c

Usuarios
(Cuentas de usuario)
PC

Base de datos
Grupos

Cuenta de usuario: Conjunto de datos almacenados en el directorio,

que utiliza el S.O. para identificar al usuario y a los privilegios que
tiene.

PC PC PC

Servidor

Directorio
Global
Grupo de trabajo: Agrupación lógica de computadoras que comparten
recursos.
Cada computadora tiene su base de datos local.

Dominio: un dominio es una agrupación lógica de computadoras que

comparten un directorio centralizado. El equipo donde se encuentra
esa base de datos centralizada se llama controlador de dominio.

Autenticación: Proceso que usa el Sistema Operativo para identificar a

un usuario y otorgarle o denegarle a una sesión en un equipo.

Inicio de Usuario
sesión Contraseña
Active
Dominio
Directory

Cuando nos logueamos en el active directory el servidor nos entrega

un “Token” para esa sesión.

Token

• User ID (este no cambia, es un campo interno de la base de datos).

• Sesion ID (este es para cada sesión, cambia cada ves que nos
loguemos al servidor).

1
 • Lista de grupos donde pertenece el usuario.

El protocolo de autenticación y generación de Token usado por

Windows 2000 en adelante es el Kerberos. Este es un estándar de la
industria por lo que puede ser usado por otros Sistemas Operativos.

Autorización: Proceso que usa el Sistema Operativo para otorgarle o

denegarle el acceso a un usuario, sobre un determinado recurso.

c/recurso Archivo
Impresión Todos tienen asociado una ACL
Carpetas Microsoft las llama DACL (Directory Access
Control List).

Las ACL son las listas donde identifica un User ID del Token y los
permisos para estos.

En un procesos de autorización normal el host cliente, al momento de

acceder a un recurso, entrega su Token y el servidor compara este
contra la ACL para este recurso usando el campo User ID y los
permisos para este.

Roles de los Servidores

Domain Controller: Equipo que tiene instalado el Active Directory en un

Sistema Operativo.

Member Server: Es un servidor que está en el mismo dominio pero que

no es servidor de dominio (que no corre active directory).

Los servidores que no están en el dominio se llaman Stand Alone

Server.
Member
Server
Stand Alone
Server

Servidor Servidor Servidor Servidor

Base de datos

Domain
Controller

PC PC
PC

2
Cuando se instala el primer servidor este es un Stand Alone Server y se
le instala el software llamado DCPROMO para que sea Active
Directory. Si posteriormente a creado el dominio hago el mismo
procedimiento en otro equipo lo que estaré haciendo es tener dos
servidores de dominio para un mismo dominio, los mismos se
sincronizaran entre si, por lo que el que se halla instalado ultimo
recibirá una copia de la información contenida en el primer equipo. El
hecho de tener más de un servidor para un dominio ofrece diferentes
beneficios, por ejemplo:
• Sincronización
• Redundancia
• Performance
• WAN
La sincronización es debido a que cada servidor replicara la
información con los servidores restantes. Redundancia es debido a
que, en caso de caer un servidor, quedan los restantes, por lo que, el
dominio seguirá trabajando, tal ves no con la misma performance que
lo hacía con todos los servidores activos, pero por lo menos no se
pierde el servicio. Performance es debido a que, a veces el tamaño de
la red produce que la carga sea demasiada para un servidor, y de esa
forma, gracias a la sincronización que hacen los servidores, estos
pueden distribuir de forma equitativa la carga de trabajo entre uno y
otro, y de esa forma mejorar la performance de funcionamiento de los
diferentes servidores en la red. WAN es debido a que, en el caso de
sucursales separadas físicamente y conectadas por un enlace WAN, no
sería muy útil que los usuarios que no están en la red local del servidor
se autenticaran en el servidor remoto, debido a que los enlaces WAN
son “lentas” y caras, por este mismo motivo se pueden instalar dos
servidores conectados por intermedio de un enlace WAN; para
optimizar el uso del enlace WAN se pueden configurar los servidores
para que sincronicen al momento, enviando solo los cambios, o
configurando que almacene los cambios y que los sincronice a una
hora determinada, estas posibilidades son parea optimizar y poder
sacar el mejor rendimiento de los enlaces WAN.

El uso de Active Directory trae aparejado diferentes ventajas con sus

antecesores, algunas de ellas son:

• Integración DNS, debido a que el usuario, para autenticarse con

el servidor necesita la IP del
• Administración centralizada, debido a que el administrador puede
controlar la base de datos de forma central en el o los servidores
de dominio.

3
 • Administración delegada, debido a que el administrador puede
derivar funciones administrativas específicas a otros
administradores de la red.

Elementos de un Active Directory

Active Directory es una base de datos que contiene objetos.

Objetos Atributos

Usuarios Nombre

Contraseña

Teléfono

Lista de
grupos
“Member OF”
User ID

Schema: Definición de cuales objetos existen en el A.D y que atributos

tienen C/U de ellos.

Dominio: Es el conjunto de objetos que se encuentran en un Active

Directory y pueden ser administrados centralizadamente.

OU (Organization Unit) es una agrupación lógica y arbitraria (debido a

que está hecho a mi gusto) de objetos a fin de facilitar la
administración.

Después de crear el dominio con el DCPROMO, junto con este hay una
serie de objetos que vienen por defecto:

Usuarios Dominio

Administrator/Administ OU = Equipo
rador (Computers)
Guest/Invitado OU = Usuarios (Users)

OU = Domain
Controllers

4
 ACME
Acme

OU=Users

OU=Marketing
BS.AS MVD

OU=Salto
OU=Ventas
Norte Sur
OU=Marketing

Árbol: Conjunto de dominios relacionados jerárquicamente.

• No se pueden tener dominios y subdominios en un mismo equipo,

cada dominio o subdominio es por lo menos un equipo.

• Los administradores de de los subdominios son delegados de los

administradores del árbol (sin importar si cuando se creó el
subdominio ese administrador era el administrador del equipo).

Bosques (Forrest)

5
 Bosque
(Forrest)

Acme Acme

BS.AS MVD UY USA

Norte Sur MVD

Cuando se crea un dominio con nombre “Acme”, por defecto se crea

un árbol llamado Acme y un Bosque con el mismo nombre.

Formas para Agregar un Cliente al dominio

1. En cliente:
Mi PC – Propiedades – Nombre de Equipo -- Nos pedirá,
Nombre de
usuario y contraseña
del
administrador de
dominio.
2. Crear un objeto con el nombre del equipo que agregaremos al
dominio y le damos la ubicación en la OU que más nos parezca
en el árbol del dominio, de esta forma podremos seguir el
procedimiento anterior, con la diferencia que no nos pedirá el
usuario y la contraseña.
El procedimiento 2 nos da el beneficio de decidir nosotros donde
colocar la OU que contendrá al objeto “XXX” (nombre del equipo, por
ejemplo “pablopc”), de lo contrario, si unimos un equipo “XXX”
siguiendo el procedimiento 1, el objeto “XXX” quedara creado en la OU
“Computers” (una de las que viene por defecto cuando se instala un
equipo A.D).
En el inicio de sesión de los clientes, estos solicitaran:
• Nombre de usuario
• Contraseña
• Dominio / Active Directory
Este equipo SA
M
6
A este proceso se le llama “Inicio de Sesión Clásico”.

A partir de Windows 2000 se permite que en el Nombre de Usuario se

coloque un @ después del nombre y se coloque después el nombre de
dominio, cuando se hace esto se inhabilita la casilla para elegir el
dominio.

LDAP (Lightweight Directory Access Protocol)

Es un protocolo que permite encontrar un objeto en una base de datos.

DSADD Comando para crear objetos por línea de comandos.

CN = Common Name
OU = OU
DC = Dominio

DSADD Tipo Objeto Nombre LDAP Parametros

dsadd user cn=pablo dc=acme

<Acme>

OU =MKTG

Federico
dsadd user "cn=federico,ou=mktg,dc=acme,dc=com,dc=uy"

Si vamos a crear un usuario dentro de alguna de las OU que están por

defecto, aunque suene contradictorio cuando se deba especificar el
identificador de la OU, hay que poner el mismo como si fuera un
Common Name(cn). Por ejemplo, si quisiera agregar al usuario
Federico en la OU usuario, debería ponerlo de la siguiente forma:

dsadd user "cn=federico,cn=usuario,dc=acme,dc=com,dc=uy"

Esto se cumple para todas las OU por defecto.

Grupos

Usuarios
Grupos Computadoras

7
Hay dos formas de clasificar grupos, por su:

• Tipo Seguridad (Permisos sobre los recursos).

Distribución (Como lista para correo electrónico).
• Ambito Local del equipo (Scope, solo el equipo).
Local del dominio (El dominio)
Global (El árbol)
Universal
Para explicar los grupos anteriores hay que entender que es el nivel de
funcionalidad del dominio.
Nivel de funcionalidad del dominio: Es el conjunto de funcionalidades o
ventajas que se disponen en un dominio. Existen tres niveles de
funcionalidad:
• Mixto: Este es compatible con con DC de Windows NT 4.0 por lo
tanto sus funcionalidades están limitadas para seguir siendo
compatibles entre sí.
• Windows 2000 Nativo: Significa que las funcionalidades son casi
completas debido a que Windows 2000 y 2003 son casi idénticas. Lo
único que no estaría disponible son las nuevas funcionalidades, por
ej., en Windows 2000 la sincronización es a nivel de objetos y en
Windows 2003 es a nivel de propiedades.
• Windows 2003 Server: Funcionalidades completas.
La clasificación de grupos según el ámbito sirve para administrar las
redes escalablemente, haciendo a los grupos más generales miembros
de los grupos más específicos, asignando permisos a estos últimos,
facilitando la administración de redes con muchos usuarios.
La clasificación de grupos por ámbito nos da la información de donde
es visible el dominio en el árbol.

Acme.com

MVD
BS.AS(GG) (DC)

Norte

Usuarios + Grupo + Local Permisos

(Account) (Global) (Dominio)
8
 A + G + DL + P

*Este procedimiento es teórico debido a que el procedimiento que

se usa en la práctica es el siguiente:
A+DL+P
A+GG+P
Con los niveles funcionales Windows 2000 nativo o Windows 2003
Server podemos cambiar los grupos de
• Universal a Global
• Universal a Domain Local
• Global a Universal
• Domain Local a Universal

Los ámbitos universales están solo disponibles en los niveles

funcionales 2000 nativo y 2003 Server (no en el Mixto).
Cuando trabajamos con el nivel functional mixto no podemos hacer
cambios de ambito ni cambios del tipo de grupo.
Anidamiento: Hacer pertenecer a un grupo de un ambito dentro de
otro grupo del mismo ambito se llama anidar. Esta técnica no está
permitida en el nivel de funcionalidad mixto.

Cosas que pasan al unir un PC al dominio

Cuando unimos un pc al dominio pasan algunas cosas a nivel de su
base ded datos local (SAM)

1. El administrador de dominio pasa a ser miembro del grupo

“administradores” local. Al grupo “administradores” local se le
agrega como miembro del grupo “domain admins”

2. Los usuarios del dominio pasan a ser miembros del grupo

“usuarios” local. Al grupo usuarios local se les agrega como
miembro del grupo “domain users”.

Grupos predeterminados del AD (Built IN)

Grupos del sistema (los maneja el sistema operative):

Todos (everyone): es una forma de asignar permisos a todos los

usuarios, pero no los autentica (no verifica si son usuarios o no del
dominio).

Usuarios Autenticados (Authenticated Users): La misma función que el

grupo todos, pero este si verifica si los usuarios que quieren acceder al
servicio, son usuarios autenticados en el dominio.

9
Owner (Dueño): se maneja internamente, hace referencia al usuario
que creó un recurso.

Compartir Objetos
Permisos

Estos definen el tipo de acceso concedido a un usuario, grupo o equipo

para un objeto. Los permisos se aplican a los objetos como archivos,
carpetas compartidas e impresoras. Pueden ser agregados a usuarios y
grupos del AD o del equipo local.

Hay permisos que no funcionan solos sino que deben trabajar en

conjunto con otros, como el modificar, que por defecto trabaja con los
permisos LEER y ESCRIBIR.

DET y FAT

Para entender los permisos tal cual son se debe explicar antes los
conceptos de DET (“Directory Entry Table”) que no es más que una
tabla de directorios de la partición, y el de la tabla FAT (File Allocation
Table), la cual guarda las direcciones de los bloques en el disco.

Cada archivo o carpeta tiene una lista de permisos DACL (Discretionary

Access Control List). Esta DACL contiene el usuario o grupo/s, los
permisos permitidos y los permisos denegados.

Tipos de Permisos

Estándar: los que permiten el uso diario de los recursos (Read, Write).

Especiales: Permisos más detallados, combinaciones de permisos

especiales son los que conforman permisos estándar.

Estado de los permisos

En Windows existe la herencia de permisos, si un usuario tiene ciertos

permisos sobre una carpeta, por herencia, va a tener los mismos
permisos sobre todo el nivel jerárquico que nazca de esa carpeta
(archivos, subcarpetas, y archivos de subcarpetas).

Los permisos explícitos son todos los que se pueden agregar o quitar, y
los permisos heredados no se pueden modificar (en Windows se ven
sombreados en gris), ya que vienen asignados desde un nivel superior.
En este caso los permisos, desde la carpeta que tiene permisos
heredados no pueden ser modificado, pero si borrados eliminando la
herencia de esta carpeta o archivo,(por un usuario Administrador por
ejemplo); para modificar los permisos, estos deben ser modificados en
la carpeta donde se agregaron originalmente. Lo que sí se puede hacer
10
con los permisos heredados es denegarlos debido a que la casilla
“Denegar/Deny” no esta sombreada, en este caso quedara con el
permiso negado debido a que:

Denegar siempre tiene más peso sobre permitir.

Si un usuario no tiene marcada ninguna casilla sobre los permisos de

un recurso, se le llama permisos denegados implícitamente.

Cuando se elimina la herencia no solo elimina los permisos que venía

heredando desde los recursos superiores, sino que no adjudicara
herencia a los recursos que estén por debajo de ese recurso. Otra
opción de la herencia es “copiar”, esta opción permite que el recurso
mantenga los permisos que venía heredando, pero los recursos que se
creen por “debajo” de él, a partir de ese momento no heredaran
permisos de los recursos superiores.

Los permisos efectivos son los permisos que finalmente tiene el

usuario por suma de todos los permisos de los diferentes grupos a los
que ese usuario pertenece.

Carpeta Compartida

En el caso de una carpeta compartida al hacer una copia de esta en

otra ubicación, la carpeta original sigue estando compartida pero la
copia no, y la copia heredara los permisos de la nueva carpeta
contenedora y perderá los permisos que tenía antes. En el caso de que
la misma sea movida, esta deja de estar compartida, pero los permisos
que tenía antes son mantenidos además de sumarle el resto de
permisos que tenga la nueva carpeta contenedora. La explicación de
esto es que cuando uno copia una carpeta se está creando una carpeta
nueva en la tabla DET, y después se elimina lo anterior; pero cuando se
mueve u archivo o carpeta, en la tabla DET los permisos también se
mueven y el único que se cambia es el padre de esa carpeta, además
de sumarle los permisos de este. Para eliminar eso se puede eliminar
la herenciag, lo cual implica que, si la carpeta ya tenía permisos
heredados, al momento de sacarle la herencia, se eliminaran los
permisos heredados y quedaran solo los propios (que son los que se le
hayan aplicado directamente sobre esa carpeta/archivo, o que tenga
de antes si el mismo fue movido con anterioridad).

La carpeta también se puede ocultar y estar compartida al mismo

tiempo. Este tipo de carpetas/archivos se identifican por un signo de $
al final del nombre del recurso compartido y para poder visualizarlas
desde otro equipo se debe utilizar el UNC (Universal Naming
Convention), este es un ejemplo de la estructura de un UNC:

11
\\nombre del equipo\nombre de carpeta compartida

Para ver las carpetas compartidas:

“Administrador de equipos-Herramientas del sistema-Recursos
compartidos”

Las carpetas compartidas se pueden publicar en el AD de forma de que

su búsqueda sea más sencilla, tanto por parte de los administradores
como por parte de los usuarios miembros de este. Para publicar una
carpeta compartida vamos a:
“Administrador de equipos-Herramientas del sistema-Recursos
compartidos” y allí le damos click derecho sobre la carpeta que
queremos publicar, y allí le marcamos el checkbox “Publicar este
recurso compartido en el active directory”.
Los permisos se pueden dividir en tres:

Lectura (de forma predeterminada se agrega al grupo todos): Ver datos

de archivos y atributos, ver los nombres de archivos y subcarpetas y
ejecutar archivos de programa.

Cambio (incluye los permisos de lectura): Permite agregar archivos y

subcarpetas, cambiar datos en archivos, eliminar archivos y
subcarpetas.

Control total: Todos los permisos de lectura y cambio, y puede cambiar

los permisos de archivos NTFS y carpetas.

Los permisos de las carpetas compartidas son solo para el acceso por
red (remoto), si un usuario que no tiene permiso para acceder a esa
carpeta, pero este se moviliza físicamente hasta donde se encuentra la
PC y se loguea en la misma, por más que lo haga con su usuario de
dominio, este podrá acceder a las carpetas en la cuales no tiene
permiso debido a que los permisos que rigen en ese momento son los
permisos locales que tenga esa carpeta.

Cuando un usuario accede a un recurso remoto con permisos, los

mismos se calculan haciendo una “suma” de permisos entre los
permisos “Shares” (de red) y los permisos NTFS (locales) para sacar lo
que se llaman los permisos efectivos. En caso de haber conflicto entre
los permisos NTFS y permisos Shares gana el más restrictivo, debido a
que los permisos de red no afectan de forma local pero los locales si
afectan a los de red. Lo que se llaman permisos efectivos son una
“cuenta” que hace el sistema operativo entre los permisos NTFS y los
shares debido a lo que se dijo anteriormente.

La forma eficaz de controlar los permisos podría ser, en los permisos

shares, quitar al grupo todos, y agregar al grupo Authenticated Users
(Usuarios Autenticados) con permisos totales (Full Control) y Users
(Usuarios) en la sección de seguridad (permisos NTFS) con permisos de
12
lectura, esto nos permite manejar los permisos de los diferentes
grupos y usuarios desde la pestaña seguridad (permisos NTFS). Solo
los usuarios logueados en el dominio y que tengan permisos para
acceder al recurso o aquellos que, aunque estén en un equipo que
tenga acceso a la red, pero que no estén Autenticados contra el
dominio, pero que si posean un usuario y contraseña validos para
poder acceder al recurso compartido podrán hacer uso del mismo
(siempre dependiendo de lso permisos otrogados). De esta forma todo
usuario o grupo que este logueado al dominio pero que no posea
permisos especificados en la sección Security (Seguridad) solo tendrá
permisos de lectura; si lo que queremos es que solo los usuarios que
nosotros especifiquemos en el apartado seguridad puedan acceder al
recurso en función de los permisos que nosotros les otorguemos, basta
con sacar al grupo users o usuarios de la sección security o seguridad.
De esta forma se facilita mucho la otorgación de permisos mediante
una alta centralización del trabajo.

Diferencias entre permisos de carpetas compartidas y permisos NTFS:

Carpetas compartidas NTFS

Solo son aplicables a carpetas Son aplicables tanto a carpetas

como archivos.

Número limitado de permisos Número mayor de permisos

configurables (Full control, aplicables.
read, change).

Funcionan sobre particiones Funcionan solo sobre

FAT y NTFS. particiones NTFS.

Se aplican solo cuando el Se aplican cuando el acceso a

acceso es via remota. la carpeta es vía local o vía
remota.

Cuando se solapan los permisos sobre una carpeta accediendo a la

misma vía remota, siempre van a prevalecer los más restrictivos ya
Configuración de impresoras
sean shares o NTFS.

Microsoft llama “impresora” a una cola de impresión. Podemos tener

varias colas de impresión que se refieren a un mismo dispositivo,
haciendo que cada cola de impresión tenga una prioridad y una
configuración de impresión (color, B/N, tamaño).

Permisos NTFS para las impresoras

Print, Manage, printers, Manage documents, +“Especiales”

13
 Grupo Print Manage Printers Manage
Documents

Administradores X X X

Creator/Owner X X

Everyone X

Power Users X X X

Printer X X X
Operators

Server X X X
Operators

Permisos en el Active Directory

• Control Total
• Escritura: Cambiar atributos de objetos
• Lectura: Ver objetos y sus atributos
• Crear: crear objetos tales como usuarios o equipos
• Eliminar: Eliminar objetos
Al igual que los permisos NTFS, se heredan de padres a hijos (OUs y
SubOUs) y se pueden otorgar y denegar explícitamente.
Para cambiar la forma en que un permiso es heredado hay que hacerlo
en la ventana avanzada de permisos especiales, seleccionando el
permiso a cambiar y clickeando en el botón edit.
Al mover una OU hereda los permisos del nuevo lugar.

Delegación de control de permisos

Asistente para manejar los permisos que tienen grupos y usuarios
sobre objetos del active directory. Es una forma de facilitar la
asignación de permisos ya que en el active directory se pueden asignar
permisos sobre los objetos o sobre las propiedades de los mismos:
Read
Write
Objeto Create Child
Delete Child
Permisos Telefono
Read Mail, etc.
Propiedades Wite Teléfono

14
 Mail, etc.
Al fin y al cabo, este asistente asigna permisos especiales para un
grupo o usuario sobre otros grupos, usuarios o OUs de forma sencilla
desde el punto de vista del administrador.

NTFS
Compresion de archivos

Una de las características disponibles cuando se formatea un volumen

con el sistema de archivos NTFS es la compresión de archivos.
Compresión de NTFS sólo se puede aplicar a una partición o volumen
formateado con el sistema de archivos NTFS. A través de NTFS, puede
crear un espacio de almacenamiento adicional para los archivos ya sea
mediante la compresión de archivos individuales, o todos los archivos
en una carpeta NTFS. Los archivos de una carpeta comprimida se
comprimen cuando se habilita la compresión sobre esa carpeta. Todas
las subcarpetas incluidas en la carpeta comprimida también serán
comprimidas. Un archivo comprimido es descomprimido
automáticamente cuando se accede a él. La sección del archivo que se
lee es la sección del archivo que se descomprime, el resto de los datos
del archivo se mantiene sin comprimir en la memoria. Cuando el
archivo se guarda en la memoria o por escrito en el disco, NTFS
comprime los datos nuevos en el archivo.

La compresión automática sobrecarga al servidor debido a que cada

vez que los archivos comprimidos son usados el sistema operativo
debe descomprimir el mismo para mostrar el contenido, y al momento
de guardar, guarda los cambios y vuelve a comprimir el mismo. No se
deben comprimir carpetas de sistema debido a que su uso es excesivo
y esto sobrecargaría al equipo servidor de forma innecesaria. Por este
motivo no se recomienda comprimir carpetas o archivos del sistema,
debido a que sobrecargaríamos de forma excesiva al servidor.

Si movemos un archivo que esta comprimido a una carpeta que no

está comprimida, el archivo seguirá estando comprimido. Si copio un
archivo comprimido a una capeta que no lo está el archivo nuevo
pierde la compresión. Si copiamos un archivo que no está comprimido
a una carpeta comprimida heredara la compresión de forma
automática. Si movemos un archivo no comprimido a una carpeta
comprimida, este archivo movido queda no comprimido. En esto se
puede decir que es igual a los permisos de los archivos.

Desde la línea de comandos se puede, la compactación de puede usar

de la siguiente forma:

C:\test > compact *.* /s

15
En este caso se compactarían todos los archivos (*.*) de la carpeta test
(>) y sus subdirectorios (/s).

/v es para descomprimir

Encriptación /Cifrado

Este atributo se aplica sobre archivos y carpetas, desde la opción

avanzada de las preferencias de los mismos.
El sistema crea una clave interna automáticamente y de forma
transparente para el usuario con la cual solo deja abrir el archivo al
dueño del mismo.
Se usa desde línea de comandos con cipher.
Mantenimiento del atributo encypt:
Un archivo encriptado permanece de esta forma siempre a no ser que
se copie/mueva a una partición FAT. Si copiamos/movemos un archivo
no encriptado a una carpeta encriptada, se encripta automáticamente.

Cuotas de disco
Consiste en asignarle a los usuarios un tamaño máximo de uso en el
disco con los archivos pertenecientes a los mismos.
Se activa individualmente por cada volumen de disco (partición).
Se manejan dos límites:
• De aviso: cuando el usuario llega a este límite con los archivos de los
cuales es dueño, se registra un evento en el visor de eventos.
• Tope: cuando el usuario llena su cuota , hay dos opciones que son
configurables por el administrador:
1. Permite continuar escribiendo en disco
2. No permite continuar escribiendo en disco
Aunque las cuotas se puedan administrar por grupos, se aplica el límite
a cada usuario individualmente. Cuando existen archivos las cuotas
toman en cuenta el tamaño real y no el comprimido.
Directivas de Grupo (Group Policies)

Configuración del ambiente de Windows.

1. Opciones de Windows (Panel de control)
Opciones en las aplicaciones
2. Bases de datos de parámetros: Registry Regedit
Regedt32
Directivas o
policies Hardware

16
 Usuarios (Perfil de usuarios)
Aplicaciones
• IE
• Outlook
• Windows
3. Aplicar directivas de grupos
o group policies Lista de algunos parámetros

HKEY_USERS : Configuración de los usuarios que alguna vez se

loguearon al equipo
HKEY_CURRENT_USER : Configuración del usuario que esta
actualmente logueado.
La configuración de current se guarda en users cuando el usuario
logueado cierra la sesión correctamente.
HKEY_LOCAL_MACHINE : Configuración de aplicaciones y drivers
permanentemente.
HKEY_CUREENT_CONFIG : Configuración de aplicaciones y drivers que
esta corriendo en este momento.
Al apagar la maquina correctamente, la current config se guarda en la
local machine.
La configuración del resgistro puede ser guardada/respaldada desde la
misma utilidad que tiene Windows para visualizar el resgistro, esto lo
hacemos de la siguiente manera:
Regedit
File—Import Para importar o exportar el resgistro
Export

Group policy editor

Configuración del equipo: Son los parámetros que se aplican al prender
el equipo.
Configuración del usuario: Son los parámetros que se aplican al
loguearse el usuario.
Si estas dos configuraciones hacen referencia a los mismos
parámetros, va a prevalecer siempre la ultima que se aplica, que va a
ser la del usuario, ya que primero se prende la maquina y después se
loguea el usuario.
Cuando se aplican group policies en un dominio, en el AD se crea un
nuevo objeto:

Objeto: Grpup Policy Object (GPO).

Propiedades:
• Nombre del GPO
• DACL: lista de usuarios y permisos sobre el GPO.
• Lista de parámetros: directivas que aplica
17
• Lugares donde se aplica el GPO.

Site es una estructura manejada a partir de Windows 2003 que refleja

redes físicas que conforman los dominios.
Un objeto GPO puede aplicarse sobre:
• Un site: una red física
• Un dominio: todo el dominio
• Una OU: todos los grupos y usuarios de la OU.

Una vez que un GPO está aplicado sobre alguno de los tres elementos
anteriores, existe la herencia y el bloqueo de herencia. También, una
vez aplicado, se pueden filtrar los usuarios y grupos a los que va a
afectar.
Orden de aplicación de las GPO
1. Cuando se prende el equipo, se aplica la policy referente al
equipo.
2. Se carga la policy de site referente al equipo.
3. Se carga la policy de Dominio referente al equipo.
4. Se carga la policy de OU referente al equipo.
En este momento aparece la pantalla de logueo
5. Se carga la policy local del usuario
6. Se carga la policy del site del usuario
7. Se carga la policy del dominio del usuario
8. Se carga la policy de la OU del usuario
Todas estas se van sumando y las políticas de equipo (1º al 4º) son las
que se usan para los parámetros referentes al equipo; y las políticas de
usuario (5º a 8º) son las que usan para los parámetros referentes al
usuario. En caso de que un mismo parámetro exista en las dos
políticas, van a prevalecer los del usuario, ya que son los únicos que se
alican (en caso de políticas contrarias lo único prevalece la poltica de la
ultima GPO que se aplica, sin importar cual sea esta).

18