será forzado a desmontarse. Hay que pulsar Sí y la
actualización procederá. Ahora se pueden administrar los discos de forma dinámica y pueden
formar parte de espejos, arrays RAID-5 u otras configuraciones mejoradas de disco que no
admiten los discos básicos.
Si hay archivos abiertos en el disco a actualizar, se pueden experimentar pérdidas de

datos. Sólo se deben realizar actualizaciones de discos durante tiempos de inactividad en
los que no haya usuarios con sesiones iniciadas o usando el servidor.
Cómo extender un volumen
Se puede añadir espacio a un volumen sin tener que hacer una copia de seguridad, reiniciar y restaurar
los archivos en el volumen, si el volumen está en un disco dinámico y si es un volumen simple o un
volumen distribuido. Esto se hace convirtiendo el volumen a volumen distribuido o extendido que
incorpore espacio no asignado en cualquier disco dinámico. Desafortunadamente, no se puede
incrementar el tamaño de un volumen RAID-5 o RAID-0 (seccionado) añadiendo solamente discos al

Capítulo 16
array, a menos que se utilice una versión del RAID hardware que admita esta funcionalidad. Para
extender un volumen, hay que seguir estos pasos:
1. En la consola de Administración de discos, hay que pulsar el botón derecho sobre el volumen que
se desea extender. Hay que elegir Extender volumen en el menú para abrir el Asistente para
extender volumen. Se pulsa Siguiente.
2. Se resalta uno o más discos de la lista de discos dinámicos que están disponibles y tienen espacio
no asignado. Se pulsa Agregar para añadir el disco o discos seleccionados y se indica la cantidad
de espacio que se desea añadir. Se pulsa Siguiente.
3. El Asistente para extender volúmenes muestra una pantalla final de confirmación antes de
extender el volumen. Hay que pulsar Finalizar para extender el volumen, o pulsar Cancelar si se
cambia de opinión.
Es importante recordar que un volumen distribuido (extendido) en realidades menos fiable que un disco
simple. A diferencia de un volumen espejo o RAID-5, en los cuales está integrada'la redundancia, un
volumen distribuido o seccionado se perderá si falla cualquier disco del volumen.
La mayoría de los administradores ha deseado en algún momento que se pudiese incrementar de forma
sencilla el espacio del directorio raíz de usuario sobre la marcha sin tener que dejar fuera de línea el
sistema varias horas, mientras se hace la copia de seguridad del volumen completo y se vuelve a dar
formato para añadir los discos duros adicionales, se restaura la copia de seguridad y se vuelven a crear
los puntos compartidos. ¿Divertido? ¿Duro? ¿Arriesgado? Por supuesto. Y definitivamente un trabajo
que debe llevarse a cabo un fin de semana o quedarse hasta tarde; en otras palabras, algo que hay que
evitar por todos los medios.
Todo esto hace que la posibilidad de Windows 2000 de crear espacio adicional en un volumen sin la
necesidad de hacer una copia de seguridad del volumen, volver a dar formato al disco y volver a crear el
volumen, sea una característica seductora. Sin embargo, si se usan discos duros convencionales sin RAID
hardware, puede que haya que pensárselo dos veces antes de decidir aprovecharse de esta característica.
Para permitir que un volumen se extienda sobre la marcha, es necesario utilizar sólo volúmenes simples o
distribuidos. Ninguno es redundante, exponiendo a los usuarios al riesgo de que la unidad falle. Sí, hay
una copia de seguridad, pero aún en el mejor de los casos, se perderán algunos datos si es necesario
restaurar la copia de seguridad. Más aún, en realidad, el uso de volúmenes distribuidos aumenta las
posibilidades de fallo en el disco duro. Si cualquier disco usado como parte del volumen distribuido falla,
el volumen completo se quema y será necesario restaurarlo desde una copia de seguridad.
¿Por qué, entonces, usaría nadie la expansión? Porque tienen RAID hardware para proporcionar la
redundancia. Esta combinación ofrece lo mejor de ambos mundos: la información redundante
proporcionada por el controlador hardware de RAID y la flexibilidad para ampliar volúmenes según las
necesidades, usando la administración de discos de Windows 2000.
Windows 2000 utiliza los términos «extendido» y «distribuido» de forma bastante indistinta cuando
describe volúmenes. Técnicamente, sin embargo, un volumen distribuido tiene que incluir más de un
disco físico, mientras que un volumen extendido también puede hacer referencia a un volumen que tiene
espacio adicional añadido en el volumen simple original del mismo disco.

Capítulo 16
Cómo añadir un espejo
Cuando los datos son cruciales y se desea tener la seguridad de que ocurra lo que le ocurra a uno de los
discos duros los datos están protegidos y siempre disponibles, hay que considerar hacer un espejo de los
datos en una segunda unidad. Windows 2000 puede hacer espejo de un disco dinámico en un segundo
disco dinámico para que el fallo de cualquier disco no ocasione una pérdida de datos. Para hacer un
espejo de un volumen, se puede seleccionar el volumen a hacer el espejo cuando se crea el volumen o se
puede añadir un espejo a un volumen existente. Para añadir un espejo a un volumen existente, hay que
seguir estos pasos:
1. En la consola de Administración de discos, se pulsa el botón derecho sobre el volumen al que se

desea hacer un espejo. Si existe la posibilidad de hacer espejo, el menú de contexto mostrará la
orden Agregar espejo.
2. Se escoge Agregar espejo para mostrar el cuadro de diálogo Agregar espejo, en el que se puede
seleccionar el disco a utilizar como espejo.
3. Se resalta el disco que será el espejo y se pulsa Agregar espejo. El espejo se creará de inmediato y
empezará a duplicar los datos del disco original a la segunda mitad del espejo. Este proceso se
llama regeneración. (El proceso de regeneración también se utiliza para distribuir datos a través de
discos cuando se crea un volumen RAID-5.)
La regeneración es intensiva en CPU y disco. Cuando sea posible, hay que crear los
espejos durante periodos de inactividad o durante el tiempo de poca carga planificado
normalmente. Este objetivo debe sopesarse, no obstante, con el objetivo de igual
importancia que es proporcionar redundancia y protección a fallos de la forma más
expeditiva posible.
Para mejorarla seguridad y fiabilidad total de los datos, se debe hacer un espejo de los
volúmenes en discos que usen controladores distintos, siempre que sea posible. Este
proceso se conoce como duplexación y elimina el controlador de disco como único punto
de fallo para el espejo a la vez que aumenta la velocidad tanto para lectura como para
escritura del espejo, ya que el controlador y el bus ya no serán potenciales cuellos de
botella.
Fallo de disco en un volumen espejo
Si falla uno de los discos de un volumen espejo, se continuará teniendo acceso pleno a los datos sin
pérdida alguna. Windows 2000 enviará una alerta a la consola, marcará el disco fallido como perdido y
lo dejará fuera de línea, pero continuará leyendo y escribiendo desde la otra mitad del volumen espejo
como si nada hubiese ocurrido. Sin embargo, avisará. Ya no se dispondrá de tolerancia a fallos en ese
volumen y cualquier fallo adicional se convertirá en una catastrófica pérdida de datos.

Capítulo 16
Una vez reemplazado el disco fallido o corregido el problema y activado de nuevo, el espejo comenzará
automáticamente la regeneración. Si el problema se puede solucionar sin apagar el sistema, se puede
regenerar el espejo sobre la marcha. Para activar de nuevo el disco fallido, hay que seguir estos pasos:
1. Se pulsa el botón derecho sobre el icono del disco fallido en la parte derecha de la consola de
Administración de discos.
2. Se elige Reactivar disco y Windows 2000 muestra el disco en segundo plano e inicia la
regeneración del espejo fallido. Una vez regenerado el espejo, el estado del disco cambia de
Regenerando a Correcto.
Cómo quitar un espejo
Si es necesario habilitar espacio adicional en disco en el sistema y no se tienen discos adicionales

disponibles, se puede eliminar el espejo de un volumen espejo. Cuando se elimina un espejo, los datos de
uno de los discos permanecen intactos, pero el otro disco se convierte en espacio no asignado. Por
supuesto, se pierde toda la redundancia y protección de los datos, por lo que será necesario seguir los
pasos para restaurar el espejo tan pronto como sea posible, y hasta entonces será necesario modificar la
agenda de las copias de seguridad para el disco restante. Para eliminar un espejo, hay que seguir estos
pasos: a
1. En la consola Administración de discos, se pulsa el botón derecho sobre cualquier mitad del
espejo. Se elige Quitar espejo en el menú y se abrirá el cuadro de diálogo Quitar espejo.
2. Se resalta el disco que se desea eliminar del espejo. Se pulsa Eliminar espejo. Se tendrá una
última oportunidad para cambiar de opinión. Se pulsa Aceptar y el disco que esté resaltado se,
convertirá en espacio no asignado.
Cómo romper un espejo
Si un disco falla y se reemplaza con uno idéntico, se debe dividir el espejo antes de que el reemplazo esté
disponible. La división de un espejo sirve para la conexión entre los dos discos, permitiendo al disco
presente continuar funcionando con normalidad hasta que esté disponible el reemplazo de disco.
También puede resultar de utilidad la división del espejo aun cuando ambos discos todavía estén
funcionando, ya que después se termina teniendo dos copias idénticas de los mismos datos. Una de las
mitades del espejo dividido continúa teniendo la misma letra de unidad y/o el mismo punto de montaje,
mientras que a la segunda mitad del espejo dividido se le asigna la siguiente letra de unidad disponible.
Para dividir un espejo, hay que seguir estos pasos:
1. En la consola Administración de discos, se pulsa el botón derecho sobre cualquiera de los discos
del volumen espejo.
2. Se elige Romper espejo en el menú de contexto. Se pedirá que se confirme que realmente se desea
dividir el espejo.
3. Se pulsa Sí y el espejo se dividirá. Habrá dos discos: uno que mantendrá la letra de unidad o punto

Capítulo 16
de montaje del espejo original y otro al que se asignará la siguiente letra de unidad disponible.
Ambos contendrán duplicados exactos de los datos en el instante de la división, pero comenzarán
de inmediato a diverger según se modifiquen.
Una de las tareas más complicadas a la que se enfrentan los administradores de sistemas
es obtener una copia de seguridad fiable y segura de un archivo que está constantemente
en uso activo, como puede ser un archivo de datos para una base de datos, como SQL
Server y Oracle. La orden Dividir espejo se puede usar para evitar este problema. Se
puede detener momentáneamente la base de datos, dividir el espejo y reiniciar la base de
datos. Ahora hay una copia del archivo de datos que no volverá a estar en uso activo y al
que se puede realizar una copia de seguridad segura y efectiva. Una vez terminada la
copia de seguridad, se puede eliminar el volumen dividido y volver a crear el espejo.
Cómo convertir un volumen o partición de FAT a NTFS
Se puede convertir un volumen o partición del sistema de archivos FAT o FAT32 al sistema de archivos
NTFS sin perder datos o interrumpir la disponibilidad del resto del servidor. Sin embargo, Windows
2000 no ofrece una forma gráfica de hacerlo: hay que ejecutar una utilidad de la línea de órdenes. Para
convertir un volumen o partición, hay que abrir la ventana de órdenes y escribir
convert <nombrevolumen | puntomontaje | letraunidad:> /fs:ntfs [/v]
Esta orden convierte el volumen o unidad de FAT o FAT32 a NTFS. Si se usa el modificador de línea de
órdenes /v, la conversión mostrará el nombre de cada archivo y directorio que se convierte. Si alguien
tiene un archivo abierto en el volumen y el programa no puede obtener acceso exclusivo a él, se ofrecerá
la oportunidad de planificar la conversión para la próxima vez que se reinicie el sistema.
Si se planifica una conversión a NTFS para la próxima vez que se reinicie el servidor y el
servidor se reinicia de forma inesperada, sólo habrá que esperar mientras se realiza la
conversión. No existe ninguna forma de evitar la conversión una vez que nos hemos
comprometido a ella.
Cómo dar formato a una partición o volumen
Antes de que se pueda usar una partición, unidad lógica o volumen, ha de estar formateada. El formato
impone la estructura necesaria para admitir el sistema de archivos que se elija para el volumen. Hay que
dar formato a un volumen o unidad cuando se crea por primera vez, y después siempre que se desee
limpiarlo. También se puede usar el formato para cambiar el tipo de sistema de archivos de una unidad,
partición o volumen, pero todos los datos del destino se destruirán durante el formato. (La línea de
órdenes convert preserva cualquier dato del destino.) Los sistemas de archivos admitidos en Windows
2000 son FAT, FAT32 y NTFS.

Capítulo 16
En general, se recomienda utilizar NTFS, a menos que haya una razón de peso para no hacerlo. Un caso
en el que no se usaría NTFS es cuando los archivos de registro residen en ese volumen o partición. Un
volumen FAT o FAT32 tiende a ser más rápido y más apropiado para archivos grandes que crecen
constantemente a pequeños intervalos, como hacen los archivos de registro. Sin embargo, aun con los
archivos de registro, se deben usar los sistemas de archivo FAT y FAT32 sólo cuando la seguridad o las
cuotas no son un problema, ya que estos sistemas de archivos no admiten cuotas o las características de
seguridad de NTFS.
Otra razón para utilizar FAT o FAT32 es permitir que la computadora admita arranque dual con otros
sistemas operativos. NTFS no es visible o accesible para otros sistemas operativos, mientras que FAT lo
pueden utilizar diversos sistemas operativos, y FAT32 lo puede utilizar Microsoft Windows 95 y
Microsoft Windows 98. Para dar formato a una unidad lógica, partición o volumen, hay que seguir estos
pasos:
1. En la consola Administración de discos, se pulsa el botón derecho sobre la unidad lógica,

partición o volumen que se desea dar formato y se escoge Formato en el menú. Aparecerá el
cuadro de diálogo donde podemos seleccionar el sistema de archivos que se desea utilizar: FAT,
FAT32 o NTFS.
2. Se selecciona el tamaño de la unidad de asignación (también llamado tamaño de agrupación).
Normalmente, sólo hay que aceptar el valor por defecto.
3. Se escribe un nombre para el volumen, unidad lógica o partición. El valor por defecto es Nuevo
volumen.
Se marca el cuadro Formato rápido si se desea dar formato a la unidad de forma rápida. Sin
embargo, se recomienda que no se haga esto a menos que sea estrictamente necesario para poner
el volumen disponible de inmediato. La versión larga y completa del formato busca defectos en
toda la unidad. Esto puede llevar un rato en una unidad grande, y la sobrecarga del rendimiento
del sistema sufrirá mientras se realiza el formato, pero el mayor sentido de confianza en el
volumen bien merece la espera.
4. Si se va a comprimir la unidad completa, hay que marcar Permitir compresión de archivos y
carpetas. Nótese, no obstante, que se puede elegir la compresión de carpetas individuales e incluso
de archivos individuales independientemente de si se ha marcado ahora esta opción. Y con el
tamaño y el coste de las unidades en estos días, creo que esta opción es mucho menos útil de lo
que nunca fue.
5. Se pulsa Aceptar y comienza el formato. Windows 2000 sólo puede tratar un formato al mismo
tiempo, por lo que no se puede dar formato a otra partición o volumen hasta que éste termine.
Cómo cambiar la letra de unidad
Se puede cambiar la letra de unidad de un volumen o partición en cualquier momento y se puede incluso
tener múltiples rutas de acceso para una letra dada. Además, a diferencia de Windows NT, Windows
2000 permite cambiar la letra de unidad de un medio extraible, como una unidad Jazz o Zip. Para
cambiar una letra de unidad, hay que seguir estos pasos:

Capítulo 16
1. Se pulsa el botón derecho sobre la unidad en la consola Administración de discos y se escoge

Modificar la ruta de acceso o la letra de unidad.
2. Aparece un cuadro de diálogo mostrando la letra de unidad actual y cualquier ruta de acceso a un
punto de montaje para el disco. Se resalta la letra de unidad mostrada y se pulsa Modificar. Hay
que seleccionar la nueva letra de unidad de la lista desplegable. Se pulsa Aceptar.
3. Se verá un mensaje de confirmación avisando de que el cambio podría afectar a la posibilidad de
que se presenten algunos programas. Se pulsa Sí y la letra de unidad se cambiará de inmediato, a
menos que existan archivos abiertos en la unidad. Si existen archivos abiertos en la unidad, la
unidad tendrá dos letras de unidad temporalmente, la antigua y la nueva. Se pulsa Sí para
confirmar el cambio.
Cómo montar un volumen
Windows 2000 añade una nueva característica al proceso de administración de disco y almacenamiento.
Se puede montar un volumen dinámico -o cualquier partición o unidad lógica de una partición extendida-
en cualquier directorio vacío que resida en una unidad que tenga formato NTFS y no sea extraíble. El
volumen montado se puede dar formato como FAT, FAT32 o NTFS y aparece a los usuarios como un
directorio normal. Esta característica hace posible crear grandes sistemas de archivos que usen múltiples
discos duros sin heredar los riesgos de los volúmenes distribuidos, ya que el fallo de cualquiera de los
volúmenes montados afecta sólo a los directorios que formaban parte de ese volumen. También se
pueden admitir de forma sencilla múltiples formatos en una única letra de unidad. Para montar un
volumen, hay que seguir estos pasos:
1. En la consola Administración de discos, se pulsa el botón derecho sobre el volumen o partición.

Se elige Modificar la ruta de acceso o la letra de unidad en el menú. Se abrirá el cuadro de diálogo
Modificar la ruta de acceso o la letra de unidad.
2. Se pulsa el botón Agregar; se abre el cuadro de diálogo Agregar nueva letra o ruta de acceso de
unidad.
3. Se puede escribir el punto de montaje o usar el botón Examinar para seleccionar o crear un punto
de montaje. Cualquier directorio vacío que resida en un volumen o unidad NTFS no extraíble
puede ser un punto de montaje.
4. Una vez seleccionado o escrito el punto de montaje, se pulsa Aceptar y el volumen o partición se
monta.
En realidades sencillo buscarse problemas con esta nueva característica. Administración

de discos permitirá realizar múltiples niveles de volúmenes montados, incluyendo los
recursivos. Creemos que es bueno aconsejarle que sólo monte volúmenes al nivel raíz de
las unidades. Intentar montar por debajo de este punto puede ocasionar confusión y
complicar la administración y documentación.
NTFS versión 5

Capítulo 16
El formato de sistema de archivos NTFS se ha mantenido, en principio sin cambios, desde la versión
original de Windows NT. Con Windows 2000, Microsoft ha realizado cambios sustanciales en NTFS
para admitir nuevas características que los administradores y los usuarios pedían. Estas nuevas
características incluyen cuotas de disco -finalmente- y la posibilidad de cifrar archivos y sistemas de
archivos completos a nivel de disco físico.
La nueva versión de NTFS, conocida como NTFS versión 5, es una extensión lógica de
NTFS original, pero no es totalmente compatible con él. Si se va a utilizar NTFS en una
configuración dual con Windows NT 4 en la misma máquina que Windows 2000, será
necesario instalar Service Pack 4 de Windows NT 4 o posterior, para permitir que las
particiones NTFS de Windows 2000 sean vistas cuando se arranque en Windows NT 4.
También hay que recordar que las cuotas y el cifrado disponible en la versión 5 de NTFS
no están admitidas en Windows NT 4 y no se le puede forzar o poner accesibles a él.
Cuotas de disco
Probablemente la incógnita perdida más molesta de la ecuación de administración de disco para la

mayoría de los administradores de Windows NT haya sido la imposibilidad de administrar y limitar los
recursos de disco de sus usuarios sin comprar productos complementarios. Windows 2000 por fin plantea
esto en lugar de manifestar su omisión y proporciona cuotas por consulta o absolutas en los discos usados
por usuarios o grupos. Sin embargo, cada volumen o partición se trata como una entidad por separado, es
decir, no hay forma de limitar a un usuario o grupo de usuarios la cantidad total de uso del disco a través
del servidor completo o de la empresa. (Suena como una oportunidad para soluciones de terceros, ¿no?)
Cómo activar las cuotas de disco
Por defecto, las cuotas de disco están desactivadas para todas las particiones o volúmenes. Es necesario

Capítulo 16
activarlas para cada

volumen en el que se
desee utilizar cuotas. Las
cuotas están disponibles
sólo para volúmenes con
letra de unidad asignada.
Se pueden asignar
distintas cuotas para
usuarios individuales o
para grupos de usuario o
se puede asignar la misma
a todos los usuarios. Hay
que seguir estos pasos
para activar las cuotas
para cada volumen que se
desee:
1. Se pulsa el botón
derecho sobre la
letra de unidad en
el Explorador de
Windows y se
escoge
Propiedades.
2. Se pulsa sobre la
ficha Cuota.
3. Se selecciona la opción Habilitar la administración de cuota.
4. Se definen los límites de uso de disco para esta letra de unidad. Las opciones disponibles son:
● Denegar espacio de disco a usuarios que excedan el límite de cuota Cuando se selecciona
esta opción, se hacen cumplir las cuotas en todo uso del disco. Cuando se desactiva, los
límites son sólo consejos.
● Limitar espacio de disco a Aquí se pueden especificar los límites de uso de espacio de
disco para los nuevos usuarios del volumen.

● Establecer el nivel de advertencia en Esta opción indica el límite en el cual los usuarios
recibirán un mensaje de aviso.

● Opciones de registro Se puede elegir registrar cuando los usuarios excedan su límite de
aviso o su límite de uso, o se puede dejar ésta opción en blanco para indicar que no se
desea registro.
5. Se verá un mensaje de confirmación. Si todo es correcto, se pulsa Aceptar para escanear la unidad
y activar las cuotas.
Cómo asignar entradas de cuota a usuarios

Capítulo 16
Hay un aspecto interesante con las cuotas activadas como se describía en el procedimiento anterior: se
aplican sólo a los usuarios. Los administradores no tendrán que seguir las cuotas a menos que se
especifique explícitamente en una entrada de cuota por separado. Para fijar cuotas sobre los
administradores o
modificar las cuotas
de usuarios
individuales, es
necesario realizar
estos pasos
adicionales:
1. En el
Explorador
de Windows,
se pulsa el botón derecho sobre la unidad a la que se desea asignar entradas de cuota y se pulsa
Propiedades. Se pulsa la ficha Cuota.
2. Se pulsa el botón Valores de cuota para mostrar las entradas de cuota del volumen. Aparecerá
una ventana que contiene entradas para todo aquel que haya tenido archivos en el volumen, a
menos que se haya eliminado explícitamente la entrada para los usuarios que no vayan a tener
archivos allí.,
3. Se pueden cambiar las propiedades de cualquier entrada pulsando dos veces sobre la entrada.
La ventana Entrada de cuota permite ordenar por cualquiera de las columnas para facilitar una
identificación rápida de zonas de problemas o localizar una determinada entrada. También se
puede usar la función Buscar para localizar una determinada entrada.
Hay que resistirse a la tentación de aforar en las cuotas de disco para cada individuo.
Hacerlo se puede convertir en una pesadilla administrativa, especialmente debido a que
no se pueden administrar cuotas para toda la audiencia de usuario, sólo para usuarios
individuales. Hay que realizar cambios en la cuota de un individuo sólo cuando existe una
razón convincente para hacerlo, y después mantener cuidadosos registros para que todos
los administradores tengan un claro acceso a la información.
Cómo exportar e importar cuotas
Si se ha configurado un complicado sistema de cuotas para que algunos usuarios tengan más espacio que
otros, implementar el sistema en un nuevo volumen puede ser tedioso. Pero Windows 2000 permite
exportar cuotas de un volumen a otro. Si todavía no existe una entrada para un usuario en el nuevo
volumen, ésta se creará. Si un usuario ya tiene entrada de cuota, se preguntará si se desea sobrescribirla
con la entrada de cuota importada para ese usuario. Se debe evitar importar configuraciones de cuotas en
una unidad existente a menos que se estén cambiando las cuotas generales a través de todo el servidor.
Cualquier personalización realizada en la unidad actual se perderá y tener el conocimiento de cada
cambio que afecta a un usuario existente se presta a errores.

Capítulo 16
Además, cualquier límite especial asignado para un determinado usuario en el volumen origen se aplicará
al volumen destino.
Existen dos formas de importar cuotas de un volumen a otro. Se puede abrir la ventana Entradas de cuota
para el volumen origen, pulsar Cuota y escoger Exportar, para guardar las entradas en un archivo, y
después abrir la ventana Entrada de cuota para el volumen destino y escoger Importar en el menú Cuota.
O simplemente se pueden abrir ambas ventanas Entradas de cuota y arrastrar las entradas que se desean
importar desde la ventana origen a la de destino.
Creación de informes de cuotas
Su puede usar la ventana Entrada de cuota para crear informes sobre el uso del disco. Se seleccionan las
cuentas que se desean incluir en el informe y se arrastran dentro de la herramienta de informes que se
esté utilizando. Los formatos admitidos comprenden Formato de texto enriquecido, Valores separados
por comas, CF_UNICODETEXT y CF_TEXT. Si se arrastran las entradas a Microsoft Excel, por
ejemplo, no sólo se obtendrán las entradas, sino que también se obtendrán las cabeceras. Esto convierte
los informes de utilización de disco en algo bastante trivial.
Cifrado a nivel de sistema de archivos
La versión 5 de NTFS añade la posibilidad de cifrado de archivos individuales o de subdirectorios

completos de forma totalmente transparente. Para su creador, los archivos cifrados parecen exactamente
iguales que los archivos regulares -sin cambios en las aplicaciones para usarlos-. Sin embargo, para
cualquiera, excepto el creador/cifrador, los archivos no están disponibles, e incluso si alguien consigue
acceso a ellos no podrán leer la información ya que se almacenan de forma cifrada.
El cifrado sólo es un atributo avanzado del archivo, al igual que la compresión. Sin embargo, un archivo
no puede estar comprimido y cifrado al mismo tiempo -los atributos son mutuamente excluyentes-. Los
archivos cifrados están disponibles sólo para el cifrador, pero los puede recuperar el agente de
recuperación del dominio o de la máquina, si es necesario. A los archivos cifrados se les puede realizar
una copia de seguridad mediante procedimientos normales de copia de seguridad si el programa de copia
de seguridad es compatible con Windows 2000. Los archivos permanecen cifrados cuando se realiza la
copia de seguridad, y los archivos restaurados mantienen su cifrado.
Bajo circunstancias normales, ningún usuario excepto el verdadero creador de un archivo cifrado tiene
acceso al archivo. Incluso si se cambia el propietario no se eliminará el cifrado. Esto impide que usuarios
no válidos consigan acceder a datos sensibles, como las nóminas, los informes anuales y demás, incluso
teniendo derechos administrativos.
El cifrado sólo está disponible en el sistema de archivos NTFS versión 5. Si se copia el archivo a un
disquete o a un sistema de archivos distinto de NTFS versión 5, el archivo ya no estará cifrado.
Esto es cierto incluso para el sistema de archivos NTFS de versiones anteriores de Windows NT

Capítulo 16
Cuando se cifra una carpeta, todos los archivos creados en esa carpeta se cifran a partir de ese momento.
También se puede optar por cifrar los contenidos actuales cuando se realiza el cifrado. No obstante, hay
que avisarlo: si se elige cifrar los contenidos de una carpeta cuando ésta ya contiene archivos y
subcarpetas, esos archivos y subcarpetas se cifrarán sólo para el usuario que realiza el cifrado. Esto
significa que se cifraran aún cuando los archivos sean propiedad de otros usuarios y sólo estarán
disponibles para su uso.
Cuando se crean nuevos archivos en la carpeta cifrada, los archivos se cifran para su uso por el creador
del archivo, no para el usuario que activó el cifrado de la carpeta. Los archivos no cifrados en una carpeta
cifrada pueden usarlos todos los usuarios que tengan derechos de seguridad para usar los archivos de esa
carpeta; el estado de cifrado del archivo no cambiará a menos que se cambie el nombre del propio
archivo. Los usuarios pueden leer, modificar y guardar el archivo sin convertirlo en archivo cifrado, pero
cualquier cambio en el nombre del archivo disparará el cifrado, y el cifrado hará que el archivo sólo esté
disponible para la persona que disparó el cifrado. Para cifrar un archivo o carpeta, hay que seguir estos
pasos:
1. En el Explorador de Windows, se pulsa el botón derecho sobre la carpeta o archivos que se desea
cifrar y se elige Propiedades en el menú emergente.
2. Se pulsa el botón Avanzadas de la ficha General para abrir el cuadro de diálogo Atributos
avanzados.
3. Se selecciona la opción Cifrar contenidos para proteger datos y se pulsa Aceptar para volver a la
ventana principal Propiedades del archivo o carpeta. Se pulsa Aceptar o Aplicar para activar el
cifrado. Si ya existe cualquier archivo o subcarpeta en la carpeta, se presentará un cuadro de
diálogo.
4. Si se elige Aplicar cambios sólo a esta carpeta, todos los archivos y subcarpetas de la carpeta
permanecerán no cifrados, pero cualquier nuevo archivo o carpeta se cifrará por el creador en el
momento de crearlo. Si se elige Aplicar cambios a esta carpeta y a todas las subcarpetas y
archivos, todos los archivos y carpetas por debajo de esta carpeta se cifrarán paraque sólo los
pueda usar el cifrador, independientemente del creador o propietario del archivo.
5. Se pulsa Aceptar para aplicar el cifrado.

Capítulo 17
Capítulo 17
En la esfera de la seguridad de computadoras, uno de los errores cruciales más frecuentes que cometen
los administradores es confundir la presencia de características de seguridad con un sistema seguro. No
es suficiente mezclar protocolos, métodos y algoritmos en un collage de seguridad. En tales entornos, el
vínculo más débil no suele verse hasta que es demasiado tarde. Para ser efectiva, la seguridad del sistema
tiene que aplicarse como un conjunto y necesita que esté bien diseñada, ser completa y fácil de mantener.
Los sistemas bien diseñados van acompañados de directivas que indican cómo, cuándo y a qué nivel se
aplica la seguridad. Los sistemas completos proporcionan seguridad multinivel que suena y es trasparente
al usuario en la medida de lo posible. Los sistemas de fácil mantenimiento permiten a los
administradores administrar de forma centralizada la seguridad y mantener un seguimiento de los sucesos
críticos.
Con características como las plantillas de seguridad, el cifrado de clave pública, el Protocolo de Intemet
Seguro (IPSec) y un amplio rango de procedimientos de auditoría, Microsoft Windows 2000 facilita la
aplicación de las directivas de seguridad a equipos individuales o escalarlas a dominios o empresas
completas.
Plantillas para implantar directivas de seguridad
Windows 2000, como ya sabemos o pronto aprenderemos, posee una rica y diversa gama de
características de seguridad. Con estas características, no obstante, vienen múltiples opciones de
directivas y atributos de seguridad que hay que configurar. Configurar el sistema con directivas
consistentes a las necesidades de seguridad de la compañía, en sí misma, no es una tarea pequeña.
Multiplíquese eso por todos los equipos del sitio o de la organización y se obtendrá bastante faena. Y
esto no incluye el tiempo de mantenimiento necesario si las directivas de la compañía se van a volver a
evaluar.
Hay que introducir plantillas de seguridad. Una plantilla de seguridad, de forma sencilla, es un archivo de
configuración para todos los atributos de seguridad del sistema. Las plantillas de seguridad son potentes
y ayudan a rebajar el esfuerzo de administración. Usando una interfaz única, un administrador puede
generar una plantilla de seguridad que refleje las necesidades de seguridad de la compañía y aplicarla
después a un equipo local o importarla a un objeto Directiva de grupo de Active Directory. Cuando se
incorpora la plantilla al objeto Directiva de grupo, todos los equipos afectados por el objeto recibirán las
opciones de la plantilla.
Ejecución del complemento Plantillas de seguridad

Capítulo 17
Las plantillas de seguridad se pueden crear o modificar con el complemento Plantillas de seguridad de la
Consola de administración de Microsoft (MMC). Para añadir el complemento a la MMC, hay que
ejecutar mmc.exe desde el cuadro de diálogo Ejecutar, al cual se accede desde el menú Inicio. Desde el
menú Consola, se elige Agregar o eliminar complemento. Se pulsa el botón Agregar de la ficha
Independiente y se selecciona Plantillas de seguridad en la lista de complementos proporcionada. Se
pulsa Agregar en el cuadro de diálogo Agregar un complemento independiente, para agregar la entrada
Plantillas de seguridad al cuadro de diálogo Agregar o eliminar complementos y después se pulsa Cerrar.
Hay que pulsar Aceptar en el cuadro de diálogo Agregar o quitar complementos y el complemento
Plantillas de seguridad se habrá añadido a la Raíz de la consola, en el árbol de la consola.
En el árbol de consola, hay que expandir Plantillas de seguridad y la carpeta Security\Templates para
mostrar una lista inicial de las plantillas. Existen plantillas predefinidas que se pueden ajustar a las
necesidades específicas de la compañía. Cuando se crea una nueva plantilla o se copia una existente, ésta
se añade a la lista. Si se selecciona cualquiera de las directivas ya cargadas, el panel derecho de la
consola muestra todas las áreas de seguridad disponibles para su configuración.
Esencialmente, cada plantilla de la lista representa un único archivo legible .INF. El complemento sólo es
una interfaz para modificar estos archivos de plantilla de seguridad. Los archivos se pueden encontrar en
la raíz del sistema en %RaízDeSistema%\Security\Templates.
El siguiente es un pequeño extracto de la plantilla securews /(Securews.inf), mostrando el área de

Directivas de cuenta:
[System Access]
;-------------------------------------------
;Account Policies - Password Policy
;-------------------------------------------
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
RequireLogonToChangePassword = 0
ClearTextPassword = 0
Cómo examinar las directivas de plantilla
Cada plantilla contiene opciones de atributo para siete áreas de seguridad configurables en Windows
2000. Hay que pulsar dos veces sobre el área de seguridad en el panel derecho de la consola o expandir el
árbol de consola en el panel izquierdo, para mostrar las secciones específicas.
Directivas de cuenta

Capítulo 17
El área Directivas de cuenta incluye directivas pertenecientes a las cuentas de usuario. Contiene
Directiva de contraseñas, Directiva de bloqueo de cuentas y Directiva Kerberos.
● Directivas locales: El área Directivas locales incluye directivas pertenecientes a quién tiene
acceso local o de red al equipo y cómo se hace la auditoría de los sucesos. Esta área contiene
Directiva de auditoría, Asignación de derechos de usuario y Opciones de seguridad.
● Registro de sucesos: El área Registro de sucesos contiene atributos que determinan cómo se
comportan los registros de aplicación, seguridad y sistema. Los atributos de registro incluyen
tamaño máximo y restricciones de acceso. Los registros de sucesos se pueden ver en el Visor de
sucesos.
● Grupos restringidos: La opción de seguridad Grupos restringidos es para agregar miembros a los
grupos de usuarios predefinidos, los cuales tienen características predefinidas o a otros grupos
definidos por el administrador que pueden tener privilegios. Los grupos de usuarios predefinidos
comprenden Administradores, Superusuarios y Operadores de copia de seguridad.
● Servicios de sistema: El área Servicios de sistema incluye atributos de seguridad para todos los
servicios de sistema del equipo local. Los servicios de sistema comprenden servicios de archivos,
servicios de impresión, servicios de red y servicios de telefonía.
● Registro: El área Registro contiene atributos de seguridad para las claves del registro existente,
incluyendo la información de auditoría y los permisos de acceso.
● Sistema de archivos: El área Sistema de archivos permite la configuración de los permisos de
acceso y de auditoría de directorios y archivos específicos del sistema local.
Plantillas predefinidas
Las plantillas predefinidas proporcionadas por Windows 2000 se pueden usar tal cual o se pueden
personalizar para que cumplan requisitos de seguridad más rigurosos. Estas plantillan cubren una serie de
niveles y representan escenarios típicos de seguridad para distintos tipos de equipos encontrados en un
sistema -léase estaciones de trabajo, servidores o controladores de dominio-. La Tabla 18.1 muestra
algunas de las plantillas de seguridad predefinidas organizadas por nivel de seguridad.
Algunas plantillas de seguridad predefinidas

Nivel de seguridad Nombre de plantilla Descripción
Predeterminado basicwk Plantilla para estación de trabajo

predeterminada.
basicsv Plantilla para servidor
predeterminado.
basicdc Plantilla para controlador de
dominio predeterminado.

Capítulo 17
Seguro securews Plantilla para estación de trabajo o

servidor seguro.
securedc Plantilla para controlador de
dominio seguro.
Muy seguro hisecws Plantilla para estación de trabajo o
servidor muy seguro.
hisecdc Plantilla para controlador de
dominio muy seguro.
Compatible compatws Plantilla para estación de trabajo o
servidor compatible.
Tras instalación Instalación de seguridad Plantilla para las opciones por
defecto tras la instalación.
Seguridad DC Plantilla para las opciones de un

controlador de dominio tras la
instalación.
Plantillas de seguridad predeterminada
Las plantillas de seguridad básicas para estaciones de trabajo, servidores y controladores de dominio
contienen opciones por defecto de Windows 2000 para directivas de cuentas y locales, así como valores
típicos para el mantenimiento del registro de sucesos y de los permisos básicos para los servicios del
sistema. Además, estas plantillas básicas incluyen permisos de acceso por defecto al sistema de archivos,
directorios y claves del registro que, una vez aplicados, sobrescriben las opciones de seguridad existentes
para esos objetos y para sus hijos. Estas plantillas básicas, no obstante, omiten de forma intencionada la
asignación de derechos de usuario para que no se sobrescriba ninguna asignación hecha por los
programas de instalación de aplicaciones. Esta omisión significa que las plantillas de seguridad básica se
pueden aplicar a una máquina para poner a cero la configuración de seguridad de ese sistema. .
Una mirada más de cerca de las tres plantillas básicas revela diferencias menores entre ellas. Mientras
que la plantilla básica para estaciones de trabajo incluye las configuraciones por defecto necesarias para
los servicios del sistema, la plantilla básica de servidor añade configuraciones por defecto para el inicio
automático de los servicios sólo de servidor, como el Servicio SMTP de Microsoft y Registro de
licencias. La plantilla básica para controlador principal de dominio omite toda la configuración de
servicios de sistema. La plantilla básica de controlador principal de dominio está más ajustada para un
controlador de dominio que da servicios a usuarios.
Plantillas de seguridad seguras
Se proporcionan dos plantillas seguras: una para controlador de dominio y una plantilla combinación
para estación de trabajo y servidor. Con contraseñas y directivas de bloqueo más estrictas y con registros

Capítulo 17
de auditoría que restringen el acceso de invitado y manteniendo hasta cinco veces la información de
auditoría de las plantillas básicas (diez veces para el controlador de dominio), las plantillas seguras
proporcionan un nivel medio de seguridad.
Las plantillas seguras también activan más características de auditoría que las plantillas básicas. Los
sucesos de inicio de sesión sin éxito y de uso de privilegios, así como la administración de cuentas con o
sin éxito y de cambios de directivas, se configuran para hacer auditoría. Además, la plantilla de
controlador de dominio seguro proporciona auditoría de acceso a objetos y al servicio de directorios. Las
directivas de cuentas y locales también aparecen en la plantilla de controlador de dominio seguro, pero
están ausentes para la plantilla de controlador de dominio básico. Debido a que los permisos de archivos,
directorios y claves de registro se configuran de forma segura por defecto, estas áreas de seguridad se
omiten en este tipo de plantilla.
Plantillas de seguridad muy seguras
Las plantillas muy seguras en realidad son bastante flojas y se concentran en la seguridad de las
comunicaciones de entornos en modo nativo (Windows 2000). En breve, los atributos de seguridad se
asignarán para comunicaciones del lado del cliente y del lado del servidor firmadas digitalmente y para
firmar y cifrar datos de canales seguros. Debido a que se fija el protocolo de máxima protección, no
obstante, los sistemas a los que se apliquen estas plantillas no podrán comunicarse con máquinas que
ejecuten Microsoft Windows 95, Microsoft Windows 98 o Microsoft Windows NT. Aparte de que no
existen los grupos restringidos Usuarios autenticados y Supersusuarios en la plantilla muy segura de
estación de trabajo/servidor (hisecws), las plantillas muy seguras de estación de trabajo/servidor y de
controlador de dominio son prácticamente la misma.
Plantilla de seguridad compatible
En la plantilla básica de estación de trabajo, los Usuarios autenticados con, por defecto, Superusuarios.
Las plantillas seguras y muy seguras de estaciones de trabajo eliminan a los Usuarios autenticados del
grupo Superusuarios. Debido a que el objetivo de la plantilla de seguridad compatible es permitir que se
ejecuten de forma satisfactoria la mayoría de las aplicaciones, pero sin el coste de comprometer los
niveles de seguridad de los Superusuarios, esta plantilla también elimina a los Usuarios autenticados del
grupo Superusuarios. Con el grupo Usuarios autenticados degradado, la plantilla facilita la
compatibilidad disminuyendo la seguridad en carpetas, archivos y claves de registro a las que suelen
acceder las aplicaciones.
Plantillas de seguridad tras instalación
La plantilla de seguridad segura contiene opciones de seguridad tras instalación para estaciones de
trabajo y servidores. La plantilla de seguridad para controladores de dominio se basa en la plantilla de
seguridad de la instalación, añadiendo las opciones por defecto para controladores de dominio.
Cómo modificar una plantilla predefinida

Capítulo 17
Se puede usar una plantilla predefinida como punto de partida para el esquema propio de seguridad.
Primero hay que hacer una copia de la plantilla pulsando el botón derecho sobre el nombre de la plantilla
y eligiendo Guardar como. Después se especifica el nombre del archivo, asegurándose de que mantiene
la extensión .INF. Se pueden modificar los atributos de cualquiera de las áreas de seguridad en la nueva
plantilla expandiendo completamente el árbol de plantilla sobre esa área. Para los atributos, se pulsa el
botón derecho sobre el nombre de atributo y se elige Seguridad en el menú de contexto, para abrir el
cuadro de diálogo Configuración de la directiva de seguridad de la plantilla. Para las carpetas Grupos
restringidos, Registro y Sistema de archivos, hay que pulsar el botón derecho sobre la carpeta y elegir
Agregar grupo, Agregar clave o Agregar archivo, respectivamente.
Cómo definir nuevas plantillas
También se puede optar por generar una plantilla de seguridad completa a partir de cero. En el árbol de
consola del complemento Plantillas de seguridad, hay que pulsar el botón derecho sobre la carpeta por
defecto de la plantilla padre (%RaízDeSistema%\Seguridad\Plantilla) y elegir Nueva plantilla. En el
cuadro de diálogo que aparece, se escribe el nombre de plantilla y la descripción del propósito de la
plantilla. La nueva plantilla se guarda como archivo .INF en la carpeta Plantillas y se añade a la lista de
plantillas disponibles.
En este punto, el nuevo archivo de plantilla está vacío, excepto por algo de información sobre la versión
y la descripción. Visualizar cualquier atributo de la nueva plantilla listará los atributos como No definido.
Las carpetas Grupos restringidos, Registro y Sistema de archivos simplemente no contendrán entradas.
Para cada área de seguridad, se puede configurar parte o todos los atributos de seguridad o se puede optar
por dejar el área no configurada. Para modificar la configuración de un atributo, hay que pulsar el botón
derecho sobre el atributo en el panel derecho y elegir Seguridad. Aparece el cuadro de diálogo
Configuración de la directiva de seguridad de la plantilla. Para activar la configuración y asignar el
atributo hay que seleccionar el cuadro de verificación Definir esta configuración de directiva. Las
configuraciones guardadas en los diversos atributos representan una serie de tipos de datos, incluyendo
Booleano (activado, desactivado), enteros (tamaño máximo de archivo) y fechas y horas.
Es tan sencillo como configurar aquellas áreas de seguridad que contengan una lista de elementos en
lugar de atributos individuales. Se pulsa el botón derecho sobre Grupos restringidos, Registro o Sistema
de archivos y se selecciona Agregar grupo, Agregar clave o Agregar archivo, respectivamente. Después
se pueden explorar los objetos para agregar y escoger permisos de acceso, propietario e información de
auditoría, en el cuadro de diálogo Control de acceso.
Una vez completada la plantilla de seguridad, se guarda pulsando el botón derecho sobre el nombre de la
plantilla y eligiendo Guardar. Entonces está preparada para aplicarse a la computadora local o al objeto
Directiva de grupo.
Cuando se crean nuevas plantillas de seguridad para la arquitectura del sistema, hay que

Capítulo 17
recordar que la seguridad se aplica mediante capas de plantillas. La base de datos de

configuración permite que se importen plantillas una tras otra, por lo que las directivas de
seguridad de las distintas plantillas tienen un efecto de máscara. Los conflictos sobre
atributos específicos se resuelven dando mayor prioridad ala plantilla cargada de forma
más reciente. Esto significa que las plantillas con grados variados de seguridad no
necesitan contener datos redundantes. En cambio, los atributos básicos de seguridad se
pueden aplicar con una plantilla de seguridad estándar que se cargue primero. Las
plantillas de seguridad con mayor nivel necesitan, por tanto, contener sólo las diferencias
de seguridad entre los dos niveles.
Cómo aplicar plantillas
Una plantilla de seguridad que contiene las configuraciones de seguridad del sistema se puede aplicar a la
computadora local o bien se puede poner a un grupo de equipos importándola al objeto Directiva de
grupo. Aplicar la plantilla al equipo local se realiza mediante el complemento Configuración y análisis de
seguridad.
Para importar la plantilla de seguridad al objeto Directiva de grupo, hay que escoger el objeto destino
Directiva de grupo en la MMC. Se expande el objeto y después se expande Configuración del equipo y
Configuración de Windows para mostrar Configuración de seguridad. Se pulsa el botón derecho sobre
Configuración de seguridad y se elige Importar directiva. Aparece una lista de plantillas de seguridad,
siendo cada plantilla un archivo .INF. Se elige la plantilla deseada.
Hay que reducir las molestias administrativas de configurar grandes vectores de atributos
de seguridad, modificando las plantillas predefinidas siempre que sea posible.
Configuración y análisis de seguridad
Configuración y análisis de seguridad es un complemento de MMC que permite a los administradores

comprobar el estado de la seguridad del sistema frente a una o más plantillas de seguridad y realizar las
modificaciones correspondientes. Útil como herramienta de configuración y como herramienta de
mantenimiento, el complemento permite importar plantillas de seguridad predefinidas o modificadas,
analizar todas las áreas de seguridad frente a esas plantillas con sencillas órdenes y visualizar resultados
concretos. Después se puede sincronizar la seguridad del sistema con la plantilla de una vez o resolver las
discrepancias en base atributo a atributo.
Esta herramienta, junto con la plantilla de seguridad apropiada, es inestimable para la instalación de la
configuración inicial de seguridad de una máquina en la que se han definido muchos atributos de
seguridad y permisos de archivo, directorio y clave de registro. Las directivas de seguridad de
computadoras de una empresa o una división completa se pueden traducir a una única plantilla e
importarla para configurar con rapidez una o más máquinas. Además, el complemento es muy útil para
mantener el nivel de seguridad de un sistema. Sin excepciones, en caso de resolver problemas temporales

Capítulo 17
de red o administración, los atributos de seguridad se vuelven no disponibles y los permisos de los
objetos se fijan a control total. Analizar de forma periódica la seguridad del sistema frente a las plantillas
que lo definen permite localizar y solucionar de forma sencilla defectos de seguridad.
Finalmente, la herramienta permite exportar plantillas de seguridad que se hayan modificado durante la
configuración de una máquina para volver a evaluar tales plantillas en el complemento Plantillas de
seguridad. Si se han importado una o más plantillas, se puede guardar una única plantilla compuesta que
es la suma de todas las opciones de plantilla.
Cómo abrir la base de datos de seguridad
Al igual que los otros complementos de la MMC, Configuración y análisis de seguridad se añade a la
MMC eligiendo Agregar o quitar complemento en el menú Consola. Se pulsa el botón Agregar y se
selecciona Configuración y análisis de seguridad en la lista proporcionada de complementos.
Las plantillas de seguridad se importan a la base de datos, la cual se usa para realizar el análisis y la
configuración. El archivo de base de datos de seguridad usa una extensión .SDB. Para crear una nueva
base de datos o abrir una existente, hay que pulsar el botón derecho sobre Configuración y análisis de
seguridad y elegir Abrir base de datos. En el cuadro de diálogo Abrir base de datos, se selecciona el
archivo .SDB a abrir o se escribe un nuevo nombre de archivo para crear una base de datos. Cuando se
escribe un nuevo nombre de base de datos, aparece un segundo cuadro de diálogo permitiendo importar
una plantilla de seguridad base. Se elige una plantilla predefinida o una plantilla modificada con el
complemento Plantillas de seguridad. La lista de plantillas predefinidas está en la carpeta
%RaízDeSistema%\Security\Templates.
Cómo importar y exportar plantillas
Una vez abierta la base de datos de seguridad, se pueden importar plantillas adicionales de seguridad en
ella. Para hacerlo, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir
importar plantilla. Hay que seleccionar el archivo de plantilla .INF que se desea importar. Esta plantilla
complementa la plantilla o plantillas de la base de datos actual; no las reemplaza.
En el proceso de análisis y configuración de la seguridad de un sistema con una plantilla de base de

datos, puede que sea necesario definir una directiva más precisa y por lo tanto modificar la plantilla. La
modificación no se guarda en la plantilla original importada; en su lugar, se guarda como copia de la base
de datos. Para usar la plantilla modificada en otra máquina, será necesario exportarla. También se pueden
combinar varias plantillas exportadas en una única plantilla combinada que se puede exportar después.
Para exportar una plantilla, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad
y elegir Exportar plantilla. En el cuadro de diálogo resultante, se escoge un nombre de archivo para la
plantilla usando la extensión .INF.
Análisis de la seguridad y visualización de resultados

Capítulo 17
Una vez importadas las plantillas necesarias a la base de datos, se puede analizar el sistema. Para analizar
la seguridad del sistema, se pulsa el botón derecho sobre Configuración y análisis de seguridad y se elige
Analizar el equipo ahora. En el cuadro de diálogo Realizar análisis, se selecciona el camino y el nombre
de archivo destino para los resultados del análisis. Se pulsa Aceptar y aparece la ventana de progreso
Analizando la seguridad del sistema.
El análisis genera dos tipos de resultados. Primero, el éxito o fallo de cada componente analizado se
escribe en un registro de errores. Segundo, las áreas de seguridad se listan bajo Configuración y análisis
de seguridad en el árbol de consola. Cada área da los resultados del análisis en una comparación atributo
a atributo. Cuando se completa el análisis, se puede ver el registro de errores pulsando el botón derecho
sobre Configuración y análisis de seguridad y eligiendo Ver el archivo de registro. El registro aparece en
el panel derecho con un sello de fecha y hora; éste informa sobre la completitud de cada área analizada.
El siguiente código pertenece a un pequeño extracto de un típico archivo de registro:
Ver el archivo de registro

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
04/23/2000 09:27:23
- - - - Se ha inicializado correctamente el motor de análisis. - - -
- - - - Leyendo información de configuración...
- - - - Analizar la directiva de seguridad...

Analizar la información sobre contraseñas.
Analizar la información sobre bloqueo de cuentas.
Analizar otra configuración de directiva.
Se ha completado correctamente el análisis de acceso al sistema.

Analizar la configuración del registro.
Analizar la configuración de la auditoría de sucesos.
Se ha completado correctamente el análisis de auditoría y el registro.
Se ha completado correctamente el análisis de los valores del

Registro.
Este archivo de registro no muestra discrepancias entre atributos individuales sino errores de integridad
en el análisis. Para visualizar los verdaderos resultados del análisis, hay que expandir Configuración y
análisis de seguridad en el árbol de la consola. Aparecen las siete áreas familiares de la seguridad del
sistema: Directivas de cuentas, Directivas locales, Registro de sucesos, Grupos restringidos, Servicios de
sistema, Registro y Sistema de archivos.
Para visualizar los resultados de análisis de cualquiera de estas áreas, hay que expandir el área y

Capítulo 17
seleccionar una subcategoría. Grupos restringidos y Servicios de sistema no son jerárquicas y sólo hace
falta seleccionarlas.
En el panel derecho de la consola, cada atributo va seguido por dos opciones: la plantilla guardada (base
de datos) y la configuración de sistema (equipo) analizada. El icono para el atributo en el que la opción
está acorde contiene una marca verde. Si la base de datos y la configuración del equipo difieren, una «X»
roja puntúa el icono del atributo. Los atributos no configurados en la plantilla no se analizan y no
aparecen con marca en el icono.
Configuración de la seguridad
Después de haber analizado satisfactoriamente el sistema y encontrado discrepancias entre la base de

datos y la configuración del equipo, hay unas pocas alternativas. Dependiendo de la evaluación de los
resultados, se puede decidir que la plantilla actual de seguridad no es la apropiada para este equipo.
Pudiera hacer falta una plantilla más estricta o relajada o puede que aparezcan como no configurados
atributos vitales y áreas de seguridad adicionales que es necesario plantear. La solución es importar una
plantilla que se ajuste mejor a los requisitos específicos del sistema. Las plantillas se pueden añadir en
orden ascendente de importancia. Las nuevas plantillas que se mezclan en la base de datos sobrescriben
todos los conflictos de atributos o permisos.
Por otra parte, puede decidirse que la plantilla correcta era la que se usó, pero que la configuración del
equipo en realidad no es la apropiada. En este caso, habrá que cambiar la plantilla de la base de datos
para que los posteriores análisis no muestren estas discrepancias. Para hacerlo, se pulsa el botón derecho
sobre el atributo en cuestión y se elige Seguridad para abrir un cuadro de diálogo en el que se puede
cambiar la plantilla de la base de datos. Se puede cambiar la configuración de la plantilla para que se
ajuste a la configuración del equipo o se puede quitar el cuadro de verificación Definir esta directiva en
la base de datos para especificar que la configuración no debería volver a considerarse durante el análisis.
Finalmente, puede determinarse que la plantilla de seguridad es la correcta y que el sistema está violando
las directivas y necesidades de seguridad a seguir. Una vez liberados todos los errores de la plantilla y
manteniendo sólo las discrepancias válidas, habrá que configurar el sistema. Para hacerlo, hay que pulsar
el botón derecho sobre Configuración y análisis de seguridad y elegir Configurar el equipo ahora.
Cómo activar la autentificación
Junto con muchas otras tareas, el controlador de dominio autentica a los usuarios de la red usando las
directivas de seguridad y la información de autenticación de usuario almacenada en el servicio de
directorio Active Directory. Durante un inicio de sesión interactivo, un usuario inicia una sesión en una
cuenta de dominio con una contraseña o una tarjeta inteligente. El controlador de dominio confirma la
identidad del usuario con la información almacenada en Active Directory. Una vez que ha tenido lugar el
inicio de sesión interactivo en el controlador de dominio, se realiza una autenticación de red del usuario
sin ningún esfuerzo por parte del usuario. El usuario puede acceder a los recursos de la red sin tener que

Capítulo 17
volver a introducir una contraseña o el número de identificación personal (PIN) de la tarjeta inteligente.
Un inicio de sesión interactivo también puede autenticar al usuario en un equipo local en lugar de en un
controlador de dominio. Con un inicio de sesión interactivo local, la autenticación de red requiere que se
vuelva a introducir una contraseña cada vez que el usuario necesite acceder a un recurso.
El protocolo de autenticación Kerberos versión 5 se usa para inicios de sesión interactivos y también es
el protocolo predeterminado para la autenticación de red. Cada controlador de dominio incluye Kerberos
versión 5. Tanto el centro de distribución de claves como el servicio de concesión de tickets son
componentes de Kerberos y se convierten en partes fundamentales del controlador de dominio. El centro
de distribución de claves se ejecuta como parte de Active Directory, el cual guarda las contraseñas y la
información de cuentas de usuario para la autenticación. Un cliente Kerberos está instalado en todas las
estaciones de trabajo y servidores Windows 2000.
Los clientes de acceso remoto, además de iniciar sesiones en la red, tienen que autenticarse ante el
servidor de acceso remoto antes de que puedan acceder a la red. Las tarjetas inteligentes y los
certificados, así como los protocolos basados en contraseñas, se usan para el acceso telefónico a redes.
Cómo obtener tarjetas inteligentes y certificados
Las tarjetas inteligentes combinan la seguridad del cifrado de clave pública con la portabilidad de las
contraseñas. Antes de poder usar una tarjeta inteligente para la autenticación, es necesario programar un
certificado de inicio de sesión en la tarjeta. Esto lo hace el administrador, quien solicita un certificado de
tarjeta inteligente a la Autoridad de certificados (CA) mediante una estación de inscripción de
comportamiento.
Instalación de un agente de inscripción
Para solicitar certificados a tarjeta inteligente a una CA, el administrador necesita un certificado especial
para firmar la solicitud. Este certificado, conocido como certificado de agente de inscripción, tiene que
solicitarse con una sesión iniciada como administrador del dominio desde la máquina dedicada que se
utilizará para programar las tarjetas inteligentes. El certificado de agente de inscripción es un certificado
software y una clave privada que se pueden solicitar mediante el complemento Certificados de la MMC.
Hay que asegurarse de usar la plantilla de certificado de agente de inscripción, ya que es lo que autoriza
al administrador a realizar solicitudes de certificado de tarjeta inteligente.
Es posible, aunque muy poco recomendable, permitir que los usuarios programen sus
propias tarjetas inteligentes, dándoles derechos de acceso a la plantilla de certificado de
agente de inscripción. La programación y distribución de forma administrativa de las
tarjetas inteligentes proporciona una mayor responsabilidad.
Programación de tarjetas inteligentes

Capítulo 17
Una vez que el administrador ha instalado el lector de tarjetas inteligentes en el sistema y que ha
obtenido el certificado de agente de inscripción, el sistema está preparado para programar tarjetas
inteligentes. La instalación de tarjetas inteligentes añade un proveedor de servicio de cifrado (CSP) al
sistema que se selecciona durante el proceso de programación de la tarjeta inteligente.
El proceso de solicitud basado en Web primero genera un par de claves pública/privada en la tarjeta
inteligente. Usando la clave pública y el nombre de usuario, la autoridad de certificado expide y firma un
certificado. Finalmente, el certificado se añade a la tarjeta inteligente. Para programar una tarjeta
inteligente, hay que seguir estos pasos:
1. Con el administrador de dominio como usuario actual, se abre Microsoft Internet Explorer y se
especifica el URL del servidor de certificado. El URL será el nombre del servidor seguido por
\Certsrv.
2. Se selecciona Solicitar un certificado y después Siguiente.
3. Se selecciona Solicitud avanzada y después Siguiente.
4. Se elige la opción Solicitar un certificado para una tarjeta inteligente sobre el comportamiento de
otro usuario que usa la estación de inscripción de tarjetas inteligentes. Se pulsa Siguiente.
5. Aparece la página Web Estación de inscripción de tarjetas inteligentes. Se fijan los campos con
los valores siguientes
● Plantilla de certificado: Inicio de sesión de la tarjeta inteligente.
● Autoridad de certificado: CA para expedir el certificado.
● Proveedor de servicio de cifrado: CSP del fabricante de la tarjeta inteligente.
● Certificado de firma de administrador: Certificado del agente de inscripción.
● Usuario a inscribir: Nombre del usuario final de la tarjeta inteligente.
6. Se pulsa Enviar solicitud de certificado.

7. Una vez rellenada la solicitud por la autoridad de certificado, se pide que se inserte la tarjeta y que
se introduzca el PIN de la tarjeta inteligente. Esto carga el certificado en la tarjeta.
Los certificados de tarjeta inteligente para los usuarios que requieren distintas
funcionalidades (como el cifrado) se pueden programar de forma similar especificando
una plantilla de certificado distinta.
Cómo obtener certificados basados en software
La autenticación también se puede llevar a cabo con las claves privadas y los certificados que residen en
el equipo local.
Inicio de sesión con tarjetas inteligentes
Una vez instalado el lector de tarjetas inteligentes en el sistema destino y que el usuario haya obtenido
una tarjeta inteligente correctamente programada por el administrador, el usuario puede usar la tarjeta
inteligente para iniciar sesiones en el equipo. Para hacerlo, el usuario sólo tiene que insertar la tarjeta

Capítulo 17
inteligente en el lector e introducir un PIN cuando se le pida. Este proceso tiene lugar pulsando
CTRL+ALT+SUPR e introduciendo un nombre de usuario y contraseña.
Para impedir que ladrones accedan al sistema usando una tarjeta robada, el sistema
cuenta los intentos incorrectos de inicio de sesión. Después de tres fallos consecutivos, la
tarjeta se bloquea para el sistema.
Cómo activar certificados remotos o autenticación de tarjeta inteligente
Como ya mencionamos anteriormente, el certificado de clave pública del usuario usado para la
autenticación se puede programar en una tarjeta inteligente o se puede guardar localmente en el equipo.
Para activar la autenticación de acceso telefónico en cada escenario, hay que seguir los pasos de las dos
secciones siguientes.
Autenticación con certificado de tarjeta inteligente
1. En el menú Inicio de la máquina remota, se abre el Panel de control y se pulsa dos veces sobre
Conexiones de red y de acceso telefónico.
2. Se pulsa dos veces sobre la conexión de red o de acceso telefónico para la que se desea activar la
autenticación y se elige Propiedades. En la ventana Propiedades de la conexión de acceso
telefónico, se pulsa sobre la ficha Seguridad.
3. Hay que asegurarse de que está seleccionado Típica y de que el cuadro de lista Validar mi
identidad como sigue tiene asignada Usar tarjeta inteligente. Se puede seleccionar el cuadro de
verificación Requerir cifrado de datos para seguridad adicional.
Autenticación con certificado guardados en la computadora local
1. En el menú Inicio de la máquina remota, se abre el Panel de control y se pulsa dos veces en
2. Se pulsa el botón derecho sobre la conexión de red o de acceso telefónico para la que se desea
activar la autenticación y se pulsa Propiedades. En la ventana Propiedades de la conexión de
acceso telefónico a redes, se pulsa sobre la ficha Seguridad.
3. Se selecciona la opción Avanzada en la ventana Propiedades de la conexión de acceso telefónico
y se pulsa el botón Configuración. En el cuadro de diálogo Propiedades de seguridad avanzada
hay que seleccionar Usar el protocolo de autenticación extensible (EAP) y hay que asegurarse de
que el cuadro de lista muestra Tarjeta inteligente u otro certificado (cifrado habilitado).
4. Se pulsa el botón Propiedades para mostrar la ventana Propiedades de tarjeta inteligente u otros
certificados. Para configurar la autenticación de certificados residentes en el almacén local de
certificados, hay que seleccionar Usar un certificado en este equipo.
El cuadro de diálogo Configuración de seguridad avanzada también se utiliza para fijar proto
colos de autenticación alternativos para la conexión. Estos protocolos, listados bajo Permitir
estos pro tocolos, cubren desde el Contraseña no cifrada (PAP) a la versión 2 del Protocolo de

Capítulo 17
autenticación por desafío mutuo (MS-CHAP v2). Se pueden seleccionar uno o más de estos
protocolos permitidos.
5. En esta ventana aparecen dos opciones específicas a los certificados. Primero se pueden restringir
las conexiones a determinados servidores. Para hacer esto, se selecciona la opción Validar un
certificado de servidor y se activa uno de los métodos de validación:
● Conectar siempre que el nombre del equipo termine con: Esta opción requiere que el
servidor esté en un determinado dominio. Por ejemplo, se introduce netsolvers.corn en este

cuadro para conectar sólo con los servidores del dominio de Netsolvers.
● Entidad emisora raíz de confianza: Esta opción permite elegir la jerarquía de
certificados a la que pertenece el servidor.
La segunda opción, Use un nombre de usuario distinto para la conexión, impide que el proceso de
autenticación use el sujeto del certificado como nombre de usuario. Esto permite especificar un
nombre alternativo.
6. Se pulsa Aceptar para cerrar la ventana.
Tanto si se usa autenticación basada en tarjetas inteligentes, como autenticación basada

en contraseñas o una mezcla de las dos, hay que asegurarse de que los clientes de acceso
remoto y los servidores de acceso remoto admiten al menos un método común de
autenticación.
Cómo configurar la autenticación para un servidor de acceso remoto
Además de configurar el cliente de acceso remoto, también será necesario configurar el servidor de
acceso remoto para que permita inicio de sesión basado en tarjeta inteligente o basado en certificados.
Para hacerlo hay que seguir estos pasos:
1. Se elige Enrutamiento y acceso remoto en la carpeta Herramientas administrativas del menú

Programas.
2. Se pulsa el botón derecho sobre el nombre del servidor de acceso remoto y se elige Propiedades.
En la ficha Seguridad, se pulsa Métodos de autenticación, asegurándose de que está seleccionado
el cuadro de verificación Protocolo de autenticación extensible (EAP) y después, se pulsa dos
veces Aceptar.
3. De nuevo en el cuadro de diálogo Enrutamiento y acceso remoto, se expande el servidor de acceso
remoto y se pulsa sobre Directivas de acceso remoto. Se pulsa con el botón derecho sobre la
directiva que se usará cuando los clientes de tarjeta inteligente inicien la sesión y se elige
Propiedades. Se pulsa el botón Modificar perfil y en el cuadro de diálogo Modificar perfil de
marcado, se pulsa sobre la ficha Autenticación. Se selecciona el cuadro de verificación Protocolo
de autenticación extensible. Esto también activará el tipo EAP; hay que asegurarse de que está
seleccionado Tarjeta inteligente u otro certificado. Se pulsa el botón Configurar y se selecciona el
certificado de máquina para usar en la autenticación.

Capítulo 17
Si al pulsar el botón Configurar aparece un error diciendo que no se puede encontrar el

certificado, es necesario instalar una máquina de certificados. Esto se puede hacer
asegurando que la CA de la empresa está configurada para inscripción automática, lo que
localiza automáticamente los certificados de equipo para los miembros del dominio. Una
vez configurado, se ejecuta secedit /refreshpolicy máquina de_directivas desde la línea de
órdenes de Windows 2000 en el servidor de acceso remoto, para crear un certificado de
equipo.
Implantación del control de acceso
En el mundo real, la autorización está dictada por las directivas. Cuando viene del uso de recursos,
lectura de documentos o habitaciones de acceso, personas distintas tienen distintos derechos. La
implantación de estas directivas pueden ser cajas fuertes o placas de acceso. En el entorno de Windows
2000, la autorización también se basa en directivas. Distintas personas o grupos de personas tienen
distintos derechos. Las directivas aquí se implantan mediante control de acceso. Bastante sencillo, el
control de acceso determina qué usuarios pueden acceder a qué recursos. Los recursos en Windows 2000
son:
● Archivos y carpetas, a los que se puede acceder mediante el Explorador de Windows.

● Volúmenes, carpetas y archivos compartidos, a los que se permiten permisos en los sistemas de
archivos NTFS y FAT.
● Objetos de Active Directory, que son administrador con el complemento Usuarios y equipos de
Active Directory.
● Claves del registro, que se administran con el Editor del Registro.
● Servicios, que se administran con el Conjunto de herramientas de configuración de seguridad.
● Impresoras, que se configuran mediante Configuración en el menú Inicio.
Cada recurso posee un descriptor de seguridad asociado a él que define el propietario del objeto, los
permisos de acceso del objeto y la información de auditoría del objeto.
Para los objetos de Active Directory, la responsabilidad administrativa se puede delegar en el grupo
Administradores. La delegación permite que los permisos de objeto se administren como una unidad
organizativa del dominio, sin tener que necesitar varios administradores para el dominio completo.
Cómo establecer la propiedad
El propietario de un objeto controla quién puede acceder al objeto asignando los permisos de objeto. Por
defecto, el propietario del objeto es el administrador. Normalmente, los administradores crean la mayoría
de los objetos de red y son los responsables de la asignación de los permisos de objeto.
Uno de los permisos estándar asociado a todos los objetos es el permiso Toma de posesión. Concediendo

Capítulo 17
este permiso, el propietario permite que un usuario (o un miembro de un grupo) asuma la propiedad del
objeto. La toma de posesión se puede realizar mediante la herramienta que administra el tipo específico
de objeto. Por ejemplo, las impresoras se administran mediante la interfaz encontrada en Configuración
en el menú Inicio. La ficha Seguridad de la ventana Propiedades de la impresora muestra los grupos y los
usuarios que tienen permisos asignados. Pulsando el botón Avanzada se abre el cuadro de diálogo
Configuración de control de acceso. Con los permisos correctos, el propietario puede modificar la ficha
Propietario. Los administradores pueden asumir el control de todo objeto que esté bajo jurisdicción
administrativa, independientemente de que tengan asignado el permiso Tomar posesión para ese objeto.
Asignación de permisos
Los permisos de objeto se dividen en acciones específicas que se pueden realizar sobre el objeto en
particular. Para las claves del registro, incluyen la posibilidad de crear subclaves y valores. Para objetos
de Active Directory, los permisos incluyen la posibilidad de crear y eliminar hijos.
Los permisos se fijan para los usuarios o grupos específicos que realizan las acciones sobre los objetos
particulares. Para una determinada carpeta, un grupo puede tener permisos para crear y eliminar archivos
dentro de la carpeta. Otro grupo puede tener permitido sólo listar los contenidos de la carpeta.
Para mostrar los permisos de un usuario o grupo, hay que elegir la entrada en el cuadro de diálogo
Configuración de control de acceso y pulsar el botón Ver o modificar. El propietario del objeto o el
usuario o grupo con permiso Cambiar permisos, puede usar este cuadro de diálogo para modificar los
permisos de usuario o grupo. Para agregar usuarios o grupos a la lista de control de acceso, hay que
pulsar el botón Agregar y seleccionar el usuario o grupo a agregar. Recuerde que hay que asignar los
permisos apropiados.
La carga de administración de un dominio de derechos y permisos de usuario puede

rebajarse usando una pocas líneas guía. Primero, delegar administración en las
autoridades locales siempre que tenga sentido la administración más cercana de usuarios
y servicios. Segundo, asignar permisos en base a grupos, mejor que en base a usuarios.
Tercero, asignar permisos a puntos de nodo común de Active Directory y permitir que se
propague hacia abajo en el árbol a los nodos inferiores.
Administración de certificados
Los certificados de clave pública sirven como medio de seguridad para muchos de los protocolos y
mecanismos de Windows 2000. Autenticación de red, IPSec, Sistema de archivos cifrado (EFS), Capa de
conectores seguros (SSL) y Extensión multipropósito de correo de Internet seguro (S/MIME), todos usan
certificados. MMC proporciona el complemento Certificados con el único propósito de administrar
certificados de usuario, equipo y servicio.
Para agregar el complemento Certificados a la MMC, hay que ejecutar mmc.exe desde el menú Inicio.

Capítulo 17
Desde el menú Consola, se selecciona Agregar o quitar complemento. Se pulsa el botón Agregar y se
selecciona Certificados en la lista de complementos proporcionada. Se dará la opción de elegir sobre qué
cuenta administrar los certificados: Mi cuenta de usuario, Cuenta de servicio o Cuenta de equipo. Para las
cuentas de servicio y equipo, se puede seleccionar a qué equipo administrará el complemento. Para la
cuenta de servicio, también será necesario especificar qué servicio administrar.
Los usuarios sólo pueden administrar sus certificados personales. Los certificados para
equipos y servicios los administran los administradores.
El almacén de certificados está formado por cinco categorías: Personal, Entidad emisora raíz de
confianza, Confianza de empresa, Entidades emisoras de certificados intermedias y Objeto de usuario de
Active Directory. Los certificados de las CA Raíz de confianza e Intermedias están cargados
previamente. Para visualizar los detalles de cualquier certificado, hay que pulsar dos veces sobre el
certificado.
Cómo exportar certificados y claves públicas
La orden Exportar del complemento Certificados en realidad proporciona dos funciones distintas.
Primero, permite que se exporte un certificado o cadena de certificados con el propósito de compartirlo
con usuarios o equipos que no tienen conciencia del directorio de certificados. Segundo, permite exportar
un certificado o cadena de certificados junto con la clave pública asociada para su uso de cifrado en otra
máquina.
Nota: De forma predeterminada, sólo las claves privadas para agentes de recuperación EFS básicos y
EFS se marcan como disponibles para exportar. Esto permite que todas las demás claves privadas sean
expuestas innecesariamente. Los certificados y claves que se mencionan a propósito para ser exportadas
pueden marcarse durante la solicitud de certificado.
Se puede exportar cualquier tipo de certificado, incluyendo aquellos de las CA. Naturalmente, sólo los
certificados con clave pública disponible (es decir, los certificados personales) que estén marcados para
exportarse, podrán ser exportados. Para exportar un certificado, hay que seguir estos pasos:
1. Se busca el certificado en el complemento Certificados y se pulsa el botón derecho sobre la

entrada.
2. Se señala Todas las tareas y se elige Exportar. Aparecerá la bienvenida al Asistente para
exportación de certificados.
3. Se realiza el camino del asistente, eligiendo si se exporta la clave privada (si está disponible).
4. Se elige la forma para guardar el certificado. Codificado binario DER y Codificado base-64 son
los formatos de certificado único. Con el formato PKCS #7, se puede incluir una cadena completa
de certificados. Las combinaciones de clave privada se guardan en un archivo PKCS #12 y están
protegidos con contraseña; será necesario especificar una contraseña para el archivo.
5. Se introduce el camino y nombre de archivo destino para el certificado exportado.

Capítulo 17
Cómo importar certificados
Los usuarios pueden importar certificados a cualquiera de las categorías de certificados que se
encuentran en el almacén de certificados. En el complemento Certificados, hay que pulsar el botón
derecho sobre la categoría de certificados en la que se desea importar el certificado, señalar Todas las
tareas y elegir Importar. Se introduce el nombre de archivo del certificado, el cual debe tener una
extensión estándar de formato de certificado (.PFX, .P12, CER, CRT, P713, STL, SPC, CRL o .SST).
Para los archivos PKCS #12, los cuales contienen claves privadas y certificados, será necesario introducir
la contraseña usada para proteger el archivo.
Los certificados raíz son la base de la confianza para la verificación de certificados. Hay
que ser extremadamente cuidadoso cuando se importe un certificado raíz. Hay que
asegurarse de que el certificado se recibió de una fuente de confianza y que el sello del
certificado coincide con la publicación de confianza.
Cómo solicitar certificados
Antes de usar cualquier aplicación que dependa de la infraestructura de clave pública, hará falta un
certificado. Los servidores de certificados que se configuren usando CA pueden solicitar certificado
usando el complemento Certificados.
Usando la versión 3 o posterior de Internet Explorer, se pueden solicitar certificados de

Servicios de certificado de Microsoft, ejecutándose bien en modo Independiente o bien en
modo Enterprise, mediante una interfaz Web.
El proceso de solicitud de certificados implica generar un par de claves que está formado por una clave
pública y una clave privada. La clave privada se almacena y protege en el equipo local. La clave pública,
junto con la información de identificación del usuario, se envía a la CA como solicitud de certificado. Si
la CA determina que el usuario, dispositivo o servicio está autorizado para el certificado que solicita, la
CA genera y firma el certificado. El certificado se puede recuperar después con el complemento
Certificados y situarlo en el almacén local de certificados.
Para solicitar un certificado, hay que pulsar el botón derecho sobre la carpeta Certificados del almacén de
certificados Personal. Se apunta Todas las tareas y se elige Solicitar un nuevo certificado y se siguen las
instrucciones del Asistente para solicitar certificado. Será necesario escoger un tipo de certificado
(propósito para el que se usará el certificado), un nombre amigable para el certificado y la CA que se
usará para el certificado, si hay más de una disponibles. Para permitir la descarga del certificado una vez
lo emita la CA, el Asistente para solicitar certificado proporciona la opción Instalar certificado.
Las opciones avanzadas del Asistente para solicitar certificado permitirán que se exporten
claves privadas. Hay que ser extremadamente juicioso cuando se seleccione esta opción.

Capítulo 17
Las claves privadas exportadas pueden permitir a otros usuarios leer datos cifrados.
Cómo habilitar certificados para propósitos específicos
Los certificados se pueden emitir para determinados tipos de uso. Estos usos se programan directamente
en el certificado, usando un campo de extensión del certificado. Por ejemplo, la extensión de certificado
Uso clave dice que el certificado se puede usar para la firma de datos, firma de certificados, no
incumplimiento u otros usos. La extensión Uso de clave ampliada extiende esta propiedad a otros usos,
como el sello temporal o la recuperación de archivos.
Los certificados también se pueden habilitar para propósitos específicos en función de la cuenta. Es
decir, un usuario o un administrador puede decidir qué certificados permitir o no permitir para
determinados usos. Mientras que el verdadero certificado no se modifica, los atributos en el almacén se
pueden configurar. Por ejemplo, un cierto certificado puede no tener restricciones en su uso interno de
clave. Sin embargo, un usuario puede que desee habilitar ese certificado sólo para la firma de código y
para el correo electrónico.
Para asignar propósitos a certificados, hay que pulsar el botón derecho sobre el certificado y elegir
Propiedades. Las tres opciones para los propósitos de certificado son Habilitar todos los propósitos para
este certificado, Deshabilitar todos los propósitos para este certificado y Sólo habilitar los siguientes
propósitos. Se elige la tercera opción y se seleccionan los propósitos para los que se desea usar el
certificado. Recuérdese que sólo aparecerán en la lista los propósitos permitidos por el verdadero
certificado o por el camino del certificado.
Directivas de seguridad del protocolo de Internet
IPSec proporciona seguridad extremo a extremo en las comunicaciones de red -en forma de
confidencialidad, integridad y autenticación- usando la tecnología de clave pública para proteger los
paquetes IP uno a uno.
Para agregar el complemento Administración de las directivas de seguridad de IP a la MMC, hay que
seleccionar Agregar o quitar complementos en el menú Consola. Se pulsa Agregar y se selecciona
Administración de las directivas de seguridad de IP en la lista de complementos disponibles. El cuadro
de diálogo que aparece permite seleccionar el rango de administración: equipo local, dominio del equipo
local u otro equipo.
Definición de directivas de IPSec
Las directivas de IP se pasan del agente de directivas al conductor de IPSec y definen los procedimientos
correctos para todas las facetas del protocolo, desde cuándo y cómo asegurar los datos a qué métodos
usar. Las directivas pueden llegar a ser un poco complicadas. Antes de saltar a la configuración real,
veamos algo de terminología mediante la definición de los componentes de una directiva de IPSec.

Capítulo 17
● Filtro IP Un subconjunto del tráfico de red basado en direcciones IP, puertos y protocolos de
transporte. Dice al conductor de IPSec qué tráfico entrante o saliente debe ser seguro.
● Lista de filtros IP Concatenación de uno o más filtros IP, definiendo un rango del tráfico de red.
● Acción de filtrado Cómo debe asegurar el tráfico de red el conductor de IPSec.
● Método de seguridad Algoritmos y tipos de seguridad usados para la autenticación y el
intercambio de claves.
● Configuración del túnel Direcciones IP o nombre de DNS del final del túnel (si se usa IPSec con
túnel para proteger el destino del paquete).
● Tipo de conexión El tipo de conexión afectada por la directiva de IPSec: acceso remoto, LAN o
todas las conexiones de red.
● Regla Una composición de componentes: un filtro IP, una acción de filtrado, los métodos de
seguridad, una configuración de túnel y un tipo de conexión. Una directiva IPSec puede tener
varias reglas para proteger de forma distinta cada subconjunto de tráfico de red.
Directivas predefinidas de IPSec
Hay disponibles tres directivas básicas predefinidas para su uso inmediato o como punto de partida para
directivas de IPSec más complicadas.
La directiva Cliente (sólo responder) debe usarse en equipos que no suelen enviar datos seguros. Esta
directiva no iniciará las comunicaciones seguras. Si el servidor solicita la seguridad, el cliente
responderá, asegurando sólo el protocolo de respuesta y el tráfico de puerto con ese servidor.
La directiva Servidor (pedir seguridad) puede usarse en cualquier equipo -cliente o servidorque necesite
iniciar las comunicaciones seguras. A diferencia de la directiva Cliente, la directiva Servidor intenta
proteger todas las transmisiones salientes. Las transmisiones no seguras entrantes se aceptarán, pero no
se resolverán hasta que IPSec solicite la seguridad del emisor para todas las transmisiones posteriores.
Siendo la directiva más estricta de las predefinidas, la directiva Servidor seguro (requiere seguridad) ni
enviará ni aceptará transmisiones no seguras. Los clientes que intenten comunicarse con un servidor
seguro tienen que usar al menos la directiva Servidor predefinida o equivalente.
Esta directiva tiene tres reglas, todas activadas, según indican las marcas de verificación. La primera
regla tiene un filtro IP de Todo el tráfico IP, una acción de filtrado Requiere seguridad, un método de
autenticación Kerberos, una configuración de túnel con Ninguna y un tipo de conexión Todas. Se pueden
agregar o eliminar reglas a la lista con los botones correspondientes. Pulsando el botón Modificar se abre
el cuadro de diálogo Propiedades de Modificar regla, con cinco fichas, una para la configuración de cada
campo de la regla.
De nuevo en la ventana Propiedades de Servidor seguro (requiere seguridad), se pueden visualizar las
propiedades generales de la directiva -incluyendo una descripción de la directiva y los intervalos en
minutos en los que se comprobarán cambios en la misma- pulsando sobre la ficha General.

Capítulo 17
Pulsando sobre el botón Avanzadas de la ficha General aparece el cuadro de diálogo Configuración del
intercambio de claves. Este cuadro de diálogo permite especificar la vida de las claves en minutos o
sesiones. Usar un tiempo de vida de clave corto hace las transmisiones más seguras incrementando el
número de claves que los piratas informáticos tienen que romper, pero añade sobrecarga al tiempo de
transmisión. Seleccionar el cuadro de verificación Clave maestra Confidencialidad directa perfecta,
asegura que las claves existentes no se pueden reutilizar para generar claves adicionales. Esta opción
debe usarse con cuidado, ya que añade una sobrecarga significativa. Pulsar el botón Métodos permite
seleccionar los métodos de seguridad y el orden de preferencia. Un método de seguridad incluye cifrado
y una algoritmo de integridad, junto con un grupo de Diffie-Hellman, el cual afecta a la generación de
claves.
Cómo crear una directiva de IPSec
Además de usar las directivas predefinidas de IPSec como plantillas, los administradores pueden generar
directivas partiendo de cero con el elemento Directivas de seguridad IP en la MMC. Una directiva
personal puede ser restrictiva o permisiva, simple o potente, dependiendo de la función de la máquina, el
entorno en el que opera y los tipos de sistemas con los que se comunica.
Para agregar una directiva de IPSec, hay que pulsar el botón derecho sobre el elemento Directivas de
seguridad IP en la MMC y seleccionar Crear directiva de seguridad IR Se presentará el Asistente para
directivas de seguridad IR Los siguientes pasos guían a través de este asistente:
1. Se pulsa Siguiente en la pantalla de bienvenida.

2. En la pantalla siguiente, se introduce un nombre de directiva significativo, una descripción y se
pulsa Siguiente.
3. Se selecciona o se quita la selección del cuadro de verificación Activar la regla de respuesta
predeterminada, basándose en si se permite la negociación con equipos que soliciten IPSec.
Desmarcar este cuadro de verificación añadirá una regla de respuesta desactivada a la directiva.
Se pulsa Siguiente.
4. Si se seleccionó el cuadro de verificación Activar la regla de respuesta predeterminada en el paso
anterior. Kerberos versión 5 es el protocolo por defecto de Windows 2000 pero sólo está
permitido en máquinas que sean miembros de un dominio. La segunda opción, Use un certificado
de esta autoridad de certificados (CA), asciende la autenticación de clave pública. Será necesario
elegir una autoridad de certificado que sea apropiada para el certificado a usar. La tercera y última
opción permite escribir una clave predefinida para usarla en el intercambio. Esta cadena tiene que
conocerla también el equipo demandante para que el intercambio tenga éxito. Se pulsa Siguiente
cuando se haya realizado la elección.
5. Se selecciona el cuadro de verificación Modificar propiedades si se desea que aparezca la ventana
Propiedades de directiva. También se puede hacer que aparezca esta ventana pulsando el botón
derecho sobre una directiva que esté en la lista y eligiendo Propiedades.
Cómo modificar una directiva de IPSec

Capítulo 17
Una directiva recién creada contendrá sólo una regla de respuesta por defecto, la cual estará activada --o
no- dependiendo de las elecciones realizadas durante el asistente de creación de la directiva.
La funcionalidad se añade a una directiva de IPSec creando reglas que gobiernen cuándo y cómo se debe
proporcionar la seguridad. Cada combinación de una lista de filtros, acción de filtrado, método de
autenticación, configuración de túnel y tipo de conexión es una regla por separado.
Las reglas se pueden añadir manualmente o con el Asistente para agregar; ambas consiguen la misma
cosa, pero el asistente es un poco más amigable. El Asistente para agregar se desactiva desmarcando el
cuadro de verificación Usar Asistente para agregar en la esquina inferior derecha de la ventana
Propiedades de la directiva. Haciendo esto se permitirá la exploración de cada faceta de la regla en su
cuadro de diálogo nativo. La edición de reglas una vez creadas se realiza también mediante esta interfaz.
Con el Asistente para agregar desactivado, se pulsa el botón Agregar. Se presenta el cuadro de diálogo
Propiedades de nueva regla, el cual, exceptuando el título, es el mismo que el cuadro de diálogo
Propiedades de Modificar regla. El cuadro de diálogo tiene cinco fichas, una para cada elemento de la
regla. Veremos cada una de estas fichas por turnos.
Lista de filtros IP: La lista de filtros IP está formada por uno o más filtros que especifican sobre qué
tráfico de red actuar. Las listas Todo el tráfico IP y Todo el tráfico ICMP se añaden por defecto, pero no
se activan. En la figura se ha añadido una tercera lista de filtros y se ha activado pulsando el botón de
opción.
Pulsando el botón Agregar se abre el cuadro de diálogo Lista de filtros IP, el cual permite especificar
filtros a incluir en la lista personalizada de filtros. Aquí, si se pulsa el botón Agregar con la opción
activada Usar Asistente para agregar, se iniciará el Asistente para filtros IP, el cual permite construir un
nuevo filtro basándose en las siguientes categorías:
● Direcciones: Filtra las direcciones origen y destino especificadas por direcciones IP (Mi dirección
IP, Cualquier dirección IP, Dirección IP específica, Subred IP específica) o un nombre específico
de DNS.
● Protocolo: Filtra por tipo de protocolo, como TCP y puertos de origen y destino.
Acción de filtrado: La acción de filtrado determina cómo responde el conductor de IPSec a los equipos
representados en las entradas de la lista de filtros y qué métodos de seguridad usar. Se puede elegir una
de las acciones proporcionadas seleccionándola o se pueden añadir acciones propias.
La acción Requiere seguridad ocasiona que el conductor intente establecer comunicaciones seguras con
los clientes, pero si no se logra, se comunicará sin seguridad. La acción Requiere seguridad necesita que
los clientes establezcan métodos de confianza y de seguridad. La acción Permitir habilita que se pasen
paquetes IP no seguros.

Capítulo 17
Agregar una acción implica elegir un nombre de filtro, una descripción y un comportamiento general que
permite las comunicaciones, las comunicaciones de bloques o la seguridad de negociación. Si se elige la
seguridad de negociación, será necesario configurar otras dos áreas. Bajo Comunicación con equipos que
no son compatibles con IPSec, hay que elegir entre no comunicarse con los equipos que no admitan
IPSec o permitir las comunicaciones no seguras.
También se puede seleccionar un Método de seguridad: alta (cifrada, autenticada y no modificada),

media (autenticada y no modificada) o personalizada. Para el método de seguridad personalizada, hay
que elegir los algoritmos de cifrado e integridad y especificar configuraciones de clave de sesión, como
la frecuencia de generación de nuevas claves.
Métodos de autenticación: El método de autenticación especifica cómo se establecerá la relación de

confianza con el equipo remoto. Se pueden especificar uno o más métodos a usar cuando se soliciten
comunicaciones seguras o cuando sea solicitada una comunicación segura. Hay tres métodos permitidos
de autenticación, listados en orden de preferencia. La prioridad de un método se cambia con los botones
Subir y Bajar. El botón Agregar proporciona tres opciones para el nuevo método. Estas opciones son:
● Valor predeterminado de Windows 2000 (protocolo Kerberos V5).

● Use un certificado: Esta opción usa certificados de clave pública para la autenticación. Será
necesario especificar la autoridad de certificados de los usuarios o las entidades a autenticar. Para
permitir la autenticación de usuario bajo CA distintos, hay que añadir un método de autenticación
por separado para cada uno.
● Usar esta cadena para proteger el intercambio de claves: Esta opción usa una clave
compartida que se especifica en el cuadro proporcionado. Se pueden usar varias claves
compartidas añadiendo métodos adicionales de autenticación.
Configuración del túnel: La ficha Configuración del túnel permite especificar un punto final para el
túnel si se elige llamar a IPSec con túnel. El punto final se puede especificar como nombre de DNS si se
está ejecutando el servicio de DNS en la red o se puede introducir en forma de dirección IP.
Tipo de conexión: Finalmente, la ficha Tipo de conexión permite refinar aún más la regla basándose en
el tipo de conexión. La opción Todas las conexiones de red está asignada como valor por defecto; en su
lugar se puede seleccionar bien Red de área local, bien Acceso remoto, para crear una regla más estricta.
Cómo asignar directivas de IPSec
Una vez establecida la directiva de IPSec en el elemento Directivas de seguridad IP de MMC, se puede
aplicar a un único equipo o a un conjunto de equipos gobemados por un objeto Directiva de grupo. Para
asignar una directiva de IPSec a una máquina local, hay que pulsar el botón derecho sobre el nombre de
la directiva y elegir Asignar. El icono de la directiva activa incluirá un punto verde. Si ya se ha asignado
otra directiva, esta acción devolverá a cero esa directiva para este equipo. Las directivas de IPSec se
asignan a grupos seleccionando el objeto destino Directiva de grupo en la MMC. Bajo este objeto, hay

Capítulo 17
que expandir Configuración del equipo, Configuración de Windows y después Configuración de

seguridad. Se selecciona Directivas de seguridad IP, se pulsa el botón derecho sobre la directiva deseada
y se elige Asignar.
Seguridad de los datos locales
El cifrado de los archivos almacenados en Windows 2000 se lleva a cabo mediante el uso del Sistema de
archivos de cifrado (EFS). Usando el cifrado de clave pública, EFS permite que los archivos y directorios
almacenados en particiones NTFS se cifren y descifren de forma transparente. EFS accede a las claves
pública y privada del usuario para realizar el propio cifrado. Por lo tanto, los archivos cifrados con EFS
no se pueden compartir con (es decir, cifrar a) otros usuarios. Hay que usar otro método de cifrado, como
S/MIME, para asegurar los archivos compartidos con otros usuarios. Además, si se guardan los archivos
cifrados con EFS en otra máquina, hay que importar la información de clave del usuario a esa máquina
para que se pueda dar el descifrado.
Los archivos se cifran automáticamente para un tercero, llamado agente de recuperación. En el caso de
pérdida de la clave, el agente de recuperación puede descifrar los archivos. EFS cifra el grueso del
archivo con una única clave simétrica. La clave simétrica se cifra después dos veces: una con la clave
pública EFS del usuario para permitir el descifrado y otra con la clave pública del agente de recuperación
para permitir la recuperación de los datos.
Cifrado de archivos y carpetas
Cifrar archivos con EFS es tan sencillo como asignar cualquier otro atributo de archivo, como Oculto o
Sólo lectura. Para cifrar un archivo en el Explorador de Windows, hay que seguir estos pasos:
1. Se pulsa el botón derecho sobre el archivo y se elige Propiedades.

2. En la ficha General, se pulsa Avanzadas.
3. Se selecciona el cuadro de verificación Cifrar el contenido para asegurar los datos y después se
pulsa dos veces Aceptar.
4. En el cuadro de diálogo que aparece, hay que decidir si se desea cifrar la carpeta padre. Si se cifra
esta carpeta, los archivos que se añadan posteriormente a esta carpeta y sus subcarpetas se
cifrarán.
Recuerde que los archivos de sistema, los archivos comprimidos y los archivos de otras
particiones de NTFS no pueden ser cifrados usando EFS. Además, una carpeta de raíz de
unidad tampoco puede ser cifrada con EFS.
Al igual que los archivos normales, los archivos cifrados se pueden eliminar y copiar por medio de las
órdenes Cortar, Copiar y Pegar del menú Edición. Los archivos movidos o copiados usando arrastrar y
soltar no necesariamente mantendrán su cifrado. También se pueden renombrar los archivos cifrados
como con cualquier otro archivo.

Capítulo 17
Los archivos y directorios cifrados no son inmunes a la eliminación. Cualquier usuario

con los permisos adecuados puede eliminar un archivo cifrado.
Para cifrar una carpeta, hay que pulsar el botón derecho sobre la carpeta y elegir Propiedades. En la ficha
general de la ventana Propiedades, se pulsa Avanzadas y se selecciona Cifrar contenidos para asegurar
los datos. Se pulsa Aceptar dos veces y se preguntará si se desea que todos los archivos y subcarpetas de
la carpeta destino se cifren también. Es importante mencionar que la propia carpeta no se cifra, sólo los
archivos dentro de la carpeta. La carpeta sólo se marca como que tiene archivos cifrados en ella.
Para asegurar la seguridad de los archivos temporales que hayan creado las aplicaciones,
hay que marcar la carpeta de sistema Temp. para cifrado.
Descifrado de archivos y carpetas
EFS permite que el usuario invierta el proceso de cifrado. Sin embargo, describirlo como una mera
operación de descifrado es un poco engañoso. En realidad, eliminar el cifrado de datos de un archivo
ocasiona que se descifre el archivo, pero cualquier archivo cifrado también se descifra cada vez que un
usuario o aplicación accede a él. De lo que estamos hablando es de un descifrado permanente para que se
puedan compartir fácilmente los archivos con otros usuarios.
Para indicar que el archivo no se tiene que volver a cifrar o que no se deben volver a cifrar los archivos
de una carpeta, hay que seguir estos pasos:
1. Se pulsa el botón derecho sobre el archivo o carpeta en el Explorador dé Windows y se elige

Propiedades.
2. Se selecciona la ficha General y se pulsa Avanzadas.
3. Se quita la marca del cuadro de verificación Cifrar los contenidos para asegurar los datos.
Recuperación de archivos
Naturalmente, cuando se cifran archivos para protegerlos de ojos fisgones, se corre el riesgo de la
protección de los nuestros y, por consiguiente, de la pérdida de datos. EFS requiere la clave privada del
usuario (asociada con el certificado de clave pública EFS del usuario) para descifrar archivos. Mientras
esta clave esté accesible, se puede acceder a los archivos protegidos por EFS. En caso de pérdida de la
clave, hace falta un medio secundario para recuperar los datos. Considérese también que pudiera perderse
una clave debido a la partida voluntaria o involuntaria del usuario; por ejemplo, un usuario que cifra
archivos de la compañía puede dejar la compañía.
La posibilidad de recuperar archivos empieza cuando un usuario individual hace una copia de seguridad
de su certificado de clave pública de EFS y de la clave privada asociada. Para hacer la copia de seguridad
de esta información, el usuario tienen que exportar el certificado y la clave mediante el complemento

Capítulo 17
Certificados de la MMC. Si la clave privada aún está perdida, el usuario puede importar la clave privada
de EFS y el certificado guardados y salvar los datos.
Nota: Las claves y los certificados exportados se almacenan en formato PKCS #12 (también conocido
como Intercambio de información personal o PFX). Este formato comprende una serie de aplicaciones de
seguridad ampliada, permitiendo el intercambio de claves entre equipos o aplicaciones independientes.
Si un usuario no puede descifrar los datos perdidos, un administrador puede recuperar los datos usando
un certificado de agente de recuperación. Además de obtener un certificado de agente de recuperación, el
administrador necesitará añadir ese certificado a una directiva de recuperación en Active Directory,
usando el Asistente para agregar agente de recuperación del complemento Directivas de grupo.
Los certificados de agente de recuperación se deben guardar en una característica de

almacenamiento segura para impedir posibles compromisos de los datos. Tras recibir el
certificado de agente de recuperación, el agente de recuperación podría exportarse a un
disquete u otro dispositivo que se puede proteger y eliminarlo de la máquina. Cuando sea
necesaria la recuperación, el certificado y la clave privada asociada se pueden importar.
Una vez que se hayan recuperado los datos, el certificado debe eliminarse de nuevo.
Auditoría
Siendo una herramienta de seguridad tanto proactiva como reactiva, las auditorías informan a los
administradores de los sucesos que pueden ser potencialmente peligrosos y dejan un rastro de
seguimiento si ocurre una infracción de seguridad. Auditar los intentos de inicio de sesión sin éxito, por
ejemplo, puede avisar de usuarios pícaros intentando lograr acceso no autorizado al sistema. Además de
auditar los sucesos normales de sistema, se puede auditar la modificación de directivas para mantener un
seguimiento de cuándo se desactivó la auditoría de un determinado suceso y por quién.
Por defecto, está desactivada la auditoría de todas las categorías de seguridad. El administrador establece
una directiva de auditoría determinando qué tipos de sucesos de seguridad auditar. Basándose en las
necesidades de seguridad de la organización, el administrador puede elegir también auditar el acceso a
objetos individuales.
Cómo establecer una directiva de auditoría
El primer paso para establecer una directiva de auditoría es determinar qué categorías de sucesos deben
auditarse. Las siguientes categorías de sucesos están disponibles para auditarse.
● Sucesos de inicio de sesión de cuentas.

● Administración de cuentas.
● Acceso al servicio de directorio.
● Sucesos de inicio de sesión.

Capítulo 17
● Acceso a objetos.
● Cambio de directivas.
● Uso de privilegios.
● Seguimiento de procesos.
● Sucesos de sistema.
Para seleccionar una categoría de sucesos a auditar, primero hay que determinar si el equipo es un
controlador de dominio. Si no lo es, hay que elegir Administración de equipos en la carpeta Herramientas
administrativas. En el árbol de consola de Administración de equipos, se expande Herramientas de
sistema, Directiva de grupo, Configuración del equipo, Configuración de Windows, Configuración de
seguridad y Directivas locales, para llegar a Directiva de auditoría.
Si el equipo es un controlador de dominio, hay que abrir el complemento Usuarios y equipos de Active
Directory, expandir la entrada del dominio y pulsar Acción y después pulsar Propiedades. En la ficha
Directiva de grupo, se selecciona la directiva y se pulsa Modificar. Después se expande Configuración de
equipo, Configuración de Windows, Configuración de seguridad y Directivas locales y después se
selecciona Directiva de auditoría.
Usando cualquier técnica, seleccionar Directiva de auditoría muestra las categorías de sucesos en el panel
derecho. Para modificar la directiva de una categoría de suceso, hay que pulsar el botón derecho sobre el
suceso y elegir Seguridad. Hay que seleccionar el cuadro de verificación para auditar los sucesos con
éxito y/o auditar sucesos fallidos.
Auditoría de acceso a objetos
Una vez habilitada la categoría Auditar el acceso a objetos en el elemento Directiva de auditoría, los
miembros del grupo Administradores pueden especificar criterios de auditoría para archivos, carpetas,
impresoras de red y otros objetos. El criterio de auditoría para un objeto incluye
● Quién se audita para este objeto.

● Si tiene éxito o no el acceso al objeto.
● Qué tipo de acceso a objeto se audita.
Ejemplos de tipos de acceso incluyen la visualización de permisos de carpeta, la ejecución de un archivo

y la eliminación de un objeto. Para seleccionar un objeto a auditar, hay que seguir estos pasos:
1. Se pulsa el botón derecho sobre el objeto en el Explorador de Windows y se elige Propiedades.

2. En la ficha Seguridad, se pulsa Avanzadas.
3. En la ficha Auditoría, se pulsa Agregar.
4. En el cuadro Nombre, se introduce el nombre de usuario o grupo a auditar o se selecciona de la
lista Nombre.
5. Se pulsa Aceptar para mostrar el cuadro de diálogo Entrada de auditoría. Hay que usar la lista

Capítulo 17
Acceso para selección si se audita el acceso con éxito, sin éxito o ambos.
6. Para carpetas, hay que usar la lista desplegable Aplicar en, para indicar dónde debe tener lugar la
auditoria.
7. Hay que seleccionar o quitar la marca del cuadro de verificación Aplicar estas entradas de
auditoría sólo a objeto y/o contenedores dentro de este contenedor para llamar o impedir la
herencia, respectivamente.
Visualización del registro de seguridad
El registro de seguridad detalla la información de auditoría de los sucesos especificados en la directiva de

auditoria. Cada vez que ocurre un suceso auditable, éste se añade al archivo de registro en el que se
puede filtrar, guardar, buscar y exportar. El registro de seguridad, junto con el registro de aplicación y el
de sistema, se ubica en el Visor de sucesos y se puede encontrar en el árbol de consola Administración de
equipos expandiendo Herramientas administrativas, Visor de sucesos y Seguridad.
Cada entrada del registro contiene información crucial sobre el evento auditado, incluyendo si el intento
fue fallido o fue con éxito, la fecha y la hora del suceso, la categoría del suceso y el ID, y el usuario y
equipo auditado. Se puede obtener información adicional para cada entrada pulsando el botón derecho
sobre la entrada y eligiendo Propiedades.
Cómo manipular el registro de seguridad
El registro de seguridad se puede ordenar por cualquiera de los campos listados en la pantalla, tales como
el usuario o la fecha del suceso. Sólo pulsar la cabecera del campo en la parte superior ocasionará que los
sucesos del registro se ordenen de forma ascendente por ese campo. Pulsar de nuevo la cabecera del
campo los ordenará de forma descendente. Para aún más eficiencia, se pueden filtrar los registros para
mostrar sólo aquellos sucesos que interesen -por ejemplo, sólo las auditorías de fallo-. En el menú Ver,
hay que pulsar Filtro. En la ficha Filtro de la ventana Propiedades de Seguridad que aparece, hay que
seleccionar con qué criterio de sucesos visualizar y pulsar Aceptar.
Consejo: Hay que escoger Buscar en el menú Ver para buscar en las listas mostradas determinados
sucesos, como todos los sucesos con un determinado ID de suceso.
Mantenimiento del registro de seguridad
El registro de seguridad posee un tamaño máximo definido. Para fijar este tamaño, hay que pulsar el
botón derecho sobre Seguridad en el Visor de sucesos y elegir Propiedades. Se edita el campo Máximo
tamaño de registro especificando un tamaño en kilobytes. Las opciones por debajo de este campo
especifican cómo sobrescribir los sucesos:
● Sobrescribir cuando sea necesario.

● Sobrescribir sucesos de hace más de X días.

Capítulo 17
● No sobrescribir sucesos.
Es de suponer que todas las categorías de sucesos especificadas en la directiva de sucesos

son relevantes. Hay que tener cuidado que el envoltorio automático de los sucesos no
sobrescriba sucesos con mayor frecuencia que el archivado de registros o la lectura de
registros manual.
Para archivar el registro de sucesos, hay que pulsar el botón derecho sobre Seguridad en el Visor de
sucesos y elegir Guardar archivo de registro como. Se elige el camino y el nombre de archivo para el
archivo. Si se guarda como archivo de registro de sucesos (con la extensión .EVT), el archivo se puede
abrir posteriormente con el Visor de sucesos.

Capítulo 18
Capítulo 18
Interoperatividad con Novel NetWare

Muchas redes de empresa son una mezcolanza de varios sistemas operativos, de hardware nuevo y antiguo
y de gran diversidad de software. Microsoft Windows 2000 Server proporciona varios servicios que
permiten a los servidores y clientes de Novell NetWare interactuar con computadoras Windows de todo
tipo. Entre estos servicios se hallan los siguientes:
● El protocolo de transporte compatible NWLinkIPX/SPX/NetBIOS (NWLink): La

implementación por Windows 2000 del protocolo IPX/SPX: el protocolo de comunicaciones
heredado de NetWare. NWLink permite la conexión entre computadoras que ejecutan Windows
2000, computadoras que ejecutan NetWare y sistemas compatibles con NetWare.
● El servicio de puerta de enlace para NetWare (GSNW): Permite que una computadora que
ejecute Windows 2000 se conecte con los servidores de NetWare, incluidos los servidores de
NetWare 4.x o posterior, tanto si ejecutan los Servicios de Directorio Novell (Novell Directory
Services, NDS) como si ejecutan la emulación de vinculación (bindery). También se incluye el
soporte de las secuencias de comandos para el inicio de la sesión. Se puede utilizar GSNW para
crear puertas de enlace con los recursos de NetWare. La creación de puertas de enlace permite a las
computadoras que sólo ejecutan software cliente de Microsoft tener acceso a los recursos NetWare.
● Servicios de archivo a impresión para NetWare (File and Print Services for NetWare, FPNW):
Permite a las computadoras que ejecutan Windows 2000 Server proporcionar directamente servicios
de impresión y de archivos a las computadoras clientes NetWare y compatibles con NetWare. El
servidor tiene el mismo aspecto para los clientes NetWare que en cualquier servidor de NetWare y
los clientes pueden tener acceso a los volúmenes, a los archivos y a las impresoras del servidor.
Instalación de los Servicios de NetWare de Windows 2000
Tanto Novell como Microsoft proporcionan varios modos de que los clientes tengan acceso a los recursos
de NetWare y de Windows 2000 Server. Novell proporciona software cliente para MS-DOS, Microsoft
Windows 3.x, Microsoft Windows 95/98, Microsoft Windows NT 4 Workstation y Microsoft Windows
2000 Professional. Microsoft tiene software cliente para NetWare para Windows 95/98, Windows NT 4
Workstation y Windows 2000 Professional. Con la instalación de cualquiera de estos clientes, una
computadora puede ser simultáneamente cliente de Windows 2000 Server y de NetWare. Windows 2000
también proporciona la posibilidad de tener acceso a los recursos de NetWare sin tener que instalar
software cliente mediante el uso de GSNW.
Clientes de Novell

Capítulo 18
El software cliente de Novell para Windows 3.x, Windows 95/98, Windows NT 4 Workstation y Windows
2000 Professional proporciona compatibilidad plena con NetWare, con sus utilidades y con aplicaciones de
otros fabricantes escritas utilizando la interfaz de programación de aplicaciones de NetWare (API). A
diferencia de versiones anteriores de los clientes de NetWare para entornos basados en Windows, Novell
proporciona actualmente soporte completo al cliente de 32 bits.
Clientes de Microsoft
Microsoft proporciona sus propios clientes para el acceso a NetWare. Windows 95 y Windows NT 4
Workstation proporcionan un cliente de NetWare que puede utilizarse para tener acceso a servidores
NetWare 3.x heredados basados en vinculación. Microsoft Windows 2000 Professional, Windows NT 4
Workstation, Windows 95 y Windows 98 proporcionan software para permitir a los clientes que inicien una
sesión en servidores basados en NDS (como NetWare 4.x y 5.x). Estos clientes proporcionan mejor
integración con las redes basadas en Windows, necesitan menos sobrecarga de memoria (debido a las
bibliotecas compartidas) y son aplicaciones totalmente de 32 bits. Los clientes NetWare de Microsoft
prácticamente proporcionan soporte completo de las APIs de NetWare, aunque no todas las aplicaciones de
otros fabricantes funcionan si utilizan llamadas a la API de NetWare más antiguas o infrecuentes.
Servicio de puerta de enlace para NetWare
Instalar y configurar cada computadora con un cliente de NetWare puede llevar mucho tiempo en empresas
grandes. Afortunadamente, hay un modo de proporcionar conectividad con los servidores de NetWare sin
necesidad de instalar software nuevo en cada cliente. Con GSNW se pueden crear pasarelas a través de las
cuales las computadoras clientes de Microsoft -sin software cliente de Novell NetWare- pueden utilizar los
recursos de impresión y de archivos de NetWare. Se pueden crear pasarelas para los recursos ubicados en
árboles NDS y para recursos de servidores que ejecuten NetWare 2.x o posterior con seguridad de
vinculación. Estos recursos incluyen los volúmenes, directorios, objetos de los mapas de directorio,
impresoras y colas de impresión.
GSNW depende de otra característica de compatibilidad con NetWare de Windows Server: el protocolo de
transporte compatible IPX/SPX/NetBIOS (abreviado como NWLink). NWLink es una implementación de
los protocolos de transporte de Intercambio de paquetes entre redes (Internetwork Packet Exchange, IPX),
de Intercambio secuencial de paquetes (Sequenced Packet Exchange, SPX) y NetBIOS utilizados por las
redes de NetWare. Las implementaciones de estos protocolos por Microsoft pueden coexistir sin problemas
con otros protocolos en el mismo adaptador de red.
El principal inconveniente de utilizar GSNW es que resulta más difícil personalizar la seguridad para cada
usuario en los recursos de NetWare. Cada perfil de usuario debe utilizar una unidad compartida diferente de
la puerta de enlace y, en consecuencia, una letra de unidad diferente, lo que limita el número de unidades
compartidas que pueden crearse. Además, dado que Windows 2000 Server debe traducir cada bloque de
mensajes del servidor (Server Message Bloclr, SMB) al Protocolo del núcleo de NetWare (NetWare Core
Protocol, NCP), y viceversa, el uso de GSNW puede resultar realmente más lento que hacer que se instale

Capítulo 18
el software en cada uno de los clientes.
La sobrecarga por la traducción se reduce enormemente al comunicarse mediante TCP/IP

con los servidores basados en NetWare 5.
Instalación y configuración del protocolo NWLink
Para instalar el protocolo NWLink, hay que seguir el procedimiento siguiente:
1. Pulsar con el botón derecho del ratón Mis sitios de red y escoger Propiedades. Se abrirá la ventana
2. Hay que pulsar con el botón derecho del ratón el icono Conexión de área local y escoger
Propiedades en el menú de accesos directos para que aparezca la ventana Propiedades de Conexión
de área local.
3. Hay que pulsar Instalar para que aparezca el cuadro de diálogo Seleccionar tipo de componente de
red.
4. Hay que seleccionar Protocolo en el cuadro de lista de componentes de la red y pulsar Agregar para
abrir el cuadro de diálogo Seleccione el protocolo de red.
5. Hay que seleccionar Protocolo de transporte compatible con NWLink IPX/SPX/NetBIOS y pulsar
Aceptar para agregar el protocolo al sistema. Puede que sea necesario introducir el CD-ROM de
Windows 2000 Server para completar el proceso de instalación.
6. Hay que pulsar Aceptar para guardar la nueva configuración de la red.
Una vez instalado el protocolo NWLink el servidor de Windows 2000 podrá comunicarse con los
servidores de NetWare. Se puede pasar a la siguiente fase, que es la instalación y configuración de GSNW
Aunque las primeras versiones de Novell NetWare soportaban TCP/IP, las implementaciones
de Microsoft y de Novell de este protocolo no fueron compatibles hasta NetWare 5. En
consecuencia, Windows 2000 Server necesita NWLink para comunicarse con los servidores
de NetWare 4.x y de versiones anteriores. Si se establece comunicación con servidores de
NetWare 5, no hace falta instalar el protocolo NWLink antes de instalar GSNW
Instalación de GSNW
Para instalar y configurar GSNW hay que seguir el siguiente procedimiento:
1. Hay que pulsar con el botón derecho del ratón Mis sitios de red y escoger Propiedades.
2. Hay que pulsar con el botón derecho del ratón el icono Conexión de área local y escoger
Propiedades en el menú de accesos directos. Se abrirá la ventana Propiedades de Conexión de área
local.
3. Hay que pulsar Instalar para mostrar el cuadro de diálogo Seleccionar tipo de componente de red.
Hay que seleccionar Cliente en el cuadro de lista de componentes de la red y pulsar Agregar. Se
abrirá el cuadro de diálogo Seleccione el cliente de red.

Capítulo 18
4. Hay que seleccionar Servicios puerta de enlace (y cliente) para NetWare y pulsar Aceptar. Puede
que haga falta introducir el CD-ROM de Windows 2000 Server para completar el proceso de
instalación.
5. Aparecerá el cuadro de diálogo Seleccionar el inicio de sesión de NetWare. Hay que especificar el
nombre de usuario, el árbol y el contexto que utilizará
la pasarela al iniciar una sesión en el servidor de NetWare.
● Si la pasarela va a iniciar la sesión en un servidor de NetWare basado en vinculación, hay
que seleccionar la opción Servidor preferido y luego el servidor adecuado en el cuadro de

lista Servidor preferido.
● Si la pasarela va a iniciar la sesión en un árbol de directorios basado en NDS, hay que
seleccionar la opción Árbol y contexto predeterminados y luego proporcionar los nombres

del árbol y del contexto que haya que utilizar al iniciar la sesión.
● Para ejecutar la secuencia de comandos de inicio de sesión cuando la pasarela se conecte por
primera vez con el servidor de NetWare, hay que pulsar la casilla de verificación Ejecutar
archivo de comandos de inicio de sesión.
6. Hay que pulsar Aceptar para guardar la información del inicio de sesión.
Configuración de GSNW
Una vez instalado GSNW, se puede modificar su configuración pulsando el icono GSNW en el Panel de
Control para que aparezca el cuadro de diálogo Servicio de puerta de enlace para NetWare donde podemos
definir las siguientes opciones:
● Al iniciar la sesión en un servidor de NetWare basado en vinculación, hay que seleccionar la opción
Servidor preferido y escoger el servidor correspondiente en el cuadro de lista Servidor preferido.
● Para iniciar la sesión en un árbol de directorios basado en NDS, hay que seleccionar la opción Árbol
y contexto predeterminados y proporcionar los nombres del árbol y del contexto necesarios para
iniciar la sesión en el servidor de NetWare. En el grupo Opciones de impresión, hay que seleccionar
las opciones de impresión que se deseen utilizar al imprimir en impresoras basadas en NetWare.
Para ejecutar la secuencia de comandos de inicio de sesión de NetWare cuando la pasarela se
conecte por primera vez al servidor de NetWare, hay que seleccionar la casilla de verificación
Ejecutar archivo de comandos de inicio de sesión.
Activación de la puerta de enlace
Para activar la pasarela, hay que pulsar Puerta de enlace en el cuadro de diálogo Servicio de puerta de
enlace para NetWare para que aparezca el cuadro de diálogo Configuración de puerta de enlace. Hay que
seleccionar la casilla de verificación Habilitar puerta de enlace y especificar el nombre de usuario y la
contraseña exigidos por GSNW para conectar con el servidor de NetWare.
También se pueden establecer en el servidor de NetWare una o varias unidades compartidas para que las
utilicen los clientes de Windows 2000. Hay que pulsar Agregar en el cuadro de diálogo Configurar puerta
de enlace para que aparezca el cuadro de diálogo Nuevo recurso compartido.

Capítulo 18
Una vez creada la nueva unidad compartida, hay que pulsar el botón Permisos para especificar los usuarios
y grupos de Windows 2000 que tienen acceso al recurso y sus derechos en el mismo. Hay que establecer
estos mismos derechos en cualquier unidad compartida de Windows 2000 Server.
Configuración del servidor de NetWare
Para acabar de configurar GSNW el administrador del sistema NetWare debe ubicar la cuenta de usuario
especificada en la configuración de GSNW en un grupo denominado Ntgateway y concederle acceso a los
recursos de NetWare que se deseen compartir en el servidor de Windows 2000. En primer lugar, hay que
crear en el servidor de NetWare un grupo denominado Ntgateway. Hay que asegurarse de que el usuario
especificado por GSNW se cree en el servidor de NetWare y forme parte del grupo Ntgateway. Luego hay
que crear una unidad compartida para el recurso de NetWare y concederle al usuario de Windows 2000
acceso al recurso compartido.
Ejecución de las utilidades de NetWare
Con Windows 2000 Server y GSNW se pueden ejecutar muchas de las utilidades estándar de NetWare, así
como muchas aplicaciones que funcionen con NetWare, desde la línea de comandos. GSNW no soporta
utilidades para NetWare 4.x y anteriores. Además, para algunas funciones administrativas, hay que utilizar
herramientas de gestión basadas en Windows 2000 Server.
Para ejecutar utilidades administrativas NDS en Windows 2000 Professional, hay que
utilizar el software cliente de NetWare.
Windows 2000 Server soporta muchas utilidades de NetWare que se pueden utilizar para gestionar la red
de NetWare desde una computadora que ejecute Windows 2000 Workstation o Windows 2000 Server.
(Puede que algunas de las utilidades necesiten archivos adicionales que se proporcionan con Windows
2000 Server o con NetWare, como se estudia en el apartado siguiente).
Las siguientes utilidades basadas en MS-DOS trabajan con Windows 2000:
Chkvol Help Rconsole Settts

Colorpal Listdir Remove slist
Dspace Map Revoke syscon
Fconsole Ncopy Rights Tlist
Filer Ndir Security Userlist
Flag Pconsole Send Volinfo
Flagdir Psc Session Whoami
Grant Pstat Setpass

Capítulo 18
La orden Net Use de Windows 2000 Server o el Explorador de Microsoft Windows realizan las mismas
funciones que las órdenes de NetWare Attach, Login y Logout. La orden Net Use también es parecida a la
orden Capture para impresión cuando las aplicaciones basadas en MSDOS y en Windows deben imprimir
en un puerto concreto. Además, se puede utilizar el Asistente para agregar impresoras para conectarse a las
colas de impresión de NetWare. La orden Net Use también se puede utilizar para conectarse a volúmenes a
impresoras de árboles NDS o de servidores de NetWare basados en vinculación. La orden Net View de
Windows 2000 Server realiza las mismas funciones que la utilidad Slist de NetWare.
Aplicaciones que funcionan con NetWare
Muchas aplicaciones que funcionan con NetWare se ejecutarán en Windows 2000 Server mediante GSNW
igual que si se estuvieran ejecutando en una computadora cliente de NetWare. No obstante, no están
soportadas todas las aplicaciones que funcionan con NetWare. Muchas aplicaciones necesitan archivos
especiales que se proporcionan con NetWare o con Windows 2000 Server.
Nwipxspx.dll
Muchas aplicaciones antiguas de 16 bits que funcionan con NetWare necesitan el archivo Nwipxspx.dll
proporcionado por Novell¡. El archivo forma parte de la instalación cliente estándar de Novell¡. Hay que
buscarlo y copiarlo en la carpeta \SystemRoot\System32 de la máquina en la que se vayan a utilizar las
aplicaciones de NetWare.
Netware.drv, Nwnetapi.dll y Nwcalls.dll
Puede que las aplicaciones que funcionan con NetWare que utilizan la API de NetWare para enviar y
recibir paquetes del Protocolo del núcleo de NetWare (NetWare Core Protocol, NCP) necesiten
Netware.drv y Nwnetapi.dll o, para versiones de NetWare más recientes, Nwcalls.dll. Netware.drv debería
instalarse en la carpeta\SystemRoot\System32 al instalar GSNW Si se copia alguno de estos archivos en la
computadora que ejecuta Windows 2000 Server o se modifica el camino de búsqueda durante la sesión de
trabajo de Windows 2000 Server abierta, hay que cerrar la sesión y volver a abrirla para que las
modificaciones tengan efecto.
Para obtener los archivos de NetWare necesarios, hay que comprobar con el administrador
de la red de NetWare o con el representante local de Novell si se hallan disponibles de modo
local los últimos archivos clientes. O bien se pueden obtener en Internet en ftp.novell.com.
Novell también envía revisiones de su software cliente de NetWare y de los controladores en
CompuServe en http://www.compuserve.com/computing/subs/Novelldown.asp.
Recursos compartidos de Windows 2000 con clientes NetWare
Una vez que se conoce todo lo necesario sobre el acceso a los recursos de Novell NetWare desde un
entorno y una red basados en Windows 2000, hay que averiguar la otra parte de la historia: el modo de
tener acceso a los recursos de Windows 2000 Server desde los clientes y servidores de NetWare. Microsoft

Capítulo 18
proporciona un paquete de complementos independiente denominado Microsoft Services for NetWare

(servicios de Microsoft para NetWare), que consiste en Servicios de archivo a impresión para NetWare
(File and Print Services for NetWare, FPNW) y Gestor de servicios de directorio para NetWare (Directory
Service Manager for NetWare, DSMN).
FPNW permite a los administradores de NetWare 4.x y anteriores (exclusivamente en modo de emulación
de vinculación) integrar Windows 2000 Server en su red de NetWare. Emula un servidor de NetWare, lo
que permite al servidor de Windows 2000 que ejecute este servicio integrarse en la red basada en NetWare
existente sin modificaciones en los clientes de NetWare. Los clientes de NetWare no saben que están
teniendo acceso a un servidor de Windows 2000 habilitado para FPNW
Los administradores que trabajen con redes mediante la vinculación de NetWare (versión 4.x y anteriores)
pueden tener problemas, ya que tienen que gestionar cada servidor y sus usuarios independientemente del
resto de los servidores. Pero, mediante el uso de Windows 2000 y de DSMN, pueden gestionar varios
entornos mientras sólo mantienen una única cuenta de usuario y su contraseña asociada por cada usuario
final de la red.
Los administradores simplifican la labor del control de los entornos mixtos de Windows 2000 y de
NetWare utilizando el Active Directory de Windows 2000. DSMN copia las cuentas de usuario de
NetWare en el Active Directory y propaga cualquier cambio hacia el servidor de NetWare, todo ello sin
necesidad de instalar ningún tipo de software en los servidores de NetWare.
Selección del servicio de clientes adecuado
Una vez configurados Windows 2000 Server y la red para tener acceso a los recursos basados en NetWare,
la decisión más importante que hay que tomar es la elección de los servicios clientes. Se puede escoger
instalar servicios clientes para cada cliente de la red o simplificar las cosas instalando GSNW. Las tablas
muestran algunas condiciones que puede tener la red y la mejor opción de servicio o de cliente en cada
caso. La realidad es que indudablemente habrá que escoger una opción menos que perfecta, pero estas
tablas pueden proporcionar un punto de partida.
Elección entre servicios clientes y servicios de pasarela

Situación Servicio de pasarela Servicio cliente
Los directorios raíz de los usuarios se
X
hallan en el servidor de NetWare.
Los directorios raíz de los usuarios se
X
hallan en el servidor de Windows 2000.
Las aplicaciones se hallan en el servidor de
X
Windows 2000.
Las aplicaciones se hallan en un servidor de
X
NetWare y las utilizan todos los usuarios.

Capítulo 18
Las aplicaciones se hallan en un servidor de

NetWare, pero su acceso está restringido a X
determinados grupos.
Los usuarios sólo necesitan acceso a las
X
impresoras basadas en NetWare.
Los usuarios necesitan acceso a archivos
del servidor NetWare compartidos entre X
gran número de usuarios.
Los usuarios necesitan acceso a archivos
del servidor de NetWare restringidos a un X
usuario o grupo.
Los usuarios se hallan más cómodos
utilizando utilidades y comandos de X
NetWare que de Windows 2000 Server.
Los usuarios están más acostumbrados con
las utilidades y los comandos de Windows X
2000 Server que con los de NetWare.
Elección entre clientes Novell y Microsoft
Situación Cliente de Novell Cliente de Microsoft
El cliente se ejecuta en una plataforma
X
que no es Intel (por ejemplo, Alpha).
Se necesitan las aplicaciones basadas en
X
NetWare heredadas.
En la red se utilizan los servicios de
Windows 95/98 igualitarios para X
compartir en la red.
En la red se utiliza Microsoft FPNW X
El cliente tiene recursos limitados (por
ejemplo, espacio de disco duro y X
memoria).
Comparación entre los atributos de archivo de Windows y de NetWare
Atributos de los archivos de Windows Atributos de los archivos de NetWare
A (Archivo) A
S (Sistema) Sy
H (Oculto) H
R (Sólo lectura) Ro, Di (Inhibir borrado), Ri (Inhibir
cambio de nombre)

Capítulo 18
Introducción a los permisos y a los conceptos de seguridad
Al utilizar GSNW los atributos de los archivos de NetWare no son exactamente iguales que los de
Windows 2000 Server. GSNW no soporta los siguientes atributos de archivo de NetWare:
● Rw (Lectura/escritura)
● S (Compartible)
● T (Transaccional)
● P (Eliminación)
● Ra (Auditoria de lectura)
● Wa (Auditoria de escritura)
● Ci (Inhibir copia)
Cuando se copia un archivo desde un cliente de red de Microsoft al servidor de archivos de NetWare
mediante GSNW, se conservan los atributos de archivo Ro, A, Sy y H.
Cuando se utiliza un servidor de Windows 2000 que ejecuta GSNW para obtener acceso directo a los
servidores de NetWare, se pueden utilizar las utilidades de NetWare, como Filer y Rights, para definir los
atributos no soportados por GSNW.
Interoperatividad con UNIX

La informática empresarial implica inevitablemente trabajar a interconectarse con gran variedad de
entornos y de sistemas operativos. Uno de los sistemas operativos alternativos más extendidos con el
trabajan los usuarios de Microsoft Windows 2000 es UNIX -en todas sus diversas formas-. Por sí mismo
Windows 2000 tienen herramientas básicas de conectividad que le permiten funcionar en la misma red con
los servidores de UNIX. Otros complementos de Microsoft y de otros fabricantes ayudan a UNIX y a
Windows 2000 a trabajar juntos prácticamente sin problemas, de modo que los administradores de sistemas
de ambos entornos puedan proporcionar a sus usuarios un acceso completo a los recursos del otro entorno
de manera casi transparente.
Permisos y conceptos de seguridad
Una de las diferencias más importantes y generalizadas entre Windows 2000 y UNIX es el modo en que
tratan los permisos y la seguridad. Estas diferencias son sutiles y suelen llevar al usuario incauto a realizar
suposiciones falsas.
Listado de archivos UNIX

Capítulo 18
Un listado de archivos UNIX puede tener el siguiente aspecto:
-rwxr-x-x 2 charlie dba 2579 Aug 30 15:49 resize
Este listado indica prácticamente todo lo que hace falta saber acerca de la seguridad y de los permisos del
archivo examinado. Se empezará por el extremo izquierdo de la línea y se avanzará para ver lo que hay, lo
que significa y su comparación con Windows 2000.
El primer guión (-) indica que este listado no es un directorio. Si lo fuera, aparecería una «d» en su lugar.
UNIX trata los directorios meramente como otros archivos, aunque especiales, y los permisos tienen un
significado ligeramente diferente cuando hacen referencia a un directorio y a un archivo. En breve se
tratarán los permisos para los directorios, pero de momento se seguirá con los archivos normales.
Los tres caracteres siguientes corresponden a los permisos del propietario del archivo, que puede ser
distinto de su creador original, ya que UNIX permite a los usuarios « dar» archivos a otros usuarios. La « r»
indica que el propietario tiene derecho a leer el archivo; la « w» significa que puede escribir en él, borrarlo
o modificarlo de cualquier otra manera; y la « x» permite al propietario del archivo ejecutar el programa.
En Windows 2000 el sistema operativo decide si un programa es ejecutable basándose en el

nombre del archivo. Si el nombre del archivo tiene una extensión .COM, .EXE, .BAT o
.CMD, puede ejecutarse siempre que el usuario tenga los permisos correspondientes. En
UNIX no hay ninguna asociación entre la extensión y la ejecutabilidad del archivo (de
hecho, la mayor parte de los archivos UNIX no tiene ninguna extensión). Lo único que
determina si un archivo es ejecutable es su permiso. Por tanto, aunque la convención en un
sistema dado pueda ser denominar siempre a las secuencias de comandos de la interfaz de
comandos (el equivalente UNIX de los archivos por lotes) con un nombre que acabe en .sh o
.ksh, esto no tiene significado real. El archivo debe recibir el permiso de ejecución para
poder ejecutarlo.
Los caracteres quinto, sexto y séptimo corresponden a los permisos de los miembros del mismo grupo del
propietario del archivo. La < r> significa que los miembros del grupo pueden leer el archivo (o llevar a
cabo acciones que lo dejen intacto, como copiarlo); el guión indica que no tienen permiso para escribir en
él, borrarlo ni modificarlo de ninguna otra manera; la < x> les concede la capacidad de ejecutar el
programa.
Finalmente, los últimos tres caracteres del primer grupo corresponden a los permisos del resto de usuarios.
El guión inicial indica que esos usuarios no tienen derecho a leer el archivo ni a examinar su contenido de
ninguna manera, ni tampoco tienen permiso para copiar el archivo. El segundo guión indica que no tienen
permiso para cambiar, modificar, ni borrar el archivo y, finalmente, la última <x> indica que pueden
ejecutar el archivo, si ello no exige leerlo.
UNIX sólo tiene tres permisos básicos: lectura, escritura y ejecución.

Capítulo 18
● Lectura El derecho a leer un archivo o mostrar su contenido. El derecho a hacer una

copia del archivo. Para los directorios, el derecho a mostrar el contenido del
directorio.
● Escritura El derecho a alterar el contenido de un archivo. Para los directorios, el
derecho a crear archivos y subdirectorios. Si se tiene permiso de escritura para un
directorio, se tiene el derecho a borrar archivos del directorio aunque se carezca del
permiso de escritura para el archivo, si también se tiene permiso de lectura o de
ejecución para el directorio.
● Ejecución El derecho a ejecutar el archivo. Incluso el propietario del archivo
necesita este permiso para ejecutarlo. Para los directorios, el derecho a modificarlos
o a ejecutar archivos del directorio. La posesión de este permiso para un directorio,
sin embargo, no concede permiso para mostrar su contenido, por lo que puede que se
sea capaz de ejecutar un archivo sin poder ver que se halla ahí.
El siguiente carácter, el número < 2> , indica que hay dos vínculos duros con el archivo. Un vínculo duro
concede otro nombre al mismo archivo. Sigue habiendo un único archivo real guardado en el disco duro,
pero hay dos entradas de directorio que apuntan a ese archivo. No hay límites prácticos al número de
vínculos duros que puede haber con un mismo archivo, pero todos los vínculos con el archivo deben estar
en el mismo sistema de archivos.
Los dos grupos siguientes del listado son el propietario, « charlie» , y el grupo del archivo, « dba». Aunque
suelen ser los nombres del usuario y del grupo, también podrían ser un número si el usuario o el grupo del
archivo no tuvieran una cuenta en el sistema.
A continuación aparece el tamaño del archivo (2579 bytes, en este caso), la fecha y la hora en que se creó el
archivo o se modificó por última vez y el nombre del archivo: realmente, la entrada de directorio del
archivo que se corresponde con este vínculo duro con el archivo. Obsérvese que ningún vínculo tiene
preferencia sobre los demás. No hay nada significativo en cuanto al nombre que aparezca primero; todos se
tratan por igual. Y el borrado de un vínculo no borra el archivo, sólo esa referencia al mismo. El resto de
las versiones del archivo siguen existiendo.
Vínculos simbólicos
UNIX soporta tanto vínculos duros como vínculos simbólicos. Los vínculos simbólicos son similares a los
accesos directos de Windows 2000, pero con algunas diferencias. La diferencia más importante es que en
UNIX, cuando se tiene acceso al vínculo simbólico, en realidad se tiene acceso al archivo al que apunta, no
al propio vínculo. Por ejemplo, si se edita un vínculo simbólico con un archivo de texto, en realidad se está
editando el archivo de texto original. Con los accesos directos de Windows 2000 sólo se puede utilizar un
vínculo para iniciar un archivo ejecutable o para abrir una carpeta.
Los vínculos simbólicos se diferencian de los vínculos duros en que el archivo real tiene preferencia sobre
sus vínculos simbólicos. De hecho, el listado de un vínculo con el archivo resize deja claro que se trata de
un vínculo simbólico, no de un vínculo duro:

Capítulo 18
lrwxrwxrwx 1 charlie dba 2579 Aug 30 15:49 resize -> /u/cpr/resize
Como puede verse, el listado no sólo comienza con la letra «l» en primer lugar, sino que muestra realmente
el lugar al que apunta el vínculo. Se puede observar que los dos nombres de archivo son idénticos. Aunque
esto no es imprescindible, se trata del uso más frecuente de los vínculos simbólicos: hacer que parezca que
un archivo está en un lugar cuando realmente se halla en otro.
Otra característica de los vínculos simbólicos que los distingue de los vínculos duros es que pueden apuntar
a otros sistemas de archivos a incluso máquinas. Se puede tener un vínculo simbólico que apunte a un
archivo que resida en una computadora completamente diferente.
Si se copia un archivo sobre un vínculo simbólico, se romperá el vínculo. El nuevo archivo

sustituirá al vínculo con el archivo. No obstante, el archivo original seguirá existiendo, lo
que, como mínimo, hace que la duplicación de archivos resulte confusa.
Niveles de privilegios
Tradicionalmente UNIX divide el mundo únicamente en tres tipos de usuarios: el propietario del archivo,
los miembros del grupo del propietario y el resto del mundo. Estos tres niveles de privilegios se conocen
como propietario, grupo y otros. La mayor diferencia con Windows 2000 estriba en el segundo nivel de
privilegios: el grupo.
En los sistemas UNIX con seguridad tradicional, cada usuario sólo está activo simultáneamente en un
grupo. Cuando ese usuario crea un archivo, éste se crea con permisos para grupo basados estrictamente en
el grupo actual del creador del archivo. Esta situación puede suponer complicaciones interesantes y sutiles
al compararla con la metodología de Windows 2000. Si el inicio de sesión principal de un usuario es con
uno de los grupos estándar, las cosas suelen transcurrir como se espera. Sin embargo, cuando un usuario
pertenece a un grupo especializado con pertenencia restringida y crea archivos mientras ese grupo es el
grupo activo, la capacidad de los usuarios ajenos al grupo para tener acceso al archivo puede quedar
restringida.
Los usuarios que no son miembros activos del grupo que posee el archivo y que no son su propietario se
hallan en el otro nivel de privilegios. Esta disposición es esencialmente igual que el grupo de Windows
2000 denominado Todos. Un usuario de la otra categoría no tiene más permiso para el acceso al archivo
que el que tienen el resto de los usuarios.
En los estudios sobre seguridad de UNIX, hay que recordar un principio supremo: el usuario
root (a veces denominado superusuario) tienen acceso a todo. En el mundo de Windows
2000 se puede definir fácilmente un archivo o un directorio de modo que ni siquiera los
usuarios con privilegios administrativos tengan acceso a él sin cambiar su propiedad, pero
en el mundo de UNIX esa restricción no existe. No sólo eso, sino que el superusuario puede
incluso cambiar su identidad para tener la misma que un usuario dado.

Capítulo 18
Conectividad básica
Ahora que se comprenden las diferencias entre los modelos de seguridad de Windows 2000 y de UNIX, se
examinará la manera en que son compatibles. Por un motivo, sin complementos adicionales, Windows
2000 coexiste razonablemente bien con los servidores de UNIX. El protocolo de red predeterminado para
ambos sistemas operativos es ahora el mismo -TCP/IP-. Pueden compartir fácilmente DNS, DHCP y otros
servicios. Y la mera conectividad entre Windows 2000 y UNIX puede tratarse mediante los clientes de FTP
y de Telnet en las máquinas de Windows 2000.
Protocolo para transferencia de archivos
Todas las versiones de Windows 2000 incluyen un cliente FTP sencillo de línea de comandos y pueden
tratar FTP desde el Explorador de Microsoft Windows hasta cierto límite. El cliente de modo texto no
proporciona ningún extra, pero debe resultar bastante cómodo para los usuarios de UNIX y funciona sin
complicaciones. Quienes deseen un cliente FTP más gráfico y amistoso tienen una amplia variedad en la
que elegir, incluidos algunos que son puro software gratuito o software de libre distribución. El preferido
de los autores es WS FTP Pro de Ipswitch (http://www.ipswitch.com). Windows 2000 también incluye un
servidor FTP completo como parte de la familia Internet Information Services (IIS). Con un cliente y un
servidor FTP disponibles de origen resulta sencillo copiar archivos entre las máquinas UNIX y de Windows
2000 de la red.
Telnet
Todas las versiones de Windows 2000 vienen con el nuevo cliente de Telnet de modo texto que se estrenó
en SFU. El cliente de telnet semigráfico francamente horrible que se ha proporcionado desde Microsoft
Windows 3 desaparece por fin. El nuevo cliente es más rápido, tiene mejores emulaciones de terminales y
es realmente bastante bueno para la mayor parte de sus fines. Soporta ANSI (American National Standards
Institute), incluido el color, VT52, VT100 y VTNT, una emulación especial que puede resultar útil al
ejecutar aplicaciones de Windows 2000 de modo texto como Edit. Si ninguno de estos modos satisface las
necesidades de emulación de terminales, hay disponibles excelentes clientes de telnet comerciales de otros
fabricantes.
Sistemas de Archivos
El modo de compartir archivos de red de Windows 2000 se basa en el mecanismo tradicional de Microsoft
de los bloques de mensajes del servidor (Server Message Blocks, SMB). Los sistemas UNIX, por su parte,
utilizan el Sistema de archivos de red (Network File System, NFS) -desarrollado originalmente por Sun
Microsystems- para compartir los sistemas de archivos por la red.
Hasta la publicación de SFU solo se disponía de soluciones NFS de otros fabricantes para los sistemas
Windows que necesitaban compartir recursos de archivos con los sistemas UNIX. La mayor parte de estas
soluciones de otros fabricantes resultaban caras y problemáticas. El principal problema era su incapacidad

Capítulo 18
para mantenerse al nivel de los service packs de Windows NT, que casi siempre parecían descomponer
estas soluciones NFS. Además, estas soluciones tenían frecuentemente problemas significativos de
rendimiento.
No obstante, varias soluciones UNIX potentes basadas en SMB abordan el problema del modo de
compartir recursos de archivos entre Windows NT y UNIX. Estas soluciones SMB varían en coste desde la
gratuidad hasta las más caras y soportan las redes nativas de Windows al nivel de grupo de trabajo o de
dominio. Con la publicación de Windows 2000 sólo el tiempo podrá decir el modo en que estas soluciones
logran mantenerse al nivel de los cambios en el modelo de seguridad de Windows 2000 respecto del
modelo de Windows NT.
Sistema de archivos de red
NFS se diseñó para ejecutarse como protocolo de difusión mediante el protocolo de datagramas de usuario
(User Datagram Protocol, UDP). Este protocolo creaba problemas importantes de rendimiento y de tráfico
de red para quienes pretendían implementar grandes cantidades de red NFS y hacía difícil compartir
sistemas de archivos más allá de los límites de los enrutadores. Finalmente, el estándar del NFS se modificó
para que soportara TCP para la red NFS y muchos clientes y servidores modernos soportan este
mecanismo. No obstante, muchas implementaciones antiguas de NFS todavía en funcionamiento no
soportan TCP, por lo que el mecanismo predeterminado para SFU y otras implementaciones de NFS en
Windows 2000 es UDP
En conjunto, el rendimiento de las transferencias de archivos NFS hacia y desde el servidor de Windows
2000 es sustancialmente más baja que la de la mayor parte de las implementaciones SMB. Para entonos en
los que se deben copiar habitualmente archivos grandes entre sistemas Windows 2000 y UNIX, es probable
que NFS no sea una solución satisfactoria. No obstante, si las necesidades son principalmente de acceso
transparente a los recursos UNIX residentes en servidores UNIX, NFS es la mejor opción. Proporciona un
entorno completamente integrado para los usuarios de Windows 2000.
Bloque de mensajes del servidor
El principal problema que tienen los usuarios de SMB sobre UNIX es el modelo cambiante de seguridad de
Windows 2000. Se utilizan dos mecanismos para tratar la seguridad con las soluciones de SMB sobre
UNIX: la seguridad de nivel de grupo de trabajo y la seguridad de nivel de dominio de Windows NT 4.
La seguridad de grupo de trabajo sufre los mismos problemas que los grupos de trabajo en el entorno
empresarial: resulta más difícil gestionar a medida que aumenta el número de usuarios y de máquinas, y
tiene opciones limitadas para una verdadera gestión de la seguridad. No obstante, la seguridad de grupo de
trabajo tiene realmente sentido en entonos más reducidos, donde resulta fácil de comprender y sencilla de
configurar. Además, hay una buena ventaja de costes: en casi todas las plataformas de UNIX se dispone de
un servidor SMB de software gratuito fácil de encontrar y bien implementado, denominado Samba.
También se dispone de otros servidores SMB para grupos de trabajo que se pueden ejecutar en gran
variedad de plataformas. Tienden a ser más parecidos a Windows y más sencillos de configurar y de

Capítulo 18
administrar que Samba, que muestra su procedencia de código abierto.
También se pueden obtener servidores SMB de dominios Windows NT 4 de varios fabricantes de UNIX.
Todos ellos se basan en el puerto inicial de AT&T para UNIX de la tecnología de servidores avanzados de
Microsoft. Cada uno de ellos está limitado a ejecutarse en la plataforma para la que fue diseñado, y todos
tienen pequeñas diferencias debido a que el puerto de AT&T necesitaba configurarse en la mayor parte de
los casos. Todos los servidores SMB pueden ser tanto controladores del dominio principal como
controladores del dominio de reserva en los dominios de Windows NT, pero todos ellos tienen problemas al
trabajar con el nuevo modelo de seguridad de Windows 2000. Estos servidores, basados en el modelo de
seguridad de Windows NT 4, por desgracia, obligan a permanecer en el modo mixto.
Los servidores de dominio SMB presentan una ventaja importante respecto de los servidores SMB de
grupos de trabajo: para los usuarios y para los administradores de la red de Windows, todos tienen el
mismo aspecto y comportamiento que los servidores auténticos de Windows NT 4. Para gestionarlos se
utilizan las herramientas de administración usuales de Windows NT Server, y los servidores y las unidades
compartidas tienen el mismo aspecto para los usuarios que los servidores de Windows NT, lo que elimina
problemas de formación y de interfaces de usuario. Además, todos los servidores SMB tienen una ventaja
respecto de las soluciones NFS: suelen ser significativamente más rápidos en las transferencias de archivos,
especialmente al tratar archivos grandes.
Visión general de los servicios para UNIX
Para simplificar la conexión y el trabajo con los sistemas UNIX, Microsoft publicó el paquete SFU que
contiene todas las herramientas básicas para la interoperatividad entre Windows 2000 y UNIX. Estos
productos incluyen NFS, telnet, la interfaz de comandos Korn de UNIX y utilidades, así como un demonio
para sincronización de contraseñas. Antes de instalar SFU hace falta algo de formación respecto a la
sincronización de las contraseñas. Luego se examinarán con mayor detalle los demás productos SFU.
Introducción a la sincronización de contraseñas
La sincronización de contraseñas es una utilidad de sincronización de un solo sentido que permite

administrar las contraseñas de los usuarios para Windows 2000 y para UNIX desde el servidor de Windows
2000. SFU incluye demonios precompilados para la sincronización de contraseñas (denominados en UNIX
como demonios de contrato (sign-on) o SSOD) para tres de las principales versiones de UNIX: HP-UX,
Sun OS y Digital UNIX. También incluye código fuente que, en teoría, permite compilarlo en cualquier
otro sistema UNIX que pudiera hacer falta soportar. En realidad, sin embargo, si no se tiene alguno de los
tres puertos proporcionados del demonio seguro, es probable que se descubra que la única opción viable es
el método inseguro de la sincronización de contraseñas mediante rlogin.
Obviamente, el uso de rlogin tiene problemas de seguridad inherentes, ya que implica la transferencia por
la red de contraseñas en texto claro, pero resulta relativamente sencillo de configurar y puede resultar
suficiente en redes pequeñas adecuadamente protegidas de las influencias externas. Tampoco necesita
software ni configuración adicionales y es básicamente independiente de las plataformas.

Capítulo 18
Administración de vainas de UNIX
Los hosts de UNIX se organizan en vainas, con el método de sincronización de contraseñas gestionado
vaina a vaina. Se pueden crear vainas nuevas, añadir hosts a las existentes o modificar el método de
sincronización de una vaina mediante el Administrador del servicio de sincronización de contraseñas
(Password Synchronization Service Administrator, psadmin.exe).
Cuando se crea una nueva vaina, se piden los hosts miembros de la vaina y la metodología de
sincronización de las contraseñas que se utilizará en la vaina. Esto se puede cambiar más adelante. También
se dispone de la opción de activar el inicio de sesión en modo informativo. De manera predeterminada sólo
se registran los fallos, pero cuando se activa el activar el inicio de sesión en modo informativo, todas las
acciones de sincronización se registran en el Visor de sucesos.
Rlogin para sincronizar las contraseñas
Aunque algunos entornos de UNIX no permiten el uso de rlogin, allí donde es una opción viable
proporciona un mecanismo sencillo y fácil de configurar. Cuando la red se halla completamente aislada del
mundo exterior por un cortafuego muy seguro (o cuando no hay conexión con el mundo exterior), se puede
utilizar rlogin para gestionar la sincronización entre las máquinas de Windows 2000 y las de UNIX. Esta
opción tiene la ventaja de no necesitar software adicional en los hosts de UNIX, ya que la mayor parte de
las versiones de UNIX soportan rlogin.
Para configurar la sincronización de contraseñas mediante rlogin, hay que configurar antes los hosts
remotos de UNIX para que soporten correctamente rlogin para la cuenta raíz: Esto exige la creación en el
servidor de un archivo .rhosts. Este archivo .rhosts debe tener los permisos de modo que sólo root (o la
cuenta autorizada a cambiar las contraseñas) pueda escribir en él, debe poseerlo root (o la cuenta alternativa
mencionada) y residir en el directorio raíz de la cuenta root o de la cuenta alternativa. Debe contener un
listado de la máquina en que se llevará a cabo el cambio de contraseñas -generalmente, un controlador del
dominio-. El listado sólo debe tener el nombre abreviado de la máquina, no el nombre de dominio
completo.
La configuración predeterminada para la sincronización mediante rlogin utiliza la cuenta root, espera un
indicativo «#» y supone que la orden para cambiar las contraseñas es passwd. Si el entorno es diferente de
éste se pueden modificar estos valores predeterminados mediante el Administrador del servicio de
sincronización de contraseñas (Password Synchronization Service Administrator).
A diferencia de las cuentas de Windows 2000 y de Windows NT, que no diferencian entre
mayúsculas y minúsculas, las cuentas de usuario de los sistemas UNIX sí lo hacen. Si ya se
tienen cuentas de Windows 2000 que mezclan mayúsculas y minúsculas, es probable que se
descubra que se emplea más tiempo y esfuerzo en alinear las cuentas que el que se ahorra a
la larga. Pero si sólo se trata de añadir Windows 2000 a un entorno UNIX existente, se
puede hacer que la sincronización de las cuentas y de las contraseñas sea sencilla y directa

Capítulo 18
creando las cuentas de Windows 2000 correspondientes sólo en minúsculas desde el primer
momento. Los nombres de visualización asociados con las cuentas pueden seguir mezclando
mayúsculas y minúsculas; sólo tiene que estar completamente en minúsculas el nombre de la
cuenta subyacente.
Sincronización segura de contraseñas
SFU facilita la sincronización segura de contraseñas mediante archivos binarios precompilados que se
ejecutan como demonios en el servidor de UNIX, lo que le permite recibir las contraseñas cifradas enviadas
por Windows 2000 y luego modificar la contraseña UNIX de la misma cuenta. No obstante, las
advertencias sobre la distinción entre mayúsculas y minúsculas relativas a la sincronización mediante rlogin
son igualmente aplicables a la sincronización segura.
Instalación en UNIX del demonio de sincronización de contraseñas
Para instalar el demonio de sincronización de contraseñas, hay que copiar los archivos SSOD y ssod.config
de la versión correspondiente del demonio seguro en la máquina UNIX que será objeto de la sincronización
de contraseñas. Una ubicación de destino típica para estos archivos es /usr/local/etc, pero esto varía de
sistema a sistema y no resulta fundamental. Si se utiliza FTP para copiar los archivos, hay que asegurarse
de que se utiliza una transferencia binaria para evitar la corrupción de los archivos.
Una vez copiados los archivos en la máquina UNIX, hay que utilizar el mecanismo adecuado para
instalarlos. Esto varía según la plataforma, pero puede incluir pkgadd a otros mecanismos de instalación.
Hay que editar el archivo ssod.config facilitado para que refleje las ubicaciones de los archivos en el
sistema y el tipo de sincronización correspondiente. Se soportan tanto NIS (Network Information Service,
servicio de información de red) como /etc/passwd, al igual que la sombra de contraseñas.
El archivo ssod.config debe residir en el mismo directorio que el demonio. Una vez configurado, el
demonio se puede iniciar manualmente o añadirlo al archivo de inicio correspondiente. Los mecanismos de
inicio varían de plataforma a plataforma, pero pueden incluir /etc/rc.local y envoltura de la interfaz de
comandos en un directorio /etc/rc2.d.
Cuando se crea la vaina UNIX y se selecciona Usar cifrado (Use Encryption), se abre el cuadro de diálogo
Configuración de propagación segura (Secure Propagation Settings). Hay que abrir el número del puerto
que se ha configurado en la parte UNIX y la clave secreta de cifrado seleccionada en el archivo
ssod.config. Esta clave se utilizará para cifrar la contraseña antes de pasarla por la red.
Instalación de servicios para UNIX
Ahora ya se está preparado para instalar SFU. Para ello hay que seguir este procedimiento:
1. Introducir el CD-ROM de SFU en su unidad; aparecerá la primera pantalla del Services for UNIX
Add-On Pack Setup Wizard (Asistente para la configuración del paquete de complementos para

Capítulo 18
servicios para UNIX de Windows NT).

2. Hay que pulsar Siguiente, aceptar el acuerdo de licencia y pulsar otra vez Siguiente.
3. Hay que escribir los veinticinco caracteres del nuevo mecanismo de licencia. La buena nueva es que
en estos caracteres no se distingue entre mayúsculas y minúsculas. La mala es que resulta
tremendamente fácil escribir mal la cadena de caracteres, y no se puede cortar y pegar desde otro
lugar. Hay que pulsar Siguiente.
4. Hay que seleccionar el tipo de instalación. Como siempre, se recomienda seleccionar una instalación
personalizada -si es que sólo así se sabe lo que se está haciendo..
5. Sólo hay que seleccionar la opción Server for NFS (Servidor para NFS) si se va a compartir el
sistema de archivos de Windows 2000 con UNIX.
6. De manera predeterminada no se selecciona la opción Windows NT lo UNIX Password
Synchronization (sincronización de las contraseñas de Windows NT con UNIX). Generalmente sólo
hay que seleccionar esta característica en entornos de gran tamaño bajo estas condiciones:
● Gran número de usuarios trabaja regularmente tanto con Windows 2000 como con UNIX.
● Se ejecuta NIS en todos los sistemas UNIX.
● El servidor NIS es una de las plataformas soportadas y proporcionadas SSOD (Sun OS, HP-
UX y Digital UNIX).
De manera alternativa, si sólo se dispone de unos cuantos sistemas UNIX y no hay
preocupaciones por la seguridad, se puede utilizar el método de sincronización de
contraseñas no seguro estudiado anteriormente -rlogin-. Tiene la ventaja de ser sencillo y
fácil de gestionar, pero permite a las personas sin escrúpulos pero con acceso físico a la red
leer en eila las contraseñas en texto claro.
7. Una vez hechas las elecciones correspondientes hay que pulsar Siguiente y Finalizar, con lo que la
instalación comenzará. En la mayor parte de los casos habrá que reiniciar el sistema al final de la
instalación, dependiendo de las opciones seleccionadas.
Configuración de servicios para UNIX
Una vez instalado SFU se puede examinar su configuración. SFU eran inicialmente varios productos
diferentes de procedencias distintas unidos en un único paquete. Cada producto tiene una interfaz y un
mecanismo de configuración diferentes y, en consecuencia, no tiene un aspecto coherente. Aun así, la
funcionalidad se halla en cada componente y, generalmente, no depende de los otros integrantes del
paquete. Los componentes básicos del producto (la mayor parte de los cuales ya se ha examinado
brevemente) pueden clasificarse en alguna de las tres categorías siguientes:
● Servicios de conectividad: Incluye un servidor y un cliente mejorado basado en texto (modo texto),
además de un demonio para la sincronización de contraseñas. El cliente telnet suponía tal avance
que Microsoft lo ha incluido como parte del producto Windows 2000 estándar.
● Servicios de archivos: Incluye el soporte para el cliente y el servidor NFS.
● Servicios de uso: Proporciona un conjunto de utilidades UNIX y una interfaz de comandos Korn.
Servicios de conectividad

Capítulo 18
El cliente y el servidor telnet proporcionan un excelente método para comunicarse entre las máquinas de
Windows 2000 y las de UNIX. Pero los servicios de telnet también pueden ofrecer importantes ventajas en
la administración diaria de las propias máquinas de Windows 2000. Al añadir un servicio telnet a los
servidores de Windows 2000 se proporciona a los servidores una interfaz de línea de comandos sencilla y
que sobrecarga poco el sistema que permite gestionar gran variedad de tareas administrativas desde un
único sistema de escritorio e, incluso, mediante una línea telefónica lenta.
El servidor de telnet
Tal y como se instala, el servidor de telnet funciona de manera óptima en la mayor parte de las
instalaciones. Proporciona acceso desde cualquier servidor o estación de trabajo que tenga instalado un
cliente de telnet y ofrece una interoperatividad mejorada en el ámbito de la empresa y una mejora en las
posibilidades de gestión, incluso en entornos Windows 2000 puros. Acepta inicios de sesión de una gran
variedad de clientes, incluidos el cliente telnet gráfico incluido con Windows NT y con Microsoft Windows
95/98 y gran variedad de clientes de terminal en modo texto de prácticamente todos los sistemas operativos.
Además, puede cumplir los requisitos específicos del sitio para mejorar la seguridad, simplificar los inicios
de sesión, etc.
NT LAN Manager: El servidor telnet de SFU soporta NT LAN Manager (NTLM) para la autenticación de
los inicios de sesión de los clientes. NTLM autentica automáticamente al usuario con base en su inicio de
sesión de Windows 2000, lo que proporciona una conexión transparente con el host mientras asegura que
no se transfieran por la red contraseñas en texto claro. NTLM debe estar soportado tanto en el cliente como
en el servidor, sin embargo, lo que hace que esta opción sólo sea viable entre máquinas de Windows, y no
directamente con máquinas UNIX.
Al utilizar el inicio de sesión NTLM los usuarios quedan restringidos a las unidades locales de la máquina
en la que han iniciado la sesión. Si necesitan asignar recursos de la red pueden hacerlo asignándolos
directamente con su denominación completa. Por ejemplo:
net use g:\\servidor\unidad compartida\usuario:dominio\nombre de usuario
Administración: El servidor de telnet se administra mediante el programa tlntdmn.exe, que se instala de

manera predeterminada en <SFU Root>\telnet y proporciona un menú de texto sencillo que se puede
ejecutar prácticamente desde cualquier ventana de texto, incluido un inicio de sesión telnet remoto. Con el
programa tlntadmn.exe se pueden mostrar los usuarios actuales, terminar un grupo de usuarios, mostrar (y
modificar) los valores del registro para el servidor a iniciar y concluir el servicio. Entre los valores del
registro que se pueden modificar están los siguientes:
● Permiso para el inicio de sesión desde dominios de confianza: El valor predeterminado es

activado (on).
● Asignación predeterminada que simula la tecla ALT en las sesiones telnet
● Dominio de inicio de sesión predeterminado, definido inicialmente como <.>: Al modificar este
valor se puede facilitar el inicio de sesión de los usuarios. Si se define como el nombre del dominio

Capítulo 18
habitual de Windows 2000, el sistema no exigirá un inicio de sesión con el formato

DOMINIO\nombredeusuario, sino que aceptará un mero nombre de usuario.
● La interfaz de comandos predeterminada: El usuario recibe esta interfaz de comandos al iniciar
la sesión. El valor predeterminado es %SystemRoot%\system32\cmd.exe/q/k. No hay que
modificarlo. Los usuarios pueden modificar fácilmente su interfaz de comandos una vez iniciada la
sesión, y dejar el predeterminado reducirá la confusión y los problemas.
● Secuencia de comandos de inicio de sesión que se ejecuta cuando el usuario inicia la sesión: El
valor predeterminado es <SFU Root>\Telnet\login.cmd. Hay que utilizar esta secuencia de
comandos para personalizar los valores para los usuarios y hacer de manera automática las
asignaciones de unidades que sean necesarias. La secuencia de comandos de inicio de sesión
predeterminada de Windows 2000 no se ejecuta en las sesiones de telnet.
● Número máximo de conexiones permitidas al servidor: El valor predeterminado (y máximo) es
63. No obstante, el número real puede ser mucho menor si se dispone de menos conexiones con
licencia para la máquina de Windows 2000.
● Número máximo permitido de inicios de sesión fallidos antes de que la sesión devuelva un
mensaje de error: El valor predeterminado es 3, lo cual parece razonable.
● Opción de uso de NTLM para autenticación: Los valores permitidos son los siguientes:
❍ 0: No se utiliza NTLM.
❍ 1: NTLM se utiliza si está disponible; en caso contrario se presenta un indicativo de inicio de
sesión.
❍ 2: Sólo se permite NTLM. No se presenta ningún indicativo de inicio de sesión.
❍ Número del Puerto TCP/IP predeterminado utilizado para telnet: El valor
predeterminado es 23.
Valores del registro: Se puede utilizar el programa de administración de telnet facilitado para editar los
valores del registro para el servidor de telnet, o también se pueden editar manualmente utilizando regedit o
regedt32. La subclave para el servidor de telnet es HKEY_ LOCAL
MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0.
Valores del registro para el servidor de telnet

Clave del registro Tipo Valor predeterminado
AllowTrustedDomain REG_DWORD 0x00000001
AltKeyMapping REG_EXPAND_SZ
DefaultDomain REG_EXPAND_SZ
DefaultShell REG_ EXPAND_ %SystemRoot%\system32\,cmd.exe/q/k
SZ
LoginScript REG_ EXPAND_ %SystemRoot%\system32Vogin.cmd
SZ
MaxConnections REG_ DWORD 0x0000003f (63)
MaxFailedLogins REG_ DWORD 0x00000003

Capítulo 18
NTLM REG_ DWORD 0x00000002 (sólo NTLM)

TelnetPort REG_ DWORD 0x00000017 (23)
Termcap REG_ DWORD %SystemRoot%\system32\termcap
Además, hay una subclave específica para el ajuste del rendimiento:
HKEY_LOCAL_MACHINE
\SOFTWARE
\MICROSOFT
\TelnetServer
\1.0
\Performance
\NumThreadsPerProcessor
El valor mínimo de este parámetro es 2 y el valor predeterminado es 10 (Ox0000000a). En la mayor parte

de los entornos el valor predeterminado optimiza el rendimiento.
El cliente de telnet
Aunque Windows 2000 viene con un típico cliente de telnet de modo gráfico, también incluye el nuevo
cliente de telnet SFU de modo texto que proporciona barras de desplazamiento muy mejoradas y la
posibilidad de autentificar el uso de contraseñas cifradas al conectarse a los servidores de telnet que
soportan autenticación NTLM. Resulta a la vez más rápido y de mejor funcionamiento que el cliente de
modo gráfico al que sustituye.
Además, el cliente de telnet proporciona emulaciones de terminales, incluyendo una emulación ANSI que
soporta correctamente los colores al conectarse con servidores que también los soporten, como los que
ejecutan la variante de UNIX de Santa Cruz Operation (SCO). También hay una nueva emulación VTNT
que soporta características mejoradas en la conexión entre máquinas de Windows NT y de Windows 2000,
incluida la posibilidad de ejecutar aplicaciones complejas de modo texto como edit.exe que no funcionan
en emulaciones estándar de terminales.
La configuración de telnet se realiza desde el interior de una sesión de telnet "escapando" al indicativo de
telnet. Hay que pulsar CTRL + el corchete derecho (]) para obtener el indicativo de telnet una vez iniciada
una sesión. A partir de ese momento se pueden utilizar las opciones siguientes:
● ? Para obtener ayuda.

● close Para cerrar la conexión vigente.
● display Para mostrar los parámetros operativos vigentes.
● open <nombredelamáquina> Para abrir una conexión con una máquina. (También se puede utilizar
una dirección IP )

Capítulo 18
● quit Para salir completamente del cliente de telnet.

● set Para definir un parámetro operativo. Las opciones son:
❍ set ? Muestra ayuda sobre otras opciones de set.
❍ set NTLM Activa la autenticación NTLM.
❍ set LOCAL_ECHO
❍ set TERM <valor> Define la emulación de terminal solicitada. (Las opciones son ANSI,
VT52, VT100 y VTNT.)

● status Para imprimir el estado actual.
● unset Para borrar las opciones seleccionadas con el comando Set.
Si se conecta principalmente con sistemas UNIX, hay que definir TERM como ANSI y definir
NTLM como desactivado (off), pero, si se conecta frecuentemente tanto con sistemas
Windows NT como con sistemas UNIX, o si lo hace principalmente con sistemas Windows
NT, se descubrirá que la emulación VTNT es una opción más adecuada y se seguirá
utilizando ANSI al conectar con sistemas que no soporten VTNT.
Servicios de archivos
SFU proporciona conectividad adicional de servicios de archivos además del cliente y del servidor FTP
nativos de Windows 2000. La adición del cliente y del servidor NFS permite la conectividad nativa de
modo que parezca natural tanto a los usuarios de UNIX como a los de Windows 2000.
Al utilizar el cliente de NFS integrado naturalmente se pueden asignar sistemas de archivos exportados de
los servidores UNIX como si fueran unidades compartidas nativas de Windows 2000, usando el formato
UNIX servidorIrecursoexportado o el formato Windows. Y el servidor NFS permite compartir los recursos
de archivos con los sistemas UNIX o con otros clientes NFS, incluidos los clientes de Windows 2000. En
primer lugar se examinará el cliente NFS.
El cliente NFS
Al instalar el cliente NFS, se añade un applet al Panel de Control para administrar los parámetros del
cliente NFS. Hay que abrir el Panel de Control y pulsar dos veces Client for NFS (Cliente para NFS) para
abrir la ventana Propiedades de Client for NFS. Los apartados siguientes detallan las opciones que se
pueden seleccionar al administrar los parámetros del cliente NFS.
Authentication (Autentificación) Define las opciones de autenticación en función del tipo de sistema y de
entorno UNIX con el que se está conectado. A continuación figuran varias opciones de la ficha
Authentication (Autentificación):
● NIS: Adecuado en empresas grandes en que ya está instalado NIS.

● PCNFSD: Adecuado para el resto de entonos. El servidor del demonio PC NFS puede hallarse en
uno de los servidores UNIX o en un servidor NFS de Windows 2000.

Capítulo 18
También se dispone de estos otros parámetros:
● Authenticate At System Logon (autenticar en el inicio de sesión en el sistema): Comprueba

automáticamente la contraseña y el nombre de usuario para las conexiones NFS en el primer inicio
de sesión. De manera predeterminada se halla desactivada; esta opción puede ralentizar el inicio de
sesión si se producen problemas de conexión, pero ofrece a los usuarios un entorno más
transparente.
● Display This Dialog On Connect (mostrar este cuadro de diálogo al conectar): Cuando se
selecciona, se solicitan a los usuarios las credenciales de inicio de sesión para la conexión con el
servidor NFS. Esta solicitud se repite en cada conexión, lo que les da la opción de seleccionar
autenticaciones alternativas. Aunque normalmente suponga una molestia, es un parámetro útil si se
ha caído el autenticador predeterminado.
● Display Confirmation (mostrar confirmación): Cada conexión muestra un cuadro de diálogo de
confirmación antes de establecerse realmente. Suele resultar una molestia, salvo cuando se está
depurando un problema.
Mount Options (opciones de montaje): La ventana Propiedades de Client for NFS permite especificar el
tamaño de los búferes de lectura y de escritura (el valor predeterminado es 64 K), el intervalo de espera
inicial, el número de intentos y si se deben utilizar montajes duros (hard) o en caliente (soft). A menos que
se disponga de una buena razón para modificar estos valores, se deben dejar tal y como están. Resultan
óptimos para las conexiones que los soportarán y, en caso necesario, retrocederán automáticamente.
En la ventana Propiedades de Client For NFS hay otros tres parámetros de montaje:
● Enable Version 3 Remote Write Caching (habilitar escritura remota en la caché de versión 3):
Al seleccionarlo, las solicitudes de escritura se escriben en la caché del servidor remoto en vez de
obligar al sistema de archivos a escribirla inmediatamente. Esto puede acelerar enormemente el
rendimiento, pero supone las habituales advertencias y sólo debe activarse cuando lo soporte el
servidor y éste se halle adecuadamente protegido por un sistema de alimentación ininterrumpida
(SAI).
● Enable Locking (habilitar bloqueos): Al seleccionarlo, y cuando se halla soportado por el servidor
remoto, los archivos abiertos por el cliente se bloquean hasta que se cierren.
● Enable Caching (habilitar escritura en la caché): Al seleccionarlo, las solicitudes de lectura se
albergan en la caché local, lo que reduce el número de llamadas al disco duro remoto.
Permisos de acceso a archivo: Los permisos de acceso a los archivos para el cliente NFS ión para el
usuario (propietario) del archivo, pero sólo Lectura y Ejecución para el grupo propietario y para los demás
usuarios (lo que equivale a una umask de 022).
Filename Mapping (asignaciòn de nombres de archivo): Se puede asignar la manera en que se crean los
nombres de archivo y el modo en que se asignan los nombres de archivo existentes entre el servidor NFS
remoto y el cliente NFS. Las opciones de nombres de archivo que se crean desde el cliente son las
siguientes:

Capítulo 18
● Preserve Case (No Conversión) [conservar mayúsculas y minúsculas (sin conversión)]: Sólo
resulta adecuado si se usa NFS principalmente como recurso de almacenamiento de red pero no se
van a utilizar los archivos creados en el entorno UNIX, donde los hombres de archivos que
combinan mayúsculas y minúsculas pueden resultar una molestia.
● Convert lo Lower Case (cambiar a minúsculas): La opción preferida si se van a utilizar tanto los
archivos de los clientes de Windows 2000 como los de los clientes de UNIX.
● Convert lo Upper Case (cambiar a mayúsculas): La opción preferida si el servidor NFS remoto
se halla en un sistema operativo que prefiere o exige nombres de archivo en mayúsculas.
Las opciones para la asignación de los nombres de archivo existentes son las siguientes:
● Generate Unique Names For Existing Files With Mixed Case Filenames (generar nombres
únicos para los archivos existentes con nombres que contienen mayúsculas y minúsculas):
Resulta adecuada si puede haber guardados en el servidor nombres de archivo que combinen
mayúsculas y minúsculas. UNIX distingue completamente las mayúsculas de las minúsculas.
● Match Filenames Exactly (los nombres de archivo deben coincidir exactamente): Busca los
nombres de archivo distinguiendo entre mayúsculas y minúsculas. Resulta adecuada si puede haber
nombres de archivo que combinen ambos tipos de letra y si puede haber archivos con nombres
idénticos salvo por las mayúsculas y minúsculas.
● Match Filenames Ignoring Case (no hace falta que coincidan las mayúsculas y las minúsculas
de los nombres de archivo): Busca los nombres de archivo ignorando la caja de la letra. Resulta
adecuada y útil si se puede haber creado el archivo combinando mayúsculas y minúsculas o si el
programa que lo busca puede esperar una caja de letra concreta.
● Provide Unique 8.3 Format Names (proporcionar nombres únicos con formato 8.3): Resulta
útil si puede hacer falta tener acceso a los archivos desde una aplicación antigua de 16 bits que no
comprenda los nombres de archivo largos. Se aplica tanto a los archivos nuevos como a los ya
existentes.
En entonos mixtos en que los usuarios tengan acceso tanto a archivos de Windows como a
archivos de UNIX, se descubrirá que definir la asignación de nombres de archivo de modo
que los convierta automáticamente a minúsculas, pero que los compare ignorando el tipo de
letra, causa el mínimo de molestias a ambas comunidades de usuarios.
Configuración de las LAN de NFS: Antes de que el cliente NFS pueda explorar la red de manera efectiva
en búsqueda de sistemas de archivos exportados (compartidos), hay que configurar la LAN de NFS. Hay
dos opciones para la configuración de la LAN de NFS: FavoriteLAN y LAN de difusión identificada. Se
debe utilizar LAN de difusión para dividir la red en segmentos lógicos, limitar las difusiones únicamente a
una parte concreta de la red y reducir el tráfico de red.
Se puede crear una única FavoriteLAN que incluya a los servidores NFS con los que se establezca
conexión con mayor frecuencia. Estos servidores se identifican por su nombre o por su dirección IP,
independientemente del segmento en que se encuentren. Utilizando una FavoriteLAN se limita la cantidad
de tráfico de red de difusión y se acelera la conexión a los recursos preferidos. Para crear una FavoriteLAN

Capítulo 18
y añadirle un servidor, hay que seguir el procedimiento siguiente:
1. Abrir la ventana Client for NFS y pulsar la ficha Configured NFS LANs (LANs configuradas con
NFS) para mostrarla.
2. Pulsar el botón Agregar para abrir el cuadro de diálogo Add LAN (Agregar LAN).
3. Pulsar el botón de opción Add Server lo Favorite LAN (Agregar servidor a la LAN favorita) y luego
pulsar Aceptar para abrir el cuadro de diálogo NFS Hosts (Hosts NFS).
4. Pulsar el botón Agregar para abrir el cuadro de diálogo Add Host (Agregar host). Esto permite
identificar un host NFS por su nombre o por su dirección IP.
5. Hay que escribir el nombre o la dirección IP del servidor. El otro valor se rellenará de manera
automática.
6. Hay que pulsar Aceptar para volver al cuadro de diálogo NFS Hosts (Hosts NFS). Se pueden añadir
otros hosts en este mismo momento o pulsar Aceptar varias veces para añadir el hosts NFS a iniciar
la sesión en él.
La creación y uso de una LAN de difusión identificada es un proceso muy parecido al uso de FavoriteLAN,
salvo en que hay que tener cierta información sobre el segmento de red en que reside la LAN de difusión.
Para crear una LAN de difusión hay que seguir el siguiente procedimiento:
1. Abrir la ventana Client for NFS y pulsar la ficha Configured NFS LANs para que aparezca. Hay que
pulsar el botón Agregar para abrir el cuadro de diálogo Add LAN.
2. Escribir el nombre del segmento de LAN que se vaya a añadir y seleccionar el botón de opción
Specify LAN lo Browse (Especificar la red de área local que hay que examinar) para abrir el cuadro
de diálogo Broadcasting (Difusión).
3. Especificar la dirección y la máscara de subred de la LAN, o escribir directamente la dirección de
difusión. Los cuadros LAN Address y LAN Subnet Mask se quedarán en blanco en cuanto se rellene
el cuadro Broadcast Address. Esto es normal.
4. Seleccionar los parámetros de difusión, intervalos de espera, etc. Los valores predeterminados
constituyen un buen punto de partida, y sólo se deben modificar si se conoce el motivo de hacerlo y
sus consecuencias.
5. Una vez definidas las opciones, hay que pulsar Aceptar y el segmento de LAN se añadirá a las LAN
NFS.
6. Hay que definir el intervalo de refresco con un valor adecuado para el entorno. El valor
predeterminado es de cinco minutos, lo que resulta razonable en redes de gran tamaño en que los
hosts disponibles pueden variar con frecuencia. En redes de menor tamaño, o estáticas, puede
resultar conveniente incrementar el intervalo de manera sustancial para reducir el tráfico de difusión
por la red.
7. Una vez añadidos todos los segmentos LAN deseados, hay que pulsar Aceptar. Se puede recibir un
mensaje de inicio de sesión con éxito o uno de inicio de sesión fallido y se solicitará que se reinicie
la computadora. Hay que guardar los cambios para realizarlos todos al tiempo, ya que hay que
reiniciar la computadora antes de que tengan efecto.
Vínculos simbólicos: Los vínculos simbólicos son un modo de que un archivo o directorio exista en una
dirección física pero se pueda ver como existente en una o varias direcciones diferentes. Cuando un vínculo

Capítulo 18
simbólico hace referencia a un archivo o a un directorio que es local en la máquina en que se ubica el
vínculo, el cliente para NFS no necesita realizar ninguna actividad especial para seguirlo. Pero también se
pueden crear vínculos simbólicos en servidores NFS que apunten a archivos o directorios que se hallen
realmente en máquinas remotas.
Para resolver estos vínculos, el cliente para NFS debe tener un archivo de asignaciones que identifique la
máquina real a la que apunta el vínculo. El archivo de asignaciones debe residir en la máquina cliente local,
o estar ubicado de manera central en la red para su mejor administración. El archivo de asignaciones es un
archivo de texto ASCII y tiene el formato siguiente:
# Las líneas que comienzan por un signo # son comentarios y se ignoran

mnt \máquina\export
Hay que utilizar la ficha Symbolic Links (vínculos simbólicos) para definir las opciones.
De manera predeterminada, el cliente para NFS no resuelve ni muestra vínculos no

resueltos. Tampoco permite la redenominación ni la eliminación de vínculos simbólicos.
Sólo se deben activar las opciones Rename o Delete de los vínculos simbólicos si se
comprenden plenamente las consecuencias de su redenominación y de su eliminación y se
conoce el mecanismo o programa que las vaya a realizar. Si se elimina un vínculo simbólico
y se sustituye por un archivo con el mismo nombre, dejará de ser un vínculo simbólico.
Habrá dos archivos en el servidor NFS: el archivo original en su ubicación primitiva y el
archivo sustituto en la ubicación del vínculo.
Conexión con una exportación NFS La conexión con una exportación NFS es igual que la conexión con
cualquier recurso de sistemas de archivos compartidos de la red. Mediante el Explorador de Microsoft
Windows se pueden hallar redes NFS además de las redes de Microsoft Windows y de cualesquiera otras
redes que se hayan configurado en Mis sitios de red.
Si se desea conectar con un sistema de archivos NFS exportado, se puede utilizar la sintaxis estándar de
Windows (\\servidor\recursocompartido) o la sintaxis estándar de UNIX (servidor:/recursocompartido). El
uso de la sintaxis UNIX estándar resulta algo más rápido, ya que resuelve inmediatamente la sintaxis NFS
nativa y evita la necesidad de buscar una unidad compartida convencional de Windows que tenga el mismo
nombre.
También se pueden utilizar las órdenes Net Use de la línea de comandos pare conectar directamente con un
recurso concreto si se conoce su ubicación. Por ejemplo, pare asignar la siguiente letra de unidad disponible
al sistema de archivos exportado /home en served del servidor NFS, se puede utilizar cualquiera de las
órdenes siguientes:
net use * server1:/home

net use * \\server1\home

Capítulo 18
El servidor NFS
Se puede utilizar el servidor SFU NFS robusto pare proporcionar recursos de las máquinas de Windows
2000 a cualquier máquina de la red que soporte NFS. Incluso se podría utilizar pare exportar sistemas de
archivos a otras máquinas de Windows 2000 que ejecuten el cliente SFU NFS, aunque se recomienda, en
general, utilizar pare ello la red nativa de Windows 2000. Los apartados siguientes describen las opciones
disponibles pare la configuración de NFS.
Unidades compartidas: Las unidades compartidas se crean mediante Server for NFS Configuration
(Configuración del servidor pare NFS) del Panel de control. Se pueden compartir directorios individuales o
toda una unidad. No se pueden compartir subdirectorios de recursos ya compartidos, dado que NFS no lo
soporta, por lo que se deberán planificar las unidades compartidas pare asegurarse de que se comparte
desde la altura del árbol que resulte necesaria. Cada letra de unidad se comparte como la parte superior de
un sistema de archivos.
En el entorno UNIX todos los sistemas de archivos se ven como subdirectorios del sistema raíz. Como
Windows 2000 carece de este concepto de sistema de archivos de raíz única, cada letra de unidad de disco
se comparte como un sistema de archivos diferente. Las Letras de unidad de la forma "D:" se convierten a
la sintaxis < /D/». Por tanto, la unidad compartida de la carpeta F:\UserHome es vista por los clientes NFS
de la red como: /F/UserHome. Pare crear una unidad compartida NFS, hay que seguir el siguiente
procedimiento:
1. Hay que abrir Server for NFS Configuration del Panel de control.
2. Hay que escribir la unidad y la carpeta que se desean compartir (exportación, en lenguaje NFS) en la
que se añade una unidad compartida de la unidad D:. No se pueden añadir alias hasta que la unidad
compartida se haya creado.
3. Hay que seleccionar la opción Allow Anonymous UID (permitir Id usuario anónimo) si se desea
soportar los montajes anónimos de esta unidad compartida. No hay que seleccionar Symbolic Links
Supported (vínculos simbólicos soportados) a menos que se necesite realmente este soporte, ya que
impone una disminución significativa del rendimiento.
4. Hay que pulsar Share (unidad compartida) y se solicitarán los permisos de esta unidad compartida.
5. Hay que aceptar los permisos predeterminados a menos que se conozca la necesidad de limitar el
acceso a este punto compartido. Por lo general, se recomienda utilizar los permisos del sistema de
archivos subyacente para gestionar la seguridad, dejando abiertos de par en par los permisos de las
unidades compartidas.
6. Hay que pulsar Aceptar para volver a la ficha Share Options (opciones de la unidad compartida).
Aquí hay que hacer todos los demás cambios en los parámetros que se necesiten.
7. Hay que pulsar Advanced Options (opciones avanzadas) para ver las opciones avanzadas
disponibles. Los valores predeterminados resultan adecuados para casi todas las situaciones. Si se
Babe que se necesita definir explícitamente determinados parámetros para el entorno utilizado y se
conoce el significado de todos los parámetros, se pueden modificar; en caso contrario, es mejor
dejarlos como están. Hay que pulsar Aceptar para cerrar el cuadro de diálogo Advanced Export
Options (opciones avanzadas de exportación).
8. Hay que pulsar Aceptar para crear la unidad compartida y ponerla a la disposición de los demás

Capítulo 18
sistemas.
Alias de las unidades NFS compartidas: Se pueden crear alias para las unidades NFS compartidas para
hacer que las unidades NFS compartidas de Windows 2000 tengan un aspecto más parecido al que pueden
esperar los usuarios de UNIX. Hay que tener en cuenta que los alias NFS necesitan un reinicio de la
computadora para tener efecto, por lo que hay que crear primero todos los puntos compartidos y luego
añadir todos los alias para reducir el número de reinicios necesarios. Para crear un alias, hay que seguir el
1. Hay que abrir Server for NFS Configuration (configuración del servidor para NFS) en el Panel de
control.
2. Hay que seleccionar la unidad compartida para la que se desea crear el alias en la lista desplegable
Share Name (nombres de unidades compartidas).
3. Hay que escribir un alias en el cuadro de texto Alias (alias). No hace falta que comience por una
barra (n, ya que ésta se añade de manera automática cuando el alias está disponible.
4. Hay que pulsar la ficha Server Options (opciones del servidor) y asegurarse de que se selecciona la
casilla Return Alias Name (devolver alias). Esto asegura que las consultas de difusión de
exportaciones disponibles al servidor NFS devuelven el alias, no el nombre completo de la unidad
compartida.
5. Hay que pulsar Aplicar y se creará el alias. Se recibirá un mensaje de advertencia que recuerda que
es necesario reiniciar la máquina antes de que el alias tenga efecto. Si se tienen que crear otros alias,
hay que pulsar Aceptar en el cuadro de mensajes y continuar. Si se ha terminado de crear alias, hay
que pulsar Aceptar en el cuadro del mensaje y en el cuadro de i
diálogo para abandonar Server for NFS Configuration (configuración del servidor para NFS).
Grupos de Clientes: El servidor para NFS proporciona un mecanismo para la gestión de los permisos y las
unidades compartidas por grupos de computadoras, conocido como grupos de clientes. Al crear grupos de
clientes se pueden exportar (compartir) recursos de sistemas de archivos a grupos concretos de
computadoras sin necesidad de especificar cada vez cada computadora por se parado. Esta capacidad
también mejora la gestión y la administración al permitir la gestión de los miembros de cada grupo desde
una misma ubicación.
Los cambios en la pertenencia a los grupos (y, por tanto, los permisos) se modifican de manera automática
en cada recurso NFS que hace referencia a ese grupo de clientes. Para crear grupos de clientes, hay que
seguir el procedimiento siguiente:
1. Hay que abrir Server for NFS Configuration (configuración del servidor para NFS). Hay que pulsar
la ficha NFS Client Groups (grupos de clientes NFS) para poder verla.
2. Hay que pulsar el botón Add Group (agregar grupo) para añadir grupos nuevos. Esto abre el cuadro
de diálogo New Group (grupo nuevo). Hay que escribir el nombre de grupo que describa al grupo de
computadoras y pulsar Aceptar.
3. Hay que añadir los miembros del grupo pulsando el botón Add Member (agregar miembro) para
abrir el cuadro de diálogo New Member (miembro nuevo). Hay que escribir la dirección IP o el

Capítulo 18
nombre de la computadora cliente que se vaya a añadir al grupo y pulsar Aceptar.

4. Hay que continuar añadiendo miembros al grupo hasta que se hayan añadido todos. Luego hay que
pulsar Aplicar para hacer que el grupo quede inmediatamente disponible y continuar trabajando en
Server for NFS Configuration o pulsar Aceptar para hacer que el grupo quede disponible.
Bloqueo de archivos: Se puede activar el bloqueo de archivos para los clientes de NFS y para todo el
sistema, con propagación local y por la red. De manera predeterminada, el bloqueo está desactivado, pero si
se espera utilizar aplicaciones en montajes NFS que necesiten el bloqueo de archivos, puede que se desee
activarlo. Todos los cambios en el bloqueo de archivos necesitan un reinicio de la máquina, por lo que hay
que tenerlo en cuenta a la hora de la planificación.
Seguridad: Server for NFS Configuration utiliza entradas de control de acceso para simular los permisos
típicos de los mundos UNIX y NFS. Sin embargo, se pueden inhibir ciertos comportamientos que suelen
ser posibles en el conjunto de permisos de UNIX pero que no se aplican normalmente en Windows 2000 o
Windows NT. Concretamente, se puede inhibir la posibilidad de los clientes NFS de denegar el acceso al
propietario y al grupo poseedor de un archivo. También se pueden definir permisos para objetos para que
coincidan más estrechamente con la manera en que Windows 2000 los gestiona seleccionando la opción
Implicit Permissions (permisos implícitos) y escogiendo FULL Control (Group) [control completo (grupo)]
y FULL Control (World) [control completo (todos)].
Los modelos de seguridad de UNIX y de Windows 2000 tienen conjuntos de permisos

intrínsecamente diferentes. Cualquier intento de correlacionarlos constituye una mera
aproximación.
Servicios de uso
Los usuarios de UNIX esperan una gran cantidad de utilidades de la línea de comandos que no existen en el
mundo de Windows 2000. No obstante, SFU incluye un conjunto reducido de las utilidades UNIX más
comunes basado en el Kit de herramientas de Mortice Kern Systems (MKS), incluida la interfaz de
comandos Korn MKS para facilitar la posibilidad de compartir las secuencias de comandos. Si se necesita
un conjunto completo de utilidades UNIX, un complemento de MKS (MKS Toolkit Services for UNIX
Update Edition) proporciona el resto. del kit de herramientas de MKS y más de 200 utilidades UNIX.
Las utilidades SFU se agrupan en cuatro categorías principales: utilidades para archivos y directorios,
utilidades de texto, utilidades de programación y utilidades relacionadas con la seguridad. En cada caso
están disponibles las más importantes, pero, si se espera poder utilizar las secuencias de comandos del
mundo UNIX en Windows 2000, puede que se considere que esta lista resulta insuficiente para cubrir las
necesidades, a menos que se sea cuidadoso al elaborar la secuencia de comandos o que se aproveche la
utilidad de programación Perl incluida para superar los límites de la interfaz de comandos Korn.
Utilidades para archivos y directorios Las utilidades del sistema de archivos incluidas en SFU son las
siguientes:

Capítulo 18
● mkdir: Crea directorios. Con la opción p crea los directorios que faltan si resultan necesarios para
crear el directorio de destino.
● mv: Mueve archivos y directorios.
● cp: Copia archivos y directorios.
● rm: Elimina (borra) archivos y directorios.
● rmdir: Elimina directorios si están vacíos.
● is: Muestra una lista los archivos y directorios.
● touch: Modifica varias fechas y horas asociadas con uno o varios archivos.
● in: Crea vínculos con uno o varios archivos.
● find: La orden de búsqueda de UNIX completa.
● tee: Envía una copia de la salida estándar de un programa a uno o varios archivos.
Utilidades de texto: Las utilidades de texto incluidas en SFU son las siguientes:
● vi: Proporciona una emulación completa de la utilidad UNIX de edición de archivos.

● wc (word count, recuento de palabras): Cuenta el número de palabras, bytes, caracteres o líneas
de un archivo o de una entrada de datos estándar.
● sort: Ordena y fusiona archivos o entradas de datos estándar de acuerdo con un variado conjunto de
criterios.
● tail: Muestra las n últimas líneas de un archivo (10 líneas como valor predeterminado).
● head: Muestra las n primeras líneas de un archivo (10 líneas como valor predeterminado). Es la
inversa de tail.
● more: Muestra un archivo página a página. (En realidad, se parece más a la utilidad UNIX «less»,
que soporta el movimiento en ambos sentidos).
● sed: El editor de corrientes.
● cat: Concatena.
● grep: Obtiene expresiones regulares. La implementación de SFU también soporta egrep (extended
grep, grep extendido) y fgrep (fast grep, grep rápido).
Utilidades de programación Las utilidades de programación incluidas en SFU son las si-
guientes:
● sh: La interfaz de comandos Korn.

● Perl: Lenguaje de extracción práctica a informes (Practical Extraction and Reporting Language).
Versión 5.004 04 de Perl.
Utilidades relacionadas con la Segurid8d Las utilidades de seguridad incluidas en SFU son
las siguientes:
● chmod: Cambia los permisos de acceso de los archivos o directorios especificados. Cambia el modo
(change mode).
● chown: Cambia el propietario (y, opcionalmente, el grupo) de los archivos o directorios
especificados. Cambia el propietario (change owner).

Capítulo 18
Tanto el kit de herramientas completo de MKS como el subsistema Interix incluyen un grupo
de utilidades mucho más numeroso que las que se proporcionan con SFU. Interix también
incluye su propia implementación de telnet (que, por desgracia, tiene licencias por usuario,
lo que incrementa notablemente su coste). El kit de herramientas de MKS incluye varias
utilidades gráficas, incluida una versión gráfica bastante buena de vi y otras varias
utilidades que se prestan bastante bien a la implementación gráfica. Tanto MKS como
Interix incluyen versiones que escriben en cinta o en disquete, como podría esperar
cualquier administrador de UNIX.
Interfaces de comandos y Posix
Ningún estudio sobre la interoperatividad entre Windows y UNIX estaría completo sin abordar las
diferencias entre sus interfaces de comandos. Resulta interesante que todavía nadie haya aportado una
emulación de la interfaz de comandos cmd.exe de Windows NT/2000 a UNIX. Pero hay gran variedad de
emulaciones y puertos de las interfaces de comandos de UNIX a Windows 2000, lo que está bien, ya que el
usuario típico de UNIX no desea abandonar la interfaz de comandos completa Korn o POSIX para trabajar
con las limitaciones de la interfaz de comandos de comandos de Windows.
La interfaz de comandos Korn
Como ya se conoce, SFU proporciona una implementación excelente de la interfaz de comandos Korn de
UNIX en Windows 2000. Se basa en la implementación de la interfaz de comandos Korn de MKS con las
peculiaridades propias de esa implementación.
La interfaz de comandos Korn de MKS, tanto en SFU como directamente en MKS, obtiene la máxima
acomodación al mundo de Windows 2000. No distingue entre mayúsculas y minúsculas e ignora totalmente
la caja de la letra al comparar nombres de archivo, aunque al igual que NTFS lo conserva. Tampoco
transforma la sintaxis de las letras de unidad de Windows 2000 en sistemas de archivos con raíz única, más
propios de UNIX. Esto hace que resulte bastante cómodo para los usuarios de Windows 2000 que también,
a veces, pasen algún tiempo en el entorno UNIX, pero lo hace algo menos cómodo para los usuarios de
UNIX que tengan que pasar algún tiempo de manera ocasional en el indicativo de comandos de Windows
2000.
Las secuencias de comandos escritas para UNIX pueden pasarse con bastante facilidad a la interfaz de
comandos Kom de MKS. Las funciones están soportadas, a incluso la comparación mediante corchetes
dobles ([[]]) funciona como es de esperar. El mayor problema es el tratamiento de las letras de unidad y la
confusión sintáctica resultante. Las entradas PATH se separan mediante punto y coma, en lugar de por dos
puntos, para atenerse al requisito del uso de dos puntos detrás de las letras de unidad; en consecuencia, hay
que reescribir las secuencias de comandos que pretenden dividir la instrucción PATH utilizando los dos
puntos como separador de campos. Y las secuencias de comandos que deban trabajar tanto en sistemas
UNIX como en sistemas de Windows 2000 deben escribirse con esta consideración presente (no resulta
difícil, sólo es algo con lo que el usuario típico de UNIX no espera tener que trabajar).

Capítulo 18
Otro problema que tienen que abordar las secuencias de comandos es la carencia de un sistema de archivos
con raíz común. Esto se enmascara mejor utilizando nombres de archivos y caminos completos en las
variables y haciendo referencia a los caminos en función de las variables, en vez de hacerlo de modo
explícito. Esto no supone un gran problema y tiende, en todo caso, a promover buenas prácticas de
programación.
Interfaces de comandos POSIX y subsistemas
Aunque la interfaz de comandos Korn SFU (y el de MKS) no es más que otra interfaz de comandos que se
ejecuta sobre el núcleo nativo de Windows 2000, algunos subsistemas POSIX completos también soportan
UNIX en el nivel del núcleo. El mejor de ellos es, sin duda alguna, la implementación POSIX de Interix de
Softway Systems, un subsistema que cumple completamente POSIX y se integra directamente en el núcleo
de Windows 2000.
La interfaz de comandos POSIX de Interix utiliza el enfoque opuesto al utilizado por la interfaz de
comandos Korn de MKS/SFU -no hace prácticamente ninguna concesión al mundo de Windows 2000 y,
por el contrario, implementa en Windows 2000 un sistema de archivos con raíz que diferencia
completamente entre mayúsculas y minúsculas-. En consecuencia, las secuencias de comandos escritas para
UNIX se ejecutan exactamente de la manera esperada sin necesidad de cambios adicionales, al menos en
teoría. No obstante, la distinción total entre mayúsculas y minúsculas causa un sinnúmero de problemas, y
la ausencia de concesiones a la sintaxis de Windows 2000 implica que hay que recordar que los programas
nativos de Windows 2000 tienen nombres como notepad.exe, no notepad.
Se pueden hallar soluciones a estos problemas, incluido el uso de un conjunto de utilidades cuya única
misión es convertir los caminos y los tipos de letra de Windows 2000 a POSIX, y viceversa. No obstante,
los problemas con el uso de secuencias de comandos de UNIX en ambos entornos son similares a los de la
implementación MKS/SFU: hay que recordar las diferencias entre ambos entornos y escribir las secuencias
de comandos de manera que puedan superarlas.

Capítulo 19
Capítulo 19
Previendo que Windows NT y Windows 2000 se adoptarían de manera generalizada como servidores
para departamentos y grupos de trabajo, Microsoft incluyó en ellos dos servicios que permiten a los
usuarios de Macintosh compartir archivos a impresoras con los usuarios de Windows, de OS/2 e, incluso,
de MS-DOS. El servicio Servidor de archivos para Macintosh (FSM) aborda la publicación de los
archivos compartidos, y el servicio Servidor de impresión para Macintosh (PSM) permite a los usuarios
de Macintosh y de Windows compartir recíprocamente las impresoras. Además, Windows 2000 incluye
una implementación del protocolo de red AppleTalk. El mecanismo que utilizan estos servicios es
sencillo: se comparten las carpetas y los archivos y luego se activa el compartimiento de archivos
Macintosh en la unidad compartida. Los clientes de Windows pueden utilizar normalmente la unidad
compartida, mientras que los usuarios de Macintosh utilizan el software para compartir archivos de
Apple para conectarse con el servidor de Windows 2000 y obtener los archivos.
Introducción a los servicios para Macintosh
Cada uno de los tres componentes que proporcionan conjuntamente el soporte para Macintosh en
Windows 2000 time sus propias responsabilidades.
● La pila AppleTalk controla las comunicaciones de red con los clientes Macintosh y el
encaminamiento AppleTalk. Se puede instalar y utilizar el protocolo AppleTalk sin los servicios
para archivos o para impresión; ello permite encaminar el tráfico de AppleTalk o aceptar llamadas
mediante los Servicios de acceso remoto (Remote Access Service, RAS) de los usuarios remotos
de Macintosh.
● FSM controla la publicación de archivos de un MAV en los clientes Macintosh. Como parte de
esa labor, convierte sobre la marcha las bifurcaciones de archivos de Macintosh a corrientes
NTFS, y viceversa; también gestiona los datos de creador, tipo a icono necesarios para Finder de
Mac OS. Cuando los clientes de Windows utilizan archivos de la unidad compartida subyacente a
un MAV, tienen acceso a archivos mediante el servicio estándar de servidor, encima del cual se
halla situado FSM.
● PSM permite ofrecer a los clientes Macintosh el mismo conjunto de impresoras compartidas que
se ofrecen a los clientes de Windows. Convierte las salidas PostScript de los clientes Macintosh
en archivos de mapas de bits independientes de los dispositivos (device-independent bit-map,
DIB) que pueden manejar las impresoras de Windows 2000. Además, PSM permite crear grupos
de impresoras y asignar prioridades a los trabajos de impresión, dos características ausentes en
Mac OS. Sin embargo, esto exige que se capturen las impresoras que se deseen utilizar. Las
impresoras capturadas no pueden utilizarlas directamente los clientes AppleTalk; en vez de eso,
deben enviar las solicitudes de impresión al servidor de Windows 2000, que, a su vez, las entrega
a las impresoras. Si se deja sin capturar la impresora, los clientes AppleTalk pueden imprimir en

Capítulo 19
ellas, pero no se puede seguir ni controlar la impresión ni establecer prioridades entre los trabajos
desde el servidor de Windows 2000, lo que constituye el compromiso inherente. Como mejora
adicional, PSM permite a los usuarios de Windows imprimir en las impresoras de la red
AppleTalk.
Instalación y configuración de AppleTalk
El primer paso para poner el servidor de Windows 2000 a disposición de los usuarios de Macintosh es
instalar la pila de red AppleTalk. La instalación de FSM o de PSM antes que AppleTalk hace que
AppleTalk se instale, pero resulta más sencillo resolver los problemas relacionados con Macintosh si se
está seguro de que funciona el protocolo subyacente antes de instalar los componentes de servicios.
Instalación de AppleTalk
Dado que AppleTalk es un protocolo de red, se instala desde el cuadro de diálogo Conexiones de red y de
acceso telefónico. Antes de intentar instalar AppleTalk, hay que asegurarse de que se tiene acceso al CD-
ROM de Windows 2000 o a un punto de instalación de red. Para instalar AppleTalk, hay que seguir el
siguiente procedimiento:
1. En el menú Inicio, hay que apuntar a Configuración y escoger Conexiones de red y de acceso
telefónico.
2. Hay que pulsar con el botón derecho del ratón Conexión de área local. Aparecerá la ventana
Propiedades de Conexión de área local.
3. Hay que pulsar el botón Instalar. Cuando aparezca el cuadro de diálogo Seleccionar tipo de
componente de red, hay que seleccionar el icono Protocolo y pulsar Agregar.
4. En el cuadro de diálogo Seleccione el protocolo de red, hay que seleccionar Protocolo AppleTalk
en la lista y pulsar Aceptar. Si se solicita, hay que facilitar la ubicación de la distribución de
Windows 2000.
Este procedimiento instalará AppleTalk y lo enlazará con todas las tarjetas de interfaz de
red (Network Interface Cards, NIC) de la computadora. Si se desea eliminar AppleTalk de
alguna NIC concreta, hay que abrir su ventana Propiedades y desactivar la casilla de
verificación de AppleTalk.
Configuración del encaminamiento para AppleTalk
Antes de configurar el propio protocolo AppleTalk, hay que configurar el encaminamiento para
AppleTalk si se piensa utilizar. Esto asegura que la máquina de Windows 2000 tenga una lista de zona
actual y la información de red antes de que el proceso de configuración de AppleTalk lo necesite. El
encaminamiento para AppleTalk se maneja desde la consola Enrutamiento y acceso remoto. Para activar
y configurar el encaminamiento, hay que seguir el procedimiento siguiente:

Capítulo 19
1. En el menú Inicio, hay que apuntar a Programas, Herramientas administrativas y escoger

Enrutamiento y acceso remoto.
2. Hay que pulsar dos veces el servidor que se desea configurar. El icono se amplía para mostrar una
lista de los protocolos de encaminamiento instalados en ese servidor. Como mínimo se verá
AppleTalk; en función de la configuración de Enrutamiento y acceso remoto puede que también
se vean otros elementos.
3. Hay que pulsar con el botón derecho del ratón Enrutamiento AppleTalk y escoger Habilitar
enrutamiento AppleTalk.
4. En el panel derecho de la consola cambiarán los adaptadores a los que esté enlazado AppleTalk
para mostrar el estado de Enrutamiento (predeterminado), que indica que el encaminador se ha
iniciado y está disponible para el tráfico de encaminamiento en esas interfaces, pero que no está
alimentando a la red.
Establecimiento de un encaminador raíz
Es mucho más eficiente utilizar un encaminador raíz AppleTalk hardware que una computadora
Windows 2000, pero si no se dispone de encaminadores hardware, no obstante, se puede utilizar
Windows 2000 como encaminador raíz para la red AppleTalk. Una vez instalada la pila AppleTalk, hay
que seguir este procedimiento adicional:
1. En la consola Enrutamiento y acceso remoto, hay que expandir el servidor que se está
configurando y seleccionar Enrutamiento AppleTalk.
2. Hay que pulsar en la ventana de la consola Conexión de área local con el botón derecho del ratón
y escoger Propiedades. Aparecerá una ventana Propiedades de Conexión de área local.
3. Hay que seleccionar la casilla de verificación Habilitar el enrutamiento raíz en esta red. Esto
activa los controles de las áreas Intervalo de red y Zonas.
4. Hay que escoger el rango de números de red que se desea que tenga este encaminador raíz
rellenando las casillas Desde y Hasta del área Intervalo de red. Se pueden escoger números de red
de manera arbitraria, pero no pueden solaparse y deben ser únicos. Cada red puede soportar 253
nodos, por lo que se debe asignar un rango que sea suficientemente grande para el número de
nodos de la red. Las redes AppleTalk suelen agrupar las redes en zonas, lo que es el motivo de
que se pueda especificar un rango de redes para servir en lugar de sólo una.
5. Hay que crear la lista de zonas que se deseen conectar a la red de la manera siguiente:
● Hay que comenzar pulsando el botón Obtener zonas; esto hace que Windows 2000 busque
en la red zonas disponibles igual que haría un cliente. El resultado aparece en la lista de
zonas.
● Hay que utilizar el botón Nueva zona para añadir las zonas nuevas que se desee dejar
disponibles. Los nombres de las zonas pueden contener cualquier carácter ASCII
imprimible, salvo * : = y @, y deben tener menos de 32 caracteres. (Obsérvese que no hay
modo de cambiar el nombre de una zona una vez creada; hay que eliminarla y volver a
crearla.) Las zonas no deseadas se pueden eliminar con el botón Eliminar.
● En el cuadro Zona predeterminada, hay que especificar una zona predeterminada para los
nodos de la red. La zona predeterminada contiene a todos los nodos cuyo propietario no los

Capítulo 19
haya asignado a ninguna otra zona; el encaminador asigna de manera automática los
dispositivos sin zona predeterminada, por lo que es ahí donde los verán los usuarios de
Macintosh.
Hay que asegurarse de configurar los encaminadores raíz antes de configurar (o de iniciar) otros
encaminadores de la red.
Configuración del protocolo AppleTalk
AppleTalk se diseñó para ser un protocolo con poca sobrecarga y de bajo mantenimiento, por lo que su
configuración resulta bastante sencilla. De hecho, prácticamente no necesita configuración; basta con
indicar si el adaptador acepta conexiones AppleTalk entrantes y la zona en que aparecerá el servidor. A
continuación se indica la manera de configurar estos parámetros:
1. En el menú Inicio, hay que apuntar a Configuración y escoger Conexiones de red y de acceso
telefónico. Hay que pulsar con el botón derecho del ratón el adaptador que se desee configurar.
(Hay que utilizar el elemento Conexión de área local si sólo se dispone de una tarjeta de red.)
Aparecerá la ventana Propiedades correspondiente.
2. Hay que seleccionar el elemento Protocolo AppleTalk y pulsar Propiedades.
3. Aparecerá la ventana Propiedades de Protocolo AppleTalk. Si se está configurando el único
adaptador de red del sistema, estará seleccionada y atenuada la casilla de verificación Aceptar
conexiones entrantes en este adaptador, dado que, como mínimo, hay que aceptar las conexiones
entrantes en un adaptador. El cuadro El sistema aparecerá en la zona, permite controlar la zona en
que aparece el servidor; se puede utilizar la zona predeterminada o asignarlo a una zona concreta
de manera explícita.
4. Hay que pulsar Aceptar y volver a pulsar Aceptar en la ventana Propiedades del adaptador
El objeto rendimiento de AppleTalk encapsula alrededor de dos docenas de parámetros

específicos del protocolo (incluidos los contadores que registran todo el tráfico AppleTalk
entrante y saliente y el número de paquetes encaminados).
Configuración de los servicios de archivo e impresión
Una vez instalado y configurado el protocolo AppleTalk, se está preparado para instalar y configurar los
propios servicios Macintosh. FSM y PSM son dos paquetes independientes con procesos de instalación
similares. No importa el orden en que se instalen estos componentes.
Requisitos para la instalación de los servicios para Macintosh
Antes de instalar los componentes de los servicios para Macintosh hay que cumplir varios requisitos. En
primer lugar, si se va a instalar FSM, hay que tener en el servidor, al menos, una partición NTFS. Esto se
debe a que sólo se pueden crear volúmenes con acceso a Macintosh en particiones NTFS o del sistema de

Capítulo 19
archivos de CD-ROM (CD-ROM File System, CDFS); a incluso, si sólo se desea crear volúmenes con
acceso a Macintosh en particiones CDFS, hace falta una partición NTFS o no se podrá instalar FSM.
En segundo lugar, conviene tener ya instalados y configurados los adaptadores de red que se piense
conectar a las redes AppleTalk y haber comprobado que funcionan. Finalmente, hay que tener instalado y
configurado AppleTalk y haber probado la instalación para asegurarse de que los clientes de red
existentes pueden ver el nuevo servidor como nodo AppleTalk. Puede que para ello se necesite una
herramienta como EtherPeek o InterNetMapper de Dartmouth.
Si se desea que los usuarios de Macintosh tengan acceso a los archivos que se hallan en
unidades compartidas normales (no en volúmenes con acceso a Macintosh), se puede
utilizar una utilidad de otro fabricante como DAVE de Thursby Software
(http://www.thursby.com), que permite a las computadoras Macintosh iniciar una sesión
en dominios de Windows NT o de Windows 2000 y utilizar archivos a impresoras
compartidas utilizando los protocolos de red nativos de Microsoft.
Aunque la instalación y la gestión de FSM es bastante sencilla, hay algunos números de

los que se debe tener conocimiento. Estos números (o más exactamente límites) limitan
algunas de las cosas que pueden hacerse con FSM:
● Los volúmenes de Macintosh sólo pueden soportar nombres de archivo con una
longitud máxima de 31 caracteres, mientras que los de NTFS soportan nombres de
archivo con longitudes de hasta 256 caracteres. Los archivos de Macintosh
aparecen con sus nombres correctos en los sistemas de Windows que soportan
nombres de archivo largos, pero tienen nombres truncados con formato 8.3 en los
sistemas que no los soportan. FSM trunca los nombres de archivos de NTFS que
superen el límite de 31 caracteres, por lo que los clientes de Macintosh sólo ven los
primeros 31 caracteres.
● NTFS permite una longitud de camino máxima de 255 caracteres, igual que hace
Mac OS. Sin embargo, en ciertas circunstancias puede que FSM no envíe la
información de archivo o de carpeta de Macintosh de elementos cuyas longitudes
de camino combinadas superen los 260 caracteres.
● Al igual que NTFS, los sistemas de archivos de Macintosh no distinguen entre
mayúsculas y minúsculas. Si se tiene activado el subsistema POSIX, no se deben
utilizar nombres de archivo POSIX, o los clientes de Macintosh se confundirán.
● Los nombres de volumen con acceso a Macintosh pueden tener hasta 27 caracteres
de longitud, pero las herramientas de FSM sólo pueden crear nombres de 12
caracteres (aunque se utilice la utilidad Macfile para superarlo).
● AppleTalk necesita que los nombres de todas las unidades compartidas servidas
por una misma máquina quepan en un único paquete de anuncio. El tamaño de este
paquete no puede superar los 4760 bytes, lo que significa que hay un límite
superior de alrededor de 175 nombres de volúmenes con acceso a Macintosh (de
27 caracteres cada uno) por servidor.

Capítulo 19
Creación de cuentas para usuarios de Macintosh
FSM y PSM obtienen información de las cuentas del servicio de directorio de Active Directory de
Microsoft Windows 2000. Esto significa que los clientes de Macintosh no pueden iniciar una sesión en
los servidores FSM o PSM a menos que tengan una cuenta válida en el directorio o se les permite acceso
como invitados a los servidores. Resulta conveniente configurar las cuentas que se vayan a necesitar para
los usuarios de Macintosh como parte de la instalación y configuración en el servidor del soporte para
Macintosh; así, en cuanto se obtengan los volúmenes con acceso a Macintosh y las impresoras
compartidas estén creadas, los usuarios podrán comenzar a conectarse con el servidor.
PSM debe dotarse de un conjunto de credenciales de cuentas de usuario para que pueda imprimir los
trabajos en el Administrador de impresión estándar de Windows 2000. Utiliza de manera predeterminada
la cuenta del sistema, pero, por motivos de seguridad, resulta más conveniente crear una cuenta diferente
para utilizarla sólo con PSM.
Instalación de los componentes
Para instalar tanto PSM como FSM se utiliza el Asistente para componentes de Windows. El proceso real
es muy sencillo:
1. En el menú Inicio, hay que apuntar a Configuración, a Panel de control y escoger Agregar o quitar
programas. Cuando aparece la ventana de Agregar o guitar programas, hay que pulsar el icono
Agregar o guitar componentes de Windows para iniciar el Asistente.
2. En la primera pantalla del Asistente, hay que pulsar Siguiente. Aparece la pantalla de
Componentes de Windows; hay que desplazarse por la lista de componentes hasta hallar Otros
servicios de archivo y de impresión de red. Hay que seleccionarlo y pulsar Detalles.
3. Aparecerá el cuadro de diálogo Otros servicios de archivo y de impresión de red. Hay que
seleccionar los servicios para Macintosh que se desee instalar y pulsar Aceptar. Cuando se vuelve
al Asistente, hay que pulsar Siguiente.
4. Hay que pulsar Finalizar para concluir la instalación.
Una vez instalados los componentes de FSM y de PSM hay que configurarlos para que resulten de
utilidad. El único volumen con acceso a Macintosh que ofrece a sus clientes un servidor FSM recién
instalado es el que contiene el módulo de autenticación de conexiones de Microsoft.
Instalación del módulo de autenticación de Microsoft en el Macintosh
Cuando un cliente Mac OS se conecta con un servidor Windows 2000 FSM, el cliente tieneque enviar
sus credenciales de nombre de usuario y contraseña como texto claro no cifrado. Esto no resulta seguro,
ya que un atacante con un analizador de la red puede obtener fácilmente de la red las credenciales y
utilizarlas para abrir una sesión directamente en el servidor de Windows 2000.

Capítulo 19
Mac OS soporta la autenticación cifrada al comunicarse con los servidores de AppleShare, pero para
añadir el mismo nivel de seguridad a las conexiones entre Mac OS y FSM hay que elegir entre dos
opciones. Una es configurar el servidor para que acepte autenticación cifrada de Apple y la otra es
instalar un módulo adicional para autenticación de usuarios (User Authentication Module, UAM) en la
parte Macintosh. El UAM de Microsoft permite al cliente Mac OS cifrar sus credenciales utilizando el
mismo esquema que utilizan los clientes Windows al comunicarse con servidores de Windows 2000.
También ofrece otras dos ventajas útiles: permite utilizar contraseñas de mayor longitud (14 caracteres en
lugar del límite de 7 caracteres impuesto por AppleShare) y permite a los clientes saber si ha caducado su
contraseña para Windows 2000.
El UAM de Microsoft se guarda en un volumen con acceso a Macintosh especial denominado volumen
UAM de Microsoft (Microsoft UAM Volume). Este volumen con acceso a Macintosh siempre se halla
disponible para los clientes Macintosh en un servidor FSM; no cabe la posibilidad de eliminarlo o
cambiarlo de nombre y se halla disponible en cuanto se inicia el servicio FSM. El volumen UAM
contiene cuatro elementos: un archivo de texto (Readme.uam) que explica lo que hace el UAM y la
manera de instalarlo; una aplicación que instala de manera automática el UAM adecuado para una
configuración Mac OS dada; y las versiones del UAM para las versiones 3.8 (presente en Mac OS 7.5 y
posteriores) y 3.6 (para versiones anteriores de Mac OS) de AppleShare. Para instalar el UAM de
Microsoft en un cliente Mac OS hay, que seguir el procedimiento siguiente:
1. En la computadora Macintosh, hay que abrir el Selector en el menú Apple.

2. Hay que seleccionar el icono AppleShare en el Selector. Si se tienen varias zonas AppleTalk en la
red, hay que seleccionar la zona en que se halle el servidor FSM en la lista de Zonas AppleTalk.
3. Hay que seleccionar el servidor FSM al que se desee conectar. Hay que pulsar OK para intentar la
conexión.
4. Aparecerá el cuadro de diálogo de inicio de sesión de AppleShare. Hay que iniciar la sesión en el
servidor FSM, bien como invitado (hay que pulsar el botón Invitado), bien como usuario con
credenciales en el servidor (hay que pulsar el botón Usuario registrado y escribir el nombre de
usuario y la contraseña). Hay que pulsar OK cuando se haya terminado.
5. El icono Volumen UAM de Microsoft aparecerá en el escritorio del Macintosh. Hay que abrirlo a
iniciar la aplicación Instalador de MS UAM; instalará la versión del UAM adecuada para el
cliente en cuestión.
Si se desea instalar el UAM en varias máquinas, puede resultar más sencillo copiar el UAM adecuado en
las máquinas de destino en lugar de iniciar una sesión desde cada estación de trabajo. Este proceso es un
poco distinto del que se acaba de describir:
1. Hay que averiguar la versión del cliente AppleShare que tiene la máquina de destino. Hay que
abrir la carpeta del Sistema, ir a la subcarpeta Extensiones, seleccionar la extensión AppleShare y
escoger Obtener información del menú Archivo en el Finder para obtener su versión.
2. Hay que hallar la carpeta correspondiente en el Volumen UAM de Microsoft: bien MS UAM para
AppleShare 3.8, bien MS UAM para AppleShare 3.6. Al abrirla se hallará una subcarpeta

Capítulo 19
denominada Carpeta AppleShare.

3. Hay que examinar la carpeta del Sistema de la máquina de destino. Si no hay allí ningún
AppleShare, hay que arrastrar la carpeta AppleShare hallada en el Volumen UAM de Microsoft
en el paso 2 hasta la carpeta del Sistema. Si la carpeta se halla a11í, hay que abrir la carpeta
AppleShare del Volumen UAM de Microsoft y arrastrar la extensión MS UAM 5.0 a la carpeta
AppleShare del sistema de destino.
Una vez instalado el UAM de Microsoft, el proceso de inicio de sesión para los clientes Mac OS será
ligeramente diferente del habitual. El proceso normal es el siguiente: el usuario escoge una zona y un
servidor en el Selector, pulsa Aceptar y rellena el cuadro de diálogo de inicio de sesión de AppleShare.
Cuando hay instalados varios UAM -como ocurre una vez completado el procedimiento anterior-, la
pulsación de OK en el Selector genera un cuadro de diálogo que muestra los UAMs disponibles. Hay que
enseñar a los usuarios a utilizar el UAM Microsoft Authentication 5.0.
Configuración de las opciones FSM
Aparte de sus usos evidentes, el complemento Carpetas compartidas también permite configurar algunos
parámetros FSM útiles, incluidos el mensaje que ven los usuarios cuando inician una sesión, los tipos de
autenticación que acepta el servidor y el número de usuarios que pueden conectarse de manera
simultánea. Para llegar a estas opciones, hay que abrir el complemento Carpetas Compartidas, pulsar
Carpetas compartidas con el botón derecho del ratón y escoger Configurar servidor de archivos para
Macintosh. Se podrá ver la ficha Configuración de la ventana Propiedades de Servidor de archivos para
Macintosh. Con esta ficha se pueden llevar a cabo cuatro tareas útiles:
● Cambiar el nombre que presenta el servidor FSM a los clientes AppleTalk proporcionando un
nombre para el campo Nombre del servidor para estaciones de trabajo con AppleTalk. Esto no
tiene ningún efecto sobre el modo en que la computadora aparece en Active Directory, pero puede
presentar un nombre agradable a los usuarios de Macintosh si se utilizan nombres generados por
las máquinas.
● Proporcionar un mensaje de inicio de sesión que se les aparezca a los usuarios de Macintosh
cuando inicien una sesión. Puede tratarse de un mensaje de advertencia, de un anuncio sobre
tareas de mantenimiento futuras o lo que quiera que se desee presentar a los usuarios.
● Controlar algunos aspectos de seguridad del modo en que los clientes se comunican con el
servidor:
❍ La casilla de verificación Permitir guardar contraseñas a estaciones de trabajo determina si
los usuarios pueden indicarles a sus computadoras que guarden las credenciales de las
cuentas. Permitirlo hace que las cosas resulten más sencillas para los usuarios finales, pero
menos seguras:
❍ El cuadro de lista Habilitar autenticación permite escoger los tipos de autenticación que se
desea que acepte el servidor. El valor predeterminado es permitir autenticación de texto

claro de Apple o cifrada de Microsoft; también se puede escoger aceptar únicamente
autenticación de Microsoft, sólo texto claro de Apple o autenticación cifrada de Apple, o
únicamente autenticación cifrada de Apple y de Microsoft. Se recomienda esta última

Capítulo 19
opción, ya que permite a los clientes Mac OS modernos iniciar una sesión de manera
segura tanto si utilizan Microsoft UAM como si no.
● Definir el número de usuarios que pueden conectarse al servidor FSM de manera concurrente.
Normalmente, FSM permite un número ilimitado de conexiones AppleTalk a los volúmenes con
acceso a Macintosh, pero se puede reducir esa cifra seleccionando Limitado a y escribiendo en el
cuadro un límite de conexiones.
Archivos compartidos con FSM
Una vez instalado y configurado FSM, no se puede hacer nada con él hasta que se haya creado algún
volumen con acceso a Macintosh. El proceso general que hay que seguir viene a ser el siguiente:
● Crear el volumen con acceso a Macintosh al que se desea que los usuarios tengan acceso.
● Dar al volumen con acceso a Macintosh y a los elementos que contiene los permisos
correspondientes (teniendo en cuenta que los permisos para Macintosh y para Windows 2000 son
muy distintos entre sí).
Creación de volúmenes con acceso a Macintosh
Windows 2000 ofrece dos maneras diferentes de crear volúmenes con acceso a Macintosh nuevos. La
primera: se puede utilizar el Asistente para crear carpetas compartidas para crear una nueva unidad
compartida de Windows, lo que la hace visible a los clientes de Macintosh (o de NetWare) al crearla. De
manera alternativa, se puede crear un volumen con acceso a Macintosh para una unidad compartida de
Windows ya existente utilizando el asistente para crear una nueva unidad compartida exclusiva de
Macintosh que apunte al mismo elemento.
Para iniciar el Asistente para crear carpeta compartida, hay que abrir el complemento Carpetas
compartidas, pulsar Recursos compartidos con el botón derecho del ratón en el árbol Carpetas
compartidas y escoger Nuevo recurso compartido de archivo. Obsérvese que la casilla de verificación
Apple Macintosh ya no se halla atenuada; para crear un nuevo volumen con acceso a Macintosh sobre la
nueva unidad compartida, basta con seleccionar esa casilla. De manera opcional, se puede editar el
nombre de la unidad compartida visible para Macintosh del campo Nombre del recurso de Macintosh,
pero el Asistente proporcionará un nombre predeterminado razonable.
Existe un problema con este proceso. No se puede crear un volumen con acceso a Macintosh dentro de
otro. Por ejemplo, supóngase que se crean una unidad compartida y un volumen con acceso a Macintosh
en la raíz de un volumen NTFS de la unidad F. Se puede crear una unidad compartida de Windows en
F:\Descargas, pero no se puede crear a11í ningún volumen con acceso a Macintosh, ya que no pueden
anidarse. Por este motivo, Microsoft recomienda no crear volúmenes con acceso a Macintosh en el nivel
raíz de las unidades; en lugar de eso, hay que crearlos en la carpeta situada a un nivel más profundo de
las que engloban todos los elementos a los que se desea tener acceso.

Capítulo 19
A1 pulsar Siguiente en el Asistente se puede ver la ventana estándar para la selección de los permisos de
las unidades compartidas. Los permisos predeterminados de las unidades compartidas nuevas resultan
algo intranquilizadores: si se crea una unidad compartida combinada de volumen con acceso a Macintosh
y de Windows, el grupo Todos obtiene un control completo sobre ella, y, si se crea una unidad
compartida exclusiva para volumen con acceso a Macintosh, todos los usuarios de Mac OS obtienen el
equivalente para Macintosh. Lo normal es desear restringir un poco más las cosas.
Asignación de seguridad y de permisos
Lo primero que hay que comprender del tratamiento de los permisos por FSM es esto: Mac OS sólo
soporta controles de acceso en las carpetas, no en los archivos. FSM realiza una buena labor general de
traducción entre los permisos de Windows 2000 y los de Mac OS, pero no puede hacer nada para superar
esta limitación. En su lugar, FSM aplica de manera automática los permisos de la carpeta padre a sus
archivos hijo y subcarpetas.
Los usuarios pueden asignar permisos a cada uno de los archivos de una carpeta, pero Mac OS no los
respetará. Esto echa por tierra todos los objetivos de la seguridad en el nivel de archivos, por lo que FSM
la sustituye mediante un truco sutil y poco elegante pero útil. Los permisos en el nivel de los archivos
sólo se aplican si resultan más restrictivos que los de la carpeta que los alberga. Por ejemplo, supóngase
que se asignan derechos de control total al grupo Todos para un volumen con acceso a Macintosh
denominado Contratos. Posteriormente se cambian los permisos para un archivo, Trato-grande.doc, de
modo que Todos tenga los permisos Denegar: escribir y Permitir: leer sobre ese archivo. Un usuarios de
Macintosh que monte ese volumen con acceso a Macintosh podrá abrir la carpeta y el archivo. En lo
relativo a Mac OS, el usuario tendrá acceso pleno al archivo, pero el servidor no atenderá ninguna
solicitud de escritura: si se abre el archivo, se edita en Microsoft Word y se intenta guardar, se recibirá un
mensaje de error (el servidor no permite tener acceso de escritura al archivo).
Lo siguiente que hay que comprender es quién tiene acceso de manera predeterminada. Como ya se ha
mencionado, al crear un nuevo volumen con acceso a Macintosh el valor predeterminado es dar al grupo
Todos permiso de control total para todo el volumen. Los miembros de los grupos Administradores y
Operadores del servidor pueden administrar el propio servicio FSM, y los usuarios con privilegios de
administrador para el servidor siempre tienen control total de todos los archivos de los volúmenes con
acceso a Macintosh de ese servidor.
Permisos de Macintosh y de NTFS
El esquema de permisos de Apple agrupa los datos de los usuarios en tres categorías: datos privados
(sólo puede utilizarlos su propietario), datos del grupo (sólo pueden utilizarlos los miembros del mismo
grupo) y datos públicos (pueden utilizarlos todo el mundo). Aunque esto resulte conceptualmente más
sencillo de comprender que el esquema de permisos de Windows 2000, también es mucho menos
flexible. En Mac OS sólo se pueden asignar permisos para los objetos utilizando estas tres categorías; no
cabe la posibilidad de hacer cosas como asignar acceso a un solo archivo de una carpeta a varios grupos

Capítulo 19
de trabajo. Una característica positiva de este enfoque es que no hace falta que el propietario sea
miembro del grupo que tiene los permisos para la carpeta.
Otra diferencia es que Windows 2000 asigna de manera automática los permisos por herencia (al menos
cuando se ha seleccionado la casilla de verificación Hacer posible que los permisos heredables de un
objeto primario se propaguen a este objeto, lo que es el valor predeterminado); Mac OS permite a las
carpetas heredar los permisos en función de la voluntad del propietario. Cada carpeta de una jerarquía
puede tener permisos diferentes. Por ejemplo, resulta frecuente conceder a los usuarios acceso sólo de
lectura a la raíz de un disco compartido y concederles permiso de lectura y escritura para las carpetas a
las que necesitan tener acceso.
La tercera diferencia principal entre los dos sistemas, y quizá la más importante, es el modo en que se
comparta el grupo Todos. En Windows 2000 los permisos concedidos al grupo Todos no anulan los
permisos asignados a individuos o a grupos concretos, pero en Mac OS sí lo hacen. Esto significa que
hay que ser muy cuidadoso con la asignación de permisos al grupo Todos en la parte de Mac OS, ya que
puede que no se comporten como se espera.
Los propios permisos Macintosh son también ligeramente diferentes de los de Windows 2000. Los
usuarios de Mac OS pueden asignar un total de cinco permisos a las carpetas que poseen:
● El permiso No cambiar de nombre, mover o eliminar este elemento se aplica a una carpeta;
cuando este permiso es efectivo, los usuarios no pueden emprender esas acciones con la carpeta,
aunque puedan modificar los archivos o las subcarpetas que contenga.
● El permiso Ninguno impide que los usuarios hagan algo con una carpeta.
● El permiso Leer y escribir concede a los usuarios el equivalente del permiso Control total de
Windows 2000; pueden mover, eliminar, crear, abrir o cambiar el nombre de los archivos de la
carpeta.
● El permiso Sólo leer permite a los usuarios ver y abrir las carpetas y los archivos de la carpeta,
pero no pueden realizar ningún cambio.
● El permiso Sólo escribir permite a los usuarios crear elementos nuevos en una carpeta, pero no
abrir la carpeta o elementos de su interior. Apple también denomina a este permiso « permiso
papelera> .
Hay que establecer la relación entre estos permisos y los de Windows 2000. El permiso Leer de
Windows 2000 equivale a los permisos Ver archivos y Ver carpetas de la parte Macintosh. Los permisos
Escribir y Eliminar de Windows 2000 son equivalentes al permiso Hacer cambios de Macintosh. Estas
equivalencias son bidireccionales; si un usuario de Macintosh concede al grupo Todos los permisos Ver
archivos y Ver carpetas para un volumen con acceso a Macintosh, equivale a conceder al grupo Todos de
Windows 2000 el permiso Leer.
Grupos primarios

Capítulo 19
En Windows 2000 se pueden conceder permisos a un número arbitrario de grupos; cualquier objeto
puede tener asignado un número virtualmente ilimitado de permisos diferentes. En la parte Macintosh,
sin embargo, cada objeto sólo puede tener asignado un conjunto de grupos. FSM salva este foso
conceptual designando un grupo de Windows 2000 como grupo primario del objeto. Aunque puede que
otros grupos tengan permisos que puedan utilizar desde los clientes Windows, sólo el grupo primario
tiene derechos de acceso en la parte Macintosh, utilizando el permiso Usuario/Grupo que utiliza Mac OS.
El grupo primario se establece definiendo el grupo que tiene permisos para la carpeta en el servidor de
Windows 2000.
Autorización de acceso al servidor como invitado
Aunque el acceso anónimo constituye la norma en los servidores web, no siempre resulta deseable en los
servidores de archivos, de impresión o de aplicaciones. Hablando con rigor, la cuenta Invitado no es
anónima, pero a efectos prácticos no ofrece los mismos lazos entre un nombre de cuenta conocido y una
persona que suelen ofrecer las cuentas normales.
Si se desea permitir a los invitados el acceso a los volúmenes FSM, se puede hacer de dos maneras:
obligando a los clientes Mac OS a utilizar la cuenta Invitado de Windows 2000 a obligándolos a utilizar
la cuenta Invitado de Mac OS, que utiliza la cuenta Invitado de Windows 2000 del servidor. ¿Qué
enfoque es mejor? La característica Invitado de Mac OS permite a los usuarios pulsar el botón Invitado
del Selector a iniciar una sesión sin proporcionar un nombre de cuenta ni una contraseña, mientras que la
cuenta de Windows 2000 exige que se difunda la contraseña de la cuenta Invitado. Dado que no es
probable que se desee que nadie más que los usuarios de Mac OS utilice la cuenta Invitado de Windows
2000, la cuenta Invitado de Mac OS es la mejor solución para la mayor parte de las aplicaciones.
Independientemente del enfoque adoptado, hay que asegurarse de definir los permisos adecuados para los
volúmenes con acceso a Macintosh, de modo que los invitados sólo puedan ver y modificar lo que así se
desee.
Independientemente de si se escoge la cuenta Invitado de Macintosh o la de Windows 2000, hay que

llevar a cabo algunas labores previas para hacer que funcione el acceso para invitados:
1. Hay que definir los permisos adecuados para los archivos y carpetas del volumen con acceso a
Macintosh. En concreto, hay que asegurarse de que se le deniega a la cuenta Invitado de Windows
2000 el acceso a cualquier archivo o carpeta al que no se desee que los invitados tengan acceso.
Se recomienda hacer esto en primer lugar para poder comprobar que los permisos son correctos
antes de abrir el servidor a los usuarios.
2. Hay que activar la cuenta Invitado de Windows 2000. La cuenta activada dependerá de los
invitados a los que se les desee conceder el acceso; se puede activar una cuenta de invitados para
el dominio o utilizar la cuenta intrínseca del propio servidor FSM si no es un controlador de
dominio. Se recomienda activar la cuenta de invitados intrínseca del servidor y limitar su acceso a
otros recursos del sistema mediante un complemento.

Capítulo 19
Si se utiliza la cuenta Invitado de Mac OS, hay que abrir la ventana Propiedades del volumen con acceso
a Macintosh al que se desee que tengan acceso los invitados y asegurarse de que se ha seleccionado la
casilla de verificación Los invitados pueden usar este volumen. Este valor no tiene ningún efecto si se
obliga a los usuarios a iniciar la sesión con la cuenta Invitado de Windows 2000.
Se pueden crear volúmenes que no pueda ver nadie salvo su propietario. Se trata de una
buena manera de permitir a los usuarios que configuren unidades compartidas, de modo
que puedan tener acceso a sus archivos desde las máquinas Macintosh o Windows sin
permitir el acceso de nadie más. Resulta especialmente práctico para los administradores,
dado que pueden utilizar esta característica para configurar una unidad compartida de
herramientas útiles o material de referencia que sea accesible -para ellos- desde cualquier
punto de la red.
Para crear un volumen privado, hay que definir los permisos para Macintosh de modo que
sólo tenga acceso el propietario; hay que definir los permisos Usuario/Grupo y Todos
como Ninguno. Los usuarios verán el volumen con acceso a Macintosh en la lista de
unidades compartidas disponibles, pero el volumen privado estará atenuado y los usuarios
no podrán montarlo a menos que tengan el nombre y la contraseña del usuario.
Control de las características de seguridad exclusivas de Mac OS
El protocolo AppleShare proporciona algunas características de seguridad adicionales que pueden

definirse por unidad compartida. Se tiene acceso a todas estas características mediante la ventana
Propiedades de cualquier volumen con acceso a Macintosh. Para mostrar esta ventana hay que pulsar el
volumen en cuestión con el botón derecho del ratón en el complemento Carpetas compartidas y escoger
Propiedades. La zona interesante es el área Seguridad de volumen SFM (Services for Macintosh,
Servicios para Macintosh), que no se halla presente en la ventana Propiedades de las unidades
compartidas con formato Windows.
Contraseñas de los volúmenes: El campo Contraseña del área Seguridad de volumen SFM permite
asignar una contraseña que distinga entre mayúsculas y minúsculas a un volumen dado. Los usuarios de
Mac OS tienen que proporcionar esa contraseña y tener permisos de acceso para los elementos que
deseen utilizar; los usuarios de Windows no necesitan la contraseña del volumen. La contraseña del
volumen proporciona un nivel extra de seguridad, porque los usuarios que no tengan la contraseña no
podrán conectarse con el volumen. Si no está definida la contraseña de volumen, los usuarios pueden
conectarse con el servidor y ver los elementos para los que disponen de los permisos Ver carpetas y Ver
archivos, aunque no puedan abrirlos ni modificarlos.
Algunas versiones anteriores de Mac OS no permiten a los usuarios guardar las

contraseñas de volumen para que los volúmenes puedan montarse de manera automática;
no obstante, todas las versiones de Mac OS desde la versión 8 (hacia 1996) lo permiten,
por lo que se puede confiar en las contraseñas de volumen para añadir mucha seguridad a

Capítulo 19
los usuarios que las graben.
Volúmenes de sólo lectura: Al montar un CD-ROM estándar en el sistema sigue siendo de sólo lectura,
independientemente de los permisos que se asignen a los archivos y carpetas que contenga. FSM ofrece
una opción parecida: al seleccionar la casilla de verificación Este volumen es de sólo lectura en el área
Seguridad de volumen SFM se puede marcar un volumen como de sólo lectura. Este valor anula todos
los permisos que pueda tener un usuario de Mac OS. Cuando este valor tiene efecto, Mac OS trata todo el
volumen básicamente como si estuviera bloqueado.
Autorización de los invitados en Macintosh OS: Como ya se ha mencionado, la cuenta Invitado de

Mac OS y la cuenta Invitado intrínseca de Windows 2000 son dos entidades muy diferentes.
Independientemente de los permisos concedidos (si es que hay alguno) a la cuenta Invitado de Windows
2000, se puede seguir decidiendo poner los MAV a disposición de los invitados de Mac OS
seleccionando la casilla de verificación Los invitados pueden usar este volumen, en el área Seguridad de
volumen SFM de la ventana Propiedades del volumen con acceso a Macintosh. No obstante, si se
desactiva la cuenta Invitado de Windows 2000, la selección de esta casilla de verificación no tiene
ningún efecto, ya que, cuando un usuario de Mac OS decide iniciar una sesión como invitado de Mac
OS, FSM asigna esa solicitud a la cuenta Invitado de Windows 2000. Dado que la cuenta Invitado está
desactivada de manera predeterminada en Windows 2000 Server, Advanced Server y Datacenter Server,
los invitados de Mac OS no pueden montar los volúmenes con acceso a Macintosh a menos que se
emprenda alguna acción para reactivar la cuenta Invitado.
Gestión de los códigos tipo y creador
FSM se encarga de la traducción de las extensiones tipo Windows 2000 y los códigos tipo y creador de
Mac OS. Esto lo hace utilizando un conjunto de valores del registro (que se guardan en
HKLM\System\CurrentControlSet\Services\MacFile\ parameters\Type Creators) que contiene los
códigos tipo y creador que se hayan definido, y una lista distinta (en
HKLM\System\CurrentControlSet\Services\MacFile\Parameters\Extensions) que vincula las extensiones
con las entradas de la lista tipo y creador. FSM utiliza estas asignaciones para establecer los códigos tipo
y creador de los archivos, de modo que los clientes Mac OS puedan ver los iconos adecuados y obtener el
comportamiento esperado cuando trabajan con los archivos de los volúmenes con acceso a Macintosh.
Los archivos con extensiones que no están asignadas en estas bases de datos a pares tipo-creador reciben
un icono y un creador genéricos que indican a Mac OS que son archivos de texto sencillo. Puede que no
sea esto lo que se desea para la mayor parte de los archivos.
FSM incluye un amplio conjunto de asignaciones, pero hay tres circunstancias en las que puede que haga
falta modificarlas. La primera es que alguna de las asignaciones sea antigua -Microsoft incluye
asignaciones para programas como MORE de Symantec y Lotus 1-2-3 que no se han vendido para
Macintosh desde hace unos cinco años- y puede que haga falta actualizarlas. Puede que se halle también
que no se está de acuerdo con la asignación predeterminada para un tipo de archivo en concreto. Por
ejemplo, Stufflt (el equivalente para Mac OS de WinZip) tiene dos versiones: una completa y una versión

Capítulo 19
que sólo descomprime denominada Stufflt Expander. La asignación predeterminada de FSM vincula los
archivos de StuffIt con la versión completa, de la que no dispone la mayor parte de los usuarios, por lo
que parece más lógico vincular esa extensión con Stufflt Expander. La última situación en la que puede
que haga falta editar estas asignaciones es que haga falta añadir un tipo de archivo del que FSM no tenga
noticia. Dado que la versión que se distribuye no conoce varias extensiones de use muy frecuente (entre
ellas .BMP, .GIF, .JPG, .PNG, .HTM y .JS), puede que éste sea el problema que surja con mayor
frecuencia.
Para editar estas asociaciones hay que utilizar la ficha Asociación de archivos de la ventana Propiedades
de Servidor de archivos para Macintosh. La disposición de esta ficha resulta ligeramente confusa hasta
que se comprende el modo en que trabaja. La parte superior de la ficha (incluidos el cuadro Archivos con
extensión de MS-DOS y el botón Asociar) es donde se escoge la extensión para la que se desea crear la
asociación. El área Con el creador y tipo de documentos de Macintosh, permite ver y editar los tipos y
creadores de Mac OS disponibles para la creación de asociaciones.
El proceso completo resulta sencillo, pero hay algunas variaciones en el mismo en función del motivo de
la edición de las asociaciones. El primer paso es añadir un nuevo par tipo-creador; hay que hacerlo al
añadir una extensión nueva o al asignar o revisar una existente (dado que no hay manera de editar los
pares tipo-creador una vez introducidos en la base de datos). Para añadir un par nuevo, hay que pulsar el
botón Agregar y proporcionar el creador, el tipo de archivo y la descripción que se desee utilizar. Se
puede seleccionar un creador o tipo de archivo o introducir uno nuevo. Si hay que buscar el tipo o el
creador de un archivo, hay que hacerlo en la parte Macintosh, utilizando una utilidad como ResEdit o
para obtener más información del archivo. Una vez introducida la información, el nuevo par tipo-creador
aparecerá en la lista.
Una vez añadido el nuevo par tipo-creador se puede vincular a una extensión existente o añadir una
nueva extensión y vincularle la información de Mac OS. Para vincular una extensión existente con un par
tipo-creador, hay que seleccionar el par de la lista y luego seleccionar la extensión correspondiente en la
lista Archivos con extensión de MS-DOS y pulsar el botón Asociar. Para añadir una extensión nueva, hay
que escribirla en el cuadro Archivos con extensión de MS-DOS y pulsar Asociar para crearla y vincularla
con la combinación tipo-creador seleccionada.
Los usuarios de Mac OS conectados a un volumen con acceso a Macintosh no verán la

información de asociación actualizada hasta que cierren la sesión y vuelvan a montar el
volumen.
Para eliminar una asociación, hay que seleccionar el elemento tipo-creador de la lista y pulsar el botón
Eliminar. FSM pedirá la confirmación de la orden, dado que la eliminación de un par tipo-creador
elimina del registro el par y todas las extensiones asociadas.
Envío de mensajes a los usuarios

Capítulo 19
A veces hay que enviar un mensaje a los usuarios para comunicarles algo importante, tanto que no se
desea esperar a que salga por correo electrónico. Puede que se les comunique que algo está cerrado (o se
va a cerrar) para mantenimiento, que el edificio se halla en llamas o que Michael Jordan vuelve de su
retiro. En Windows 2000 se utiliza el Administrador de servicios de Terminal Server para enviar
mensajes a los usuarios conectados a un servidor; para los clientes Mac OS, se utiliza la ficha Sesiones
de la ventana Propiedades de Servidor de archivos para Macintosh. Enviar un mensaje es algo
sencillísimo: se escribe en el cuadro Mensaje y se pulsa el botón Enviar. Todos los usuarios de Mac OS
que tienen abierta una sesión en el servidor cuando se envía un mensaje ven una ventana desplegable con
el mensaje en su interior.
La utilidad MacFile
Si se prefiere utilizar una utilidad de línea de comandos para gestionar los servidores, Windows 2000
dispone de una versión actualizada de la utilidad Macfile incluida con Windows NT 4. Macfile
proporciona una interfaz de línea de comandos que permite gestionar los servidores FSM, los volúmenes
con acceso a Macintosh, los usuarios y los archivos desde una interfaz de comandos de Windows 2000.
Al igual que el venerable comando Net User, Macfile se hace querer una vez que uno se acostumbra a él,
ya que aligera el trabajo de muchas tareas administrativas frecuentes. Macfile tienerealmente cuatro
funciones diferentes:
● Macfile Server permite gestionar parámetros relacionados con los servidores, incluido el número
de sesiones que soportará el servidor, si se permite a los invitados iniciar una sesión y el mensaje
que se les aparece a los usuarios al iniciar una sesión.
● Macfile Volume permite crear y eliminar volúmenes con acceso a Macintosh y definir las
propiedades de los ya existentes en el servidor.
● MacFile Directory permite definir los permisos en el volumen con acceso a Macintosh para los
propietarios, los usuarios y los grupos utilizando especificadores de tipo Macintosh.
● MacFile Forkize es lo diferente: se utiliza para manipular las bifurcaciones de datos y de recursos
de los archivos Macintosh de los volúmenes con acceso a Macintosh. También tienealgunos otros
modificadores que permiten cambiar el tipo y el creador de un archivo o de un grupo de archivos.
Macfile Server
La orden Macfile Server permite trabajar con los mismos parámetros que la ficha Configuración de la
ventana Propiedades de Servidor de archivos para Macintosh. A continuación se muestra la versión
completa de este comando:
MACFILE SERVER
[/SERVER:\\nombre de la computadora]
[/MAXSESSIONS:número | UNLIMITED]
[/LOGINMESSAGE:mensaje]
[/GUESTSALLOWED: TRUE | FALSE)

Capítulo 19
● El indicador /SERVER permite especificar el servidor al que se aplican los cambios. Si se deja
desactivado, FSM da por supuesto que se modifican las opciones del servidor local.
● El modificador /MAXSESSIONS permite especificar un límite para el número de sesiones
simultáneas que se desea que soporte el servidor.
● El modificador /LOGINMESSAGE permite modificar el mensaje de inicio de sesión que se
muestra a los usuarios. Hay que escribir el mensaje entre comillas dobles y limitarlo a menos de
255 caracteres.
● El modificador /GUESTSALLOWED permite especificar si el servidor acepta conexiones de
invitados.
Macfile Volume
Si se desea añadir, eliminar o reconfigurar volúmenes con acceso a Macintosh, el comando Macfile
Volume es la herramienta que hay que utilizar. Este comando tiene, en realidad, tres modos diferentes,
cada uno de los cuales se activa por su propio modificador del comando.
El comando Macfile Volume /Remove
La variante menos compleja de Macfile Volume es la que permite eliminar los volúmenes con acceso a
Macintosh existentes. Esto no resulta sorprendente, ya que la eliminación de un volumen sólo necesita
que se especifique el volumen con acceso a Macintosh que se desea eliminar (y de manera opcional el
servidor que lo alberga). A continuación se muestra el aspecto del comando:
MACFILE VOLUME /REMOVE

/NAME : nombre del volumen
● El modificador /SERVER permite proporcionar el nombre del servidor FSM que alberga el
volumen que se desea eliminar. Si no se especifica ningún nombre, el comando da por supuesto
que se eliminará un volumen con acceso a Macintosh del servidor local.
● El modificador /NAME es la manera de especificar el volumen con acceso a Macintosh que se
desea eliminar. Para eliminar un volumen cuyo nombre contenga signos de puntuación o espacios,
hay que encerrarlo entre comillas dobles.
El comando Macfile Volume /Add
Añadir un nuevo volumen resulta bastante sencillo. Cuando se crea un volumen con acceso a Macintosh
nuevo utilizando el Asistente para carpeta compartida los únicos parámetros exigidos son el nombre que
se desea que tenga el volumen y el camino a la carpeta en la que se ubica (y pasa lo mismo con Macfile
Volume /Add). La versión completa de la orden se muestra a continuación. (Obsérvese que los
modificadores /SERVER y /NAME trabajan igual que con Macfile Volume /Remove.)

Capítulo 19
MACFILE VOLUME /ADD

/NAME:nombre del volumen
/PATH:camino hasta el archivo
[/READONLY:TRUE|FALSE]
[/GUESTSALLOWED:TRUE|FALSE]
[/ PASSWORD: contraseña]
[/MAXUSERS:número|UNLIMITED]
● /PATH especifica todo el camino, incluida la letra de la unidad, hasta la carpeta que se desea
compartir como volumen con acceso a Macintosh. Esta carpeta no puede hallarse en el interior de
una carpeta o de un volumen que ya se comparta como volumen con acceso a Macintosh.
● /READONLY controla si FSM trata este volumen como de sólo lectura. Esto tiene el mismo
efecto que la casilla de verificación Este volumen es de sólo lectura de la ventana Propiedades del
volumen con acceso a Macintosh; al igual que ocurre con esa casilla de verificación, el valor
predeterminado de este modificador es FALSE.
● /GUESTSALLOWED controla si los invitados pueden iniciar una sesión en el volumen con
acceso a Macintosh. Es idéntico a la casilla de verificación Los invitados pueden usar este
volumen; su valor predeterminado es TRUE.
● /PASSWORD especifica una contraseña para el volumen. De manera predeterminada no se asigna
ninguna contraseña al crear un volumen.
● /MAXUSERS determina el número máximo de usuarios a los que se les permite utilizar el
volumen con acceso a Macintosh simultáneamente. El valor predeterminado no impone ningún
límite (al igual que ocurre con la opción Máximo permitido de la ventana Propiedades del
volumen con acceso a Macintosh), pero aquí se puede especificar un límite numérico.
El comando Macfile Volume/Set
El comando /Set de Macfile Volume permite modificar los valores proporcionados al crear el volumen
con acceso a Macintosh; se puede cambiar su condición de sólo lectura, especificar si los invitados
pueden utilizarlo, definir una contraseña para el volumen a indicar el número de usuarios que lo pueden
utilizar. Su sintaxis es muy parecida a la utilizada por el modificador /Add:
MACFILE VOLUME /SET

/NAME:nombre del volumen
[/READONLY:TRUE|FALSE]
[/GUESTSALLOWED:TRUEIFALSE]
[/ PASSWORD: contraseña]
[/MAXUSERS:número|UNLIMITED]
Macfile Directory

Capítulo 19
El nombre Macfile Directory puede inducir a error; puede que hubiera sido más acertado denominarlo
Macfile Permissions (Permisos Macfile), dado que este comando se utiliza para asignar permisos a los
directorios de los volúmenes con acceso a Macintosh (o a los directorios que los contienen). Se puede
asignar de manera individualizada un propietario o un grupo o definir los permisos para el propietario o
para el grupo. El comando se muestra a continuación. (Los modificadores /SERVER y /PATH se
comportan como ya se ha estudiado.)
MACFILE DIRECTORY
/PATH:camino hasta el directorio
[/OWNER:nombre del propietario]
[/GROUP:nombre del grupo]
[/PERMISSIONS:máscara de permisos]
● El modificador /OWNER especifica la cuenta de Windows 2000 que posee el volumen con acceso
a Macintosh. Este cambio se aplica al directorio actual del volumen y se refleja también en el
apartado para compartir de la ventana de información del sistema operativo Mac OS del volumen
(tanto el cliente Mac OS como el servidor FSM ven el cambio de propiedad).
● El modificador /GROUP cambia el grupo principal que tiene los permisos de Mac OS para el
volumen con acceso a Macintosh. Dado que los clientes de Mac OS sólo pueden resolver los
permisos para una entrada de grupo, hay que escoger el permiso de grupo de Windows 2000 que
vaya a ser el principal. Nombre del grupo puede ser el nombre de cualquier grupo válido de
Windows 2000, tanto local como guardado en el directorio de dominio.
● El modificador /PERMISSIONS acepta como argumento una máscara de bits de once cifras que
especifica, bit a bit, los permisos que se desea aplicar al volumen con acceso a Macintosh en
cuestión.
Con una sola excepción (la activación del bit 11 de la máscara del modificador /PERMISSIONS),
ninguno de estos cambios se aplica de manera recursiva.
Macfile Forkize
El comando restante, Macfile Forkize, se asemeja a una navaja suiza: tiene varias funciones útiles que no
suelen hacer falta, pero que a veces resultan realmente prácticas. Macfile Forkize se utiliza para dos
cosas: cambiar el código tipo o creador de un archivo o combinar las bifurcaciones de recursos y de datos
de un archivo. A continuación se muestra la sintaxis del comando:
MACFILE FORKIZE
/TARGETFILE:camino hasta el archivo
[/TYPE: código tipo]
[/CREATOR:código creador]

Capítulo 19
[/DATAFORK:camino hasta el archivo]

[/RESOURCEFORK:camino hasta el archivo]
● El modificador /TARGETFILE designa el camino completo hasta el archivo al que se desea

aplicar forkize. Si se combinan una bifurcación de datos y una de recursos, /TARGETFILE
especifica el lugar al que va el archivo resultante. Si se cambia el tipo o el creador, especifica el
lugar en que se halla el archivo que se va a modificar. Como siempre, los caminos que contienen
caracteres especiales o espacios deben escribirse entre comillas dobles.
● Los modificadores /TYPE y /CREATOR permiten especificar los códigos tipo y creador de cuatro
caracteres de un archivo concreto. Por ejemplo, para modificar un solo archivo de modo que su
tipo sea TEXT y su código creador coincida con el de Macromedia Dreamweaver, hay que utilizar
este comando:
macfile forkize /targetfile:f:\compartida\html\bienvenida.htm /
type:TEXT /creator:DmWr
Se trata de una manera rápida de componer los tipos y creadores de los archivos existentes
después de haber cambiado las asociaciones.
● Los modificadores /DATAFORK y /RESOURCEFORK especifican las ubicaciones de los
archivos cuyas bifurcaciones se desea unir. FSM no realiza ninguna comprobación relativa a la
racionalidad de la solicitud, por lo que no hay nada que impida unir la bifurcación de recursos de
Microsoft Word 98 para Macintosh con la de datos de un documento (por ejemplo).
Impresoras compartidas con PSM
PSM funciona de dos modos diferentes pero relacionados. En primer lugar, permite a los usuarios de
Mac OS imprimir en cualquier impresora compartida por el servidor de Windows 2000 PSM. En lo
relativo a los usuarios de Macintosh, cualquier impresora (independientemente de sus posibilidades
intrínsecas) compartida por el servidor PSM aparece como una impresora PostScript nivel 1 de 300
puntos por pulgada. Afortunadamente, el servicio PSM también funciona al revés: permite capturar
impresoras de red AppleTalk para que los usuarios de Windows puedan imprimir en colas de Windows
2000 Server y hacer que sus trabajos vayan a las impresoras AppleTalk, sin instalar AppleTalk en los
propios clientes.
Antes de instalar PSM
Como ya se ha mencionado en el apartado «Configuración de los servicios de archivos y de impresión»,

el mejor modo de instalar PSM es instalar, configurar y probar en primer lugar el protocolo AppleTalk.
Una vez seguros de que funciona correctamente, el paso siguiente es crear una cuenta de usuario para el
servicio PSM. FSM no necesita una cuenta propia, dado que los permisos ya están definidos en los
archivos y en las carpetas que pone a disposición de los usuarios de Macintosh. Sin embargo, para
controlar la impresión hace falta tener una cuenta diferente a la que se le puedan asignar permisos. Hay
que crear un nuevo usuario que se empleará exclusivamente con PSM, y luego hay que seguir el
procedimiento siguiente para configurar el servicio con PSM para utilizar esta cuenta en lugar de las

Capítulo 19
credenciales LocalSystem predeterminadas.
1. Hay que abrir el complemento Administración de equipos desde una consola MMC.
2. Hay que pasar a la vista Servicios.
3. Hay que hallar el servicio Servidor de impresión para Macintosh, pulsarlo con el botón derecho
del ratón y escoger Propiedades.
4. En la ventana Propiedades del Servidor de impresión para Macintosh, hay que pulsar la ficha
Iniciar sesión y la opción Esta cuenta. Se activan los controles de la cuenta y de la contraseña.
Hay que seleccionar la cuenta PSM creada, escribir su contraseña en el campo correspondiente y
pulsar Aceptar.
Impresoras compartidas con usuarios de Macintosh
El primer paso para crear una impresora en la que puedan imprimir los usuarios de Mac OS es crear una
impresora compartida, bien creando desde el principio una impresora nueva utilizando el Asistente para
agregar impresoras, bien compartiendo una impresora ya existente.
Si se desea compartir una impresora existente que ya está conectada al servidor de Windows 2000, basta
con ir a la ficha Compartir de su ventana Propiedades, seleccionar la opción Compartido como y
asignarle un nombre a la impresora compartida. Si se crea una impresora nueva, el proceso resulta
ligeramente más complicado.
1. Hay que iniciar el Asistente para agregar impresoras pulsando dos veces en el icono Agregar
impresora de la carpeta Impresoras. Cuando aparece el asistente, hay que pulsar Siguiente para
pasar a la página siguiente.
2. En la siguiente pantalla del asistente, hay que seleccionar la opción Impresora local y, si resulta
adecuado, la casilla de verificación Detectar a instalar mi impresora Plug And Play
automáticamente. Hay que pulsar Siguiente.
3. En la pantalla Seleccionar el puerto de impresora del Asistente, hay que seleccionar la opción
Crear nuevo puerto y, en la lista tipo, Dispositivos de impresión de AppleTalk. Hay que pulsar
Siguiente.
4. El asistente despliega un explorador de AppleTalk que funciona de manera muy parecida al
explorador estándar Mi Pc al que están habituados todos los usuarios de Windows. Hay que
buscar en las zonas de AppleTalk de la red hasta hallar la impresora que se desea utilizar,
seleccionarla y pulsar Aceptar en el explorador.
5. Hay que completar el Asistente para agregar impresoras poniéndole nombre a la impresora nueva
(utilizando un nombre de menos de 32 caracteres de longitud) y asegurándose de compartir la
impresora cuando se pregunte si se desea hacerlo.
Como parte del proceso de configuración, se pueden imponer restricciones en cuanto a las
personas autorizadas a utilizar la impresora (con la ficha Seguridad de la ventana
Propiedades de la impresora) o en cuanto al momento y el modo de emplearla (con la

Capítulo 19
ficha Avanzadas).
Una vez concluido este proceso, la impresora compartida recién creada queda a disposición de los
usuarios de Macintosh en cuanto se interrumpe y reinicia el servicio PSM.
Captura de las impresoras AppleTalk existentes
La captura de una impresora AppleTalk tienedos efectos secundarios. El primero es que los usuarios de
Mac OS ya no pueden imprimir directamente en el dispositivo capturado, lo cual es el resultado de la
captura. El segundo es que cualquier usuario, de Mac OS o de Windows, del servidor PSM puede
imprimir en el dispositivo capturado, siempre que se haya compartido. Para capturar una impresora
AppleTalk ya existente, hay que crear antes una impresora compartida para representarla en el servidor
de Windows 2000 mediante el procedimiento siguiente:
1. Hay que crear una nueva impresora compartida mediante el Asistente para agregar impresoras.
Hay que indicar al asistente que la impresora está conectada localmente.
2. Hay que ir a la ficha Puertos de la ventana Propiedades de la impresora y pulsar el botón Agregar
puerto.
3. Cuando aparece el cuadro de diálogo Puertos de impresora, hay que escoger Dispositivos de
impresión AppleTalk en la lista Tipos de puerto disponibles y pulsar el botón Puerto nuevo.
4. Aparece el explorador de dispositivos de impresión AppleTalk. Hay que escoger la zona
AppleTalk que contiene la impresora que se desea capturar y pulsar Aceptar.
Si se desea liberar una impresora capturada o volver a capturar una que se haya liberado, se puede
utilizar la ficha Puertos de la ventana Propiedades de la impresora. Para ello hay que seguir el
1. Hay que seleccionar la impresora deseada, abrir su ventana Propiedades a ir a la ficha Puertos.
2. En la ficha Puertos hay que pulsar el botón Configurar puerto.
3. Hay que seleccionar o deseleccionar la casilla de verificación Reservar este dispositivo de
impresión AppleTalk.
4. Hay que interrumpir y reanudar el servicio PSM.
Hay que recordar que los dispositivos capturados sólo están disponibles para los usuarios de Windows y
de Mac OS que imprimen en la cola correspondiente de Windows 2000 PSM Server; las impresoras
AppleTalk no capturadas o liberadas sólo están disponibles para los clientes que utilizan AppleTalk.

Capítulo 19

Capítulo 20
Capítulo 20
Servicios de Terminal Server de Windows se introdujo para Microsoft Windows NT 4 Server con la
edición independiente Terminal Server Edition, pero en Microsoft Windows 2000 es un componente
integrado en todos los servidores de Windows 2000: tan sólo otro servicio instalable. Servicios de
Terminal Server de Windows se puede utilizar como mecanismo para la gestión y el control de los
servidores desde cualquier parte de la empresa o aprovechar su capacidad como servidor de aplicaciones
para simplificar enormemente la implantación y el mantenimiento de un amplio rango de aplicaciones
para una población de usuarios heterogénea.
Conceptos
Servicios de Terminal Server de Windows es un concepto nuevo para muchos administradores de

sistemas que esperan que los sistemas sean, básicamente, de un solo usuario. Aporta a Windows
capacidad multiusuario verdadera. Los sistemas UNIX han sido, de manera tradicional, principalmente
sistemas multiusuario, con un único servidor de gran tamaño que atiende a muchas terminales.
Cada usuario que se conecta a un servidor de Windows 2000 mediante Servicios de Terminal Server de
Windows utiliza en realidad los recursos del propio servidor, no los de la estación de trabajo concreta en
la que se halla sentado. El usuario no depende de la velocidad de la estación de trabajo, sino que, en
realidad, comparte el procesador, la RAM y los discos duros del propio servidor.
Cada usuario obtiene su propia sesión de Servicios de Terminal Server de Windows, y cada sesión está
completamente aislada de las demás sesiones del mismo servidor. Un programa que falle en una sesión
puede hacer que el usuario de esa sesión tenga un problema, pero ello no afecta a los demás usuarios.
Cada usuario que se conecta a un servidor de Windows 2000 mediante Servicios de Terminal Server de
Windows actúa realmente como un terminal de ese servidor. Servicios de Terminal Server de Windows
soporta como terminales una amplia variedad de máquinas: desde estaciones con pantalla pero sin disco
que ejecutan Microsoft Windows CE completamente en la memoria hasta estaciones de trabajo de
Microsoft Windows 95/98 o servidores de Windows 2000. El terminal sólo es responsable de las
funciones de la consola: es decir, el teclado, el ratón y la pantalla real. Todo lo demás reside en el
servidor y es parte del mismo.
Acceso remoto
Servicios de Terminal Server ofrece la solución ideal para el usuario móvil que necesita poder ejecutar
aplicaciones que hacen un uso intensivo de la red o del procesador incluso a través de conexiones de
acceso telefónico. Como la máquina local sólo es responsable de la consola real, los requisitos de

Capítulo 20
respuesta y de ancho de banda son sustancialmente menores que a la hora de intentar ejecutar las
aplicaciones a través de la línea telefónica.
Gestión centralizada
Como todas las aplicaciones de una sesión de Servicios de Terminal Server de Windows se ejecutan en el
servidor, la gestión de las sesiones y de las aplicaciones se simplifica enormemente. Sólo hay que llevar a
cabo una vez los cambios en las aplicaciones o en las configuraciones, y todas las sesiones de Servicios
de Terminal Server de Windows los ven.
Además, Servicios de Terminal Server de Windows permite a los administradores ver lo que sucede en
las sesiones de los usuarios o, incluso, controlarlas directamente. El personal de los servicios de atención
al usuario puede ver realmente lo que ve el usuario sin necesidad de desplazarse. Si el usuario está
configurado consecuentemente, el personal del servicio de atención al usuario puede compartir el control
de la sesión y guiar al usuario en la resolución de problemas complejos.
Al configurarse en el modo de administración remota, Servicios de Terminal Server de Windows puede

utilizarse también como herramienta de gestión. Al activarse en este modo los administradores pueden
iniciar directamente una sesión en la máquina desde sus computadoras de sobremesa para llevar a cabo el
mantenimiento normal del sistema sin tener que desplazarse hasta la consola del servidor. Esto supone un
potente añadido al repertorio de los administradores, la activación del control directo de todos los
servidores sin necesidad de abandonar la computadora de sobremesa. Puede que cada administrador de
sistema active el modo de administración remota de todos sus servidores. La sobrecarga del servidor es
mínima en comparación con las ventajas.
Requisitos
Servicios de Terminal Server de Windows puede instalarse en cualquier máquina que soporte Windows
2000 Server. Necesita aproximadamente 14 Mb de espacio adicional de disco duro para albergar los
archivos de instalación del cliente, pero no necesita ningún espacio adicional para el sistema operativo.
No obstante, los requisitos reales son sustancialmente más elevados para las máquinas que se vayan a
utilizar con Servicios de Terminal Server de Windows en modo servidor de aplicaciones. Dado que cada
usuario ejecutará sus programas en el propio servidor, hay que determinar exactamente el modo en que
trabajarán los usuarios y sus necesidades reales. Cada instalación será diferente, pero se pueden facilitar
algunas directrices para ayudar a dimensionar adecuadamente el servidor.
RAM
Cada sesión del servidor de Servicios de Terminal Server de Windows utiliza un mínimo de unos 20 Mb
de RAM sólo para el inicio de sesión. A esto hay que añadirle la RAM necesaria para ejecutar los
programas que cada sesión inicie. Un usuario normal que utilice Microsoft Outlook, Microsoft Word y
Microsoft Excel mientras se conecta a Internet utilizará aproximadamente 40 Mb de RAM, es decir, unos

Capítulo 20
20 Mb más de lo que necesita la propia sesión. Sin embargo, los usuarios avanzados pueden llegar a
utilizar fácilmente el doble de memoria, mientras que los desarrolladores y otros usuarios extremos
pueden necesitar todavía más.
CPU
La predicción exacta de la potencia de CPU que se necesitará por usuario es difícil, dado que cada
usuario tiene un conjunto de aplicaciones diferente. Pero un procesador Pentium II a 400 MHz debería
poder soportar entre quince y treinta usuarios, en función del tipo de usuario y suponiendo que se dispone
de suficiente RAM como para evitar un exceso de paginación.
La red
El use típico de la red depende del tipo de cliente y de la cantidad de gráficos que se transmitan (hace
falta mucha menos anchura de banda para soportar una conexión de 800x600 que para soportar una
conexión de 1280x1024), pero la anchura de banda promedio por usuario debe hallarse entre los 2 y los 6
Kbps.
Planificación de la capacidad
Las cifras recién mencionadas deberían ofrecer un punto de partida para la planificación de la
implementación de Servicios de Terminal Server, pero la capacidad final que requiere la implementación
depende de la situación concreta. Estas cifras sólo deben utilizarse como punto de partida para la
planificación. Se debe crear un entorno de prueba que simule la implementación definitiva a menor
escala con usuarios y aplicaciones reales para obtener los datos necesarios. Algunos de los factores que
desempeñan un papel más importante en los requisitos de la implementación de Servicios de Terminal
Server son los siguientes:
● Las aplicaciones que vayan a ejecutar los usuarios, es decir, si utilizan una única aplicación
dedicada o una amplia variedad de aplicaciones básicamente estándar.
● Si los usuarios realizan principalmente una única tarea rutinaria o son trabajadores que utilizan las
computadoras como herramienta principal.
● Si los usuarios están conectados mediante LAN o constituyen una mezcla de usuarios de WAN,
LAN y computadoras portátiles.
Instalación
Para instalar Servicios de Terminal Server de Windows hay que seleccionar la opción Servicios de
Terminal Server en el cuadro de diálogo Instalación de Windows 2000 Server durante la instalación
inicial de Windows 2000 Server, o de añadir el servicio después de que la instalación de Windows 2000
Server esté completa, utilizando el Asistente para componentes de Windows. Si se decide añadir
Servicios de Terminal Server después de la instalación inicial, no obstante, debe hacerse antes de instalar

Capítulo 20
ninguna aplicación en el servidor si se piensa utilizar el servidor como servidor de aplicaciones. Si sólo
se instala Servicios de Terminal Server en modo administrativo, el momento de la instalación es menos
importante, pero sigue siendo más conveniente añadir Servicios de Terminal Server cuanto antes después
de la instalación inicial.
Instalación de Servicios de Terminal Server
Para instalar Servicios de Terminal Server de Windows durante la instalación inicial de Windows 2000
Server, hay que realizar una instalación que no suponga una actualización, a menos que se actualice una
instalación de Windows NT 4 Terminal Server Edition. Si se realiza una instalación nueva se tiene la
posibilidad de cambiar los
componentes de Windows que se
instalarán nada más asignarle a la
máquina su nombre y su contraseña
inicial de Administrador. Hay que
seleccionar Servicios de Terminal
Server en la lista de componentes. Si
la máquina en la que se va a instalar
Servicios de Terminal Server va a ser
también controladora del dominio
también se puede instalar Licencias de
Servicios de Terminal Server.
El componente Servicios de Terminal

Server de Windows 2000 Server
necesita aproximadamente 14 Mb de
espacio en el disco duro, pero esto es
sólo para los archivos creadores de la
instalación cliente. Servicios de
Terminal Server en sí no necesita
espacio adicional para el sistema
operativo. Sin embargo, cada usuario que se conecte mediante Servicios de Terminal Server necesitará
un mínimo de 400 Kb de espacio en el disco para su perfil (y muchos de los usuarios necesitarán mucho
más espacio) y el espacio de almacenamiento que utilice en el servidor.
Servicios de Terminal Server de Windows puede agregarse después de la instalación inicial de Windows
2000 Server. Se puede utilizar el Asistente para configurar el servidor si se desea o, sencillamente, abrir
Agregar o quitar programas en el Panel de control. En cualquier caso, se debe instalar Servicios de
Terminal Server de Windows en cuanto resulte práctico tras la instalación de Windows 2000. Para
instalar Servicios de Terminal Server utilizando el Panel de control:

Capítulo 20
1. Abrir Agregar o quitar

programas en el Panel de
control.
2. Pulsar Agregar o quitar
componentes de Windows en
el panel izquierdo del cuadro de
diálogo para abrir el Asistente
para componentes de Windows.
3. Seleccionar Servicios de
Terminal Server en la lista de
componentes de Windows
disponibles. No hay que
realizar ningún cambio en los
demás parámetros de este
asistente a menos que se vayan
a agregar o quitar otros
componentes.
4. También se puede seleccionar
Licencias de servicios de
Terminal Server, si esta
máquina está destinada a ser
controladora de dominio. Una
vez realizadas las selecciones correspondientes, hay que pulsar Siguiente para seleccionar el modo
apropiado de Servicios de Terminal Server: bien Modo de administración remota, bien Modo de
servidor de aplicaciones. (Si se optó por instalar Licencias de Servicios de Terminal Server, hay
que pulsar Siguiente para mostrar la pantalla Configuración de Licencias de Servicios de Terminal
Server; hay que hacer aquí los cambios que se consideren necesarios.) Hay que pulsar Siguiente y
Windows 2000 comenzará el proceso de configuración.
5. Se solicitará la inserción del CD-ROM original de Windows 2000 Server. Si los archivos
necesarios se hallan en una ubicación diferente, hay que seguir adelante y pulsar Aceptar de todos
modos. Se tendrá oportunidad de escoger una ubicación diferente de la predeterminada más
adelante.
6. Hay que pulsar el botón Finalizar una vez cargados los archivos adicionales. Luego se solicitará
un reinicio de la máquina. Las modificaciones realizadas no se harán efectivas hasta después de
ese reinicio.
Instalación de los programas
La instalación de programas en los servidores de Windows 2000 con Servicios de Terminal Server
instalado en modo de administración remota no se diferencia de la instalación en servidores sin Servicios
de Terminal Server. No se necesitan procedimientos especiales, modificaciones en el proceso de
instalación ni secuencias de comandos especiales para compatibilidad . Si la aplicación se va a instalar y
a ejecutar en Windows 2000 Server, se debe instalar y ejecutar con Servicios de Terminal Server

Capítulo 20
instalado en modo de administración remota.
Por otra parte, la instalación de programas en servidores de Windows 2000 con Servicios de Terminal
Server instalado en modo de servidor de aplicaciones es un asunto distinto. Cuando se activa el modo
servidor de aplicaciones, Windows 2000 sabe que debe prepararse para tratar con varios usuarios que
tendrán acceso a la misma aplicación que se ejecutará simultáneamente en espacios de memoria
diferentes sin interferencias ni cruces. Hay que seguir con precaución el procedimiento necesario para
asegurar que la aplicación se instale correctamente y que funcione adecuadamente como aplicación
multiusuario.
No todas las aplicaciones se instalan con éxito y, de entre las aplicaciones soportadas y que se instalan
con éxito, algunas necesitan procedimientos especiales o la ejecución de secuencias de comandos de
compatibilidad. Hay que consultar la documentación de cada aplicación. Puede que se desee examinar el
sitio que VeriTest mantiene en http://www.veritest.com, que muestra las aplicaciones que se han probado
para su uso en el entorno de Servicios de Terminal Server.
Los modos Install y Execute
Windows 2000 Server, cuando se configura como Servidor de aplicaciones de Servicios de Terminal
Server, tiene dos modos de operación distintos, el modo de instalación y el modo de ejecución. Para
instalar una aplicación en un servidor hay que estar en modo instalación o la aplicación no se instalará
correctamente.
Windows 2000 suele ser lo suficientemente inteligente como para reconocer si se está ejecutando un
programa de instalación y se negará a permitir su instalación mientras el servidor esté en modo de
ejecución.
Por desgracia, este mecanismo de protección no funciona siempre cuando se introduce un CD en la

unidad de CD-ROM; a menudo, el programa de instalación se inicia de manera automática. Permitir la
ejecución automática de un CD elude a veces el algoritmo de reconocimiento y se intenta la instalación
del programa, generalmente en aquellos CD que tienen menús de entrada con un nombre diferente de
Setup.exe.
Se puede pasar al modo de instalación de dos maneras: utilizando el comando Change de la línea de
comandos o Agregar o quitar programas del Panel de control. En general es mejor utilizar Agregar o
quitar programas, pero cuando hay que secuenciar una instalación se debe utilizar la versión de la línea
de comandos.
Agregar o quitar programas para instalar aplicaciones: Generalmente, la instalación de aplicaciones

nuevas desde la consola del servidor resulta más conveniente, aunque no sea imprescindible en la mayor
parte de los casos. Cuando se ejecuta la instalación desde allí, sin embargo, hay que asegurarse de que
todos los usuarios han cerrado sus sesiones en el servidor del terminal antes de comenzar la instalación.

Capítulo 20
Para instalar un programa utilizando Agregar o quitar programas, hay que seguir el procedimiento
siguiente:
1. Abrir Agregar o quitar programas en el Panel de control.

2. Pulsar Agregar nuevos programas y CD o disco de 3"1/2 para que aparezca el cuadro de diálogo
Instalar programa desde disco o CD-ROM. Pulsar Siguiente.
3. Se abrirá el cuadro de diálogo Ejecutar programa de instalación. Si Windows 2000 puede hallar el
programa de instalación, éste aparecerá destacado en el cuadro Abrir. Pero si se realiza la
instalación desde una unidad de red o Windows 2000 no puede hallarlo por algún otro motivo,
hay que utilizar el botón Examinar para encontrar el programa de instalación de la aplicación que
se vaya a instalar.
4. Cuando se ha destacado en el cuadro el programa de instalación correspondiente, hay que pulsar
Siguiente para comenzar la instalación. Mientras transcurre la instalación permanecerá abierto en
segundo plano el cuadro de diálogo Después de la instalación.
5. Una vez completada la instalación, con éxito o sin él, no hay que aceptar el reinicio automático de
la máquina si hay varias alternativas y la máquina pide una. Hay que concluir la instalación y
volver al cuadro de diálogo Después de la instalación. Hay que pulsar Siguiente para pasar al
último cuadro de diálogo y pulsar Finalizar. Si la aplicación necesita un reinicio, se puede realizar
ahora.
El comando Change
El comando Change se introdujo en Windows NT 4 Terminal Server Edition y sólo está disponible en
Windows 2000 Server si se ha instalado Servicios de Terminal Server. El comando Change permite pasar
de un modo de usuario a otro (instalación y ejecución), cambiar las asignaciones de los puertos para las
sesiones de Servicios de Terminal Server y activar o desactivar los inicios de sesión en Servicios de
Terminal Server. Los tres comandos básicos, y sus opciones para el comando Change, son las siguientes:
1. Change User: Inicia el cambio entre los modos de instalación o de ejecución cuando se ejecuta
como servidor de aplicaciones. Sus opciones son:
● /Install: Instala las aplicaciones nuevas en el servidor para el acceso multiusuario.
● /Execute: Permite que los programas se ejecuten en modo multiusuario (el valor
predeterminado al inicio).
● /Query: Muestra el modo de usuario actual.
2. Change Port: Cambia las asignaciones de puertos de las asignaciones de los puertos COM para
compatibilidad con MS-DOS. Sus opciones son:
● portx=porty: Asigna el puerto X al puerto Y
● /D portx: Elimina la asignación actual para el puerto X.
● /Query: Muestra las asignaciones de puertos actuales.
3. Change Logon: Activa o desactiva los inicios de sesión. Sus opciones son:
● /Enable: Permite a los usuarios iniciar una sesión desde las sesiones de Servicios de
Terminal Server.
● /Disable: Impide a los usuarios el inicio de sesión. (No se desconectan ni concluyen las

Capítulo 20
sesiones abiertas.)
● /Query: Muestra el estado actual de los inicios de sesión.
Comando Change para instalar aplicaciones: También se pueden instalar aplicaciones nuevas en
Servicios de Terminal Server de Windows utilizando el comando Change. Esto resulta especialmente útil
para secuenciar instalaciones que se instalarán en varios servidores de terminales con una configuración
idéntica. Para instalar una aplicación nueva utilizando el comando Change, hay que seguir el
1. Desactivar los nuevos inicios de sesión en el servidor escribiendo change logon /disable.
2. Averiguar los usuarios que se tienen una sesión abierta en el servidor y los IDs de sus sesiones
escribiendo query session.
3. Advertir a los usuarios de que deben cerrar sus sesiones escribiendo net send * «mensaje».
4. Restablecer las sesiones de los usuarios con una sesión abierta en el servidor con el comando reset
session <Iddesesión>.
5. Pasar al modo de instalación con el comando change user /install.
6. Ejecutar el programa de configuración o de instalación de la aplicación.
7. Volver al modo de ejecución escribiendo change user /execute.
8. Reactivar los inicios de sesión en el servidor con change logon /enable.
El uso del comando Change junto con otras utilidades de la línea de comandos incluidas con Windows
2000 permite secuenciar fácilmente la instalación de programas en Servicios de Terminal Server de
Windows. En organizaciones grandes en que se utilizan varios servidores para dar soporte a grandes
poblaciones de usuarios, el uso de utilidades de la línea de comandos asegura que las aplicaciones se
instalen de manera uniforme en toda la empresa, lo que simplifica el soporte y la formación.
Instalación de Office 2000
La instalación de Microsoft Office 2000 en servidores de Windows 2000 que trabajen en modo servidor
de aplicaciones necesita consideraciones especiales. Al igual que muchas aplicaciones que están
diseñadas principalmente como aplicaciones monousuario, hay que ajustar los valores de configuración
para evitar el deterioro de datos específicos de cada usuario cuando la aplicación se ejecuta en entornos
multiusuario.
Hace falta una parte del Kit de recursos de Office 2000 para instalar Office 2000 para su uso en un
servidor de Servicios de Terminal Server de Windows 2000. Hay que instalar la parte de herramientas
básicas del kit, que se puede descargar de
http://www.microsoft.com/office/ork/2000/appndx/toolhox.htm. Una vez instalada, hay que ejecutar
Agregar o quitar programas para instalar Office 2000 de la manera siguiente:
1. Iniciar una sesión en la consola del servidor con una cuenta que tenga privilegios administrativos.
La instalación no se ejecutará desde el interior de una sesión de Servicios de Terminal Server.

Capítulo 20
2. Abrir Agregar o quitar programas en el Panel de control. Hay que pulsar Agregar programas
nuevos y pulsar el botón CD o disco de 3 1/2.
3. Si el programa de instalación para Office 2000 no se halla de manera automática, hay que utilizar
el botón Examinar para hallarlo. Una vez aparezca el programa de instalación.
4. Modificar la línea de comandos que aparece para añadir TRANSFORMS=«<RUTA>\
termsrvnmst» al final. Hay que sustituir la parte <RUTA> por el camino hasta la instalación de
Herramientas de Servicios de Terminal Server desde el Kit de recursos de Office 2000. La
ubicación predeterminada de este archivo es C:\Archivos de programa\ORKTools\
ToolBox\Tools\Terminal Server Tools\termsrvr.mst, pero no hay ningún inconveniente en
cambiarla por una ubicación más sencilla de escribir. Hay que pulsar Siguiente para comenzar la
instalación.
5. Cuando haya concluido la instalación, hay que cerrar el cuadro de diálogo Después de la
instalación pulsando Siguiente y después Finalizar.
La instalación especial de Office 2000 es un ejemplo de las secuencias de comandos para compatibilidad
que necesitan muchas aplicaciones para ejecutarse de manera correcta en Servicios de Terminal Server.
Administración
Servicios de Terminal Server de Windows puede administrarse de manera centralizada y configurarse en

el dominio desde una sola consola. Se utilizan cuatro aplicaciones principales para administrar los
servidores y los clientes de Servicios de Terminal Server:
● Administrador de Servicios de Terminal Server: Muestra y controla las conexiones de todos

los servidores de Servicios de Terminal Server de la red
● Configuración de Servicios de Terminal Server: Sólo se ejecuta de manera local en cada
servidor de terminales; es un complemento de Microsoft Management Console (MMC) que
permite modificar la configuración del servidor local de Servicios de Terminal Server.
● Creador de clientes de Terminal Server: Crea discos de Cliente de Terminal Server
● Licencias de Servicios de Terminal Server: Gestiona las licencias de acceso cliente para
Servicios de Terminal Server en el dominio o en el grupo de trabajo.
Administrador de Servicios de Terminal Server
Administrador de Servicios de Terminal Server (Tsadmin.exe) es el principal mecanismo para la gestión

de las diferentes conexiones con los servidores. Desde el Administrador no sólo pueden verse los
servidores de terminales disponibles en la red, sino también los usuarios conectados a ellos, las sesiones
que están activas, los protocolos que se están utilizando, etc.
Visión general
Administrador de Servicios de Terminal Server muestra todos los servidores del dominio. De manera

Capítulo 20
predeterminada sólo
se conecta a un
servidor a la vez,
aunque se puede optar
por conectarse con
todos los servidores
disponibles de manera
simultánea. Los
iconos para la
conexión activa
actual, el servidor y el
dominio se muestran
en un color diferente
(de manera predeterminada, verde). Con Administrador de Servicios de Terminal Server se pueden ver y
gestionar los usuarios, las sesiones y los procesos agrupados por red, dominio, servidor o conexión, lo
que ofrece una visión global de la información crítica para la implantación de Servicios de Terminal
Server.
Búsqueda de servidores
Se puede utilizar Administrador de Servicios de Terminal Server para identificar todos los servidores de
la red que se hallan activos o todos los servidores de un dominio concreto. Para hallar todos los
servidores de un dominio, hay que pulsar con el botón derecho del ratón el nombre del dominio en el
panel izquierdo de Administrador de Servicios de Terminal Server y seleccionar Buscar servidores en el
dominio. Para hallar todos los servidores de la red, hay que pulsar con el botón derecho del ratón Todos
los servidores listados y escoger Buscar servidores en todos los dominios.
El uso de cualquiera de los comandos Buscar servidores genera una serie de mensajes de
difusión de ámbito de dominio o de red, por lo que debe utilizarse con precaución.
Establecimiento de conexiones
Para gestionar los procesos, las sesiones y los usuarios conectados a un servidor dado hay que conectar
en primer lugar con ese servidor mediante Administrador de Servicios de Terminal Server. Para conectar
con un servidor, hay que pulsar su icono con el botón derecho del ratón en el panel izquierdo de
Administrador de Servicios de Terminal Server y escoger Conectar. Para conectar con todos los
servidores de un dominio, hay que pulsar el nombre del dominio con el botón derecho del ratón en el
panel izquierdo de Administrador de Servicios de Terminal Server y escoger Conectar a todos los
servidores del dominio. Para conectar con todos los servidores de la red, hay que pulsar el icono Todos
los servidores listados con el botón derecho del ratón y escoger Conectar a todos los servidores.
Conectar con todos los servidores de un dominio o de la red es un proceso de red

intensivo y puede deteriorar gravemente el rendimiento de la red. En circunstancias

Capítulo 20
normales sólo hay que conectar con un único servidor
Gestión de las conexiones
Administrador de Servicios de Terminal Server permite examinar y gestionar cada una de las conexiones
con los servidores de terminales, incluidas las conexiones con inicio de sesión local que aparecen como
sesiones de consola. Desde cualquier sesión, que no sea de consola, que tenga los permisos suficientes se
puede obligar a desconectar una sesión, restablecer completamente una sesión, cerrar una sesión, ver el
estado de la conexión, gestionar las sesiones de los usuarios, enviar mensajes a la pantalla de la conexión,
utilizar el control remoto para asumir el control de una sesión en la conexión y conectar con cualquier
otra sesión. También se puede utilizar Administrador de Servicios de Terminal Server para ver diversa
información sobre los procesos y sobre el estado de las conexiones con un servidor e, incluso, finalizar
un proceso bloqueado.
Desde el interior de las sesiones de las consolas, la única característica disponible es

Enviar mensaje. Esto hace difícil la gestión de los servidores desde una de las consolas. Si
la estación de trabajo habitual es, en realidad, la consola de uno de los servidores, hay
que abrir una sesión de terminal con el servidor y trabajar desde ella; se tendrá plena
capacidad para gestionar y controlar desde allí el entorno de Servicios de Terminal
Server.
Desconexión de las sesiones: Cuando se desconecta una sesión continúan ejecutándose todos los
programas de esa sesión, pero se dejan de transmitir a la terminal remota las entradas y salidas de datos
de la sesión. La desconexión de una sesión deja en su estado normal los programas y los datos del
usuario, lo que los protege de la pérdida de datos. La desconexión de una sesión no libera memoria ni
otros recursos del servidor, y la sesión sigue contabilizándose como sesión con licencia.
Cualquier usuario puede desconectar su propia sesión, y los administradores con el privilegio de control
total pueden desconectar cualquier sesión. Para desconectar una sesión utilizando Administrador de
Servicios de Terminal Server, hay que pulsar la sesión con el botón derecho del ratón en cualquiera de
los paneles de Administrador de Servicios de Terminal Server y escoger Desconectar en el menú de
accesos directos. Se solicitará confirmación. Hay que pulsar Aceptar y se desconectará la sesión.
Se pueden desconectar también varias sesiones de diversos servidores. Basta con destacar las sesiones en
el panel derecho de Administrador de Servicios de Terminal Server y pulsarlas con el botón derecho del
ratón. Hay que escoger Desconectar en el menú, pulsar Aceptar y la sesión se desconecta. La consola en
que aparecían las sesiones recibirá un mensaje. Cuando se pulsa Cerrar en el mensaje, desaparece el
cuadro de mensaje.
La desconexión de una sesión de Servicios de Terminal Server tiene muchas ventajas para
los usuarios de computadoras portátiles que puede que necesiten conectarse desde
ubicaciones diferentes o que deseen trabajar en intervalos relativamente cortos cuando

Capítulo 20
disponen de tiempo. Cuando uno se desconecta de una sesión, todo sigue ejecutándose,
igual que si se estuviera conectado. Por tanto, cuando se vuelve a establecer la conexión
con el mismo servidor, la sesión se restaura exactamente igual que se dejó. Se puede
volver fácilmente a un proyecto o a un documento exactamente en el punto en que se
abandonó.
Restablecimiento de sesiones: Se puede restablecer una sesión si es la propia o se dispone del privilegio
de control total para las sesiones. Cuando se restablece una sesión, se pierde todo el trabajo de esa sesión,
los programas dejan de ejecutarse y se libera la memoria. Para restablecer una sesión, hay que pulsarla
con el botón derecho del ratón y escoger Restablecer en el menú. Se recibirá un mensaje de advertencia.
Hay que pulsar Aceptar y la sesión se restablecerá.
Se pueden restablecer varias sesiones destacándolas en el panel derecho de Administrador de Servicios

de Terminal Server, pulsándolas con el botón derecho del ratón y seleccionando Restablecer. Hay que
tener el privilegio de control total para cada una de las sesiones, o deben ser sesiones propias.
El restablecimiento de una sesión puede dar lugar a pérdida de datos para el usuario de
esa sesión. Sólo se debe restablecer una sesión cuando haya dejado de responder o haya
dado problemas de otro tipo.
Cierre de sesiones: Se puede cerrar la sesión propia o la de otro usuario si se dispone del privilegio de
control total. Hay que pulsar la sesión con el botón derecho del ratón en el panel derecho de
Administrador de Servicios de Terminal Server y seleccionar Desconectar en el menú de accesos
directos. Se recibirá un mensaje de advertencia sobre el cierre de la sesión del usuario. Si se pulsa
Aceptar, la sesión se cerrará. El cierre de una sesión libera los recursos que utilizaba y los devuelve para
su use por otras conexiones.
El cierre de una sesión puede dar lugar a pérdida de datos para los usuarios de esa
sesión. Siempre se debe advertir a los usuarios enviándoles un mensaje antes de cerrar la
sesión.
Examen de los procesos y de otra información relativa a las sesiones: Se pueden examinar los
procesos activos de una sesión y mucha otra información relativa a la sesión, incluido el cliente del que

Capítulo 20
procede la
sesión, el
nivel de
seguridad,
la
resolución
de la
sesión, etc.
Para ver
los
procesos
activos de
una sesión,
hay que
destacar la
sesión en
el panel izquierdo de Administrador de Servicios de Terminal Server y pulsar la ficha Procesos del panel
derecho. Para ver la información relativa a la misma sesión, hay que pulsar la ficha Información del
panel derecho.
También se puede utilizar Administrador de Servicios de Terminal Server para mostrar todos los
procesos, los usuarios y las sesiones de un servidor determinado, de todo el dominio o de toda la red. Los
procesos pueden clasificarse por usuario, por sesión o por servidor. Si se dispone del privilegio de control
total se puede, incluso, matar desde allí un proceso, aunque hay que tener en cuenta las precauciones
generales relativas a matar procesos.
Gestión de las sesiones de usuario: Se puede utilizar Administrador de Servicios de Terminal Server
para examinar y gestionar las sesiones de usuario de un servidor determinado, de todo el dominio o de
toda la red. Para ver todos los usuarios del dominio, hay que destacar el nombre del dominio en el panel
izquierdo de Administrador de Servicios de Terminal Server y pulsar la ficha Usuarios del panel derecho.
En el panel izquierdo se verá una lista de los servidores del dominio y los usuarios conectados aparecerán
en el panel derecho. Se puede seleccionar cualquier entrada del panel derecho y enviar un mensaje a la
sesión de usuario, desconectarla o tomar el control de la sesión de usuario para resolver problemas o con
fines formativos.
Envío de mensajes a las sesiones: Se puede utilizar Administrador de Servicios de Terminal Server pare
enviar mensajes a sesiones determinadas. Para enviar un mensaje a todas las sesiones de un servidor
concreto, sin embargo, hay que utilizar el programa Msg de la línea de comandos. Para enviar un
mensaje a una sesión o usuario dados, hay que seguir el procedimiento siguiente:

Capítulo 20
1. Pulsar la sesión o el usuario con el botón

derecho del ratón en el panel derecho de
Administrador de Servicios de Terminal
Server.
2. Escoger Enviar mensaje pare abrir el
cuadro de diálogo .
3. Escribir el mensaje que se desee enviar.
Hay que pulsar CTRL+INTRO para
iniciar una nueva línea.
4. Pulsar Aceptar para enviar el mensaje.
También se puede utilizar el comando Msg de la

línea de comandos para enviar mensajes a una
sesión concreta o a todos los usuarios de un servidor dado. El comando Msg tiene más opciones y
funcionalidad que la mensajería gráfica de Administrador de Servicios de Terminal Server. La sintaxis
del comando Msg es la siguiente:
msg {nombreUsuario | nombreSesión | Id.Sesión | @nombreArchivo | *} [/server:nombreServidor]

[/time:segundos] [/v] [/w] [mensaje]
Las opciones del comando Msg son las siguientes:
● nombreUsuario Envía el mensaje a un usuario concreto del servidor.

● nombreSesión Envía el mensaje a una sesión determinada, identificada por su nombre de sesión.
● Id.Sesión Envía un mensaje a una sesión dada identificada por su identificador de sesión.
● @nombreArchivo Envía un mensaje a una lista de nombres de usuario, de sesión o de
identificadores de sesión contenida en el archivo.
● * Envía un mensaje a todos los usuarios conectados al servidor.
● /SERVER:nombreServidor Especifica el servidor al que están conectados la sesión o el usuario.
El valor predeterminado es el servidor actual.
● /TIME:segundos Especifica el número de segundos que hay que esperar para que los
destinatarios acusen recibo del mensaje. Si no se acusa recibo del mensaje en el tiempo
especificado, caduca. El tiempo predeterminado son 60 segundos si ninguna opción /TIME lo
anula.
● /V Devuelve información a la línea de comandos sobre las acciones que se llevan a cabo en el
servidor.
● /W Espera respuesta del usuario antes de devolver el control a la línea de comandos. Si no se
recibe ninguna respuesta antes de que caduque el mensaje, el control se devuelve a la línea de
comandos
● mensaje Especifica el mensaje que hay que enviar. Si no se especifica ninguno, se acepta el texto
desde la entrada estándar (STDIN) o se solicita uno.

Capítulo 20
Control de las sesiones: Si se dispone de los permisos apropiados (de control total), se puede conectar
con la sesión de otro usuario y controlarla de manera remota. El teclado, el ratón y la pantalla serán
iguales para la sesión propia y la del usuario. Esto ofrece la posibilidad de resolver fácilmente los
problemas de la sesión de un usuario o de formar al usuario acompañándolo en la realización de una tarea
concreta. Los datos de entrada de la sesión provienen tanto de la sesión propia como de la del usuario. Si
los valores de configuración del usuario o del protocolo están definidos sólo para ver la sesión, no para
controlarla directamente, sólo se verá lo que haga el usuario en su pantalla, pero no se podrá interactuar
con él utilizando el ratón ni el teclado.
De manera predeterminada, cuando se conecta con la sesión de un usuario utilizando el control remoto,
se comunica al usuario que se establece la conexión y se le solicita que confirme su autorización. Esta
notificación puede desactivarse usuario a usuario modificando las cuentas en Active Directory. También
se puede configurar esta notificación protocolo a protocolo para un servidor dado utilizando
Configuración de Servicios de Terminal Server (explicada brevemente). Para tomar el control de la
sesión de un usuario, hay que seguir el procedimiento siguiente:
1. Pulsar con el botón derecho del ratón la sesión o el usuario en el panel derecho de Administrador
de Servicios de Terminal Server.
2. Escoger Control Remoto para abrir el cuadro de diálogo. Hay que seleccionar una combinación de
teclas adecuada para concluir la sesión remota. El valor predeterminado es CTRL+*, donde el
asterisco (*) es el del teclado numérico.
3. Un cuadro de diálogo se le aparecerá al usuario para solicitarle permiso para autorizar la
conexión, mientras que en la sesión propia se abrirá un cuadro de diálogo para comunicar que la
sesión espera asumir el control. Si no se necesita permiso para un protocolo o usuario concretos,
el usuario no recibirá ningún mensaje.
Hasta que el usuario confirme el permiso para conectar con su sesión, la sesión propia aparentará estar
congelada.
También se puede utilizar el comando Shadow para asumir el control de la sesión de un usuario. El
comando Shadow tiene la sintaxis siguiente:
shadow {nombreSesión | Id.Sesión} [/server:nombreServidor] [/v]
donde nombredesesión e Id.sesión identifican la sesión concreta de la que se desea tomar el control, y el
servidor toma como valor predeterminado el servidor actual, si no se especifica /SERVER. La opción /V
(verbose, informativa) ofrece información adicional sobre las acciones que se llevan a cabo.
Conexión con una sesión: Se puede conectar con otra sesión del servidor en el que se está si se dispone
de los permisos adecuados y la otra sesión está en un estado activo o desconectado. Siempre se puede
conectar con una sesión abierta con la misma cuenta de usuario que el inicio de sesión actual, o con la
sesión de otro usuario si se dispone de acceso de control total o de acceso de usuario. Se solicitará la

Capítulo 20
contraseña de usuario.
Esta capacidad de conectar con otra sesión puede ser una herramienta útil tanto para los administradores
como para los usuarios. Si al volver a casa uno se da cuenta de que ha olvidado concluir un informe
importante, se puede abrir una sesión de manera remota, conectar con la sesión de trabajo de la oficina y
continuar donde se había dejado. Para conectar con una sesión, hay que seguir el procedimiento
siguiente:
1. Pulsar la sesión o el usuario con el botón derecho del ratón en el panel derecho de Administrador
de Servicios de Terminal Server.
2. Escoger Conectar para conectarse con la sesión. Si la sesión es de un usuario diferente que el
actual, se solicitará la contraseña de la sesión de usuario de destino. Si la sesión es propia, se
cambiará de sesión y la actual se desconectará.
Sólo se puede conectar con otra sesión desde una sesión de Servicios de Terminal Server.
No se puede conectar con una sesión de consola ni desde ella.
Configuración de Servicios de Terminal Server
Se puede utilizar MMC Configuración de Servicios de Terminal Server para cambiar los valores de
configuración de todas las conexiones de un servidor concreto. Desde aquí se puede cambiar cualquiera
de los valores siguientes:
● Modo de Terminal Server: Muestra si Servicios de Terminal Server se ejecuta en modo de

servidor de aplicaciones o en modo de administración remota. Los cambios de modo de Servicios
de Terminal Server no se realizan desde aquí, sino desde Agregar y quitar programas del Panel de
control. (Esto puede resultar desconcertante al principio. Para hacer que aparezca la ventana
Configuración de
Servicios de Terminal
Server, hay que pulsar
Agregar o quitar
componentes de
Windows. Luego, en el
cuadro de diálogo
Componentes de
Windows, no hay que
hacer ninguna selección,
pero sí pulsar Siguiente.
Luego se puede
seleccionar el modo de
Servicios de Terminal
Server que se desee.)

Capítulo 20
● Eliminar las carpetas temporales al salir: Cuando está Habilitado, elimina de manera
automática las carpetas temporales creadas en el servidor cuando el usuario cierra la sesión. El
valor predeterminado es Habilitado (Sí).
● Usar carpetas temporales por sesión: Cuando está Habilitado, cada sesión time su propio
conjunto de carpetas temporales. El valor predeterminado es Habilitado (Sí).
● Licencia de conector de Internet: Cuando está Habilitado, el conector de Internet permite hasta
doscientas conexiones anónimas simultáneas a Internet. Ninguno de los usuarios que se conectan
mediante el conector de Internet puede ser empleado. Este valor sólo está disponible cuando se
trabaja en modo de servidor de aplicaciones. El valor predeterminado es falso (Deshabilitado).
Téngase en cuenta que hay que instalar una licencia de conector de Internet comprada de manera
independiente antes de poder activar esta opción.
● Active Desktop: Cuando se activa, se permite a las conexiones de los usuarios que utilicen el
Active Desktop. Hay que definir esta opción como desactivada para reducir los recursos y el
ancho de banda necesarios para las sesiones de Servicios de Terminal Server.
Propiedades de las conexiones
Se pueden cambiar las propiedades de las

conexiones desde Configuración de Servicios
de Terminal Server. De manera
predeterminada, el único protocolo de conexión
instalado es el protocolo de Microsoft para
datos remotos 5 (Microsoft Remote Data
Protocol, RDP). Hay disponibles protocolos de
otros fabricantes, incluido el protocolo para
arquitectura de computación independiente
(Independent Computing Architecture, ICA)
utilizado por Citrix MetaFrame. Todos los
protocolos pueden configurarse desde aquí.
RDP permite configurar una amplia variedad

de parámetros para cada servidor. La mayor
parte de estos parámetros los controla
normalmente el cliente, o bien se puede definir
e1 servidor para que anule los valores del
cliente. Para definir las propiedades de las
conexiones RDP, hay que pulsar dos veces la entrada RDP-Tcp de Conexión para abrir el cuadro de
diálogo Propiedades de RDP-Tcp.

Capítulo 20
Ficha General
● Nivel de cifrado:
❍ Bajo: Los datos que van del
cliente al servidor se cifran con la

clave de cifrado estándar.
❍ Medio: Los datos se cifran en
ambas direcciones con la clave

de cifrado estándar.
❍ Alto: Los datos se cifran en
ambas direcciones con la

longitud de clave máxima
soportada
● Usar autenticación estándar de
Windows: Utiliza el paquete alternativo
de autenticación si está instalado.
Ficha Configuración del inicio de sesión
● Usar la información de inicio de sesión proporcionada por el usuario: El cliente determina el

usuario de seguridad del inicio de sesión.
● Usar siempre la siguiente información de inicio de sesión: La información de inicio de sesión

Capítulo 20
de todos los clientes es la misma.

● Siempre solicitar contraseña: Los
clientes pueden utilizar contraseñas
incrustadas.
Ficha Sesiones
● Suplantar la configuración del

usuario (sesiones desconectadas,
activas a inactivas):
❍ Deshabilitado: Los parámetros
del usuario controlan la

terminación de las sesiones
desconectadas, el límite de las
sesiones activas y el de las
sesiones inactivas.
❍ Habilitado: Los límites de sesiones las controla el servidor.
● Suplantar la configuración del usuario (acción para límites de Sesión):

Capítulo 20
Deshabilitado: Los valores del

❍
usuario controlan el
comportamiento del límite de
sesiones.
❍ Habilitado: Los valores del
servidor controlan el
comportamiento del límite de
sesiones: desconexión o
finalización de la sesión.
● Suplantar la configuración del
usuario (reconexión):
❍ Deshabilitado: Los valores del
usuario controlan la reconexión.

❍ Habilitado: Los valores del
servidor controlan la reconexión.
Ficha Entorno
● Programa inicial: Suplantar la configuración del perfil de usuario y el Asistente para

Coneccion Manager de cliente

Capítulo 20
❍Deshabilitado: El cliente
especifica el programa inicial.
❍ Habilitado: Se obliga a todos los
clientes a ejecutar el programa

indicado.
● Papel tapiz del cliente:
❍ Deshabilitado: Prohíbe el papel
tapiz en el escritorio del usuario.

❍ Habilitado: El usuario puede
mostrar el papel tapiz en su

escritorio.
Ficha Control remoto
● Usar control remoto con la

configuración de usuario
predeterminada: Los valores de
control remoto se definen como parte de
los datos de cuenta del usuario.
● No permitir el control remoto: Se desactiva totalmente el control remoto de las sesiones en el
servidor.
● Usar control remoto con la siguiente configuración: Cuando toma el valor Habilitado se anulan

Capítulo 20
los valores de control remoto de todos

los usuarios conectados al servidor.
Ficha Configuración de cliente
● Conexión:
❍ Usar configuración de conexión
de la configuración del
usuario: Las conexiones con
impresoras y con unidades se
especifican como parte de los
valores de la cuenta del usuario.
■ Conectar las unidades
del cliente al iniciar la

sesión
■ Conectar las impresoras
del cliente al iniciar la

sesión
■ Establecer impresora
principal de cliente como predeterminada

● Asignación de unidades: No se permite a los usuarios que asignen unidades (Necesita el

Capítulo 20
protocolo ICA).
● Asignación de impresoras de
Windows: Los clientes pueden asignar
impreso ras de Windows y se conservan
las asignaciones.
● Asignación de puertos LPT: Se
desactiva la asignación automática de
los puertos clientes LPT.
● Asignación de puertos COM: Los
clientes no pueden asignar impresoras a
los puertos COM.
● Asignación del portapapeles: Los
clientes pueden asignar el portapapeles.
● Asignación de audio: Los clientes no
pueden asignar sonido (Necesita el
protocolo ICA).
Ficha Adaptador de red
● Adaptador de red:
❍ Todos: Se configuran todos los adaptadores de red disponibles para utilizarlos con este
protocolo.
❍ Conexiones:

Capítulo 20
■ Conexiones sin límite:

No se establece ningún
límite al número de
conexiones permitidas.
■ Nº máximo de
conexiones: Establece el
número máximo de
conexiones permitidas por
este adaptador.
Ficha Permisos
● Control total: Los administradores y

SYSTEM tienen privilegio de control
total.
● Acceso de usuario: Se establecen para
los usuarios privilegios de búsqueda,
inicio de sesión, mensajes y conexión.
● Acceso de invitado: Se establecen para
el invitado sólo privilegios de inicio de sesión.
Creador de clientes de Servicios de Terminal Server
Se pueden crear discos clientes para Windows 2000, Windows NT (x86 y Alpha), Windows 95/98 o
Microsoft Windows para trabajo en grupo 3.11. Los demás clientes necesitan el protocolo ICA y hace
falta tener Citrix MetaFrame para crear discos clientes para ellos.
Los clientes de 32 bits necesitan dos disquetes de 3" 1/2 y 1,44 Mb, mientras que los clientes de
Windows para trabajo en grupo necesitan cuatro. Se pueden utilizar disquetes que ya tengan formato o
dejar que el programa creador de clientes les dé formato. Para crear disquetes de Cliente de Servicios de
Terminal Server, hay que seguir el procedimiento siguiente:

Capítulo 20
1. Escoger el programa Creador de

Clientes de Servicios de Terminal
Server en la carpeta Herramientas
administrativas del menú
Programas. Esto abre el cuadro de
diálogo Crear discos de instalación.
2. Seleccionar el tipo de disco que se
va a crear y la unidad de destino. Si
se desea que los discos reciban
formato como parte del proceso de
creación hay que seleccionar el
cuadro Formatear discos. Hay que pulsar Aceptar y se solicitará la inserción de los discos en la
unidad designada.
3. Si se decide aplicar formato a los disquetes se recibirá el mensaje de confirmación habitual que
advierte de que se eliminará todo lo que haya en el disquete. Si se decide no aplicarles formato y
el disco insertado no está vacío, se recibirá un mensaje de error y se solicitará la inserción de un
disquete vacío con formato.
El Cliente de Servicios de Terminal Server
Se puede instalar y ejecutar el Cliente de Servicios de Terminal Server en cualquier computadora que
ejecute Windows 2000, Windows NT 4, Windows 95/98 o Windows para trabajo en grupo 3.11.
También se dispone de clientes especiales para otros sistemas operativos, incluidos Windows CE y MS-
DOS, así como para cualquier cliente que pueda ejecutar Java. Algunos de estos clientes, no obstante,
necesitan el uso del protocolo ICA de Citrix MetaFrame. Hay disponibles clientes reducidos especiales
basados en Windows CE de varios fabricantes que permiten conectarse con servidores de Servicios de
Terminal Server de Windows 2000 sin necesidad de disco duro: el sistema operativo base y el Cliente de
Servicios de Terminal Server se cargan en ROM.
Instalación del Cliente de Servicios de Terminal Server
Para poder instalar el Cliente de Servicios de Terminal Server en una estación de trabajo, hay que tener
disponible una unidad de disquetes o una conexión de red para ejecutar la instalación a través de la red.
En cualquier caso, el procedimiento es básicamente el mismo. Para instalar el Cliente de Servicios de
Terminal Server mediante disquetes, hay que seguir el procedimiento siguiente:
1. Introducir el disco de instalación cliente 1 en la unidad de disquetes y ejecutar Instalar desde el

disquete. Se solicitará la lectura del acuerdo de licencia y se recordará la necesidad de cerrar los
programas que estén abiertos. Hay que pulsar Continuar.
2. Rellenar la información de registro, pulsar Aceptar y volver a pulsar Aceptar para confirmarla. La
información quedará escrita en el disquete. Se solicitará el asentimiento al acuerdo de licencia.
3. Pulsar el botón Aceptar para continuar con el programa de instalación.
4. Se puede cambiar la ubicación de instalación pulsando el botón Cambiar carpeta. Cuando la

Capítulo 20
ubicación sea la deseada, hay que pulsar el botón grande para comenzar la instalación.
5. Escoger el grupo de programas en el que se desea incluir los programas del Cliente de Servicios
de Terminal Server y pulsar Continuar. El grupo de programas predeterminado es Cliente de
Terminal Server. Se solicitarán los demás discos a medida que sea necesario.
6. Una vez completada la instalación se mostrará un último mensaje. Hay que pulsar Aceptar. No
hace falta reiniciar la máquina.
Connection Manager de cliente
El Connection Manager de cliente permite crear conexiones con los servidores de Servicios de Terminal
Server y guardar las propiedades de las mismas.
Creación de conexiones Para crear una conexión con el Connection Manager de cliente, hay que seguir el
1. En la máquina cliente hay que abrir el submenú Programas del menú Inicio. Hay que apuntar a
Cliente de Terminal Server y seleccionar Connection Manager de cliente para abrir la ventana del
Connection Manager de cliente.
2. Escoger Conexión nueva en el menú Archivo para abrir el Asistente para Connection Manager de
cliente.
3. Pulsar Siguiente para abrir la pantalla Crear una conexión.
4. Escribir el nombre de la conexión. Luego hay que escribir el nombre o la dirección IP del servidor
o utilizar el botón Examinar para hallar uno. Hay que pulsar Siguiente para mostrar la pantalla
Inicio de sesión automático.
5. Si se desea que la conexión inicie de forma automática una sesión en el servidor remoto como un
usuario determinado, hay que seleccionar la casilla de verificación Iniciar la sesión
automáticamente con esta información y escribir el nombre de usuario, la contraseña y el nombre
del dominio. Hay que pulsar Siguiente.
Los inicios de sesión automáticos pueden parecer una buena idea, pero, si se tiene activada en la
red la caducidad de las contraseñas, pueden convertirse en un problema grave. Se recomienda
dejar esta opción desactivada a menos que no se exija a los usuarios el cambio de las
contraseñas de manera periódica.
6. Seleccionar la resolución de pantalla que vaya a utilizar la conexión. Las opciones disponibles en
este caso dependen de la tarjeta de vídeo. De manera predeterminada la conexión utilizará una
ventana del escritorio. Si se desea que la conexión aparezca a pantalla completa, hay que
seleccionar la casilla de verificación Pantalla completa. Hay que pulsar Siguiente.
7. Definir las propiedades de la conexión. Las opciones son:
● Habilitar compresión de datos Cuando se selecciona, los datos se comprimen antes de
transferirlos al cliente y éste debe expandirlos antes de mostrarlos. Cuando se utiliza una
velocidad de conexión baja, como con los módems o con WAN lentas, esto puede mejorar
el rendimiento.
● Almacenar mapas de bits Cuando se selecciona, los mapas de bits utilizados
frecuentemente se guardan en un archivo del disco local, lo que acelera su exhibición. Hay

Capítulo 20
que pulsar Siguiente.

8. Especificar el programa que se desea ejecutar en esta conexión. El valor predeterminado es iniciar
sólo el Escritorio de Windows. Si se desea ejecutar un programa determinado, hay que seleccionar
la casilla de verificación Iniciar el programa siguiente y escribir los detalles del programa. Hay
que pulsar Siguiente.
9. Escoger un icono para la conexión. Las opciones están bastante limitadas, pero se puede utilizar
cualquier otra fuente de iconos. También se puede escoger el grupo de programas para la
conexión. El valor predeterminado es el mismo grupo de programas del Connection Manager de
cliente. Hay que pulsar Siguiente.
10. Si todo está correcto, hay que pulsar Finalizar en la pantalla final de confirmación para crear la
conexión. O pulsar Atrás para realizar los cambios necesarios. Si se pulsa Cancelar, se cancela el
proceso.
Configuración de las Conexiones: El único modo de modificar una conexión existente es utilizar el
Connection Manager de cliente. Para modificar una conexión, hay que seguir el procedimiento siguiente:
1. Abrir el Connection Manager de cliente y pulsar la conexión que se desee modificar con el botón
derecho del ratón.
2. Seleccionar Propiedades para abrir el cuadro de diálogo.
En la ficha General se pueden modificar los parámetros siguientes:
● Nombre de conexión: Cambia el nombre utilizado para hacer referencia a la conexión.

● Nombre de servidor o dirección IP: Cambia el servidor con el que se conecta el cliente.
● Información de inicio de sesión: Cambia la contraseña incrustada si ha cambiado la contraseña o
si se desea cambiar de inicio de sesión automático a manual.
En la ficha Opciones de conexión se pueden modificar estos parámetros:
● Área de pantalla: Cambia la resolución utilizada para la conexión.

● Inicio de la conexión: Cambia la opción de utilizar toda la pantalla para la conexión o ejecutarla
en una ventana.
● Red: Activa o desactiva la compresión de los datos.
● Almacenando mapas de bits en caché: Activa o desactiva el almacenamiento local de los mapas
de bits más frecuentes.
En la ficha Programa se pueden modificar estos parámetros:
● Iniciar el programa siguiente: Si se activa, se puede especificar el programa que se ejecutará al

iniciar la sesión; se puede especificar el directorio de inicio. Si se desactiva, se iniciará el
Escritorio de Windows.
● Icono de programa: Cambia el icono del programa.

Capítulo 20
● Grupo de programas: Cambia el grupo del menú Inicio desde el que se puede iniciar el
programa.
Exportación a importación de conexiones: Las conexiones que se crean en el Connection Manager de

cliente no están disponibles, de manera predeterminada, como archivos de texto, sino que se guardan en
el registro de cada máquina en HKEY_CURRENT_USER\Software\Microsoft\Terminal Server
Client\<nombre de la conexión>. Los valores creados para una conexión dada o para todas las
conexiones pueden exportarse a un archivo de texto que permita pasarlas a otro usuario o, incluso, a otra
máquina. Esto puede simplificar enormemente la implantación de Servicios de Terminal Server en
organizaciones de gran tamaño. Por desgracia, no hay una manera de hacerlo desde la línea de comandos,
por lo que habrá que trabajar en cada máquina. Pero, al menos, se puede estar seguro de utilizar una
configuración consistente en todos los clientes. Para exportar una sola conexión, hay que seguir el
1. Destacar en el Connection Manager de cliente la conexión que se desea exportar y escoger

Exportar en el menú Archivo.
2. Seleccionar la ubicación y el nombre de archivo adonde se va a exportar el archivo utilizando el
cuadro de diálogo Exportar como. Los archivos reciben la extensión .CNS. Si la conexión incluye
información completa sobre el inicio de sesión, se solicitará la confirmación de que se desea
guardar la contraseña al exportarla.
Cuando se exporta la contraseña como parte de una conexión, se cifra en el archivo .CNS,
pero cualquiera que tenga acceso al archivo puede crear una conexión con esa cuenta. Si
se exporta la contraseña hay que adoptar las precauciones adecuadas contra el acceso
físico al archivo.
Para exportar todas las conexiones del Connection Manager de cliente, hay que seguir este
procedimiento:
1. Escoger Exportar todo en el menú Archivo del Connection Manager de cliente.

2. Seleccionar la ubicación y el nombre de archivo adonde se van a exportar las conexiones
utilizando el cuadro de diálogo Exportar como. Todas las conexiones se guardarán en un único
archivo .CNS. Si alguna de las conexiones incluye información completa sobre el inicio de sesión,
se solicitará la confirmación de que se desea guardar la contraseña al exportarla.
Para importar una o varias conexiones al Connection Manager de cliente, hay que utilizar este
procedimiento:
1. Escoger Importar en el menú Archivo del Connection Manager de cliente.

2. Seleccionar el archivo que se desea importar mediante el cuadro de diálogo Importar desde.
Si ya se ha creado alguna conexión utilizando el Connection Manager de cliente, se solicitará la

Capítulo 20
autorización para sobrescribir la conexión predeterminada. Si se pulsa Sí, se solicitará la autorización

para la sustitución automática de todas las conexiones que estén duplicadas. Si se pulsa No, se solicitará
la conservación de las conexiones existentes que estén duplicadas. Si no se permite la sustitución
automática, se solicitará la autorización para cada una de las conexiones.
Conexiones con el Cliente de Terminal Server
El Connection Manager de cliente es una herramienta útil para la creación de conexiones permanentes
con uno o varios servidores, pero si sólo se desea conectarse de manera rápida con un servidor pero no
hace falta conservar la información en una conexión permanente, se puede utilizar el Cliente de Terminal
Server (Mstsc.exe). Para utilizar el Cliente de Terminal Server, hay que seguir el procedimiento
siguiente:
1. Seleccionar Cliente de Terminal Server en el grupo de programas de Cliente de Terminal Server

para abrir el cuadro de diálogo Cliente de Terminal Server.
2. Definir las propiedades de la conexión y pulsar Conectar. Las propiedades que se pueden definir
aquí son las siguientes:
● Servidor Contiene una lista de las conexiones más recientes. Se puede escribir el nombre o
la dirección IP de un servidor de Servicios de Terminal Server que no aparezca.

● Área de pantalla Muestra las resoluciones soportadas por la pantalla actual.
● Servidores disponibles Muestra todos los servidores disponibles en la red.
● Expandir de forma predeterminada. Expande los dominios para mostrar todos los
servidores disponibles en cada uno de ellos.

● Habilitar compresión de datos Comprime la información de vídeo antes de pasársela al
cliente.
● Almacenar mapas de bits en caché de disco Guarda localmente los mapas de bits utilizados
frecuentemente para mejorar el rendimiento.
Cuando se utiliza el Cliente de Servicios de Terminal Server siempre se solicita el inicio de sesionen el
servidor con el que se realiza la conexión. También se inicia siempre la conexión en el Escritorio de
Windows. Si se desea crear una conexión permanente, o bien una que sólo ejecute un programa concreto,
hay que utilizar el Connection Manager de cliente para crearla.

Capítulo 21
Capítulo 21
El proceso por el cual se identifican los cuellos de botella que pueden ralentizar la ejecución de Windows
2000 Server o la red en la que éste se ejecuta se denomina ajuste de rendimiento. Para maximizar el
rendimiento de un sistema que se ejecute bajo Windows 2000, se debe reconocer cualquier cuello de
botella que pueda existir y tomar acciones para eliminarlo. Las herramientas de red y sistema que ofrece
Windows 2000 para detectar cuellos de botella y ajustar el sistema a su nivel de rendimiento óptimo son:
el Visor de sucesos, el monitor de sistema y el monitor de red.
Cuellos de botella
Un cuello de botella es simplemente una condición por la que un proceso impide a otro funcionar a su
máximo rendimiento. Por ejemplo, cuando una aplicación monopoliza el procesador del sistema
excluyendo todas las operaciones ajenas a él, entonces se produce un cuello de botella en el procesador.
Los cuellos de botella pueden ocurrir en prácticamente cualquier subsistema de Windows 2000, así como
en cualquier elemento de la red.
Los cuellos de botella pueden ocurrir por cualquiera de las siguientes razones:
● Cargas de trabajo que no se reparten equitativamente entre los recursos.

● Un sistema con insuficientes recursos.
● Parámetros configurados incorrectamente.
● Recursos que funcionan incorrectamente.
● Programas que monopolizan recursos concretos.
El Visor de Sucesos

Capítulo 21
El Visor de sucesos es una

utilidad diseñada para hacer
un seguimiento de los
sucesos grabados en la
aplicación, la seguridad y
los registros históricos.
Permite recopilar
información sobre
software, hardware y
problemas del sistema, así
como hacer un seguimiento
de los sucesos de seguridad
de Windows 2000. Cuando se inicia Windows 2000, el servicio de registros históricos de sucesos se
inicia automáticamente. El Visor de sucesos toma la forma de una consola de administración Microsoft
(Microsoft Management Console, MMC). Se denomina Eventvwr.msc y se puede encontrar en la
carpeta %SystemRoot%\System32. Cuando se inicia el Visor de sucesos desde la carpeta de
Herramientas administrativas del menú de programas, se ve la consola del Visor de sucesos.
Archivos de registros de sucesos
Windows 2000 graba los sucesos en tres tipos de registros:
● Registro de aplicación: Contiene sucesos registrados por programas o aplicaciones. Por ejemplo,
un programa de base de datos podría registrar un error de archivo en el registro de programa. Los
desarrolladores de aplicaciones y programas determinan los sucesos que se registran. Todos los
usuarios pueden visualizar este registro.
● Registro de seguridad: Registra sucesos de seguridad, como por ejemplo, inicios de sesión
válidos o no válidos, así como sucesos relacionados con el consumo de recursos, como por
ejemplo, crear, abrir o eliminar archivos. El registro de seguridad está inactivo de manera
predeterminada. El administrador puede activarlo para hacer registros de sucesos a través de la
configuración de las Directivas de auditoria o sucesos a través de la función de Windows 2000 de
Directiva de grupo. Por ejemplo, si se han habilitado las Directivas de auditoria para iniciar la
sesión, todos los intentos para iniciar una sesión se graban en el registro de seguimiento de
seguridad. El Registro de directivas de auditoria también se puede activar para hacer que el
sistema se interrumpa cuando el registro de seguridad se llene. Sólo los administradores pueden
visualizar este registro de seguimiento.
● Registro del sistema: Contiene los registros de seguimiento de los componentes del sistema de
Windows 2000. Por ejemplo, el registro almacenará el fallo en la carga de un componente de
sistema que se produzca durante el inicio. Los tipos de registros de suceso están predeterminados
por Windows 2000. Todos los usuarios pueden visualizar este registro.
Configuración del tamaño de los registros de sucesos

Capítulo 21
Cuando un registro de sucesos está lleno se muestra un cuadro de diálogo que lo notifica. Si esto pasa a
menudo, se puede reducir el número de elementos sobre los que se informa o incrementar el tamaño del
registro. Para definir las opciones del registro de sucesos, hay que seguir estos pasos:
1. Escoger Visor de sucesos en

el menú Herramientas
administrativas.
2. Pulsar con el botón derecho
del ratón en el registro que se
desea configurar y escoger
Propiedades.
3. En la pestaña General hay que
establecer las opciones
deseadas. En Cuando se
alcance el tamaño máximo del
registro existen tres opciones:
● Si no se almacena el
registro, hay que

escoger Sobrescribir
sucesos cuando sea
necesario.
● Si se almacena el
registro a intervalos
regulares, se puede
seleccionar la opción
Sobrescribir sucesos de
hace más de. Hay que rellenar con el número apropiado de días.
● No sobrescribir sucesos, la última opción, implica que el registro ha de ser borrado
manualmente. Cuando se alcanza el tamaño máximo del registro, simplemente no se

registrarán los nuevos sucesos.
Es posible que alguien se preocupe tanto por la seguridad que ninguna de las opciones del
registro de eventos le parezca aceptable. Si absoluta y definitivamente no se debe perder
ni un solo suceso de seguridad, se puede configurar el equipo para que se detenga cuando
el registro de seguridad esté lleno. Es necesario hacer un cambio en el registro para que
esto ocurra. Primero hay que establecer Cuando se alcance el tamaño máximo del registro
como No sobrescribir sucesos o bien cómo Sobrescribir sucesos de hace más de n días.
Después hay que iniciar Regedit.exe y buscar
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control

Capítulo 21
\Lsa
\CrashOnAuditFail
y cambiar el valor a 1.
Este parámetro tendrá efecto después de reiniciar y entonces; cuando el registro esté
lleno, el sistema simplemente se parará. Después de reiniciar, sólo los administradores
podrán iniciar sesión hasta que se vacíe el registro de seguridad. Ésta es una medida
drástica, pero es necesaria en algunos casos.
Los componentes de un suceso
Los dos componentes clave en la interpretación de un suceso son la cabecera de suceso y la descripción
de suceso. La descripción de suceso es la pieza de información más útil, dado que indica la importancia
del suceso.
Cabeceras de suceso
Las cabeceras de suceso se

visualizan en columnas en la
consola Visor de sucesos y se
divide en los siguientes
componentes:
● Tipo: Muestra la
severidad del suceso. Los
sucesos en la aplicación y
los registros de sistema se clasifican como Información, Aviso o Error. Los sucesos en el registro
de seguridad se clasifican como Acceso correcto auditado o Acceso erróneo auditado. El Visor de
sucesos representa estas clasificaciones como símbolos en su lista normal de visualización. Estos
símbolos son:
❍ Información: Suceso que describe el funcionamiento correcto de un servicio, controlador
o aplicación. Por ejemplo, cuando el servicio de registro de sucesos se inicia con éxito, se
graba como un suceso de tipo información.
❍ Advertencia: Indica sucesos que, aunque no sean necesariamente significativos, conlleven
a futuros problemas. Por ejemplo, cuando el disco duro se encuentre cerca de su capacidad
máxima, se recomendará borrar algunos archivos.
❍ Error: Indica que algún problema significativo ha ocurrido, como una pérdida de
funcionalidad o de datos. Por ejemplo, si no se puede cargar un servicio durante el inicio,

se registrará en el Visor de sucesos como un error.
❍ Acceso erróneo auditado: Un intento de acceso de seguridad auditado erróneo. Por
ejemplo, si un usuario intenta tener acceso a una unidad de red y no lo consigue, el intento
se registrará como un Acceso erróneo auditado.
❍ Acceso correcto auditado: Informa de un intento desarrollado con éxito para realizar un
suceso de seguridad. Por ejemplo, un intento satisfactorio de inicio de sesión en el sistema

Capítulo 21
de un usuario se registrará como un suceso de tipo Acceso correcto auditado.

● Fecha: Indica el día en que ocurrió el suceso.
● Hora: Indica la hora (local) en que ocurrió el suceso.
● Origen: Indica qué software registró el suceso. Este software puede ser el nombre del programa,
un componente del sistema o un componente de algún programa grande, como por ejemplo, el
nombre del controlador.
● Categoría: Muestra la forma en que la fuente del suceso clasifica el suceso. Principalmente
utilizada en el registro de seguridad. Las intervenciones en seguridad son uno de los tipos de
sucesos que se clasifican aquí.
● Suceso: Muestra el número de suceso que identifica algún tipo de suceso en particular. El nombre
del tipo de suceso aparece normalmente en la primera línea de su descripción asociada.
● Usuario: Indica el nombre del usuario para el que ocurrió el suceso. Si el suceso se produjo por
un proceso del servidor, el nombre de usuario es el ID del cliente.
● Equipo: Especifica el nombre de la computadora donde se produjo el suceso.
La descripción de sucesos
Al pulsar dos veces sobre un suceso específico en el Visor de sucesos, se muestra un texto descriptivo en
la ficha de Detalles de suceso de la ventana Propiedades que a menudo es muy útil en el análisis de un
suceso. Para algunos sucesos,
también se generan datos en
binario muy útiles, dado que son
generados por el programa que
originó el registro de suceso. Si se
desea mantener las descripciones
de suceso, hay que guardarlas
como un archivo de datos binario.
No se deben guardar las
descripciones de suceso en formato
de texto o formato de texto
delimitado por comas, dado que
estos formatos descartan los datos
binarios.
Filtrado de los registros de

sucesos
Si no se dispone de suficiente
información específica para
localizar lo que se necesita, se
puede filtrar un registro de sucesos
para ciertos tipos de información. Para utilizar el filtrado del registro de sucesos, hay que seguir estos
pasos:

Capítulo 21
1. Escoger Visor de sucesos en el menú Herramientas administrativas.

2. Pulsar con el botón derecho del ratón en el registro en el que se desea buscar y escoger
Propiedades en el menú contextual.
3. Pulsar en la pestaña Filtro. Pulsar Aceptar cuando se esté preparado para iniciar el filtrado.
4. Aparece el registro, filtrado según las peticiones. Para ver de nuevo el registro completo, sin
filtrar, hay que volver a la pestaña Filtro y pulsar Restaurar predeterminados.
Las opciones para filtrar registros de sucesos son:
● Información: Si queremos buscar o filtrar por notificación de que se ha realizado correctamente

alguna operación muy importante.
● Advertencia: Si queremos buscar o filtrar por notificación sobre algún problema o problema
potencial. Las advertencias pueden ser o no significativas. Por ejemplo, una réplica realizada tras
repetidos intentos generará una advertencia.
● Error: Si queremos buscar o filtrar por notificación de un suceso importante. Los errores
significan una pérdida de información o de funcionalidad. Por ejemplo, un fallo al iniciar un
servicio durante el inicio generará un error.
● auditoria de aciertos: Si queremos buscar o filtrar por sucesos correctos auditados.
● auditoria de errores: Si queremos buscar o filtrar por sucesos erróneos auditados.
● Origen del suceso: Si queremos buscar o filtrar por origen de un evento, como un componente
del sistema o un programa.
● Categoría: Si queremos buscar o filtrar por sucesos por categoría, como inicio/cierre de sesión,
cambio en la directiva o seguimiento de un proceso.
● Id. del suceso: Si queremos buscar o filtrar por el número de identificación específico asignado a
cada suceso registrado.
● Usuario: Si queremos buscar o filtrar por un usuario específico.
● Equipo: Si queremos buscar o filtrar por un equipo específico.
● De: Si queremos buscar o filtrar por sucesos posteriores a una fecha específica. El valor
predeterminado es la primera fecha del registro. Se puede pulsar el cuadro desplegable para
seleccionar sucesos de una fecha específica.
● A: Si queremos buscar o filtrar por sucesos posteriores a una fecha específica. El valor
predeterminado es la última fecha del archivo.
Almacenamiento de un registro de suceso
Pulsando con el botón derecho del ratón sobre el nombre de registro en el Visor de sucesos se puede
guardar un registro de suceso a un archivo. Se pueden archivar los registros de suceso en alguno de los
tres siguientes formatos:
● Formato de registro: Permite visualizar el registro en el Visor de sucesos. Su extensión es .EVT.

Capítulo 21
● Formato de texto: Permite utilizar los detalles contenidos en este archivo en algún programa
como Microsoft Word. Su extensión es .TXT.
● Formato delimitado por comas: Permite utilizar los datos en una hoja de cálculo o un archivo
plano de base de datos. Su extensión es .CSV
Los registros archivados graban la descripción del suceso en el siguiente orden: fecha, hora, fuente, tipo,
categoría, suceso, usuario, computadora y descripción. El registro de suceso se graba completamente, a
pesar de las opciones de filtro que se hayan podido activar. La información se graba de forma secuencial,
incluso si se ha establecido un orden para los sucesos.
Se puede abrir un archivo de registro en el menú Acción apuntando a Nuevo y después eligiendo Nueva
vista de registro. En el cuadro de diálogo Añadir nueva vista de registro, hay que seleccionar
Almacenados (Abre un registro grabado previamente), pulsar en el botón Examinar para buscar el
nombre del registro en el cuadro de diálogo Abrir. Solo puede abrir archivos con la extensión .EVT en el
Visor de sucesos. (Los archivos de registro grabados con las extensiones .TXT y .CSV se pueden abrir en
cualquier procesador de textos). La información visualizada en un registro archivado no se puede
actualizar por refresco.
Visualización de un registro de suceso en otra computadora
Es posible la conexión con otra

computadora para visualizar sus
registros de sucesos pulsando con el
botón derecho del ratón en el Visor de
sucesos (local) al situarse en la parte
superior del árbol y elegir Conectar
con otro equipo. En el cuadro de
diálogo Seleccionar equipo, se puede
explorar o entrar el nombre de la
computadora cuyo registro de sucesos
se pretende visualizar.
El Visor de sucesos permite visualizar

máquinas que ejecuten Microsoft
Windows NT Workstation o
Windows 2000 Professional, un
servidor o un controlador de dominios
que ejecuten Windows NT Server o Windows 2000 Server, así como un servidor que ejecute LAN
Manager 2.x. Se puede configurar una conexión de baja velocidad para la máquina remota que se quiere
visualizar. Para hacer esto, hay que seleccionar el registro que se desea visualizar desde el árbol de la
consola, elegir Propiedades en el Menú acción y a continuación seleccionar la opción Utilizar conexión a
baja velocidad

Capítulo 21
Monitor de Sistema
El Monitor de sistema es una utilidad diseñada para rastrear varios procesos en tiempo real usando una
visualización gráfica en un sistema Windows 2000. Se puede utilizar la información del Monitor de
sistema para seleccionar procesos y componentes que necesitan optimizarse, observar los resultados de
ajuste de rendimiento y esfuerzos de configuración, comprender y observar tendencias en las cantidades
de trabajo y sus efectos en el uso de los recursos, así como realizar una asistencia con tareas, como por
ejemplo, planificaciones para actualizaciones. El Monitor de sistema toma la forma de una consola de
administración Microsoft MMC. Se denomina Perfmon.msc y puede encontrarse en la carpeta
%SystemRoot%\system32\..
Ejecución del Monitor de sistema
Para iniciar el
Monitor de sistema
hay que pulsar en
Rendimiento desde
la carpeta de
herramientas
administrativas en el
menú Programas. El
árbol de consola en el
panel izquierdo
muestra las MMC
complementos
asociadas al Monitor
de sistema, y el panel
de detalles se reserva
para la visualización
gráfica de los
contadores que se
desee visualizar.
El Monitor de sistema utiliza tres tipos de elementos para hacer un seguimiento del sistema: objetos,
contadores e instancias.
● Objetos: Son una colección de contadores asociados con un recurso o servicio que genera
información susceptible de evaluación. Cada vez que un objeto realiza una función, sus
contadores correspondientes se actualizan. En el sistema operativo se encuentran incorporados un
rango de objetos normalmente asociados a la mayoría de los componentes hardware. Otros
componentes y sus correspondientes objetos son añadidos por los programas que se instalan en la
máquina. Los objetos que se utilizarán más frecuentemente son:

Capítulo 21
❍ Explorador: Rastrea el servicio de exploración para un dominio o grupo de trabajo.

❍ Caché: Rastrea el uso de la memoria caché de disco.
❍ Memoria: Rastrea el rendimiento de la memoria física y virtual.
❍ Objetos: Rastrea el número de sucesos, exclusiones mutuas, procesos, secciones,
semáforos y hebras en la computadora en el momento de la colección de datos.

❍ Archivo de página: Rastrea el uso de archivos de página.
❍ Disco físico: Rastrea discos con una o más particiones.
❍ Proceso: Rastrea todos los procesos que se ejecutan en la máquina.
❍ Procesador: Rastrea cada procesador existente en el sistema.
❍ Servidor: Rastrea bytes, sesiones, ciertos errores de sistema, y uso no paginado y
paginado de fondo.
❍ Sistema: Rastrea todos los contadores que afectan a todo el hardware y software instalado
en el sistema.
❍ Hebras: Rastrea todas las hebras que se ejecutan en el sistema.
● Contador: Es un componente dentro de un objeto que representa información para algún aspecto
específico del sistema o servicio.
● Instancia: Se trata de una única ocurrencia de varios objetos de rendimiento del mismo tipo en la
máquina. Si un objeto en particular tiene múltiples instancias, se puede hacer un seguimiento de
las estadísticas para cada instancia añadiendo un nuevo contador para cada una. También se puede
añadir un contador para hacer un seguimiento de todas las instancias a la vez. Éste visualiza la
cuenta más reciente del número de hebras para un proceso en particular. Una instancia puede ser
también una media de los dos últimos valores para un proceso durante un intervalo entre las
muestras.
Adición de contadores
El Monitor de sistema muestra por

defecto la utilización actual del
procesador del sistema como una línea
gráfica. Se pueden añadir más
contadores pulsando sobre el botón
Añadir contadores para visualizar el
cuadro de diálogo Agregar contadores
o pulsando en la pestaña Datos en la
ventana Propiedades. El Monitor de
sistema comprimirá los datos para que
se ajusten al panel de detalle según sea
necesario, pudiéndose visualizar
docenas de contadores al mismo
tiempo, más incluso de los que se
pueden visualizar confortablemente en
una única ventana.

Capítulo 21
Selección de contadores
En el cuadro de diálogo Agregar contadores, se puede seleccionar la opción Usar contadores del equipo
local o la opción Seleccionar contadores del equipo. Si se está haciendo un seguimiento de la
computadora en la que Monitor de sistema se está ejecutando, se deseará seleccionar Usar contadores del
equipo local. Si se desea hacer un seguimiento de un computadora diferente, hay que seleccionar la
opción Seleccionar contadores del equipo y después elegir el nombre en el cuadro de lista de la
computadora de la que se desee hacer un seguimiento.
En el cuadro de lista de Objeto de rendimiento, hay que especificar el objeto a observar. El objeto
Procesador está seleccionado de manera predeterminada. Para cada objeto se puede elegir observar todos
los contadores disponibles o sólo los que se especifiquen. Para hacer un seguimiento de todos los
contadores disponibles para un objeto en particular, hay que seleccionar la opción Todos los contadores.
Para observar sólo los contadores que se especifiquen, hay que seleccionar la opción Seleccionar
contadores de la lista. Cuando se elija seleccionar contadores específicos, se puede obtener una
descripción de cualquier contador pulsando sobre el nombre del contador y después sobre el botón
Explicar.
Si se selecciona un contador que tenga varias instancias, hay que elegir Todas las instancias para
observar todas las instancias del contador seleccionado, o seleccionar Seleccionar instancias de la lista
para especificar las instancias que quiera observar. Si se hace un seguimiento de varias instancias de la
misma computadora, hay que observar que el número de índice de instancia para una instancia en
particular podría cambiar a lo largo del tiempo. Este posible cambio es consecuencia del inicio y parada
de la instancia, así como de su asignación dentro de un proceso a un índice diferente.
Ajuste de contadores a gráficos de líneas
Se puede determinar el contador que se asigne a una línea en el gráfico de dos formas. La primera es
asignando un color y un grosor de gráfica a cada contador a través de la leyenda. Si no se está haciendo
un seguimiento de muchos contadores, se puede asignar fácilmente un color al contador. La segunda es
pulsar dos veces sobre una línea en el gráfico; selecciona el correspondiente contador, y su leyenda se
localiza bajo la gráfica. Si las líneas del diagrama se encuentran cerca una de la otra, hay que intentar
localizar una posición en la gráfica donde diverjan; si no, el Monitor de sistema tendrá dificultades para
indicar con precisión la línea de interés.
También se puede resaltar una línea del diagrama pulsando sobre el contador que se
desee resaltar y después presionando CTRL+H.
Borrado de contadores
Cuando se quiera dejar de hacer un seguimiento de uno o más contadores, hay dos opciones: borrar sólo
algunos contadores específicos o borrar todos los contadores. Para parar de observar unos contadores
específicos, hay que abrir el Monitor de sistema, pulsar sobre el nombre de algún contador en la leyenda

Capítulo 21
del panel de Detalles del Monitor de sistema, y pulsar sobre el botón Eliminar en la barra de
herramientas. Para borrar todos los contadores que se muestran actualmente, hay que seleccionar el botón
Nuevo conjunto de contadores en la barra de herramientas. Esto se haría en caso de querer hacer un
seguimiento de un conjunto de contadores nuevos.
Modificación de la presentación en pantalla
Se puede modificar la forma en que el Monitor de sistema visualiza la información usando la ventana
Propiedades del Monitor de sistema. Para acceder a esta ventana, se puede pulsar sobre el botón
Propiedades en la barra de herramientas o pulsar sobre el botón derecho del ratón en el panel de Detalle y
seleccionar Propiedades del menú de contexto. En la ficha General se puede elegir visualizar la
información como una gráfica, un histograma o un informe. Dependiendo de cómo se elija visualizar la
información, pueden estar disponibles las siguientes opciones en el área de Mostrar elementos:
● Leyenda: Muestra una leyenda en la parte inferior del panel de detalles que muestra la escala de
datos utilizada por cada contador, el nombre del contador, la instancia, el objeto padre (si es
posible), el objeto al que pertenece el contador, la computadora de la cual se está haciendo el
seguimiento, así como el color utilizado para dibujar la línea para el contador. La leyenda está
disponible para las visualizaciones de gráficos a histogramas. Se necesita mostrar la leyenda para
ver el nombre del contador asociado con cada línea de datos.
● Barra de valores: Muestra una barra de valores en la parte inferior del panel de Detalles,
permitiendo resaltar los valores de un contador concreto. Cuando se pulsa sobre un valor en
particular en la leyenda, o si se pulsa directamente en la línea de datos, se visualizarán unas
estadísticas para los valores último, promedio, mínimos y máximos grabados. El tiempo de
duración también se muestra aquí. Los valores se calculan a partir del número de muestras y el
periodo de tiempo mostrado en la gráfica. El valor del tiempo se refleja por el valor de la
duración, en vez del tiempo transcurrido desde que se lanzó el seguimiento. El valor de la
duración se basa en la actualización del intervalo de tiempo y se calcula para mostrar el tiempo
total transcurrido en la gráfica. Este elemento de visualización está disponible para gráficas e
histogramas y resulta útil para hacer el seguimiento de un valor específico al que se quiere seguir
muy de cerca.
● Barra de Herramientas: Muestra las funciones de la barra de herramientas situadas en la parte
superior del panel de Detalles. Se recomienda tener esta opción habilitada, porque es la única
forma de realizar ciertas operaciones.
Vista gráfica

Capítulo 21
La vista gráfica
presenta la
información en un
formato gráfico
tradicional de línea.
Cada uno de los
contadores a
instancias se
muestran con un
color y un grosor
diferente. Ésta es la
vista predeterminada
y ofrece la mayor
variedad de opciones.
Por ejemplo, permite
resaltar un contador
particular pulsando
sobre el nombre del
contador en la
leyenda, o pulsando
dos veces en la línea
de datos en la gráfica y entonces pulsando el botón Resaltar en la barra de herramientas. La línea de datos
a color se sustituye por una línea negra si el color de fondo de la gráfica es blanco o de un color suave;
para el resto de colores de fondo, la línea es Blanca. Si quisiese resaltar otra línea en su lugar,
simplemente pulse dos veces sobre la línea. Tan pronto como se deje de pulsar el botón Resaltar,
cualquier línea que seleccione se resaltará en la pantalla.
Vista de histograma

Capítulo 21
Aunque la vista gráfica es la más versátil,

resulta más útil usar la vista de
Histograma o la de Presentación de
informes para hacer un seguimiento de un
gran número de contadores, dado que las
líneas gráficas se van visualizando peor
conforme se aumenta el número de
contadores que se están monitorizando.
La vista de histograma presenta la

información en un formato de barras
gráficas. Al igual que en la vista gráfica,
cada contador a instancia se presenta en un
color diferente. Se puede hacer un
seguimiento fácil de hasta cien contadores
utilizando esta vista, dado que el Monitor
de sistema ajusta automáticamente las
barras para que se ajusten a la pantalla.
Vista de presentación de informes
La vista de presentación de informes presenta la información de los contadores con un formato de lista de
informes. Los objetos se muestran en orden alfabético al igual que los contadores seleccionados para
cada objeto. Los datos se muestran con formato numérico. cada objeto muestra el porcentaje total de
consumo de tiempo del procesador en uso
para los contadores seleccionados. Ésta es
la mejor vista para hacer un seguimiento
de un gran número de contadores.
Elección del Intervalo de tiempo de

monitorización
Para las tres vistas, se puede hacer un

muestreo de los datos con un intervalo
periódico regular. Para seleccionar esta
opción, abrir la ventana Propiedades del
Monitor de sistema (pulsando el botón Propiedades) y, en la ficha General, seleccionar Actualizar
automáticamente cada n segundos. El intervalo predeterminado es 1 segundo, pero este valor podría
cambiarse para evitar una sobrecarga de la máquina. Hay que elegir el intervalo más apropiado para
capturar el tipo de actividad que se quiera visualizar.
Selección de propiedades adicionales

Capítulo 21
Se pueden añadir líneas de rejilla verticales y horizontales a la vista gráfica y de histograma pulsando
sobre sus respectivos cuadros de Rejilla Vertical y Horizontal en la pestaña Gráfico de la ventana
Propiedades del Monitor de sistema.
Estos elementos son muy útiles para
determinar rápidamente el valor
asociado a un contador.
También se puede cambiar el valor

máximo y mínimo de la escala vertical
en la pestaña de Gráfico; los valores
predeterminados son 100 para el
Máximo y 0 para el Mínimo. El
máximo valor que se puede especificar
es 999999999, y el menor es 0. Ambos
valores deben ser enteros positivos. Es
necesario determinar el rango de la
escala vertical en función de los
contadores que se estén visualizando.
Es posible ajustar los parámetros de

configuración de escala de un contador
específico para mejorar la visibilidad de
sus datos dentro de la gráfica. Los
parámetros de configuración de escala para contadores se ajustan en la ficha Datos de la ventana
Propiedades del Monitor de sistema. Los valores de escala del contador oscilan exponencialmente entre
0.0000001 y 1000000.0. El ajuste de la escala no afecta a las estadísticas mostradas en la barra de
valores.
Seguimiento de una computadora diferente
El Monitor de sistema muestra de manera predeterminada información del sistema local, pero también se
puede configurar para hacer un seguimiento de otra computadora de la red. También es posible hacer un
seguimiento de más de una computadora a la vez en el Monitor de sistema. Para esto, pulsar sobre el
botón Agregar contadores, seleccionar la opción Seleccionar contadores del equipo, y a continuación
teclear el nombre de la computadora que se quiera monitorizar en el cuadro de texto. Pueden
seleccionarse y eliminarse contadores, así como modificar su visualización, de la misma forma descrita
en las secciones anteriores.
Para poder hacer un seguimiento de un equipo remoto a través del Monitor de sistema, es necesario
disponer de permisos de administración en dicho equipo. Si no se dispone de permisos de administración,
se generará un mensaje de error. El contador aparecerá en la visualización, pero ningún dato o gráfico se
asociarán a él. Si se pretende monitorizar un contador concreto y éste no aparece en la lista de

Capítulo 21
contadores, es probable que el servicio o la función que proporciona el contador no haya sido instalada o
habilitada en la computadora.
Registros y Alertas de rendimiento
Los Registros y alertas de rendimiento aumentan las capacidades de seguimiento del Monitor de sistema
incluyendo funciones para almacenar información de registro y traza, así como generar alertas. El uso de
las capacidades de los Registros y alertas de rendimiento tiene ciertas ventajas. La información de
registros históricos puede exportarse a hojas de cálculo y bases de datos para analizar sé y generar
informes. La información puede almacenarse en tres formatos: formato separado por comas, formato
separado por tabuladores o formato de archivo de registro binario para las conexiones circulares o para
las instancias de conexión que puedan iniciarse. En la conexión circular, los datos se introducen en un
único archivo, sustituyéndose los datos antiguos por los nuevos.
El archivo de registros de rendimiento se ejecuta como un servicio. Como resultado, un usuario no tiene
que estar conectado a la computadora a la que se está haciendo un seguimiento para que se produzca la
colección de los datos. Se pueden administrar varias sesiones de seguimiento desde la misma ventana de
consola y visualizar los datos según son recogidos, así como una vez que la colección de los datos haya
acabado. La generación automática de archivos permite definir parámetros como nombre de archivo,
tamaño de archivo, y tiempo de comienzo y tiempo de fin. Se puede asociar una alerta a un contador para
forzar el inicio de una acción específica, como por ejemplo, iniciar un programa concreto, enviar un
mensaje de notificación o comenzar un registro histórico cuando el valor de un contador concreto caiga
por debajo o supere un valor especificado.
Registros de contadores
Un registro de contador recoge información en un intervalo predefinido. Los registros de contadores son
útiles para el almacenamiento de información sobre actividades de servicios del sistema y uso de los
recursos hardware procedentes de una máquina local o remota. Se pueden almacenar datos manualmente
según se necesiten o planificar el comienzo y la recogida de la información automáticamente. El sistema
puede también realizar un registro histórico continuo, según el tamaño de archivo y los límites de
duración que se definan. La información de registros históricos almacenada puede visualizarse con el
Monitor de sistema o puede exportarse a hojas de cálculo y bases de datos.
También es posible visualizar dinámicamente los contadores configurados en el registro histórico de

contadores a través del Monitor de sistema guardando la configuración de los registros históricos como
una página HTML. La página resultante soporta el control del Monitor de sistema a través de un control
ActiveX que aporta la interfaz para el usuario que se encuentre haciendo un seguimiento.
Registros de seguimiento
En lugar de hacer un muestreo en un intervalo predefinido, como hacen los registros de contadores, un

Capítulo 21
registro de seguimiento monitoriza los datos de forma continua y espera a que se produzcan
determinados sucesos, como por ejemplo, un fallo de página. Esta información se graba en un archivo de
registros históricos. Para interpretar la salida de registros de seguimiento, se necesita una herramienta de
análisis.
Creación de registros de contador y de seguimiento
Para crear un registro de contador o un registro de seguimiento, hay que realizar los siguientes pasos:
1. Abrir el Monitor de sistema y pulsar dos veces sobre Registros y alertas de rendimiento.
2. Elegir Registros de contador
para crear un nuevo registro de
contador, o Registros de
seguimiento para crear un
registro de seguimiento.
3. Pulsar el botón derecho del
ratón en un área en blanco del
panel de detalles y elegir Nueva
configuración de registro. En
Nombre, hay que escribir el
nombre del registro de contador
o registro de seguimiento y a
continuación presionar sobre
Aceptar. Esto hace que se
muestre una ventana
Propiedades para configurar el
contador de registro o el
contador de seguimiento que
está creando.
4. Configurar el registro de
seguimiento o el registro de
contador para hacer un
seguimiento de la máquina local
o remota seleccionando los contadores apropiados para los recursos que se desea monitorizar,
seleccionando las propiedades del archivo de registro y las opciones de planificación deseadas.
Todos los registros que ya existan se muestran en el panel de detalles. Un icono rojo indica un
registro que no se está ejecutando o que ha sido parado; un icono verde indica un registro que se
está ejecutando.
El intervalo de toma de datos para los registros se selecciona en la ficha General de la ventana
Propiedades para el registro.
Adición de contadores a los registros de contador

Capítulo 21
Los contadores se añaden en la ficha General de la ventana Propiedades del registro. Cuando se crea un
archivo de registro de contador, la ventana Propiedades se muestra automáticamente. Si se necesita
añadir contadores más tarde, se puede visualizar la ventana Propiedades pulsando el botón derecho del
ratón sobre el nombre del archivo del registro, eligiendo Propiedades en el menú de acceso directo,
presionando el botón Añadir en la pestaña General y a continuación eligiendo los contadores deseados.
El procedimiento para seleccionar contadores es idéntico al descrito anteriormente en la sección
«Selección de contadores».
Guardar la configuración de un archivo de registro o alerta
Para guardar la configuración de un

archivo de registro o alerta, hay que pulsar
con el botón derecho del ratón en el
nombre de registro o alerta en el panel de
detalles y, a continuación, elegir Guardar
configuración como en el menú rápido.
Hay que escribir el nombre del archivo de
registro o alerta y grabarlo como un
archivo .HTM. La configuración guardada
puede utilizarse para un nuevo registro o
alerta pulsando sobre el botón derecho del
ratón en el panel de detalles,
seleccionando Nueva configuración de
registro de, y a continuación
seleccionando el archivo .HTM que
contenga la configuración que se quiera
reutilizar.
Selección de proveedores de sistema y

no sistema para registros de seguimiento
Los sucesos en los registros de seguimiento no se monitorizan a través de registros, sino de proveedores.
El proveedor de sistema predeterminado, el Proveedor de seguimiento del núcleo de Windows,
monitoriza hebras, procesos, entrada/salida de disco, redes TCP/IP, fallos de página y detalles de archivo.
El proveedor de sistema utiliza la mayor sobrecarga posible para monitorizar los sucesos. Sólo se puede
ejecutar un único registro de seguimiento al mismo tiempo. Si se intenta ejecutar más de uno a la vez, se
muestra un mensaje de error.
Los proveedores de sistema y no sistema se eligen en la ficha General de la ventana Propiedades del
registro de seguimiento. Para ver esta ventana, hay que pulsar con el botón derecho del ratón el archivo
de registro de seguimiento y elegir Propiedades en el menú rápido. A continuación, en la ficha General,
debe escogerse bien la opción Sucesos registrados por el proveedor del sistema y a continuación elegir

Capítulo 21
los sucesos que se quieren monitorizar, o bien seleccionar la opción Proveedores que no son de sistema y
a continuación añadir los proveedores que se quiera seleccionar pulsando sobre el botón Agregar.
Es importante recordar que el registro de seguimiento de los fallos de página y los detalles de archivo
genera una cantidad de datos enorme. Microsoft recomienda limitar el registro de seguimiento de estas
opciones a un máximo de dos horas; de otro modo, puede quedarse sin espacio de disco en su máquina.
La elección de proveedores que no son de sistema produce una sobrecarga menor. Con proveedores que
no son de sistema, pueden seleccionarse los proveedores de información que se desee. No pueden
ejecutarse de forma concurrente múltiples registros de seguimiento utilizando el mismo proveedor de no
sistema, pero sí usando diferentes proveedores de no sistema. Los proveedores que no son de sistema
disponibles en Windows 2000 son Active Directory: Kerberos, Active Directory: Net Logon, Active
Directory: SAM, Local System Authority (LSA), y Windows NT Active Directory Service.
Configuración de los parámetros de archivo para registros de seguimiento y contador
Para configurar los parámetros de archivo de los registros de seguimiento y contador, hay que proceder
de la siguiente forma:
1. Pulsar dos veces sobre Registros y alertas de rendimiento en el Monitor de sistema.

2. Pulsar en Registros de contador para configurar los parámetros de archivo de los registros de
contadores, o pulsar en Registros de seguimiento para configurar los parámetros de archivo de los
registros de seguimiento.
3. Pulsar dos veces sobre el nombre del registro que quiere configurar sus parámetros de archivo.
Aparecerá una ventana mostrando las propiedades del registro.
4. Pulsar en la pestaña Archivos de registro y configurar los parámetros deseados para el archivo del
registro.
Parámetros de Archivo de registro
La ficha Archivo de registro de la ventana Propiedades de un registro de contador o seguimiento permite

configurar un número de parámetros de archivo. Se puede especificar una carpeta distinta de la carpeta
predeterminada de Windows 2000 en el cuadro Ubicación. La ubicación predeterminada es la carpeta
PerfLogs del directorio raíz. También se ofrece la posibilidad de terminar el nombre del archivo con un
conjunto de números secuenciales o una fecha para hacer un seguimiento de varios archivos de registro.
Esto resulta muy útil para archivos de registro que se generan automáticamente con el mismo nombre de
archivo.

Capítulo 21
Se dispone de una opción de Tamaño

de archivo con la que se puede permitir
que el archivo de registro pueda ser tan
grande como las cuotas de disco o
como el sistema operativo lo permita, o
limitar el tamaño a un tamaño
específico de kilobytes. Es necesario
limitar el tamaño del archivo de
registro si se quiere utilizar alguna de
las opciones de conexión circular. De
forma conjunta con el tamaño de un
archivo de registro se puede utilizar la
opción Cuando el archivo de registro
esté lleno en la ficha Programación
para ejecutar un comando si se desea
que una acción particular ocurra
cuando el archivo de registro se llene.
Se puede elegir entre cuatro tipos de
archivos para un registro de contador: í
● Archivo de texto (CSV): Este

formato se usa para exportar
datos a un programa de hoja de
cálculo. Los datos se almacenan como un archivo de registro delimitado por comas que usa la
extensión de archivo .CSV.
● Archivo de texto (TSV): Este formato también se puede utilizar para exportar datos a un
programa de hoja de cálculo. Los datos se guardan como un archivo de registro delimitado por
tabuladores que usa la extensión de archivo .TSV
● Archivo binario: Este formato se usa para instancias intermitentes (instancias que se paran y se
arrancan después de que el registro se haya arrancado). Los datos se almacenan como un archivo
de registro secuencial con formato binario que usa la extensión de archivo .BLG.
● Archivo cíclico binario: Este formato se utiliza para guardar datos continuamente al mismo
archivo de registro, donde las nuevas grabaciones se sobrescriben sobre las anteriores. Los datos
se guardan como un archivo cíclico con formato binario que usa la extensión de archivo .BLG.
Los registros de seguimiento pueden ser de alguno de los dos tipos de archivo siguientes:
● Archivo de seguimiento cíclico: Este formato se utiliza para guardar datos de forma continua al
mismo archivo de registro, donde los nuevos datos se sobrescriben sobre los anteriores. Los datos
se almacenan en un archivo cíclico que usa la extensión .ETL.
● Archivo de seguimiento secuencial: Este formato se usa para recopilar datos hasta que se
alcance un límite establecido por el usuario. Cuando se alcanza el límite, el archivo actual se
cierra y se inicia uno nuevo. Los datos se almacenan como un archivo secuencial que usa la

Capítulo 21
extensión de archivo .ETL.
El tipo de archivo predeterminado para los registros de contador es el Archivo binario (con la extensión
.BLG), y el tipo de archivo predeterminado para los registros de seguimiento es el Archivo de
seguimiento secuencial (con la extensión .ETL).
Alertas
Cuando el valor de un contador predefinido alcanza, cae por debajo o supera un valor umbral concreto,
se envía al usuario una notificación de alerta a través del servicio Mensajería. El servicio Mensajería
debe estar ejecutándose para que una notificación de alerta pueda enviarse al usuario.
Creación de una alerta
Para crear una alerta, hay que seguir los pasos siguientes:
1. Abrir el Monitor de sistema y

pulsar dos veces en Registros y
alertas de rendimiento.
2. Pulsar en Alertas.
3. Pulsar el botón derecho en el
área blanca del panel de
Detalles y elegir Nueva alerta.
Introducir en la etiqueta
Nombre el nombre de la alerta
que se está creando y presionar
el botón Aceptar. Aparecerá
entonces una ventana
Propiedades para configurar la
alerta que se está creando.
4. A continuación se debe
configurar la alerta
especificando si se quiere hacer
un seguimiento de una máquina
local o remota, eligiendo uno o
más contadores, estableciendo
los valores umbrales para los
contadores, seleccionando qué
acción se quiere realizar cuando la alerta se dispare, así como eligiendo las opciones de
programación deseadas.
Configuración de una alerta

Capítulo 21
Deben seleccionarse valores umbrales para cada contador sobre el que se pretende poner una alerta. Esto
se realiza en la ficha General de la ventana Propiedades de la alerta. Cuando se crea una alerta, la ventana
Propiedades se muestra automáticamente. Si se necesita añadir contadores en una fecha posterior, es
posible acceder a la ventana Propiedades pulsando el botón derecho del ratón sobre el nombre del
archivo de la alerta, eligiendo Propiedades en el menú rápido y pulsando sobre el botón Agregar de la
pestaña General.
Así mismo es necesario configurar los

valores umbrales para que disparen una
alerta cuando caigan por encima o por
debajo de ciertos valores base
establecidos por la corporación. Para
establecer estos valores base, se deberá
determinar qué nivel de rendimiento
del sistema se considera aceptable
cuando el sistema experimenta una
carga de trabajo típica y se encuentra
ejecutando todos los servicios
requeridos. Esto se realiza revisando
los datos mostrados en las gráficas de
los registros en el Monitor de sistema o
exportando los datos para generar
informes susceptibles de análisis.
Es posible especificar acciones que

deban producirse cuando se supere
algún valor umbral en la ficha Acción
de la ventana Propiedades. Se dispone
de cuatro opciones:
● Registrar una entrada en el registro de sucesos de aplicación: Hace que la alerta registre una
entrada visible al usuario en el Visor de sucesos.
● Enviar un mensaje de red a: Dispara el servicio de Mensajería para enviar un mensaje de alerta
a una computadora concreta.
● Iniciar registro de datos de rendimiento: Ejecuta un registro de contadores existente.
● Ejecutar este programa: Especifica un archivo de comando y unos argumentos de línea de
comando que se ejecutan cuando se dispara una alerta.
Permisos para registros de contador, registros de seguimiento y

alertas
Para crear o modificar un registro o una alerta, es necesario disponer de permisos de Control total (Full

Capítulo 21
control) para la entrada del registro

HKEY_LOCAL_MACHINE\,SYSTEM\CurrentControlSet\Services\SysmonLog\LogQueries. A los
administradores se les concede este permiso de manera predeterminada, y pueden otorgar este permiso a
los usuarios en Regedt32.exe a través del menú Seguridad.
Para ejecutar el servicio de Registros y alertas de rendimiento, se debe tener permiso para configurar o
iniciar servicios en el sistema. A los administradores se les asigna normalmente este permiso de manera
predeterminada, y pueden conceder este permiso a usuarios a través de la consola de las políticas de
grupo. Más aún, para registrar datos en una computadora remota, se requiere que el servicio de Registros
y alertas de rendimiento se ejecute bajo una cuenta que tiene acceso al sistema remoto. El servicio se
ejecuta en segundo plano una vez que el servicio o alerta se ha configurado y se encuentra ejecutándose.
Antes de iniciar el Monitor de sistema o Registros y alertas de rendimiento en la

computadora que pretende observarse, hay que realizar lo siguiente:
● Aumentar el archivo de paginación del tamaño de la memoria física hasta 100 Mb.
● Deshabilitar cualquier programa protector de pantalla.
● Cerrar los servicios que no son relevantes o esenciales para la observación del
sistema.
Conviene tener en mente las prácticas siguientes cuando hay que prepararse para ajustar el sistema:
● Configurar los Registros y alertas de rendimiento para que observen a informen sobre datos de los
contadores dentro de un intervalo regular, como por ejemplo, cada 10 ó 15 minutos. Es una buena
práctica conservar los registros por un periodo de tiempo extenso. Es posible almacenar la
información en una base de datos y utilizarla para el análisis de tendencias, valoración de
rendimiento y capacidad de planificación.
● Realizar sólo un cambio cada vez. Los cuellos de botella pueden ser el problema de varios
componentes. No se debe confundir el asunto haciendo demasiados cambios al mismo tiempo, ya
que entonces será imposible valorar el impacto que cada cambio tiene sobre el sistema.
● Guardar un registro de cada cambio que se realice y repetir el proceso de observación después de
cada cambio. Esta práctica es importante, ya que los cambios en los ajustes pueden afectar a otros
recursos, y los registros mencionados ayudarán a determinar los efectos de cada cambio y valorar
si son necesarios cambios adicionales.
● Realizar una comparación entre los programas que se ejecutan en la red y aquellos que se ejecutan
localmente. Esto permitirá discernir si los componentes de la red pueden estar asociados en parte
a los problemas de rendimiento.
● Prestar atención a los registros de sucesos; algunos problemas de rendimiento generan una salida
que puede visualizarse en el Visor de sucesos.
● Bajo ciertas condiciones, las herramientas de rendimiento aumentarán la carga del sistema. Si se
observa que éste es el problema, puede reducirse de la siguiente forma:
❍ Siendo selectivo con los objetos y contadores que se pretenda observar. Cuantos más se

Capítulo 21
usen, mayor será la sobrecarga.

❍ No ejecutando el Monitor de sistema con la vista gráfica. Esta vista produce la mayor
sobrecarga.
❍ Especificando intervalos de muestreo de 3 o más segundos; cualquier intervalo menor que
3 segundos es demasiado frecuente.

❍ Ejecutando Registros y alertas de rendimiento en lugar de la gráfica del Monitor de
sistema. - Reduciendo la cantidad de espacio de disco usada por los archivos de registro,
ampliando el intervalo de actualización y guardando el registro histórico en un disco
distinto del que se está observando.
● Cuando se encuentre haciendo un registro histórico a través de Registros y alertas de rendimiento,
deben excluirse los tiempos de arranque de los sucesos. Los tiempos de arranque de los sucesos
tienden a sesgar los resultados de rendimiento generales, dado que producen de forma temporal
valores elevados.
● Cuando se guarde la configuración de las herramientas de rendimiento en un archivo justo
después de completar la configuración, hay que guardar el archivo con un nombre distinto de
Perfmon.msc. Si no, se estará cambiando permanentemente la configuración de las herramientas
de rendimiento de la computadora.
Selección de un método de observación
Si se necesita observar un suceso del sistema cuando éste se está produciendo, se puede utilizar la gráfica
del Monitor de sistema. Las gráficas son muy útiles para observaciones en tiempo real a corto plazo de
una computadora remota o local. Hay que elegir el intervalo de actualización que mejor capture la
información del tipo de actividad que se esté observando. Los registros de rendimiento están orientados
al almacenamiento de información y la observación a largo plazo. Puede exportarse información de
registros históricos y usarse para generar informes, y también puede visualizarse la información como
gráficas o histogramas en el Monitor de sistema. Hacer un registro histórico de esta forma resulta más
práctico cuando se necesita observar varias computadoras a la vez.
Determinación del tiempo de observación
Para registros históricos rutinarios de registros de datos, puede comenzarse poniendo a 15 minutos el
valor en Tomar datos de muestra cada. Para visualizar esta opción, hay que visualizar la ventana
Propiedades del registro de contador específico. Este intervalo puede ajustarse al tipo de información al
que quiere hacer un seguimiento. Si la memoria queda mermada, por ejemplo, puede utilizarse un
intervalo de tiempo superior. Otra consideración es la duración media de tiempo que se observa un
sistema. Si se realizan observaciones durante menos de 4 horas, un intervalo de 15 minutos es aceptable.
Si se realizan observaciones durante 8 horas o más, no debe introducirse un intervalo de tiempo menor de
5 minutos (300 segundos). La observación a una velocidad frecuente hará que el sistema genere una gran
cantidad de información, lo que producirá archivos de registro muy grandes. Esto también aumentará la
sobrecarga tremendamente.
Observación del uso de la memoria

Capítulo 21
Si se sufren problemas de rendimiento, el primer paso para estudiar el problema es observar el uso que se
hace de la memoria, ya que éste es el factor más importante en el rendimiento del sistema. Si el sistema
se encuentra paginando frecuentemente, puede disponer de poca memoria en la máquina. Algo de
paginación es bueno, puesto que ayuda a expandir la memoria de algún modo, pero un exceso de
paginación es una carga para el rendimiento del sistema.
La paginación se utiliza para liberar memoria para otros usos moviendo bloques de datos
y código de un tamaño fijo desde la RAM hasta el disco en unidades denominadas
páginas.
Antes de empezar a observar el uso que se hace de la memoria, deben comprobarse algunas cosas. Por
ejemplo, que el sistema tiene la cantidad de memoria recomendada para poder ejecutar el sistema
operativo, así como otras aplicaciones y servicios. Si no se conoce cuáles son los requisitos de memoria
para un proceso, podría averiguarse su conjunto de trabajo dentro del Monitor de sistema, cerrar el
proceso y observar el efecto en la actividad de paginación. La cantidad de memoria que se libera cuando
se cierra un proceso coincide con la cantidad de memoria que el proceso estaba usando.
El conjunto de trabajo es la porción de memoria física asignada a cada programa que se

ejecuta en la computadora.
Se puede producir un exceso de paginación cuando la instalación de Windows 2000 configura el sistema
con los parámetros que optimizan el compartimiento de archivos. En algunos casos, esto puede
incrementar significativamente la paginación, porque hace que el sistema mantenga un conjunto de
trabajo caché del sistema. Si no se utiliza el servidor para el compartimiento de archivos, puede reducirse
la cantidad de paginación en el servidor deshabilitando los parámetros de compartimiento de archivos.
Para ello, hay que seguir los pasos siguientes:
1. En el menú de Inicio, marcar Configuración y a continuación elegir Conexiones de red y Acceso

telefónico.
2. Pulsar con el botón derecho del ratón sobre el área de conexión local y seleccionar Propiedades
del menú rápido.
3. En los componentes de red marcados para esta conexión, resaltar Compartir impresoras y archivos
para redes Microsoft y presionar sobre el botón Propiedades.
4. En el área de Optimización del servidor, la opción Maximizar el rendimiento para compartir
archivos se encuentra seleccionada de manera predeterminada. Seleccionar en su lugar Maximizar
el rendimiento para aplicaciones de red. Esta acción reducirá la actividad de paginación del
sistema.
Contadores recomendados
Para condiciones en las que haya poca memoria, conviene realizar el seguimiento con los contadores de

Capítulo 21
memoria. Para buscar posibles caídas de memoria o cuellos de botella, debe hacerse uso de estos
contadores:
● Memoria\Páginas/s: Muestra el número de páginas leídas o escritas en disco para resolver fallos
de paginación graves. Un fallo de paginación grave ocurre cuando un proceso requiere código o
datos que deben ser recuperados desde el disco en vez de desde su conjunto de trabajo o desde
algún sitio de memoria. Si el valor es superior a 20, deberán investigarse las actividades de
paginación y hacer ajustes si fuera necesario. Un valor alto para este contador podría indicar más
un problema de paginación que un problema de memoria.
● Memoria\Bytes comprometidos: Muestra la cantidad de bytes comprometidos de la memoria
virtual del sistema y es una cuenta instantánea. Si se sospecha que existe una merma en la
memoria, conviene observar durante un periodo de tiempo este contador, conjuntamente con el de
Memoria\Bytes disponibles.
● Memoria\Bytes de memoria no paginables: Muestra el número de bytes asignados a la memoria
no paginable para objetos que no pueden ser escritos en disco, pero que deben permanecer
siempre en la memoria principal desde su asignación Si este valor es alto, el sistema necesitará
memoria adicional. Si se sospecha que un proceso que se ejecuta en modo Kernel es la causa de la
merma de memoria, debe utilizarse este contador conjuntamente con Memoria\ Asignaciones de
memoria no paginable.
● Memoria\Asignaciones de memoria no paginable: Muestra el número de llamadas para asignar
espacio en la memoria no paginable del sistema. Este contador se utiliza conjuntamente con
Memoria\Bytes de memoria no paginables para determinar si se tiene una merma de memoria.
● Servidor\Bytes recibidos/s: Muestra el número de bytes que la máquina ha recibido o enviado a
través de la red. Indica el grado de ocupación del servidor. Si se observa un incremento dramático
y sostenido de este valor, se necesitará aumentar la memoria.
● Servidor\Bytes de memoria paginable: Muestra el número de bytes de memoria paginable del
equipo que está utilizando actualmente el servidor. Esta información puede utilizarse para
determinar los valores idóneos para el parámetro del registro de Windows 2000
MaxPagedMemoryUsage.
● Servidor\Bytes de memoria no paginable: Muestra el número de bytes de memoria no
paginable del equipo que está utilizando actualmente el servidor. Esta información puede
utilizarse para determinar los valores idóneos para el parámetro del registro de Windows 2000
MaxNonpagedMemoryUsage.
Para observar una condición de memoria baja, se hace uso de estos contadores:
● Memoria\Bytes disponibles: Windows 2000 utiliza los bytes libres para satisfacer los
requerimientos de memoria de los programas. Cuando los bytes libres escasean, la escasez se
suple cogiendo memoria de los conjuntos de trabajo de los programas menos activos. A
continuación, se notará un incremento en el conjunto de trabajo de un programa y un ligero
descenso en los valores de otros programas. El resultado es un incremento en la paginación que
penaliza el rendimiento. Para resolver este problema, se necesitará incrementar la memoria de la
máquina.

Capítulo 21
● Memoria\Bytes de caché: Muestra el número de bytes que se usa por el archivo de la caché del
sistema. Este contador se utiliza conjuntamente con Memoria\Bytes disponibles. Si el valor para
Memoria\Bytes de caché se sitúa por encima de los 4Mb, se necesitará añadir más memoria a la
máquina
● Disco físico\% Tiempo de disco y Disco Físico\Long. Media de la cola de disco: Estos
contadores pueden indicar un déficit de memoria cuando se usan conjuntamente con
Memoria\Páginas/s. Si un incremento en la longitud de la cola no se ve acompañado por un
decremento en el valor de Memoria\Páginas/s, entonces no existe tal déficit.
Para comprobar si existe una paginación excesiva, hay que observar los siguientes contadores:
● Archivo de paginación\% Uso (todas las instancias): Los archivos de paginación se comparten
por cada proceso y se utilizan para almacenar páginas de memoria en el sistema. Si se sospecha
que la paginación es la culpable del cuello de botella, resulta útil revisar este dato conjuntamente
con Memoria\Bytes disponibles y Memoria\Páginas/s. El valor umbral aceptable para este valor es
99%. Es necesario aumentar Pagefile.sys si el valor se incrementa al 100%.
● Archivo de paginación\% Uso máximo: Si el valor para este contador se aproxima al máximo
parámetro de configuración del archivo de paginación, se deberá aumentar Pagefile.sys.
● Disco físico\Media en segundos/Transferencia y Memoria\Páginas/s: El contador
DiscoFísico\Media en segundos/Transferencia muestra la media de transferencias a disco en
segundos. El contador MemoriaPáginas/s muestra el número de páginas escritas o leídas desde el
disco cuando un proceso requiere información que ya no se encuentra en su conjunto de trabajo y
debe ser recuperada desde el disco. Para ayudar a determinar si el sistema está paginando en
exceso, hay que multiplicar el valor de estos dos contadores. Si el resultado excede de 0,1, la
paginación está ocupando más del 10 por 100 del tiempo de los accesos a disco. Si esta situación
persiste durante un largo periodo de tiempo, se necesitará memoria adicional.
Sugerencias para el ajuste y progresión del componente de memoria
Si se están sufriendo problemas con la memoria, deben comprobarse las siguientes posibilidades:
● Archivo de paginación: Hay que asegurarse de que el archivo de paginación tiene el tamaño
correcto, así como de crear múltiples archivos de paginación para reducir la paginación excesiva.
También puede dividirse el archivo de paginación entre varios discos de velocidades parecidas
para incrementar el tiempo de acceso.
Cuando el archivo de paginación alcanza el límite máximo que tiene asociado, se visualiza un
aviso y se puede detener el sistema.
● Memoria física: Es necesario aumentar la memoria física por encima del mínimo requerido.
● Parámetros de configuración de memoria: Debe comprobarse que los parámetros de
configuración de la memoria están configurados correctamente.
● Programas de memoria intensivos: Los programas que hacen un uso intensivo de la memoria
deben ejecutarse cuando la carga del sistema sea pequeña o en computadoras de alto rendimiento.

Capítulo 21
Observación de la actividad del procesador
Cuando se haga un seguimiento del uso del procesador, habrá que considerar el rol de la computadora y
el trabajo que se encuentra realizando. Los valores de procesador altos pueden significar que la máquina
se está encargando de manejar la sobrecarga del sistema de una manera eficiente o que, al contrario, ésta
está luchando para continuar.
Cuando se produce un cuello de botella porque las hebras de un proceso necesitan más ciclos de
procesador de los que hay disponibles, se forman grandes colas de petición de uso del procesador,
haciendo que el sistema sufra para responder. Las dos causas más comunes de un cuello de botella en el
procesador son el exceso de demanda de uso del procesador por parte de los programas ligados a la CPU
y el exceso de interrupciones generadas por los controladores o los componentes del subsistema, como
por ejemplo, un disco o los componentes de red.
Contadores mínimos recomendados
La siguiente lista muestra los contadores mínimos recomendados que se deberían utilizar para hacer un
seguimiento de los posibles cuellos de botella del procesador del servidor:
● Sistema\Longitud de la cola del procesador (todas las instancias) Una longitud continuada
superior a dos generalmente indica una congestión del procesador. Dado que éste es un contador
instantáneo, la única forma de conseguir un análisis preciso es observando este valor durante
varios intervalos.
● Colas de trabajo del servidor\Longitud de cola Una longitud de cola sostenida mayor de cuatro
puede indicar congestión del procesador.
● Procesador\Interrupciones/s Este contador puede utilizarse para averiguar si la actividad de las
interrupciones está causando un cuello de botella. Si se observa un incremento dramático de este
contador sin un incremento correspondiente en la actividad del sistema, probablemente se trate de
un problema de hardware. Para resolver el problema, se necesitará encontrar el adaptador de redes
a otro dispositivo que esté causando las interrupciones. Es necesario remitirse a las
especificaciones del fabricante para averiguar el valor umbral del procesador que se considere
aceptable.
● Procesador\% de tiempo de interrupción Este contador visualiza el porcentaje de tiempo que el
procesador pasa enviando y atendiendo interrupciones hardware durante el intervalo de muestreo.
Este valor da una indicación general de las actividades de los dispositivos que generan las
interrupciones, como por ejemplo, unidades de disco, adaptadores de redes y otros dispositivos
periféricos. Estos dispositivos interrumpen al procesador cuando requieren su atención o
completan una tarea. Debe observarse si se producen incrementos dramáticos en el valor sin que
se produzca un incremento correspondiente en la actividad del sistema.
Para hacer un seguimiento de los posibles problemas de uso, deben utilizarse los contadores:

Capítulo 21
● Procesador\% tiempo de procesador (todas las instancias) Este contador se utiliza para
descubrir algún proceso que utilice más del 85 por 100 del tiempo del procesador Puede sugerir la
instalación de un procesador adicional o la actualización a uno más rápido.
● Procesador\% tiempo de usuario Realiza un seguimiento del porcentaje de tiempo de
procesador empleado en modo usuario con subprocesos activos. Un porcentaje alto podría indicar
la necesidad de actualizarse o añadir procesadores adicionales. Este contador debe utilizarse
conjuntamente con Procesador\% tiempo de procesador (todas las instancias).
● Procesador\% tiempo privilegiado Hace un seguimiento del porcentaje de tiempo de procesador
designado para los controladores de manipulación hardware y los componentes del sistema
operativo con subprocesos activos. Un porcentaje elevado podría atribuirse a un gran número de
interrupciones generadas por un dispositivo que está fallando. Este contador debe utilizarse
conjuntamente con el contador Proceso/% tiempo de procesador (todas las instancias).
Sugerencias para el ajuste y progresión del componente procesador
Para resolver problemas que se estén experimentado con el procesador, pueden intentarse las siguientes
recomendaciones:
● Actualización del procesador: Hay que actualizarse a un procesador más rápido, sustituir un
procesador que falle o añadir otro procesador a la máquina, especialmente si se están ejecutando
programas multihebrados.
● Ajuste de la carga del sistema: Hay que distribuir los programas de forma más eficiente entre
los servidores, o programar los programas para que se ejecuten a horas en las que el sistema no
esté tan sobrecargado.
● Gestión de la afinidad de procesador en las computadoras multiprocesador: La gestión de la
afinidad de los procesadores con respecto a las interrupciones y las hebras de los procesos puede
suponer una mejora en el rendimiento, ya que reduce el número de volcados de la memoria caché
del procesador durante el movimiento de hebras de un procesador a otro.
Se selecciona afinidad para un determinado proceso o programa cuando se asigna a un

único procesador para mejorar su rendimiento, a costa de los otros procesadores. Hay
que tener en cuenta que cuando se dedica un proceso o programa a un procesador, a los
otros hilos de programa pueden que no se les permita migrar al procesador menos
ocupado. La afinidad puede configurarse en la Barra de tareas y sólo se encuentra
disponible en sistemas multiprocesador.
Observación de la actividad de disco
La observación del uso de disco ayuda a equilibrar la carga de los servidores de red. Cuando se realiza un
seguimiento del rendimiento de un disco, conviene hacer un registro histórico de los datos de
rendimiento a otro disco o computadora para evitar sesgar los datos del disco que se están observando.

Capítulo 21
El sistema operativo toma los datos del contador de Disco físico usando de manera
predeterminada el comando Diskperf-yd. Esto no se aplica a los datos del contador de
Disco lógico. Para obtener datos del contador de rendimiento de las unidades lógicas,
debe teclear Diskperf-yv en el indicativo de órdenes. Este comando hace que el
controlador que recoge datos sobre el rendimiento de disco se encargue de mostrar datos
sobre las unidades lógicas. Para obtener información adicional sobre el comando
Diskperf, hay que escribir diskperf-? en el inductor de comandos.
La lista siguiente muestra el número de contadores mínimos que deberían usarse para hacer un
seguimiento del rendimiento de disco del servidor en busca de posibles cuellos de botella:
● Disco físico\Longitud actual de la cola de disco (todas las instancias): Muestra el número de
peticiones que se encuentran esperando para acceder al disco. Este número debería oscilar más o
menos entre no más de 1,5 ó 2 veces del número de ejes que constituyen el disco físico. La
mayoría de los discos tienen un único eje. La excepción son los dispositivos de disposición
redundante de discos independientes (RAID), que normalmente tienen más de un eje. Es necesario
observar este valor durante varios intervalos, dado que se trata de un valor instantáneo.
● Disco físico\% tiempo de disco: Indica cómo de ocupadas se encuentran las unidades de disco
del servidor mostrando el porcentaje de tiempo que una unidad está activa. Si el valor de este
contador se eleva por encima del 90 por 100 o si se encuentra utilizando un dispositivo RAID,
debe comprobarse el registro Disco físico\Longitud actual de la cola de disco para ver cuántas
peticiones se encuentran pugnando por el acceso a disco.
● Disco físico\Media en segundos/Transferencia: Muestra la cantidad de tiempo que le lleva a un
disco completar una petición. Un valor alto podría indicar que el controlador de disco se
encuentra continuamente intentando acceder al disco como consecuencia de los errores. Para la
mayoría de los sistemas, un valor de 0,3 segundos o superior indica una media de tiempo de
transferencia de disco alta.
Para observar posibles problemas de uso, deben utilizarse los contadores:
● Disco físico\Media de bytes/Transferencia: Muestra la media del número de bytes que se

transfieren desde o hasta el disco durante las operaciones de lectura/escritura.
● Disco físico\Lecturas/s y Escrituras/s: Estos contadores pueden ayudar a equilibrar la cantidad
de trabajo de los servidores de red. Hay que asegurarse de que la tasa de transferencia del disco no
supere las especificaciones recomendadas por el fabricante.
Sugerencias para el ajuste y progresión de la actividad de disco
Si se sufre problemas con respecto al rendimiento del disco, hay que intentar las siguientes soluciones:

Capítulo 21
● Instalar el último controlador software para los adaptadores de red para mejorar la eficiencia de
acceso al disco.
● Instalar discos adicionales o actualizar el disco duro a uno más rápido. Hay que actualizar también
al mismo tiempo el controlador de disco y el bus.
● En servidores, crear volúmenes repartidos en varios discos físicos para incrementar la
productividad.
● Distribuir las aplicaciones entre varios servidores para equilibrar la carga de trabajo.
● Optimizar el espacio de disco ejecutando el Desfragmentador de disco.
● Aislar las tareas que requieran un uso intensivo de Entrada/Salida para separar los controladores
de disco o discos físicos para poder equilibrar la carga de trabajo del servidor.
Seguimiento de la actividad de red
El seguimiento de la red consiste en observar el uso de los recursos del servidor y medir el tráfico de red
en general. Aunque se puede seguir con el Monitor de sistema, el Monitor de red, aporta un análisis del
tráfico más detallado.
Hay que comenzar a observar el sistema haciendo un seguimiento de los contadores mínimos
recomendados. Se debe observar el uso de los recursos en su sistema. Hay que utilizar los contadores
correspondientes a las distintas capas de la configuración de la red para concentrarse en el uso de los
recursos relativos de las capas de red. Los valores de los contadores de red anormales posiblemente
indiquen problemas con el procesador, memoria o discos duros del servidor. Recomendamos que se
observen los contadores de red conjuntamente con Memoria\Páginas/s, Procesador\% Tiempo de
procesador y Disco Físico\% Tiempo de disco. Por ejemplo, si Memoria\Páginas/s se incrementa
dramáticamente y viene acompañado de un decremento de Memoria\Bytes recibidos/s controlados por el
servidor, el sistema se encuentre probablemente bajo de memoria física para las operaciones de red.
La siguiente lista muestra los contadores mínimos recomendados para hacer un seguimiento del
rendimiento de la red para detectar posibles cuellos de botella:
● Servidor\Uso máximo de la memoria paginable Indica la cantidad de memoria física y del

máximo archivo de paginación. El umbral aceptable es la cantidad de memoria RAM.
Para observar posibles problemas de uso, hay que utilizar los siguientes contadores:
● Servidor\Total de bytes/s Indica el número de bytes que el servidor ha enviado y recibido de la

red. Este valor resulta útil cuando se quiere saber cómo de ocupado se encuentra el servidor.
Puede que se necesite segmentar la red si la suma de todos los servidores de Total de bytes/s se
acerca a la máxima tasa de transferencia de la red.
● Servidor\Carencias de elementos de trabajo Indica el número de veces que no hay disponibles

Capítulo 21
elementos de trabajo para las peticiones de servicio entrantes. Considera el ajuste de

InitWorkItems o MaxWorkItems en la clave de registro HKEY LOCAL
MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer si el valor del contador alcanza
o supera el umbral de 3.
Sugerencias para el ajuste y progresión de la actividad de red
Hay que probar las siguientes soluciones si se están experimentando problemas con el rendimiento de la
red:
● Para aumentar significativamente el rendimiento, hay que desenlazar los adaptadores de red que
no se usen frecuentemente y actualizar cada adaptador de red a uno de alto rendimiento.
● Cuando se configura la red, hay que asegurarse de que los sistemas compartidos por el mismo
grupo de usuarios se encuentran en la misma subred.
● Instalar múltiples adaptadores de red para incrementar la productividad del sistema compartido de
archivos.
● Ejecutar la orden con la que la estación de trabajo y el software NetBIOS se enlazan a cada
protocolo cuando se esté usando más de un protocolo. El tiempo de conexión promedio se reduce
cuando el protocolo que se utiliza más frecuentemente se coloca primero en la lista de enlace.
El Monitor de Red
El Monitor de red se utiliza para capturar y visualizar estadísticas sobre las tramas que el servidor recibe
de la LAN. El Monitor de red resuelve problemas de red y ayuda a analizar el tráfico de red. Sólo se
puede instalar el Monitor de Red en el servidor.
El Monitor de red está formado por dos componentes: el propio Monitor de red y el controlador del
Monitor de red; ambos se deben instalar en el servidor que se encuentre ejecutando el Monitor de red
para que pueda capturar tramas. El controlador del Monitor de red permite al Monitor de red recibir
tramas procedentes del adaptador de red. El controlador sólo se puede instalar en máquinas que corran
bajo Windows 2000 Server o Windows 2000 Professional.
Systems Management Server (SMS) del Monitor de red 2 pone el adaptador de red en
modo promiscuo, lo cual significa que el adaptador lee todas las tramas (paquetes) que
recibe de la red, en lugar de sólo las que van dirigidas a él.

Capítulo 21
El Monitor de red y el Controlador

del monitor de red pueden instalarse
de dos formas. Ambos se pueden
instalar cuando se instala el sistema
operativo Windows 2000 Server. O
si se prefiere instalarlos después, se
puede instalar el Monitor de red
abriendo Agregar o quitar
programas en el Panel de control y
seleccionando Agregar/quitar
componentes de Windows.
Posteriormente, y de forma
separada, tendrá que instalarse el
controlador del Monitor de red
situándose en el menú
Configuración de Conexiones de
red y acceso telefónico y eligiendo
Propiedades de la conexión de área
local.
Una trama (frame) es una porción de información del flujo de datos de la red que ha sido dividido en
pequeños trozos por el software de red y se envía a través del cable. El Monitor de red permite capturar
tramas directamente desde la red. Permite visualizar, filtrar, guardar a imprimir las tramas capturadas
para ayudar a identificar los patrones del tráfico de red y los problemas de la red. Una trama se compone
de los elementos siguientes:
● La dirección de origen de la máquina que envió la trama. La dirección de origen es un número

hexadecimal único que identifica a la máquina emisora.
● La dirección de destino de la máquina que recibió la trama. La dirección de destino es un número
hexadecimal único que identifica a la máquina receptora.
● La dirección de cabecera para el protocolo que envió la trama.
● La información real que se envió a la máquina receptora.
El Monitor de red de Windows 2000 almacena la información capturada en un archivo de captura

temporal. Cuando guarda el archivo de captura, se le otorga la extensión .CAP, pudiéndose visualizar los
archivos capturados con el Monitor de red.
Para aislar un subconjunto de tramas, es necesario diseñar un filtro de captura. Los filtros de captura se
comportan como las consultas de base de datos que se usan para aislar determinada información. Las
tramas se pueden filtrar atendiendo a varias opciones como protocolos, propiedades del protocolo y
direcciones de origen y destino. También puede configurarse una captura para que responda a ciertas
condiciones diseñando un desencadenador de captura que sea detectado por el Monitor de red.

Capítulo 21
Visualización de la ventana Visor de tramas
Antes de empezar a capturar tramas, debe elegirse la interfaz de red correcta. Es importante darse cuenta
de que todas las interfaces de red, incluidos los módems, se encuentran incluidas en la lista de interfaces
de red. Para especificar la interfaz de red, hay que ir a Redes en el menú Capturar en la ventana de
captura.
Para capturar tramas desde la ventana de captura, existen tres opciones: puede pulsarse sobre el botón
Iniciar captura de la barra de herramientas, elegir Iniciar desde el menú de Captura, o presionar la tecla
F10. Para examinar las tramas, se necesitará parar la captura de la sesión actual de alguno de los
siguientes modos: seleccionando Detener y Ver desde el menú Capturar, pulsando sobre el botón Detener
captura de la barra de herramientas, o presionando la tecla de función F1 1. Si no se selecciona Detener y
Ver, puede verse la ventana Visor de tramas presionando la tecla de función F12.
La ventana Visor de tramas se usa para visualizar los contenidos de las tramas capturadas. La
información capturada puede visualizarse eligiendo Detener y Ver en el menú Capturar durante la
captura de datos. Es posible hacer un zoom sobre un panel específico de la ventana Visor de tramas
seleccionando el panel y eligiendo Panel de zoom en el menú Ventana. Esto hace aparecer una marca
próxima a la opción Zoom del menú Ventana. La ventana Visor de tramas tiene tres paneles:
● El panel de sumario muestra información general sobre las tramas en el orden en que fueron
capturadas.
● El panel de detalle muestra los contenidos de las tramas, incluyendo los protocolos utilizados para
enviarlas.
● El panel de hexadecimal muestra la representación ASCII y hexadecimal de la información que se
captura.
Visualización de la ventana de captura
Las estadísticas de las tramas capturadas se muestran en la ventana de captura. La ventana de captura
tiene cuatro paneles que muestran estadísticas de las tramas:

Capítulo 21
● El panel gráfico muestra

gráficamente estadísticas
de captura totales de la
actividad de red actual,
como el porcentaje de
recursos de red
disponibles en uso por la
captura actual y el
número de tramas, bytes,
difusiones y
multidifusiones que la
red transmite por
segundo. Este panel se
visualiza en la parte
superior izquierda de
manera predeterminada.
● El panel de estadísticas de la sesión (el panel central situado a la izquierda en la figura) muestra
las estadísticas correspondientes a las sesiones de red individuales. Se identifica a los
participantes de la sesión y se muestra la cantidad de información que se pasan en ambas
direcciones. El panel de estadísticas de la sesión incluye información como la dirección de red del
primer participante, visualizada como Dirección de red l; la dirección de red del segundo
participante, mostrada como Dirección de red 2; el número de tramas enviadas desde la dirección
visualizada como Dirección de red 1 a la dirección visualizada como Dirección de red 2, mostrada
como 1-->2; y el número de tramas enviadas desde la dirección visualizada como Dirección de
red 2 a la dirección visualizada como Dirección de red 1, mostrada como 1<--2;
● El panel de las estadísticas de estación (en la parte de abajo en la figura) muestra estadísticas
sobre las actividades que ocurren desde o hasta la máquina local mientras se ejecuta el Monitor de
red. Este panel se visualiza en la parte inferior de la pantalla de manera predeterminada a incluye
la dirección de red desde la que se capturaron las tramas, el número de tramas y bytes enviados
por la dirección de red, el número de tramas y de bytes recibidos por la dirección de red, y el
número de tramas, direcciones múltiples y difusiones enviadas por la dirección de red a otras
computadoras de la red. Al igual que en el panel de estadísticas de la sesión, en este panel sólo se
reflejan las primeras 128 direcciones únicas.
● El panel de estadísticas totales (el panel derecho en la figura) resume la actividad de red detectada
en general desde el momento en que comenzó el proceso de captura. No todos los adaptadores de
red soportan todas las estadísticas que se muestran en este panel. Si esto ocurre, la etiqueta de la
estadística se reemplazará por < No soportado». Este panel se muestra en la esquina superior
derecha de la ventana de captura de manera predeterminada. El panel de estadísticas totales se
compone de cinco paneles:
❍ Las estadísticas de red muestran estadísticas sobre la cantidad total de tráfico generado
desde que comenzó la captura actual en el Monitor de red. Estas estadísticas incluyen el
número total de tramas descartadas, así como el número total de tramas, difusiones,
multidifusiones y bytes enviados a la red. También se muestra el Estado de la red. En una

Capítulo 21
red Ethernet, el estado siempre será normal, y en una Token-Ring reflejará el estado del
anillo.
❍ Las estadísticas capturadas muestran estadísticas de la captura que se está llevando a cabo
actualmente. Estas estadísticas incluyen el número total de tramas y bytes capturados, el
número total de tramas y bytes en el archivo de captura temporal, el porcentaje del búfer
asignado que se está utilizando, el número de tramas descartadas por el Monitor de red, así
como cuándo se supera el espacio del búfer asignado.
❍ Las estadísticas por segundo reflejan medias de la actividad en curso y se actualiza
constantemente para reflejar la actividad por segundo. Todas las tramas, incluso las
excluidas por un filtro, se incluyen en estas estadísticas. Las estadísticas mostradas en este
panel incluyen el porcentaje medio de utilización de la red y la media por segundo de
tramas, bytes, número de difusiones y número de difusiones múltiples que se detectan
desde que comenzó el proceso de captura.
❍ Las estadísticas de tarjeta de red (MAC) reflejan la actividad media reflejada por el
adaptador de red desde que comenzó la sesión actual de captura. Estas estadísticas
incluyen el número total de tramas, número de difusiones, difusiones múltiples y bytes
detectados por la tarjeta adaptadora de red.
❍ Las estadísticas de error de la tarjeta de red (MAC) muestran los errores de la tarjeta
adaptadora de red ocurridos desde el comienzo de la actual sesión de captura. Estas
estadísticas incluyen el número de errores que se produjeron porque los bytes recibidos no
se ajustaron a la comprobación de redundancia cíclica (Cyclical Redundancy Check, CRC)
y al número de tramas que se detectaron pero que se descartaron por la tarjeta adaptadora
de red, bien por la falta de espacio suficiente en el búfer del Monitor de red, o bien como
consecuencia de las restricciones del hardware.
Configuración y personalización del Monitor de red
Para poder ejecutar el Monitor de red, debe haberse iniciado una sesión como usuario con derechos de
administración. El Monitor de red, tal y como se describe en esta sección, se puede personalizar de
muchas formas para ajustarse a cada necesidad.
Modificación del búfer de captura
Para ajustar el tamaño del búfer de captura en el

Monitor de red, hay que elegir Configuración de búfer
en el menú Capturar. Se pueden ajustar las opciones
Tamaño del búfer (MB) o Tamaño de la trama (bytes)
en el cuadro de diálogo Capturar configuración del
búfer. El tamaño del búfer y el tamaño de la trama se
pueden reducir si los recursos del sistema disminuyen
mientras se encuentra capturando información a través
del Monitor de red. Hay que asegurarse de que la
configuración del búfer no exceda la cantidad de memoria física disponible en el sistema, ya que el

Capítulo 21
intercambio de memoria puede causar el descarte de tramas.
Visualización de nombres de direcciones
Para visualizar en el Monitor de red nombres de direcciones en lugar de direcciones de red

hexadecimales, hay que elegir Nombres de direcciones en el menú de Opciones. Cuando esta opción está
activa, aparece una marca junto a Mostrar nombres de direcciones. Esta opción resulta muy útil para el
Administrador, ya que hace que el Monitor de red sustituya las direcciones hexadecimales de las
computadoras desde las que se están recibiendo tramas por los nombres de las máquinas designadas por
los usuarios.
Creación de una base de datos de direcciones
A menudo se tendrán que capturar tramas que se originaron o se enviaron a computadoras específicas.
Para esto, habrá que conocer las direcciones de las computadoras de la red. La dirección IP de una
computadora se puede encontrar de dos formas: usando el comando Ping o usando el mecanismo que
ofrece el Monitor de red para asociar las direcciones de las computadoras de red con sus nombres
definidos por los usuarios. Si se utiliza el mecanismo que ofrece el Monitor de red, se puede, una vez que
se realice la asociación, guardar la información en una base de datos de direcciones y posteriormente
usarla para diseñar, visualizar o capturar filtros.
Para crear una base de datos de direcciones, hay que ir a Encontrar todos los nombres en el menú
Visualizar en la ventana Visor de tramas. El sistema puede tardar unos minutos en procesar la
información de las tramas actuales. Para visualizar las direcciones, hay que elegir Direcciones en el menú
Visualizar en la ventana Visor de tramas. Hay que guardar la base de datos en un archivo si se desea
utilizar las direcciones para diseñar filtros en el futuro.
Visualización del nombre del vendedor de la tarjeta de red
Para reemplazar las direcciones hexadecimales de la computadora por los nombres de los proveedores de
las tarjetas adaptadoras de red en las computadoras en las que se han capturado tramas, en Monitor de
red, hay que elegir Mostrar nombres de proveedores en el menú Opciones. Cuando esta opción se
encuentra activada, aparece una marca a su lado.
Adición de un analizador de protocolo
El Monitor de red utiliza programas denominados analizadores de protocolo para separar la información
de protocolo en partes más pequeñas y poder así actuar en base a esta información. Cada analizador
puede analizar un protocolo o una familia de protocolos. Se pueden añadir las DLL de analizadores del
Monitor de red 1.2 al Monitor de red 2. Para añadir un analizador de protocolo, hay que seguir los pasos
siguientes:

Capítulo 21
1. Copiar el archivo del analizador a la carpeta %SystemRoot%\System32\Netmon\Parsers cuando

no se esté ejecutando el Monitor de red. El archivo del analizador debe tener una extensión .DLL
2. Buscar y abrir Parser.ini en la carpeta %SystemRoot%\System32\Netmon. A continuación,
introducir en este archivo la información sobre el analizador que se pretenda añadir.
3. Iniciar el Monitor de red, cerrar todas las ventanas de visualización de tramas y elegir
Analizadores predeterminados en el menú de Opciones.
4. Aparece una ventana de advertencia sobre la deshabilitación de protocolos a través de esta opción.
Presionar Sí.
5. La lista de protocolos habilitados aparece bajo Analizadores de protocolos habilitados en el
cuadro de diálogo Analizadores de protocolo (Figura 32.21 de la página siguiente). Todos los
analizadores que se encuentren bajo la subcarpeta %SystemRoot%\System32\Netmon\Parsers se
activan de manera predeterminada.
6. El nombre del Analizador que acaba de añadirse a la carpeta %SystemRoot%\
System32\Netmon\Parsers aparece bajo Analizadores de protocolo deshabilitados. Hacer clic
sobre el nombre y sobre Habilitar. El nombre del protocolo debería moverse al cuadro
Analizadores de protocolo habilitados.
7. Si se quiere que el nuevo analizador se incluya en la configuración predeterminada, hay que
seleccionar la opción Guardar como predeterminado.
Es importante verificar que el analizador funciona correctamente. Si el analizador está tratando las
tramas apropiadamente, el protocolo aparecerá en la columna de protocolo del panel de sumario en la
ventana Visor de tramas.
Adición de una trama de comentario a una captura
Las trama de comentario son una herramienta muy útil para añadir comentarios o información a un
archivo de captura dentro del Visor de tramas del Visor de red. Por ejemplo, se pueden utilizar tramas de
comentario para marcar los puntos de inicio y de fin de un grupo de paquetes. El protocolo Trail está
contenido en la trama de comentario a incluye información como el ancho de banda y el número de
tramas consumidas.
Para añadir una trama de comentario, hay que elegir Añadir trama de comentario en el menú de
herramientas, o pulsar en el botón derecho del ratón sobre la posición de la columna de trama donde se
quiera insertar la trama de comentario y a continuación elegir Insertar comentario en el menú contextual.
Aparece el cuadro de diálogo Insertar comentario de trama. Las opciones de este cuadro de diálogo son:
● Número de trama La posición de la trama donde el Visor de red coloca la trama de comentario
dentro de la captura. El número de trama predeterminada es el de la posición actual.
● Tipo de trama que se inserta Se ejecuta el analizador de protocolo de Comentario o Marcador
(Bookmark) que se usa para procesar la trama de comentario después de ejecutar el protocolo
Trail.
● Sin estadísticas Deshabilita la generación de estadísticas para la trama con el comentario. Esta
opción aparece seleccionada de manera predeterminada.

Capítulo 21
● Aplicar el filtro actual a las estadísticas Utiliza el filtro de presentación actual para calcular
estadísticas. Esta opción aparece seleccionada de manera predeterminada.
● Escriba un comentario para la trama nueva El texto que se adjunta a la trama mediante el
protocolo especificado en Tipo de trama que se inserta.
Impresión de las tramas capturadas
Para imprimir las tramas capturadas, hay que seleccionar Imprimir en el menú Archivo de la ventana
Visor de tramas. Seguidamente deben seleccionarse las opciones de salida deseadas en la ficha Netmon
del cuadro de diálogo Imprimir. El área de detalles de salida permite especificar la cantidad de detalles
que se quieren imprimir para cada una de las tramas. Las opciones que se presentan incluyen Imprimir
líneas de resumen de la trama, Imprimir detalles de protocolo a Imprimir datos hexadecimales. Se pueden
también aplicar filtros y saltos de página a la salida.
Captura de información de la red
Para comenzar el proceso de captura de tramas, hay que abrir la ventana de captura del Monitor de red y
seleccionar Iniciar dentro del menú Capturar. El Monitor de red comienza entonces a capturar las tramas
enviadas desde la máquina local o enviadas a la máquina local a través del flujo de red y las copia en un
archivo de captura temporal. Para detener la captura de información temporalmente, debe seleccionarse
Pausa en el menú Capturar. Para parar la captura y visualizar las tramas, hay que seleccionar Detener y
Ver en el menú Capturar. Se mostrarán los contenidos de las tramas capturadas para su examen en la
ventana Visor de tramas. El Monitor de red muestra las estadísticas de sesión únicamente para las cien
primeras sesiones de red. Para visualizar la información de las siguientes cien sesiones de red, hay que
seleccionar Borrar estadísticas en el menú Capturar.
Diseño de un filtro de captura
Los filtros de captura deben diseñarse cuando el Monitor de red no esté ejecutándose y no existan tramas
capturadas. Para identificar las tramas de la red que se desea capturar, es necesario especificar un criterio
de captura. Para diseñar un filtro de captura, hay que seleccionar Filtro en el menú Capturar de la ventana
de captura. A continuación hay que seleccionar el criterio a emplear en el diseño de la expresión del filtro
de captura a través de los protocolos de filtros de captura, pares de direcciones y coincidencias de patrón.
Especificación de protocolos de filtros de captura
Los protocolos de filtro se usan cuando se quiere capturar tramas enviadas utilizando un protocolo
específico. Para diseñar protocolos de filtro, hay que seleccionar Filtros en el menú Capturar en la
ventana de captura. Pulse dos veces en la línea predeterminada SAP/ETYPE = Cualquier SAP o
Cualquier ETYPE del árbol de decisión. Cuando se deshabilite el protocolo, la información de esta línea
cambiará para reflejar dichos cambios. Por ejemplo, si se deshabilita el protocolo AppleTalk Address
Resolution Protocol (ARP), la línea cambiará a SAP/ETYPE = Cualquier SAPs o Cualquier ETYPEs o

Capítulo 21
NOT AppleTalk ARP. Puede habilitarse o deshabilitarse para su uso Filtros de Captura SAP y ETYPE en
el filtro de captura en el cuadro de diálogo. La configuración predeterminada habilita todos los
protocolos.
Especificación de pares de direcciones
Para capturar únicamente el tráfico enviado o recibido por algunas computadoras específicas, así como
para excluir el tráfico entre unas computadoras concretas, hay que seleccionar pares de direcciones.
Pueden especificarse hasta tres pares de direcciones.
Para designar los pares de direcciones, hay que seleccionar Filtro desde el menú Capturar en la ventana
de captura. Hay que pulsar dos veces sobre la Y (Pares de direcciones) en el árbol de decisión, y
especificar las propiedades de los pares de direcciones en el cuadro de diálogo expresión de dirección.
Cuando se añade un par de dirección, se muestra bajo la Y (Pares de direcciones) del árbol de decisión.
Un par de dirección puede editarse o borrarse en cualquier momento pulsando sobre el nombre del par de
dirección y después seleccionando Editar o Eliminar del cuadro de diálogo Filtro de captura. Las
propiedades de los pares de dirección se especifican de la siguiente forma:
1. Elegir entre excluir o incluir la información de captura que viaja entre los miembros de los pares
de direcciones que quiere crear.
2. Elegir la primera dirección del cuadro de lista de la Estación 1 y la segunda del cuadro de lista de
la Estación 2. La dirección que se convierte en la dirección origen y la dirección que se convierte
en la dirección destino depende de la flecha que se seleccione en el cuadro de lista Dirección.
3. Elegir una de las tres flechas en el cuadro de lista Dirección para indicar la dirección del tráfico
entre las dos direcciones.
● <--> Esta flecha captura las tramas que viajan en cualquier dirección entre las
computadoras de la Estación 1 y la Estación 2. Ésta es la flecha predeterminada.

● --> Esta flecha captura las tramas que viajan de la Estación 1 a la Estación 2.
● <-- Esta flecha captura las tramas que viajan de la Estación 2 a la Estación 1.
4. Puede modificarse la base de datos de direcciones existente pulsando sobre el botón Modificar
direcciones y después añadiendo, editando o eliminando información.
Difusión y Multidifusión son siempre direcciones destino.
Definición de coincidencias de patrón
Las coincidencias de patrón permiten capturar tramas que constan de un patrón específico en un
determinado desplazamiento. Pueden definirse hasta cuatro coincidencias de patrón.
Para especificar coincidencias de patrones de datos, hay que seleccionar Filtro en el menú Capturar de la
ventana de captura. Hay que pulsar dos veces sobre la línea Y (Coincidencias de patrón) del árbol de
decisión y especificar las propiedades de la coincidencias de los patrones de datos en el cuadro de

Capítulo 21
diálogo Coincidencia de modelo. Cuando se añade una coincidencia de patrón, ésta se visualiza bajo la
línea Y (Coincidencias de patrón) en el árbol de decisión. Las coincidencias de patrón pueden editarse o
eliminarse en cualquier momento pulsando sobre el nombre de la coincidencia de patrón de datos y
seleccionando entonces Modificar o Eliminar en el cuadro de diálogo filtro de captura.
Para definir coincidencias de patrón, hay que introducir el patrón de datos hexadecimal o ASCII que se
quiere hacer coincidir con las tramas capturadas. Entonces, en el cuadro de desplazamiento se introduce
el número hexadecimal que indica el byte donde comienza el patrón. El Monitor de red interpretará el
dato en función de la opción que se especifique en Desde el comienzo de la trama o Desde el final del
encabezado de la topología. El encabezado de la topología es la sección de la trama que se añade a la
topología de la red para identificar el tipo de red. La información, como por ejemplo la dirección origen y
destino de la trama, se incluye en el encabezado de la topología. Por ejemplo, en una red Ethernet se
añaden 14 bytes a la trama en la capa Ethernet. El número de bytes existente en los encabezados de
topología varía en una red en anillo con paso de testigo (Token Ring).
Configuración del desencadenador de capturas
El desencadenador de capturas se utiliza bajo ciertas condiciones para, cuando proceda, iniciar una
acción. Por ejemplo, puede utilizarse un desencadenador para detener la captura de datos y hacer que se
ejecute un programa o comando cuando se cumplan ciertos criterios. Para configurar un desencadenante,
hay que seguir los siguientes pasos:
1. Abrir el Monitor de red desde las Herramientas de administración y escoger el área a la que se
quiere hacer un seguimiento.
2. Elegir Desencadenador en el menú Capturar para abrir el cuadro de diálogo Desencadenador de
capturas.
3. 3. Elegir las opciones del Desencadenador:
● Coincidencia de patrón: Cuando se produce una coincidencia de un patrón ASCII o
hexadecimal específico, se activa el desencadenador.

● Espacio en búfer: Activa el desencadenador cuando una captura llena un porcentaje
específico del búfer de captura.

● Coincidencia de patrón y luego espacio en búfer: Hace que el Monitor de red supervise
el espacio del búfer después de encontrar el modelo especificado y desencadene la acción

si se cumplen ambas condiciones.
● Espacio en búfer y luego coincidencia de patrón: Hace que el Monitor de red detecte
cuándo una captura ha llenado un porcentaje especificado del búfer de captura y después
desencadena la acción cuando se cumplen ambas condiciones.
4. Si se selecciona la opción Coincidencia de patrón y luego espacio en búfer y se establece Espacio
en búfer a 100%, el Monitor de red sobrescribirá la trama que contenga el modelo buscado porque
no empieza a contar el espacio del búfer hasta que se cumple la condición de búsqueda del
modelo.
5. 4. Especificar la acción que se desea realizar en el área de Acción de desencadenador cuando se
cumplan los criterios del desencadenador:

Capítulo 21
Sólo señal audible: El equipo emite un pitido cuando se cumple la condición del
●
desencadenador y el proceso de captura prosigue sin interrupción. Ésta es la opción

predeterminada.
● Detener captura: El proceso de captura se detiene cuando se cumplen las condiciones del
desencadenador.
● Ejecutar línea de comandos: Hace que se ejecute una línea de comando o que se abra un
archivo cuando se cumplen las condiciones del desencadenador. En la línea de comandos

se pueden utilizar hasta 259 caracteres.
6. 5. Pulsar Aceptar cuando se haya acabado.
Diseño de un filtro de presentación
Los filtros de presentación actúan sobre la información que ya se ha capturado y funcionan en gran
medida como las consultas de bases de datos, porque se usan para especificar los tipos de datos
capturados que se vayan a examinar. Se puede indicar qué cantidad de la información capturada se desea
visualizar en la ventana Visor de tramas o qué tipo de información se desea almacenar en un archivo,
como por ejemplo, protocolos o direcciones de computadoras.
El cuadro de diálogo Filtro de presentación
El cuadro de diálogo Filtro de presentación permite modificar el árbol de decisión del filtro de
presentación en la ventana Visor de tramas. La opción de expresión se agrega al árbol de decisión del
filtro de presentación cuando se presiona Aceptar. Existen dos tipos de ramas en el árbol de decisión: la
rama de Protocolo, que muestra los protocolos que desea visualizar, y la rama de Pares de direcciones,
que muestra los pares de direcciones de la computadora que desea visualizar. Las secciones siguientes
describen las distintas opciones disponibles en el cuadro de diálogo Filtro de presentación.
Añadir una expresión: La opción Expresión se encuentra en el grupo Agregar del cuadro de diálogo
Filtro de presentación y se usa para escribir o editar una expresión para especificar protocolos,
propiedades de protocolo, así como los pares de direcciones de computadora que se desea visualizar. Si
se pulsa sobre la pestaña Protocolo o la pestaña Propiedad antes de guardar la expresión concreta en el
árbol de decisión pulsando sobre Aceptar, se perderá la expresión. Pueden especificarse opciones para
tres tipos de categoría, cada una de las cuales es representada por una ficha:
● Ficha Dirección: La ficha Dirección se usa para especificar una dirección que pretende buscar o
para añadir o editar una expresión de dirección dentro del árbol de decisión del filtro de
presentación. También puede visualizarse esta pestaña pulsando dos veces sobre la línea ANY en
el árbol de decisión.
Sólo debe especificarse Difusión, Multidifusión y Funcional como direcciones de destino. Si se
construye una instrucción en la que la dirección de origen es de difusión o multidifusión, se
filtran todas las tramas, ya que son siempre direcciones de destino.
● Ficha Protocolo: Esta ficha se usa para especificar los protocolos que quiera visualizar en el

Capítulo 21
Visor de tramas o para especificar los protocolos en el árbol de decisión del filtro de presentación.
Los cuadros de lista Protocolos habilitados y protocolos deshabilitados muestran el nombre de los
protocolos. Hay que elegir los protocolos que se desea visualizar pulsando sobre los botones de
Habilitar, Deshabilitar, Habilitar todo y Deshabilitar todo. Esta ficha también se puede ver
pulsando dos veces sobre la línea de protocolo del árbol de decisión. La opción predeterminada es
habilitar todos los protocolos.
● Ficha Propiedad: Esta ficha especifica las propiedades de protocolo que se desean buscar o
permite añadir o editar una expresión de propiedad de protocolo al árbol de decisión del filtro de
presentación. Para diseñar propiedades de protocolo, hay que seguir los pasos siguientes:
1. Elegir las propiedades deseadas del cuadro Protocolo:Propiedad. Si aparece un símbolo de
adición al lado del nombre de protocolo, puede expandirse el protocolo para seleccionar
una propiedad de su lista.
2. Seleccionar un operador relacional del cuadro de lista Relación. Se utiliza un operador
relacional para especificar la conexión entre la propiedad de protocolo y sus posibles
valores.
3. Escribir en el cuadro Valor el valor de comparación que quiere utilizarse para la propiedad
resaltada.
Para ciertas propiedades, aparece el cuadro de diálogo Desplazamiento hex. Este cuadro
se utiliza para especificar cuántos dígitos hexadecimales hay desde el comienzo de la
trama hasta donde se va a buscar la propiedad especificada.
Inserción de operadores: El cuadro de grupo Insertar define operadores lógicos para el árbol de
decisión. Los operadores disponibles son Y, O y NO. Utilizándolos, pueden especificarse hasta 4.000
operadores de árbol de decisión.
Modificar expresión/Cambiar operador: Modificar expresión se utiliza para editar una expresión con
operadores que aparece en el árbol de decisión. No está pensada para editar pares de direcciones,
protocolos o expresiones de propiedad de protocolo que se definen con la opción
Agregar expresión: Si se tiene un operador seleccionado en el árbol de decisión, el botón Modificar

expresión cambia a Cambiar operador. Esta opción permite pues conmutar a través de los valores del
operador.
Eliminar criterios: El cuadro de grupo Eliminar elimina criterios de decisión del árbol de decisión. Las
opciones de que se dispone son eliminar una línea específica, una rama específica o todo el árbol de
decisión.

Capítulo 21

Capítulo 22
Capítulo 22
Realizar copias de seguridad en la red es esencial y Microsoft Windows 2000 añade a este proceso, ya de
por sí complicado, una dificultad adicional al necesitar hacer una copia de seguridad del servicio Active
Directory. Afortunadamente, el sistema operativo incluye la utilidad desarrollada por Veritas Software
Copia de seguridad de Windows 2000 que, si bien no incluye lo última tecnología desarrollada para
productos de copias de seguridad de red de otros fabricantes, sí resuelve de una manera razonablemente
eficiente la tarea. Se puede utilizar Copia de seguridad de Windows 2000 para proteger el sistema de
Windows 2000 en el que éste se ejecuta así como para hacer copias de seguridad de otros sistemas
accesibles a través de la red.
Selección del medio para las Copias de Seguridad
La primera decisión a tomar cuando se planea una estrategia de copia de seguridad estriba en decidir dónde
se pretenden almacenar los datos. El programa Copia de seguridad de Windows 2000 soporta cintas
magnéticas, el soporte tradicional para copias de seguridad, pero también permite archivar los datos en un
archivo de copia de seguridad existente en cualquier dispositivo direccionable por los sistemas de archivos
de Windows 2000, incluyendo discos compactos (como las unidades de Iomega Zip y Jazz), discos a
incluso grabadoras de CD-ROM. Para grabaciones de gran tamaño, Copia de seguridad de Windows 2000
también soporta el use de conjuntos de medios, es decir, librerías de discos o cintas a las que se accede a
través de un cambiador automático (jukebox). El soporte que se elija dependerá del presupuesto, la
cantidad de datos que se deseen grabar, así como del tiempo de que se disponga para crear las copias de
seguridad.
La estimación del coste de un soporte de almacenamiento para las copias de seguridad no se basa
simplemente en el precio de las unidades de cinta o de disco. El coste de la unidad de grabación es también
muy importante. Por ejemplo, una unidad magneto-óptica como la Jazz, capaz de almacenar 2 Gb, puede
parecer una ganga, pero el cartucho que utiliza cuesta 200 euros, o 10 céntimos por megabyte. Sin
embargo, se pueden encontrar CD-ROM grabables por menos de un euro, esto es, con un coste por
megabyte de 15 centésimas de céntimo. Los precios de los soportes de cinta se encuentran más o menos
entre estos dos extremos. Hay que recordar también que los CD-ROM o las unidades de cartucho resultan
útiles para otro tipo de grabaciones aparte de las copias de seguridad mientras que una unidad de cinta no
se puede utilizar para otra cosa.
Almacenamientos extraíbles
Cuando se instala una cinta, un CD-ROM, un disco compacto o un cambiador automático en Windows
2000 utilizando el Asistente para agregar Hardware, la unidad queda bajo el control del servicio de
Almacenamiento extraíble. La utilidad Copia de seguridad de Windows 2000 se apoya en este servicio

Capítulo 22
para suministrar funciones básicas para la manipulación de medios de almacenamiento. Cuando se monta,
desmonta o expulsa un disco o cinta, el servicio de Almacenamiento extraíble y no Copia de seguridad de
Windows 2000, se encarga de manipular el dispositivo.
El servicio de Almacenamiento extraíble dispone una interfaz propia separada de Copia de seguridad de
Windows 2000 en el engranaje Consola de la Microsoft Management Console (MMC). Esta herramienta
se utiliza cuando se necesita enviar comandos directamente a una unidad de cinta a otro dispositivo como,
por ejemplo, cuando se quiere extraer, dar formato o dar tensión a una cinta.
Copias de seguridad a archivos
Como alternativa a hacer copias de seguridad utilizando dispositivos registrados en el servicio de Medios
de almacenamiento extraíbles, se pueden realizar copias de seguridad de datos del sistema a un archivo.
Copia de seguridad de Windows 2000 puede crear el archivo en cualquier dispositivo de almacenamiento
accesible a través de la letra de unidad estándar, como, por ejemplo, un disco duro, un disco compacto o
una unidad de disco.
CD-ROM
Debido a su precio extremadamente reducido, los CD-ROM grabables pueden ser un medio de
almacenamiento excelente para una copia de seguridad del sistema. Existen dos tipos de CD-ROM
grabables actualmente muy utilizados: los CD-R, que son dispositivos tipo WORM (Write Once, Read
Many, Una sola escritura y múltiples lecturas), y los CD-RW en los que se puede escribir muchas veces. El
uso de unidades CD-R para realizar copias de seguridad puede resultar costoso, ya que sólo se pueden
escribir una vez; sin embargo, los discos en blanco son los suficientemente baratos para hacer esto factible.
Como beneficio añadido, de esta forma acumula un archivo permanente del sistema, eliminando la
necesidad de desarrollar un sistema de rotación de medios y de estar al tanto del número de veces que se
ha utilizado una cinta o cartucho en particular.
Copia de seguridad de Windows 2000 no suministra un soporte directo para dispositivos

WORM como las grabadoras de CD-ROM. Se debe utilizar software de terceros para hacer
que estos dispositivos sean accesibles directamente a través de la aplicación Copia de
seguridad de Windows 2000.
Desarrollo de una estrategia para la Copia de Seguridad
La realización de una copia de seguridad de una red de manera efectiva es una tarea compleja que se debe
planear mediante una aproximación. Para realizar una copia de seguridad de una red no basta con poner
simplemente una cinta en la unidad y ejecutar el software. Una estrategia para la copia de seguridad debe
tener en cuenta las siguientes preguntas:
● ¿Cuánta información se debe copiar?

Capítulo 22
● ¿De cuánto tiempo se dispone para realizar la copia de seguridad?

● ¿Cada cuánto tiempo se debe realizar una copia de seguridad de la información?
● ¿Quién se encarga de verificar el acabado de las copias de seguridad?
● ¿Cuántas cintas (u otros medios) se planea utilizar?
● ¿Cada cuánto tiempo se rescribirán las cintas?
La ventana de la copia de seguridad
El fin de la ventana de la copia de seguridad es determinar qué dispositivos se compran para realizar la
copia de seguridad de la red y qué tipo de copias de seguridad se realizarán. La ventana de copia de
seguridad representa la cantidad de tiempo de que se dispone para realizar las copias de seguridad de la
información. Se debe comparar la longitud de la ventana de la copia de seguridad con la cantidad de
información que se pretende copiar para determinar la tasa óptima de copia de la red. Si por ejemplo, la
organización trabaja a través de intervalos de carga de trabajo libres, permitiendo que las copias de
seguridad se realicen sólo durante unas pocas horas, se debería plantear, si se pretende hacer una copia de
seguridad en el tiempo restringido, la compra de dispositivos más rápidos o la ejecución de varios
dispositivos en paralelo:
Tipos de copia de seguridad
Una parte de la creación de la estrategia que se adapta a la ventana de copia de seguridad abarca la
selección del tipo de copia de seguridad que se pretende realizar. Copia de seguridad de Windows 2000
soporta cinco tipos de tareas de copia de seguridad que especifican cuánta información se copia durante
cada tarea. Si se selecciona el tipo de tarea apropiado, se puede minimizar el número de cintas (u otros
medios), así como la cantidad de tiempo requerida para realizar las copias de seguridad sin comprometer la
seguridad de la información.
La mayoría de los tipos de copia de seguridad se basan en el atributo de archivo para determinar cuándo
han cambiado los archivos de un disco concreto y deben ser copiados de nuevo. El atributo de archivo en
Windows 2000 es el mismo que el de MS-DOS, independientemente del sistema de archivos que se utilice.
El atributo es un único bit que se incluye en el directorio de entrada para cada archivo que el software de
copia de seguridad se encarga de marcar o borrar cuando se necesita.
Normalmente, el programa de copia de seguridad pondrá a cero los atributos de archivo de todos los
archivos que se copien durante una tarea particular. Si se modifica un archivo posteriormente, el sistema
marca automáticamente el atributo cuando escribe a disco. Esto permite que el software de copia de
seguridad examine los atributos de archivo durante la siguiente tarea y realice una copia sólo de aquellos
archivos cuyo atributo se encuentre marcado, esto es, de los archivos que han cambiado desde la copia de
seguridad anterior. Los tipos de copia de seguridad descritos en las siguientes secciones son variantes de
este tipo de técnica.
Copia de seguridad normal

Capítulo 22
Una copia de seguridad normal, en el lenguaje de Windows 2000, es una copia de seguridad total de todos
los archivos y directorios seleccionados en el software de Copia de seguridad de Windows 2000. Como
parte de la tarea, el programa borra el bit de modificado de cada archivo. Este tipo de copia de seguridad es
la base para futuras tareas que sólo realizan copias de seguridad de los archivos modificados.
Copia de seguridad incremental
Durante una copia de seguridad incremental, el programa examina el bit de modificado y hace una copia
de seguridad sólo de los archivos que han cambiado desde la última copia de seguridad incremental o
normal. Al igual que con la copia de seguridad normal, esta tarea borra el bit de modificado de cada
archivo que copia. Las copias de seguridad incremental utilizan la mínima cantidad de cinta y además
ahorran tiempo puesto que no copian todos los archivos que no han cambiado durante la tarea. Sin
embargo, realizar una restauración es un inconveniente.
Por ejemplo, si se realiza una copia de seguridad normal el lunes y copias de seguridad incrementales
desde el martes al viernes, para asegurarse de que se dispone de la versión más actual de cada archivo, se
deberán restaurar estas cinco cintas en el orden en que se escribieron. Si un archivo en concreto se
actualiza diariamente, Copia de seguridad de Windows 2000 lo sobreescribirá con la versión más actual
durante la restauración de cada cinta. Sin embargo, si sólo se restauran las cintas del lunes y el viernes
dado que representan la última copia de seguridad normal y la más reciente copia de seguridad
incremental, se perderán las versiones más actuales de los archivos que se grabaron del martes al jueves,
pero no el viernes.
Copia de seguridad diferencial
Una copia de seguridad diferencial es lo mismo que una copia de seguridad incremental exceptuando que
el programa no elimina el bit de modificación de los archivos que copia a la cinta. Esto significa que
durante una copia de seguridad diferencial se copian todos los archivos que han cambiado desde la última
copia de seguridad normal o incremental. De esta forma, después de una copia de seguridad en lunes, una
copia de seguridad diferencial en martes copiará todos los archivos que han cambiado (al igual que una
tarea incremental). Sin embargo, las copias de seguridad realizadas entre el miércoles y el viernes copiarán
todos los archivos modificados desde la copia de seguridad normal del lunes. En otras palabras, esta tarea
produce cierta redundancia de datos ya que un archivo modificado una única vez el martes se copiará
durante todos los días de las copias de seguridad diferenciales.
Este tipo de tarea requiere más espacio en cinta que el utilizado en las tareas incrementales así como más
tiempo, pero su ventaja radica en que cuando se realiza una restauración, se necesitan sólo las cintas que
contengan la copia de seguridad normal y la más reciente copia de seguridad diferencial. De esta forma, si
se debe restaurar un sistema el sábado, se necesita restaurar únicamente la copia de seguridad normal del
lunes previo y la copia de seguridad diferencial más reciente del viernes.
Una estrategia de copia de seguridad de red utilizará normalmente, además de tareas de copia normal,
copias de seguridad incrementales o diferenciales, pero no ambas. Si es preciso enfrentarse con mucha

Capítulo 22
información para copiar dentro de una ventana de copia de seguridad limitada, las copias incrementales
son más rápidas y económicas. Sin embargo, si debe realizar restauraciones frecuentemente, las copias
diferenciales hacen el proceso mucho más sencillo.
Copia de seguridad diaria
Una copia de seguridad diaria copia sólo los archivos que han sido modificados en el día en que se ejecuta
la tarea de copia de seguridad sin tener en cuenta el estado actual del bit de modificación.
Este tipo de tarea tampoco borra el bit de modificación de los archivos que copia mientras se ejecuta. Las
tareas de copia diaria resultan útiles cuando se quiere realizar una copia de seguridad extra en un día
determinado, sin afectar a la estrategia de copia de seguridad establecida, alterando el atributo de
modificado de los archivos.
Copia de seguridad copia
Una copia de seguridad intermedia es equivalente a una copia de seguridad normal, excepto que el
programa no desactiva el atributo de modificado de los archivos que escribe en la cinta o en el otro medio
de copia de seguridad. La copia de seguridad intermedia se utiliza para realizar una copia de seguridad
extra sin afectar a los atributos de modificado usados por una estrategia de copia de seguridad ya
establecida.
Rotación de medios
Un esquema de rotación de medios dicta cuántas cintas (u otro tipo de medios) se usan para realizar las
copias de seguridad. La mayor parte de las veces se querrán guardar copias de las copias de seguridad por
si se quisiera realizar una recuperación de datos con ellas, pero eventualmente se volverán obsoletas y se
podrán reutilizar. Por ejemplo, una pequeña red podría utilizar un total de cinco cintas para realizar copias
de seguridad integrales a lo largo de la semana y reutilizar las mismas cintas cada semana. Sin embargo,
una corporación de gran tamaño preocupada por la seguridad podría utilizar cintas nuevas para cada copia
de seguridad y archivar de forma permanente todas las cintas usadas. La mayor parte de los esquemas de
rotación de medios se sitúan entre estos dos extremos.
Un esquema de rotación popular se conoce como el método del abuelo-padre-hijo ya que utiliza tres
"generaciones" de cintas que representan respectivamente copias de seguridad mensuales, semanales y
diarias. En este esquema de rotación se realiza una copia de seguridad completa cada mes y se guarda la
cinta durante un año (preferentemente en algún sitio seguro ajeno a la empresa); ésta es el "abuelo".
Además se realiza una copia de seguridad completa semanalmente que se guarda durante un mes; ésta es el
"padre". Las copias de seguridad que representan el "hijo" se realizan diariamente y se guardan durante
una semana. Las tareas diarias pueden ser copias de seguridad completas, incrementales o diferenciales.
La finalidad de un esquema de rotación de medios es asegurar la tenencia permanente de una copia de los
datos en cinta, así como la reutilización de las cintas de una manera organizada. Hay que asegurarse de

Capítulo 22
nombrar bien las cintas y de guardarlas en un lugar seguro alejado de campos magnéticos y otros entornos
adversos. También se recomienda guardar las copias de seguridad en un lugar alejado, como, por ejemplo,
una caja de seguridad o cualquier otro sitio asegurado contra incendios, para que, en caso de que se
produzca algún desastre como un incendio, los datos se encuentren protegidos.
Algunos productos de copia de seguridad de otros fabricantes pueden implementar un

esquema de rotación configurable que realiza un seguimiento de las cintas, del número de
veces que se utilizan y el nombre que se debe poner en las etiquetas. Estos programas
indican también qué cintas se deben introducir en la unidad cada día, así como cuáles se
deben utilizar para hacer una recuperación de ciertos archivos. Desafortunadamente,
Copia de seguridad de Windows 2000 carece de esta característica.
Copias de Seguridad de los Datos
El programa Copia de seguridad de Windows 2000 dispone de varios métodos para crear y ejecutar tareas
de copia de seguridad. Cuando se inicia Windows 2000 por primera vez -pulsando Inicio, yendo a
Programas, eligiendo Accesorios, eligiendo Herramientas de sistema y seleccionando Copia de seguridad-
se muestra la ficha de
Bienvenida desde la
que se puede
seleccionar un
asistente para crear una
copia de seguridad o
restaurar un trabajo.
Para evitar el
acompañamiento del
asistente, se puede
crear un trabajo de
copia de seguridad
pulsando la pestaña de
Copia de seguridad del
cuadro de diálogo y
accediendo
directamente al
interfaz de copia de
seguridad.
No sólo se pueden
crear trabajos de Copia de seguridad de Windows 2000 con los asistentes y la GUI, sino también
ejecutando con los parámetros apropiados el programa Ntbackup.exe.
Independientemente del método que se implemente, la creación de un trabajo de copia de seguridad

implica los siguientes pasos básicos:

Capítulo 22
● Seleccionar las unidades, directorios y archivos de los que se quiera hacer una copia de seguridad.
● Especificar el medio de almacenamiento destino de la copia de seguridad.
● Configurar las opciones de copia de seguridad como tipo de copia de seguridad, registro y
exclusión de archivos.
● Especificar cuándo se producirá la copia de seguridad.
Ficha de Copia de Seguridad
La ficha Copia de seguridad del programa Copia de seguridad de Windows 2000 es el lugar donde se
seleccionan los archivos y directorios que se pretenden copiar, así como su destino. Se utiliza un
Explorador de
Microsoft Windows -
una visualización
jerárquica con la que
se exploran unidades
locales y de red, y se
marcan selecciones a
través de las casillas de
verificación-. Para la
realización de la copia
de seguridad, se
pueden seleccionar
unidades completas o
archivos individuales.
El elemento Estado del
sistema se encarga de
realizar una copia de
seguridad del Registro,
de la Base de datos de
registro de la máquina
local, así como de
otros elementos del
sistema requeridos en una restauración desastre.
Creación de secuencias de comandos de selección
Una vez que se han seleccionado los archivos y directorios de los que se quiere hacer una copia de
seguridad, se puede crear una secuencia de comandos de selección que contenga la configuración del
trabajo que se ha creado. Después de seleccionar Guardar selecciones en el menú Trabajo, se especifica un
nombre de archivo con extensión .BKS para la secuencia de comandos de selección y se especifica el
directorio donde se pretende crearlo. De esta forma, a partir de una secuencia de comandos de selección, se
pueden crear trabajos de copia de seguridad idénticos en sesiones sucesivas, simplemente cargando la

Capítulo 22
secuencia de comandos de selección desde el menú Trabajo. Cuando se hace esto, los mismos elementos
de sistema que se seleccionaron antes de crear la secuencia de comandos se seleccionan de nuevo. A partir
de aquí, se puede ejecutar el trabajo como tal o realizar selecciones adicionales. También se puede utilizar
la secuencia de comandos para ejecutar el trabajo desde la línea de comandos con Ntbackup.exe.
Acceso a archivos y carpetas para la copia de seguridad
Para realizar una copia de seguridad de los archivos y carpetas, la cuenta utilizada para ejecutar el trabajo
debe tener los privilegios de permisos de acceso apropiados para acceder a dichos archivos y carpetas. Los
usuarios miembros del grupo de Operadores de Copia de seguridad local así como del grupo de
Administradores gozan automáticamente de los permisos necesarios para realizar copias de seguridad de
todos los archivos y carpetas de la máquina local. Los miembros del Grupo de operadores de copia de
seguridad del dominio pueden realizar copias de seguridad de todos los archivos y carpetas de cualquier
computadora del dominio, así como de las computadoras con las que existe una relación de confianza
bidireccional.
Los usuarios que no sean miembros de estos grupos deberán ser bien los propietarios o tener alguno de los
permisos de Lectura, Lectura y Escritura, Modificación o Control total para cada uno de los archivos o
carpetas de los que se quiera realizar una copia de seguridad. Las restricciones de cuota de disco pueden
limitar también la habilidad de los usuarios para realizar copias de seguridad de los sistemas.
Selección del medio de almacenamiento
Después de especificar de qué se quiere hacer una copia de seguridad, hay que indicar al programa dónde
se pretende copiar los datos. Copia de seguridad de Windows 2000 muestra en Destino de la copia de
seguridad la opción Archivo de manera predeterminada. Si se ha instalado una unidad de cinta a otro
dispositivo gestionado por el servicio de Almacenamiento extraíble, éste también se muestra como otra
opción de destino. Después de realizar la selección, se utiliza el campo Hacer copia de seguridad del medio
o del Archivo para especificar un nombre de cinta o disco, o el camino y el nombre de archivo que el
programa debe utilizar para crear el archivo de copia de seguridad.
Cuando se selecciona una cinta o cualquier otro tipo de unidad de almacenamiento extraíble, el campo
Hacer copia de seguridad del medio permite seleccionarla por el nombre con el que ha sido creada en
Windows 2000 o bien seleccionar Nuevos medios, que permite especificar un nombre para un nuevo
dispositivo vacío.
Configuración de las opciones de Copia de seguridad
Desde aquí, se puede pulsar el botón Iniciar para iniciar el trabajo de copia de seguridad usando los
parámetros especificados en la ficha Copia de seguridad de la ventana Copia de seguridad, o se puede
continuar configurando el trabajo seleccionando Opciones en el menú Herramientas. En la pestaña General

Capítulo 22
del cuadro de diálogo Opciones, se puede

especificar si el programa debe utilizar ciertas
características de manipulación del medio y, lo
más importante, seleccionar si se quiere que el
programa compruebe los datos en la cinta antes
de dar el trabajo de copia de seguridad por
terminado. Un ciclo de verificación compara los
datos que se han escrito en la cinta a otro medio
con la copia original de los discos duros para
asegurarse de que los datos se han escrito
correctamente. Aunque el proceso de
verificación alarga considerablemente el tiempo
requerido para la realización del trabajo, resulta
una buena precaución a tomar, especialmente
cuando se está trabajando con una unidad recién
instalada.
A pesar de que verificar la copia de los

datos escritos en cinta resulta una buena
precaución a tomar, no es segura al cien
por cien. Muchas veces, un trabajo de
copia de seguridad puede parecer que se
ha completado correctamente a incluso
habiendo sido verificado, pero, sin embargo, por una a otra razón, los datos no pueden
restaurarse. El único método absolutamente fiable para asegurarse de que los datos que se
han copiado se han escrito realmente a la cinta es realizar restauraciones de test.
En la ficha Tipo de copia de seguridad del cuadro de diálogo Opciones, se selecciona el tipo de trabajo que
se quiere ejecutar (normal, incremental, diferencial, copia o diario). El tipo de copia de seguridad que
aparece como predeterminado es normal, el cual resulta inapropiado para realizar una secuencia de copia
de seguridad basada en los atributos de archivo para seleccionar los archivos que el programa debe guardar
en la cinta.
Cuando se ejecute un trabajo de copia de seguridad utilizando el botón Iniciar copia de

seguridad o el asistente de Copia de seguridad de Windows 2000 se indicará que se
especifiquen valores para las opciones de copia de seguridad. Los parámetros que se
especifiquen entonces para estas opciones se convertirán en los valores predeterminados de
las solicitudes que se generen más adelante.
Registro de copia de seguridad

Capítulo 22
En la ficha Registro de la copia de seguridad del

cuadro de diálogo Opciones, se puede
especificar si se quiere que el programa
mantenga un registro de las actividades que
ocurran durante el trabajo, así como el nivel de
detalle del registro. Dado que el registro de la
copia de seguridad detallada muestra todos los
archivos y carpetas copiados durante el trabajo,
el archivo resultante puede ser bastante grande.
Si lo que se quiere es revisar el trabajo para
comprobar que todos los procedimientos se
completaron con éxito, es mejor seleccionar la
opción Resumen.
Los registros de copia de seguridad se graban

como archivos ASCII con extensión .LOG en la
subcarpeta denominada Local
Settings\Application Data\Microsoft\ Windows
NT\NTBackup\Data. Este camino se encuentra
en la carpeta Documents And Settings asignada
al usuario registrado mientras se realiza la copia
de seguridad. Los registros se pueden visualizar
con cualquier editor de texto, pero
desafortunadamente la copia de Seguridad de Windows 2000 otorga a los archivos nombres incrementales
como Backup01.log y Backup02.log, dificultando la localización de un determinado trabajo. Para
visualizar un registro por el nombre del trabajo, hay que seleccionar Informe en el menú Herramientas,
resaltar un trabajo en particular y pulsar el botón Ver o Imprimir. Esto visualiza o imprime el archivo del
registro utilizando el Bloc de notas.
Exclusión de archivos

Capítulo 22
En la ficha Excluir archivos se pueden

especificar los archivos y directorios que el
programa debe excluir durante el proceso de
copia de seguridad. La lista contiene de manera
predeterminada los archivos de los que no se
necesita realizar una copia de seguridad como,
por ejemplo, el archivo de paginación de
memoria de Windows 2000 (Pagefile.sys). Se
pueden añadir otros archivos a la lista. La
ventaja de utilizar la lista de Archivos excluidos
para todos los usuarios, en lugar de simplemente
eliminarlos en la ficha Copia de seguridad,
radica en la posibilidad de utilizar comodines
para excluir archivos situados en cualquier sitio
del trabajo. Por ejemplo, se puede añadir a la
lista la máscara de archivo Backup*.wbk para
excluir todos los documentos creados de copia
de seguridad de Microsoft Word donde
aparezcan en las unidades y directorios
seleccionados.
La ficha Excluir archivos contiene dos listas:

una para excluir los archivos propiedad de todos
los usuarios del sistema y otra para excluir sólo los archivos cuyo propietario es el usuario que se
encuentra actualmente registrado. Con esta opción, se puede añadir la máscara de archivo Backup*.wbk a
la lista Usuario administrador, para omitir las copias de seguridad propias de documentos Word, evitando
así molestar a otros usuarios.
Para añadir archivos a cualquiera de las listas, se pulsa sobre el botón apropiado de Agregar nuevo y se
selecciona bien un tipo de archivo registrado o bien se especifica una máscara de archivo personalizada en
el cuadro de diálogo Agregar archivos excluidos. También se puede especificar una ruta particular en la
que los archivos -seleccionados bien por tipo de archivo o bien por máscara de archivo- se excluyan. De
manera predeterminada, el programa excluirá los archivos seleccionados en la carpeta escogida y todas sus
subcarpetas, pero se puede eliminar la exclusión únicamente a la carpeta seleccionada desactivando el
recuadro de control Se aplica a todas las subcarpetas.
Ejecución de un trabajo

Capítulo 22
Después de configurar las opciones para

el trabajo, éste se inicia pulsando el botón
Iniciar en la ficha Copia de seguridad,
mostrándose el cuadro de diálogo
Información sobre el trabajo de copia de
seguridad. El programa indica que se
especifique un nombre descriptivo para el
conjunto de la copia de seguridad, así
como que se indique si el trabajo se debe
añadir a la cinta seleccionada (u otro
medio) o, por el contrario, debe
sobrescribir cualquier tipo de información
existente. Si se pretende sobrescribir la
cinta, se debe escribir un nuevo nombre
para ella. Si se elige sobrescribir la cinta, es posible controlar el acceso a los datos volcados en la cinta
seleccionando la casilla que permite que sólo el propietario y los miembros del grupo de administradores
puedan restaurar los archivos.
Cuando se pulsa sobre el botón Avanzadas del cuadro de diálogo Información sobre el trabajo de copia de
seguridad, el programa insta al usuario a introducir un tipo de copia de seguridad (mostrando de manera
predeterminada el valor seleccionado en la ficha Tipo de copia de seguridad del cuadro de diálogo
opciones) y éste debe decidir si activar o no las siguientes opciones:
● Hacer copia de seguridad de los

datos en almacenamiento remoto:
Cuando se selecciona, hace que el
programa realice una copia de
seguridad del contenedor de
archivos que hace referencia a datos
que hayan sido migrados a un
almacenamiento remoto.
● Comprobar datos después de la
copia de seguridad: Cuando se
selecciona, hace que el programa
compare los datos escritos en la
cinta con los datos originales. El
valor predeterminado se obtiene del
elemento equivalente en la ficha
General del cuadro de diálogo Opciones.
● Comprimir los datos de copia de seguridad para ahorrar espacio si es posible: Cuando se
selecciona, activa las funciones de compresión de datos implementadas en la unidad de cinta
seleccionada a otro dispositivo. La Copia de seguridad de Windows 2000 no incluye capacidad de
compresión basada en software; sólo facilita el uso de las funcionalidades de compresión basada en
hardware del dispositivo de almacenamiento. Esta opción se activa de manera predeterminada, si el

Capítulo 22
dispositivo elegido dispone de capacidades de compresión hardware y se desactiva, si no dispone

de ellas.
● Hacer copia de seguridad automática de archivos de sistema protegidos con estado de
sistema: Esta opción se activa sólo si el objeto Estado del Sistema ha sido seleccionado para la
copia de seguridad. Cuando esta opción se encuentra seleccionada, todos los archivos de sistema de
la carpeta %SysDir% así como sus subcarpetas se copian junto con los archivos que normalmente
se copian cuando se hace una copia de seguridad del estado del sistema.
Planificación de trabajos
A partir de aquí, se puede iniciar el trabajo de copia de seguridad de manera inmediata pulsando el botón
Iniciar del cuadro de diálogo Información sobre el trabajo de la copia de seguridad; sin embargo, para
establecer una estrategia organizada de copia de seguridad, se deben programar los intervalos específicos
de ejecución de los trabajos. Cuando se pulsa sobre el botón Programación del cuadro de diálogo
Información sobre el trabajo de copia de
seguridad, si no se han guardado las selecciones
de la copia de seguridad, se pedirá al usuario que
las guarde antes de proseguir con la programación
de la copia de seguridad.
De otro modo, el programa indica que se

especifique el nombre de usuario y la contraseña
de la cuenta que el sistema utilizará cuando se
ejecute el trabajo. A continuación, el programa
indica que se introduzca el nombre de la tarea y
muestra la fecha y hora actuales para la Fecha de inicio. Para ejecutar el trabajo más tarde, hay que pulsar
el botón Propiedades para visualizar el cuadro de diálogo Programar trabajo.
Aquí se especifica si se quiere que el trabajo se ejecute una vez a una hora determinada o si se prefiere que
se repita durante intervalos regulares. Las opciones disponibles en el selector de Programar tarea son las
siguientes:

Capítulo 22
● Sólo una vez: Ejecuta el trabajo

una sola vez en un tiempo y
fecha específico.
● Diariamente: Ejecuta el trabajo
a una cierta hora cada día o, si se
modifica el valor de Programar la
tarea diariamente, cada cierto
número de días especificado.
● Semanalmente: Ejecuta el
trabajo a la hora especificada en
cada uno de los días de la semana
seleccionados o, si se modifica el
valor de Programar la tarea
semanalmente, cada número de
semanas especificado.
● Mensualmente: Ejecuta el
trabajo a la hora especificada una
vez cada mes, basándose bien en
una fecha seleccionada (como el
primero de cada mes), o bien en
un día de la semana (como el
primer lunes de cada mes).
Pulsando el botón Seleccionar meses, se especifican los meses en los que el trabajo se debe realizar.
● Al inicio del sistema: Ejecuta el trabajo la siguiente vez que se inicia el sistema.
● Al inicio de sesión: Ejecuta el trabajo la siguiente vez que el propietario del trabajo inicia una
sesión.
● Cuando esté inactivo: Ejecuta el trabajo cuando el sistema permanece inactivo por un número
específico de minutos.
Las capacidades de programación de Copia de seguridad de Windows 2000 son bastante

amplias aunque no siempre intuitivas. Por ejemplo, se debe seleccionar Semanalmente para
ejecutar un trabajo sólo durante los días de la semana, y entonces seleccionar todos los días
exceptuando sábado y domingo.

Capítulo 22
Si se selecciona el cuadro Mostrar todas

las programaciones, la cabecera de la
pestaña de Programación se cambia por
un selector en el que se pueden crear y
administrar distintas programaciones
para el mismo trabajo. Se puede, por
ejemplo, programar un trabajo de copia
de seguridad normal para que se ejecute
cada día de la semana y crear un suceso
separado para que ejecute el mismo
trabajo el último domingo de cada mes
para crear un copia extra para su
almacenamiento en un lugar seguro.
Cuando se selecciona Sólo una vez,

Diariamente, Semanalmente o
Mensualmente de la lista Programar
tarea, se activa el botón Avanzadas. Al
pulsar este botón se abre el cuadro de
diálogo de Opciones de programación
Avanzadas. En este cuadro de diálogo se
puede especificar una fecha a partir de la
cual un trabajo repetitivo dejaría de reprogramarse, así como configurar un trabajo para que se repita
continuamente después de que transcurra un intervalo específico. Esta característica puede utilizarse para
copiar datos volátiles a importantes a un archivo de copia de seguridad cada cierto número de minutos
como medida de precaución contra la pérdida de datos.
En la ficha Configuración del cuadro de diálogo Programar trabajo, se pueden especificar condiciones bajo
las que se insta al sistema a que no ejecute el trabajo, como, por ejemplo, si el sistema no ha estado
inactivo durante un cierto período de tiempo o cuando el equipo funciona con baterías. También se puede
configurar el trabajo para que detenerse si no termina dentro de un período de tiempo determinado.
Una vez que se haya programado un trabajo para su ejecución posterior, éste se representará con un icono
en la ficha Trabajos programados del programa de copia de seguridad. Los parámetros de cada trabajo
programado se pueden modificar pulsando sobre el icono para acceder al cuadro de diálogo Opciones de
trabajos programados.
Asistente para Copia de seguridad de Windows 2000
Copia de seguridad de Windows 2000 dispone de un asistente que guía a través del proceso de
configuración y creación de un trabajo de copia de seguridad. Se puede iniciar el asistente desde la ficha
Bienvenido del programa de Copia de seguridad, pulsando dos veces sobre un día concreto del calendario
en la ficha Trabajos programados o bien pulsando el botón Agregar tarea en la ficha Trabajos

Capítulo 22
programados. Si se han seleccionado ya las unidades, las carpetas o los archivos de los que se pretende
hacer una copia de seguridad en la ficha Copia de seguridad, el programa ofrece usar dichas selecciones en
el asistente cuando se selecciona una fecha.
Las indicaciones que presenta el asistente se corresponden con las opciones disponibles en los cuadros de
diálogo regulares GUI del programa, y ayudan por tanto a los usuarios a recordar las capacidades del
programa previniéndoles así de omitir de forma inadvertida algunas opciones importantes.
Ejecución de trabajos desde la línea de comandos
Además de crear trabajos de copia de seguridad utilizando el asistente y la GUI, también se pueden
ejecutar trabajos desde la línea de comandos. De hecho, cuando se programa un trabajo con la GUI o el
Asistente de copia de seguridad para una ejecución posterior, el programa realmente utiliza el Programador
de tareas de Windows 2000 para activar el trabajo utilizando los comandos en línea equivalentes a las
opciones que se han elegido. Cuando se abre la aplicación Tareas programadas en el Panel de control y se
pulsa dos veces sobre el nombre con el que se guardó el trabajo, se puede observar la línea de comando
para el trabajo en la ficha Tarea del cuadro de diálogo.
El archivo ejecutable para el programa de copia de seguridad de Windows 2000 continúa llamándose
Ntbackup.exe y se localiza en la carpeta \%SysDir%\System32. La mejor utilidad para esta funcionalidad
de comando en línea es la ejecución de secuencias de comandos de selección que hayan sido creadas
previamente con el interfaz GUI del programa de copia de seguridad desde archivos de procesamiento por
lotes a otras secuencias de comandos. La sintaxis para ejecutar Ntbackup.exe desde la línea de comandos
es la siguiente:
Ntbackup backup [systemstate] bksfilename|foldername /J jobname" [/P

poolname"] [/G guidname"] [/T tapename"] [/N medianame"] [/F
backupfilename"] [/D setdescription"] [/DS servername"] [/IS
servername"] [/A] [/V: {yes|no}] [/R: {yes|no}] [/L:{f|s|n}] [/M
backuptype] [/RS:{yes|no}] [/HC:{on|off}]
● backup: Especifica que el programa realizará una operación de copia de seguridad (a pesar de que
restore no es un parámetro válido de la línea de comandos).
● systemstate: Especifica que el programa copiará adicionalmente el estado del sistema junto con los
archivos y carpetas especificados en la línea de comandos de la computadora local o en la secuencia
de comandos de selección.
● bksfilenamelfoldername: Especifica el nombre del archivo del secuencia de comandos de
selección o el nombre de la carpeta de la que el programa se encargará de hacer la copia de
seguridad (conjuntamente con sus subcarpetas).
● /J "jobname" : Especifica el nombre para el trabajo de copia de seguridad con el que el programa
lo identificará en el archivo de registro.
● /P "poolname": Especifica el nombre del medio desde donde el programa toma la cinta (u otro
medio) para realizar la copia de seguridad. Esta opción no debe utilizarse con los conmutadores /A,

Capítulo 22
/G, /F o /T.
● /G "guidname": Especifica que el programa realiza una copia de seguridad a la cinta (o a otro
medio) identificada con la variable guidname. Esta opción no puede utilizarse conjuntamente con el
conmutador /P.
● /T "tapename": Especifica que el programa realiza una copia de seguridad a la cinta (o a otro
medio) identificada con la variable tapename. Esta opción no puede utilizarse conjuntamente con el
conmutador /P
● /N "medianame": Especifica el nuevo nombre para una cinta (o medio) sobre la que el trabajo de
copia de seguridad se encuentra sobreescribiendo. Esta opción no puede usarse conjuntamente con
el conmutador /A.
● /F "backupfilename": Especifica el nombre del archivo .BKF sobre el que el programa copia los
archivos y carpetas seleccionados. Esta opción no puede utilizarse conjuntamente con los
conmutadores /P, /G o /T.
● /D "setdescription": Especifica la etiqueta descriptiva que se asocia al conjunto de copias de
seguridad.
● /DS "servername": Hace que el programa realice una copia de seguridad del archivo de servicio
de directorios de un servidor específico de Microsoft Exchange.
● /IS "servername": Hace que el programa realice una copia de seguridad del archivo de
almacenamiento de información de un servidor específico de Microsoft Exchange.
● /A: Hace que el programa añada el trabajo de copia de seguridad a la cinta o medio especificado
por el conmutador /G o /T. Esta opción no puede utilizarse conjuntamente con el conmutador /P
● /V:{yes|no}: Especifica si el programa debe o no verificar los datos una vez que se ha completado
la copia de seguridad.
● /R:{yes|no}: Especifica si el acceso a los datos en la cinta o medio se debe restringir al propietario
del trabajo y a los miembros del Grupo de administradores.
● /L:{f|s|n}: Especifica el tipo de registro que se mantiene mientras se realiza la copia de seguridad,
donde f = detallada, s = resumen y n = ninguna.
● /M backuptype: Especifica el tipo de copia de seguridad a realizar, donde backuptype se sustituye
por uno de los siguientes valores: normal, incremental, diferencial, copia o diaria.
● /RS:{yes|no}: Especifica si se debe o no realizar una copia de seguridad de la base de datos de
medios de almacenamiento extraiibles.
● /HC:{on|off}: Especifica si el programa debe o no activar las capacidades de compresión hardware
de la unidad de cinta.
Los valores predeterminados de los conmutadores /V, /R, /L, /M, /RS y /HC se corresponden con las
configuraciones actuales de las correspondientes opciones de los cuadro de diálogo GUI del programa de
copia de seguridad.
Recuperación de Datos
Naturalmente, las copias de seguridad serían inútiles si no se pudiesen restaurar los archivos que
contienen, y Windows 2000 permite la recuperación de archivos y directorios individuales o la
recuperación total del conjunto de archivos de la copia de seguridad a su emplazamiento original. Al igual

Capítulo 22
que con las funciones de copia de seguridad del programa, se pueden crear trabajos de recuperación
usando las pantallas GUI o un asistente.
Selección de los archivos que hay que recuperar
Cuando se visualiza la
ficha Restaurar del
programa de copia de
seguridad de Windows
2000, se observa una
lista de los medios en
el conjunto de medios
de la copia de
seguridad así como los
archivos de copia de
seguridad que se han
creado. Como parte de
cada operación de
copia de seguridad, la
copia de seguridad de
Windows 2000 crea un
catálogo del conjunto
de copia de seguridad
y lo graba en la cinta o
en otro medio (si un
trabajo de copia de
seguridad ocupa dos o
más cintas, el catálogo del conjunto de copia de seguridad se graba en la última cinta). El programa accede
a este catálogo cada vez que se selecciona una cinta de la lista para restauración.
Cuando se inserta la cinta apropiada en la unidad, el programa lee el catálogo y muestra los contenidos de
la cinta de forma jerárquica al igual que en la ficha de copia de seguridad. Las unidades, archivos y
carpetas que se pretende recuperar se seleccionan de la misma forma que cuando se seleccionaron para ser
copiadas.
Selección de los destinos para los archivos recuperados
En una situación de recuperación de un desastre, probablemente se querrá hacer una recuperación total del
conjunto de la copia de seguridad a su destino original, pero la mayoría de las veces, los administradores
de red realizan recuperaciones para restaurar una copia de un archivo o carpeta que un usuario ha borrado
accidentalmente o que se ha dañado de algún modo. Cuando sucede esto, podría desearse no recuperar los
archivos en sus emplazamientos originales y por eso la copia de seguridad de Windows 2000 suministra
opciones que permiten especificar otros emplazamientos. El selector Restaurar archivos en de la ficha

Capítulo 22
Restaurar suministra las siguientes opciones:
● Ubicación
original:
Recupera todas
las carpetas y
archivos
seleccionados a
sus
emplazamientos
originales en
local o en las
unidades de
red,
preservando la
estructura
original de los
directorios.
● Ubicación
alternativa:
Recupera todas
las carpetas y
archivos seleccionados en una carpeta específica, manteniendo la estructura de directorios del
material recuperado.
● Carpeta única: Recupera todas las carpetas y archivos seleccionados en una carpeta única
específica, sin tener en cuenta la estructura de directorios original.
Si cuando se realiza una recuperación, se elige usar la opción de Carpeta única y existen
archivos con nombres idénticos en los directorios seleccionados, el programa utilizará los
parámetros de la ficha Restaurar del cuadro de diálogo Opciones para determinar si se
deben sobreescribir los primeros archivos con los subsiguientes archivos con nombres
idénticos.
Definición de las opciones de recuperación

Capítulo 22
En la ficha Restaurar del cuadro de diálogo

opciones se especifica el comportamiento del
programa de copia de seguridad cuando éste se
encuentra con archivos existentes con los
mismos nombres durante una operación de
recuperación. Las opciones disponibles son las
siguientes:
● No reemplazar este archivo en mi

equipo: Recupera únicamente los
archivos que no existen en el disco
destino.
● Reemplazar este archivo en mi disco
sólo si el archivo en el disco es más
antiguo: Compara las fechas de los
archivos con nombres idénticos y
sobreescribe los archivos existentes en el
disco destino sólo si la versión de copia
de seguridad es más reciente.
● Reemplazar siempre el archivo en mi
equipo: Recupera todos los archivos
seleccionados al disco destino,
sobrescribiendo cualquier archivo con
idéntico nombre.
Cuando se pulsa el botón Iniciar, el cuadro de diálogo Confirmar restauración ofrece la oportunidad de
pulsar el botón Avanzadas para configurar las opciones de recuperación avanzadas siguientes antes de
comenzar el proceso de recuperación:
● Restaurar seguridad: Especifica si el programa debe recuperar todos los parámetros de seguridad
de cada archivo o carpeta, incluyendo propietario, permisos y entradas de auditorias. Para recuperar
los parámetros de seguridad, el destino del trabajo de restauración debe ser una unidad NTFS (y los
archivos y carpetas deben de haberse copiado desde una unidad NTFS).
● Restaurar la base de datos de medios de almacenamiento extraíbles: Especifica si el programa
debe restaurar la Base de datos de medios de almacenamiento extraíbles a la carpeta
\%SysDir%\System32\Ntmsdata, sobreescribiendo cualquier base de datos de medios de
almacenamiento extraíbles en esa ubicación.

Capítulo 22
● Restaurar los puntos de unión y

restaurar en su ubicación
original los datos de archivos y
carpetas que se encuentren bajo
puntos de la ubicación original:
Especifica si el programa debe
restaurar los puntos de unión
creados con unidades montadas, así
como los datos a los que señalan
los puntos de unión. Cuando esta
casilla de verificación se desactiva,
la Copia de seguridad de Windows
2000 restaura los puntos de unión,
pero no necesariamente los datos a
los que hacen referencia.
● Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos
principales para todas las réplicas: Especifica si el programa debe restaurar los datos del Servicio
de réplica de archivos (File Replication Service, FRS) de forma que éstos sean duplicados en otros
servidores. Cuando esta funcionalidad permanece desactivada, la Copia de seguridad de Windows
2000 restaura los datos del FRS, pero debido a su antigüedad, es probable que se sobreescriban más
tarde por los datos de réplicas de otros servidores.
La Copia de seguridad de Windows 2000 sólo puede ejecutar trabajos de recuperación de

manera inmediata. El programa no puede programar recuperaciones para su ejecución.
Planificación ante los desastres
La peor pesadilla de cualquier administrador de red es el fallo catastrófico de un disco duro del servidor, y
muchos otros desastres pueden acabar en la destrucción de discos a incluso de sistemas completos.
Asegurarse de tener las copias de seguridad actuales de los discos es una parte esencial a la hora de
ejecutar cualquier plan de recuperación ante el desastre, pero, además, otros elementos del sistema de
Windows 2000 se deben proteger. La Copia de seguridad de Windows 2000 incluye funcionalidades
adicionales que permiten proteger la configuración completa del sistema para simplificar el proceso de
restauración de la computadora a su estado original.
Copias de seguridad del estado del sistema
Una entrada adicional denominada Estado del sistema aparece junto con las letras de las unidades locales
bajo la cabecera Mi Pc en la ficha Copia de seguridad de la Copia de seguridad de Windows 2000. La
selección de esta entrada hace que el programa realice una copia de seguridad de los componentes de la
configuración del sistema local que no son accesibles directamente a través del sistema de archivos. Estos
componentes incluyen los siguientes:

Capítulo 22
● Registro (en
ambos,
servidores y
estaciones de
trabajo).
● Base de datos
de registro de
clases (en
ambos,
servidores y
estaciones de
trabajo).
● Archivos de
inicio del
sistema (en
ambos,
servidores y
estaciones de
trabajo).
● Base de datos
de servicios de
certificados
(sólo en controladores de dominio).
● Servicios de directorio Active Directory (sólo en controladores de dominio). Directorio SYSVOL
(sólo en controladores de dominio).
La realización de una copia de seguridad de estos componentes hace posible la restauración completa de
un sistema a un disco nuevo sin perder ningún dominio, ninguna cuenta local de usuario, así como ninguno
de los derechos y permisos asociados con ella. Sólo se puede hacer una copia de seguridad del estado del
sistema de la máquina local, lo que significa que, si existen múltiples sistemas de Windows 2000 en la red,
el programa de copia de seguridad se tendrá que ejecutar en cada computadora para protegerlas
íntegramente. Sin embargo, la mayor parte de las veces, sólo los servidores de Windows 2000 contendrán
información irremplazable sobre el estado del sistema.
Como consecuencia de las dependencias existentes entre los distintos elementos del estado del sistema,
éstos no se pueden ni copiar ni restaurar individualmente; se deben tratar como un elemento unificado. Sin
embargo, el estado del sistema sí puede recuperarse en una ubicación alternativa, en cuyo caso, el
programa sólo restaura el registro, SYSVOL y los archivos de inicio del sistema.
A pesar de que no se pueda hacer una copia de seguridad del estado del sistema de sistemas
remotos, sí se puede hacer copia de los discos a través de la red. Se pueden proteger todos
los sistemas ejecutando primero un trabajo de copia de seguridad en cada computadora de
Windows 2000; este trabajo guarda sólo el estado del sistema en un archivo en la

Capítulo 22
computadora que dispone de la unidad de cinta (u otro medio de copia de seguridad). Así,
haciendo una copia de seguridad de la máquina completa, conjuntamente con los discos
situados en sistemas remotos, se estarán protegiendo todos los discos así como el estado del
sistema de cada máquina.
Tratamiento de los problemas de la Copia de Seguridad y de las

Restauraciones
La copia y restauración de datos en un sistema de red es un proceso que siempre ha estado supeditado a
ciertos problemas y consideraciones. Copia de seguridad de Windows 2000 hace referencia a alguno de
estos problemas, tal y como se explica en las siguientes secciones.
Copias de seguridad de los servidores Exchange
Debido a su constante uso, los servidores de correo como Microsoft Exchange presentan algunos
problemas complejos de copia de seguridad. Copia de seguridad de Windows 2000 presenta una
funcionalidad específica diseñada para realizar copias de seguridad de los servidores Exchange, y que
aparece sólo cuando el programa detecta en el sistema local el módulo de Exchange Edbbcli.dll. Cuando
este módulo está presente, un elemento de Microsoft Exchange aparece en el menú Herramientas del
programa de copia de seguridad, permitiendo especificar el nombre del servidor Exchange al que se quiere
que acceda el programa a través del convenio universal de denominaciones (Uniform Naming Convention,
UNC). También, la lista expandible de la ficha Copia de seguridad incluye un icono de Microsoft
Exchange que puede seleccionarse para hacer una copia de seguridad del servidor de correo.
Copias de seguridad de los archivos cifrados
Los sistemas de archivos de Windows 2000 guardan los archivos cifrados de la misma forma que los
archivos no cifrados; sólo se diferencian en el formato de datos. De esta forma, la realización de copias de
seguridad de archivos cifrados no compromete de ninguna forma su nivel de seguridad. Los archivos se
guardan en una cinta a otro medio con su formato cifrado y se restauran de la misma forma. El personal
encargado de realizar las copias de seguridad de estos archivos no necesita de esta forma acceso a los
códigos de cifrado, ni el acceso directo a la cinta presenta ningún riesgo.
Restauración del estado del sistema
Realizar una copia de seguridad del estado del sistema es tan simple como seleccionar el cuadro apropiado
en la pestaña de Copia de seguridad, pero su restauración resulta un poco más complicada. El proceso de
restauración no debe sólo sobrescribir los datos vitales del sistema actualmente en uso, como por ejemplo
el registro, sino que debe también (en el caso de controladores de dominio) restaurar la base de datos
Active Directory. Este problema resulta un tanto difícil porque en un dominio con múltiples controladores
de dominio, el sistema de réplica puede sobreescribir los nuevos datos restaurados debido a sus anticuados
números de secuencia de actualización.

Capítulo 22
Por ello, para restaurar de forma efectiva el estado del sistema con un controlador de dominio, se deben
realizar dos procedimientos especiales durante el proceso de restauración: iniciar la computadora en el
modo de restauración de servicios de directorio y realizar una restauración autoritaria de la base de datos
Active Directory.
Sólo es posible restaurar el estado del sistema en el sistema local. El programa Copia de
seguridad de Windows 2000 determina automáticamente la ubicación correcta de los datos
restaurados, basándose en la ubicación del directorio raíz del sistema (normalmente
C:\Winnt), y sobrescribe los datos del estado del sistema actual en la computadora.
Modo de restauración de servicios de directorio
Para restaurar Active Directory y el volumen SYSVOL en el controlador de dominio de Windows 2000, se
debe reiniciar el sistema en modo de restauración de servicios de directorio, un modo de seguridad que
asegura que el sistema se encuentra preparado para sobrescribir su base de datos Active Directory. Para
hacer esto, hay que reiniciar el sistema y cuando se observe el mensaje Por favor seleccione el sistema
operativo para comenzar, se debe presionar la tecla F8. Desde el menú de inicio, hay que seleccionar el
modo de restauración de servicios de directorio. Después de comprobar la integridad de las unidades de
disco, Windows 2000 carga el sistema operativo con una configuración de servidor independiente y con un
conjunto de controladores genéricos que permiten un modo de acceso seguro al sistema operativo.
Dado que el sistema de controlador de dominio no se encuentra funcionando en este momento como un
controlador de dominios, se podrán ver mensajes de error que indiquen que los servicios dependientes del
Active Directory no se han cargado. Esto es previsible. Dado que la máquina no se encuentra funcionando
como un controlador de dominio, no está utilizando los objetos de grupos y usuarios asociados con el
dominio. En su lugar, el sistema se encuentra utilizando un pequeño conjunto de cuentas de grupo y
usuario almacenadas en el registro en lugar del Active Directory. A partir de aquí, se puede ejecutar la
copia de seguridad de Windows 2000 y restaurar el estado del sistema.
Restauración autoritaria
Cuando se recupera el estado del sistema en un controlador de dominio, los objetos restaurados de Active
Directory tienen los mismos números de secuencia de actualización que cuando se les aplicó la copia de
seguridad. Estos números son necesariamente más antiguos que aquellos que se encuentran actualmente en
uso en el Active Directory y por ello se les considerará anticuados y se sobrescribirán durante el siguiente
ciclo de réplica. Para evitar que esto ocurra, se debe realizar una Restauración autoritaria de los datos del
Active Directory almacenados como parte del estado del sistema en el medio donde se ha realizado la
copia de seguridad. Una restauración autoritaria es aquélla que indica los objetos restaurados del Active
Directory como autoritarios, lo cual significa que durante el siguiente suceso de réplica, éstos
sobrescribirán los objetos equivalentes de los controladores de dominio que contienen las réplicas.
Para realizar una restauración autoritaria, se debe ejecutar después de restaurar el estado del sistema y
antes de reiniciar la computadora el programa de Windows 2000 Ntdsutil.exe, el cual modificará los

Capítulo 22
números de secuencia de actualización de los objetos restaurados para que hagan parecer a las réplicas que
contienen los últimos datos disponibles.
Ntdsutil
El programa Ntdsutil.exe es una utilidad interactiva de línea de comandos que se copia de manera
predeterminada durante la instalación del sistema operativo en la carpeta \%SysDir\System32. Cuando se
inicia el archivo ejecutable desde la línea de comandos se observa un indicador etiquetado como ntdsutil
El programa utiliza una serie de menús para navegar a través de sus funciones. Para obtener una lista de
los comandos y submenús disponibles cuando aparezca cualquier indicador, hay que introducir un signo de
interrogación (?) o help. Para realizar una restauración autoritaria, hay que escribir authoritative restore en
el indicador ntdsutil y, a continuación, introducir help para visualizar los siguientes comandos disponibles:
● Restore Database: Modifica los números de secuencia de actualización de todos los objetos del
Active Directory, haciendo que se conviertan en autoritarios para todo el dominio.
● Restore Database Verinc %d: Restaura de manera autoritaria la base de datos entera especificada
por la variable %d a ignora el incremento de versión.
● Restore Subtree %s: Modifica los números de secuencia de actualización de los objetos del Active
Directory en el subárbol especificado por la variable %s, convirtiéndolos en autoritarios para todo
el dominio.
● Restore Subtree %s Verinc %d: Restaura de manera autoritaria el subárbol especificado por la
variable %s a ignora el incremento de versión.
De esta forma, para usar la base de datos completa del Active Directory restaurada con el estado del
sistema como información autoritaria, se utiliza el comando Restore Database en el indicador authoritative
restore: del comando Ntdsutil.exe. El programa abre la base de datos a incrementa el número de versión de
todos los objetos del Active Directory en 100.000. Una vez completado el proceso, se puede salir del
programa introduciendo quit dos veces y reiniciando el sistema en modo normal. Cuando la computadora
se encuentre funcionando como un controlador de dominios de nuevo, replicará su base de datos Active
Directory al resto de los controladores del dominio y, dado que los números de versiones de sus objetos
serán sustancialmente superiores que los de sus .réplicas, el sistema copiará los datos restaurados a todas
las réplicas del dominio.
Conservación de los permisos NTFS
Los permisos del sistema de archivos son un elemento esencial de cualquier estrategia de almacenamiento
en red, y para que un programa de copia de seguridad funcione dentro de un entorno de red, éste debe ser
capaz de guardar los permisos conjuntamente con los archivos así como de restaurarlos ya sea en su
ubicación original o en otra distinta. Sin embargo, la variedad de sistemas de archivo que soporta
Windows 2000 complica el proceso considerablemente. Los sistemas de archivo FAT no soportan
permisos y, si se restaura una copia de seguridad de una unidad NTFS a una unidad FAT, estos permisos
se pierden.

Capítulo 22
La introducción de NTFS 5 en Windows 2000 presenta otra incompatibilidad importante, que es la de

unidades NTFS creadas con Microsoft Windows NT 4. Cuando se restaura una copia de seguridad de una
unidad NTFS 5 a otra unidad Windows NT4 NTFS, se pierden los siguientes elementos:
● Permisos.
● Parámetros de configuración del Sistema de cifrado de archivos (Encrypting File System, EFS).
● Información de la cuota de disco.
● Información sobre unidades montadas.
● Información sobre almacenamiento remoto.
La pérdida de estos elementos puede comprometer la seguridad de la red y hacer imposible el acceso a
datos que se encuentran cifrados o almacenados en otra unidad o medio. La restauración de archivos de
datos de NTFS 5 a otro sistema de archivos puede causar la pérdida de datos de documentos incrustados o
vinculados, así como de formatos de almacenamiento de datos alternativos como, por ejemplo, los usados
por los servicios de Macintosh, archivos de imágenes de disco y ciertos tipos de archivos personalizados
por ciertas aplicaciones de otros fabricantes. Antes de realizar una restauración NTFS, se debe tener en
cuenta el sistema de archivos utilizado en la unidad de destino.

Capítulo 23
Capítulo 23
El Registro suscita miedo a muchos administradores de sistemas porque es el almacén central de los parámetros de configuración del sistema. Cometer errores
mientras se edita el Registro puede tener consecuencias indeseables, pero su uso no difiere mucho del de un automóvil o máquina de coser. Todas las
herramientas potentes producen consecuencias negativas si no se usan adecuadamente. Si se sabe lo que se está haciendo y se toman algunas precauciones
simples, se puede sacar un gran provecho de una herramienta potente -como el Registro- sin miedo.
Introducción al Registro
El Registro es una base de datos binaria que organiza jerárquicamente todos los parámetros de configuración del sistema. Las aplicaciones, los componentes del
sistema, los controladores de dispositivos e incluso el núcleo de Microsoft Windows 2000 utilizan el Registro para almacenar sus preferencias, leerlas de nuevo y
obtener información acerca de la configuración hardware del sistema, las preferencias de usuario actuales y las configuraciones predeterminadas que deben
usarse cuando no existen parámetros predefinidos (como por ejemplo, cuando un usuario nuevo inicia una sesión en el sistema por primera vez).
Orígenes del Registro
Anteriormente, en los años de Microsoft Windows 3.1, tanto las aplicaciones como Windows almacenaban la información de sus configuraciones en archivos
.INI. Estos archivos eran fáciles de editar, lo cual era una bendición y una maldición -los usuarios podían realizar cambios fácilmente cuando era necesario, pero
también podían efectuar cambios cuando éstos no eran necesarios-. La proliferación de aplicaciones Windows supuso el esparcimiento por las computadoras de
docenas de archivos .INI, cada uno de ellos con su propia combinación de parámetros (sin que la mayoría de éstos pudiera ser documentado o incluso
comprendido por personas que no fueran los propios programadores de la aplicación).
Windows NT 3.1 casi eliminó por completo los archivos .INI introduciendo el predecesor de lo que hoy se conoce como Registro de Windows 2000. El Registro
de Windows NT 3.1 tenía algunas características de importancia que han continuado, o más o menos no han sufrido alteraciones, hasta Windows 2000.
● La información del Registro se organiza por categorías, de forma que los parámetros que pertenecen a un usuario concreto (como la elección del papel del
tapiz) se guardan separadamente de los parámetros de otros usuarios o los propios parámetros internos del sistema. Cada parámetro se guarda como una
pieza de información independiente.
● La información del Registro se almacena en archivos de base de datos binarios en disco; la única forma de visualizar o editar estos archivos es utilizando
herramientas especiales destinadas a este propósito que se llaman a través de las rutinas de acceso al Registro de la Win32 API.
● Cada elemento de datos en el Registro tiene un tipo de datos, como REG_DWORD (un entero largo) o REG_SZ (una cadena ASCII). Los editores del
Registro del sistema vigilan el cumplimiento de estos tipos de datos, por eso no puede ponerse una cadena donde habría que poner un número. Esta
restricción permite eliminar un tipo de errores (los intentos bien intencionados pero desinformados de poner una clavija redonda en un taco cuadrado).
● Al igual que cualquier objeto del sistema, cada elemento del Registro tiene un propietario, pudiendo tener su propio conjunto de listas de control de
acceso Access Control Lists, ACL) y controles de auditoria.
● Con los permisos apropiados, los administradores o programas de una computadora pueden conectarse, leer y modificar los registros de computadoras
remotas.
Capítulo 23
Algunas de estas características también existen en Windows 95/98, que comparten los principios de organización del Registro de Windows NT sin sus
características de seguridad y acceso remoto. Las dos familias de sistemas operativos (SO) utilizan formatos internos diferentes para sus bases de datos del
Registro a pesar de que sus registros parecen similares para las herramientas de edición del Registro; sus archivos no son intercambiables ni interoperativos.
Quizás el aspecto más destacable del Registro de Windows 2000 es lo poco que ha cambiado con respecto a su versión anterior en Windows NT 4. Las
estructuras binarias para almacenar los datos son las mismas.
Datos del Registro
La información del Registro se utiliza en seis áreas diferentes:
● La información del Registro se utiliza durante la puesta en marcha, instalación, configuración y eliminación del propio SO, de componentes del SO como
los servicios de Internet Information Server (IIS) o Certificate Server, así como de dispositivos hardware. Cada vez que se ve un «Agregar/eliminar algo a
otro Asistente» se utiliza la información del Registro.
● Durante el tiempo de inicio del sistema, el reconocedor de Windows 2000 (Ntdetect.com) y algún código asociado en el núcleo de Windows 2000 busca
los dispositivos hardware y almacena lo que encuentra en una porción de memoria del Registro.
● El núcleo de Windows 2000 utiliza la información recogida durante el inicio del sistema para decidir qué controladores de dispositivo cargar y en qué
orden; también almacena la información que necesitan dichos controladores en el Registro.
● Los controladores de dispositivo utilizan la información escrita por el reconocedor y el núcleo para autoconfigurarse en función del hardware físico que se
encuentre en la máquina.
● Las herramientas del sistema y las aplicaciones, como los paneles de control y algunos complementos MMC, leen y escriben información de
configuración en el Registro.
● Las aplicaciones pueden almacenar sus propios parámetros en el Registro; es más, pueden incluso leer (y posiblemente escribir) la información reunida
por otro software que utiliza el Registro.
Hay que tener en cuenta que durante las fases de inicio, del núcleo o del controlador de dispositivos, el sistema no puede utilizar el disco --el sistema no puede «
hablar» al disco hasta que se cargan los controladores de dispositivo-.
Microsoft advierte constantemente de que la edición del Registro es peligrosa; ¿es así realmente o simplemente se están cubriendo las espaldas?
La respuesta se encuentra más o menos entre los dos extremos. Dado que el Registro se utiliza por casi cualquier parte de Windows 2000, y dado
también que los programadores son perezosos a la hora de escribir código que compruebe los valores que provienen del Registro, cualquier
cambio inadecuado o poco contrastado que se haga al Registro, puede provocar un gran daño a la máquina. Dicho esto, sin embargo, si se tiene
cuidado y se presta atención, no hay razón alguna para temer al Registro. Algunas reglas simples ayudan a evitar los problemas bastante:
● No editar ninguna parte del Registro por diversión. Si no se sabe cómo puede afectar al sistema un cambio puntual, es mejor no hacerlo a
menos que uno sepa cargar con las consecuencias.
● Hay que ser cuidadoso a la hora de añadir nuevos valores o claves. El software sólo prestará atención a las claves que contengan nombres
que pueda comprender. El añadir una nueva clave o valor esperando que algún componente la reconozca y cambie su comportamiento es
como añadir un nuevo botón denominado < Propulsión a chorro> en el salpicadero del coche y esperar que éste incremente su velocidad.
La excepción a esta regla es que Microsoft utiliza a menudo código capaz de reconocer claves ocultas (o al menos poco documentadas) y
Capítulo 23
cambiar su comportamiento apropiadamente.
● Mantener una copia de seguridad actual del estado del sistema.
Estructura del Registro
En un sistema de archivos, los objetos raíz son discos que contienen carpetas o archivos. Una carpeta concreta puede contener un número arbitrario de otras
carpetas y archivos; cada carpeta o archivo tiene un nombre. Combinando los nombres de las carpetas que incluyen un archivo, se puede construir un camino
capaz de nombrar sin ambigüedad un único archivo del disco, de forma que, por ejemplo, C:\Windows\Mapi32.dll y C:\Winnt\Mapi32.dll sean dos archivos
completamente distintos.
El Registro de Windows 2000 se encuentra organizado en gran parte como un sistema de archivos, si bien el vocabulario necesario para su descripción es algo
diferente. En la raíz de la estructura del Registro se encuentran las claves predefinidas (comparables con los discos en el sistema de archivos). Cada clave
predefinida contiene varias subclaves (carpetas); continuando, estas subclaves contienen otras subclaves y valores (las que equivalen en el Registro a los
archivos). Al igual que pasa con los archivos, cada valor tiene un nombre que debe ser único en la subclave o carpeta que lo contiene; cada valor tiene un tipo de
datos asociado que rige el tipo de datos que puede soportar.
Cualquier valor del Registro puede identificarse especificando su camino completo comenzando desde la raíz. Por ejemplo, el camino
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Exchange
\Security
\ObscureWireDataFormat especifica un valor concreto en la subclave de Security perteneciente a Microsoft Exchange
Server.
Las claves predefinidas
Cuando se abre el icono Mi PC en el escritorio, siempre se ven ciertos elementos, como los iconos que representan los volúmenes de disco lógicos de la
computadora. Lo mismo se aplica al Registro. Cuando éste se abre con un Editor del Registro, siempre se observa el mismo conjunto de claves predefinidas.

Capítulo 23
Cada
clave predefinida tiene un propósito diferente:
● HKEY_LOCAL_MACHINE almacena todos los parámetros pertenecientes a la máquina local. Por ejemplo,. la subclave HARDWARE de
HKEY_LOCAL_MACHINE es donde el sistema y sus controladores de dispositivo almacenan y comparten la información de los dispositivos hardware
que el sistema encuentra durante el inicio (al igual que otros dispositivos Plug-and-Play que se pueden añadir una vez que el sistema se ha iniciado). Las
aplicaciones sólo deben guardar información aquí si ésta pertenece a todo el mundo que utiliza la máquina; por ejemplo, un controlador de impresora
podría guardar aquí un conjunto de parámetros predeterminados de impresión y copiarlos a cada perfil de usuario nuevo cuando éste o ésta inician una
sesión.
● HKEY_USERS contiene una entrada para cada usuario que haya iniciado una sesión previamente en la computadora. Cada entrada de usuario pertenece
a la cuenta del mismo usuario, y contiene los parámetros del perfil habilitado para ese usuario. Cuando se utilizan directivas de grupo, los parámetros de
directiva especificados se aplican al perfil de cada usuario concreto aquí.
● HKEY_CURRENT_CONFIG guarda la información relativa a la configuración actual del inicio del sistema. En particular, contiene información sobre
el conjunto actual de servicios del sistema, así como sobre los dispositivos presentes durante el tiempo de inicio. Esta clave predefinida es realmente un
puntero a secciones dentro de HKEY_LOCAL_MACHINE.
● HKEY_CURRENT_USER apunta al perfil del usuario que haya iniciado la sesión actual dentro de HKEY_USERS. Microsoft requiere que las
aplicaciones de Windows 2000 guarden las preferencias específicas de los usuarios en las subclaves que se encuentran por debajo de
HKEY_CURRENT_USER; por ejemplo, HKEY_CURRENT_USER\SOFTWARE\Binary Research\GhostSrv\Settings almacena las preferencias de
usuario personales del producto Symantec's Ghost. Otro tipo de configuración de usuario para el mismo producto se encontraría disponible en la misma
clave sólo cuando el usuario se encuentre con una sesión abierta.
● HKEY_CLASSES_ROOT enlaza las extensiones de archivo y los identificadores de clases OLE; realmente apunta a
HKEY_LOCAL_MACHINE\SOFTWARE\Classes. Los componentes del sistema como el explorador de Windows (y Microsoft Internet Explorer)
Capítulo 23
utilizan estas asociaciones para determinar qué componentes o aplicaciones usar cuando se abre o se crea un tipo particular de archivo a objeto de datos.
Dado que Windows 2000 se basa profundamente en el Modelo de objetos de componentes (Component Object Model, COM), quien a su vez se basa en
los identificadores de objeto que se encuentran en HKEY_CLASSES_ROOT, esta clave y sus subclaves son más importantes de lo que pudiera parecer en
un principio.
En la documentación de Windows 2000, Microsoft identifica únicamente dos claves predefinidas: HKEY_LOCAL_MACHINE y HKEY_USERS.
Dado que HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT son realmente punteros a subclaves de
HKEY_LOCAL_MACHINE y HKEY_USERS, esto es técnicamente correcto, pero uno podría confundirse si se adhiere a la idea de la existencia
de cinco clases predefinidas separadas. Para evitar dicha confusión, se utilizará la notación antigua.
Un cambio importante en el Registro de Windows 2000 implica a HKEY_CLASSES_ROOT. En Windows NT 4 y sus versiones anteriores, la
información en HKEY_CLASSES_ROOT es la misma para todos los usuarios. De alguna forma, ésta fue una decisión de diseño razonable que
toma Microsoft (todos los usuarios de una máquina tienen acceso al mismo conjunto de componentes OLE instalados y a la misma
correspondencia de archivos).
Sin embargo, una de las quejas más comunes expresadas por los administradores cuyos usuarios debían compartir máquinas era que las
asociaciones predeterminadas de dos usuarios podían diferir bastante. Si un usuario elige Netscape Navigator como navegador Web
predeterminado, ello modifica el HKEY_CLASSES_ROOT; si un usuario selecciona posteriormente Internet Explorer como navegador
predeterminado para la misma máquina, esto elimina la elección original. Y lo que es más importante, la habilidad de los usuarios para cambiar
estos valores reduce la seguridad del sistema de dos formas: permite que los usuarios puedan cambiar las asociaciones de otros usuarios
(incrementando el riesgo de introducir código malicioso) y fuerza a los administradores a quitar permisos de
HKEY_LOCAL_MACHINE\SOFTWARE\Classes, dado que todos los usuarios necesitan acceder a él.
Microsoft ha modificado este comportamiento en Windows 2000 de tal forma que el HKEY_CLASSES_ROOT contiene información procedente de
dos fuentes: el perfil de usuario (donde se guardan las personalizaciones específicas del usuario) y
HKEY_LOCAL_MACHINE\,SOFTWARE\Classes, donde residen los parámetros globales del sistema. Los usuarios pueden registrar y eliminar
componentes COM, cambiar la asociación de archivos, etc., sin que esto afecte a otros usuarios. Los administradores pueden ajustar los permisos
en HKEY_LOCAL_MACHINE\SOFTWARE\Classes de tal forma que los usuarios no puedan entrometerse con los parámetros globales de sistema
que se quiere que tengan.
Subclaves principales
Dentro de las claves predefinidas, existen varias subclases cuya notación es importante. Como cada clave predefinida tiene tanta información por debajo, es
normal referirse a estas subclases individuales directamente -después de todo, HKEY_LOCAL_MACHINE\HARDWARE y
HKEY_LOCAL_MACHINE\SOFTWARE no tienen mucho en común, exceptuando su clave predefinida.
HKEY_LOCAL_MACHINE\HARDWARE
La subclave HKEY_LOCAL_MACHINE\HARDWARE almacena la información del hardware que se encuentra en el sistema. Todos los valores que se
almacenan aquí se mantienen sólo en la RAM, no en el disco, debido al ordenamiento del controlador de dispositivos mencionado anteriormente. Cuando el
reconocedor de hardware se ejecuta, enumera todos los dispositivos que encuentra al explorar los buses del sistema y buscar clases específicas de dispositivos,
Capítulo 23
como puertos paralelos o teclados. Por debajo de HKEY_LOCAL_MACHINE\HARDWARE subyacen tres subclases importantes:
● La subclave DESCRIPTION contiene descripciones de las CPU, procesadores en coma flotante y dispositivos multifunción del sistema. La información
almacenada aquí se ha incrementado considerablemente en comparación con lo que se encuentra disponible en Windows NT 4; por ejemplo, la subclase
CentralProcessor hace un seguimiento de un cierto número de parámetros que no se encuentran disponibles en Windows NT 4. Para computadoras que
usan placas base multipropósito, como la serie Intel BX, uno de los dispositivos multifunción reflejado en esta subclase refleja los controladores
integrados de la placa base, con entradas separadas para los controladores de disco, teclado, puntero, paralelo y serie.
● La subclave DEVICEMAP vincula un dispositivo específico a un controlador específico. Por ejemplo, DEVICEMAP\Video contiene un valor
denominado \Device\Video 1 que contiene una cadena \REGISTRY\Machine\SYSTEM\ControlSet001\Services\mnmdd\Device0, que es un puntero al
lugar donde el controlador para esa controladora de vídeo almacena sus parámetros.
● La subclave RESOURCEMAP existe en Windows NT 4, pero se ha reorganizado completamente en Windows 2000. Ahora contiene tres subclaves
primarias: una para la capa de abstracción de hardware (Hardware Abstraction Layer, HAL) que se utiliza cuando se hace un seguimiento de los
dispositivos que encuentra, otra para el administrador Plug-and-Play para registrar los dispositivos que sabe manejar y otra que refleja la cantidad de
recursos del sistema (Microsoft-speak para la RAM) disponibles en la máquina.
Dependiendo de la configuración de la máquina, es posible que existan otras subclaves adicionales. Por ejemplo, los sistemas que soportan Advanced
Configuration Power Interface (ACPI) disponen de una subclase ACPI que contiene información sobre las subclases ACPI concretas que la computadora soporta.
HKEY_LOCAL_MACHINE\SAM
El hecho de que Windows 2000 incluya el servicio de directorio Active Directory no implica que no queden vestigios de Security Accounts Manager (SAM).
Cuando se crean cuentas locales o grupos en Windows 2000, éstos se almacenan en HKEY_LOCAL_MACHINE\SAM al igual que se hace en Windows NT. Sin
embargo, aunque no es posible editar o visualizar la información de esta subclave, sí resulta muy útil para la compatibilidad con código de versiones antiguas de
NT que da por hecho la existencia de SAM. Las rutinas de programación que acceden a la información de SAM se han reconstruido para que utilicen Active
Directory cuando éste exista, o SAM si no existe un servidor Active Directory.
HKEY_LOCAL_MACHINE\SECURITY
Tal y como uno espera, HKEY_LOCAL_MACHINE\SECURITY contiene gran cantidad de información sobre seguridad. Su formato no está documentado y no
es posible realizar nada en la subclave. Sin embargo, las credenciales caché de inicio de sesión del sistema, las políticas de configuración y los secretos sobre
servidores compartidos residen en esta subclave. La subclave SECURITY\SAM contiene una copia de casi toda la información de
HKEY_LOCAL_MACHINE\SAM.
Si uno siente curiosidad por saber lo que hay en HKEY_LOCAL_MACHINE\SAM y HKEY_LOCAL_MACHINE\SECURITY, es posible abrir estas
dos claves ejecutando Regedt32 en el contexto de seguridad LocalSystem. La forma más fácil de realizar esto es utilizando el comando At para
programar que Regedt32 se ejecute en una sesión interactiva. Basta con programarlo para que se ejecute más o menos durante un minuto en el
futuro de la siguiente forma:
at 12:34 /interactive regedt32.exe
El comando advierte al sistema para que programe la ejecución de Regedt32 en un minuto a partir de ese momento (esto se escribe a las 12:33);
Capítulo 23
cuando se ejecuta, el servicio de programación del sistema inicia la aplicación de forma que se ejecute en el contexto LocalSystem en lugar del
contexto en el que uno tenga actualmente abierta la sesión. A pesar de que ésta es una forma interesante de ver lo que hay en estas subclaves, hay
que estar prevenido de dos cosas. La primera es que los valores que se encuentran en estas subclaves no tendrán mucho sentido para el usuario,
puesto que han sido intencionadamente ocultados. La segunda, y más importante, es que no hay que olvidar que el cambio de uno de estos valores
provocará casi con toda seguridad consecuencias indeseables no intencionadas. En otras palabras, se mira, pero no se toca.
HKEY_LOCAL_MACHINE\SOFTWARE
La subclave HKEY_LOCAL_MACHINE\SOFTWARE se utiliza como ubicación raíz para el almacenamiento de las configuraciones generales de las
aplicaciones y componentes del sistema. Por ejemplo, HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\EnterpriseCertificates contiene claves que
almacenan las Listas de confianza de certificados (Certificate Trust List, CTL) y los certificados de confianza CCA de la máquina -los certificados CCA y CTL
de usuarios particulares se almacenan en otro sitio-. Los programas individuales, los paneles de control y similares pueden crear sus propias subclaves bajo
HKEY_LOCAL_MACHINE\SOFTWARE; el estándar predeterminado es que cada fabricante cree su propia clave en el nivel superior (por ejemplo,
HKEY_LOCAL_MACHINE\SOFTWARE\Intel) para después crear subentradas por debajo de dicha clave.
Las partes más interesantes de esta subclave son HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion (que almacena la mayor parte
de la información preferente de la GUI; su nombre es el mismo que el de la correspondiente clave de Windows 95/98) y HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion. Esta última subclave se ha expandido considerablemente en Windows 2000; por ejemplo, existen nuevas
claves para el manejo de la recuperación automática del servidor, el Sistema de archivos de cifrado, el Editor de configuración de seguridad, Terminal Services y
otras nuevas características.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Cuando se inicia Windows 2000, la última acción que se realiza en la fase de inicio es la actualización del Registro para que refleje el conjunto de controles y
servicios que se usaron por última vez para iniciar la máquina con éxito. CurrentControlSet siempre apunta al conjunto de controles que se encuentra actualmente
en uso en el sistema. Si se mira en HKEY_LOCAL_MACHINE\SYSTEM, se observan principalmente claves del tipo ControlSetXXX. Cada subclave
ControlSetXXX representa un conjunto de control que existió alguna vez, sin importar si se ha utilizado con éxito para iniciar la máquina. CurrentControlSet no
es más que un puntero al conjunto de inicio con éxito más reciente, pero dado que no es fácil determinar qué conjunto era ése, el sistema operativo y las
aplicaciones utilizan CurrentControlSet en su lugar.
Por debajo de este conjunto existen cuatro claves que heredan sus nombres de versiones anteriores de Windows NT, si bien sus entresijos difieren bastante en
comparación con Windows 2000:
● Control: Contiene información de control de servicios y herramientas del sistema. Por ejemplo, Control\BackupRestore\KeysNotToRestore contiene una
lista de claves que la Copia de seguridad de Windows 2000 no debe restaurar (incluyendo los contenidos de la subclave Plug-and-Play) cuando recupera
el Registro.
● Enum: Contiene una entrada para cada dispositivo o pseudodispositivo físico que detecta el sistema. Por ejemplo, Enum\USB\Vid 0461&Pid 4d03\Inst 0
contiene información sobre el ratón USB que se conecta en un portátil. Dado que se encuentra presente durante el tiempo de inicio, se incluye en la lista
de enumeración.
● Hardware Profiles: Contiene una entrada para cada perfil hardware definido en la máquina. A1 igual que HKEY_LOCAL_MACHINE\SYSTEM, cada
perfil tiene un número de serie, comenzando siempre con 0001. HKEY_LOCAL_MACHINE\SYSTEM\Hardware Profiles\Current siempre apunta al
Capítulo 23
perfil que se selecciona durante el tiempo de inicio.
● Services: Contiene una subclave para cada servicio instalado. De hecho, estas subclaves guardan toda la información de configuración que un servicio
necesita. El conjunto exacto de claves de dos máquinas será diferente si éstas tienen diferentes servicios cargados.
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
Los volúmenes de discos dinámicos de Windows 2000 son un gran logro técnico y un regalo para los administradores, pero su funcionamiento se basa en tener
una configuración actual de los volúmenes lógicos en disco. Las aplicaciones (y complementos, como el complemento de Administración de archivos) toman
esta información del servicio de Administración de volúmenes lógicos; de hecho, este servicio almacena su lista de dispositivos montados y disponibles en la
subclave MountedDevices.
Almacenamiento de datos
A pesar de que los programas y servicios que utilizan el Registro no tienen por qué comprender cómo se almacena la información del Registro, los
administradores sí deben saberlo -de esta forma es posible saber dónde se almacenan los datos, cómo utiliza el Registro los diferentes tipos de datos, así como
qué archivos deben ser salvaguardados como parte de las copias de seguridad-. No es necesario conocer los formatos internos que utilizan las herramientas del
Registro, pero sí los tipos de datos básicos y las ubicaciones de almacenamiento.
Cada valor del Registro (al cual Microsoft denomina entradas de valor) tiene tres partes: un nombre, un tipo de datos y un valor actual. Por ejemplo, si se mira un
artículo de Microsoft Knowledge Base que hable sobre cierta clave -REG_SZ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Replicator\Parameters\GuardTime, por ejemplo-, es posible observar una definición
completa de una entrada de valor (aunque siempre esté bien ver un camino completo para los valores para saber dónde añadirlos o eliminarlos).
Tipos de datos útiles
Para almacenar datos en el Registro, es posible utilizar siete tipos de datos. Realmente sólo se suelen utilizar dos tipos para almacenar la mayor parte de la
información del Registro: REG_DWORD y REG_SZ. Los siete tipos son:
● REG_BINARY almacena datos binarios arbitrarios en un formato no procesado, sin ningún tipo de reformato o análisis. Es posible ver los datos binarios
en formato binario o hexadecimal utilizando uno de los editores del Registro de Windows 2000.
● REG_DWORD guarda un valor de entero largo de 8 bits (o palabra doble). Este tipo se utiliza normalmente cuando una entrada indica una cuenta o
intervalo, aunque también es común ver indicadores REG_DWORD (0 significa que el indicador está desactivado y 1 que está activado).
● REG_SZ es una cadena ordinaria de tipo Unicode. Estas cadenas pueden tener cualquier longitud; este tipo se utiliza normalmente para guardar caminos,
mensajes legibles para los humanos, nombres de dispositivos, etc.
● REG_EXPAND_SZ es un REG_SZ con un variación -las aplicaciones pueden contener caracteres especiales en la cadena y después traducir esos
caractéres cuando se lee el valor desde el Registro-. Por ejemplo, Algo es un REG_EXPAND_SZ cuyo valor normal es %SystemRoot%\System32\Algo.
Cuando Windows 2000 lee la cadena, expande %SystemRoot% al camino completo donde está instalado el sistema operativo.
● REG_MULTI_SZ es una colección de un número arbitrario de valores REG_SZ. Por ejemplo, la lista de servidores DNS especificados en el cuadro de
diálogo Propiedades TCP/IP se almacena en un valor REG_MULTI_SZ. Las aplicaciones deben saber cómo dividir un único REG_MULTI_SZ en sus
partes correspondientes.
● REG_FULL_RESOURCE_DESCRIPTOR es un tipo raro; se utiliza para codificar información sobre los recursos de sistema requeridos por un
Capítulo 23
dispositivo concreto. Nunca lo hemos visto aparecer fuera de las subclaves de HKEY_LOCAL_MACHINE\HARDWARE.
● REG_NONE es sólo un contenedor. Se utiliza para indicar la existencia de un valor de registro que actualmente no contenga ninguna información.
Algunos componentes comprueban la presencia o ausencia de una clave o valor específico para controlar su funcionamiento en tiempo de ejecución; es
normal que estos componentes busquen un elemento de tipo REG_NONE; dado que este tipo no contiene ninguna información, es posible que los
usuarios jueguen con estos valores.
En la administración rutinaria, bastará con saber la diferencia existente entre los valores REG_DWORD y REG_SZ. Un valor REG_DWORD cuyo contenido
sea 0 (el valor numérico 0) es distinto de un valor REG_SZ cuyo contenido sea « 0» (el carácter "0"). Si es necesario añadir un nuevo valor de Registro (quizás
porque un artículo de Microsoft Knowledge Base recomiende hacerlo), habrá que asegurarse de utilizar el tipo correcto si no se quiere tener problemas con los
componentes que utilicen dicho valor.
Claves volátiles
Algunas claves y valores de registro son volátiles en el sentido original de la palabra -es decir, no son persistentes y pueden evaporarse en cualquier momento-.
Como ejemplo, ninguna de la información en HKEY_LOCAL_MACHINE\HARDWARE existe en ninguna parte del disco; la subclave completa y todos sus
contenidos residen completamente en memoria. Cada vez que se inicia una máquina con Windows 2000 se crea una nueva subclave, y cuando se cierra el sistema
sus contenidos desaparecen.
Claves basadas en disco
Las claves volátiles son útiles para guardar la información que no necesita permanecer entre los distintos reinicios de la máquina, pero la mayor parte de los datos
almacenados en el Registro no servirían de mucho si no fueran persistentes. Basta con imaginarse el tener que reconfigurar todas las preferencias y
configuraciones siempre que se reinicia la máquina, lo que la haría caducar pronto. La mayor parte de las claves de registro están basadas en disco, lo cual
significa que sus contenidos se guardan en las estructuras del disco. Siempre que se actualiza el contenido de alguna clave, la versión de disco hace lo propio.
A pesar de que las claves basadas en disco se guardan eventualmente en el disco, Windows 2000 las hace corresponder con un conjunto de memoria paginado
(un área de la memoria cuyos contenidos pueden escribirse al archivo de página cuando éste no se esté usando) para conseguir un acceso más eficiente. El límite
de tamaño del Registro, regula la cantidad de información que puede almacenarse en el conjunto paginado.
Situación de la información en el disco
Microsoft utiliza el término «sección» para referirse a un grupo de claves y valores que deben permanecer juntos. Una sección puede ser una clave raíz o una
subclave; por ejemplo, HKEY_CURRENT_CONFIG es una sección (a pesar de que sea sólo un puntero a una parte de HKEY_LOCAL_MACHINE), al igual
que pasa con HKEY_LOCAL_MACHINE\SAM. El concepto importante que hay que recordar sobre las secciones es que una sección es una unidad
independiente que puede cargarse y descargarse independientemente de otras secciones.
Windows 2000 utiliza seis secciones:
● DEFAULT (que corresponde a HKEY_USERS\.DEFAULT)

● SAM (HKEY_LOCAL_MACHINE\SAM)
● SECURITY (HKEY_LOCAL_MACHINE\SECURITY)
Capítulo 23
● SOFTWARE (HKEY_LOCAL_MACHINE\SOFTWARE)
● SYSTEM (HKEY_LOCAL_MACHINE\SYSTEM).
● La sexta sección, que se corresponde con los contenidos de HKEY_CURRENT_USER, es más conocida como perfil de usuario (un perfil de usuario es
realmente una sección que se carga en el Registro cuando un usuario inicia una sesión y se descarga cuando se sale del sistema).
Cada sección se almacena en su propio archivo en el disco (los archivos tienen los mismos nombres que las secciones), conjuntamente con un archivo de registro
separado que se comporta como un diario que informa sobre todos los cambios que ha sufrido la sección. Los archivos de sección no tienen extensiones y el
sistema los mantiene abiertos todo el tiempo; por ello, es necesario utilizar una herramienta especial de copia de seguridad o ARCServe para copiarlos.
Entonces, ¿dónde residen estos archivos de sección? A1 igual que sucede con otras cuestiones relativas a Windows 2000, la respuesta es un «depende». En este
caso, la respuesta depende de los archivos de sección de los que se esté hablando. Los cinco grandes (DEFAULT, SAM, SECURITY, SOFTWARE y SYSTEM),
al igual que sus archivos .LOG, se guardan en la subcarpeta System32\Config de la carpeta Install de Windows 2000.
La ubicación de los archivos de perfil de usuario (Ntuser.dat y Ntuser.dat.log para el usuario que se encuentre actualmente conectado, y Default y Default.log
para el usuario predeterminado) depende del sistema operativo que existía en la máquina antes de instalar Windows 2000. Las máquinas que se actualizaron
desde Windows NT 4, o aquellas en las que se instaló Windows 2000 limpiamente, guardan estos perfiles en la subcarpeta Profiles\Username de la carpeta raíz
del sistema. (Cada usuario tiene su propia subcarpeta.) Para las máquinas en las que se actualizó desde Windows 95 o Windows 98, los perfiles se guardan en una
carpeta definida por el usuario en la carpeta Documents and Settings.
Editores del registro
Cuando se necesite cambiar algún valor en el Registro, habrá que utilizar algún tipo de editor del Registro. Muchos de los parámetros que se cambian en los
paneles de control, objetos de Políticas de grupo o complementos MMC se guardan realmente en el Registro, por eso estas utilidades pueden verse como un tipo
de editor del Registro. Otro tipo es un guión escrito a medida que se utiliza para hacer un cambio específico, quizás como una parte del guión de inicio o un
archivo que se distribuye a los usuarios. Sin embargo, la mayor parte de las veces que se quiera realizar un cambio directamente en el Registro, se utilizará una
de las dos herramientas que Microsoft incluye con Windows 2000: Regedt32.exe o Regedit.exe.
¿Por qué hay dos editores del Registro en Windows 2000? Por culpa de Windows NT 4. Las distribuciones de Windows NT 3.1, 3.5 y 3.51 incluían un editor del
Registro denominado Regedt32. Esta herramienta se construyó para manipular las claves y valores del Registro de Windows NT y refleja los estándares para el
diseño de interfaces de Microsoft de la época en la que fueron escritos (1992 más o menos).
Cuando se desarrollaba Windows 95, Microsoft se percató de que Regedt32 no era una apuesta acertada para la interfaz de Windows 95 o para las diferencias
estructurales subyacentes entre los registros de los dos sistemas. Dado que Windows 95 necesitaba un editor del Registro también, Microsoft desarrolló una
herramienta de acompañamiento, Regedit, y la distribuyó con Windows 95.
Para complicar más aún las cosas, Microsoft incluye ambas, Regedt32 y Regedit con Windows NT 4. A pesar de que esto pudiera parecer innecesariamente
redundante, es realmente una ventaja, dado que los dos programas poseen habilidades distintas que se complementan. Microsoft continuó distribuyendo ambas
herramientas como parte de Windows 2000; exceptuando algunos pequeños maquillajes y el arreglo de algunos fallos relacionados con sus tripas, las versiones
de Windows 2000 son idénticas a sus predecesoras.

Capítulo 23
Regedit y Regedt32
Con dos editores donde poder elegir, ¿cómo saber cuál utilizar en una determinada circunstancia? Ambas herramientas poseen las mismas capacidades
fundamentales. Permiten:
● Explorar una estructura gráfica que representa la jerarquía del Registro.

● Visualizar y modificar claves, subclaves, valores y entradas, dependiendo siempre de los privilegios de seguridad que se tengan.
● Conectarse a una computadora remota para la que se tienen privilegios a inspeccionar, o incluso cambiar, las entradas de su Registro.
Sin embargo, sí hay algunas diferencias significativas que se enmarcan en la existencia de ciertas funcionalidades en un editor pero no en el otro. Comencemos
con Regedt32. Dado que se diseñó específicamente para Windows NT, presenta algunas funcionalidades muy útiles que se han extendido a Windows 2000:
● Permite la visualización y el cambio de ACL de seguridad en las claves del Registro.

● Permite activar la auditoria en las claves de tal forma que uno pueda averiguar quién ha intentado -o ha conseguido- eliminar, añadir o editar las claves o
sus entradas.
● Soporta todos los tipos de datos de registro descritos anteriormente en el capítulo; es más, permite editar el valor de un tipo utilizando otro editor de tipos
(muy útil cuando se editan valores REG_BINARY).
● Posee un modo de sólo lectura que permite inspeccionar el Registro sin realizar cambios.
● Puede cargar o guardar archivos de sección o claves individuales.
● Utiliza el paradigma de la interfaz de documentos múltiples (Múltiple Document Interface, MDI), en el que cada clave raíz tiene su propia ventana.
En cambio, está Regedit, que fue diseñado para hacer uso de la interfaz del estilo Windows 95, por lo que se diferencia un poco de Regedt32. También posee una
funcionalidad diferente:
● Para una cadena específica, busca claves, nombres de valores y entradas. Esta funcionalidad no tiene precio y es la primera razón para utilizar Regedit.
● Utiliza el familiar interfaz de dos paneles del Explorador de Windows, facilitando la comparación de las ubicaciones de dos claves o valores. También
incluye otras características típicas del Explorador de Windows, como menús contextuales, edición in situ y el también familiar control en árbol.
● Importa y exporta claves seleccionadas (y sus elementos subordinados) en un archivo de texto legible para los humanos, en lugar de importar y exportar
las claves del Registro en un formato binario.
● Incluye un menú de favoritos (en la versión de Windows 2000), al que se pueden añadir las claves que se editen repetidamente.
¿Cómo saber qué herramienta utilizar? La mayor parte de las veces las preferencias personales de cada uno dictarán la elección. A algunas personas les gusta la
forma en que trabaja Regedit, mientras que otras prefieren la interfaz de la vieja escuela de Regedt32. Si se busca la clave que contiene un determinado valor, es
mejor utilizar Regedit; por otra parte, si lo que se pretende es asignar permisos de seguridad a una clave, se tendrá que utilizar Regedt32.
Regedit
Cualquier usuario del Explorador de Windows (o de cualquier versión de Windows) conoce el 85 por 100 de lo que se necesita para utilizar Regedit. Esta
familiaridad se traduce enteramente a través del diseño -Microsoft ha intentado que sea una herramienta fácil de usar y por eso ha copiado la interfaz con la que
los usuarios ya están familiarizados.

Capítulo 23
Las partes importantes de la interfaz son claramente fáciles de entender.
Resaltaremos las siguientes características:
● El árbol en el panel izquierdo de la ventana Editor del Registro muestra

todas las claves y subclaves raíz; lo que aquí se visualiza depende de las
claves y subclaves que se hayan expandido.
● El panel derecho muestra los valores asociados a la clave seleccionada en
el panel izquierdo. Cada valor se muestra con tres elementos: el nombre
del valor (el nombre -Predeterminado- se usa para el valor
predeterminado sin nombrar qué tiene cada clave), el tipo del valor y las
entradas o información del valor.
● La barra de estado en la parte inferior de la ventana muestra el camino
completo de la clave que se encuentre actualmente seleccionada (Regedit
puede también copiar el camino de la clave al portapapeles utilizando el
comando Copiar nombre de clave en el menú Edición).
Dado que estas características de interfaz están escritas con los controles estándar de Windows, toda la navegación con el teclado y la combinación de teclas de
control que uno está acostumbrado a utilizar en el Explorador de Windows funcionan aquí también. Por ejemplo, es posible saltar a una clave particular pulsando
en algún sitio del panel izquierdo y escribiendo las primeras letras del nombre de la clave. Y también se pueden utilizar los cursores para moverse por cualquier
panel de la ventana Regedit.
Búsqueda de claves y valores
El comando Buscar en el menú Edición en Regedit vale su peso en oro cuando se necesita buscar qué clave o valor tiene un nombre o entrada específica. La
interfaz de esta función no es complicada. A pesar de la sencillez de la interfaz, esta herramienta es extremadamente útil. pues permite buscar un valor
determinado por todo el Registro. La forma de conseguir lo que uno busca a través del cuadro de diálogo Buscar es la siguiente:
● Escribir el patrón de lo que se quiere buscar en el cuadro Buscar. Sólo se puede buscar texto ASCII sin formato -los comodines no están permitidos-. Si lo
que se busca son valores, Regedit examina sólo los valores de cadena (REG_SZ,
REG_EXPAND_SZ y REG_MULTI_SZ) para buscar el patrón deseado.
● Utilizar las opciones del cuadro Buscar en para controlar los sitios en los que Regedit
busca el valor especificado. De manera predeterminada se busca en los nombres de las
claves (casilla Claves), los nombres de valor (casilla Valores) y las entradas de valor
(casilla Datos), pero esto se puede configurar.
● La casilla de Sólo cadenas completas indica a Regedit que encuentre la cadena de
búsqueda completa, no sólo una porción de ella. Por ejemplo, si se hace una búsqueda de
«Windows» con esta casilla seleccionada, en la búsqueda se ignorará
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT.
Cuando se hayan realizado las selecciones en el cuadro de diálogo Buscar, hay que presionar Buscar siguiente para que Regedit comience la búsqueda.
Eventualmente ocurrirá alguna de estas dos cosas: o bien Regedit alcanzará el final del Registro (en cuyo caso comunicará que no se encontró ninguna
Capítulo 23
coincidencia), o bien encontrará una coincidencia. En el último caso, se resaltará dicha coincidencia; si la coincidencia no es exactamente lo que se andaba
buscando, el comando Buscar siguiente en el menú Edición (o F3, su acelerador) continuará la búsqueda.
Cada vez que se realiza una búsqueda, Regedit comienza al principio de HKEY_CLASSES_ROOT y se abre camino hasta el final de
HKEY_CURRENT_CONFIG. No es posible cambiar este orden de búsqueda, por lo que es mejor acostumbrarse a él.
Edición de las entradas de valor
El comando Modificar del menú Edición permite cambiar los contenidos de la entrada de valor
seleccionada (también es posible editar un valor seleccionándolo y presionando INTRO). Lo
que se ve después depende del tipo de valor que se esté editando; existen cuadros de diálogo de
edición diferentes para los valores de cadena, los valores DWORD y los valores binarios.
Regedit permite la edición de tipos de datos que no soporta, como por ejemplo,
REG_FULL_RESOURCE_DESCRIPTOR o REG_MULTI_SZ; para estos tipos, Regedit abre
el cuadro de diálogo del editor binario. Los cuadros de diálogo de edición son directos, esto es,
cada uno presenta el valor actual y permite su edición. Las combinaciones de teclas para los
comandos Cortar, Copiar y Pegar también funcionan en los cuadros de diálogo de edición.
Adición y eliminación de claves y valores
Regedit permite también la adición y eliminación de claves, subclaves y valores individuales. Ahora es un buen momento para reiterar el frecuente aviso de
Microsoft: la realización de cambios innecesarios en el Registro puede dañar la computadora. Hay que ser cuidadoso a la hora de añadir información y
doblemente cuidadoso a la hora de eliminarla. Para agregar una nueva clave como hijo de una clave seleccionada, hay que abrir el menú Edición, apuntar a
Nuevo y elegir Clave. Regedit creará una nueva clave y seleccionará su nombre para que se pueda configurar correctamente (el valor predeterminado es Clave
nueva #1).
La nueva clave tendrá automáticamente un valor asociado no establecido. Es posible añadir nuevos valores utilizando alguno de los tres comandos restantes en el
submenú Nuevo: valor alfanumérico, valor binario y valor DWORD. No hay que olvidar que Regedit no puede crear ningún otro tipo de datos, y si se crea un
valor binario, los componentes lo interpretarán como un dato no procesado de tipo REG_BINARY Cuando se crea un nuevo valor, éste se añade como un hijo de
la clave seleccionada y se le asigna un nombre predeterminado (Valor nuevo #1, Valor nuevo #2, etc.), el cual puede ser inmediatamente cambiado. Una vez que
se ha terminado de añadir y nombrar los nuevos valores, se pueden utilizar los cuadros de diálogo de edición estándar para cambiar sus contenidos por los valores
apropiados.
La eliminación de valores y claves es sencilla. Basta con seleccionar el objeto que se desea eliminar y seleccionar Eliminar en el menú Edición o simplemente
pulsar la tecla SUPR. Regedit pedirá entonces una confirmación para ejecutar el comando; una vez confirmada, la clave o valor se eliminará inmediatamente.
Importación y exportación de información del Registro
Es posible importar y exportar información del Registro desde Regedit. Los archivos de texto resultantes son fáciles de leer, y es posible moverlos de manera
segura de una máquina a otra. De hecho, la asociación predeterminada para los archivos .REG inicia automáticamente Regedit y carga el contenido del archivo
cuando se pulsa dos veces sobre éste. El comando Exportar archivo del Registro en el menú Registro permite guardar la clave seleccionada en un archivo, y el
Capítulo 23
comando Importar archivo del Registro hace lo inverso. La importación de archivos del Registro desde Regedit sucede inmediatamente, es decir, aparece un
cuadro de diálogo de confirmación para indicar si la importación ha culminado con éxito o no, pero no es posible pararla. Sin embargo, si se inicia un archivo
.REG pulsando sobre él, sí se muestra un cuadro de diálogo de confirmación.
Conexión al Registro de una máquina remota
Si se ha iniciado una sesión con los permisos adecuados, se puede utilizar Regedit para conectarse al Registro de otra computadora para inspeccionarlo o editarlo.
Para conseguirlo es necesario disponer de privilegios de administración en ambas máquinas, la máquina donde se ha iniciado una sesión y la otra máquina cuyo
Registro se quiere inspeccionar/editan Es más, la Directiva de grupos puede impedir este acceso. Asumiendo que las credenciales se encuentran en orden, la
conexión a la máquina remota se realiza realmente seleccionando Conectarse al Registro de red en el menú Registro. Este comando permite explorar la red para
encontrar la máquina a la que desea conectarse; una vez que se haya realizado la conexión con éxito, aparece el nombre de la computadora en el panel izquierdo
al mismo nivel que Mi PC. A partir de aquí es posible expandir su clave raíz, fisgar en las subclaves, buscar y modificar los datos. Cuando se termine, hay que
elegir Desconectar del Registro de configuraciones de red en el menú Registro para seleccionar la computadora de la que quiere desconectarse.
Cambiar nombres de claves y valores
Es posible cambiar el nombre de una clave o valor seleccionando Cambiar nombre en el menú Edición. En la mayoría de los casos, no se querrá ni se necesitará
hacer esto. Dado que el software busca valores de nombre específicos, cambiar el nombre de uno de ellos no es una buena idea. Sin embargo, cuando se añaden
claves o valores basándose en las recomendaciones de los artículos de Microsoft Knowledge Base, es posible que se deletree mal el nombre (o incluso peor,
teclearlo correctamente pero descubrir que el nombre en el artículo de Knowledge Base es ¡erróneo!), y el comando Cambiar nombre se convierte entonces en la
única alternativa posible para borrar y reproducir la clave.
Regedt32
Regedt32 es una herramienta más sofisticada y potente que Regedit, pero un poco más compleja de utilizar. Se puede observar que el interfaz de usuario no se
asemeja al Explorador de Windows. Esto se debe a que Regedt32 utiliza el interfaz MDI antiguo donde cada clave raíz tiene su propia ventana hija. Esta

Capítulo 23
composición es realmente una ventaja, ya que permite hacer iconos de las
ventanas que no se estén utilizando (especialmente cuando se conecta con una
máquina remota).
Edición de entradas de valor
Para editar un valor, basta con pulsar sobre él dos veces. Esto hace que el
cuadro de diálogo del editor apropiado se abra. Esto es bastante fácil y los
editores son fáciles de comprender -exceptuando el editor de
REG_FULL_RESOURCE_DESCRIPTOR-. Pero no importa, ya que no se
deben editar elementos en HKEY_LOCAL_MACHINE\HARDWARE de todas
formas, especialmente dado que las modificaciones no se guardan.
Regedt32 también permite editar un elemento como si fuera de un tipo

diferente. Por ejemplo, es posible editar un REG_SZ como información binaria
o un REG_DWORD como una cadena. La mayor parte de las veces esto no
resultará de gran utilidad, pero quizás algún día se pueda aprovechar esta
funcionalidad para hacer algo, como editar una máscara de bits guardada como
un REG_DWORD. Para editar se deben usar los cuatro comandos del menú
Edición: hay uno por cada tipo de dato (Binario, Cadena, DWORD y Cadena múltiple).
Cuando se utilicen estos editores de tipos de datos, no conviene olvidar que:
● En el Editor binario se pueden visualizar los elementos en binario o hexadecimal. El editor marca los desplazamientos en la información mostrando una
acotación del desplazamiento de 32 bytes en la izquierda y una escala de 0 a 31 en la parte superior. Esto facilita la localización de bytes con un
desplazamiento específico si es necesario.
● El Editor de cadenas múltiples permite introducir una cadena por línea utilizando las teclas RETORNO DE CARRO a INTRO para saltar a la siguiente
línea.
● El Editor de DWORD permite la entrada de valores en binario, hexadecimal y decimal. El cuadro de diálogo de este editor ignora las pulsaciones de teclas
ilegales (como la del 2 cuando se edita un valor binario)
Al igual que ocurre con Regedit, Regedt32 no comprueba la legalidad de los valores que se introducen; por eso el usuario debe asegurarse de que éstos son
correctos.
Adición de claves y valores
Para añadir una clave, se selecciona la clave por debajo de la cual se quiere que aparezca. Por ejemplo, para añadir una subclave a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ESENT, se tendría que seleccionar la clave y después elegir Agregar clave
en el menú Edición. Esto abre un cuadro de diálogo donde se puede introducir el nombre de la nueva clave. Una vez que ésta haya sido nombrada, la nueva clave
aparece inmediatamente.

Capítulo 23
Al contrario que Regedit, Regedt32 no añade automáticamente un valor sin nombrar a la nueva clave, por lo que si se necesita el valor predeterminado por alguna
razón, se tendrá que añadir manualmente. Para añadir un valor, se utiliza el comando Agregar valor en el menú Edición. Para añadir un valor, hay que realizar los
siguientes pasos:
1. Seleccionar la clave a la que se quiere agregar el valor y después utilizar el comando Agregar
valor. Esto hace que se muestre el cuadro de diálogo Agregar valor.
2. Introducir el nombre del nuevo valor en el cuadro de texto Nombre de valor. (Dejarlo en
blanco si se quiere añadir el valor predeterminado <No Name>.)
3. Utilizar el cuadro de lista Tipo de datos para seleccionar el tipo del nuevo valor. Presionar el
botón Aceptar. El cuadro de diálogo del editor de tipos apropiado aparece; el tipo de editor
que se muestre depende del tipo especificado en el campo Nombre de valor.
4. Introducir el dato que se quiera almacenar en el valor y a continuación presionar Aceptar para
guardar el nuevo valor, o Cancelar para dejar el Registro intacto.
Eliminación de claves y valores
Regedt32 permite eliminar claves (y todos sus elementos subordinados) o un simple valor -basta con seleccionar el elemento a eliminar y a continuación
presionar la tecla SUPR (o seleccionar Eliminar en el menú Edición)-. Regedt32 pide una confirmación de lo que se está realizando de manera predeterminada; si
se prefiere, es posible ahorrarse este paso deshabilitando el comando Confirmar eliminación en el menú Opciones (aunque se recomienda encarecidamente que se
deje habilitado).
Carga, descarga e importación de datos del Registro
Regedt32 ofrece dos formas de intercambiar información entre el Registro y un archivo de disco externo. La primera es cargando y guardando conjuntos
individuales de claves con los comandos del Registro Guardar clave y Restaurar, y la segunda es cargando y descargando archivos de sección enteros con los
comandos Cargar sección y Descargar sección (en el menú Registro).
¿Cuál es la diferencia? Hay que recordar que los archivos de sección son entidades autónomas que contienen un conjunto particular de claves. Cuando se guarda
una clave con el comando Guardar clave, realmente se está creando un nuevo archivo de sección que coexiste con las secciones predefinidas al mismo nivel
expuestas anteriormente en el capítulo. Posteriormente, la sección puede recomponerse de dos formas: creando una nueva clave dentro de la sección existente
(esto es lo que hace el comando Cargar sección) o sobrescribir una clave con los contenidos de la sección guardada tal y como hace Restaurar.
Crear una nueva sección con un conjunto de claves guardadas es fácil: basta con seleccionar la clave que se quiera guardar y a continuación elegir el comando
Guardar clave en el menú Registro. Cuando se indique, se introduce el nombre del nuevo archivo de sección y Regedt32 se encarga de guardarlo. La sección no
podrá guardarse si no se dispone de los permisos adecuados para todas las subclaves de la clave seleccionada; por ejemplo, incluso cuando se inicia una sesión
como administrador, no es posible guardar HKEY_LOCAL_MACHINE\HARDWARE a una sección.
Una vez que se ha guardado el archivo de sección, es posible cargarlo dentro de una nueva clave o por encima de una clave que ya existe. Para cargar el archivo
de sección en una nueva clave, hay que seleccionar la clave raíz HKEY_LOCAL_MACHINE o HKEY_USERS y a continuación elegir Cargar sección en el
menú Registro. (El resto del tiempo esta opción se encuentra deshabilitada.) Cuando se indica, se escoge el archivo de sección que se quiere cargar y el nombre
de la nueva clave donde éste se va a cargar.
Capítulo 23
Para cargar un archivo de sección por encima de una clave existente, hay que seleccionar la clave que se quiera sobrescribir y a continuación elegir Restaurar en
el menú Registro; una vez que se haya elegido el archivo y se haya confirmado que se está preparado para eliminar la clave seleccionada, Regedt32 cargará la
sección y reemplazará todos los contenidos que existen en las claves con los contenidos de la sección (siempre, naturalmente, que se disponga de los permisos
para poder realizar esto).
Por ejemplo, pongamos que se guardan los contenidos de HKEY_LOCAL_MACHINE\SOFTWARE\AOL en un archivo de sección. Si se selecciona
HKEY_LOCAL_MACHINE y se utiliza el comando Cargar sección, se puede crear una nueva clave (denominada, quizás, AOL) donde se guardan los
contenidos originales. Si se selecciona la copia existente de HKEY_LOCAL_MACHINE\SOFTWARE\AOL y se utiliza el comando Restaurar, entonces todo lo
que haya en la clave antes de restaurar el archivo se pierde.
Conexión al Registro de una máquina remota
Para conectarse a una máquina remota utilizando Regedt32, hay que elegir Seleccionar equipo en el menú Registro. El cuadro de diálogo Seleccionar equipo se
abre para que se pueda seleccionar el dominio o grupo de trabajo deseado y el Registro de la máquina que se quiera administrar. Una vez hecho esto, si se
dispone de acceso administrativo a la máquina, se estará conectado; es posible que se visualice un cuadro de diálogo en el que se advierte de que las claves del
Registro de la máquina remota no se cambiarán automáticamente. Cuando se cierra este mensaje de confirmación, aparecen otras dos ventanas MDI: una para
HKEY_LOCAL_MACHINE y otra para HKEY_USERS. Cada título de cada ventana incluye el nombre de la máquina remota (por ejemplo,
HKEY_LOCAL_MACHINE en FALCON) para que se pueda identificar qué tipo de información se encuentra en cada una de ellas.
Una vez que se hayan abierto estas ventanas, se puede navegar y editar de la misma forma que en la máquina local (condicionado, naturalmente, a que se
disponga de los permisos de edición de las claves). Cuando se establece una conexión con una máquina remota, se está efectuando realmente una conexión de
tipo llamada a un procedimiento remoto (Remote Procedure Call, RPC), que se mantiene abierta hasta que se utiliza el comando Cerrar para cerrar la última
ventana que muestra información de ese servidor.
Administración de la seguridad en las claves del Registro
Regedt32 permite fijar la seguridad de las claves del Registro seleccionando una clave y eligiendo el comando Permisos del menú Seguridad. Todo lo aprendido
sobre configuración de permisos de archivos es válido aquí también, y las operaciones básicas funcionan del mismo modo: se selecciona un objeto y a
continuación se conceden o deniegan privilegios específicos a usuarios y grupos concretos. En el cuadro de diálogo Permisos, se muestran cinco principios de
seguridad: Administradores, Usuarios, CREATOR OWNER, Usuarios avanzados y SYSTEM. Los contenidos exactos que se visualizan en la computadora
varían dependiendo de la plantilla de seguridad que se haya aplicado; las plantillas más restrictivas podrían cambiar estos permisos significantemente.
El cuadro de diálogo Permisos permite conceder y denegar permisos de Lectura y Control total a las claves. Sin embargo, en general, no deberá hacerse uso de
esto en las claves que sean propiedad del sistema; es por ello que Windows incluye las plantillas de seguridad. Resulta sumamente sencillo configurar un permiso
accidentalmente de forma tan restrictiva que se consiga que el software que necesita acceso al Registro no pueda tenerlo, y al contrario, es posible que se
configuren permisos que son innecesariamente relajados.

Capítulo 23
Cuando se configuran los permisos utilizando el cuadro de diálogo Permisos, hay que fijarse en si
se habilita o no la opción de Hacer posible que los permisos heredables de un objeto primario se
propaguen a este objeto. Esta opción se encuentra habilitada de manera predeterminada, de forma
que cuando se aplican nuevos permisos, se propagan automáticamente a todas las subclaves de la
clave seleccionada. Dependiendo del nivel en el que se apliquen estos permisos, la herencia
puede tener consecuencias no deseadas -si se relajan los permisos de una clave, podrían relajarse
accidentalmente los permisos de una subclave que deba mantenerse segura-. Antes de cambiar
los permisos de cualquier clave, hay que asegurarse de hacer una copia de seguridad correcta del
Registro, así como de anotar los cambios que se han realizado para poder deshacerlos más tarde.
Las configuraciones pertenecientes a las aplicaciones son, naturalmente, otra historia. En

Windows NT 4 la única forma para determinar los permisos adecuados de la mayoría de las
claves de las aplicaciones es expandirlas todo lo posible para a partir de ahí comenzar a relajar
los controles gradualmente de abajo arriba hasta que la aplicación funcione correctamente.
Desafortunadamente, este enfoque se requiere también en Windows 2000.
Cuando se pulsa sobre el botón Avanzada del cuadro de diálogo Permisos, se muestra el cuadro
de diálogo Configuración de control de acceso que aglutina a tres fichas. Cada ficha tiene un
significado especial para las claves del Registro:
● El botón Ver o modificar de la ficha Permisos permite asignar a usuarios particulares más
permisos granulares. Por ejemplo, es posible ajustar quién puede crear nuevos valores en
una clave modificando el parámetro de permiso Establecer valor. Es posible que no se
puedan realizar cambios aquí sin deshabilitar la herencia, dado que la mayor parte de los
registros obtiene sus permisos de esta forma.

Capítulo 23
❍ Consultar valor:
Permite al usuario
consultar el Registro
para un valor
específico dando el
camino completo a
ese valor.
❍ Establecer valor:
Permite al usuario
crear nuevos valores
por debajo de una
clave o sobrescribir
un valor existente.
❍ Crear subclave:
Permite al usuario
crear una nueva
subclave por debajo
de la clave
especificada.
❍ Enumerar
subclaves: Permite
al usuario obtener
una lista de todas las
subclaves de una
clave particular;
similar a un
recorrido de
directorios de un
volumen NTFS.
❍ Notificar: Permite al usuario registrar una función de respuesta que se dispara cuando el valor seleccionado cambia.
❍ Crear vínculo: Permite al usuario crear un vínculo a una clave específica (de la misma forma que HKEY_CLASSES_ROOT se vincula a
HKEY_LOCAL_MACHINE\Classes).
❍ Eliminar: Permite al usuario eliminar una clave o valor individual.
❍ Escribir DAC Permite al usuario rescribir los controles de acceso de una clave específica.
❍ Escribir propietario: Permite al usuario convertirse en el propietario de la clave seleccionada.
❍ Controles de lectura: Permite al usuario leer la lista de control de acceso discrecional (Discretionary Access Control List, DACL) para un valor
específico.
❍ La ficha auditoria permite establecer permisos de auditoria para la clave seleccionada. Primero, se especifican los usuarios y grupos cuyas acciones
se pretende auditar; entonces se especifica qué acciones particulares se quieren guardar. Es posible auditar los intentos fallidos y exitosos del
ejercicio de estos permisos.
● La ficha auditoria permite establecer permisos de auditoria para la clave seleccionada. Primero, se especifican los usuarios y grupos cuyas acciones se
pretende auditar; entonces se especifica qué acciones particulares se quieren guardar. Es posible auditar los intentos fallidos y exitosos del ejercicio de
Capítulo 23
estos permisos.
● La ficha Propietario permite reasignar al propietario de la clave seleccionada, con o sin propagar los cambios a todos los subelementos por debajo de ella.
Un cambio de propietario puede desencadenar la generación de una huella de auditoria dependiendo de los parámetros de configuración de seguridad.
Algunos trucos útiles
Existen cuatro comandos muy útiles de Regedt32 que no se ajustan a ningún punto de esta exposición:
● Regedt32 no puede buscar valores, pero sí buscar una clave con un nombre especificado. El comando Buscar clave en el menú Ver permite buscar en el
Registro el nombre de una clave en particular (comenzando con la clave seleccionada y procediendo hacia arriba o abajo). Las búsquedas pueden
distinguir entre mayúsculas y minúsculas o no, y se puede elegir entre buscar el texto suministrado completo o como parte de otro nombre.
● Ya hemos trabajado tímidamente con el comando Confirmar eliminación del menú Opciones. Cuando se selecciona (tal y como está de manera
predeterminada), Regedt32 pide que se confirme la intención de eliminar una clave.
● El comando Sólo lectura del menú Opciones conmuta Regedt32 entre el modo de sólo lectura y el normal. El modo de sólo lectura es una gran bendición,
ya que evita que se causen daños al Registro cuando se encuentra habilitado. Posibilita que se pueda aprender explorando sin que se corran riesgos de
causar daños accidentales.
● El comando Actualización automática del menú Opciones controla la posibilidad de que Regedt32 actualice automáticamente las ventanas de las claves
raíces periódicamente. Esta opción se encuentra habilitada de manera predeterminada, por lo que Regedt32 actualiza por sí mismo las ventanas locales. En
las máquinas donde se produzcan muchos cambios en los registros, podría considerarse la posibilidad de deshabilitar las actualizaciones automáticas y
utilizar los comandos Actualizar todo y Actualizar la activa del menú Ver para disparar las actualizaciones sólo cuando se necesiten.
Copia de Seguridad y Recuperación del Registro
Copia de seguridad de Windows 2000 para copiar y restaurar el estado general del sistema difiere un poco de Windows NT, donde se puede hacer fácilmente una
copia de seguridad del Registro creando un disco de reparaciones ante emergencias (Emergency Repair Disk, ERD) o ejecutando Ntbackup y habilitando la
opción de Incluir Registro local.
Estas diferencias se deben al Active Directory. En Windows NT, una copia de seguridad del Registro contiene una copia de la base de datos SAM de la máquina
local (al igual que una copia del dominio SAM cuando se realiza una copia de seguridad del controlador de dominios). En una red que utilice Active Directory, el
directorio contiene la mayor parte de la información existente formalmente en el SAM, que es la razón por la que para los controladores de dominio se tenga que
realizar un proceso de recuperación en dos fases.
Como consecuencia de la forma en que estos cambios se han implementado, el disco de reparación ante emergencias ya no contiene la
información del Registro -la única copia de seguridad propia de la computadora está en la carpeta %SystemRoot%\Repair-. Dado que ya no es
posible guardarse las espaldas con los ERD, es extremadamente importante la realización de copias de seguridad regulares y útiles.
Selección de un método de copia de seguridad
Dado que el Registro es algo más que un archivo ordinario, tiene sentido otorgar a los procedimientos de copia de seguridad y restauración una dedicación en
tiempo superior a la normal. Es posible hacer copias de seguridad y restauración del Registro de otras formas aparte de haciendo copias de seguridad completas
Capítulo 23
del estado del sistema entero. Naturalmente, esto no excluye el seguir haciendo copias de seguridad regulares de los datos personales, así como de los estados del
sistema de cada computadora que se administre. La copia de seguridad del Registro por sí sola es muy útil, dado que es en éste donde la mayor parte de las
aplicaciones y los componentes del sistema guardan sus preferencias y parámetros de configuración.
Copia de seguridad de Windows 2000
Cuando se utiliza la Copia de seguridad de Windows 2000 para hacer una copia del estado del sistema, ésta incluye una copia completa del Registro de la
máquina. También incluye copias del volumen del sistema (en controladores de dominio), datos de certificación, información de Registro de las clases COM+,
así como otra información ajena a lo que es el Registro. Por otro lado, la Copia de seguridad de Windows 2000 automatiza el proceso de realizar una copia de
seguridad del Registro, de forma que sea fácil de utilizar y comprender. Además, el guardar la información del Registro con el resto de la información del
servidor permite restaurar todo sin tener que recurrir a CD de otros fabricantes, controladores y otras cosas relativas.
El Disco de reparación ante emergencias
El Disco de reparación ante emergencias (Emergency Repair Disk, ERD) de la Copia de seguridad de Windows 2000 permite también hacer una copia de
seguridad del Registro; la mayoría de los administradores de Windows NT utilizan esto como primera línea de defensa contra los fallos, dado que las
herramientas de reparación incluidas en Windows NT 4 pueden restaurar la información del Registro desde un ERD. Windows 2000 utiliza los ERD también,
pero no incluyen la información del Registro. Cuando se utiliza la Copia de seguridad de Windows 2000 para crear un ERD, debe especificarse que se desea
hacer una copia de seguridad del Registro y esta información no se almacena directamente en el disco del ERD (hace falta guardar manualmente una copia y
entonces reemplazar durante la restauración los archivos de Registro copiándolos empleando la consola de recuperación).
Copias de seguridad manuales
Dado que Regedt32 permite cargar y descargar archivos de sección y claves, es posible aproximarse a lo que hace la Copia de seguridad de Windows 2000
guardando manualmente en un archivo de sección las claves en las que se está más interesado, copiando los archivos resultado en algún lugar seguro y
cargándolos de nuevo si se necesitan. Esta aproximación es correcta, pero requiere mucho trabajo dado que al no ser posible informar a Regedt32 de las claves
que se quieren guardar, no hay forma de automatizar el proceso.
Copia de seguridad del Registro
El proceso de copia de seguridad de Windows 2000 es terriblemente sencillo (es una gran mejora respecto a Windows NT 4).
Copia de seguridad de Windows 2000
El Capítulo 4 trataba los mecanismos necesarios para realizar una copia de seguridad y restauración del estado del sistema, del cual el Registro es una parte
pequeña pero crítica. Quien se encuentre confortable con el proceso de realización y restauración de la copia de seguridad del estado del sistema con la Copia de
seguridad de Windows 2000 se encuentra en buena en forma. Sin embargo, podría ordenarse un resumen rápido.
1. Ejecutar la aplicación de Copia de seguridad de Windows 2000; cuando aparezca, pulsar la pestaña de Copia de seguridad.
2. Especificar el dispositivo de copia de seguridad o la ubicación que se quiera emplear con las opciones de Destino de la copia de seguridad o Hacer copia

Capítulo 23
de seguridad del medio o del archivo.
3. Si es necesario, expandir el icono de Mi PC.
4. Seleccionar la opción de Estado del sistema (hay que recordar que los elementos del estado del sistema están relacionados entre sí y no pueden copiarse
por separado).
5. Pulsar el botón Iniciar. Cuando el sistema copia la información del estado del sistema, se incluyen los archivos del Registro permitiendo su recuperación
posterior.
Grabación de una copia del Registro
Cuando se crea un ERD, la Copia de seguridad de Windows 2000 ofrece la posibilidad de copiar el Registro. Cuando se selecciona esta opción, una copia extra
de los archivos de sección del Registro se almacena en la carpeta %SystemRoot%\Repair\REGBACK. Además de los archivos de sección estándar (SECURITY,
SAM, SYSTEM, SOFTWARE, DEFAULT, Ntuser.dat y Usrclass.dat), se pueden observar los archivos representativos de las secciones que se hayan cargado
manualmente en el Registro.
Cuando la Copia de seguridad de Windows 2000 termina de copiar estos archivos, éstos quedan
a disposición del usuario -el usuario puede moverlos, copiarlos, hacer una copia de seguridad de
ellos o cualquier otra cosa que se quiera-. En particular, se pueden comprimir y guardar en un
disquete, así como mover a cualquier medio extraíble que se tenga a mano.
Si las copias de seguridad se guardan en formato comprimido o en un medio que

requiera un dispositivo especial, hay que asegurarse de que sea posible acceder a estos
archivos cuando se esté recuperando la máquina.
Recuperación del Registro
Si se dispone de una copia de seguridad en la carpeta %SystemRoot%\Repair\REGBACK, la Consola de recuperación puede utilizarse para restaurar la copia de
seguridad del Registro. Cuando se ejecuta la Consola de recuperación, se pueden copiar los archivos de Registro necesarios para restaurarlos en su ubicación
normal en disco y a continuación reiniciar la máquina. No hay que olvidar que al hacer esto se eliminan todos los cambios que se hayan realizado desde el
momento en que se creó la copia de seguridad.

Capítulo 24
Capítulo 24
Una de las más usadas y nuevas funcionalidades para la recuperación de Windows 2000 es la Consola de
Recuperación. Ésta es básicamente una mejora, preparada para NTFS e indicador de comandos seguro
que pude utilizarse para copiar archivos, iniciar y detener servicios, así como para realizar otras acciones
de recuperación si no se puede iniciar el sistema utilizando el nuevo modo seguro de Windows 2000. La
consola de recuperación puede usarse siempre desde los cuatro discos de configuraciones o el CD-ROM:
sin embargo, también puede instalarse como una opción más en el menú de inicio, para que se pueda
utilizar aquellas veces en las que no se pueda iniciar Windows 2000 en el modo seguro.
Para instalar la Consola de recuperación:
1. Desde Windows 2000, Windows NT o Windows 95/98 insertar el CD de Windows 2000.

2. Cerrar el cuadro de autoarranque
3. Pulsar inicio y después ejecutar, teclear: d:\i386\winnt32 /cmdcons, donde d: es la unidad donde
se encuentra el CD-ROM de Windows 2000
4. Presionar Aceptar.
Consola de recuperación
Para iniciar la Consola de recuperación, se puede utilizar cualquiera de los métodos siguientes:
● Encender el equipo con los discos de instalación de Windows 2000 o con el CD-ROM de
Windows 2000. En la pantalla de bienvenida a la instalación, hay que pulsar F10 o pulsar R para
reparar y, a continuación, C para iniciar la Consola de recuperación.
● Añadir la Consola de recuperación a la carpeta Inicio utilizando Winnt32.exe con la opción «
/cmdcons» . Esto necesita aproximadamente 7 Mb de espacio de disco en la partición del sistema
para almacenar el archivo cmdcons y sus archivos. Si se está usando réplica software, véase el
artículo siguiente en la Base de conocimientos de Microsoft:
Q229077 Mirroring prevents pre-installing the Recovery Console
● Seguir las instrucciones del siguiente artículo de la Base de conocimientos de Microsoft:
Q222478 Template lo Run Recovery Console Using a Remote Install Server
Utilización del intérprete de comandos
Tras iniciar la Consola de recuperación, se recibirá el siguiente mensaje:
Consola de recuperación de Microsoft Windows 2000(TM).

Capítulo 24
La consola de recuperación ofrece funcionalidad para Recuperación y

reparación del sistema.
Escriba EXIT para salir de la consola de recuperación y reiniciar el

equipo.
1: C:\WINNT
¿En qué instalación de Windows 2000 desea iniciar sesión (para

cancelar, presione INTRO)?
Tras introducir el número de la instalación de Windows 2000 apropiada, introducir la contraseña de la

cuenta Administrador Nótese que si se usa una contraseña incorrecta tres veces, la Consola de
recuperación termina. También, si la base de datos SAM se ha perdido o está dañada, no se podrá usar la
Consola de recuperación porque no se puede autenticar correctamente. Después de que se introduzca la
contraseña y se inicie la Consola de recuperación, al introducir «exit» el equipo se reinicia.
Restricciones y limitaciones de la Consola de recuperación
Desde la Consola de recuperación sólo pueden usarse las siguientes carpetas:
● La carpeta raíz.
● La carpeta %SystemRoot% y las subcarpetas de la instalación de Windows 2000 de la que se
tiene sesión iniciada actualmente.
● La carpeta Cmdcons.
● Unidades de medios extraíbles como unidades CD-ROM.
Si se intenta obtener acceso a otras carpetas, se obtiene un mensaje de error «Acceso

denegado». Además, mientras se está en la Consola de recuperación, no se puede copiar
un archivo del disco duro local a un disquete. Se puede copiar un archivo de un disquete o
CD-ROM a un disco duro y de un disco duro a otro disco duro.
Comandos disponibles
HELP
HELP lista todos los siguientes comandos soportados:
ATTRIB DEL EXPAND MAP RMDIR

BATCH DELETE FIXBOOT MD SYSTEMROOT

Capítulo 24
CD DIR FIXMBR MKDIR TYPE

CHDIR DISABLE FORMAT MORE
CHKDSK DISKPART HELP RD
CLS ENABLE LISTSVC REN
COPY EXIT LOGON RENAME
ATTRIB
El comando ATTRIB junto a cualquiera de los siguientes parámetros puede cambiar atributos de un
archivo o carpeta:
● -R
● +R -S
● +S -H
● +H -C
● +C +Activa un atributo
● -Desactiva un atributo R Atributo de sólo lectura
● S Atributo de archivo de sistema H Atributo de archivo oculto C Atributo de archivo comprimido
BATCH
BATCH archivo de entrada [archivo de salida]
Ejecuta comandos especificados en un archivo de texto.
● archivo de entrada: Especifica el archivo de texto que contiene la lista de comandos a ejecutar.
● archivo de salida: Si se especifica, contiene la salida de los comandos especificados. Si no se
especifica, la salida se muestra en la pantalla.
CD y CHDIR
CD y CHDIR [unidad:] [...] [camino]
Los comandos CD y CHDIR cambian la carpeta. CD .. especifica que se quiere cambiar a la carpeta
padre. Introducir CD unidad: para mostrar la carpeta actual en la unidad especificada. Escribir CD sin
parámetros para mostrar la unidad y carpeta actuales. Los comandos CD y CHDIR tratan los espacios
como delimitadores. Por eso se deben poner entre comillas los nombres de subcarpetas que contengan
espacios. Por ejemplo: CD < \winnt\profiles\usuario\menú inicio>
El comando CHDIR sólo opera en las carpetas de sistema de la instalación actual de Windows 2000,
soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación

Capítulo 24
locales.
CHKDSK
CHKDSK [unidad: ] [lP] [lR]
Verifica y, si es necesario, repara o recupera una unidad. También marca sectores en mal estado y
recupera información legible. unidad: Especifica la unidad a verificar. La opción /P ordena a CHKDSK
que haga una verificación exhaustiva de la unidad incluso aunque a la unidad no se le haya marcado con
problemas y que corrija cualquier error que encuentre. La opción /R encuentra sectores en mal estado y
recupera la información legible. Adviértase que especificar la opción /R supone la opción /P. CHKDSK
puede usarse sin argumentos, en cuyo caso se supone la unidad actual sin opciones. Opcionalmente, se
aceptan las opciones listadas. El comando CHKDSK requiere el archivo Autochk.exe. CHKDSK localiza
este archivo automáticamente en la carpeta de inicio. Ésta sería típicamente la carpeta Cmdcons si la
Consola de recuperación se hallara preinstalada. Si no se puede encontrar en la carpeta de inicio,
CHKDSK trata de localizar el soporte de instalación CD-ROM de Windows 2000. Si no se puede
encontrar el soporte de instalación, CHKDSK pregunta al usuario por la ubicación del archivo
Autochk.exe.
CLS
Borra la pantalla.
COPY
COPY [origen] [destino]
Copia un archivo.
● origen: Especifica el archivo a copiar. No se permiten comodines ni copias de carpetas. Un

archivo comprimido del CD-ROM de Windows 2000 se descomprime automáticamente al
copiarse.
● destino: Especifica la carpeta o nombre de archivo para el nuevo archivo. Si no se especifica, se
toma de manera predeterminada la carpeta actual. Si el archivo ya existe, se pregunta si se
sobrescribe.
DEL y DELETE
DEL [unidad:] [camino] [nombre de archivo] DELETE [unidad: ] [camino] [nombre de archivo]
Borra un archivo.

Capítulo 24
● unidad: camino nombre de archivo: Especifica el archivo a borrar.
El comando DELETE sólo opera en las carpetas del sistema de la instalación actual de Windows 2000,
locales. El comando DELETE no acepta caracteres comodín (*).
DIR
DIR [unidad: ] [camino] [nombre de archivo]
Muestra una lista de los archivos y subcarpetas de una carpeta.
● unidad: camino nombre de archivo Especifica la unidad, carpeta y/o archivos a mostrar. El
comando DIR lista todos los archivos incluyendo los ocultos y de sistema. Los archivos pueden
tener los siguientes atributos:
❍ D - Directorio
❍ R - Archivo de sólo lectura
❍ H - Archivo oculto
❍ A - Archivos listos para archivar
❍ S - Archivo de sistema
❍ C - Comprimido
❍ E - Cifrado
❍ P - Punto de reanálisis
El comando DIR sólo opera en las carpetas del sistema de la instalación actual de Windows 2000,
locales.
DISABLE
DISABLE nombre de servicio
El comando DISABLE desactiva un servicio de sistema o controlador de Windows 2000.
nombre_de_servicio El nombre del servicio o controlador a desactivar. Hay que usar el comando
LISTSVC para mostrar todos los servicios o controladores que cumplen los requisitos para ser
desactivados. DISABLE muestra el antiguo tipo_inicio del servicio antes de ponerlo en SERVICE
DISABLED. Así, se debería registrar el tipo inicio antiguo, por si es necesario reactivar elservicio.
Los valores de tipo_inicio que el comando DISABLE muestra:
● SERVICE_DISABLED

Capítulo 24
● SERVICE_BOOT_START
● SERVICE_SYSTEM_START
● SERVICE_AUTO_START
● SERVICE_DEMAND_START
DISKPART
DISKPART [/add] [/delete] [nombre de dispositivo I nombre de unidad I nombre de partición]

[tamaño]
Hay que usar el comando DISKPART para administrar las particiones de los discos duros.
● /add: Crear una partición nueva.

● /delete: Borrar una partición existente. nombre de dispositivo
● Nombre del dispositivo: para crear una partición nueva. El nombre puede obtenerse de la salida
del comando MAP Por ejemplo: \Device\HardDisk0
● nombre de unidad: Esto es un nombre basado en una letra de unidad para el borrado de una
partición existente. Por ejemplo: D:
● nombre de partición: Esto es un nombre de partición para el borrado de una partición existente y
se puede usar en lugar del argumento nombre de unidad. Por ejemplo:
\Device\Hard\Disk0\Partition1
● tamaño: Tamaño de la partición nueva en megabytes.
Si no se usan argumentos, aparece una interfaz de usuario para administrar las

particiones.
ENABLE
ENABLE nombre de servicio [tipo_inicio]
Se puede usar el comando ENABLE para activar un servicio del sistema o controlador de Windows
2000. nombre de servicio El nombre del servicio o controlador a activar. Hay que usar el comando
LISTSVC para mostrar todos los servicios o controladores que cumplen los requisitos para ser activados.
El comando ENABLE muestra el antiguo tipo inicio del servicio antes de ponerlo en su nuevo valor. Así,
se debería registrar el tipo inicio antiguo, por si es necesario restaurar el tipo inicio del servicio. Son
valores de tipo_inicio válidos:
● SERVICE_BOOT_START
● SERVICE_SYSTEM_START
● SERVICE_AUTO_START
● SERVICE DEMAND START

Capítulo 24
Si no se especifica un tipó inicio nuevo, ENABLE muestra el tipó inicio antiguo.
EXIT
Se puede usar el comando EXIT para salir de la Consola de recuperación y reiniciar el equipo.
EXPAND
EXPAND origen [/F: especifacación de archivo] [destino] [/Y]
EXPAND origen [/F: especificación de archivo] /D
Expande un archivo comprimido. origen Especifica el archivo a expandir; no puede incluir comodines.
● destino Especifica la carpeta para el nuevo archivo. De manera predeterminada, es la carpeta

actual.
● /F:especificación de archivo Si el origen contiene más de un archivo, se requiere este parámetro
para identificar el archivo o los archivos a expandir; puede incluir comodines.
● /Y No preguntar artes de sobreescribir un archivo existente.
● /D No expandir; sólo mostrar una carpeta de los archivos contenidos en el origen.
El destino puede ser cualquier carpeta de las carpetas de sistema de la instalación actual de Windows
2000, la raíz de cualquier unidad, las fuentes de instalación locales o la carpeta Cmdcons, pero no
soportes extraíbles. El archivo destino no puede ser de sólo lectura.
FIXBOOT
FIXBOOT unidad
Escribe el nuevo código de sector de inicio de Windows 2000 en la partición de inicio. Esto arregla
problemas cuando el sector de inicio de Windows 2000 está dañado. El proceso de reparación de
emergencia también arregla el sector de inicio.
● unidad: Letra de unidad donde se escribirá el sector de inicio. Esto anula la opción
predeterminada que es escribir en la partición de inicio del sistema. El comando FIXBOOT sólo
se soporta en la plataforma x86.
FIXMBR
FIXMBR nombre de dispositivo
Repara el sector de inicio principal (Master Boot Record, MBR) de la partición de inicio. Se usa en

Capítulo 24
situaciones en las que un virus haya dañado el MBR y Windows 2000 no pueda iniciarse.
Este comando es capaz de dañar las tablas de partición si hay un virus presente o existe
algún problema de hardware. Este comando puede llevar a dejar particiones inaccesibles.
Microsoft recomienda ejecutar programas antivirus antes de usar este comando.
● nombre de dispositivo: Nombre de dispositivo opcional que especifica el dispositivo que necesita
un MBR nuevo. El nombre puede obtenerse de la salida del comando MAP Si se deja en blanco,
se arregla el MBR del dispositivo de inicio. Por ejemplo:
FIXMBR \device\harddisk2
Si FIXMBR detecta una firma de tabla de partición no válida o que no se ajuste al estándar, pide al
usuario confirmación antes de reescribir el MBR. El comando FIXMBR sólo se soporta en la plataforma
x86.
FORMAT
FORMAT [unidad: ] [/Q] [/FS: sistema de archivos]
Da formato a la unidad especificada con el sistema de archivos especificado. unidad: Letra de unidad de
la partición a la que se quiere dar formato.
● /Q: Realiza una operación de dar formato rápidamente a la unidad.

● /FS: sistema de archivos: Especifica el tipo de sistema de archivos a utilizar: FAT, FAT32 o
NTFS. Si no se especifica ninguno, se usa el sistema de archivos existente cuando éste se
encuentra disponible.
LISTSVC
El comando LISTSVC lista todos los servicios disponibles, controladores y sus tipos de inicio para la
instalación actual de Windows 2000. Esto puede ser útil al usar los comandos DISABLE y ENABLE.
Éstos se extraen de la sección %SystemRoot%\System32\Config\SYSTEM. Si la sección

SYSTEM estuviera dañada o faltara, pueden producirse resultados impredecibles.
LOGON
LOGON
El comando LOGON lista todas las instalaciones de Windows 2000 y Windows NT detectadas, y
pregunta la contraseña de administrador local a la copia de Windows en la que se quiera iniciar sesión. Si

Capítulo 24
fracasan más de tres intentos de iniciar sesión, la consola termina y el equipo se reinicia.
MAP
MAP [arc]
El comando MAP lista las letras de unidad, tipos de sistema de archivo, tamaños de partición y las
asignaciones a dispositivos físicos.
● arc: El parámetro arc hace que MAP use caminos ARC en lugar de los caminos de dispositivo de
Windows 2000.
MD y MKDIR
Los comandos MD y MKDIR hacen carpetas. No se permiten caracteres comodín. El comando MKDIR
sólo opera en las carpetas del sistema de la instalación actual de Windows 2000, soportes extraíbles, la
carpeta raíz de cualquier partición de disco duro o las fuentes de instalación locales.
MORE
MORE nombre de archivo
El comando MORE muestra un archivo de texto por la pantalla.
RD y RMDIR
Los comandos RD y RMDIR borran una carpeta.
Los comandos RD y RMDIR sólo operan en las carpetas del sistema de la instalación actual de Windows
2000, soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación
locales.
REN y RENAME
Los comandos REN y RENAME pueden renombrar un archivo. Adviértase que no se puede especificar
una nueva unidad o camino para el archivo de destino. Los comandos REN y RENAME sólo operan en
las carpetas del sistema de la instalación actual de Windows 2000, soportes extraíbles, la carpeta raíz de
cualquier partición de disco duro o las fuentes de instalación locales.
SET
El comando SET permite mostrar o modificar cuatro opciones de entorno.

Capítulo 24
AllowWildCards = FALSE
AllowAllPaths = FALSE
AllowRemovableMedia = FALSE
NoCopyPrompt = FALSE
SYSTEMROOT
El comando SYSTEMROOT pone la carpeta actual de trabajo como la carpeta %SystemRoot% de la

instalación de Windows 2000 de la que actualmente se tiene sesión abierta.
TYPE
TYPE nombre de archivo
El comando TYPE muestra un archivo de texto.

W2Kcastellano PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

W2Kcastellano PDF

Cargado por

Copyright:

Formatos disponibles

Windows 2000 Server

1. Visión general de Windows 2000

file:///D|/downloads/W2000%20server/index.htm (1 of 2) [27/12/2002 20:55:25]

16. Cómo implantar la administración de discos

file:///D|/downloads/W2000%20server/index.htm (2 of 2) [27/12/2002 20:55:25]

Microsoft Windows 2000 Advanced Server es el sucesor de Microsoft Windows NT 4 Enterprise

Implantación conjunta de las funciones de servidor y de estación de

La implantación conjunta de Windows 2000 Professional y Windows 2000 Server proporcionará

file:///D|/downloads/W2000%20server/Capitulo1.htm (1 of 45) [27/12/2002 20:55:32]

información especifica del sitio.

Los documentos y la configuración personal del usuario pueden almacenarse, o duplicarse, en un

Primero se debe actualizar el controlador primario de dominio (PDC, Primary Domain

file:///D|/downloads/W2000%20server/Capitulo1.htm (2 of 45) [27/12/2002 20:55:32]

Incluso los administradores de Windows NT experimentados (quizás especialmente esos

La consola de administración de Microsoft (MMC, Microsoft Management Console) incorpora

● Administración del Ordenador (complemento de la MMC): el complemento de

file:///D|/downloads/W2000%20server/Capitulo1.htm (3 of 45) [27/12/2002 20:55:32]

Administración del Ordenador es una herramienta de configuración de ordenadores que los

● Administración de Disco (complemento de la MMC): el complemento de Administración de

● Administración de Servicio de Sistema (complemento de la MMC): Esta herramienta le

● Asistente de Hardware y Administrador de Dispositivos (complemento de la MMC): El

● Políticas de Grupo: El interfaz de usuario para el desarrollo de aplicaciones, las opciones de

file:///D|/downloads/W2000%20server/Capitulo1.htm (4 of 45) [27/12/2002 20:55:32]

a un servidor de red, etc.

Las tareas de administración centralizadas en Windows 2000 Server son:

file:///D|/downloads/W2000%20server/Capitulo1.htm (5 of 45) [27/12/2002 20:55:32]

Servicios de Terminal Server

● Soporte de Desconexión en Itinerancia: Soporta la opción de desconectarse de una sesión sin

file:///D|/downloads/W2000%20server/Capitulo1.htm (6 of 45) [27/12/2002 20:55:32]

● Administración de los Servicios de Terminal y Administración de Control Remoto: La

❍ Desconectarse de una sesión

❍ Restaurar una Sesión

❍ Mostrar el estado de conexión de una Sesión

❍ Mostrar la información del cliente de la Sesión

❍ Mostrar los procesos del sistema y del usuario

● Configuración de los Servicios de Terminal: Crea, modifica y borra sesiones y configuraciones

❍ Administrar permisos para conectarse

❍ Añadir usuarios y grupos a las listas de permisos

❍ Controlar la configuración de las pausas de inactividad y de las desconexiones

● Integración con el Monitor de Rendimiento de Windows 2000 Server: Permite al

❍ Seguir la localización de memoria por sesiones de usuario

❍ Seguir el uso e intercambio de memoria compaginada por sesiones de usuario

● Pausa de Inactividad Configurable: Los administradores pueden configurar cuando desactivar

file:///D|/downloads/W2000%20server/Capitulo1.htm (7 of 45) [27/12/2002 20:55:32]

● Se comunica de forma nativa con sistemas UNIX y NetWare, utilizando TCP/IP.

SEGURIDAD DEL SISTEMA Y DE LA RED

El Administrador Configuración de la seguridad es una herramienta integrada que permite a un

file:///D|/downloads/W2000%20server/Capitulo1.htm (8 of 45) [27/12/2002 20:55:32]

Entre el resto de mejoras de seguridad se incluyen:

● CHAP, MS-CHAP, PAP: El Challenge Handshake Authentication Protocol es un estándar IETF

● Extensible Authentication Protocol (EAP): El EAP extiende los métodos de autentificación

● Soporte de Tarjetas Inteligentes (EAP-TLS): El módulo EAP integrado soporta la

file:///D|/downloads/W2000%20server/Capitulo1.htm (9 of 45) [27/12/2002 20:55:32]

● Servicios de Encriptación RC4: Dispondrá de soporte integrado para la encriptación RC4 de 40

● Servidor RADIUS: Internet Authentication Server es un completo RADIUS. Soporta la

● Filtrado de paquetes IP: El servicio de enrutamiento soporta una amplia variedad de

● Filtrado de paquetes IPX: El servicio de enrutamiento soporta un nivel similar de filtrado de

● Set de Herramientas de Configuración de la Seguridad: El Set de Herramientas de

file:///D|/downloads/W2000%20server/Capitulo1.htm (10 of 45) [27/12/2002 20:55:32]

● Autentificación Kerberos: El protocolo de autentificación Kerberos Versión 5 reemplaza a

● Servidor de Certificados de Clave Pública: El servidor de certificados de clave pública X.509 y

● Infraestructura de Tarjeta Inteligente: Las tarjetas inteligentes ofrecen un almacenamiento a

● Protocolo de Seguridad IP: El IPSEC soporta la encriptación e integridad de datos y la