Instalación y Configuración Windows Server 2012: Página 1

17/11/2020 20410D
Página 1
PRODUCTO OFICIAL MICROSOFTLEAR NING
20410D
Instalación y configuración
Windows Server ® 2012
https://translate.googleusercontent.com/translate_f 1/180
17/11/2020 20410D
Página 2
ii Instalación y configuración de Windows Server ® 2012
La información de este documento, incluida la URL y otras referencias a sitios web de Internet, está sujeta a cambios.
sin notificación. A menos que se indique lo contrario, las empresas, organizaciones, productos, nombres de dominio,
Las direcciones de correo electrónico, los logotipos, las personas, los lugares y los eventos que se describen en este documento son ficticios y no están asociados con
cualquier empresa, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o evento real
previsto o debería inferirse. El cumplimiento de todas las leyes de derechos de autor aplicables es responsabilidad del
usuario. Sin limitar los derechos de autor, ninguna parte de este documento puede reproducirse, almacenarse en
o introducido en un sistema de recuperación, o transmitido en cualquier forma o por cualquier medio (electrónico, mecánico,
fotocopiado, grabación o de otro modo), o para cualquier propósito, sin el permiso expreso por escrito de
Corporación Microsoft.
Microsoft puede tener patentes, aplicaciones de patentes, marcas comerciales, derechos de autor u otra propiedad intelectual
derechos que cubren el tema de este documento. Salvo que se disponga expresamente en cualquier licencia escrita
acuerdo de Microsoft, el suministro de este documento no le otorga ninguna licencia para estos
patentes, marcas registradas, derechos de autor u otra propiedad intelectual.
Los nombres de fabricantes, productos o URL se proporcionan solo con fines informativos y
Microsoft no ofrece declaraciones ni garantías, ya sean expresas, implícitas o legales, con respecto a
estos fabricantes o el uso de los productos con cualquier tecnología de Microsoft. La inclusión de un
El fabricante o producto no implica la aprobación por parte de Microsoft del fabricante o producto. Enlaces
puede proporcionarse a sitios de terceros. Estos sitios no están bajo el control de Microsoft y Microsoft no está
responsable del contenido de cualquier sitio vinculado o de cualquier vínculo contenido en un sitio vinculado, o cualquier cambio o
actualizaciones de dichos sitios. Microsoft no es responsable de la difusión por Internet ni de ninguna otra forma de transmisión.
recibido de cualquier sitio vinculado. Microsoft le proporciona estos enlaces solo para su conveniencia, y el
La inclusión de cualquier vínculo no implica la aprobación por parte de Microsoft del sitio o los productos contenidos.
en esto.
© 2014 Microsoft Corporation. Todos los derechos reservados.
Microsoft y las marcas comerciales enumeradas en http://www.microsoft.com/about/legal/en/us/IntellectualProperty

/Trademarks/EN-US.aspx son marcas comerciales del grupo de empresas Microsoft. Todas las demás marcas comerciales son
propiedad de sus respectivos dueños.
Número de producto: 20410D
Número de refacción: X19-55618
Lanzamiento: 04/2014
Página 3
17/11/2020 20410D
TÉRMINOS DE LICENCIA DE MICROSOFT

CURSO DE MICROSOFT DIRIGIDO POR UN INSTRUCTOR
Estos términos de licencia son un acuerdo entre Microsoft Corporation (o según su lugar de residencia, uno de sus
afiliados) y usted. Por favor léalos. Se aplican a su uso del contenido que acompaña a este acuerdo que
incluye los medios en los que lo recibió, si corresponde. Estos términos de licencia también se aplican al contenido del entrenador y a cualquier
actualizaciones y complementos para el Contenido con licencia a menos que otros términos acompañen a esos elementos. Si es así, esos términos
aplicar.
AL ACCEDER, DESCARGAR O UTILIZAR EL CONTENIDO CON LICENCIA, ACEPTA ESTOS TÉRMINOS.

SI NO LOS ACEPTA, NO ACCEDA, DESCARGUE O USE EL CONTENIDO LICENCIADO.
Si cumple con estos términos de licencia, tiene los siguientes derechos para cada licencia que adquiera.
1. DEFINICIONES.
a. "Centro de aprendizaje autorizado" hace referencia a un miembro del programa Microsoft IT Academy, Microsoft Learning
Miembro de la competencia, o cualquier otra entidad que Microsoft pueda designar de vez en cuando.
segundo. "Sesión de formación autorizada" hace referencia a la clase de formación dirigida por un instructor que utiliza Microsoft Instructor-Led
Material didáctico dirigido por un capacitador en oa través de un centro de aprendizaje autorizado.
C. "Dispositivo para el salón de clases" significa una (1) computadora dedicada y segura que posee un Centro de aprendizaje autorizado
o controles que se encuentran en las instalaciones de capacitación de un Centro de aprendizaje autorizado que cumple o excede el
nivel de hardware especificado para el material didáctico dirigido por un instructor de Microsoft en particular.
re. "Usuario final" significa una persona que (i) está debidamente inscrita y asiste a una sesión de capacitación autorizada
o Sesión de capacitación privada, (ii) un empleado de un miembro de MPN, o (iii) un empleado de tiempo completo de Microsoft.
mi. "Contenido con licencia" se refiere al contenido que acompaña a este acuerdo, que puede incluir la
Material didáctico dirigido por un instructor o contenido para capacitadores.
F. "Microsoft Certified Trainer" o "MCT" hace referencia a una persona que (i) está comprometida para impartir una sesión de formación
a Usuarios Finales en nombre de un Centro de Aprendizaje Autorizado o Miembro de MPN, y (ii) actualmente certificado como
Entrenador certificado de Microsoft bajo el programa de certificación de Microsoft.
gramo. "Material didáctico dirigido por un instructor de Microsoft" hace referencia al curso de formación dirigido por un instructor de la marca Microsoft que
educa a los desarrolladores y profesionales de TI sobre las tecnologías de Microsoft. Un instructor de Microsoft
El título del material didáctico puede tener la marca MOC, Microsoft Dynamics o material didáctico Microsoft Business Group.
h. "Miembro del programa Microsoft IT Academy" hace referencia a un miembro activo de Microsoft IT Academy.
Programa.
yo. "Miembro de Microsoft Learning Competency" hace referencia a un miembro activo de Microsoft Partner Network.
programa en buen estado que actualmente tiene el estado de Competencia de aprendizaje.
j. "MOC" hace referencia al "Producto de aprendizaje oficial de Microsoft" dirigido por un instructor conocido como Microsoft.
Curso oficial que educa a los profesionales y desarrolladores de TI sobre las tecnologías de Microsoft.
k. "Miembro de MPN" significa un miembro activo del programa Microsoft Partner Network en regla.
Página 4
l. "Dispositivo personal" significa una (1) computadora personal, dispositivo, estación de trabajo u otro dispositivo electrónico digital
que usted personalmente posee o controla que cumple o excede el nivel de hardware especificado para el
Material didáctico dirigido por un instructor de Microsoft.
metro. "Sesión de capacitación privada" se refiere a las clases de capacitación dirigidas por un instructor que brindan los miembros de la MPN para
clientes corporativos para enseñar un objetivo de aprendizaje predefinido mediante el software de cursos dirigido por un instructor de Microsoft.
Estas clases no se anuncian ni promueven al público en general y la asistencia a clases está restringida a
17/11/2020 20410D
personas empleadas o contratadas por el cliente corporativo.
norte. "Instructor" significa (i) un educador acreditado académicamente contratado por un programa Microsoft IT Academy
Miembro para impartir una Sesión de formación autorizada y / o (ii) un MCT.
o. "Contenido del capacitador" hace referencia a la versión del capacitador del material didáctico dirigido por un instructor de Microsoft y
contenido complementario designado exclusivamente para el uso de los instructores para impartir una sesión de capacitación utilizando Microsoft
Material didáctico dirigido por un instructor. El contenido del capacitador puede incluir presentaciones de Microsoft PowerPoint,
guía de preparación, materiales de formación del formador, paquetes de Microsoft One Note, guía de configuración del aula y
liberar formulario de comentarios del curso. Para aclarar, el contenido del entrenador no incluye ningún software, virtual duro
discos o máquinas virtuales.
2. DERECHOS DE USO . El Contenido con licencia se licencia, no se vende. El Contenido con licencia se licencia en una sola copia.
por usuario , de modo que debe adquirir una licencia para cada individuo que acceda o utilice el Licenciado
Contenido.
2.1 A continuación se muestran cinco conjuntos separados de derechos de uso. Solo se le aplica un conjunto de derechos.
a. Si es miembro del programa Microsoft IT Academy:

yo. Cada licencia adquirida en su nombre solo se puede usar para revisar una (1) copia de Microsoft
Material didáctico dirigido por un instructor en el formulario que se le proporcionó. Si el material didáctico dirigido por un instructor de Microsoft es
en formato digital, puede instalar una (1) copia en hasta tres (3) dispositivos personales. Tú quizás no
instale el material didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
ii. Por cada licencia que adquiera en nombre de un Usuario final o Entrenador, puede:
1. distribuir una (1) versión impresa del material didáctico dirigido por un instructor de Microsoft a un (1) final
Usuario que está inscrito en la Sesión de capacitación autorizada, y solo inmediatamente antes de la
Inicio de la Sesión de formación autorizada que es el tema de Microsoft
Se proporciona material didáctico dirigido por un instructor, o
2. proporcionar a un (1) Usuario final el código de canje único e instrucciones sobre cómo pueden
acceder a una (1) versión digital del material didáctico dirigido por un instructor de Microsoft, o
3. Proporcione a un (1) Instructor el código de canje único e instrucciones sobre cómo pueden
acceder a un (1) contenido de entrenador,
siempre que cumpla con lo siguiente:
iii. solo proporcionará acceso al Contenido con licencia a aquellas personas que hayan adquirido un
licencia del Contenido con licencia,
iv. se asegurará de que cada usuario final que asista a una sesión de formación autorizada tenga su propia licencia válida
copia del material didáctico dirigido por un instructor de Microsoft que es objeto de la capacitación autorizada
Sesión,
v. se asegurará de que cada Usuario final que reciba la versión impresa del Instructor de Microsoft
Se presentará al material didáctico dirigido con una copia de este acuerdo y cada usuario final aceptará que
su uso del material didáctico dirigido por un instructor de Microsoft estará sujeto a los términos de este contrato
antes de proporcionarles el material didáctico dirigido por un instructor de Microsoft. Cada individuo será requerido
para denotar su aceptación de este acuerdo de una manera que sea ejecutable bajo la ley local antes de
su acceso al material didáctico dirigido por un instructor de Microsoft,
vi. se asegurará de que cada Instructor que imparta una Sesión de capacitación autorizada tenga su propia
copia con licencia del contenido del capacitador que es el tema de la sesión de capacitación autorizada,
Página 5
vii. Solo utilizará instructores calificados que tengan un conocimiento profundo y experiencia con el
Tecnología de Microsoft que es el tema del material didáctico dirigido por un instructor de Microsoft que se enseña para
todas sus sesiones de formación autorizadas,
viii. Solo brindará un máximo de 15 horas de capacitación por semana por cada Capacitación autorizada.
Sesión que usa un título MOC, y
ix. reconoce que los instructores que no sean MCT no tendrán acceso a todos los recursos para capacitadores
para el material didáctico dirigido por un instructor de Microsoft.
segundo. Si es miembro de Microsoft Learning Competency :

17/11/2020 20410D
1. distribuir unaque
Usuario (1)asiste
versión
a laimpresa
Sesión del material didáctico
de capacitación dirigido
autorizada porinmediatamente
y solo un instructor de antes
Microsoft
de la a un (1) final
Inicio de la Sesión de formación autorizada que es el tema de Microsoft
Material didáctico dirigido por un instructor proporcionado, o
2. proporcionar a un (1) usuario final que asista a la sesión de formación autorizada con el canje único
código e instrucciones sobre cómo pueden acceder a una (1) versión digital de Microsoft Instructor-
Material didáctico dirigido, o
3. proporcionará a un (1) Instructor el código de canje único e instrucciones sobre cómo
puede acceder a un (1) contenido de entrenador,
siempre que cumpla con lo siguiente :
iv. se asegurará de que cada usuario final que asista a una sesión de formación autorizada tenga su propia
copia con licencia del material didáctico dirigido por un instructor de Microsoft que es objeto de la
Sesión de entrenamiento,
v. se asegurará de que cada Usuario final reciba una versión impresa de Microsoft Instructor-Led
Se presentará al material didáctico una copia de este acuerdo y cada usuario final aceptará que su
El uso del material didáctico dirigido por un instructor de Microsoft estará sujeto a los términos de este acuerdo antes de
proporcionándoles el material didáctico dirigido por un instructor de Microsoft. Cada individuo deberá
denotar su aceptación de este acuerdo de una manera que sea ejecutable bajo la ley local antes de
vi. se asegurará de que cada Instructor que imparta una Sesión de capacitación autorizada tenga su propia
copia con licencia del contenido del capacitador que es el tema de la sesión de capacitación autorizada,
vii. solo utilizará instructores calificados que posean la credencial de certificación de Microsoft correspondiente que sea
el tema del material didáctico dirigido por un instructor de Microsoft que se imparte para su capacitación autorizada
Sesiones,
viii. solo utilizará MCT calificados que también posean la credencial de certificación de Microsoft correspondiente que sea
el tema del título MOC que se enseña en todas sus Sesiones de capacitación autorizadas utilizando MOC,
ix. solo proporcionará acceso al material didáctico dirigido por un instructor de Microsoft a los usuarios finales, y
X. Solo proporcionará acceso al contenido del capacitador a los capacitadores.
Página 6
C. Si es miembro de la MPN :
1. distribuir una (1) versión impresa del material didáctico dirigido por un instructor de Microsoft a un (1) final
Usuario que asiste a la sesión de formación privada, y solo inmediatamente antes del inicio
de la Sesión de capacitación privada que es el tema de Microsoft Instructor-Led
Se proporciona material educativo, o
2. proporcionar a un (1) usuario final que asista a la sesión de capacitación privada con el exclusivo
código de canje e instrucciones sobre cómo pueden acceder a una (1) versión digital del
Material didáctico dirigido por un instructor de Microsoft, o
3. proporcionará un (1) entrenador que esté impartiendo la sesión de capacitación privada con el
código de canje e instrucciones sobre cómo pueden acceder a un (1) contenido de entrenador,
siempre que cumpla con lo siguiente :
iv. se asegurará de que cada usuario final que asista a una sesión de formación privada tenga su propia licencia válida
copia del material didáctico dirigido por un instructor de Microsoft que es el tema de la sesión de formación privada,
v. se asegurará de que cada Usuario final reciba una versión impresa de Microsoft Instructor-Led
Se presentará al material didáctico una copia de este acuerdo y cada usuario final aceptará que su
17/11/2020 20410D
El uso del material didáctico dirigido por un instructor de Microsoft estará sujeto a los términos de este acuerdo antes de
proporcionándoles el material didáctico dirigido por un instructor de Microsoft. Cada individuo deberá
denotar su aceptación de este acuerdo de una manera que sea ejecutable bajo la ley local antes de
vi. se asegurará de que cada entrenador que imparta una sesión de capacitación privada tenga su propia licencia válida
copia del contenido del capacitador que es el tema de la sesión de capacitación privada,
vii. solo utilizará instructores calificados que posean la credencial de certificación de Microsoft correspondiente que sea
el tema del material didáctico dirigido por un instructor de Microsoft que se imparte en toda su formación privada
Sesiones,
viii. solo utilizará MCT calificados que posean la credencial de certificación de Microsoft correspondiente que es la
asignatura del título MOC que se imparte en todas sus sesiones de formación privadas utilizando MOC,
ix. solo proporcionará acceso al material didáctico dirigido por un instructor de Microsoft a los usuarios finales, y
X. Solo proporcionará acceso al contenido del capacitador a los capacitadores.
re. Si es un usuario final:

Para cada licencia que adquiera, puede utilizar el material didáctico dirigido por un instructor de Microsoft únicamente para su
uso de entrenamiento personal. Si el material didáctico dirigido por un instructor de Microsoft está en formato digital, puede acceder al
Material didáctico dirigido por un instructor de Microsoft en línea utilizando el código de canje único que le proporcionó el
proveedor de formación e instalar y utilizar una (1) copia del material didáctico dirigido por un instructor de Microsoft hasta
tres (3) dispositivos personales. También puede imprimir una (1) copia del material didáctico dirigido por un instructor de Microsoft.
No puede instalar el material didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
mi. Si eres Entrenador.

yo. Por cada licencia que adquiera, puede instalar y usar una (1) copia del Contenido del capacitador en el
formulario que se le proporciona en un (1) Dispositivo personal únicamente para preparar y entregar un
Sesión de formación o sesión de formación privada, e instale una (1) copia adicional en otra
Dispositivo como copia de seguridad, que puede usarse solo para reinstalar el Contenido del entrenador. Tú quizás no
instalar o usar una copia del contenido del entrenador en un dispositivo que no sea de su propiedad o que no controle. También puede
imprimir una (1) copia del contenido del capacitador únicamente para preparar y entregar una capacitación autorizada
Sesión o sesión de formación privada.
Página 7
ii. Puede personalizar las partes escritas del Contenido del capacitador que están asociadas lógicamente con
instrucción de una sesión de formación de acuerdo con la versión más reciente del acuerdo MCT.
Si opta por ejercer los derechos anteriores, acepta cumplir con lo siguiente: (i)
Las personalizaciones solo se pueden utilizar para impartir sesiones de formación autorizadas y formación privada.
Las sesiones y (ii) todas las personalizaciones cumplirán con este acuerdo. Para mayor claridad, cualquier uso de
"Personalizar" se refiere solo a cambiar el orden de las diapositivas y el contenido, y / o no usar todas las diapositivas o
contenido, no significa cambiar o modificar ninguna diapositiva o contenido.
2.2 Separación de componentes. El Contenido con licencia se licencia como una sola unidad y no puede
separe sus componentes e instálelos en diferentes dispositivos.
2.3 Redistribución de contenido con licencia . Salvo que se indique expresamente en los derechos de uso anteriores, puede
no distribuir ningún Contenido con licencia o cualquier parte del mismo (incluidas las modificaciones permitidas) a ningún
terceros sin el permiso expreso por escrito de Microsoft.
2.4 Avisos de terceros . El Contenido con licencia puede incluir un código de terceros que Microsoft, no el
terceros, licencias para usted en virtud de este acuerdo. Se incluyen avisos, si los hay, para el contenido del código de terceros
solo para su información.
2.5 Términos adicionales . Algunos contenidos con licencia pueden contener componentes con términos adicionales,
condiciones y licencias sobre su uso. Cualquier término no conflictivo en esas condiciones y licencias también
se aplican a su uso de ese componente respectivo y complementa los términos descritos en este acuerdo.
3. CONTENIDO CON LICENCIA BASADO EN TECNOLOGÍA PREVIA AL LANZAMIENTO. Si el tema del Contenido con licencia
El asunto se basa en una versión preliminar de la tecnología de Microsoft (" Presentación preliminar "), y luego, además de la
Otras disposiciones de este acuerdo, estos términos también se aplican:
a. Contenido con licencia previa al lanzamiento. Este tema del Contenido con licencia se encuentra en la versión preliminar de
la tecnología de Microsoft. Es posible que la tecnología no funcione como lo haría una versión final de la tecnología.
17/11/2020 20410D
y podemos cambiar la tecnología para la versión final. Es posible que tampoco publiquemos una versión final.
El Contenido con licencia basado en la versión final de la tecnología puede no contener la misma información que
el Contenido con licencia basado en la versión preliminar. Microsoft no tiene la obligación de proporcionarle
con cualquier contenido adicional, incluido cualquier Contenido con licencia basado en la versión final de la tecnología.
segundo. Retroalimentación. Si acepta enviar comentarios sobre el Contenido con licencia a Microsoft, ya sea directamente o
a través de su tercero designado, usted otorga a Microsoft sin cargo, el derecho a usar, compartir y
comercializar sus comentarios de cualquier forma y con cualquier propósito. También le das a terceros, sin
cobrar, cualquier derecho de patente necesario para que sus productos, tecnologías y servicios utilicen o interactúen con
cualquier parte específica de una tecnología, producto o servicio de Microsoft que incluya los comentarios.
No proporcionará comentarios que estén sujetos a una licencia que requiera que Microsoft licencia su tecnología,
tecnologías o productos a terceros porque incluimos sus comentarios en ellos. Estos derechos
sobrevivir a este acuerdo.
C. Plazo de prelanzamiento . Si es miembro del programa Microsoft IT Academy, Microsoft Learning

Miembro de la competencia, Miembro de MPN o Entrenador, dejará de utilizar todas las copias del Contenido con licencia en
la tecnología de prelanzamiento en (i) la fecha en la que Microsoft le informa es la fecha de finalización para el uso del
Contenido con licencia sobre la tecnología de prelanzamiento, o (ii) sesenta (60) días después del lanzamiento comercial del
tecnología que es objeto del Contenido con licencia, lo que ocurra primero (" Término previo al lanzamiento ").
Una vez que expire o termine el período de prelanzamiento, eliminará y destruirá irremediablemente todas las copias.
del Contenido con licencia en su posesión o bajo su control.
Página 8
4. ALCANCE DE LA LICENCIA . El Contenido con licencia se licencia, no se vende. Este acuerdo solo te da algunos
derechos para utilizar el Contenido con licencia. Microsoft se reserva todos los demás derechos. A menos que la ley aplicable le brinde más
derechos a pesar de esta limitación, puede usar el Contenido con licencia solo como se permite expresamente en este
acuerdo. Al hacerlo, debe cumplir con cualquier limitación técnica en el Contenido con licencia que solo
le permite utilizarlo de determinadas formas. Salvo que se permita expresamente en este acuerdo, no podrá:
• acceder o permitir que cualquier persona acceda al Contenido con licencia si no ha adquirido una licencia válida
para el Contenido con licencia,
• alterar, eliminar u ocultar los derechos de autor u otros avisos de protección (incluidas las marcas de agua), la marca
o identificaciones contenidas en el Contenido con licencia,
• modificar o crear un trabajo derivado de cualquier Contenido con licencia,
• mostrar públicamente o hacer que el Contenido con licencia esté disponible para que otros accedan o utilicen,
• copiar, imprimir, instalar, vender, publicar, transmitir, prestar, adaptar, reutilizar, enlazar o publicar, poner a disposición o
distribuir el Contenido con licencia a terceros,
• solucionar cualquier limitación técnica en el Contenido con licencia, o
• realizar ingeniería inversa, descompilar, eliminar o frustrar cualquier protección o desmontar el
Contenido con licencia, excepto y solo en la medida en que la ley aplicable lo permita expresamente, a pesar de esto
limitación.
5. RESERVA DE DERECHOS Y PROPIEDAD . Microsoft se reserva todos los derechos no otorgados expresamente a
usted en este acuerdo. El Contenido con licencia está protegido por derechos de autor y otras leyes de propiedad intelectual.
y tratados. Microsoft o sus proveedores poseen el título, los derechos de autor y otros derechos de propiedad intelectual en el
Contenido con licencia.
6. RESTRICCIONES DE EXPORTACIÓN . El Contenido con licencia está sujeto a las leyes y regulaciones de exportación de los Estados Unidos.
Debe cumplir con todas las leyes y regulaciones de exportación nacionales e internacionales que se aplican a los
Contenido. Estas leyes incluyen restricciones sobre destinos, usuarios finales y uso final. Para informacion adicional,
consulte www.microsoft.com/exporting.
7. SERVICIOS DE APOYO . Debido a que el Contenido con licencia está "tal cual", es posible que no proporcionemos servicios de soporte para él.
8. TERMINACIÓN. Sin perjuicio de cualquier otro derecho, Microsoft puede rescindir este acuerdo si no
para cumplir con los términos y condiciones de este acuerdo. Tras la terminación de este acuerdo por cualquier
Por este motivo, dejará inmediatamente de usar y eliminará y destruirá todas las copias del Contenido con licencia en
su posesión o bajo su control.
9. ENLACES A SITIOS DE TERCEROS . Puede vincular a sitios de terceros mediante el uso de la licencia
Contenido. Los sitios de terceros no están bajo el control de Microsoft y Microsoft no es responsable de
17/11/2020 20410D
el contenido
sitios de losMicrosoft
de terceros. sitios de terceros, los enlaces
no es responsable decontenidos en los
la transmisión porsitios de terceros
Internet o cualquier
ni de ninguna cambio
otra forma deotransmisión
actualización de
recibida.
de sitios de terceros. Microsoft le proporciona estos enlaces a sitios de terceros solo como
conveniencia, y la inclusión de cualquier enlace no implica un respaldo por parte de Microsoft del tercero
sitio.
10. ACUERDO COMPLETO. Este acuerdo y cualquier término adicional para el Contenido del capacitador, actualizaciones y
Los suplementos son el acuerdo completo para el Contenido con licencia, las actualizaciones y los suplementos.
11. LEY APLICABLE.

a. Estados Unidos. Si adquirió el Contenido con licencia en los Estados Unidos, la ley del estado de Washington rige
la interpretación de este acuerdo y se aplica a reclamaciones por incumplimiento del mismo, independientemente del conflicto de leyes
principios. Las leyes del estado donde vive rigen todos los demás reclamos, incluidos los reclamos bajo
leyes de protección al consumidor, leyes de competencia desleal y responsabilidad extracontractual.
Página 9
segundo. Fuera de Estados Unidos. Si adquirió el Contenido con licencia en cualquier otro país, las leyes de ese
aplica el país.
12. EFECTO LEGAL . Este acuerdo, describe ciertos derechos legales. Es posible que tenga otros derechos según las leyes
de su país. También puede tener derechos con respecto a la parte de la que adquirió el Licenciado
Contenido. Este acuerdo no cambia sus derechos bajo las leyes de su país si las leyes de su
país no lo permite.
13. RENUNCIA DE GARANTÍA. EL CONTENIDO LICENCIADO TIENE LICENCIA "TAL CUAL" Y "COMO
DISPONIBLE. "USTED TIENE EL RIESGO DE USARLO. MICROSOFT Y SUS RESPECTIVOS
LOS AFILIADOS NO OFRECEN GARANTÍAS, GARANTÍAS O CONDICIONES EXPRESAS. PUEDES
TIENE DERECHOS ADICIONALES DE CONSUMIDOR BAJO SUS LEYES LOCALES QUE ESTE ACUERDO
NO PUEDE CAMBIAR. EN LA MEDIDA PERMITIDA POR SUS LEYES LOCALES, MICROSOFT Y
SUS RESPECTIVAS AFILIADAS EXCLUYEN CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD,
APTITUD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN.
14. LIMITACIÓN Y EXCLUSIÓN DE RECURSOS Y DAÑOS. PUEDES RECUPERARTE DE

MICROSOFT, SUS RESPECTIVAS AFILIADAS Y SUS PROVEEDORES SOLO DIRECTO DAÑOS ARRIBA
A US $ 5,00. NO PUEDE RECUPERAR NINGÚN OTRO DAÑO, INCLUYENDO LOS CONSECUENTES,
PÉRDIDA DE BENEFICIOS, DAÑOS ESPECIALES, INDIRECTOS O INCIDENTALES.
Esta limitación se aplica a

o todo lo relacionado con el Contenido con licencia, los servicios, el contenido (incluido el código) en Internet de terceros
sitios o programas de terceros; y
o reclamaciones por incumplimiento de contrato, incumplimiento de garantía, garantía o condición, responsabilidad objetiva, negligencia,
u otro agravio en la medida en que lo permita la ley aplicable.
También se aplica incluso si Microsoft sabía o debería haber sabido sobre la posibilidad de los daños. los
Es posible que la limitación o exclusión anterior no se aplique a usted porque es posible que su país no permita la exclusión o
limitación de daños incidentales, consecuentes u otros.
Tenga en cuenta: Dado que este Contenido con licencia se distribuye en Quebec, Canadá, algunas de las cláusulas de este
acuerdo se proporcionan a continuación en francés.
Comentario: Ce le contenu sous license étant distribué au Québec, Canadá, certaines des clauses
dans ce contrat sont fournies ci-dessous en français.
EXONÉRACIÓN DE GARANTIE. Le contenu sous license visé par une license est offert «tel quel». Toute
utilización de ce contenu sous license est à votre seule risque et péril. Microsoft n'accorde aucune autre garantie
exprese. Vous pouvez bénéficier de droits addnels en vertu du droit local sur la protection dues
consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit locale, les garanties
implicites de qualité marchande, d'adéquation à un use particulier et d'absence de contrefaçon sont exclues.
LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR LES

DOMMAGES. Vous pouvez obtenir de Microsoft et de ses fournisseurs une indemnisation en cas de dommages
17/11/2020 20410D
dirige uniquement à hauteur de 5,00 $ US. Vous ne pouvez prétendre à aucune indemnisation pour les autres
dommages, y comprende les dommages spéciaux, indirects ou accessoires et pertes de bénéfices.
Limitación de Cette con respecto a:
• tout ce qui est relié au le contenu sous license, aux services ou au contenu (código compuesto)
Figurant sur des sites Niveles de Internet o niveles de programas; et.
• les réclamations au título de violación de contrat ou de garantie, ou au titre de responsabilité
stricte, de négligence ou d'une autre faute dans la limite autorisée par la loi en vigueur.
Página 10
Elle s'applique également, même si Microsoft connaissait ou devrait connaître l'éventualité d'un tel dommage. Si
votre pays n'autorise pas l'exclusion ou la limitación de responsabilidad pour les dommages indirects, accessoires
ou de quelque nature que ce soit, il se peut que la limitación ou l'exclusion ci-dessus ne s'appliquera pas à votre
égard.
EFFET JURIDIQUE. Le présent contrat décrit certains droits juridiques. Vous pourriez avoir d'autres droits
prévus par les lois de votre pays. Le présent contrat ne modifie pas les droits que vous confèrent les lois de votre
paga si celles-ci ne le permettent pas.
Revisado en julio de 2013
17/11/2020 20410D
Página 11
Instalación y configuración de Windows Server ® 2012 xi
17/11/2020 20410D
Pagina 12
xii Instalación y configuración de Windows Server ® 2012
Expresiones de gratitud
Microsoft Learning desea reconocer y agradecer a las siguientes personas por su contribución a
desarrollando este título. Su esfuerzo en varias etapas del desarrollo ha asegurado que tenga una buena
experiencia en el aula.
Andrew J. Warren - Desarrollador principal de contenido

Andrew Warren tiene más de 25 años de experiencia en la industria de TI, muchos de los cuales ha pasado
enseñanza y escritura. Ha estado involucrado como experto en la materia para muchos Windows Server ® 2008
cursos y el liderazgo técnico en una serie de otros cursos. También ha estado involucrado en el desarrollo
TechNet sesiones sobre Microsoft ® Exchange Server 2007. Con base en el Reino Unido, dirige su propio TI
consultoría en formación y educación.
Gary Dunlop - Desarrollador de contenido

Gary Dunlop tiene su sede en Winnipeg, Canadá y es consultor técnico y formador de Broadview.
Redes. Es autor de varios títulos de Microsoft Learning y ha sido certificado por Microsoft.
Entrenador (MCT) desde 1997.
Dave Franklyn - Desarrollador de contenido

David M. Franklyn, MCT, Microsoft Certified Solutions Expert (MCSE), Microsoft Certified IT Professional
(MCITP), Microsoft Most Valuable Professional (MVP) Windows Expert-It Pro, es un experto en información
Formador y consultor de tecnología en la Universidad de Auburn en Montgomery, Alabama, y es el propietario de
DaveMCT, Inc. LLC. También es profesor adjunto de MyITStudy.com. Es un líder regional del este de EE. UU.
MCT. Dave ha sido MVP de Microsoft desde 2011 y ha enseñado en la Universidad de Auburn desde 1998.
Trabajando con computadoras desde 1976, Dave comenzó en el mundo de mainframe y se mudó temprano al
arena de la red. Antes de unirse a la Universidad de Auburn, Dave pasó 22 años en la Fuerza Aérea de EE. UU. Como
especialista en comunicaciones electrónicas y sistemas informáticos, que se jubilará en 1998. Dave es presidente de la
Montgomery Windows IT Professional Group, y un orador invitado en muchos eventos que involucran a Microsoft
productos.
Vladimir Meloski - Desarrollador de contenido

Vladimir es MCT, MVP en Exchange Server y consultor, y proporciona comunicaciones unificadas.
y soluciones de infraestructura basado en Exchange Server, Lync ® Server, Windows Server y Microsoft
System Center. Vladimir tiene 17 años de experiencia profesional en TI y ha estado involucrado en Microsoft
conferencias en Europa y los Estados Unidos como ponente, moderador, supervisor de laboratorios prácticos y
experto técnico. También ha estado involucrado como experto en la materia y revisor técnico para
Cursos del plan de estudios oficial de Microsoft.
Stan Reimer - Desarrollador de contenido

Stan Reimer es presidente de SR Technical Services Inc. y trabaja como consultor, formador y autor.
Stan tiene una amplia experiencia en consultoría en Active Directory ® servicios de dominio (AD DS) y Exchange
Implementaciones de servidores para algunas de las empresas más grandes de Canadá. Stan es el autor principal de dos
Libros de Active Directory para Microsoft Press ® . Durante los últimos 10 años, Stan ha estado escribiendo material didáctico para
Microsoft Learning, especializado en cursos de Active Directory y Exchange Server. Stan ha sido MCT durante
13 años.
Página 13
Instalación y configuración de Windows Server® 2012 xiii
Telmo Sampaio - Desarrollador de contenido

Telmo Sampaio, quien tiene una licenciatura en Ciencias de la Computación, también es MCT, MCSE,
17/11/2020 20410D
Desarrollador de soluciones certificado de Microsoft (MCSD) y líder regional de MCT. Él es el "Jefe Geek"
para MCTrainer.NET y TechKnowLogical. Telmo se especializa en System Center, Microsoft SharePoint ® ,
Microsoft SQL Server® y .NET, y ha trabajado para IBM, Microsoft y varias empresas emergentes durante la
últimos 20 años. Es muy activo en la comunidad MCT y viaja por el mundo brindando servicios de consultoría.
y asistir a los compromisos de formación. Su base de operaciones es Miami, Florida. Telmo ha pasado más de 100
Exámenes de Microsoft desde su primera certificación en 1996.
David Susemiehl - Desarrollador de contenido

David Susemiehl ha trabajado como consultor, capacitador y desarrollador de material educativo desde 1996. David ha
Amplia experiencia en consultoría en Microsoft Systems Management Server y Microsoft System Center.
Configuration Manager 2007, así como Active Directory, Exchange Server y Terminal Server / Citrix
despliegues. David ha desarrollado el desarrollo de material educativo para Microsoft y Hewlett-Packard, y
impartió esos cursos con éxito en Europa, América Central y América del Norte. Por el último
Durante varios años, David ha estado escribiendo material educativo para Microsoft Learning y ha realizado consultorías sobre infraestructura.
transiciones en Michigan.
Brian Svidergol - Desarrollador de contenido

Brian Svidergol se especializa en infraestructura de Microsoft y soluciones basadas en la nube creadas alrededor de Windows,
Active Directory, Exchange Server, System Center, virtualización y Microsoft Desktop Optimization Pack
(MDOP). Posee una variedad de certificaciones de Microsoft y de la industria. Brian fue el autor de Active Directory
Cookbook, 4 ª edición. También ha trabajado como experto en la materia y revisor técnico en muchos
Cursos del plan de estudios oficial de Microsoft, exámenes de certificación de Microsoft y relacionados con la autoría o revisión
contenido de entrenamiento.
Orin Thomas - Desarrollador de contenido

Orin Thomas es MVP, MCT y tiene una variedad de certificaciones MCSE y MCITP. Ha escrito mas
de 20 libros para Microsoft Press, y es editor colaborador de la revista Windows IT Pro . El ha estado
trabajando en TI desde principios de la década de 1990. Habla regularmente en eventos como TechED en Australia y alrededor
el mundo en Windows Server, sistemas operativos cliente de Windows, System Center y temas de seguridad. Orin
fundó y dirige el Melbourne System Center Users Group.
Brian Langan - Revisor técnico

Brian Langan es presidente y fundador de Langan Enterprises Inc., una firma de consultoría / capacitación / seguridad.
establecida en 1995. Ha trabajado en la industria durante más de 20 años convirtiéndose en MCT en 1996, y tiene
una serie de certificaciones de Microsoft en clientes, servidores, mensajería y productos de System Center. Él tiene
cursos escritos sobre muchos temas diferentes, incluidos los cursos de seguridad y solución de problemas de Windows para
Global Knowledge y otras empresas de formación.
Página 14
xiv Instalación y configuración de Windows Server® 2012
Contenido
Módulo 1: Implementación y administración de Windows Server 2012
Lección 1: Descripción general de Windows Server 2012 1-3
Lección 2: Instalación de Windows Server 2012 1-14
Lección 3: Configuración posterior a la instalación de Windows Server 2012 1-21
Lección 4: Descripción general de la administración de Windows Server 2012 1-32
17/11/2020 20410D
Lección 5: Introducción a Windows PowerShell 1-39
Laboratorio: Implementación y administración de Windows Server 2012 1-47
Módulo 2: Introducción a los servicios de dominio de Active Directory

Lección 1: descripción general de AD DS 2-2
Lección 2: Descripción general de los controladores de dominio 2-13
Lección 3: Instalación de un controlador de dominio 2-20
Laboratorio: Instalación de controladores de dominio 2-28
Módulo 3: Gestión de objetos de servicios de dominio de Active Directory

Lección 1: Gestión de cuentas de usuario 3-2
Lección 2: Gestión de grupos 3-12
Lección 3: Administrar cuentas de computadora 3-21
Lección 4: Delegación de la administración 3-29
Laboratorio: Administración de objetos de servicios de dominio de Active Directory 3-33
Módulo 4: Automatización de la administración de servicios de dominio de Active Directory

Lección 1: Uso de herramientas de línea de comandos para la administración de AD DS 4-2
Lección 2: Uso de Windows PowerShell para la administración de AD DS 4-8
Lección 3: Realización de operaciones masivas con Windows PowerShell 4-14
Laboratorio: Automatización de la administración de AD DS mediante Windows PowerShell 4-25
Módulo 5: Implementación de IPv4

Lección 1: Descripción general de TCP / IP 5-2
Lección 2: Comprensión del direccionamiento IPv4 5-7
Lección 3: Subnetting y Supernetting 5-12
Lección 4: Configuración y solución de problemas de IPv4 5-18
Laboratorio: Implementación de IPv4 5-28
Módulo 6: Implementación del protocolo de configuración dinámica de host

Lección 1: Descripción general de la función del servidor DHCP 6-2
Lección 2: Configurar ámbitos DHCP 6-8
Lección 3: Gestión de una base de datos DHCP 6-14
Lección 4: Protección y supervisión de DHCP 6-18
Laboratorio: Implementación de DHCP 6-24
Página 15
Instalación y configuración de Windows Server® 2012 xv
Módulo 7: Implementación de DNS

Lección 1: Resolución de nombres para clientes y servidores Windows 7-2
Lección 2: Instalación de un servidor DNS 7-15
Lección 3: Gestión de zonas DNS 7-21
Laboratorio: Implementación de DNS 7-25
Módulo 8: Implementación de IPv6

Lección 1: Descripción general de IPv6 8-2
Lección 2: Direccionamiento IPv6 8-7
Lección 3: Coexistencia con IPv4 8-13
Lección 4: Tecnologías de transición a IPv6 8-17
Módulo 9: Implementación de almacenamiento local
17/11/2020 20410D
Lección 1: Descripción general del almacenamiento 9-2
Lección 2: Administrar discos y volúmenes 9-12
Lección 3: Implementación de espacios de almacenamiento 9-23
Laboratorio: Implementación de almacenamiento local 9-29
Módulo 10: Implementación de servicios de impresión y archivo

Lección 1: Protección de archivos y carpetas 10-2
Lección 2: Protección de carpetas y archivos compartidos mediante instantáneas 10-15
Lección 3: Configurar carpetas de trabajo 10-18
Lección 4: Configuración de la impresión en red 10-26
Laboratorio: Implementación de servicios de impresión y archivo 10-32
Módulo 11: Implementación de políticas de grupo

Lección 1: Descripción general de la directiva de grupo 11-2
Lección 2: Procesamiento de políticas de grupo 11-9
Lección 3: Implementación de un almacén central para plantillas administrativas 11-16
Laboratorio: Implementación de políticas de grupo 11-20
Módulo 12: Protección de servidores Windows mediante objetos de directiva de grupo

Lección 1: Descripción general de seguridad para sistemas operativos Windows 12-2
Lección 2: Configurar los ajustes de seguridad 12-6
Laboratorio A: Aumento de la seguridad de los recursos del servidor 12-18
Lección 3: Restricción de software 12-25
Lección 4: Configuración de Firewall de Windows con seguridad avanzada 12-29
Laboratorio B: Configuración de AppLocker y Firewall de Windows 12-35
Página 16
xvi Instalación y configuración de Windows Server ® 2012
Módulo 13: Implementación de la virtualización de servidores con Hyper-V

Lección 1: Descripción general de las tecnologías de virtualización 13-2
Lección 2: Implementación de Hyper-V 13-8
Lección 3: Administrar el almacenamiento de la máquina virtual 13-19
Lección 4: Gestión de redes virtuales 13-27
Laboratorio: Implementación de la virtualización de servidores con Hyper-V 13-33
Teclas de respuesta de laboratorio

Laboratorio del Módulo 1: Implementación y administración de Windows Server 2012 L1-1
Laboratorio del Módulo 2: Instalación de controladores de dominio L2-9
Laboratorio del Módulo 3: Administración de objetos de servicios de dominio de Active Directory L3-13
Laboratorio del Módulo 4: Automatización de la administración de AD DS mediante
Windows PowerShell L4-21
Laboratorio del Módulo 5: Implementación de IPv4 L5-25
Laboratorio del Módulo 6: Implementación de DHCP L6-29
Laboratorio del Módulo 7: Implementación de DNS L7-35
Laboratorio del Módulo 8: Implementación de IPv6 L8-43
Laboratorio del Módulo 9: Implementación de almacenamiento local L9-47
Laboratorio del Módulo 10: Implementación de servicios de impresión y archivo L10-53
Laboratorio del Módulo 11: Implementación de políticas de grupo L11-61
17/11/2020 20410D
Módulo 12 Laboratorio A: Aumento de la seguridad de los recursos del servidor L12-65
Módulo 12 Laboratorio B: Configuración de AppLocker y Firewall de Windows L12-71
Laboratorio del Módulo 13: Implementación de la virtualización de servidores con Hyper-V L13-77
Página 17
Acerca de este curso xvii
Acerca de este curso

Esta sección le proporciona una breve descripción del curso 20410D: Instalación y configuración de Windows
Servidor ® 2012 , incluyendo su audiencia, requisitos previos sugeridos, y los objetivos del curso.
Descripción del curso

Nota: Este comunicado (D) Microsoft ® Official Curriculum (MOC) versión del supuesto 20410 se ha desarrollado
en la versión final del software Windows Server ® 2012 R2.
Este curso es parte de una serie de tres partes que proporciona las habilidades y el conocimiento necesarios para
implementar una infraestructura central de Windows Server 2012 en un entorno empresarial existente. los
tres cursos cubren colectivamente la implementación, gestión, mantenimiento y aprovisionamiento de servicios y
infraestructura en un entorno de Windows Server 2012. Si bien hay cierto cruce de habilidades y tareas
en todos los cursos, este curso se centra en la implementación y configuración inicial de los servicios básicos,
incluyendo Active Directory ® servicios de dominio (AD DS), servicios de red, y Microsoft Hyper-V ®
Configuración del servidor 2012 R2.
Audiencia
Este curso está dirigido a profesionales de tecnología de la información (TI) que tengan algunos conocimientos y
experiencia trabajando con sistemas operativos Windows y que deseen adquirir las habilidades y conocimientos
necesario para instalar y realizar la configuración inicial de un Windows Server 2012 o Windows Server
2012 R2 servidor en un entorno de servidor Windows existente. Candidatos típicamente interesados en asistir
este curso son:
• Administradores de Windows Server que son relativamente nuevos en la administración de Windows Server y relacionados
tecnologías y que buscan obtener más información sobre Windows Server 2012 o Windows Server
2012 R2.
• Profesionales de TI con experiencia en otras tecnologías que no son de Microsoft, que cumplen con los
requisitos previos y desea realizar un entrenamiento cruzado en Windows Server 2012 o Windows Server 2012 R2.
17/11/2020 20410D
• Profesionales de TI que quieran realizar alguno de los siguientes exámenes:
o 70-410: Instalación y configuración de Windows Server 2012
o Los exámenes de Microsoft Certified Solutions Expert (MCSE) en Datacenter, Desktop Infrastructure,
Mensajería, colaboración y comunicaciones
o Los exámenes de Microsoft Certified Solutions Associate (MCSA), que son un requisito previo para su
especialidades individuales
Requisitos previos del estudiante

Este curso requiere que los estudiantes cumplan con los siguientes requisitos previos, incluido que ellos:
• Comprender los fundamentos de las redes
• Comprender los conceptos básicos de Active Directory
• Tener conocimiento y comprensión de las mejores prácticas de seguridad.
• Tener conocimientos básicos de hardware de servidor.
• Tener experiencia trabajando con y configurando sistemas operativos de cliente Windows, como
De Windows ® 7 o Windows 8.
Página 18
xviii Acerca de este curso
Además, los estudiantes se beneficiarían de tener algún sistema operativo Windows Server anterior.
experiencia.
Objetivos del Curso

Después de completar este curso, los estudiantes podrán:
• Implementar y administrar Windows Server 2012.
• Describir AD DS.
• Administrar objetos de Active Directory.
• Automatizar la administración de Active Directory.
• Implementar IPv4.
• Implementar el Protocolo de configuración dinámica de host (DHCP).
• Implementar el sistema de nombres de dominio (DNS).
• Implementar IPv6.
• Implementar almacenamiento local.
• Implementar servicios de archivo e impresión.
• Implementar la política de grupo.
• Utilice objetos de directiva de grupo (GPO) para proteger los servidores de Windows.
• Implementar la virtualización de servidores mediante Hyper-V.
Esquema del curso

Esta sección proporciona un resumen del curso:
Módulo 1 , Implementación y administración de Windows Server 2012
Este módulo comienza el curso discutiendo la instalación de Windows Server 2012. Esto no es
la tarea más comúnmente realizada en el curso, pero proporciona un punto de partida lógico para
estudiantes para comenzar a trabajar con Windows Server 2012.
Módulo 2 , Introducción a los servicios de dominio de Active Directory
AD DS es una parte fundamental de la gestión de redes en un entorno empresarial. Te lo presentamos

al principio del curso para que los estudiantes puedan usarlo para realizar otras tareas, como crear usuarios
y grupos, en módulos posteriores. En este módulo, los estudiantes instalarán un controlador de dominio.
17/11/2020 20410D
Módulo 3 , Gestión de objetos de servicios de dominio de Active Directory
Este módulo analiza la creación y gestión de objetos específicos de Active Directory, como usuarios,
grupos y cuentas de computadora. Esta es una parte fundamental de lo que un administrador de servidor principiante
lo hace a diario. Además, este módulo analiza cómo los administradores pueden delegar
algunas de estas tareas al personal de la mesa de ayuda de su empresa.
Módulo 4 , Automatización de la administración de servicios de dominio de Active Directory
Este módulo amplía el conocimiento que los estudiantes obtienen en el Módulo 3, proporcionándoles
con métodos para automatizar la creación y gestión de objetos de Active Directory. Esto es
un tema relativamente avanzado, pero lógicamente fluye después del Módulo 3.
Página 19
Acerca de este curso xix
Módulo 5 , Implementación de IPv4
Este módulo inicia un nuevo hilo de aprendizaje en el curso. Configurar y comprender

IPv4 es fundamental para trabajar como administrador de sistemas.
Módulo 6 , Implementación del protocolo de configuración dinámica de host
Este módulo explica cómo utilizar DHCP para distribuir información de direcciones IPv4.
Módulo 7 , Implementación del sistema de nombres de dominio
Este módulo describe cómo DNS convierte nombres en direcciones IP y por qué esto es importante en
un entorno de Active Directory. Este módulo también describe cómo implementar y administrar DNS
servidores y zonas.
Módulo 8 , Implementación de IPv6
Este módulo presenta la configuración de IPv6, que probablemente será contenido nuevo para los estudiantes.
Módulo 9 , Implementación de almacenamiento local
Este módulo incluye contenido sobre la configuración de almacenamiento para Windows Server 2012. Este es
información de requisitos previos para el Módulo 10, que trata sobre la creación y protección de archivos compartidos.
Módulo 10 , Implementación de servicios de impresión y archivo
Este módulo analiza los recursos compartidos de archivos y la impresión al mismo tiempo porque ambos son comúnmente
servicios de red utilizados. La seguridad para los archivos compartidos y la impresión utiliza el conocimiento sobre el usuario
cuentas y grupos que cubren los Módulos 2 y 3.
Módulo 11 , Implementación de políticas de grupo
Este módulo se basa en la información que los estudiantes han aprendido sobre AD DS para presentar la
creación y gestión de GPO.
Módulo 12 , Protección de servidores Windows mediante objetos de directiva de grupo
Este módulo cubre la configuración específica de la directiva de grupo que puede utilizar para aumentar la seguridad. los
La configuración incluye políticas de seguridad, políticas de restricción de aplicaciones y reglas de Firewall de Windows.
Módulo 13 , Implementación de la virtualización de servidores con Hyper-V
El módulo final analiza cómo configurar Hyper-V y cómo crear máquinas virtuales. Esta
módulo es el último porque el laboratorio tiene el potencial de afectar negativamente a las máquinas virtuales que
se implementan en las máquinas de los estudiantes.
17/11/2020 20410D
Página 20
xx Acerca de este curso
Asignación de exámenes / cursos

Este curso, 20410D: Instalación y configuración de Windows Server® 2012 , tiene un mapeo directo de su contenido
al dominio objetivo para el examen de Microsoft 70-410: Instalación y configuración de Windows Server 2012 .
La siguiente tabla se proporciona como ayuda para el estudio que lo ayudará a prepararse para tomar este examen y
para mostrarle cómo encajan los objetivos del examen y el contenido del curso. El curso no está diseñado
exclusivamente para respaldar el examen, sino que proporciona conocimientos y habilidades más amplios para permitir un mundo real
implementación de la tecnología particular. El curso también incluirá contenido que no sea directamente
cubierto en el examen y utilizará la experiencia y las habilidades únicas de su Microsoft calificado
Entrenador certificado.
Nota: Los objetivos del examen están disponibles en línea en la siguiente URL:
http://www.microsoft.com/learning/en-us/exam-70-410.aspx, en Habilidades medidas.
Dominio objetivo del examen: Examen 70-410: Instalación y configuración

Contenido del curso
Windows Server 2012
1. Instalar y configurar servidores (17%) Lección del módulo Laboratorio
1.1. Instalar en pc Este objetivo puede incluir, pero no se limita a: Planificar Mod 1 Lección 1/2 Mod 1 Ex 1
servidores. para una instalación de servidor; planificar las funciones del servidor; planificar un
actualización del servidor; instalar Server Core; optimizar recurso
utilización mediante el uso de Funciones a pedido; migrar roles
de versiones anteriores de Windows Server
1.2. Configurar Este objetivo puede incluir, pero no se limita a: Mod 1 Lección Mod 1 Ex
servidores. Configurar Server Core; administración delegada; añadir 2/3/4 1/2/3/4
y eliminar funciones en imágenes sin conexión; implementar roles en
servidores remotos; convertir Server Core a / desde GUI completo;
configurar servicios; configurar la formación de equipos de NIC; instalar y
configurar la configuración del estado deseado de PowerShell
(DSC)
1.3. Configurar Este objetivo puede incluir pero no se limita a: Diseño Mod 9 Lección 2/3 Mod 9 Lab
almacenamiento local. espacios de almacenamiento; configurar discos básicos y dinámicos; Ex 1/2/3
configurar discos MBR y GPT; gestionar volúmenes; crear
y montar discos duros virtuales; configurar grupos de almacenamiento
y grupos de discos; crear grupos de almacenamiento utilizando disco
recintos
2. Configurar funciones y funciones del servidor (17%)
2.1. Configurar Este objetivo puede incluir pero no se limita a: Crear Lección Mod 10 Laboratorio Mod 10
archivar y compartir y configurar recursos compartidos; configurar permisos compartidos; 1/2/3 Ex 1/2/3
acceso. configurar archivos sin conexión; configurar los permisos NTFS;
configurar la enumeración basada en el acceso (ABE); configurar
Servicio de instantáneas de volumen (VSS); configurar NTFS
cuotas; crear y configurar carpetas de trabajo
2.2. Configurar Este objetivo puede incluir, pero no se limita a: Mod 10 Lección 4 Laboratorio Mod 10
imprimir y Configure el controlador de impresión Easy Print; configurar Ej 4
documento Gestión de impresión empresarial; configurar controladores;
servicios. configurar la agrupación de impresoras; configurar las prioridades de impresión;
configurar permisos de impresora
17/11/2020 20410D
Página 21
Acerca de este curso xxi

Contenido del curso
Windows Server 2012
2.3. Configurar Este objetivo puede incluir, pero no se limita a: Mod 1 Lección Laboratorio Mod 1
servidores para Configurar WinRM; configurar servidor de nivel inferior 3/4/5 Ej 4
remoto administración; configurar servidores para el día a día
administración. tareas de gestión; configurar multiservidor
Mod 12 Lección 4 Laboratorio Mod 12
administración; configurar Server Core; configurar
B Ej 2
Firewall de Windows; administrar servidores no unidos a un dominio
3. Configurar Hyper-V (18%)
3.1. Crear y Este objetivo puede incluir, pero no se limita a: Mod 13 Lección 2 Mod 13 Ex
configurar Configure la memoria dinámica; configurar la paginación inteligente; 3
máquina virtual configurar la medición de recursos; configurar invitado
ajustes. servicios de integración; crear y configurar la Generación 1
y 2 máquinas virtuales; configurar y usar extendido
modo de sesión; Configurar RemoteFX
3.2. Crear y Este objetivo puede incluir pero no se limita a: Crear Mod 13 Lección 2/3 Mod 13 Ex
configurar VHD y VHDX; configurar unidades de diferenciación; modificar 3/4
máquina virtual VHD; configurar discos de paso; gestionar
almacenamiento. puestos de control; implementar un canal de fibra virtual
adaptador; configurar la calidad de servicio de almacenamiento
3.3. Crear y Este objetivo puede incluir, pero no se limita a: Mod 13 Lección 4 Laboratorio Mod 13
configurar configurar conmutadores virtuales Hyper-V; optimizar la red Ej 2
virtual actuación; configurar direcciones MAC; configurar
redes. aislamiento de la red; configurar sintético y heredado
adaptadores de red virtual; configurar la formación de equipos NIC en
maquinas virtuales
4. Implementar y configurar servicios de red básicos (17%)
IPv4 e IPv6 Configure las opciones de la dirección IP; configurar IPv4 o IPv6 Ej 1/2
direccionamiento. división en subredes; configurar superredes; configurar
interoperabilidad entre IPv4 e IPv6; configurar
Mod 5 Lección Laboratorio Mod 5
ISATAP; configurar Teredo
2/3/4 Ej 1/2
Mod 8 Lección 3/4 Mod 8 Lab
Ej 1/2
4.2. Implementar y Este objetivo puede incluir pero no se limita a: Crear Mod 6 Lección Mod 6 Ex
configurar y configurar ámbitos; configurar una reserva DHCP; 1/2/3/4 1/2
Host dinámico configurar las opciones de DHCP; configurar cliente y servidor
Configuración para arranque PXE; configurar el agente de retransmisión DHCP; autorizar
Protocolo Servidor DHCP
(DHCP) servicio.
4.3. Implementar y Este objetivo puede incluir, pero no se limita a: Mod 7 Lección Mod 7 Ex
configurar DNS Configurar la integración de Active Directory de primaria 1/2/3 1/2/3
Servicio. zonas; configurar transportistas; configurar sugerencias de raíz;
administrar la caché de DNS; crear registros de recursos A y PTR
Página 22
xxii Acerca de este curso
17/11/2020 20410D

Contenido del curso
Windows Server 2012
5. Instalar y administrar Active Directory (14%)
5.1. Instalar en pc Este objetivo puede incluir pero no se limita a: Agregar o Mod 2 Lección Laboratorio Mod 2
dominio eliminar un controlador de dominio de un dominio; actualizar un 1/2/3 Ej 1/2
controladores. controlador de dominio; instalar dominio de Active Directory
Servicios (AD DS) en una instalación Server Core; instalar un
controlador de dominio de Instalar desde medios (IFM);
resolver problemas de registro de registros SRV de DNS; configurar un
servidor de catálogo global; implementar IaaS de Active Directory en
Azur
5.2. Crear y Este objetivo puede incluir, pero no se limita a: Mod 3 Lección Laboratorio Mod 3
administrar activo Automatizar la creación de cuentas de Active Directory; 1/2/3 Ej 2/3
Usuarios del directorio crear, copiar, configurar y eliminar usuarios y Mod 4 Lección Laboratorio Mod 4
y computadoras. ordenadores; configurar plantillas; realizar activo a granel 1/2/3 Ex 1/2/3
Operaciones de directorio; configurar los derechos de usuario; desconectado
unirse al dominio; administrar cuentas inactivas y deshabilitadas
5.3. Crear y Este objetivo puede incluir, pero no se limita a: Mod 3 Lección 2/4 Mod 3 Lab
administrar activo Configurar el anidamiento de grupos; convertir grupos incluyendo Ex 1/2/3
Directorio seguridad, distribución, universal, dominio local y
grupos y dominio global; administrar la membresía del grupo usando Mod 4 Lección 1/2 Mod 4 Lab
organizativo Política de grupo; enumerar la pertenencia al grupo; delegar Ex 1/2/3
unidades (OU). la creación y gestión de Active Directory
objetos; administrar contenedores de Active Directory predeterminados;
crear, copiar, configurar y eliminar grupos y unidades organizativas
6. Crear y administrar políticas de grupo (16%)
6.1. Crear Este objetivo puede incluir, pero no se limita a: Lección Mod 11 Laboratorio Mod 11
Política de grupo Configurar una tienda central; gestionar los GPO de inicio; 1/2/3 Ej 1/2
objetos (GPO). configurar enlaces de GPO; configurar varios grupos locales
politicas
políticas de seguridad. Configurar la asignación de derechos de usuario; configurar seguridad A Ex 1/2/3
Configuración de opciones; configurar plantillas de seguridad;
configurar la política de auditoría; configurar usuarios locales y
Grupos; configurar el Control de cuentas de usuario (UAC)
6.3. Configurar Mod 12 Lección 3 Laboratorio Mod 12
Este objetivo puede incluir, pero no se limita a:
solicitud B Ej. 1
Configurar la aplicación de reglas; configurar AppLocker
restricción
reglas; configurar políticas de restricción de software
políticas.
Ventanas Configurar reglas para múltiples perfiles usando Group B Ej 2
Cortafuegos. Política; configurar las reglas de seguridad de la conexión; configurar
Firewall de Windows para permitir o denegar aplicaciones,
ámbitos, puertos y usuarios; configurar autenticado
excepciones de firewall; importar y exportar configuraciones
Nota: Asistir a este curso en sí mismo no lo preparará con éxito para aprobar los
exámenes de certificación.
Página 23
Acerca de este curso xxiii
La realización de este curso no garantiza que aprobará automáticamente ningún examen de certificación. En
Además de la asistencia a este curso, también debe tener lo siguiente:
• Experiencia práctica en el mundo real instalando y configurando una infraestructura de Windows Server 2012
• Experiencia de configuración de cliente de Windows 7 o Windows 8
17/11/2020 20410D
• Estudio adicional fuera del contenido de este manual
También puede haber recursos adicionales de estudio y preparación, como exámenes de práctica, disponibles para
que se prepare para este examen. Los detalles de estos están disponibles en la siguiente URL:
http://www.microsoft.com/learning/en-us/exam-70-410.aspx, en Opciones de preparación.
También debería consultar Microsoft Virtual Academy , http://www.microsoftvirtualAcademy.com para

ver más recursos de estudio adicionales y cursos en línea que están disponibles para ayudarlo con el examen
preparación y desarrollo profesional.
Debe familiarizarse con el perfil de la audiencia y los requisitos previos del examen para asegurarse de
suficientemente preparado antes de realizar el examen de certificación. El perfil de audiencia completo para este examen
está disponible en la siguiente URL: http://www.microsoft.com/learning/en-us/course.aspx?ID=20410D ,
en Descripción general, Perfil de audiencia.
La tabla de mapeo de exámenes / cursos descrita anteriormente es precisa en el momento de la impresión, sin embargo, está sujeta
cambiar en cualquier momento y Microsoft no se hace responsable de las discrepancias entre la versión
publicado aquí y la versión disponible en línea y no proporcionará ninguna notificación de dichos cambios.
Materiales del curso

Los siguientes materiales se incluyen con su kit:
• Manual del curso: una guía sucinta de aprendizaje en el aula que proporciona todos los aspectos técnicos
información en un formato nítido y bien enfocado, que es el adecuado para un aprendizaje efectivo en clase
experiencia.
Puede acceder a un manual de curso impreso o material de cursos digitales a través de Arvato
Lector de Skillpipe. Su entrenador certificado de Microsoft le proporcionará detalles específicos, pero ambos contienen la
siguiendo:
o Lecciones: guiarlo a través de los objetivos de aprendizaje y proporcionar los puntos clave que son críticos para
el éxito de la experiencia de aprendizaje en clase.
o Labs: proporcionan una plataforma práctica en el mundo real para que aplique el conocimiento y las habilidades aprendidas
en el módulo.
o Revisiones de módulos y conclusiones: brinde material de referencia mejorado en el trabajo para impulsar
retención de conocimientos y habilidades.
o Claves de respuestas de laboratorio: brinde orientación paso a paso sobre soluciones de laboratorio al alcance de su mano cuando
necesario.
Contenido complementario del curso: en el sitio http://www.microsoft.com/learning/companionmoc .

Contenido digital con capacidad de búsqueda y fácil de navegar con recursos en línea premium integrados diseñados para
complementar el Manual del curso.
o Módulos: incluye contenido complementario, como preguntas y respuestas, pasos de demostración detallados y
enlaces de lectura adicionales, para cada lección. Además, incluyen preguntas de revisión de laboratorio y
respuestas y las secciones Revisiones y conclusiones del módulo, que contienen las preguntas de revisión y
Página 24
xxiv Acerca de este curso
respuestas, mejores prácticas, problemas comunes y sugerencias para la resolución de problemas con respuestas y el mundo real
problemas y escenarios con respuestas.
o Recursos: Incluya recursos adicionales bien categorizados que le brinden acceso inmediato a
contenido premium más actualizado en TechNet, Microsoft Developer Network® y Microsoft
Presione ® .
Archivos de cursos para estudiantes: en el sitio http://www.microsoft.com/learning/companionmoc .
• Evaluación del curso Al final del curso, tendrá la oportunidad de completar un

evaluación para proporcionar comentarios sobre el curso, la instalación de capacitación y el instructor.
o Para proporcionar comentarios o sugerencias adicionales sobre el curso, envíe un correo electrónico a
17/11/2020 20410D
support@mscourseware.com. Para solicitar información sobre el Programa de certificación de Microsoft, envíe un correo electrónico
a mcphelp@microsoft.com.
Entorno de máquina virtual

Esta sección proporciona la información para configurar el entorno del aula para respaldar el negocio.
escenario del curso.
Configuración de la máquina virtual

En este curso, utilizará máquinas virtuales integradas en Microsoft Hyper-V para realizar las prácticas de laboratorio.
Importante Al final de cada laboratorio, debe revertir las máquinas virtuales a una instantánea. Puedes encontrar el
instrucciones para este procedimiento al final de cada laboratorio.
La siguiente tabla muestra la función de cada máquina virtual utilizada en este curso.
Máquina virtual R ole
20410D-LON-DC1 Un controlador de dominio que ejecuta Windows Server 2012 R2 en el

Dominio Adatum.com.
Un servidor miembro que ejecuta Windows Server 2012 R2 en el

20410D ‑ LON ‑ SVR1
Dominio Adatum.com.
Un servidor miembro que ejecuta Windows Server 2012 R2 en el

20410D ‑ LON ‑ SVR2
Dominio Adatum.com. Este servidor estará ubicado en una segunda subred.
Una máquina virtual en blanco en la que los estudiantes instalarán Windows

20410D ‑ LON ‑ SVR3
Servidor 2012 R2.
Un disco duro virtual de arranque para ejecutar Windows Server 2012 R2 como host
20410D-LON-HOST1
para Hyper-V.
Un servidor independiente que ejecuta una instalación Server Core de Windows

20410D-LON-CORE
Servidor 2012 R2.
Un enrutador que se usa para actividades de red que requieren una subred separada.
20410D-LON-RTR
También ejecuta Windows Server 2012 R2.
20410D ‑ LON ‑ CL1 Un equipo cliente que ejecuta Windows 8.1 y Microsoft ® Office 2013 en
el dominio Adatum.com.
20410D ‑ LON ‑ CL2 Un equipo cliente que ejecuta Windows 8.1 y Office 2013 en el
Dominio Adatum.com que se encuentra en una segunda subred.
Página 25
Acerca de este curso xxv
Configuración de software
El siguiente software está instalado en las máquinas virtuales especificadas:
• Microsoft Message Analyzer está instalado en LON-SVR1.
Configuración del aula

Cada computadora del aula tendrá la misma máquina virtual configurada de la misma manera.
Puede acceder a las máquinas virtuales del laboratorio en un entorno en línea alojado con una
navegador o mediante Hyper-V en una máquina local. Los laboratorios y las máquinas virtuales son iguales en ambos
Sin embargo, puede haber algunas variaciones leves debido a los requisitos de alojamiento. Alguna
las discrepancias se indicarán en las Notas de laboratorio en la plataforma de laboratorio alojada.
Su instructor certificado de Microsoft le proporcionará detalles sobre su entorno de laboratorio específico.
Nivel de hardware del curso

Donde los laboratorios se ejecutan localmente, para garantizar una experiencia satisfactoria para los estudiantes, Microsoft Learning requiere
una configuración de equipo mínima para las computadoras del instructor y de los estudiantes en todos los Microsoft Certified Partner
para las aulas de Learning Solutions (CPLS) en las que se encuentran
17/11/2020 20410D
enseñó.
• La configuración mínima del equipo para este curso es el nivel de hardware 7 con 16 gigabytes (GB) de
Memoria de acceso aleatorio (RAM)
Navegación en Windows Server 2012

Si no está familiarizado con la interfaz de usuario en Windows Server 2012 o Windows 8.1, lo siguiente
La información le ayudará a orientarse hacia la nueva interfaz.
• Inscripción y Salir reemplazar Acceder y Cierre la sesión .
• Las herramientas administrativas se encuentran en el menú Herramientas del Administrador del servidor.
• Vaya a la pantalla de Inicio, Configuración y Buscar de la siguiente manera:
o Para llegar a la pantalla de Inicio, en la esquina inferior izquierda de la pantalla, haga clic en el botón Inicio . Esta
proporciona acceso a algunas aplicaciones.
o Hacer clic con el botón derecho en la esquina inferior izquierda también proporciona un menú contextual para ayudar con la navegación
tareas, como Apagar, Reiniciar, acceder al Panel de control y similares.
o Para acceder a Configuración, apunte el mouse a la esquina inferior derecha de la pantalla y luego haga clic en el
Accesorio de configuración cuando aparece. Las configuraciones incluyen Panel de control y Energía.
o Para acceder a Buscar, apunte el mouse a la esquina inferior derecha de la pantalla y luego haga clic en el
Buscar encanto cuando aparezca. Esto le permite buscar aplicaciones, configuraciones y archivos.
También puede encontrar útiles las siguientes teclas de método abreviado:
• Tecla del logotipo de Windows: abre la pantalla de inicio
• Tecla del logotipo de Windows + I: abre Configuración
• Tecla del logotipo de Windows + R: abre Ejecutar
• Tecla del logotipo de Windows + C: muestra la selección de accesos
Página 26
17/11/2020 20410D
Página 27
1-1
Módulo 1
Implementación y administración de Windows Server 2012
Contenido:
Descripción general del módulo 1-1
Lección 1: Descripción general de Windows Server 2012 1-3
Lección 2: Instalación de Windows Server 2012 1-14
Lección 3: Configuración posterior a la instalación de Windows Server 2012 1-21
Lección 4: Descripción general de la administración de Windows Server 2012 1-32
Lección 5: Introducción a Windows PowerShell 1-39
Laboratorio: Implementación y administración de Windows Server 2012 1-47
Revisión del módulo y conclusiones 1-55
Descripción general del módulo

Comprender las capacidades de un nuevo sistema operativo Windows Server® 2012 le permite usar ese
sistema operativo de forma eficaz. Si no comprende las capacidades de su nuevo Windows Server 2012
sistema operativo, puede usarlo de la misma manera que usó el sistema operativo anterior, que
renunciaría a las ventajas del nuevo sistema. Entendiendo cómo utilizar su nuevo Windows
Sistema operativo Server 2012 en su totalidad, y al comprender las herramientas que están disponibles para administrar ese
funcionalidad, puede proporcionar más valor a su organización.
Este módulo presenta la nueva interfaz administrativa de Windows Server 2012. En este módulo,
Conozca los diferentes roles y características que están disponibles con el sistema operativo Windows Server 2012.
17/11/2020 20410D
sistema. También aprenderá sobre las diferentes opciones de instalación que puede utilizar al instalar
Windows Server 2012.
Este módulo describe los pasos de configuración que puede realizar tanto durante la instalación como después
implementación para garantizar que el servidor pueda comenzar a funcionar en su función asignada. También aprenderá a
use Windows PowerShell ® para realizar tareas administrativas comunes en Windows Server 2012.
Nota: tenga en cuenta que en este curso, las referencias a Windows Server 2012 significan tanto
Windows Server y Windows Server 2012 R2. Si Windows Server 2012 R2 es específicamente
mencionado, la referencia es solo para Windows Server 2012 R2 (por ejemplo, para actualizaciones).
Página 28
1-2 Implementación y administración de Windows Server 2012
Objetivos
Después de completar este módulo, debería poder:
• Describir Windows Server 2012.
• Instale Windows Server 2012.
• Realizar la configuración posterior a la instalación de Windows Server 2012.
• Describir las herramientas de administración disponibles en Windows Server 2012.
• Realizar tareas administrativas básicas con Windows PowerShell.
17/11/2020 20410D
Página 29
Instalación y configuración de Windows Server ® 2012 1-3
Lección 1
Descripción general de Windows Server 2012
Antes de implementar Windows Server 2012, debe comprender cómo cada uno de los
las ediciones pueden beneficiar a los servidores de su organización. También necesita saber si un hardware en particular
La configuración es apropiada para Windows Server 2012, si una implementación virtual podría ser más
adecuado que una implementación física, y qué fuente de instalación le permite implementar Windows Server
2012 de manera eficiente. Si no comprende estos problemas, podría terminar
lo que le cuesta tiempo y dinero a su organización al tomar una decisión que luego debe corregir.
Esta lección proporciona una descripción general de las diversas ediciones de Windows Server 2012, opciones de instalación, roles,
y características. Con esta información, debería poder determinar qué edición de Windows Server 2012
y las opciones de instalación son las adecuadas para su organización.
Objetivos de la lección
Después de completar esta lección, debería poder:
• Describir las diferentes ediciones de Windows Server 2012.
• Describir el propósito y la función de una instalación de Windows Server 2012 Server Core.
• Explicar la función de los roles de Windows Server 2012.
• Explicar el propósito de varias características de Windows Server 2012.
Ediciones de Windows Server 2012 R2
Puede elegir una de varias ediciones diferentes

de Windows Server 2012 R2. Estas ediciones permiten
organizaciones para seleccionar una versión de Windows
Server 2012 R2 que mejor se adapte a sus necesidades,
que pagar por funciones que no requieren.
Al implementar un servidor para un rol específico,

los administradores de sistemas pueden ahorrar sustancialmente
seleccionando la edición apropiada.
La siguiente tabla enumera Windows Server 2012

Ediciones R2.
Edición Descripción
Windows Server 2012 R2 Proporciona todos los roles y funciones disponibles en Windows Server.
Sistema operativo estándar Plataforma 2012 R2. Admite hasta 64 sockets y hasta 4 terabytes
(TB) de memoria de acceso aleatorio (RAM). Incluye dos máquinas virtuales
licencias.
Windows Server 2012 R2 Proporciona todos los roles y características que están disponibles en Windows.
17/11/2020 20410D
Sistema operativo del centro de datos Plataforma Server
para máquinas 2012 que
virtuales R2. Incluye licencias
se ejecutan ilimitadas
en el mismo de máquinas
hardware. virtuales
Soporta 64
sockets, hasta 640 núcleos de procesador y hasta 4 TB de RAM.
Página 30
Edición Descripción
Windows Server 2012 R2 Diseñado para pequeñas empresas, solo permite 15 usuarios, no se puede
Funcionamiento de la fundación unido a un dominio e incluye funciones de servidor limitadas. Soporta uno
sistema núcleo del procesador y hasta 32 gigabytes (GB) de RAM.
Windows Server 2012 R2 Próxima edición de Small Business Server. Ahora está disponible en dos formas:
Sistema operativo Essentials • Como función de servidor instalable en un dominio existente.
• Como edición central de Windows Server en una máquina virtual (usando una
mago).
No puede funcionar como Hyper- V® , clústeres de conmutación por error, Server Core o
Servidor de servicios de escritorio remoto. Tiene límites de 25 usuarios y 50
dispositivos. Admite dos núcleos de procesador y 64 GB de RAM.
Las nuevas características y mejoras para Windows Server 2012 R2
Essentials R2 incluye implementación de clientes, administración de usuarios, almacenamiento
y protección de datos e integración con Office 365.
Microsoft Hyper-V Plataforma Hyper-V independiente para máquinas virtuales. No hay

Servidor 2012 R2 costo de licencia (gratis) para el sistema operativo host, pero virtual
las máquinas tienen licencia normalmente. Admite 64 sockets y 4 TB de RAM.
Admite la unión de dominio. No es compatible con otros Windows Server 2012
Funciones de R2, distintas de las funciones de servicios de archivos limitados El servidor Hyper-V tiene
no tiene GUI pero tiene una interfaz de usuario que presenta un menú de
tareas de configuración.
El almacenamiento de Windows Dispositivo de almacenamiento unificado de nivel de entrada. Limitado a 50 usuarios, uno
Grupo de trabajo Server ° 2012 R2 núcleo del procesador y 32 GB de RAM. Admite la unión de dominio.
sistema operativo
El almacenamiento de Windows Admite 64 sockets, pero tiene licencia para dos sockets, incrementándose
Server 2012 R2 estándar base. Admite 4 TB de RAM. Incluye dos licencias de máquina virtual.
sistema operativo Admite la unión de dominio. Admite algunos roles, incluidos DNS y DHCP
Funciones de servidor, pero no es compatible con otros, incluyendo Active Directory ®
Servicios de dominio (AD DS), Servicios de certificados de Active Directory (AD CS),
y Servicios de federación de Active Directory (AD FS).
El multipunto de Windows Admite varios usuarios que acceden directamente a la misma computadora host
Estándar del servidor 2012 utilizando un mouse, teclado y monitor separados. Limitado a uno
sistema operativo socket, 32 GB de RAM y un máximo de 12 sesiones. Apoya algunos
roles, incluidos los roles de servidor DNS y DHCP, pero no admite
otros, incluidos AD DS, AD CS y AD FS. No es compatible con el dominio
unirse. Normalmente lo utilizan las instituciones educativas.
No hay una versión R2 disponible para Windows MultiPoint Server 2012.
El multipunto de Windows Admite varios usuarios que acceden directamente a la misma computadora host
Servidor 2012 Premium utilizando un mouse, teclado y monitor separados. Limitado a dos
sistema operativo sockets, 4 TB de RAM y un máximo de 22 sesiones. Apoya algunos
roles, incluidos los roles de servidor DNS y DHCP, pero no admite
otros, incluidos AD DS, AD CS y AD FS. Admite la unión de dominio.
Lectura adicional:
• Para obtener información detallada sobre las nuevas funciones de Windows Server 2012 R2 Essentials, consulte "¿Qué
Nuevo en Windows Server 2012 R2 Essentials ”en http://go.microsoft.com/fwlink/?LinkID=331071.
17/11/2020 20410D
Página 31
• Para obtener más información sobre las diferencias entre las ediciones de Windows Server 2012 R2, descargue el
Cuadro comparativo de productos y ediciones de Windows Server 2012 R2 en
http://go.microsoft.com/fwlink/?LinkID=331070 .
• Muchas funciones se han eliminado o han quedado obsoletas en Windows Server 2012 R2. Para más información,
vaya a: Funciones eliminadas o en desuso en Windows Server 2012 R2 Preview en
¿Qué es Server Core?
Server Core es una opción de instalación para Windows

Server 2012 que puede contener variaciones del
Interfaz gráfica de usuario (GUI) dependiendo de la
requisitos de las funciones del servidor que se instalarán.
Puede administrar Server Core localmente usando
Windows PowerShell ® o una línea de comandos
interfaz, en lugar de utilizar herramientas basadas en GUI, o
de forma remota utilizando uno de los
opciones de manejo. La gestión remota es
cubierto más adelante en este módulo.
Una instalación de Windows Server 2012 Server Core

ofrece menos componentes y administrativos
opciones de administración que la instalación completa de Windows Server 2012.
La instalación de Server Core es la opción de instalación predeterminada cuando instala Windows Server 2012. Server
Core tiene las siguientes ventajas sobre una implementación tradicional de Windows Server 2012:
• Requisitos de actualización reducidos. Debido a que Server Core instala menos componentes, su implementación
requiere que instale menos actualizaciones de software. Esto reduce la cantidad de reinicios mensuales necesarios
y la cantidad de tiempo que necesita un administrador para dar servicio a Server Core.
• Huella de hardware reducida. Las computadoras Server Core requieren menos RAM y menos espacio en el disco duro. Cuando
virtualizado, esto significa que puede implementar más servidores en el mismo host.
Cada vez hay más programas de servidor de Microsoft diseñados para ejecutarse en equipos con Server Core-
sistemas operativos instalados. Por ejemplo, puede instalar SQL Server 2012 en equipos que ejecutan
la versión instalada de Server Core de Windows Server 2012.
Puede cambiar de Server Core a la versión gráfica de Windows Server 2012 ejecutando el
siguiente cmdlet de Windows PowerShell, donde c: \ mount es el directorio raíz de una imagen montada que
aloja la versión completa de los archivos de instalación de Windows Server 2012:
Install-WindowsFeature -IncludeAllSubFeature User-Interfaces-Infra -Source c: \ mount
También puede utilizar Windows Update o el DVD de instalación como fuente del archivo de instalación. Instalando el
Los componentes gráficos le dan la opción de realizar tareas administrativas utilizando las herramientas gráficas.
Una vez que haya realizado las tareas administrativas necesarias, puede devolver la computadora a su estado original.
Configuración de Server Core. Puede cambiar una computadora que tenga la versión gráfica de Windows Server
2012 R2 a Server Core mediante la eliminación de los siguientes componentes de las interfaces de usuario y la infraestructura
característica:
• Infraestructura y herramientas de gestión gráfica. Contiene una interfaz de servidor mínima para proporcionar
algunas herramientas de interfaz de usuario de administración del servidor, como el Administrador del servidor y las Herramientas administrativas.
Página 32
• Shell gráfico del servidor. Contiene la GUI completa, incluidos Internet Explorer y File Explorer y
17/11/2020 20410D
otros componentes de la interfaz de usuario. Esto tiene una huella más grande que las herramientas de gestión gráfica
y opción de infraestructura.
Nota: tenga cuidado cuando elimine funciones gráficas, porque los servidores pueden tener otras
componentes instalados que dependen de esas características.
Cuando está conectado localmente, puede usar las herramientas que se enumeran en la siguiente tabla para administrar Server Core
implementaciones de Windows Server 2012 R2.
Herramienta Función
Cmd.exe Le permite ejecutar herramientas tradicionales de línea de comandos como ping.exe, ipconfig.exe,
y netsh.exe.
PowerShell.exe Inicia una sesión de Windows PowerShell en la implementación de Server Core. Entonces tú
puede realizar tareas de Windows PowerShell con normalidad. Windows Server 2012 viene con
Windows PowerShell versión 4.0 instalado.
Sconfig.cmd Una herramienta administrativa basada en menús de línea de comandos que le permite realizar
tareas administrativas del servidor más comunes.
Notepad.exe Le permite utilizar el editor de texto Notepad.exe dentro del entorno Server Core.
Regedt32.exe Proporciona acceso al registro dentro del entorno Server Core.
Msinfo32.exe Le permite ver información del sistema sobre la implementación de Server Core.
Taskmgr.exe Inicia el Administrador de tareas.
SCregEdit.wsf Se utiliza para habilitar el escritorio remoto en la implementación de Server Core.
Nota: Si cierra accidentalmente la ventana de comandos en una computadora que ejecuta Server
Core, puede recuperar la ventana de comandos realizando los siguientes pasos:
1. Presione las teclas Ctrl + Alt + Supr y luego haga clic en Administrador de tareas .
2. En el menú Archivo , haga clic en Nueva tarea (Ejecutar…) y luego escriba cmd.exe .
Server Core es compatible con la mayoría de funciones y funciones de Windows Server 2012 R2. Sin embargo, no puede instalar el
siguientes roles en una computadora que ejecuta Server Core:
• AD FS
• Servidor de aplicaciones
• Servicios de acceso y políticas de red (NPAS)
• Servicios de implementación de Windows
Incluso si un rol está disponible para un equipo que ejecuta la opción de instalación Server Core, un rol específico
es posible que el servicio asociado con ese rol no esté disponible.
Nota: Puede comprobar qué roles en Server Core están disponibles y cuáles no ejecutando
la consulta Get-WindowsFeature | where-object {$ _. InstallState -eq "Eliminado"} .
Página 33
Puede utilizar las siguientes herramientas para administrar de forma remota una computadora que ejecuta Server Core
opción de instalación:
• Administrador del servidor. Puede agregar un servidor que ejecuta Server Core al Administrador del servidor que se encuentra en un
servidor que está ejecutando una instalación completa de Windows. A continuación, puede utilizar el Administrador del servidor para administrar
roles de servidor que se ejecutan en el equipo Server Core.
• Windows PowerShell remoto. Puede usar Windows PowerShell remoto para ejecutar Windows PowerShell
comandos o scripts contra servidores remotos configurados correctamente si el script está alojado en el local
17/11/2020 20410D
servidor. Con Windows PowerShell remoto, también puede cargar módulos de Windows PowerShell de forma local,
como el Administrador del servidor, y ejecute los cmdlets disponibles en ese módulo contra
servidores remotos configurados.
• Escritorio remoto. Puede conectarse a una computadora que esté ejecutando la opción de instalación Server Core
utilizando Escritorio remoto. Configure el escritorio remoto mediante Sconfig.cmd.
• Consolas de gestión remota. Para la mayoría de las funciones de servidor, puede agregar una computadora que ejecute
Opción de instalación de Server Core en una consola de administración que se ejecuta en otro equipo.
Funciones de Windows Server 2012 R2
Para planificar correctamente cómo utilizará Windows

Server 2012 para respaldar la
requisitos, debe ser plenamente consciente de los
roles que están disponibles como parte de la operación
sistema. Cada versión de Windows Server viene
con un conjunto diferente de roles. Como nuevas versiones de
Se lanzan Windows Server, algunos roles son
mejorado y otros están en desuso. Para el
en su mayor parte, los roles que están disponibles en Windows
Server 2012 son familiares para los profesionales de TI que
han gestionado Windows Server ® 2008 y
Windows Server 2012 admite las funciones de servidor que se enumeran en la siguiente tabla.
Cambios en Windows
Papel Función
Servidor 2012 R2
AD CS Le permite implementar autoridades de certificación

y servicios de rol relacionados.
AD DS Un almacén centralizado de información sobre Dominio de Windows Server 2003

objetos de red, incluidos el usuario y y niveles funcionales de AD DS
cuentas de computadora. Usado para autenticación y el servicio de replicación de archivos
y autorización. han quedado obsoletos en
Windows Server 2012 R2.
AD FS Proporciona inicio de sesión único web (SSO) y

Soporte de federación de identificación segura.
Directorio Activo Admite el almacenamiento de datos específicos de la aplicación

Directorio ligero para aplicaciones compatibles con directorios que no
Servicios (AD LDS) requieren la infraestructura completa de AD DS.
Página 34
Cambios en Windows
Papel Función
Servidor 2012 R2
Directorio Activo Le permite aplicar la gestión de derechos

Gestión de Derechos políticas para evitar el acceso no autorizado a
Servicios (AD RMS) documentos sensibles.
Servidor de aplicaciones Admite la gestión centralizada y En desuso en Windows

alojamiento de distribuidos de alto rendimiento Servidor 2012 R2.
aplicaciones comerciales, como las creadas
con Microsoft .NET Framework 4.5.
servidor DHCP Proporciona equipos cliente en la red

con direcciones IP temporales.
Servidor DNS Proporciona resolución de nombres para TCP / IP
17/11/2020 20410D
redes.
Servidor de fax Soporta envío y recepción de faxes. también
le permite administrar los recursos de fax en el
red.
Archivo y almacenamiento Admite la gestión de carpetas compartidas

Servicios almacenamiento, sistema de archivos distribuido (DFS) y
almacenamiento en red.
Hyper-V Le permite alojar máquinas virtuales en

equipos que ejecutan Windows Server
2012.
Acceso a la red Un mecanismo para crear y hacer cumplir políticas En desuso en Windows Server
Protección (NAP) que describen el software y la actualización de seguridad 2012 R2.
requisitos antes de la solicitud
la computadora puede acceder a la LAN. UNA
computadora que no cumple puede ser
provisto de formas de remediar su
configuración para que esté en conformidad.
Imprimir y documentar Admite la gestión centralizada de

Servicios tareas de documentos, incluidos los escáneres de red
e impresoras en red.
Acceso remoto Admite una conectividad perfecta, siempre activa,

y funciones Always Managed basadas en
Función DirectAccess de Windows 7. también
admite acceso remoto a través de virtual
red privada (VPN) y acceso telefónico
conexiones.
Escritorio remoto Admite el acceso a escritorios virtuales,

Servicios (RDS) escritorios basados en sesiones y RemoteApp
programas.
Activación por volumen Le permite automatizar y simplificar la

Servicios gestión de claves de licencia por volumen y
activación de la tecla de volumen. Te permite administrar
un host del Servicio de administración de claves (KMS) o
configurar la activación basada en AD DS para
equipos que son miembros del dominio.
Página 35
Cambios en Windows
Papel Función
Servidor 2012 R2
Servidor web (IIS) El servidor web de Windows Server 2012 Servicio de información de Internet (IIS)
componente. 6.0 Manager ha sido
obsoleto en Windows
Servidor 2012 R2.
Implementación de Windows Le permite implementar el funcionamiento del servidor Cmdlets de Windows PowerShell
Servicios sistemas a clientes a través de la red. se han agregado y cmdlet
la secuencia de comandos es compatible con
Servidor de windows • Proporciona la infraestructura y un

Experiencia Essentials tablero para realizar tareas como:
o Gestión de usuarios y grupos
o Configurar copias de seguridad del servidor
o Supervisión del estado del servidor
o Configurar el acceso desde cualquier lugar
o Integración con Microsoft Online

servicios
17/11/2020 20410D
Servidor de windows Proporciona un método para implementar Microsoft
Servicios de actualización actualizaciones de productos para equipos en red.
(WSUS)
Cuando implementa un rol, Windows Server 2012 configura automáticamente aspectos del servidor
configuración, como la configuración del firewall, para admitir el rol. Windows Server 2012 también automáticamente y
despliega simultáneamente dependencias de roles. Por ejemplo, cuando instala la función WSUS, el servidor web
(IIS) los componentes de la función necesarios para admitir la función WSUS se instalan automáticamente.
Puede agregar y quitar roles mediante el Asistente para agregar roles y características, que está disponible en Windows
Consola de Server 2012 Server Manager. Si está utilizando Server Core, también puede agregar y quitar roles
mediante los cmdlets Install-WindowsFeature y Remove-WindowsFeature de Windows PowerShell.
Pregunta: ¿Qué roles suelen estar ubicados en el mismo servidor?
¿Cuáles son las características de Windows Server 2012?
Las características de Windows Server 2012 son independientes

componentes que a menudo soportan servicios de rol o
Apoyar el servidor directamente. Por ejemplo, Windows
Server Backup es una función porque solo proporciona
soporte de respaldo para el servidor local. No es un
recurso que otros servidores de la red pueden
utilizar.
Windows Server 2012 incluye las características que

se enumeran en la siguiente tabla.
Página 36
Cambios en Windows
Característica Descripción
Servidor 2012 R2
Características de .NET Framework 3.5 Instala tecnologías .NET Framework 3.5.
Características de .NET Framework 4.5 Instala tecnologías .NET Framework 4.5.

Esta función está instalada de forma predeterminada.
Inteligente en segundo plano Permite la transferencia asincrónica de archivos a

Servicio de transferencia (BITS) Asegúrese de que otras aplicaciones de red estén
no se ve afectado negativamente.
Unidad Windows BitLocker ® Admite disco completo y volumen completo

Cifrado cifrado y entorno de inicio
proteccion.
Desbloqueo de red BitLocker Proporciona un protector de claves basado en la red que

puede desbloquear bloqueado protegido por BitLocker
sistemas operativos unidos a un dominio.
Windows BranchCache ® Permite que el servidor funcione como

servidor de caché alojado o BranchCache
servidor de contenido para clientes de BranchCache.
Cliente para NFS Proporciona acceso a archivos almacenados en archivos de red

servidores del sistema (NFS).
Puente del centro de datos Le permite hacer cumplir la asignación de ancho de banda
en adaptadores de red convergente.
Almacenamiento mejorado Brinda soporte para funcionalidad adicional

disponible en Enhanced Storage Access (IEEE
17/11/2020 20410D
1667 protocolo) dispositivo, incluido el acceso a datos
restricciones.
Clústeres de conmutación por error Una función de alta disponibilidad que permite
Windows Server 2012 para participar en
clústeres de conmutación por error.
Administración de Políticas de Grupo Una herramienta de gestión administrativa para

administrar la directiva de grupo en un
empresa.
Servicios de tinta y escritura a mano Permite el uso de soporte de tinta y escritura a mano
Reconocimiento.
Cliente de impresión de Internet Admite el uso del protocolo de impresión de Internet.
Gestión de direcciones IP Gestión centralizada de la dirección IP y

(IPAM) Servidor infraestructura de espacio de nombres.
Destino de Internet SCSI (iSCSI) Proporciona administración de disco y destino iSCSI

Proveedor de almacenamiento servicios a Windows Server 2012.
Nombre de almacenamiento de Internet Admite servicios de descubrimiento de almacenamiento iSCSI

Servicio (iSNS) Servicio de servidor redes de área (SAN).
Página 37
Cambios en Windows
Servidor 2012 R2
Puerto remoto de impresora de línea Permite que la computadora envíe trabajos de impresión a En desuso en Windows
Monitor impresoras que se comparten con la impresora de línea Servidor 2012 R2.
Servicio Daemon.
Gestión de datos abiertos Le permite exponer Windows PowerShell

Extensión IIS del protocolo (OData) cmdlets a través de una web basada en OData
servicio que se ejecuta en Internet Información
Plataforma de servicios (IIS).
Fundación de medios Admite la infraestructura de archivos multimedia.
Message Queue Server Admite la entrega de mensajes entre

aplicaciones.
Entrada / salida de múltiples rutas (E / S) Admite múltiples rutas de almacenamiento de datos

dispositivos.
Equilibrio de carga de red Permite que el tráfico se distribuya en una carga

(NLB) de forma equilibrada en varios servidores que
albergar las mismas aplicaciones sin estado.
Resolución de nombres de pares Protocolo de resolución de nombres que permite

Protocolo (PNRP) aplicaciones para resolver nombres en el
computadora.
Video de audio de Windows de calidad Admite transmisión de audio y video

Experiencia aplicaciones en redes IP domésticas.
Servidor de acceso remoto (RAS) Le permite crear un administrador de conexiones

Administrador de conexiones perfiles que simplifican el acceso remoto
Kit de administración implementación de la configuración en el cliente
ordenadores.
Asistencia remota Permite soporte remoto a través de invitaciones.
Diferencial remoto Transfiere las diferencias entre archivos en un

Compresión (RDC) red, minimizando la utilización del ancho de banda.
17/11/2020 20410D
Administración remota del servidor Colección de consolas y herramientas para remotamente
Herramientas gestionar roles y funciones en otros
servidores.
Llamada a procedimiento remoto (RPC) Transmite tráfico RPC a través de HTTP como alternativa
a través de proxy HTTP a las conexiones VPN.
Servicios simples de TCP / IP Admite servicios básicos de TCP / IP, incluidos

Cita del día.
Protocolo simple de transferencia de correoAdmite la transferencia de mensajes de correo electrónico. En desuso en Windows
(Servidor SMTP Servidor 2012 R2.
Gestión de red sencilla Incluye agentes SNMP que se utilizan con el

Servicio de protocolo (SNMP) servicios de gestión de redes.
Página 38
Cambios en Windows
Servidor 2012 R2
Subsistema para basado en UNIX Soporta sistema operativo portátil

Aplicaciones Interfaz compatible con UNIX (POSIX)
Aplicaciones basadas en UNIX.
Cliente Telnet Permite conexiones salientes a Telnet

servidores y otros controles de transmisión
Servicios basados en protocolo (TCP).
Servidor Telnet Permite a los clientes conectarse al servidor mediante En desuso en Windows
el protocolo Telnet. Servidor 2012 R2.
Protocolo de transferencia de archivos trivial

Le permite acceder a servidores TFTP.
(TFTP) Cliente
Interfaces de usuario y Contiene los componentes necesarios para

Infraestructura apoyar la instalación de la interfaz gráfica
opción en Windows Server 2012. Activado
instalaciones gráficas, esta función está instalada
por defecto.
Biométrico de Windows Permite el uso de dispositivos de huellas dactilares para

Marco (WBF) autenticación.
El reenviador de comentarios de Windows admite el envío de comentarios a Microsoft

cuando los usuarios se unen a una experiencia del cliente
Programa de mejora.
Fundación de identidad de Windows Conjunto de clases de .NET Framework que admiten En desuso en Windows
3,5 implementación de reclamos basados en identidad en .NET Servidor 2012 R2.
aplicaciones.
Base de datos interna de Windows Almacén de datos relacionales que solo se puede utilizar
por roles y características de Windows como
WSUS.
Windows PowerShell Shell de línea de comandos basado en tareas y scripts La versión 4.0 está instalada en
lenguaje utilizado para administrar computadoras Ventanas
ejecutando sistemas operativos Windows. Esta Servidor 2012 R2.
La función está instalada de forma predeterminada.
Windows PowerShell Web Permite la gestión remota de ordenadores mediante

Acceso ejecutar sesiones de Windows PowerShell en un
navegador web.
Activación del proceso de Windows Permite que las aplicaciones alojen Windows
servicio (ERA) Servicios de Communication Foundation (WCF)
17/11/2020 20410D
que no usan protocolos HTTP para usar IIS
caracteristicas.
Servicio de búsqueda de Windows Permite búsquedas rápidas de archivos alojados en un

servidor para clientes compatibles con el
Servicio de búsqueda de Windows.
Copia de seguridad de Windows Server Software de respaldo y recuperación para Windows

Servidor 2012.
Página 39
Cambios en Windows
Servidor 2012 R2
Migración de Windows Server Colección de cmdlets de Windows PowerShell

Herramientas que ayudan en la migración de roles de servidor,
configuración del sistema operativo, archivos y recursos compartidos
desde equipos que ejecutan versiones anteriores de
Sistemas operativos Windows Server para
Basado en estándares de Windows Conjunto de interfaces de programación de aplicaciones

Administración de almacenamiento (API) que permiten el descubrimiento, la gestión,
y seguimiento de los dispositivos de almacenamiento que utilizan
estándares como Storage Management
Especificación de la iniciativa (SMI-S).
Recurso del sistema de Windows Le permite controlar la asignación de CPU Eliminado en Windows
Gerente (WSRM) y recursos de memoria. Servidor 2012 R2.
IFilter TIFF de Windows Admite el reconocimiento óptico de caracteres en

Formato de archivo de imagen etiquetado (TIFF)
Archivos compatibles con 6.0.
Extensión WinRM IIS Administración remota de Windows para IIS.
Nombres de Internet de Windows Admite resolución de nombres para NetBIOS

Servidor de servicio (WINS) nombres.
Red inalámbrica local Permite al servidor utilizar una red inalámbrica

Servicio (LAN) interfaz.
Windows en Windows (WoW) Admite la ejecución de aplicaciones de 32 bits en Server Core

64 Soporte instalaciones. Esta función es instalada por
defecto.
Visor XPS Admite ver y firmar documentos en

Formatos XPS.
Funciones bajo demanda

Features on Demand le permite agregar y eliminar archivos de funciones y funciones, también conocidos como carga útil de funciones ,
desde el sistema operativo Windows Server 2012 para ahorrar espacio. Puede instalar roles y funciones
cuando la carga útil de la función no está presente mediante el uso de una fuente remota, como una imagen montada del
sistema operativo. Si no hay una fuente de instalación pero sí una conexión a Internet, los archivos de origen se
descargado de Windows Update. La ventaja de una instalación de Features on Demand es que
requiere menos espacio en el disco duro que una instalación tradicional. La desventaja es que si desea agregar un
función o función, debe tener acceso a una fuente de instalación montada. Esto es algo que no es
necesario si realiza una instalación de Windows Server 2012 con las funciones gráficas habilitadas.
Pregunta: ¿Qué función necesita instalar para admitir la resolución de nombres NetBIOS para
equipos cliente que ejecutan Microsoft Windows NT ® estación de trabajo del sistema operativo 4.0?
17/11/2020 20410D
Página 40
Lección 2
Instalación de Windows Server 2012
Cuando se prepara para instalar Windows Server 2012, debe comprender si un hardware en particular
la configuración es apropiada. También necesita saber si una implementación de Server Core podría ser más
adecuado que una implementación de GUI completa, y qué fuente de instalación le permite implementar Windows Server
2012 de manera eficiente.
En esta lección, aprenderá sobre el proceso de instalación de Windows Server 2012, incluidos los métodos
que puede utilizar para instalar el sistema operativo, las diferentes opciones de instalación, el sistema mínimo
requisitos y las decisiones que debe tomar cuando utilice el Asistente de instalación.
• Describa los diferentes métodos que puede utilizar para instalar Windows Server 2012.
• Identifique los diferentes tipos de instalación que puede elegir al instalar Windows Server 2012.
• Determine si actualizar o migrar a Windows Server 2012.
• Determinar si una computadora o máquina virtual cumple con los requisitos mínimos de hardware.
necesario para instalar Windows Server 2012.
• Describa las decisiones que debe tomar cuando realiza una instalación de Windows Server 2012.
• Describir cómo migrar funciones y funciones del servidor.
Métodos de instalación
Microsoft distribuye Windows Server 2012 en

soporte óptico y en formato de imagen .iso (ISO).
El formato ISO se está volviendo más común a medida que
las organizaciones adquieren software a través de Internet
en lugar de obtener físico extraíble
medios de comunicación.
Una vez que haya obtenido el servidor de Windows

2012 sistema operativo de Microsoft, puede
use su propio método para implementar el funcionamiento
sistema. Puede instalar Windows Server 2012
utilizando una variedad de métodos, incluido el
siguiendo:
• Medios ópticos
o Las ventajas incluyen:
▪ Método tradicional de implementación.
o Las desventajas incluyen:
▪ Requiere que la computadora tenga acceso a una unidad de DVD-ROM.
▪ Suele ser más lento que los medios USB.
▪ No puede actualizar la imagen de instalación sin reemplazar el medio.
▪ Solo puede realizar una instalación por DVD-ROM a la vez.
Página 41
17/11/2020 20410D
• Medios USB
▪ Todas las computadoras con unidades USB permiten el inicio desde un dispositivo USB.
▪ La imagen se puede actualizar a medida que haya nuevas actualizaciones de software y controladores disponibles.
▪ El archivo de respuesta se puede almacenar en una unidad USB, minimizando la cantidad de interacción que el
administrador debe realizar.
▪ Requiere que el administrador realice pasos especiales para preparar medios USB a partir de un archivo ISO.
• Imagen ISO montada
▪ Con el software de virtualización, puede montar la imagen ISO directamente e instalar Windows
Server 2012 en la máquina virtual.
• Compartir en red
▪ Es posible arrancar un servidor desde un dispositivo de arranque (DVD o unidad USB) e instalarlo desde
archivos de instalación que están alojados en un recurso compartido de red.
▪ Este método es mucho más lento que usar los Servicios de implementación de Windows. Si ya tienes
acceso a un DVD o medio USB, es más sencillo utilizar esas herramientas para el sistema operativo
despliegue.
• Servicios de implementación de Windows
▪ Puede implementar Windows Server 2012 desde archivos de imagen .wim o archivos virtuales especialmente preparados.
archivos de disco duro (.vhd).
▪ Se puede utilizar Windows ® Kit de instalación automatizada (AIK) para configurar lite-touch
despliegue.
▪ Los clientes realizan un arranque del Entorno de ejecución previo al arranque (PXE) para
Deployment Services Server, y la imagen del sistema operativo se transmite al servidor.
a través de la red.
▪ Los servicios de implementación de Windows permiten múltiples instalaciones simultáneas de Windows Server
2012 utilizando transmisiones de red de multidifusión.
• Administrador de configuración de System Center
▪ Configuration Manager le permite automatizar completamente la implementación de Windows Server

2012 a servidores nuevos que no tengan un sistema operativo instalado. Este proceso se llama
Implementación Zero Touch .
• Plantillas de Virtual Machine Manager
▪ Windows Server 2012 normalmente se implementa en escenarios de nube privada desde preconfigurados.
plantillas de máquinas virtuales. Puede configurar varios componentes de System Center
suite para permitir la implementación de autoservicio de máquinas virtuales de Windows Server 2012.
Pregunta: ¿Qué otro método puede utilizar para implementar Windows Server 2012?
Página 42
Tipos de instalación
Cómo se implementa Windows Server 2012 en un
17/11/2020 20410D
el servidor específico depende de la instalación
circunstancias. Instalación en un servidor que
ejecutar Windows Server 2008 requiere diferentes
acciones que instalar en un servidor que ejecuta un x86
edición de Windows Server 2003.
Cuando realiza una instalación de Windows

Sistema operativo Server 2012, puede elegir
una de las opciones de la siguiente tabla.
Opción de instalación Descripción
Instalación nueva Le permite realizar una nueva instalación en un nuevo disco o volumen. Fresco
Las instalaciones son las que se utilizan con más frecuencia y requieren la menor cantidad de
tiempo para completar. También puede utilizar esta opción para configurar Windows Server
2012 para realizar un arranque dual si desea mantener el sistema operativo existente.
Potenciar Una actualización conserva los archivos, la configuración y las aplicaciones que están instaladas
ya en el servidor original. Realiza una actualización cuando quiere mantener
todos estos elementos y desea seguir utilizando el mismo hardware de servidor. usted
solo se puede actualizar a una edición equivalente o más reciente de Windows Server 2012
desde las versiones x64 de Windows Server 2008 y Windows Server 2008. También
puede actualizar de Windows Server 2012 a Windows Server 2012 R2. usted
inicie una actualización ejecutando setup.exe desde el Windows original
Sistema operativo del servidor.
Migración Utilice la migración al migrar a Windows Server 2012 R2 desde x86 y x64
versiones de Windows Server 2003, Windows Server 2003 R2 o Windows Server
2008. Puede utilizar la función Herramientas de migración de Windows Server en Windows
Server 2012 R2 para transferir archivos y configuraciones.
Cuando realiza una instalación nueva, puede implementar Windows Server 2012 en un disco sin particiones o
a un volumen existente. También puede instalar Windows Server 2012 en un archivo .vhd especialmente preparado en un "boot
desde el disco duro virtual ”o escenario de“ arranque nativo del disco duro virtual ”. Puede encontrar el uso de ambos
términos, o variaciones de los mismos, para referirse a este escenario. Arrancar desde disco duro virtual requiere especial
preparación, y no es una opción que pueda elegir cuando realiza una instalación típica utilizando
el Asistente de configuración de Windows.
Página 43
Elegir si actualizar o migrar
Una vez que haya decidido pasar a un nuevo servidor

sistema operativo, y ha determinado que
sus aplicaciones son compatibles con el nuevo sistema operativo
sistema, debe elegir si desea realizar una
actualización in situ del sistema operativo en el
hardware existente, o realizar una instalación limpia en
nuevo hardware y migre los roles, aplicaciones y
datos.
17/11/2020 20410D
Si elige una actualización en el lugar, la configuración
realiza comprobaciones de compatibilidad para verificar que todos los
los componentes se pueden actualizar. Cualquier problema
identificadas se muestran en un informe de compatibilidad que
aparece durante la instalación. Este informe puede incluir orientación sobre los pasos que deben tomarse para corregir
estos asuntos.
La siguiente tabla enumera algunas ventajas y desventajas de una actualización in situ.
Ventajas Desventajas
• El proceso es generalmente sencillo y • Más difícil de solucionar los fallos de instalación

toma menos tiempo y planificación que una migración que son causados por aplicaciones o servidores existentes
estrategia. roles.
• Todas las funciones, características, datos y aplicaciones del servidor • Los problemas existentes y los problemas de configuración pueden
se mantienen los ajustes. incorporarse al nuevo sistema operativo.
La siguiente tabla enumera algunas ventajas y desventajas de una estrategia de migración.
Ventajas Desventajas
• Más fácil de solucionar fallas de instalación. • Requiere que reinstale y configure todos
aplicaciones.
• Cualquier problema de aplicación o configuración existente
no trasladar a la nueva operación • Requiere que planifique y migre las funciones del servidor.
sistema.
• Requiere migración de datos.
• Brinda la oportunidad de mudarse fácilmente a
• Requiere la compra de hardware nuevo.
versiones actualizadas de aplicaciones.
Página 44
Requisitos de hardware para Windows Server 2012 R2
Los requisitos de hardware definen el mínimo

hardware necesario para ejecutar Windows
Servidor Server 2012 R2. Tu hardware real
Los requisitos pueden ser mayores, dependiendo de la
servicios que aloja el servidor, la carga en el
servidor y la capacidad de respuesta del servidor.
Cada función y servicio de función coloca una carga única

en red, E / S de disco, procesador y memoria
recursos. Por ejemplo, el rol de servidor de archivos coloca
diferentes tensiones en el hardware del servidor que el
El rol de DHCP sí lo hace.
Cuando considera los requisitos de hardware,

recuerde que Windows Server 2012 R2 se puede implementar virtualmente. Windows Server 2012 R2 es compatible
en Hyper-V y en algunas plataformas de virtualización que no son de Microsoft. Windows Server 2012 virtualizado
las implementaciones deben coincidir con las mismas especificaciones de hardware que las implementaciones físicas. Por ejemplo,
17/11/2020 20410D
cuando crea una máquina virtual para alojar Windows Server 2012, debe asegurarse de configurar
la máquina virtual con suficiente memoria y espacio en el disco duro.
Windows Server 2012 R2 tiene los siguientes requisitos mínimos de hardware:
• Arquitectura del procesador: x64
• Velocidad del procesador: 1,4 gigahercios (GHz)
• Memoria (RAM): 512 megabytes (MB)
• Espacio en la unidad de disco duro: 32 GB o más si el servidor tiene más de 16 GB de RAM
La edición Datacenter de Windows Server 2012 R2 admite los siguientes máximos de hardware:
• 640 procesadores lógicos
• 4 terabytes (TB) de RAM
• 63 nodos de clúster de conmutación por error
Lectura adicional: para obtener más información sobre la virtualización de Windows Server
Programa de validación, consulte http://go.microsoft.com/fwlink/?LinkID=266736 .
Pregunta: ¿Por qué un servidor necesita más espacio en el disco duro si tiene más de 16 GB de
¿RAM?
Página 45
Instalación de Windows Server 2012
El proceso de implementación de un servidor Windows

El sistema operativo es más simple hoy de lo que ha sido
históricamente. El administrador que realiza la
la implementación tiene menos decisiones que tomar.
Sin embargo, esas decisiones son fundamentales para el éxito
del despliegue. Una instalación típica de
Windows Server 2012 (si aún no tiene
un archivo de respuesta existente) implica realizar la
siguiente procedimiento:
1. Conéctese a la fuente de instalación. Opciones para

esto incluye:
o Inserte un DVD-ROM que contenga

Archivos de instalación de Windows Server 2012 y arranque desde el DVD-ROM.
o Conecte una unidad USB especialmente preparada que aloje los archivos de instalación de Windows Server 2012.
o Realice un arranque PXE y conéctese a un servidor de Servicios de implementación de Windows.
2. En la primera página del Asistente de configuración de Windows, seleccione lo siguiente:
o Idioma para instalar
o Formato de hora y moneda
o Teclado o método de entrada
17/11/2020 20410D
3. En la segunda página del Asistente de instalación de Windows, haga clic en Instalar ahora . También puede utilizar esta página para
seleccione Reparar su computadora . Utilice esta opción en caso de que una instalación se haya convertido
está dañado y ya no puede iniciar Windows Server 2012.
4. En el Asistente de configuración de Windows, en la página Seleccione el sistema operativo que desea instalar ,
elija entre las opciones de instalación del sistema operativo disponibles. La opción predeterminada es Server Core
Instalación.
5. En la página Términos de licencia , revise los términos de la licencia del sistema operativo. Debes elegir
Acepte los términos de la licencia antes de poder continuar con el proceso de instalación.
6. En la página Qué tipo de instalación desea , tiene las siguientes opciones:
o Actualización . Seleccione esta opción si tiene una instalación existente de Windows Server que desea
para actualizar a Windows Server 2012. Debe iniciar las actualizaciones desde la versión anterior
versión de Windows Server en lugar de arrancar desde la fuente de instalación.
o Personalizado . Seleccione esta opción si desea realizar una nueva instalación.
7. En la página Dónde desea instalar Windows , elija un disco disponible en el que instalar
Windows Server 2012. También puede optar por volver a particionar y formatear los discos desde esta página. Cuando
hace clic en Siguiente , el proceso de instalación copiará los archivos y reiniciará la computadora varias veces.
8. En la página Configuración , proporcione una contraseña para la cuenta de administrador local.
Página 46
Migración de roles de servidor
Si opta por realizar una instalación limpia del nuevo

sistema operativo del servidor, el primer paso es migrar
cualquier rol de servidor existente que se estuviera ejecutando en el
servidor reemplazado. Cada rol de servidor es único
y requiere su propia estrategia de migración. Roles y
características que dependen de nombres de computadora específicos y
Las direcciones IP requieren una planificación minuciosa
migrado con éxito. Algunas migraciones de roles pueden
requieren una interrupción del servicio durante la migración. Ser
asegúrese de programar estas migraciones para que
tener el menor impacto posible en la producción
ambiente.
Usar herramientas de migración de Windows Server

Las herramientas de migración de Windows Server están disponibles como una función en Windows Server 2012. Los administradores pueden
utilizar estas herramientas para migrar algunos roles de servidor, características, configuraciones del sistema operativo, recursos compartidos y otros datos
desde equipos que ejecutan determinadas ediciones de Windows Server 2003, Windows Server 2008,
Windows Server 2008 R2 o Windows Server 2012 en equipos que ejecutan Windows
Servidor 2012 R2. No todas las migraciones de funciones o características requieren estas herramientas de migración. Los guías proporcionan
instrucciones específicas sobre cuándo y cómo utilizar las herramientas de migración.
Guías de migración
Microsoft Technet ofrece las siguientes guías de migración que proporcionan instrucciones para migrar
roles y características del servidor 2012:
• Migrar los servicios de roles de los servicios de federación de Active Directory a Windows Server 2012
• Migrar la Autoridad de registro de salud a Windows Server 2012
• Migrar Hyper-V a Windows Server 2012
• Migrar la configuración de IP a Windows Server 2012
17/11/2020 20410D
• Migración del servidor de políticas de red a Windows Server 2012
• Migre los servicios de impresión y documentos a Windows Server 2012
• Migrar el acceso remoto a Windows Server 2012
• Migrar Windows Server Update Services a Windows Server 2012
Vínculos de referencia: para ver las guías de migración de Windows Server 2012, consulte
http://go.microsoft.com/fwlink/?LinkID=331068.
Página 47
Lección 3
Configuración posterior a la instalación de Windows Server 2012
El proceso de instalación de Windows Server 2012 implica responder a un número mínimo de preguntas. Una vez
ha completado la instalación, debe realizar varios pasos de configuración posteriores a la instalación antes
puede implementar el servidor en un entorno de producción. Estos pasos le permiten preparar el servidor para
la función que desempeñará en la red de su organización.
Esta lección incluye instrucciones sobre cómo realizar una variedad de tareas de configuración posteriores a la instalación,
incluida la configuración de la información de direccionamiento de red, la configuración del nombre de un servidor y unirlo al
dominio y comprensión de las opciones de activación del producto.
• Describir cómo utilizar el Administrador del servidor para realizar tareas de configuración posteriores a la instalación.
• Describir cómo configurar la red del servidor.
• Describir cómo unirse a un dominio.
• Explique cómo activar Windows Server 2012.
• Describir cómo configurar una instalación Server Core.
Descripción general de la configuración posterior a la instalación
El proceso de instalación de Windows Server 2012

minimiza la cantidad de preguntas que
necesita responder durante la instalación. los
solo la información que proporcione durante el
El proceso de instalación es la contraseña predeterminada.
cuenta de administrador local. La posinstalación
El proceso implica configurar todos los demás
configuraciones que el servidor requiere antes de que pueda ser
implementado en un entorno de producción.
Utiliza el nodo del servidor local en el servidor

Consola de administrador para realizar las siguientes tareas:
• Configurar la dirección IP
17/11/2020 20410D
• Establecer el nombre de la computadora
• Únete a un dominio
• Configurar la zona horaria
• Habilitar actualizaciones automáticas
• Agregar roles y características
• Habilitar escritorio remoto
• Configurar los ajustes del Firewall de Windows
Página 48
Configurar los ajustes de la red del servidor
Para comunicarse en la red, un servidor necesita

información correcta de la dirección IP. Una vez que tengas
instalación completada, necesita configurar o
compruebe la configuración de la dirección IP del servidor. Por
predeterminado, un servidor recién implementado intenta
obtener información de la dirección IP de un servidor DHCP.
Puede ver la configuración de la dirección IP de un servidor
haciendo clic en el nodo del servidor local en el servidor
Gerente.
Si el servidor tiene un Protocolo de Internet versión 4

(IPv4) dirección en la IP privada automática
Rango de direccionamiento (APIPA) de 169.254.0.1 a
169.254.255.254, el servidor aún no se ha configurado con una dirección IP de un servidor DHCP. Esta
puede deberse a que todavía no se ha configurado un servidor DHCP en la red o, si hay un servidor DHCP
servidor, porque hay un problema con la infraestructura de red que impide que el adaptador reciba
Una dirección.
Nota: Si está utilizando solo una red de Protocolo de Internet versión 6 (IPv6), una dirección IPv4 en
este rango no es problemático y la información de la dirección IPv6 aún se configura automáticamente.
Configuración mediante el Administrador del servidor
Puede configurar manualmente la información de la dirección IP para un servidor realizando el siguiente procedimiento:
1. En la consola del Administrador del servidor, haga clic en la dirección junto al adaptador de red que desea
configurar.
2. En la ventana Conexiones de red, haga clic con el botón derecho en el adaptador de red para el que desea configurar
una dirección y luego haga clic en Propiedades .
3. En el cuadro de diálogo Propiedades del adaptador , haga clic en Protocolo de Internet versión 4 (TCP / IPv4) y luego haga clic en
Propiedades .
4. En el cuadro de diálogo Propiedades del Protocolo de Internet versión 4 (TCP / IPv4) , ingrese el siguiente código IPv4.
información de la dirección y, a continuación, haga clic en Aceptar dos veces:
o dirección IP
o Máscara de subred
o Puerta de enlace predeterminada
o Servidor DNS preferido
o Servidor DNS alternativo
Configuración de dirección IPv4 de línea de comandos

Puede configurar la información de la dirección IPv4 manualmente desde un símbolo del sistema elevado utilizando netsh.exe
17/11/2020 20410D
comando desde el contexto de la interfaz IPv4 o mediante Windows PowerShell.
Por ejemplo, para configurar el adaptador denominado Conexión de área local con la dirección IPv4 10.10.10.10
y la máscara de subred 255.255.255.0, escriba los siguientes comandos:
Interfaz Netsh ipv4 configurar la dirección "Conexión de área local" estática 10.10.10.10 255.255.255.0
Página 49
New-NetIPAddress –InterfaceIndex 12 –IPAddress 10.10.10.10 –PrefixLength 24
Puede utilizar el mismo contexto del comando netsh.exe para configurar la configuración de DNS.
Por ejemplo, para configurar el adaptador llamado Conexión de área local para usar el servidor DNS en la dirección IP
10.10.10.5 como servidor DNS primario, escriba el siguiente comando:
Interfaz Netsh ipv4 set dnsservers "Conexión de área local" estático 10.10.10.5 primario
Set-DNSClientServerAddress –InterfaceIndex 12 –ServerAddresses 10.10.10.5
En los comandos de Windows PowerShell, el valor de InterfaceIndex identifica qué adaptador es

configurar. Para obtener una lista completa de adaptadores con los valores de InterfaceIndex correspondientes, ejecute Get-
Cmdlet NetIPInterface .
Equipo de tarjetas de interfaz de red

Con la agrupación de tarjetas de interfaz de red (NIC), puede aumentar la disponibilidad de un recurso de red. Cuando
configura la función de formación de equipos de NIC, una computadora utiliza una dirección de red para varias tarjetas. En el
caso de que una de las tarjetas falle, la computadora puede mantener la comunicación con otros hosts en el
red que están usando esa dirección compartida. La formación de equipos NIC no requiere que las tarjetas de red sean
mismo modelo o utilice el mismo controlador. Para agrupar tarjetas de red, realice el siguiente procedimiento:
1. Asegúrese de que el servidor tenga más de un adaptador de red.
2. En el Administrador del servidor, haga clic en el nodo Servidor local .
3. Junto a Network Adapter Teaming, haga clic en Disabled . Esto abrirá el cuadro de diálogo NIC Teaming .
4. En el cuadro de diálogo NIC Teaming , mantenga presionada la tecla Ctrl y luego haga clic en cada adaptador de red que
desea agregar al equipo.
5. Haga clic con el botón derecho en estos adaptadores de red seleccionados y luego haga clic en Agregar a equipo nuevo .
6. En el cuadro de diálogo Nuevo equipo , proporcione un nombre para el equipo y luego haga clic en Aceptar .
Cómo unirse a un dominio
Cuando instala Windows Server 2012, el

A la computadora se le asigna un nombre aleatorio. Antes de
unirse a un dominio, debe configurar el servidor
con el nombre que quieres que tenga en el
dominio. Como práctica recomendada, debe utilizar un
esquema de nomenclatura coherente cuando elige un
nombre del ordenador. Se deben proporcionar computadoras
nombres que reflejan su función y ubicación, no
nombres con vínculos personales, como nombres de mascotas, o
personajes de ficción o históricos. Por ejemplo, es
más sencillo para todos determinar que un servidor
llamado MEL-DNS1 es un servidor DNS en Melbourne,
que determinar que un servidor llamado Copernicus tiene el rol de DNS en la oficina de Melbourne.
Puede cambiar este nombre utilizando la consola del Administrador del servidor realizando el siguiente procedimiento:
2. En la ventana Propiedades, haga clic en el texto activo junto al Nombre del equipo. Esto lanza el sistema
Cuadro de diálogo de propiedades .
17/11/2020 20410D
Página 50
3. En el cuadro de diálogo Propiedades del sistema , en la pestaña Nombre del equipo , haga clic en Cambiar .
4. En el cuadro de diálogo Cambios en el dominio / nombre del equipo , ingrese el nuevo nombre que desea asignar.
a la computadora.
5. Reinicie la computadora para implementar el cambio de nombre.
Antes de unirse al dominio, asegúrese de completar los siguientes pasos para verificar que el nuevo servidor esté listo
para unirse a un dominio:
1. Asegúrese de poder resolver la dirección IP del controlador de dominio y de que puede contactar
ese controlador de dominio. Utilice el protocolo PING para hacer ping al controlador de dominio por nombre de host para
lograr ambos objetivos.
2. Verifique que la cuenta de seguridad que se utilizará para la operación de unión al dominio ya exista en
el dominio.
Cuando haya cambiado el nombre de su servidor Windows Server 2012 R2 y haya verificado que está listo para ser
unido al dominio, puede unir el servidor al dominio.
Para unirse al dominio mediante el Administrador del servidor, realice el siguiente procedimiento:
2. En la ventana Propiedades, junto a Grupo de trabajo, haga clic en GRUPO DE TRABAJO .
4. En el cuadro de diálogo Cambios de dominio / nombre de equipo , en el área Miembro de , haga clic en Dominio.
opción. Ingrese el nuevo nombre de dominio y luego haga clic en Aceptar .
5. En el cuadro de diálogo Seguridad de Windows , ingrese las credenciales de dominio que le permiten unirse al
computadora al dominio.
6. Reinicie la computadora.
Pre-creación de cuentas de computadora

La creación previa de la cuenta para el objeto de la computadora le permite colocar el objeto de la computadora en el
unidad organizativa (OU) apropiada, de modo que reciba todas las políticas de grupo y la configuración de seguridad
inmediatamente después de unirse al dominio. Puede utilizar este método para dividir las tareas de creación del objeto
en AD DS y unirse al dominio.
Puede crear previamente y unir una computadora al dominio completando las siguientes tareas:
1. Cree una cuenta de computadora en el dominio con el mismo nombre de la computadora a la que desea unirse
al dominio en la OU apropiada.
2. Una la computadora al dominio usando una cuenta de seguridad que tenga derecho a realizar una unión al dominio.
operaciones.
Página 51
17/11/2020 20410D
Activando Windows Server 2012
Para asegurarse de que su organización esté correctamente

con licencia y recibir avisos sobre el producto
actualizaciones, debe activar cada copia de
Windows Server 2012 que instale. A diferencia de
versiones anteriores de Windows Server
sistema operativo, ya no hay una activación
periodo de gracia. Si no realiza la activación,
no puede ejecutar el sistema operativo
personalización. Además, hasta que se active, el servidor
apagar cada hora.
Para activar Windows Server 2012, puede usar uno

de dos estrategias generales:
• Activación manual. Adecuado cuando está implementando una pequeña cantidad de servidores.
• Activación automática. Adecuado cuando está implementando una gran cantidad de servidores.
Activación manual
Con la activación manual, ingresa la clave del producto y el servidor se comunica con Microsoft. Alternativamente, un
El administrador realiza la activación por teléfono o mediante un sitio web de cámara de compensación especial.
Puede realizar la activación manual desde la consola del Administrador del servidor realizando lo siguiente
procedimiento:
1. Haga clic en el nodo Servidor local.
2. En la ventana Propiedades, junto a ID de producto, haga clic en No activado .
3. En el cuadro de diálogo Activación de Windows , ingrese la clave del producto y luego haga clic en Activar .
4. Si no se puede establecer una conexión directa con los servidores de activación de Microsoft, se mostrarán los detalles
sobre cómo realizar la activación utilizando un sitio web desde un dispositivo que tiene una conexión a Internet, o por
utilizando un número de teléfono local.
Como los equipos que ejecutan la opción de instalación Server Core no tienen la consola del Administrador del servidor,
también puede realizar la activación manual mediante el comando slmgr.vbs . Utilice slmgr.vbs / ipk
comando para ingresar la clave del producto, y slmgr.vbs / ato para realizar la activación una vez que la clave del producto es
instalado.
Puede realizar la activación manual utilizando la clave de producto minorista o la clave de activación múltiple.
Puede utilizar una clave de producto minorista para activar solo una computadora. Sin embargo, una clave de activación múltiple tiene
un número determinado de activaciones que puede utilizar. Con una clave de activación múltiple, puede activar múltiples
computadoras hasta un límite de activación establecido.
Una clave de fabricante de equipo original (OEM) es un tipo especial de clave de activación que se proporciona a un
fabricante y permitir la activación automática cuando se enciende una computadora por primera vez. Este tipo de activación
La clave se usa generalmente con computadoras que ejecutan sistemas operativos cliente como Windows 7 y
Windows 8.1. Las claves OEM rara vez se utilizan con equipos que ejecutan sistemas operativos de servidor.
Realizar la activación manualmente en implementaciones de servidores a gran escala puede resultar engorroso. Microsoft proporciona
un método para activar una gran cantidad de computadoras automáticamente sin tener que ingresar claves de producto
en cada sistema manualmente.
Página 52
Activación automática
En versiones anteriores del sistema operativo Windows Server, podía utilizar el Servicio de administración de claves
(KMS) para realizar la activación centralizada de múltiples clientes. La función del servidor de Volume Activation Services en
Windows Server 2012 le permite administrar un servidor KMS a través de una nueva interfaz. Esto simplifica la
proceso de instalación de una clave KMS en el servidor KMS. Cuando instala los servicios de activación por volumen, puede
también configure la activación basada en Active Directory. La activación basada en Active Directory permite
17/11/2020 20410D
activación de equipos unidos a un dominio. Cuando usa los Servicios de activación por volumen, cada computadora
activado debe contactar periódicamente con el servidor KMS para renovar su estado de activación.
Utiliza la herramienta de administración de activación por volumen (VAMT) 3.0 junto con la activación por volumen
Servicios para realizar la activación de múltiples computadoras en redes que no están conectadas directamente al
Internet. Puede usar VAMT para generar informes de licencias y administrar la activación de clientes y servidores en
redes empresariales.
Activación automática de máquinas virtuales

La activación automática de máquinas virtuales (AVMA) es una nueva característica de Windows Server 2012 R2 que puede
utilizar para instalar máquinas virtuales en un host Hyper-V de Windows Server 2012 R2 Datacenter y automáticamente
actívelos, siempre que el servidor host esté correctamente activado. El registro en el host de virtualización
proporciona datos de seguimiento en tiempo real para los sistemas operativos invitados. Esta clave de registro se mueve con el virtual
máquina cuando se migra a un nuevo host.
Una clave especial, la clave AVMA, se instala en la máquina virtual usando el siguiente comando desde un
símbolo del sistema elevado:
Slmgr / ipk <clave_AVMA>
La máquina virtual activa automáticamente la licencia contra el host de virtualización.
AVMA ofrece los siguientes beneficios:
• Puede activar máquinas virtuales en ubicaciones remotas.
• No necesita una conexión a Internet para activar máquinas virtuales.
• Puede rastrear licencias desde el host de virtualización sin requerir derechos de acceso en el virtual
máquinas.
• No hay claves de producto para administrar.
• Las máquinas virtuales permanecen activadas cuando se migran entre hosts de virtualización.
Se admiten los siguientes sistemas operativos de máquina virtual invitada:
• Edición de centro de datos de Windows Server 2012 R2
• Edición estándar de Windows Server 2012 R2
• Edición de Windows Server 2012 R2 Essentials
Página 53
Configurar una instalación Server Core
Realización de la instalación posterior en una computadora

ejecutar la opción del sistema operativo Server Core
puede resultar abrumador para los administradores que no han
realizó la tarea antes. En lugar de tener GUI-
herramientas basadas que simplifican la posinstalación
proceso de configuración, los profesionales de TI deben
realizar tareas de configuración complejas desde un
interfaz de línea de comandos.
La buena noticia es que puede realizar la

la mayoría de las tareas de configuración posteriores a la instalación por
utilizando la herramienta de línea de comandos sconfig.cmd. Utilizando
17/11/2020 20410D
esta herramienta minimiza la posibilidad de hacer
Errores de sintaxis cuando utiliza herramientas de línea de comandos más complicadas.
Puede utilizar sconfig.cmd para realizar las siguientes tareas:
• Configurar la información de dominio y grupo de trabajo
• Configurar el nombre de la computadora
• Agregar cuentas de administrador local
• Configurar WinRM
• Habilitar Windows Update
• Descargar e instalar actualizaciones
• Habilitar escritorio remoto
• Configurar la información de la dirección de red
• Establecer la fecha y la hora
• Realizar la activación de Windows
• Desconectar
• Reinicie el servidor
• Apague el servidor
Configurar la información de la dirección IP

Puede configurar la dirección IP y la información de DNS mediante sconfig.cmd o netsh.exe . Para configurar IP
información de dirección utilizando sconfig.cmd , realice los siguientes pasos:
1. Desde un comando de la línea de comandos, ejecute sconfig.cmd .
2. Elija la opción 8 para configurar los ajustes de red.
3. Elija el número de índice del adaptador de red al que desea asignar una dirección IP.
4. En el área Configuración del adaptador de red, elija una de las siguientes opciones:
o Establecer la dirección del adaptador de red
o Establecer servidores DNS
o Borrar la configuración del servidor DNS
o Volver al menú principal
Página 54
Cambiar el nombre del servidor

Puede cambiar el nombre de un servidor usando el comando netdom con la opción renamecomputer .
Por ejemplo, para cambiar el nombre de una computadora a Melbourne, escriba el siguiente comando:
Netdom renamecomputer% computername % / newname: Melbourne
Puede cambiar el nombre de un servidor utilizando sconfig.cmd realizando el siguiente procedimiento:
2. Elija la opción 2 para configurar el nuevo nombre de la computadora.
3. Escriba el nombre del nuevo equipo y luego presione Intro.
Debe reiniciar el servidor para que el cambio de configuración surta efecto.
Unirse al dominio
Puede unir una computadora Server Core a un dominio usando el comando netdom con la opción de unión .
Por ejemplo, para unirse al dominio adatum.com usando la cuenta de administrador y que se le solicite una
contraseña, escriba el siguiente comando:
Netdom join% computername % /domain:adatum.com / UserD: Administrator / PasswordD: *
17/11/2020 20410D
Nota: Antes de unirse al dominio, verifique que pueda hacer ping al servidor DNS
nombre de host.
Para unir un equipo Server Core al dominio mediante sconfig.cmd , realice los siguientes pasos:
2. Elija la opción 1 para configurar Dominio / Grupo de trabajo.
3. Para elegir la opción Dominio, escriba D y luego presione Entrar.
4. Escriba el nombre del dominio al que desea unirse a la computadora.
5. Proporcione los detalles, en formato dominio \ nombre de usuario , de una cuenta autorizada para unirse al dominio.
6. Escriba la contraseña asociada con esa cuenta.
Para completar una operación de unión a un dominio, es necesario reiniciar la computadora.
Adición de funciones y funciones

Puede agregar y quitar roles y características en una computadora que está ejecutando la instalación de Server Core
opción mediante los cmdlets de Windows PowerShell Get-WindowsFeature , Install-WindowsFeature y
Remove-WindowsFeature . Estos cmdlets están disponibles después de cargar ServerManager Windows
Módulo de PowerShell.
Por ejemplo, puede ver una lista de funciones y características que están instaladas escribiendo el siguiente comando:
Get-WindowsFeature | Where-Object {$ _. InstallState -eq "Instalado"}
También puede instalar una función o función de Windows mediante el cmdlet Install-WindowsFeature . Por ejemplo, para
instale la función NLB, ejecute el comando:
Install-WindowsFeature NLB
Página 55
No todas las funciones están disponibles directamente para su instalación en una computadora que ejecuta Server Core operativo
sistema. Puede determinar qué funciones no están disponibles directamente para la instalación ejecutando el
siguiente comando:
Get-WindowsFeature | Where-Object {$ _. InstallState -eq "Removed"}
Puede agregar una función o función que no está disponible directamente para la instalación mediante el parámetro -Source
del cmdlet Install-WindowsFeature . Debe especificar una ubicación de origen que aloje un
imagen de instalación que incluye la versión completa de Windows Server 2012. Puede montar una instalación
imagen utilizando la herramienta de línea de comandos DISM.exe . Si no especifica una ruta de origen cuando instala un
componente que no está disponible y el servidor tiene conectividad a Internet, Install-WindowsFeature se
intente recuperar archivos de origen de Windows Update.
Agregar la GUI
Puede configurar una computadora Server Core con la GUI usando la herramienta de línea de comandos sconfig.cmd . Que hacer
Para ello, elija la opción 12 en el menú Configuración del servidor sconfig.cmd.
Nota: Puede agregar o quitar el componente gráfico de Windows Server 2012

sistema operativo mediante el cmdlet Install-WindowsFeature .
También puede utilizar la herramienta de línea de comandos dism.exe para agregar y eliminar funciones y funciones de Windows de un
Implementación de Server Core, aunque esta herramienta se usa principalmente para administrar archivos de imagen.
Demostración: uso de DISM para agregar funciones de Windows
17/11/2020 20410D
Administración y mantenimiento
imágenes sin conexión o sistemasde imágenesendeejecución.
operativos implementación (DISM)
Úselo para es una
instalar, herramienta
desinstalar, de líneayde
configurar comandos
actualizar que puede utilizar para
Windows
características, paquetes, controladores y configuraciones internacionales.
Una vez que se ha montado una imagen en el sistema de archivos, use DISM para dar servicio a esa imagen especificando el
ruta a la imagen y las opciones de servicio en la línea de comando. DISM también puede dar servicio a sistemas en ejecución
cuando especifica el parámetro / online y las opciones de servicio en la línea de comando.
En esta demostración, verá cómo usar DISM para habilitar la función de copia de seguridad de Windows Server para un
sistema en funcionamiento. Por ejemplo, si estuviera reparando una imagen sin conexión, primero usaría DISM
/ mount-image parámetro para montar la imagen en el sistema de archivos. Entonces usarías el DISM
/ image: parámetro < ruta al archivo de imagen > y pasa los comandos de servicio a la imagen.
Para reparar un archivo .vhd, adjunte el disco virtual mediante Windows PowerShell. Aunque no es el preferido
, también puede utilizar la herramienta de línea de comandos DiskPart.exe. El montaje de Windows PowerShell 4.0
El cmdlet DiskImage monta un archivo .vhd o .iso existente y lo hace parecer como si fuera un disco normal. por
Por ejemplo, para montar un archivo .vhd llamado C: \ BaseImage.vhd, puede realizar el siguiente procedimiento.
Para usar Windows PowerShell para montar un archivo de disco duro virtual llamado C: \ BaseImage.vhd y asignar el siguiente
letra de unidad disponible, inicie Windows PowerShell y ejecute el siguiente cmdlet:
Mount-DiskImage C: \ BaseImage.vhd
Después de reparar el archivo .vhd con DISM, usa el cmdlet Dismount-DiskImage:
Desmontar DiskImage C: \ BaseImage.vhd
Página 56
Para usar DiskPart para adjuntar un archivo .vhd y asignar la letra de unidad V, en un símbolo del sistema elevado, ejecute
los siguientes comandos:
DiskPart
Seleccione el archivo de disco virtual C: \ BaseImage.vhd
Adjuntar disco virtual
Asignar letra = V
Salida
Una vez que termine de reparar el archivo .vhd con DISM, puede separar el archivo .vhd mediante el siguiente
comandos:
DiskPart
Seleccione el archivo de disco virtual C: \ BaseImage.vhd
Desconectar disco virtual
Salida
Nota: debe tener derechos de administrador para montar un archivo .vhd o .iso en Windows Server
2012 R2.
Lectura adicional:
• Para obtener más información sobre el uso de DISM, consulte el artículo "Habilitar o deshabilitar las funciones de Windows" en
• Para obtener más información sobre el uso de DISM para reparar archivos VHD, consulte el artículo “Tutorial: Servicio
una imagen de disco duro virtual sin conexión ”en http://go.microsoft.com/fwlink/?LinkID=331066.
Pasos de demostración
Ver una lista de todas las funciones de Windows y su estado actual

1. Utilice el Administrador del servidor para iniciar la MMC de copia de seguridad de Windows Server.
Observe que Windows Server Backup no está instalado en la computadora.
17/11/2020 20410D
2. Cierre la ventana wbadmin- [Copia de seguridad de Windows Server (local)].
Recopile información sobre la función de copia de seguridad de Windows Server

1. Inicie Windows PowerShell como administrador.
2. Ejecute el siguiente comando:
DISM / online / get-features
DISM / online / get-featureinfo / featurename: WindowsServerBackup
Página 57
Habilite la función de copia de seguridad de Windows Server

DISM / online / enable-feature / featurename: WindowsServerBackup
Nota: El nombre de la función distingue entre mayúsculas y minúsculas.
2. Utilice el Administrador del servidor para iniciar la MMC de copia de seguridad de Windows Server.
Tenga en cuenta que la copia de seguridad de Windows Server ahora está disponible.
3. Cierre todas las ventanas abiertas.
17/11/2020 20410D
Página 58
Lección 4
Descripción general de la administración de Windows Server 2012
La configuración correcta de un servidor puede evitar problemas importantes más adelante. Windows Server 2012 proporciona
múltiples herramientas para realizar tareas administrativas específicas, y cada herramienta es apropiada para un conjunto dado de
circunstancias. La interfaz de administración de Windows Server 2012 también mejora su capacidad para realizar
tareas administrativas en más de un servidor simultáneamente.
Esta lección cubre las diferentes herramientas de administración que puede utilizar para realizar tareas administrativas en
equipos que ejecutan el sistema operativo Windows Server 2012.
• Describir el Administrador del servidor.
• Describir cómo utilizar las herramientas administrativas y las herramientas de administración remota del servidor.
• Describir cómo utilizar el Administrador del servidor para realizar tareas administrativas.
• Describir cómo configurar los servicios.
• Describir cómo configurar la administración remota de Windows.
¿Qué es el administrador del servidor?
El Administrador del servidor es la principal herramienta gráfica utilizada

para administrar computadoras que ejecutan Windows Server
2012. Puede utilizar la consola del Administrador del servidor para
administrar tanto el servidor local como los servidores remotos.
También puede administrar servidores como grupos. Por
administrar servidores como grupos, puede realizar la
mismas tareas administrativas rápidamente en múltiples
servidores que realizan la misma función o que
miembros del mismo grupo.
Puede utilizar la consola del administrador del servidor para

realizar las siguientes tareas en ambos servidores locales
y servidores remotos:
• Agregar roles y características
• Iniciar sesiones de Windows PowerShell
• Ver eventos
• Realizar tareas de configuración del servidor
Puede utilizar el Administrador del servidor para administrar los siguientes sistemas de nivel inferior:
• Windows Server 2008 SP1 (tanto servidor completo como Server Core)
• Windows Server 2008 SP2 (solo servidor completo)
17/11/2020 20410D
Página 59
Para administrar estos sistemas, debe instalar Windows Management Framework 3.0 (WMF 3.0) en el
sistemas gestionados.
Analizador de mejores prácticas

Server Manager incluye una herramienta Best Practices Analyzer para todos los roles de Windows Server 2012. Con mejor
Practices Analyzer, puede determinar si los roles en su red están funcionando de manera eficiente o si
son problemas que necesita solucionar. Best Practices Analyzer examina cómo funciona un rol:
incluida la consulta de registros de eventos asociados en busca de eventos de advertencia y error, para que pueda estar al tanto de
problemas de salud asociados con roles específicos antes de que esos problemas de salud causen una falla que afecte al
la funcionalidad del servidor.
Herramientas administrativas y herramientas de administración remota del servidor
Cuando usa el Administrador del servidor para realizar una

relacionados con funciones o funciones específicas
tarea administrativa, la consola lanza el
herramienta administrativa adecuada. Cuando instalas
una función o función utilizando el Administrador del servidor localmente o
de forma remota, se le pedirá que instale el
herramienta administrativa adecuada. Por ejemplo,
cuando usa el Administrador del servidor para instalar el DHCP
rol en otro servidor, se le pedirá que
instale la consola DHCP en el servidor local.
Herramientas de administración de servidor remoto

Puede instalar el conjunto completo de administración
herramientas para Windows Server 2012 mediante la instalación de la función Herramientas de administración remota del servidor (RSAT). Cuando
instala RSAT, puede optar por instalar todas las herramientas o solo las herramientas para administrar roles específicos y
caracteristicas. También puede instalar RSAT en computadoras que ejecutan el sistema operativo Windows 8.1. Esto permite
administradores para administrar servidores de forma remota, sin tener que iniciar sesión directamente en cada servidor.
Es una práctica recomendada general ejecutar un servidor de Windows Server 2012 como instalación y administración de Server Core.
de forma remota a través de RSAT para Windows 8.1, o con uno de los muchos otros métodos de administración remota.
Además de Windows PowerShell, las herramientas que los administradores utilizan con más frecuencia incluyen
siguiendo:
• Centro de administración de Active Directory. Con esta consola, puede realizar Active Directory
tareas administrativas como elevar los niveles funcionales de dominio y bosque, administrar usuarios y grupos,
y habilitando la Papelera de reciclaje de Active Directory. También usa esta consola para administrar el acceso dinámico
Controlar.
• Directorio activo de usuarios y computadoras. Con esta herramienta, puede crear y administrar Active Directory
usuarios, computadoras y grupos. También puede utilizar esta herramienta para crear unidades organizativas.
• Consola DNS. Con la consola DNS, puede configurar y administrar la función del servidor DNS. Esta
incluye la creación de zonas de búsqueda directa e inversa y la gestión de registros DNS.
• Visor de eventos. Puede utilizar el Visor de eventos para ver los eventos registrados en Windows Server 2012
registros de eventos.
• Consola de administración de políticas de grupo. Con esta herramienta, puede editar objetos de directiva de grupo (GPO) y
administrar su aplicación en AD DS.
• Herramienta Administrador de IIS. Puede utilizar esta herramienta para administrar sitios web.
17/11/2020 20410D
Página 60
• Monitor de rendimiento. Puede utilizar esta consola para ver y registrar datos de rendimiento seleccionando
contadores asociados con recursos específicos que desea supervisar.
• Monitor de recursos. Puede usar esta consola para ver información en tiempo real sobre la CPU, la memoria y el disco
y utilización de la red.
• Programador de tareas. Puede utilizar esta consola para gestionar la ejecución de tareas programadas.
Puede acceder a cada una de estas herramientas en el Administrador del servidor accediendo al menú Herramientas.
Nota: También puede anclar herramientas de uso frecuente a la barra de tareas de Windows Server 2012 o al
Pantalla de inicio.
Administrar Windows Server 2012 no unido a un dominio con RSAT y Server Manager
En circunstancias normales, no puede administrar equipos no unidos a un dominio con RSAT desde
Sistemas Windows 8.1 o Windows Server 2012. En Windows Server 2012, sin embargo, hay Windows
Comandos de PowerShell que permiten esta configuración.
Primero, asegúrese de que puede resolver el nombre de la computadora que administrará por su nombre de host, porque
no puede utilizar su dirección IP. Para hacer esto, agregue manualmente el servidor a su DNS o agregue una entrada en
el archivo Hosts local en la computadora con Windows 8.1.
A continuación, en la computadora con Windows 8.1 que ejecuta RSAT, inicie Windows PowerShell como administrador y
ejecuta el siguiente comando:
Set-Item WSMan: \ localhost \ Client \ TrustedHosts -Value <YourtargetServernameHere> –Force
Si la computadora tiene un sufijo DNS configurado, debe incluir tanto el nombre de host como el
nombre de dominio calificado (FQDN) del servidor entre comillas.
Por ejemplo, para administrar un servidor llamado SVR1 que se ha configurado manualmente para tener un sufijo DNS de
contoso.com, el comando sería:
Set-Item WSMan: \ localhost \ Client \ TrustedHosts –Value "SVR1, SVR1.Contoso.com" –Force
En RSAT Server Manager, haga clic en el menú Administrar , haga clic en la pestaña DNS , ingrese el nombre del servidor y luego agregue
el servidor a la columna Seleccionado.
El servidor debería aparecer en el panel Servidores y debería mostrar un error de Kerberos. Haga clic derecho en la entrada
y seleccione Administrar como , y luego ingrese las credenciales de administrador local del servidor.
Demostración: uso del Administrador del servidor
En esta demostración, verá cómo utilizar el Administrador del servidor para realizar las siguientes tareas:
• Agregue una función mediante el Asistente para agregar funciones y funciones.
• Ver eventos relacionados con el rol.
• Ejecute el Analizador de mejores prácticas para un rol.
• Enumere las herramientas disponibles en el Administrador del servidor.
• Reinicie Windows Server 2012.
Página 61
17/11/2020 20410D
Agregar una función mediante el Asistente para agregar funciones y funciones
1. En el Administrador del servidor, inicie el Asistente para agregar funciones y características.
2. Seleccione la casilla de verificación Instalación basada en funciones o basada en funciones .
3. Haga clic en Seleccionar un servidor del grupo de servidores , verifique que LON-DC1.Adatum.com esté seleccionado y luego
haga clic en Siguiente .
4. En la página Seleccionar roles de servidor , seleccione Servidor de fax .
5. En el cuadro de diálogo Asistente para agregar roles y características , haga clic en Agregar características .
6. En la página Seleccionar características , haga clic en BranchCache .
7. En la página Servicios de impresión y documentos , haga clic en Siguiente dos veces .
8. En la página Servidor de fax , haga clic en Siguiente .
9. En la página Confirmación , seleccione Reiniciar el servidor de destino automáticamente si es necesario.

casilla de verificación, haga clic en Sí , haga clic en Instalar y luego en Cerrar .
10. Haga clic en el icono de la bandera junto al Panel del administrador del servidor y revise los mensajes.
Puede cerrar esta consola sin terminar la tarea.
Ver eventos relacionados con el rol

1. Haga clic en el nodo Panel de control.
2. En el panel Roles y grupos de servidores, en DNS , haga clic en Eventos .
3. En DNS - Vista de detalles de eventos , cambie el período de tiempo a 12 horas y las Fuentes de eventos a
Todo .
Ejecute el Analizador de mejores prácticas para un rol

1. En DNS , haga clic en Resultados de BPA .
2. Seleccione Todo en el menú desplegable Niveles de gravedad y luego haga clic en Aceptar .
Enumere las herramientas disponibles en el Administrador del servidor

• Haga clic en el menú Herramientas y revise las herramientas que están instaladas en LON-DC1 .
Cerrar la sesión del usuario que ha iniciado sesión actualmente

1. Cierre sesión en LON-DC1.
2. Vuelva a iniciar sesión en LON-DC1 con la cuenta Adatum \ Administrator y la contraseña Pa $$ w0rd .
Reinicie Windows Server 2012

• En una ventana de Windows PowerShell, escriba el siguiente comando y luego presione Entrar:
Apagado / r / t 5
Página 62
Configuración de servicios
Los servicios son programas que se ejecutan en segundo plano.

y brindar servicios a los clientes y al anfitrión
servidor. Puede administrar los servicios a través del
Consola de servicios, que está disponible en Server
Manager en el menú Herramientas. Cuando asegures
una computadora, debe desactivar todos los servicios excepto
aquellos que son requeridos por los roles, características y
17/11/2020 20410D
aplicaciones que están instaladas en el servidor.
Tipos de inicio
Los servicios utilizan uno de los siguientes tipos de inicio:
• Automático. El servicio se inicia automáticamente

cuando el servidor arranca.
• Automático (inicio retrasado). El servicio se inicia automáticamente después de que se haya iniciado el servidor.
• Manual. El servicio debe iniciarse manualmente, ya sea por un programa o por un administrador.
• Discapacitado. El servicio está deshabilitado y no se puede iniciar.
Nota: Si un servidor se comporta de manera problemática, abra la consola de Servicios, ordene por inicio
escriba, y luego busque los servicios que están configurados para iniciarse automáticamente y que no
en un estado de funcionamiento.
Recuperación del servicio

Las opciones de recuperación determinan lo que hace un servicio en caso de que falle. Accede a la pestaña Recuperación
desde la ventana Propiedades del servidor DNS. En la pestaña Recuperación, tiene las siguientes opciones de recuperación:
• No tomar ninguna medida. El servicio permanece en estado fallido hasta que un administrador lo atiende.
• Reinicie el servicio. El servicio se reinicia automáticamente.
• Ejecutar un programa. Le permite ejecutar un programa o un script.
• Reinicia la computadora. La computadora se reinicia después de un número preconfigurado de minutos.
Puede configurar diferentes opciones de recuperación para la primera falla, la segunda falla y las siguientes
fracasos. También puede configurar un período de tiempo después del cual se reinicia el reloj de falla del servicio.
Cuentas de servicio administradas

Las cuentas de servicio administradas son cuentas especiales basadas en dominios que puede usar con los servicios. los
La ventaja de una cuenta de servicio administrada es que la contraseña de la cuenta se rota automáticamente según
a un horario. Estos cambios de contraseña son automáticos y no requieren la intervención del administrador.
lo que minimiza la posibilidad de que la contraseña de la cuenta de servicio se vea comprometida. Esto pasa
típicamente porque los administradores tradicionalmente asignan contraseñas simples a las cuentas de servicio con el mismo
servicio en una gran cantidad de servidores y nunca se moleste en actualizar esas contraseñas. Cuentas virtuales
son cuentas de servicios específicos que son locales en lugar de estar basadas en dominios. Windows Server 2012 gira y
administra la contraseña de las cuentas virtuales.
Pregunta: ¿Cuál es la ventaja de una cuenta de servicio administrada en comparación con una
cuenta de servicio basada en dominio?
Página 63
Configuración de la administración remota de Windows
La mayoría de los administradores ya no realizan sistemas

tareas de administración únicamente desde la sala de servidores.
Casi todas las tareas que realizan a diario
ahora se realizan mediante gestión remota
tecnologías.
Con administración remota de Windows (WinRM),

puede usar Shell remoto, Windows remoto
PowerShell y otras herramientas de administración remota
para administrar una computadora de forma remota.
La gestión remota está habilitada de forma predeterminada en

Windows Server 2012. Si está desactivado, puede
habilite WinRM desde el Administrador del servidor
realizando el siguiente procedimiento:
17/11/2020 20410D
1. En la consola del Administrador del servidor, haga clic en el nodo Servidor local .
2. En el cuadro de diálogo Propiedades del servidor local, junto a Administración remota, haga clic en Deshabilitado . Esta
abre el cuadro de diálogo Configurar administración remota .
3. En el cuadro de diálogo Configurar administración remota , seleccione Habilitar administración remota de este
servidor de otros equipos y, a continuación, haga clic en Aceptar .
También puede habilitar WinRM desde una línea de comando ejecutando el comando WinRM qc . Usted inhabilita
WinRM utilizando el mismo método que utiliza para habilitarlo. Puede deshabilitar WinRM en una computadora
ejecutando la opción de instalación Server Core usando la herramienta sconfig.cmd.
Escritorio remoto
Escritorio remoto es el método tradicional mediante el cual los administradores de sistemas se conectan de forma remota al
servidores que administran. Puede configurar Escritorio remoto en una computadora que esté ejecutando el
versión de Windows Server 2012 mediante el siguiente procedimiento:
1. En la consola del Administrador del servidor, haga clic en el nodo Servidor local .
2. Junto a Escritorio remoto, haga clic en Desactivado .
3. En el cuadro de diálogo Propiedades del sistema , en la pestaña Remoto , seleccione una de las siguientes opciones:
o No permita conexiones a esta computadora . El estado predeterminado del escritorio remoto está desactivado.
o Permitir conexiones desde computadoras que ejecutan cualquier versión de Escritorio remoto . Permite
conexiones de clientes de Escritorio remoto que no admiten la autenticación de nivel de red.
o Permitir conexiones solo desde computadoras que ejecutan Escritorio remoto con nivel de red
Autenticación . Permite conexiones seguras desde computadoras que ejecutan clientes de escritorio remoto que
Admite autenticación a nivel de red.
Puede habilitar y deshabilitar el escritorio remoto en equipos que ejecutan la instalación de Server Core
opción utilizando la herramienta de línea de comandos sconfig.cmd .
Gestión de equipos no unidos a un dominio

Muchos usuarios desean utilizar sus propios dispositivos móviles, como teléfonos inteligentes y tabletas, para acceder
aplicaciones y datos. Administrar estos dispositivos es difícil cuando no pertenecen al dominio. El dominio
El administrador tiene poco o ningún control sobre cómo se usa el dispositivo fuera de las instalaciones.
También puede haber espacios de equipos de grupo de trabajo en su entorno. En este caso, puede utilizar local
políticas de grupo para administrar estos sistemas y utilizar tecnologías de Escritorio remoto para administrarlos.
Página 64
Demostración: Realización de la gestión remota
En esta demostración, verá cómo usar el Administrador del servidor para administrar un servidor remoto, cómo agregar
la función del servidor DNS en un servidor remoto, y cómo conectarse y configurar el servidor remoto utilizando
RDP.
Utilice el Administrador del servidor para administrar un servidor remoto

1. Inicie sesión en LON-DC1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, haga clic en Agregar otros servidores para administrar .
3. Agregue LON-SVR1.
Agregar la función del servidor DNS en un servidor remoto

• Utilice el Asistente para agregar funciones y funciones para agregar la función del servidor DNS a LON-SVR1.
Conéctese y configure un servidor remoto mediante RDP

1. Inicie sesión en LON-SVR1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, abra las propiedades del servidor local y luego habilite Escritorio remoto.
3. En LON-DC1, vaya a la pantalla de Inicio.
4. Escriba Remoto y luego abra Conexión a Escritorio remoto .
17/11/2020 20410D
5. Conéctese a LON-SVR1 como Adatum \ Administrator .
6. Después de conectarse correctamente, cierre la sesión de LON-SVR1.
Página 65
Lección 5
Introducción a Windows PowerShell
Windows PowerShell es una interfaz de línea de comandos y una tecnología de scripting basada en tareas que está integrada en
el sistema operativo Windows Server 2012. Windows PowerShell simplifica la automatización de los
tareas de administración de sistemas. Con Windows PowerShell, puede automatizar tareas, dejándole más tiempo
para tareas de administración de sistemas más difíciles.
En esta lección, aprenderá sobre Windows PowerShell y por qué Windows PowerShell es una pieza fundamental de
un juego de herramientas del administrador del servidor.
Esta lección describe cómo usar las características de descubrimiento integradas de Windows PowerShell para aprender a
use cmdlets específicos y para buscar cmdlets relacionados. Esta lección también analiza cómo aprovechar Windows
Entorno de scripting integrado (ISE) de PowerShell para ayudarlo a crear Windows PowerShell efectivo
guiones.
• Describir el propósito de Windows PowerShell.
• Describir la sintaxis del cmdlet de Windows PowerShell y explicar cómo determinar los comandos asociados
con un cmdlet en particular.
• Describir los cmdlets comunes de Windows PowerShell que se usan para administrar servicios, procesos, roles y
caracteristicas.
• Describir la funcionalidad de Windows PowerShell ISE.
• Explicar cómo utilizar Windows PowerShell.
• Explicar cómo utilizar Windows PowerShell ISE.
17/11/2020 20410D
¿Qué es Windows PowerShell?
Windows PowerShell es un lenguaje de secuencias de comandos y

interfaz de línea de comandos diseñada para ayudar
usted en el desempeño administrativo del día a día
Tareas. Windows PowerShell constituye cmdlets
que ejecuta en Windows PowerShell
símbolo del sistema, o combinar en Windows
Scripts de PowerShell. A diferencia de otras secuencias de comandos
lenguajes que fueron diseñados inicialmente para otro
propósito, pero se han adaptado para el sistema
tareas de administración, Windows PowerShell es
diseñado con tareas de administración del sistema en
mente.
Un número cada vez mayor de productos de Microsoft, como Exchange Server 2010, tienen interfaces gráficas
que crean comandos de Windows PowerShell. Estos productos le permiten ver las ventanas generadas
Script de PowerShell para que pueda ejecutar la tarea en un momento posterior sin tener que completar todos los
Pasos de la GUI. La capacidad de automatizar tareas complejas simplifica el trabajo del administrador del servidor y ahorra tiempo.
Página 66
Puede ampliar la funcionalidad de Windows PowerShell agregando módulos. Por ejemplo, Active Directory
módulo incluye cmdlets de Windows PowerShell que son específicamente útiles para ejecutar Active Directory-
tareas de gestión relacionadas. El módulo de servidor DNS incluye cmdlets de Windows PowerShell que son
especialmente útil para realizar tareas de administración relacionadas con el servidor DNS. Windows PowerShell incluye
características como la finalización de pestañas, que permite a los administradores completar comandos presionando la pestaña
en lugar de escribir el comando completo. Puede aprender sobre la funcionalidad de cualquier Windows
Cmdlet de PowerShell mediante el cmdlet Get-Help .
Nota: Windows PowerShell versión 4.0 se envía con Windows Server 2012 R2 y está al revés
compatible con versiones anteriores de Windows PowerShell.
Sintaxis de cmdlet de Windows PowerShell
Los cmdlets de Windows PowerShell usan un verbo-sustantivo

sintaxis. Cada sustantivo tiene una colección de asociados
verbos. Los verbos disponibles difieren con cada cmdlet
sustantivo.
Verbos comunes de cmdlet de Windows PowerShell

incluir:
• Obtener
• Nuevo
• Establecer
• Reiniciar
• Currículum
• Detener
• Suspender
• Claro
• Límite
• Eliminar
• Agregar
17/11/2020 20410D
• Mostrar
• Escribir
Puede ver los verbos disponibles para un sustantivo de Windows PowerShell en particular ejecutando lo siguiente
mando:
Get-Command -Noun NounName
Puede ver los sustantivos de Windows PowerShell disponibles para un verbo específico ejecutando lo siguiente
mando:
Get-Command -Verb Nombre del verbo
Página 67
Los parámetros de Windows PowerShell comienzan con un guión. Cada cmdlet de Windows PowerShell tiene su propio
conjunto asociado de parámetros. Puede determinar los parámetros para un Windows PowerShell en particular
cmdlet ejecutando el siguiente comando:
Get-Help CmdletName
Puede determinar qué cmdlets de Windows PowerShell están disponibles ejecutando Get-Command
cmdlet. Los cmdlets de Windows PowerShell que están disponibles dependen de los módulos que estén cargados. usted
puede cargar un módulo mediante el cmdlet Import-Module .
Cmdlets comunes para la administración de servidores
Como administrador del servidor, hay ciertas

cmdlets que es más probable que utilice que
otros. Estos cmdlets se relacionan principalmente con servicios,
registros de eventos, procesos y ServerManager
módulo que se ejecuta en el servidor.
Cmdlets de servicio
Puede usar el siguiente Windows PowerShell
cmdlets para administrar servicios en una computadora que es
ejecutando Windows Server 2012:
• Obtener servicio . Ver las propiedades de un servicio.
• Nuevo servicio . Crea un nuevo servicio.
• Reiniciar-Servicio . Reinicia un servicio existente.
• Servicio de reanudación . Reanuda un servicio suspendido.
• Set-Service . Configura las propiedades de un servicio.
• Inicio-Servicio . Inicia un servicio detenido.
• Stop-Service . Detiene un servicio en ejecución.
• Suspender-Servicio . Suspende un servicio.
Cmdlets de registro de eventos

Puede usar los siguientes cmdlets de Windows PowerShell para administrar registros de eventos en un equipo que
• Get-EventLog . Muestra eventos en el registro de eventos especificado.
• Clear-EventLog . Elimina todas las entradas del registro de eventos especificado.
• Limit-EventLog . Establece límites de tamaño y antigüedad del registro de eventos.
• New-EventLog . Crea un nuevo registro de eventos y una nueva fuente de eventos en una computadora con Windows
17/11/2020 20410D
Servidor 2012.
• Remove-EventLog . Elimina un registro de eventos personalizado y anula el registro de todos los orígenes de eventos del registro.
• Show-EventLog . Muestra los registros de eventos de una computadora.
• Write-EventLog . Le permite escribir eventos en un registro de eventos.
Página 68
Cmdlets de proceso
Puede usar los siguientes cmdlets de Windows PowerShell para administrar procesos en un equipo que
• Obtener-Proceso . Proporciona información sobre un proceso.
• Proceso de inicio . Inicia un proceso.
• Detener el proceso . Detiene un proceso.
• Proceso de espera . Espera a que el proceso se detenga antes de aceptar la entrada.
• Proceso de depuración . Adjunta un depurador a uno o más procesos en ejecución.
Módulo ServerManager
El módulo ServerManager le permite agregar uno de los tres cmdlets que son útiles para administrar funciones
y roles. Estos cmdlets son:
• Get-WindowsFeature . Ver una lista de funciones y funciones disponibles. También muestra si la función está
instalado y si la función está disponible. Solo puede instalar una función no disponible si tiene
acceso a una fuente de instalación.
• Install-WindowsFeature . Instala una función o función de Windows Server en particular. los

El cmdlet Add-WindowsFeature tiene un alias para este comando y está disponible en versiones anteriores de
Sistemas operativos Windows.
• Remove-WindowsFeature . Elimina una función o función de Windows Server en particular.
Administración remota de Windows PowerShell

Puede usar Windows PowerShell para ejecutar cmdlets de forma remota en otros sistemas Windows, lo que se denomina
remoto . La comunicación remota de Windows PowerShell depende del servicio WinRM que se ejecuta en los sistemas de destino.
Este servicio se puede habilitar manualmente o ejecutando el cmdlet Enable-PSRemoting en el destino.
La forma más sencilla de utilizar la comunicación remota es la comunicación remota uno a uno, que le permite abrir un
Sesión de Windows PowerShell en el sistema remoto. Una vez conectado, el indicador de Windows PowerShell
muestra el nombre de la computadora remota.
Para iniciar o finalizar una sesión remota, use el siguiente cmdlet:
Enter-PSSession –computername < nombre de la computadora a la que conectarse >

Salir-PSSession
También puede usar el cmdlet Invoke-command para ejecutar comandos en varios equipos remotos. Especificar
otras computadoras mediante el parámetro ComputerName y especifique los comandos que se ejecutarán configurando el
Parámetro ScriptBlock .
Para usar los cmdlets invoke-command para obtener el estado del servicio de varios equipos, primero habilite
WinRM en los destinos y luego use el siguiente cmdlet:
Invoke-command –computername Lon-Srv1, Lon-Srv2 –scriptblock {get-service}
Demostración: uso de Windows PowerShell
En esta demostración, verá cómo usar Windows PowerShell para mostrar los servicios en ejecución y
procesos en un servidor y un servidor remoto. También verá cómo conectarse a una computadora remota y
mostrar todos los servicios y cómo invocar comandos a varios equipos para mostrar los procesos en ejecución.
17/11/2020 20410D
Página 69
Use Windows PowerShell para mostrar los servicios y procesos en ejecución en un servidor
1. En LON-DC1, abra una sesión de Windows PowerShell.
2. Ejecute los siguientes comandos y luego presione Entrar:
Obtener servicio | where-object {$ _. status -eq "Running"}
Get-Command-Sustantivo Servicio
Obtener-proceso
Proceso de obtención de ayuda
Obtener ayuda - Proceso de inicio completo
3. Cierre la ventana de Windows PowerShell.
4. En la barra de tareas, haga clic con el botón derecho en el icono de Windows PowerShell y luego haga clic en Ejecutar como administrador .
Use Windows PowerShell para conectarse a una computadora remota y mostrar todos los servicios
y su estado actual
1. En LON-SVR1, abra una sesión de Windows PowerShell.
Habilitar PSRemoting
3. Acepte todas las indicaciones predeterminadas.
4. En LON-DC1, abra una sesión de Windows PowerShell.
5. Ejecute los siguientes comandos:
Enter-PSSession –Computername LON-SVR1
Obtener servicio
Salir-PSSession
Use Windows PowerShell para invocar comandos a varios equipos y mostrar

Procesos corriendo
1. En LON-DC1, ejecute el siguiente comando:
Invoke-Command –computername LON-DC1, LON-SVR1 –Scriptblock {Get-Process}
2. Examine la salida y luego cierre la ventana de Windows PowerShell .
Página 70
17/11/2020 20410D
¿Qué es Windows PowerShell ISE?
Windows PowerShell ISE es una secuencia de comandos integrada

entorno que te ayuda cuando usas
Windows PowerShell. Proporciona comando
funcionalidad de finalización y le permite ver
todos los comandos disponibles y los parámetros que
puede utilizar con esos comandos.
Windows PowerShell ISE simplifica el proceso de

usando Windows PowerShell porque puede
ejecutar cmdlets desde el ISE. También puede utilizar un
ventana de secuencias de comandos dentro de Windows PowerShell ISE
para construir y guardar scripts de Windows PowerShell.
La capacidad de ver los parámetros del cmdlet garantiza que
conoce la funcionalidad completa de cada cmdlet y puede crear Windows sintácticamente correcto
Comandos de PowerShell.
Windows PowerShell ISE proporciona cmdlets codificados por colores para ayudar con la solución de problemas. El ISE también
proporciona herramientas de depuración que puede utilizar para depurar scripts de Windows PowerShell simples y complejos.
Puede usar el entorno ISE de Windows PowerShell para ver los cmdlets disponibles por módulo. Entonces puedes
Determine qué módulo de Windows PowerShell necesita cargar para acceder a un cmdlet en particular.
Demostración: uso de Windows PowerShell ISE
En esta demostración, verá cómo realizar las siguientes tareas:
• Utilice Windows PowerShell ISE para importar el módulo ServerManager.
• Ver los cmdlets disponibles en el módulo ServerManager.
• Utilice el cmdlet Get-WindowsFeature de Windows PowerShell ISE.
• Ver y ejecutar un script de Windows PowerShell.
Utilice Windows PowerShell ISE para importar el módulo ServerManager

1. Asegúrese de haber iniciado sesión en LON-DC1 como administrador.
2. En el Administrador del servidor, haga clic en Herramientas y luego en Windows PowerShell ISE .
3. En el símbolo del sistema, escriba Import-Module ServerManager .
Ver los cmdlets disponibles en el módulo ServerManager

• En el panel Comandos, use el menú desplegable Módulos para seleccionar el módulo ServerManager .
Utilice el cmdlet Get-WindowsFeature de Windows PowerShell ISE

1. Haga clic en Get-WindowsFeature y luego en Mostrar detalles .
2. En el campo ComputerName , escriba LON-DC1 y luego haga clic en Ejecutar .
Página 71
Ejecute una secuencia de comandos de Windows PowerShell desde el panel de secuencias de comandos para crear un grupo universal
llamado Helpdesk y agregar miembros
1. En el Administrador del servidor, haga clic en Herramientas y luego abra Usuarios y equipos de Active Directory .
2. Abra la unidad organizativa de TI (OU). Tenga en cuenta que no hay ningún grupo llamado Helpdesk.
17/11/2020 20410D
3. Utilice el Explorador de archivos para ir a E: \ Labfiles \ Mod01 y luego edite CreateAndPopulateHelpdesk.ps1

guión.
4. Vea la secuencia de comandos y luego haga clic en la flecha verde en la barra de herramientas para ejecutar la secuencia de comandos.
5. Vuelva a Usuarios y equipos de Active Directory y luego actualice la vista.
Ahora debería ver que hay un grupo llamado Helpdesk.
6. Abra las propiedades del grupo Helpdesk y compruebe que el grupo está poblado por los miembros de
el departamento de TI.
Configuración del estado deseado de Windows PowerShell
Configuración del estado deseado de Windows PowerShell

(DSC) es una nueva plataforma de gestión en Windows
PowerShell que le permite implementar y
administrar configuraciones para servicios de software, y
gestionar el entorno en el que estos servicios
correr. Estas extensiones de Windows PowerShell son
disponible de forma nativa solo en Windows Server 2012 R2
y Windows 8.1.
Nota: en computadoras con Windows

Server 2008 R2 y posteriores, y Windows 7 y
más reciente, el marco de administración de Windows
(WMF) 4.0 debe instalarse para que DSC pueda enviarse desde un servidor central o extraerse de un
servicio web central.
DSC utiliza proveedores WMI para implementar configuraciones. DSC viene con 12 proveedores WMI que permiten
configuración de roles y características, administración de servicios y más. También puede crear proveedores personalizados.
DSC se puede implementar en dos modelos diferentes: Push o Pull. Hay tres fases principales para
implementando DSC:
1. La fase de creación
2. La fase de preparación (si se implementa un modelo Pull)
3. La fase de implementación
Página 72
Estas tres fases principales se describen en la siguiente tabla.
Fase Descripción
Fase de autoría El DSC se crea mediante Windows PowerShell o mediante el uso de

herramientas. Los comandos de Windows PowerShell se utilizan para crear uno o más
Archivos de formato de objeto de administración (MOF) que describen la configuración
ajustes.
Fase de estadificación En un modelo Pull, los datos de DSC y cualquier proveedor personalizado se mantienen en el Pull
servidor, que es un servidor IIS. El sistema de destino contacta con el servidor Pull por
pasar un identificador uniforme de recursos (URI) junto con un identificador único para
extraiga su configuración DSC y verifique si los proveedores necesarios están disponibles. Si
17/11/2020 20410D
no están disponibles, esos proveedores se descargan al destino
computadora.
En un modelo Push, debe asegurarse de que los proveedores necesarios ya estén
en su lugar en la computadora de destino porque solo los ajustes de configuración son
empujado.
Fase de implementación La fase final es la aplicación de la configuración. Una vez que los datos DSC se
ya sea empujado o tirado al Almacén de configuración local del servidor de destino, el
luego se analiza la configuración y el proveedor WMI apropiado implementa
la configuración.
DSC se puede utilizar para realizar muchas funciones diferentes, que incluyen:
• Instalar o eliminar funciones y funciones del servidor.
• Administrar la configuración del registro.
• Administrar archivos y directorios.
• Iniciar, detener y administrar procesos y servicios.
• Gestionar grupos locales y cuentas de usuario.
• Instalar y administrar paquetes como .msi y .exe.
• Gestionar variables de entorno.
• Ejecute scripts de Windows PowerShell.
• Corrija una configuración que se haya alejado del estado deseado.
• Descubrir el estado de configuración real en un nodo dado.
Página 73
Laboratorio: Implementación y administración de Windows Server 2012

Guión
A. Datum Corporation es una empresa global de ingeniería y fabricación con una oficina central basada en
Londres, Inglaterra. A. Datum ha implementado recientemente una infraestructura de Windows Server 2012 con
Clientes de Windows 8.1.
Ha trabajado para A. Datum durante varios años como especialista en soporte de escritorio y recientemente
aceptó un ascenso al equipo de soporte del servidor.
El departamento de marketing ha comprado una nueva aplicación basada en web. Necesitas instalar y configurar
los servidores en el centro de datos para esta aplicación. Un servidor tiene una interfaz GUI y el otro servidor
configurado como Server Core.
Objetivos
Después de completar esta práctica de laboratorio, debería poder:
• Implementar Windows Server 2012.
• Configurar Windows Server 2012 Server Core.
17/11/2020 20410D
• Gestionar servidores mediante el Administrador de servidores.
• Administrar servidores con Windows PowerShell.
Configuración de laboratorio
Tiempo estimado: 75 minutos
Maquinas virtuales 20410D-LON-DC1

20410D ‑ LON ‑ SVR3
20410D-LON-CORE
Nombre de usuario Adatum \ Administrador
Contraseña Pa $$ w0rd
Para esta práctica de laboratorio, utilizará el entorno de máquina virtual disponible. Antes de comenzar el laboratorio, debe
complete los siguientes pasos:
1. En la computadora host, inicie Hyper-V Manager .
2. En Hyper-V Manager, haga clic en 20410D-LON-DC1 y, en el panel Acciones, haga clic en Iniciar .
3. En el panel Acciones, haga clic en Conectar . Espere hasta que se inicie la máquina virtual.
4. Inicie sesión con las siguientes credenciales:
• Nombre de usuario: Adatum \ Administrator
• Contraseña: Pa $$ w0rd
5. Repita los pasos 2 a 4 para 20410D-LON-CORE . No inicie sesión hasta que se le indique.
Página 74
Ejercicio 1: implementación de Windows Server 2012

Guión
El primer servidor de Windows Server 2012 que está instalando para el departamento de marketing alojará un servidor SQL.
Instancia del motor de base de datos del servidor 2012. Desea configurar el servidor para que tenga la GUI completa, como
Esto permitirá que el proveedor de la aplicación ejecute herramientas de soporte directamente en el servidor, en lugar de requerir un
conección remota.
El primer servidor que instalará para la nueva aplicación de marketing es para una base de datos SQL Server 2012. Este servidor
tener la GUI completa para permitir que el proveedor de la aplicación ejecute herramientas de soporte directamente en el servidor.
Las principales tareas de este ejercicio son las siguientes:
1. Instale el servidor Windows Server 2012 R2.
2. Cambie el nombre del servidor.
3. Cambie la fecha y la hora.
4. Configure la red.
5. Agregue el servidor al dominio.
▶ Tarea 1: Instale el servidor Windows Server 2012 R2

1. En la consola del Administrador de Hyper-V, abra la configuración de 20410D-LON-SVR3.
2. Configure la unidad de DVD para usar el archivo de imagen de Windows Server 2012 R2 llamado
Windows2012R2RTM.iso . Este archivo se encuentra en D: \ Archivos de programa \ Microsoft Learning
\ 20410 \ Drives .
3. Inicie 20410D-LON-SVR3 . En el Asistente de configuración de Windows, en la página de Windows Server 2012 R2 ,
17/11/2020 20410D
Verifique la siguiente configuración, haga clic en Siguiente y luego en Instalar ahora :
o Idioma para instalar: inglés (Estados Unidos)
o Formato de hora y moneda: inglés (Estados Unidos)
o Teclado o método de entrada: EE . UU.
4. Haga clic para instalar Windows Server Windows Server 2012 R2 Datacenter Evaluation (servidor con
una GUI) sistema operativo.
5. Acepte los términos de la licencia, haga clic en Siguiente y luego en Personalizado: instalar solo Windows (avanzado) .
6. Instale Windows Server 2012 en la unidad 0 .
Nota: Dependiendo de la velocidad del equipo, la instalación tarda aproximadamente 20

minutos. La máquina virtual se reiniciará varias veces durante este proceso.
7. Ingrese la contraseña Pa $$ w0rd en los cuadros Contraseña y Volver a ingresar contraseña , y luego haga clic en
Termine para completar la instalación.
▶ Tarea 2: cambiar el nombre del servidor

1. Inicie sesión en LON-SVR3 como administrador con la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, en el nodo Servidor local, haga clic en el nombre generado aleatoriamente junto a Equipo.
nombre .
4. En el cuadro Nombre de la computadora , escriba LON-SVR3 y luego haga clic en Aceptar .
Página 75
5. Vuelva a hacer clic en Aceptar y luego en Cerrar .
6. Reinicie la computadora.
▶ Tarea 3: cambiar la fecha y la hora

1. Inicie sesión en el servidor LON-SVR3 como administrador con la contraseña Pa $$ w0rd .
2. En la barra de tareas, haga clic en la visualización de la hora y luego haga clic en Cambiar la configuración de fecha y hora .
3. Haga clic en Cambiar zona horaria y establezca la zona horaria en su zona horaria actual.
4. Haga clic en Cambiar fecha y hora y verifique que la fecha y hora que se muestran en Fecha y hora
El cuadro de diálogo de configuración coincide con el de su aula.
5. Cierre el cuadro de diálogo Fecha y hora.
▶ Tarea 4: Configurar la red

1. En LON-SVR3, haga clic en Servidor local .
2. Junto a Ethernet, haga clic en la dirección IPv4 asignada por DHCP, IPv6 habilitado .
3. En el cuadro de diálogo Conexiones de red , haga clic con el botón derecho en Ethernet y luego haga clic en Propiedades .
4. Haga clic en Protocolo de Internet versión 4 (TCP / IPv4) y luego en Propiedades .
5. Ingrese la siguiente información de dirección IP y luego haga clic en Aceptar :
o Dirección IP: 172.16.0.101
o Máscara de subred: 255.255.0.0
o Puerta de enlace predeterminada: 172.16.0.1
o Servidor DNS preferido: 172.16.0.10
6. Cierre todos los cuadros de diálogo.
▶ Tarea 5: Agregar el servidor al dominio

1. En LON-SVR3, en la consola del Administrador del servidor, haga clic en Servidor local .
2. Junto a Grupo de trabajo, haga clic en GRUPO DE TRABAJO .
17/11/2020 20410D
3. En la pestaña Nombre del equipo , haga clic en Cambiar .
4. Haga clic en la opción Dominio y, en el cuadro Dominio , ingrese adatum.com y luego haga clic en Aceptar .
5. Ingrese los siguientes detalles de la cuenta:
o Nombre de usuario: Administrador
o Contraseña: Pa $$ w0rd
6. En el cuadro de diálogo Cambios de dominio / nombre de equipo , haga clic en Aceptar .
7. Reinicie la computadora para aplicar los cambios.
8. En el cuadro de diálogo Propiedades del sistema , haga clic en Cerrar .
9. Después de reiniciar LON-SVR3, inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
Resultados : después de completar este ejercicio, debería haber implementado Windows Server 2012 en LON-SVR3.
También debe haber configurado LON-SVR3, incluido el cambio de nombre, la fecha y la hora, y la red.
Página 76
Ejercicio 2: configuración de Windows Server 2012 Server Core

Guión
El nivel basado en web de la aplicación de marketing es una aplicación .NET. Para minimizar el sistema operativo
espacio y reducir la necesidad de aplicar actualizaciones de software, ha elegido alojar el componente IIS en
una computadora que ejecuta la opción de instalación Server Core del sistema operativo Windows Server 2012
sistema.
Para habilitar esto, debe configurar una computadora que ejecute Windows Server 2012 con el servidor
Opción de instalación principal.
1. Configure el nombre de la computadora.
2. Cambie la fecha y la hora de la computadora.
3. Configure la red.
4. Agregue el servidor al dominio.
▶ Tarea 1: Establecer el nombre de la computadora

1. Inicie sesión en LON-CORE como administrador con la contraseña Pa $$ w0rd .
2. En LON-CORE, escriba sconfig.cmd .
3. Haga clic en la opción 2 para seleccionar Nombre del equipo .
4. Configure el nombre de la computadora como LON-CORE .
5. En el cuadro de diálogo Reiniciar , haga clic en Sí para reiniciar la computadora.
6. Una vez reiniciada la computadora, inicie sesión en el servidor LON-CORE con la cuenta de administrador con el
contraseña Pa $$ w0rd .
7. En el símbolo del sistema, escriba hostname y luego presione Enter para verificar el nombre de la computadora.
▶ Tarea 2: cambiar la fecha y la hora de la computadora

1. Asegúrese de haber iniciado sesión en el servidor LON-CORE como administrador con la contraseña Pa $$ w0rd .
2. En el símbolo del sistema, escriba sconfig.cmd .
3. Para seleccionar Fecha y hora , escriba 9 .
4. Haga clic en Cambiar zona horaria y luego establezca la zona horaria en la misma zona horaria que usa su salón de clases.
5. En el cuadro de diálogo Fecha y hora , haga clic en Cambiar fecha y hora y verifique que la fecha y la hora
coincidir con los de su ubicación.
17/11/2020 20410D
6. Salga de sconfig.cmd.
▶ Tarea 3: Configurar la red

1. Asegúrese de haber iniciado sesión en el servidor LON-CORE con el Administrador de cuenta y el
2. En el símbolo del sistema, escriba sconfig.cmd y luego presione Entrar.
3. Para configurar los ajustes de red, escriba 8 .
4. Escriba el número del adaptador de red que desea configurar.
5. Escriba 1 para configurar la dirección del adaptador de red.
6. Haga clic en configuración de dirección IP estática y luego ingrese la dirección 172.16.0.111 .
Página 77
7. En el mensaje Ingresar máscara de subred, escriba 255.255.0.0 .
8. En el mensaje Ingresar puerta de enlace predeterminada, escriba 172.16.0.1 .
9. Escriba 2 para configurar la dirección del servidor DNS.
10. Configure el servidor DNS preferido en 172.16.0.10 .
11. No configure una dirección de servidor DNS alternativa.
12. Salga de sconfig.cmd.
13. Verifique la conectividad de la red a lon-dc1.adatum.com utilizando la herramienta PING.
▶ Tarea 4: Agregar el servidor al dominio

1. Asegúrese de haber iniciado sesión en el servidor LON-CORE utilizando el Administrador de cuenta con el
2. En el símbolo del sistema, escriba sconfig.cmd y luego presione Entrar.
3. Escriba 1 para cambiar y configurar Dominio / Grupo de trabajo .
4. Escriba D para unirse a un dominio.
5. En el mensaje Nombre del dominio para unirse , escriba adatum.com .
6. En el indicador Especificar un dominio \ usuario autorizado , escriba Adatum \ Administrador .
7. En el mensaje Escriba la contraseña asociada con el usuario del dominio , escriba Pa $$ w0rd .
8. En el indicador, haga clic en No .
9. Reinicie el servidor.
10. Inicie sesión en el servidor LON-CORE con la cuenta Adatum \ Administrator usando la contraseña
Pa $$ w0rd .
Resultados : después de completar este ejercicio, debería haber configurado Windows Server 2012 Server Core
implementación y verificó el nombre del servidor.
Ejercicio 3: administración de servidores

Guión
Después de implementar los servidores LON-SVR3 y LON-CORE para alojar la aplicación de marketing, debe
instale funciones y funciones de servidor adecuadas para admitir la aplicación. Con esto en mente, instalará
la función de copia de seguridad de Windows Server en LON-SVR3 y LON-CORE. Instalarás el servidor web
papel en LON-CORE.
También debe configurar el servicio de publicación World Wide Web en LON-CORE.
1. Cree un grupo de servidores.
17/11/2020 20410D
2. Implemente funciones y roles en ambos servidores.
3. Revise los servicios y cambie la configuración de un servicio.
Página 78
▶ Tarea 1: crear un grupo de servidores

1. Inicie sesión en LON-DC1 con la cuenta de administrador y la contraseña Pa $$ w0rd .
2. En la consola del Administrador del servidor, haga clic en Panel de control y luego en Crear un grupo de servidores .
3. Haga clic en la pestaña Active Directory y luego en Buscar ahora .
4. En el cuadro Nombre del grupo de servidores , escriba LAB-1 .
5. Agregue LON-CORE y LON-SVR3 al grupo de servidores.
6. Haga clic en LAB-1 . Seleccione tanto LON-CORE como LON-SVR3 .
7. Desplácese hacia abajo y, en la sección Rendimiento , seleccione LON-CORE y LON-SVR3 .
8. Haga clic con el botón derecho en LON-CORE y luego haga clic en Iniciar contadores de rendimiento .
▶ Tarea 2: Implementar funciones y roles en ambos servidores

1. En el Administrador del servidor en LON-DC1, haga clic en el grupo de servidores LAB-1 , haga clic con el botón derecho en LON-CORE y luego haga clic en
Agregue funciones y funciones .
2. En el Asistente para agregar funciones y funciones, haga clic en Siguiente , haga clic en Instalación basada en funciones o función ,
y luego haga clic en Siguiente .
3. Verifique que LON-CORE.Adatum.com esté seleccionado y luego haga clic en Siguiente .
4. Seleccione la función del servidor Web Server (IIS) .
5. Seleccione la función Copia de seguridad de Windows Server .
6. Agregue el servicio de función de autenticación de Windows y luego haga clic en Siguiente .
7. Seleccione la casilla de verificación Reiniciar el servidor de destino automáticamente si es necesario y, a continuación, haga clic en
Instalar .
8. Haga clic en Cerrar .
9. Haga clic con el botón derecho en LON-SVR3 , haga clic en Agregar roles y características y luego haga clic en Siguiente .
10. En el Asistente para agregar funciones y funciones, haga clic en Instalación basada en funciones o funciones y luego
haga clic en Siguiente .
11. Verifique que LON-SVR3.Adatum.com esté seleccionado y luego haga clic en Siguiente dos veces.
12. Haga clic en Copia de seguridad de Windows Server y luego en Siguiente .
13. Seleccione la casilla de verificación Reiniciar el servidor de destino automáticamente si es necesario , haga clic en Instalar y
luego haga clic en Cerrar .
14. En el Administrador del servidor, haga clic en el nodo IIS y verifique que LON-CORE esté en la lista.
▶ Tarea 3: revisar los servicios y cambiar la configuración de un servicio

1. Inicie sesión en LON-CORE con la cuenta Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. En la ventana del símbolo del sistema, ejecute los siguientes comandos:
netsh.exe advfirewall firewall set rule group = "escritorio remoto" nueva habilitación = sí
netsh.exe advfirewall firewall set rule group = "administración remota del registro de eventos" nuevo
habilitar = sí
3. Inicie sesión en LON-DC1 con la cuenta Adatum \ Administrator .
4. En el Administrador del servidor, haga clic en LAB-1 , haga clic con el botón derecho en LON-CORE y luego haga clic en Administración de equipos .
17/11/2020 20410D
Página 79
5. Expanda Servicios y aplicaciones y luego haga clic en Servicios .
6. Verifique que el tipo de inicio del servicio de publicación World Wide Web esté establecido en Automático .
7. Verifique que el servicio esté configurado para usar la cuenta del sistema local .
8. Configure los siguientes ajustes de recuperación del servicio:
o Primer fallo: reiniciar el servicio
o Segundo fallo: reiniciar el servicio
o Fallos posteriores: reinicie la computadora .
o Restablecer el conteo de fallas después de: 1 día
o Restablecer el servicio después de: 1 minuto
9. Configure la opción Reiniciar computadora en 2 minutos y luego cierre la World Wide Web
Cuadro de diálogo Propiedades de servicios de publicación .
10. Cierre la consola de administración de equipos.
Resultados : Después de completar este ejercicio, debería haber creado un grupo de servidores, implementado roles y
características y configuró las propiedades de un servicio.
Ejercicio 4: uso de Windows PowerShell para administrar servidores

Guión
El proveedor de la aplicación de marketing ha indicado que la empresa puede proporcionar algunos sistemas de Windows PowerShell.
scripts para configurar el servidor web que aloja la aplicación. Necesitas verificar ese control remoto
la administración es funcional antes de ejecutar los scripts.
1. Utilice Windows PowerShell para conectarse de forma remota a los servidores y ver información.
2. Utilice Windows PowerShell para instalar nuevas funciones de forma remota.
▶ Tarea 1: use Windows PowerShell para conectarse de forma remota a los servidores y ver
información
1. Inicie sesión en LON-DC1 con la cuenta Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. En LON-DC1, en el Administrador del servidor, haga clic en el grupo de servidores LAB-1 .
3. Haga clic con el botón derecho en LON-CORE y luego haga clic en Windows PowerShell .
4. Escriba Import-Module ServerManager .
5. Escriba Get-WindowsFeature y revise las funciones y funciones.
6. Utilice el siguiente comando para revisar los servicios en ejecución en LON-CORE:
Obtener servicio | where-object {$ _. status -eq "Running"}
7. Escriba get-process para ver una lista de procesos en LON-CORE.
8. Revise las direcciones IP asignadas al servidor escribiendo el siguiente comando:
Get-NetIPAddress | Tabla de formato
Página 80
17/11/2020 20410D
9. Revise los 10 elementos más recientes en el registro de seguridad escribiendo el siguiente comando:
Get-EventLog Security -Newest 10
10. Cierre Windows PowerShell.
▶ Tarea 2: use Windows PowerShell para instalar de forma remota nuevas funciones
1. En LON-DC1, en la barra de tareas, haga clic en el icono de Windows PowerShell.
2. Escriba el siguiente comando para verificar que la función XPS Viewer no se haya instalado en
LON-SVR3:
Get-WindowsFeature -ComputerName LON-SVR3
3. Para implementar la función XPS Viewer en LON-SVR3, escriba el siguiente comando y luego presione Entrar:
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
4. Escriba el siguiente comando para verificar que la función XPS Viewer se haya implementado en LON-SVR3:
Get-WindowsFeature -ComputerName LON-SVR3
5. En la consola del Administrador del servidor, en el menú desplegable Herramientas , haga clic en Windows PowerShell ISE .
6. En el panel de secuencia de comandos Untitled1.ps1, escriba lo siguiente:
Administrador de servidores de módulo de importación
Install-WindowsFeature WINS -ComputerName LON-SVR3
Install-WindowsFeature WINS -ComputerName LON-CORE
7. Guarde la secuencia de comandos como InstallWins.ps1 en una nueva carpeta denominada Scripts .
8. Presione la tecla F5 para ejecutar InstallWins.ps1.
Resultados : después de completar este ejercicio, debería haber usado Windows PowerShell para realizar una
instalación de funciones en varios servidores.
Preguntas de revisión de laboratorio

Pregunta: ¿Qué rango de direcciones IP utilizan las computadoras en el laboratorio?
Pregunta: ¿Por qué debe configurar la dirección del servidor DNS antes de unirse al dominio?
Pregunta: Además de sconfig.cmd , ¿qué otra herramienta puede utilizar para cambiar el nombre de una computadora
el sistema operativo Server Core?
▶ Prepárese para el siguiente módulo

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial completando los siguientes pasos:
1. En la computadora host, cambie a la consola del Administrador de Hyper-V .
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-DC1 y luego haga clic en Revertir .
3. En el cuadro de diálogo Revertir máquina virtual , haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-CORE y 20410D-LON-SVR3 .
Página 81
Revisión del módulo y conclusiones

Preguntas de revisión
Pregunta: ¿Cuál es el beneficio de usar Windows PowerShell para automatizar tareas comunes?
Pregunta: ¿Cuáles son las ventajas de realizar una implementación de Server Core en comparación con
la implementación completa de la GUI?
17/11/2020 20410D
Pregunta: ¿Qué herramienta puede utilizar para determinar qué cmdlets están contenidos en una
Módulo de PowerShell?
Pregunta: ¿Qué función puede utilizar para administrar KMS?
Problemas habituales y consejos para la resolución de problemas
Problema común Sugerencia de solución de problemas
Las conexiones WinRM fallan.
Windows PowerShell
Los cmdlets no están disponibles.
No se puede instalar la GUI

características en Server Core
despliegues.
Necesitas una interfaz gráfica de usuario

método de interfaz para cerrar
apagar o reiniciar un
computadora que esta corriendo
Server Core.
No se puede unir al dominio.
Herramientas
Herramienta Utilizar Donde encontrarlo
Ventanas Realización de múltiples administrativos Barra de tareas

Potencia Shell y tareas de configuración
DISM.exe Gestión y mantenimiento de imágenes Comience desde un símbolo del sistema o desde un
Indicador de Windows PowerShell
RSAT Gestionar servidores de forma remota desde un Descarga desde la descarga de Microsoft
Sistema Windows 8.1 centrar e instalar
Servidor de windows Ayudar con la migración a Descarga desde la descarga de Microsoft

Herramientas de migración diferentes versiones de Windows centrar e instalar
Servidor
Página 82
17/11/2020 20410D
Página 83
2-1
Módulo 2
Introducción a los servicios de dominio de Active Directory
Contenido:
Lección 1: descripción general de AD DS 2-2
Lección 2: Descripción general de los controladores de dominio 2-13
Lección 3: Instalación de un controlador de dominio 2-20
Laboratorio: Instalación de controladores de dominio 2-28

17/11/2020 20410D
Active Directory ® servicios de dominio (AD DS) y sus servicios relacionados son la base de la empresa
redes que ejecutan Windows ® sistemas operativos. La base de datos de AD DS es el almacén central de todo el dominio.
objetos, como cuentas de usuario, cuentas de computadora y grupos. AD DS proporciona una búsqueda jerárquica
directorio, y proporciona un método para aplicar la configuración y la configuración de seguridad para los objetos en el
empresa. Este módulo cubre la estructura de AD DS y sus diversos componentes, como bosque, dominio,
y unidades organizativas (OU).
El proceso de instalación de AD DS en un servidor se ha perfeccionado y mejorado con Windows Server® 2012

en comparación con el proceso de instalación de AD DS con sistemas operativos de servidor Windows anteriores. Este módulo
examina algunas de las opciones disponibles con Windows Server 2012 para instalar AD DS en un
servidor. También ofrece una descripción general de los controladores de dominio, además de las opciones que están disponibles con
Windows Server 2012 para instalar AD DS en un servidor.
Objetivos
• Describir la estructura de AD DS.
• Describir el propósito de los controladores de dominio.
• Instale un controlador de dominio.
Página 84
2-2 Introducción a los servicios de dominio de Active Directory
Lección 1
Descripción general de AD DS
La base de datos de AD DS almacena información sobre la identidad del usuario, equipos, grupos, servicios y recursos.
Los controladores de dominio de AD DS también alojan el servicio que autentica las cuentas de usuario y equipo cuando
inicie sesión en el dominio. Dado que AD DS almacena información sobre todos los objetos del dominio y todos
los usuarios y las computadoras deben conectarse a los controladores de dominio de AD DS cuando inician sesión en la red, AD DS
es el medio principal por el cual puede configurar y administrar cuentas de usuario y computadora en su
red.
Esta lección cubre los componentes lógicos básicos y los componentes físicos que componen un AD DS
despliegue.
• Describir los componentes de AD DS.
• Describir los dominios de AD DS.
• Describir las unidades organizativas y su propósito.
• Describir los árboles y bosques de AD DS y explicar cómo puede implementarlos en una red.
• Explicar cómo un esquema de AD DS proporciona un conjunto de reglas que administran los objetos y atributos que son
almacenado en la base de datos de dominio de AD DS.
• Describir las novedades de Active Directory en Windows Server 2012.
• Describir las novedades de Active Directory en Windows Server 2012 R2.
17/11/2020 20410D
Descripción general de AD DS
AD DS se compone de elementos lógicos y físicos

componentes. Necesita comprender la forma en que
Los componentes de AD DS funcionan juntos para que
puede administrar su infraestructura de manera eficiente. En
Además, puede utilizar muchas otras opciones de AD DS
para realizar acciones como instalar, configurar,
y actualización de aplicaciones; gestionando la seguridad
infraestructura; habilitar el acceso remoto y
Acceso directo; y emisión y gestión de
Certificados.
Una de las funciones de AD DS más utilizadas es Group

Política, que le permite configurar centralizada
políticas que puede usar para administrar la mayoría de los objetos en AD DS. Comprender los distintos AD DS
componentes es importante para utilizar la directiva de grupo correctamente.
Página 85
Componentes lógicos
Los componentes lógicos de AD DS son estructuras que se utilizan para implementar un diseño de Active Directory que
apropiado para una organización. La siguiente tabla describe los tipos de estructuras lógicas que un
La base de datos de Active Directory contiene archivos.
Componente lógico Descripción
Dividir Esta es una sección de la base de datos de AD DS. Aunque la base de datos es un archivo
llamado Ndts.dit, lo ve, lo administra y lo replica como si constara de
distintas secciones o instancias. Se denominan particiones , que también se denominan
nombrar contextos .
Esquema Este es el conjunto de definiciones de los tipos de objetos y atributos que utiliza para
crear objetos en AD DS.
Dominio Este es un contenedor administrativo lógico para usuarios y equipos.
Árbol de dominio Esta es una colección de dominios que comparten un dominio raíz común y un
espacio de nombres contiguo del Sistema de nombres de dominio (DNS).
Bosque Esta es una colección de dominios que comparten un AD DS común.
Sitio Se trata de una colección de usuarios, grupos y equipos que se definen por su
localizacion fisica. Puede utilizar sitios para planificar tareas administrativas como
replicación de cambios en la base de datos de AD DS.
Unidad organizacional Una unidad organizativa es un objeto contenedor que proporciona un marco para
(UNED) delegar derechos administrativos y vincular objetos de directiva de grupo (GPO).
Envase Un contenedor es un objeto que proporciona un marco organizativo para su uso en

AD DS. Los contenedores no pueden tener GPO vinculados.
Componentes físicos
La siguiente tabla describe algunos de los componentes físicos de AD DS.
Físico
Descripción
componente
Controlador de dominio Contiene una copia de la base de datos de AD DS. Para la mayoría de las operaciones, cada
17/11/2020 20410D
El controlador de dominio puede procesar los cambios y replicarlos en todos los
otros controladores de dominio en el dominio.
Almacén de datos Hay un almacén de datos en cada controlador de dominio; contiene la base de datos de AD DS.
La base de datos de AD DS utiliza la tecnología de base de datos Microsoft Jet y almacena la
información de directorio en el archivo Ntds.dit y archivos de registro asociados. Esos archivos
se almacenan en la carpeta C: \ Windows \ NTDS de forma predeterminada.
Catálogo global Este es un controlador de dominio que aloja el catálogo global , que es parcial,
servidor copia de solo lectura de todos los objetos del bosque. Un catálogo global se acelera
busca objetos que puedan estar almacenados en controladores de dominio en una
dominio en el bosque.
Dominio de solo lectura Esta es una instalación especial de solo lectura de AD DS. Los RODC se utilizan a menudo en
controlador (RODC) sucursales donde la seguridad y el soporte de TI son menos avanzados que en el
principales centros corporativos.
Página 86
Lectura adicional: para obtener más información sobre dominios y bosques, consulte "Active
Descripción general de los servicios de dominio de directorio "en http://go.microsoft.com/fwlink/?LinkID=331086 .
¿Qué son los dominios de AD DS?
El dominio de AD DS contiene usuario,

Computadoras, Grupos
Un dominio de AD DS es un contenedor lógico que se utiliza para
administrar usuarios, computadoras, grupos y otros objetos.
Todos los objetos de dominio se almacenan en AD DS
base de datos, una copia de la cual se almacena en cada
controlador de dominio.
Hay muchos tipos de objetos en AD DS

base de datos, incluidas las cuentas de usuario,
cuentas y grupos. La siguiente lista brevemente
describe estos tres tipos de objetos:
• Cuentas de usuario. Las cuentas de usuario contienen la información necesaria para autenticar a un usuario durante la
proceso de inicio de sesión y cree el token de acceso del usuario.
• Cuentas informáticas. Cada equipo unido a un dominio tiene una cuenta en AD DS. Las cuentas de computadora son
se usa para equipos unidos a un dominio de la misma manera que las cuentas de usuario se usan para los usuarios.
• Grupos. Los grupos se utilizan para organizar usuarios o computadoras para facilitar la administración de permisos y
política de grupo en el dominio.
El dominio de AD DS es un límite de replicación

Cuando se realizan cambios en cualquier objeto del dominio, el controlador de dominio donde se produjo el cambio
replica ese cambio en todos los demás controladores de dominio del dominio. Si hay varios dominios en
el bosque, solo los subconjuntos de los cambios se replican en otros dominios. AD DS usa un multimaestro
modelo de replicación que permite que cada controlador de dominio realice cambios en los objetos del dominio. Cambios
a la administración de identificadores relativos (RID) en la versión de Windows Server 2012 del dominio de Active Directory
Los servicios (Active Directory de Windows Server 2012) ahora permiten que un solo dominio contenga casi 2000 millones
objetos.
Con tanta capacidad, la mayoría de las organizaciones podrían implementar un solo dominio y garantizar que todos
Los controladores de dominio contienen toda la información del dominio. Sin embargo, las organizaciones que se han descentralizado
estructuras administrativas, o que están distribuidas en múltiples ubicaciones, podrían considerar implementar
varios dominios en el mismo bosque para adaptarse a las necesidades administrativas de su entorno.
El dominio de AD DS es un centro administrativo

El dominio contiene una cuenta de administrador y un grupo de administradores de dominio. Por defecto el Administrador
17/11/2020 20410D
La cuenta es miembro del grupo de administradores de dominio y el grupo de administradores de dominio es miembro de cada
grupo de administradores locales de equipos unidos a un dominio. Además, de forma predeterminada, el grupo de administradores de dominio
los miembros tienen control total sobre todos los objetos del dominio. La cuenta de administrador en la raíz del bosque
El dominio tiene derechos adicionales, como se detalla en "¿Qué es un bosque de AD DS?" tema.
El dominio de AD DS proporciona autenticación

Siempre que se inicia un equipo unido a un dominio, o un usuario inicia sesión en un equipo unido a un dominio, AD DS
los autentica. La autenticación verifica que la computadora o el usuario tenga las credenciales adecuadas para un
Cuenta de AD DS.
Página 87
El dominio de AD DS proporciona autorización

Los sistemas operativos Windows utilizan tecnologías de control de acceso y autorización para permitir la autenticación
usuarios para acceder a los recursos. Normalmente, el proceso de autorización se realiza localmente en el recurso.
Windows Server 2012 introdujo el control de acceso dinámico basado en dominios para permitir reglas de acceso central
controlar el acceso a los recursos. Las reglas de acceso central no reemplazan la tecnología de control de acceso actual, pero
más bien proporciona un nivel adicional de control.
¿Qué son las unidades organizativas?
Una unidad organizativa (OU) es un objeto contenedor

dentro de un dominio que puede utilizar para consolidar
usuarios, computadoras, grupos y otros objetos. OU
no debe confundirse con el genérico
objetos contenedor en AD DS. El primario
La diferencia entre unidades organizativas y contenedores son las
capacidades de gestión. Los contenedores tienen limitaciones
capacidades de gestión; por ejemplo, no puedes
aplique un GPO directamente a un contenedor. Tú habitualmente
utilizar contenedores para los objetos del sistema y como el
ubicaciones predeterminadas para nuevos objetos. Con OU, usted
tener más opciones de gestión; puedes vincular
GPO directamente, asigne un administrador de OU y asocie una partición COM + con una OU.
Aunque no hay una opción de menú para crear nuevos contenedores en Usuarios y equipos de Active Directory,
puede crear nuevas OU en AD DS en cualquier momento. Hay dos razones para crear unidades organizativas:
• Para agrupar objetos para facilitar su administración mediante la aplicación de objetos de política de grupo (GPO)
a todo el grupo. Puede asignar GPO a la OU, y la configuración se aplica a todos los objetos dentro de la
UNED. Los GPO son políticas que los administradores crean para administrar y configurar los ajustes de las computadoras.
y / o usuarios. Los GPO se implementan vinculándolos a OU, dominios o sitios.
• Delegar el control administrativo de los objetos dentro de la OU. Puede asignar permisos de administración
en una OU, delegando así el control de esa OU a un usuario o grupo dentro de AD DS además del
grupo de administradores.
Puede utilizar unidades organizativas para representar las estructuras lógicas jerárquicas dentro de su organización. Por ejemplo,
puede crear unidades organizativas que representen los departamentos de su organización, las regiones geográficas
dentro de su organización, o una combinación de regiones departamentales y geográficas. Puedes usar
OU para administrar la configuración y el uso de cuentas de usuario, grupo y computadora en función de su
modelo organizativo.
Cada dominio de AD DS tiene un conjunto estándar de contenedores y unidades organizativas que se crean al instalar AD DS.
Algunos de los objetos predeterminados los utiliza principalmente AD DS y están ocultos a la vista de forma predeterminada. los
Los siguientes objetos son visibles por defecto:
• Dominio. Actúa como el nivel superior de la jerarquía organizativa del dominio.
• Contenedor incorporado. Almacena varios grupos predeterminados.
• Contenedor de ordenadores. La ubicación predeterminada para las nuevas cuentas de computadora que crea en el dominio.
• Controladores de dominio OU. La ubicación predeterminada para las cuentas de computadora de los controladores de dominio. Este es el
única OU que está presente en una nueva instalación de AD DS.
17/11/2020 20410D
Página 88
• Contenedor Foreign Security Principals. La ubicación predeterminada para los objetos confiables de dominios externos
el bosque de AD DS. Normalmente, estos se crean cuando se agrega un objeto de un dominio externo a un
grupo en el dominio de AD DS.
• Cuentas de servicio administradas. La ubicación predeterminada para las cuentas de servicio administradas. AD DS proporciona
gestión automática de contraseñas en cuentas de servicio gestionadas.
• Contenedor de usuarios. La ubicación predeterminada para las nuevas cuentas de usuario y grupos que cree en el
dominio. El contenedor de usuarios también contiene las cuentas de administrador e invitado del dominio, y
algunos grupos predeterminados.
Hay varios contenedores que puede ver solo cuando selecciona Funciones avanzadas en el menú Ver.
Los siguientes objetos están ocultos de forma predeterminada:
• Objetos perdidos. Este contenedor contiene objetos huérfanos.
• Datos del programa. Este contenedor contiene datos de Active Directory para aplicaciones de Microsoft, como Active
Servicios de federación de directorios (AD FS).
• Sistema. Este contenedor contiene la configuración del sistema integrado.
• Cuotas NTDS. Este contenedor contiene datos de cuotas del servicio de directorio.
• Dispositivos TPM. Este contenedor es nuevo con Windows Server 2012. Almacena la información de recuperación para
Dispositivos Trusted Platform Module (TPM).
Nota: Los contenedores de un dominio de AD DS no pueden tener GPO vinculados. Para vincular GPO a
aplique configuraciones y restricciones, cree una jerarquía de unidades organizativas y luego vincule los GPO a ellas.
Diseño de jerarquía
El diseño de una jerarquía de unidades organizativas está dictado por las necesidades administrativas de la organización. El diseño
podría basarse en clasificaciones geográficas, funcionales, de recursos o de usuarios. Cualquiera sea el orden, el
La jerarquía debería permitir administrar los recursos de AD DS con la mayor eficacia y flexibilidad.
como sea posible. Por ejemplo, si todas las computadoras que usan los administradores de TI deben configurarse de cierta manera,
puede agrupar todas las computadoras en una OU y luego asignar un GPO para administrar esas computadoras.
También puede crear OU dentro de otras OU. Por ejemplo, su organización puede tener varias oficinas,
y cada oficina puede tener un equipo de administradores de TI que son responsables de administrar usuarios y
cuentas de computadora en su oficina. Además, cada oficina puede tener diferentes departamentos con diferentes
requisitos de configuración de la computadora. En esta situación, puede crear una unidad organizativa para cada oficina y luego
dentro de cada una de esas OU, cree una OU para los administradores de TI y OU para cada una de las otras
departamentos.
Aunque no existe un límite técnico para la cantidad de niveles en la estructura de su OU, para garantizar la capacidad de administración,
limite su estructura OU a una profundidad de no más de 10 niveles. La mayoría de las organizaciones utilizan cinco niveles o menos
para simplificar la administración. Tenga en cuenta que las aplicaciones habilitadas para Active Directory pueden imponer restricciones
Profundidad de la unidad organizativa dentro de la jerarquía para las partes de la jerarquía que utilizan.
17/11/2020 20410D
Página 89
¿Qué es un bosque de AD DS?
Un árbol de dominio es una colección de uno o más

dominios que comparten un espacio de nombres contiguo. UNA
bosque es una colección de uno o más árboles de dominio
que comparten un esquema de directorio común y global
catalogar. El primer dominio que se crea en el
El bosque se denomina dominio raíz del bosque. El bosque
El dominio raíz contiene algunos objetos que no
existen en otros dominios del bosque. Porque estos
los objetos siempre se crean en el primer dominio
controlador creado, un bosque puede constar de tan poco
como un dominio con un solo controlador de dominio, o
puede constar de cientos de dominios en
múltiples árboles. Los siguientes objetos solo existen en el dominio raíz del bosque:
• La función de maestro de esquema. Esta es una función de controlador de dominio de todo el bosque especial. Solo hay un esquema
amo en cualquier bosque. El esquema se puede cambiar solo en el controlador de dominio que contiene el
maestro de esquema.
• La función de maestro de nombres de dominio. Esta es también una función especial de controlador de dominio de todo el bosque. Solo hay
un maestro de nombres de dominio en cualquier bosque. Los nuevos nombres de dominio se pueden agregar al directorio solo por
el maestro de nombres de dominio.
• El grupo Administradores de empresas. De forma predeterminada, el grupo de administradores de empresa tiene la cuenta de administrador
para el dominio raíz del bosque como miembro. El grupo de administradores de empresa es miembro de la
Los administradores se agrupan en todos los dominios del bosque. Esto permite a los miembros de los administradores de empresas
group para tener derechos administrativos de control total sobre todos los dominios del bosque.
• El grupo de administradores de esquema. De forma predeterminada, el grupo de administradores de esquema no tiene miembros. Solo miembros de
el grupo de administradores de empresa o el grupo de administradores de dominio (en el dominio raíz del bosque) puede agregar miembros
al grupo de administradores de esquema. Solo los miembros del grupo de administradores de esquema pueden realizar cambios en el
Esquema.
Límite de seguridad
Un bosque de AD DS es un límite de seguridad. De forma predeterminada, ningún usuario de fuera del bosque puede acceder a
recursos dentro del bosque. Normalmente, una organización crea solo un bosque, aunque puede crear
varios bosques para aislar los permisos administrativos entre diferentes partes de la organización.
De forma predeterminada, todos los dominios de un bosque confían en los demás dominios del bosque automáticamente. Esto lo hace
facilitar el acceso a recursos como archivos compartidos y sitios web para todos los usuarios de un bosque, independientemente de
el dominio en el que se encuentra la cuenta de usuario.
Límite de replicación
Un bosque de AD DS es el límite de replicación para la configuración y las particiones de esquema en AD DS
base de datos. Esto significa que todos los controladores de dominio del bosque deben compartir el mismo esquema. Porque
esto, las organizaciones que desean implementar aplicaciones con esquemas incompatibles necesitan implementar más
bosques.
El bosque de AD DS también es el límite de replicación del catálogo global. El catálogo global lo hace
posible encontrar objetos de cualquier dominio del bosque. El catálogo global se utiliza siempre que sea universal
se utilizan credenciales de inicio de sesión de nombre principal (UPN) o cuando se utilizan libretas de direcciones de Microsoft Exchange Server.
utilizado para encontrar usuarios.
Página 90
¿Qué es el esquema de AD DS?
El esquema de AD DS es el componente que define
17/11/2020 20410D
todas las clases de objetos y atributos que utiliza AD DS para
Almacenamiento de datos. A veces se le conoce como
plano para AD DS. El esquema se replica
entre todos los controladores de dominio del bosque. Alguna
el cambio que se realiza en el esquema se replica en
cada controlador de dominio en el bosque desde el
titular del maestro de esquema, que suele ser el primer
controlador de dominio en el bosque.
AD DS almacena y recupera información de un

amplia variedad de aplicaciones y servicios. Lo hace
esto, en parte, al estandarizar cómo se almacenan los datos en
el directorio de AD DS. Al estandarizar el almacenamiento de datos, AD DS puede recuperar, actualizar y replicar datos, mientras
asegurar que se mantenga la integridad de los datos.
Objetos
AD DS usa objetos como unidades de almacenamiento. Todos los tipos de objetos se definen en el esquema. Cada vez que el directorio
maneja datos, el directorio consulta el esquema para una definición de objeto apropiada. Basado en el objeto
definición en el esquema, el directorio crea el objeto y almacena los datos.
Las definiciones de objeto especifican tanto los tipos de datos que los objetos pueden almacenar como la sintaxis de los datos. usted
solo puede crear objetos definidos por el esquema. Debido a que los datos se almacenan de forma rígida
formato, AD DS puede almacenar, recuperar y validar los datos que administra, independientemente de la aplicación
lo suministra.
Relaciones entre objetos, reglas, atributos y clases

En AD DS, el esquema define lo siguiente:
• Objetos que almacenan datos en el directorio
• Reglas que definen la estructura de los objetos
• La estructura y contenido del directorio en sí
Los objetos de esquema de AD DS constan de atributos, que se agrupan en clases. Cada clase tiene reglas
que definen qué atributos son obligatorios y cuáles son opcionales. Por ejemplo, la clase de usuario consta de
más de 400 atributos posibles, incluido cn (el atributo de nombre común), givenName ,
displayName , objectSID y administrador . De estos atributos, los atributos cn y objectSID son
obligatorio. El atributo cn se define como una cadena Unicode de valor único de 1 a 64 caracteres y
se replica en el catálogo global.
Realizar cambios en el esquema

Solo los miembros de los administradores de esquema pueden modificar el esquema de AD DS. No puedes quitar nada
del esquema de AD DS; solo puede ampliar el esquema de AD DS mediante extensiones de esquema de AD DS o
modificar los atributos de los objetos existentes. Por ejemplo, cuando se está preparando para instalar Exchange
Server 2013, debe aplicar las extensiones de esquema de Exchange Server 2013. Esta extensión agrega o modifica
más de 200 clases y más de 100 atributos diferentes.
Debe cambiar el esquema solo cuando sea necesario, porque el esquema dicta cómo se
almacenados y cualquier cambio realizado en el esquema afecta a todos los controladores de dominio. Antes de cambiar el
esquema, debe revisar los cambios a través de un proceso estrictamente controlado e implementarlos solo
después de haber realizado las pruebas para asegurarse de que los cambios no afectarán negativamente al resto del bosque
o cualquier aplicación que use AD DS.
Página 91
El maestro de esquema es una de las funciones de maestro de operaciones que se hospedan en un solo controlador de dominio en
AD DS. Debido a que es un solo maestro, debe realizar cambios en el esquema dirigiéndose al dominio
controlador que contiene el esquema maestro.
¿Qué hay de nuevo para Active Directory de Windows Server 2012?
Además de los cambios que se implementaron

en Windows Server 2012, hubo muchos
cambios introducidos en Windows Server 2012
17/11/2020 20410D
Directorio Activo. Estas mejoras se centraron en
cuatro áreas clave: virtualización, implementación,
gestión y la plataforma. La siguiente lista
describe algunos de los más importantes.
Mejoras de virtualización
• La nueva propiedad GenerationID , cuando se usa
con un hipervisor de nueva generación (como
Windows 2012 R2 Hyper-V ® ), permite una
máquina virtual para detectar eventos como un
reversión de instantáneas. Esto ayuda a prevenir problemas que pueden ocurrir cuando un controlador de dominio desactualizado
Está empezado.
• Se ha desarrollado un nuevo proceso de clonación para controladores de dominio que utiliza GenerationID
propiedad para permitir que una máquina virtual recién clonada determine que es un clon. El recién clonado
La máquina luego usa DCCloneConfig.xml, que usted crea como parte del proceso de clonación, para
reconfigure el nuevo controlador de dominio.
Mejoras de implementación y actualización

• En versiones anteriores del sistema operativo Windows Server, tenía que ejecutar la línea de comandos adprep
herramienta manualmente para preparar su sistema antes de instalar los controladores de dominio. Estos procesos ahora
se ejecuta automáticamente como parte del procedimiento de instalación del controlador de dominio.
• Antes de completar el Asistente de configuración de AD DS, puede copiar el script de Windows PowerShell ®
el asistente lo crea y lo usa para automatizar instalaciones adicionales de AD DS.
Mejoras de gestión
• El control de acceso dinámico es una nueva función que facilita el control de quién puede acceder a los recursos y
auditar quién ha accedido a ellos. Se ha implementado la autorización basada en reclamaciones para mejorar la
modelo de autorización actual. Por ejemplo, se puede solicitar a un usuario que acceda a ciertos recursos desde un
dispositivo específico, además de ser miembro de un grupo específico.
• Una nueva interfaz de usuario para la Papelera de reciclaje de Active Directory hace que sea más fácil y rápido recuperar objetos.
Windows Server ® 2008 introdujo la papelera de reciclaje de AD, pero no incluía un usuario basado en GUI
interfaz y, por lo tanto, era engorroso de usar.
Mejoras de la plataforma
• Se amplió el grupo de RID, se agregaron opciones de administración y se
mejorado. Las mejoras del grupo de RID deben evitar situaciones en las que todos los números de RID son
utilizar y permitir más tiempo para reaccionar para las organizaciones que corren el riesgo de utilizar todo el grupo de RID.
Página 92
• La creación de un índice puede usar muchos recursos del sistema y ralentizar otros procesos. En Windows
Server 2012 Active Directory puede especificar cuándo desea que se cree el índice para que se haga cuando
pocos otros procesos están ocurriendo en el sistema. Puede aplazar la creación del índice hasta que
Se recibe el comando UpdateSchemaNow o se reinicia el sistema.
Lectura adicional: para obtener más información sobre las nuevas funciones de AD DS, consulte "¿Qué
Nuevo en Servicios de dominio de Active Directory (AD DS) "en
¿Qué hay de nuevo en Active Directory de Windows Server 2012 R2?
Windows Server 2012 R2 Active Directory incluye

muchas mejoras y mejoras de
Versión anterior. Algunas de estas mejoras
ayudar a gestionar la proliferación de consumidores
17/11/2020 20410D
dispositivos en el lugar de trabajo. Por ejemplo, el nuevo
características Unión al lugar de trabajo y aplicación web
Proxy proporciona a los usuarios una forma más fácil de integrarse
sus dispositivos de consumo en el lugar de trabajo. En
Además, la seguridad asociada con el uso de
dispositivos de consumo en el lugar de trabajo ha sido
mejorado; control de acceso multifactor y
La autenticación multifactor se implementó para
gestionar el riesgo asociado con permitir que los dispositivos de los consumidores participen en el dominio.
Unirse al lugar de trabajo

Windows Server 2012 R2 permite que los dispositivos personales de los usuarios participen en el dominio. Ambos basados en Windows
dispositivos y IOS ® dispositivos basados pueden ser registrados en un dominio basado en R2 Windows Server 2012. De un usuario
El dispositivo personal se puede registrar en AD DS mediante la función Servicio de registro de dispositivos (DRS), que
es parte de AD FS. El DRS crea un objeto AD DS para el dispositivo y emite un certificado al dispositivo que
lo autentica. Si se utilizan tanto DRS como el proxy de aplicación web, cualquier dispositivo con conexión a Internet
la conexión se puede unir al lugar de trabajo.
Cuando un dispositivo personal se une al lugar de trabajo, los administradores pueden:
• Utilice la información sobre el dispositivo almacenada en AD DS y configure el acceso condicional.
• Brinde una experiencia fluida a los usuarios que acceden a los recursos de la empresa desde dispositivos integrados en el lugar de trabajo.
• Proporcionar una experiencia de inicio de sesión único (SSO) para acceder a los recursos.
Proxy de aplicación web

Proxy de aplicación web es un nuevo servicio de rol de acceso remoto que puede utilizar para dar acceso a usuarios externos
a aplicaciones que se ejecutan en servidores internos desde cualquier lugar y en cualquier momento. El proxy de aplicación web puede ser
utilizado con dispositivos personales que están unidos al lugar de trabajo, y con computadoras portátiles, teléfonos inteligentes,
y otros dispositivos. El proxy de aplicación web ofrece a los administradores un control más detallado que un
red privada virtual (VPN), porque los usuarios solo pueden acceder a las aplicaciones que se les publican
a través del proxy de aplicación web. Puede aplicar seguridad adicional utilizando Web Application Proxy para agregar
más control sobre las aplicaciones a las que el usuario puede acceder. El proxy de aplicación web requiere el uso de
AD FS y usa características de AD FS como SSO.
Página 93
Control de acceso multifactor

Workplace Join y Web Application Proxy usan AD FS, cuya función principal es emitir acceso
tokens que contienen reclamos. La autenticación basada en reclamaciones se usa ampliamente en aplicaciones basadas en la nube
y servicios. La autenticación basada en reclamaciones es similar al proceso de autenticación tradicional utilizado en
Dominio de Windows; la principal diferencia funcional es que el token de seguridad basado en notificaciones incluye solo
la identidad del usuario y no define qué pueden hacer los usuarios. AD FS evalúa las solicitudes de notificaciones que se pueden
basado en uno o más factores. Una aplicación que utiliza autenticación basada en notificaciones también se conoce como
Solicitud de parte de confianza . AD FS puede usar más de 50 factores para autenticar una solicitud de notificación; los
La siguiente tabla enumera algunos de ellos.
Tipo de reclamo Descripción
Dirección de correo electrónico La dirección de correo electrónico del usuario.
Nombre El nombre de usuario, que debe ser único.
Papel Un rol asignado al usuario.
Seguridad del grupo principal El SID del grupo principal del usuario.
identificador (SID)
Editor El nombre de la autoridad de certificación que emitió el certificado X.509.
La aplicación de la parte que confía define lo que el usuario puede hacer en función de la información de la reclamación.
El control de acceso de múltiples factores en AD FS proporciona varios beneficios, que incluyen:
17/11/2020 20410D
• Puede permitir o denegar el acceso según el usuario, el dispositivo, la ubicación, el estado de autenticación u otro
factores mediante el uso de políticas de autorización por aplicación flexibles y granulares.
• Puede crear diferentes reglas para cada aplicación utilizando las reglas de autorización de emisión individuales
para aplicaciones de terceros.
• Puede ofrecer a los usuarios una rica experiencia de interfaz de usuario para los escenarios comunes de múltiples factores mediante el uso de AD FS
Autenticación basada en web con formularios personalizables para algunos escenarios comunes.
• Para escenarios más complejos, puede usar Windows PowerShell para desarrollar sus reglas usando el rico
lenguaje de notificaciones y compatibilidad con Windows PowerShell.
• Puede decirles a los usuarios por qué se denegó su solicitud, y no solo mostrar un acceso genérico denegado
mensaje mediante el uso de mensajes individuales y personalizados para aplicaciones de terceros.
Lectura adicional: para obtener más información sobre cómo gestionar el riesgo con multifactor
control de acceso, consulte "Descripción general: Gestión de riesgos con control de acceso multifactor" en
Autenticación multifactor
AD FS tiene varios métodos de autenticación que puede usar para crear escenarios de autenticación flexibles;
Estos escenarios de autenticación flexibles permiten a sus usuarios acceder a los recursos de la empresa de múltiples formas. usted
puede crear una política de autenticación global que se aplique a todos los intentos de acceso o puede crear una
reglas de autenticación para recursos individuales protegidos por AD FS. Aplicación personalizada por parte de confianza
las reglas de autenticación no anulan las reglas de autenticación globales. Puede configurar la autenticación
reglas para requerir solo un método de autenticación principal, o para usar autenticación de múltiples factores. Cuando
crear reglas de autenticación de aplicaciones tanto globales como por parte de confianza, si la regla global o
Página 94
La regla específica de la aplicación requiere el uso de autenticación multifactor, luego el usuario debe usar
autenticación multifactor.
Cuando crea una política de autenticación global, puede configurar las siguientes opciones:
• Método de autenticación principal. De forma predeterminada, las conexiones externas utilizan la autenticación de formularios y
las conexiones internas utilizan la autenticación de Windows.
• Configuraciones y métodos para la autenticación multifactor. Puede configurar las condiciones bajo las cuales
se utiliza autenticación multifactor y cualquier método de autenticación adicional. Puedes usar
Autenticación de certificado, como con una tarjeta inteligente u otros métodos de autenticación de terceros.
• Si la autenticación del dispositivo está habilitada. Puede utilizar esta opción con Workplace Join. Te permite
para configurar el dispositivo como factor de autenticación secundario.
Al configurar las reglas de autenticación de la aplicación por parte de confianza, puede configurar lo siguiente
ajustes:
• Si los usuarios necesitan proporcionar credenciales cada vez que inician sesión.
• Configuración de autenticación multifactor para la aplicación de la parte que confía
Los parámetros en los que se pueden basar las reglas de autenticación multifactor son los siguientes:
• Usuarios o grupos en el directorio de AD DS
• El estado de los dispositivos unidos al lugar de trabajo
• La conexión es desde la intranet o Internet.
Un escenario de trabajo desde casa

Estas características funcionan juntas para mejorar enormemente un escenario de trabajo desde casa. En un típico trabajo de
escenario doméstico que no utiliza las nuevas funciones descritas anteriormente, los usuarios están conectados a través de una VPN
a la red corporativa. Es posible que deban utilizar la autenticación de dos factores, como una tarjeta inteligente,
pero eso protege solo la conexión. Una vez que los usuarios están conectados, pueden acceder a todo lo que puedan
acceso desde dentro de la red corporativa.
Los departamentos de seguridad generalmente tienen varias preocupaciones sobre los programas de trabajo desde casa:
17/11/2020 20410D
• ¿Los usuarios acceden a la red corporativa desde un sistema seguro o se encuentran en una red menos segura?
sistema como una biblioteca pública?
• ¿Los usuarios tienen acceso a archivos confidenciales y los están descargando en su sistema local?
• ¿Cómo acceden los usuarios a las aplicaciones de línea de negocio (LOB)?
• ¿Cuáles son sus configuraciones de protector de pantalla? Si se alejan de su computadora, ¿con qué facilidad alguien
más camina y lo usa?
Cuando utiliza las nuevas funciones de Windows Server 2012 R2, puede permitir que los usuarios trabajen desde casa y
aún mantienen un control seguro sobre lo que pueden acceder. Los usuarios utilizan Workplace Join para agregar sus
sistemas al dominio; luego, la configuración de seguridad se puede configurar para varios escenarios diferentes. por
Por ejemplo, ciertos archivos pueden configurarse para ser accesibles solo desde el lugar de trabajo del usuario unido
computadora, o los archivos confidenciales pueden configurarse para ser accesibles solo desde sistemas unidos a un dominio.
Del mismo modo, las aplicaciones LOB se pueden publicar a través del proxy de aplicación web, utilizando las notificaciones
definido a través del control de acceso de múltiples factores para especificar lo que los usuarios pueden hacer en el
aplicaciones. Además, la autenticación multifactor se puede especificar para ciertas aplicaciones para ayudar
asegúrese de que el usuario adecuado esté ejecutando las aplicaciones.
Página 95
Lección 2
Descripción general de los controladores de dominio
Dado que los controladores de dominio autentican a todos los usuarios y equipos del dominio, el controlador de dominio
La implementación es fundamental para que la red funcione correctamente.
Esta lección examina los controladores de dominio, el proceso de inicio de sesión y la importancia de DNS en ese proceso.
Además, esta lección analiza el propósito del catálogo global.
Todos los controladores de dominio son esencialmente iguales, con dos excepciones: los RODC contienen una copia de solo lectura de
la base de datos de AD DS, mientras que otros controladores de dominio tienen una copia de lectura / escritura. También hay ciertos
operaciones que se pueden realizar solo en controladores de dominio específicos llamados maestros de operaciones , que son
discutido al final de esta lección.
• Describir el propósito de los controladores de dominio.
• Describir el propósito del catálogo global.
• Describir el proceso de inicio de sesión de AD DS y la importancia de los registros DNS y SRV en el inicio de sesión.
proceso.
• Describir la funcionalidad de los registros SRV.
• Explicar las funciones de los maestros de operaciones.
¿Qué es un controlador de dominio?
Un controlador de dominio es un servidor que está configurado

para almacenar una copia de la base de datos del directorio de AD DS
(Ntds.dit) y una copia de la carpeta SYSVOL. Todas
controladores de dominio, excepto los RODC, almacenan un
copia de lectura / escritura de Ntds.dit y SYSVOL
carpeta. Ntds.dit es la propia base de datos, y el
La carpeta SYSVOL contiene todas las configuraciones de la plantilla
y archivos para GPO.
Los controladores de dominio utilizan una replicación de varios maestros
17/11/2020 20410D
proceso; para la mayoría de las operaciones, los datos pueden
modificado en cualquier controlador de dominio, excepto en
RODC. El servicio de replicación de AD DS luego
sincroniza los cambios que se han realizado en la base de datos de AD DS con todos los demás controladores de dominio en
el dominio. En la versión original de Windows Server 2012, puede usar el Servicio de replicación de archivos (FRS)
o la replicación más reciente del Sistema de archivos distribuido (DFS) para replicar las carpetas SYSVOL. En Windows Server
2012 R2, solo puede usar la replicación DFS.
Los controladores de dominio alojan varios otros servicios relacionados con Active Directory, incluido Kerberos
servicio de autenticación, que utilizan las cuentas de usuario y computadora para la autenticación de inicio de sesión; y la llave
Centro de distribución (KDC), que emite los tickets de concesión de tickets (TGT) a una cuenta que inicia sesión en el
Dominio de AD DS. Opcionalmente, puede configurar controladores de dominio para alojar una copia del catálogo global.
Todos los usuarios de un dominio de AD DS existen en la base de datos de AD DS, si la base de datos no está disponible por algún motivo, todos
las operaciones que dependen de la autenticación basada en dominio fallarán. Como práctica recomendada, un dominio de AD DS
Página 96
debe tener al menos dos controladores de dominio. Esto hace que la base de datos de AD DS esté más disponible y se propague
la carga de autenticación durante las horas pico de inicio de sesión.
Nota: Dos controladores de dominio deben considerarse un mínimo absoluto.
Cuando implementa un controlador de dominio en una sucursal donde la seguridad física es menos que óptima,
puede utilizar medidas adicionales para reducir el impacto de una violación de la seguridad. Una opción es implementar un
RODC.
El RODC contiene una copia de solo lectura de la base de datos de AD DS y, de forma predeterminada, no almacena en caché a ningún usuario
contraseñas. Puede configurar el RODC para almacenar en caché las contraseñas de los usuarios en la sucursal. Si un RODC
está comprometido, la pérdida potencial de información es mucho menor que con un dominio de lectura / escritura completo
controlador. Otra opción es utilizar BitLocker de Windows ® Drive Encryption para cifrar el dominio
controlador de disco duro. Si se roba el disco duro, el cifrado de BitLocker garantiza que un usuario malintencionado
tienen dificultades para obtener información útil.
Nota: BitLocker es un sistema de cifrado de unidades que está disponible para el funcionamiento de Windows Server.
sistemas y para determinadas versiones del sistema operativo cliente Windows. BitLocker cifra de forma segura
todo el sistema operativo para que la computadora no pueda iniciarse sin que se le proporcione un
clave y (opcionalmente) pasar una verificación de integridad. Un disco permanece cifrado incluso si lo transfiere a
otra computadora.
¿Qué es el catálogo global?
El catálogo global es parcial, de solo lectura,

copia de búsqueda de todos los objetos del bosque. Eso
acelera las búsquedas de objetos que
almacenado en controladores de dominio en un
dominio en el bosque.
Dentro de un solo dominio, la base de datos de AD DS en

cada controlador de dominio contiene todos los
información sobre cada objeto en ese dominio,
pero solo un subconjunto de esta información se replica
a servidores de catálogo global en otros dominios en el
bosque. Dentro de un dominio dado, una consulta para un
el objeto está dirigido a uno de los controladores de dominio
en ese dominio, pero esa consulta no incluye resultados sobre objetos en otros dominios del bosque. Para
consulta para incluir resultados de otros dominios en el bosque, debe consultar un controlador de dominio que sea un
servidor de catálogo global. De forma predeterminada, el primer controlador de dominio en el dominio raíz del bosque es el único
servidor de catálogo global. Para mejorar la búsqueda en todos los dominios de un bosque, debe configurar
controladores de dominio para almacenar una copia del catálogo global.
El catálogo global no contiene todos los atributos para cada objeto. En cambio, el catálogo global mantiene
17/11/2020 20410D
el subconjunto de atributos que es más probable que sean útiles en las búsquedas entre dominios. Estos atributos incluyen
givenName , displayName y mail .
Hay varias razones por las que puede realizar una búsqueda en un catálogo global en lugar de un dominio.
controlador que no es un catálogo global. Por ejemplo, cuando un servidor que ejecuta Exchange Server recibe
un correo electrónico entrante, necesita buscar la cuenta del destinatario para que pueda decidir cómo enrutar el
mensaje. Al consultar automáticamente un catálogo global, el servidor que ejecuta Exchange Server puede
Página 97
localizar al destinatario en un entorno de múltiples dominios. En otro ejemplo, cuando un usuario inicia sesión en su o
su cuenta de Active Directory, el controlador de dominio que realiza la autenticación debe contactar a un
catálogo global para comprobar la pertenencia a grupos universales antes de autenticar al usuario.
En un solo dominio, todos los controladores de dominio deben configurarse para contener una copia del catálogo global;
sin embargo, en un entorno de múltiples dominios, el maestro de infraestructura no debe ser un catálogo global
servidor a menos que todos los controladores de dominio del dominio sean también servidores de catálogo global. Decidir cual
Los controladores de dominio deben configurarse para contener una copia del catálogo global depende de la replicación.
tráfico y ancho de banda de la red. Muchas organizaciones optan por hacer de cada controlador de dominio un catálogo global
servidor.
Pregunta: ¿Debería un controlador de dominio ser un catálogo global?
El proceso de inicio de sesión de AD DS
Cuando los usuarios inician sesión en AD DS, su sistema busca en

DNS para registros de recursos de servicio (SRV) para localizar
el controlador de dominio adecuado más cercano. SRV
los registros especifican información sobre los
servicios y se registran en DNS para todos los dominios
controladores. Los clientes pueden localizar un dominio adecuado
controlador para atender sus solicitudes de inicio de sesión utilizando
Búsquedas de DNS. Si el inicio de sesión se realiza correctamente, el
autoridad de seguridad (LSA) crea un token de acceso para
el usuario que contiene los SID para el usuario y
cualquier grupo en el que el usuario sea miembro. los
token proporciona las credenciales de acceso para cualquier
proceso iniciado por ese usuario. Por ejemplo, después de iniciar sesión en AD DS, un usuario ejecuta Microsoft ® Palabra y
intenta abrir un archivo. Word usa las credenciales en el token de acceso del usuario para verificar el nivel del usuario.
permisos para ese archivo.
Nota: Un SID es una cadena única en forma de S - R - X - Y1 - Y2 - Yn - 1 - Yn. Por ejemplo, un SID de usuario
podría ser: S - 1 - 5 - 21 - 322346712 - 1256085132 - 1900709958 - 500.
Las partes de este SID se explican en esta tabla.
Componente Definición En el ejemplo
S Indica que la cadena es una S

SID
R Nivel de revisión 1
X Valor de autoridad del identificador 5 (Autoridad del NT)
Y1 - Y2 - Yn - 1 Identificador de dominio 21-322346712-1256085132-1900709958
Yn ELIMINAR 500
Cada cuenta de usuario y computadora, y cada grupo que crea tiene un SID único. Difieren
unos de otros solo en virtud del RID único. El SID en el ejemplo es un SID conocido para
la cuenta de administrador de dominio. Las cuentas y los grupos predeterminados utilizan SID conocidos. los
El SID de la cuenta del administrador de dominio siempre termina en 500.
17/11/2020 20410D
Página 98
Sitios
Un cliente usa sitios cuando necesita contactar a un controlador de dominio. Comienza buscando registros SRV en
DNS. La respuesta a la consulta de DNS incluye:
• Una lista de los controladores de dominio en el mismo sitio que el cliente.
• Una lista de los controladores de dominio del siguiente sitio más cercano que no incluye un RODC, si hay
no hay controladores de dominio disponibles en el mismo sitio, y la configuración de directiva de grupo Probar el siguiente sitio más cercano es
habilitado.
• Una lista aleatoria de controladores de dominio disponibles en el dominio, si no se encuentra ningún controlador de dominio en el
siguiente sitio más cercano.
Los administradores pueden definir sitios en AD DS. Al definir sitios, debe considerar qué partes de
la red tiene buena conectividad y ancho de banda. Por ejemplo, si una sucursal está conectada a la
centro de datos principal por un enlace WAN no confiable, debe definir la sucursal y el centro de datos como
sitios separados.
Los registros SRV son registrados en DNS por el servicio Net Logon que se ejecuta en cada controlador de dominio. Si el
Los registros SRV no se ingresan en DNS correctamente, puede activar el controlador de dominio para volver a registrarlos
registros reiniciando el servicio Net Logon en ese controlador de dominio. Este proceso vuelve a registrar solo el
Registros SRV; si desea volver a registrar la información del registro del host (A) en DNS, debe ejecutar ipconfig
/ registerdns desde un símbolo del sistema, como lo haría con cualquier otra computadora.
Aunque el proceso de inicio de sesión le parece al usuario como un evento único, en realidad se compone de dos partes:
• El usuario proporciona credenciales, generalmente un nombre de cuenta de usuario y una contraseña, que se comparan
la base de datos de AD DS. Si el nombre de la cuenta de usuario y la contraseña coinciden con la información almacenada en
la base de datos de AD DS, el usuario se convierte en un usuario autenticado y el dominio emite un TGT
controlador. En este punto, el usuario no tiene acceso a ningún recurso en la red.
• Un proceso secundario en segundo plano envía el TGT al controlador de dominio y solicita acceso
a la máquina local. El controlador de dominio emite un ticket de servicio al usuario, que luego puede interactuar
con la computadora local. En este punto del proceso, el usuario se autentica en AD DS e inicia sesión
a la máquina local.
Cuando un usuario intenta conectarse a otra computadora en la red posteriormente, el secundario

El proceso se ejecuta de nuevo y el TGT se envía al controlador de dominio más cercano. Cuando el dominio
controlador devuelve un ticket de servicio, el usuario puede acceder a la computadora en la red, lo que genera un
evento de inicio de sesión en esa computadora.
Nota: un equipo unido a un dominio también inicia sesión en AD DS cuando se inicia, un hecho que a menudo se
pasado por alto. No ve la transacción cuando la computadora usa su nombre de cuenta de computadora
y una contraseña para iniciar sesión en AD DS. Una vez autenticado, el equipo se convierte en miembro de
el grupo Usuarios autenticados. Aunque el evento de inicio de sesión de la computadora no tiene visual
confirmación en una GUI, se registra en el registro de eventos. Además, si la auditoría está habilitada,
Los eventos se registran en el Registro de seguridad del Visor de eventos.
Página 99
17/11/2020 20410D
Demostración: Visualización de registros SRV en DNS
La demostración muestra cómo mostrar los distintos tipos de registros SRV que los controladores de dominio
registrarse en DNS. Estos registros son cruciales para el funcionamiento de AD DS porque se utilizan para buscar dominios
controladores para iniciar sesión, cambiar contraseñas y editar GPO. Los controladores de dominio también usan registros SRV
para encontrar socios de replicación.
Ver los registros SRV mediante el Administrador de DNS

1. En LON-DC1, inicie sesión con la cuenta de usuario Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. Abra la ventana Administrador de DNS y explore los dominios DNS subrayados.
3. Vea los registros SRV registrados por los controladores de dominio.
Estos registros proporcionan rutas alternativas para que los clientes puedan descubrirlos.
¿Qué son los maestros de operaciones?
Ciertas operaciones pueden ser realizadas solo por un

rol específico, en un controlador de dominio específico. UNA
controlador de dominio que tiene uno de estos roles es
llamado maestro de operaciones (también conocido como
función de operaciones de maestro único flexible (FSMO)).
Hay cinco roles de maestro de operaciones y los cinco
puede estar ubicado en un solo controlador de dominio o
se pueden distribuir en varios dominios
controladores. Por defecto el primer control de dominio
instalado en un bosque contiene los cinco roles; sin embargo,
estos roles se pueden mover una vez más de dominio
se construyen controladores. Al permitir cambios solo en
un solo controlador de dominio, las funciones de maestro de operaciones ayudan a prevenir conflictos en AD DS causados por
latencia de replicación. Al realizar cambios en los datos almacenados en uno de los roles de maestro de operaciones, debe
conéctese al controlador de dominio que tiene el rol.
Los cinco roles de maestro de operaciones se distribuyen de la siguiente manera:
• Cada bosque tiene un maestro de esquema y un maestro de nombres de dominio.
• Cada dominio de AD DS tiene un maestro de RID, un maestro de infraestructura y un dominio principal

emulador de controlador (PDC).
Maestros de Operaciones Forestales

Los siguientes son roles de maestro único que se encuentran en un bosque:
• Maestro de nombres de dominio. Este es el controlador de dominio que debe contactarse cuando agrega o
eliminar un dominio o cuando realiza cambios en el nombre de dominio.
Si el maestro de nombres de dominio no está disponible, no podrá agregar dominios adicionales al

bosque.
• Maestro de esquemas. Este es el controlador de dominio en el que realiza todos los cambios de esquema. Para hacer
cambios normalmente inicia sesión en el esquema maestro como miembro de los administradores de esquema y
Grupos de administradores de empresas. Un usuario que sea miembro de ambos grupos y que tenga la
los permisos adecuados también pueden editar el esquema mediante un script.
Página 100
Si el esquema maestro no está disponible, no podrá realizar cambios en el esquema; esto previene
instalación de aplicaciones que requieren cambios de esquema, como Microsoft ® Exchange Server.
Nota: El comando Get-ADForest de Windows PowerShell , de Active Directory

módulo para Windows PowerShell, muestra las propiedades del bosque, incluido el dominio actual
17/11/2020 20410D
maestro de nombres y maestro de esquema.
Maestros de operaciones de dominio

Los siguientes son roles de maestro único que se encuentran en un dominio:
• Maestro de identificación relativa ( RID). Siempre que se crea un objeto en AD DS, el controlador de dominio donde
El objeto se crea asigna al objeto un número de identificación único conocido como SID. Para asegurarse de que no
dos controladores de dominio asignan el mismo SID a dos objetos diferentes, el maestro RID asigna bloques
de RID a cada controlador de dominio dentro del dominio para usar al crear el SID.
Si el maestro de RID no está disponible, puede tener dificultades para agregar nuevos objetos al dominio. Como
los controladores de dominio usan sus RID existentes, eventualmente se quedarán sin RID y no podrán
crear nuevos objetos.
• Maestro de infraestructura. Este rol mantiene referencias a objetos entre dominios, como cuando un grupo en
un dominio contiene un miembro de otro dominio. En esta situación, el maestro de infraestructura es
responsable de mantener la integridad de esta referencia. Por ejemplo, cuando miras la seguridad
pestaña de un objeto, el sistema busca los SID que se enumeran y los traduce a nombres. en un
bosque multidominio, el maestro de infraestructura busca los SID de otros dominios.
Si el maestro de infraestructura no está disponible, los controladores de dominio que no son catálogos globales no pueden
para comprobar la pertenencia a grupos universales y no pueden autenticar usuarios.
El rol de infraestructura no debe residir en un servidor de catálogo global, a menos que tenga un dominio único
bosque. La excepción es cuando sigue las mejores prácticas y hace que cada controlador de dominio sea global
catalogar. En ese caso, la función de infraestructura no es necesaria porque cada controlador de dominio sabe
sobre todos los objetos del bosque.
• Maestro emulador de PDC. El controlador de dominio que contiene el emulador de PDC es la fuente de tiempo para el
dominio. Los emuladores de PDC en cada dominio de un bosque sincronizan su tiempo con el emulador de PDC
en el dominio raíz del bosque. Configure el emulador de PDC en el dominio raíz del bosque para que se sincronice con un
fuente de tiempo externa confiable.
El emulador de PDC también es el controlador de dominio que recibe cambios de contraseña urgentes. Si un usuario
se cambia la contraseña, la información se envía inmediatamente al controlador de dominio que tiene el PDC
emulador . Esto significa que si el usuario intenta iniciar sesión, incluso si el usuario ha sido autenticado por un
controlador de dominio en una ubicación diferente que aún no había recibido la nueva información de contraseña, el
controlador de dominio en la ubicación actual del usuario se pondrá en contacto con el controlador de dominio que tiene el PDC
emulador para verificar cambios recientes.
Si el emulador de PDC no está disponible, los usuarios pueden tener problemas para iniciar sesión hasta que se haya realizado el cambio de contraseña.
replicado en todos los controladores de dominio.
El emulador de PDC también se utiliza al editar GPO. Cuando se abre un GPO que no sea local para
edición, la copia editada se almacena en el emulador de PDC. Esto se hace para evitar conflictos si dos
los administradores intentan editar el mismo GPO al mismo tiempo en diferentes controladores de dominio.
Sin embargo, puede optar por utilizar un controlador de dominio específico para editar los GPO. Esto es especialmente útil
al editar GPO en una oficina remota con una conexión lenta al emulador de PDC.
Página 101
Nota: El comando Get-ADDomain de Windows PowerShell , de Active Directory

módulo para Windows PowerShell, muestra las propiedades del dominio, incluido el maestro RID actual,
maestro de infraestructura y maestro emulador de PDC.
Nota: El catálogo global no es uno de los roles de maestro de operaciones.
Nota: Los cinco roles de maestro de operaciones también se conocen como:

• Maestro de operaciones de esquema
• Maestro de operaciones de nombres de dominio
• Maestro de operaciones de infraestructura
17/11/2020 20410D
• Maestro de operaciones de RID
• Maestro de operaciones del emulador de PDC
Página 102
Lección 3
Instalación de un controlador de dominio
A veces es necesario instalar controladores de dominio adicionales en su dominio de Windows Server 2012. Ahí
Hay varias razones por las que puede hacer esto:
• Necesita recursos adicionales en un sitio porque los controladores de dominio existentes están sobrecargados de trabajo.
• Está abriendo una nueva oficina remota que requiere que implemente uno o más controladores de dominio.
• Está creando una ubicación de recuperación ante desastres fuera del sitio.
El método de instalación que utiliza varía según las circunstancias.
Esta lección examina varias formas de instalar controladores de dominio adicionales. Estos incluyen la instalación de AD DS
en una máquina local y en un servidor remoto usando el Administrador del servidor, instalando AD DS en un Server Core
instalación e instalación de AD DS mediante una instantánea de la base de datos de AD DS que se almacena en
medios de comunicación. Esta lección también examina cómo actualizar un controlador de dominio desde un sistema operativo Windows anterior.
sistema para Windows Server 2012. Por último, la lección se habla de Windows Azure ® Active Directory (Windows
Azure AD) y cómo instalar un controlador de dominio en Windows Azure.
17/11/2020 20410D
• Explicar cómo instalar un controlador de dominio mediante la GUI.
• Explicar cómo instalar un controlador de dominio en una instalación Server Core de Windows Server 2012.
• Explicar cómo actualizar un controlador de dominio mediante Instalar desde medios.
• Explicar cómo instalar un controlador de dominio mediante Instalar desde medios.
• Describir Windows Azure AD.
• Comprender cómo implementar controladores de dominio en Windows Azure.
Instalación de un controlador de dominio desde el administrador del servidor
Con Windows Server 2008 y versiones anteriores,

era una práctica común para iniciar Active Directory
Asistente de instalación de servicios de dominio con
Herramienta dcpromo para instalar controladores de dominio. Pero,
comenzando con Windows Server 2012, el Active
El asistente de instalación de Directory Domain Services es
parte del uso de Server Manager y dcpromo es
admitido solo para la automatización heredada.
El proceso de promoción del controlador de dominio es un

proceso de dos pasos. Primero, necesitas instalar los archivos
que utiliza la función de controlador de dominio, y luego
instale la función de controlador de dominio en sí.
Nota: El asistente de instalación de servicios de dominio de Active Directory (que se puede abrir desde
la línea de comando escribiendo dcpromo.exe ) está en desuso a partir de Windows Server 2012.
Página 103
Antes de instalar un nuevo controlador de dominio, debe tener las respuestas a las siguientes preguntas.
Pregunta Comentarios
¿Está instalando un nuevo bosque, un nuevo Responder a esta pregunta determina qué información adicional
árbol o un controlador de dominio adicional que pueda necesitar, como el nombre de dominio principal.
para un dominio existente?
¿Cuál es el nombre DNS para AD DS? Cuando crea el primer controlador de dominio para un dominio,
¿dominio? debe especificar el nombre de dominio completo (FQDN). Cuando usted
agregar un controlador de dominio a un dominio o bosque existente, el
La información del dominio existente se proporciona en el asistente.
¿Cuál será el nivel funcional del bosque? El nivel funcional del bosque determina las características del bosque que
¿a? estar disponible y el controlador de dominio compatible en funcionamiento
sistema. Esto también establece el nivel funcional de dominio mínimo para el
dominios en el bosque.
¿Cuál será el nivel funcional del dominio? El nivel funcional del dominio determina las características del dominio que
¿fijado en? estará disponible y el controlador de dominio compatible estará operativo
sistema.
¿El controlador de dominio será un DNS? Su DNS debe estar funcionando bien para admitir AD DS.
¿servidor?
¿El controlador de dominio alojará el Esta opción está seleccionada de forma predeterminada para el primer controlador de dominio en
¿catalogar? un bosque, y no se puede cambiar.
¿El controlador de dominio será un RODC? Esta opción no está disponible para el primer controlador de dominio en un
bosque.
17/11/2020 20410D
¿Qué restaurará los servicios de directorio? Esto es necesario para poder recuperar el directorio activo.
¿La contraseña del modo (DSRM) es? base de datos desde una copia de seguridad.
¿Cuál es el nombre NetBIOS para AD DS? Cuando crea el primer controlador de dominio para un dominio,
¿dominio? debe especificar el nombre NetBIOS para el dominio.
¿Dónde estarán la base de datos, los archivos de registro y De forma predeterminada, la carpeta de archivos de registro y base de datos es C: \ Windows \ NTDS.
¿Se crearán carpetas SYSVOL? De forma predeterminada, la carpeta SYSVOL es C: \ Windows \ SYSVOL.
Cuando ejecuta el Administrador del servidor en el sistema local, instala la función AD DS. Al final de la inicial
proceso de instalación, los archivos de AD DS están instalados pero AD DS aún no está configurado en ese servidor.
Para configurar AD DS, utilice el Asistente para configuración de servicios de dominio de Active Directory. Tu comienzas el
asistente haciendo clic en el vínculo AD DS en el Administrador del servidor. El asistente le permite realizar una de las siguientes acciones:
• Agregar un controlador de dominio a un dominio existente
• Agregar un nuevo dominio a un bosque existente
• Agregar un bosque nuevo
Nota: Si necesita restaurar la base de datos de AD DS desde una copia de seguridad, reinicie el dominio.
controlador en DSRM. El proceso típico para ingresar a DSRM es reiniciar el controlador de dominio y
presione F8 durante el proceso de arranque inicial. Cuando se inicia el controlador de dominio, no está ejecutando el
Los servicios de AD DS, en cambio, se ejecutan como un servidor miembro en el dominio. Para iniciar sesión en ese servidor
en ausencia de AD DS, use la contraseña del modo de recuperación de servicios de directorio.
Página 104
Nota : Windows Server 2012 admite la clonación de servidores AD DS. Antes de clonarlo, un AD DS
El servidor debe ser miembro del grupo Controladores de dominio clonables. Además, el PDC
El emulador debe estar en línea y disponible para el DC clonado, y debe ejecutar Windows
Servidor 2012.
Instalación de un controlador de dominio en una instalación Server Core de Windows

Servidor 2012
Un servidor de Windows Server 2012 que se está ejecutando

Server Core no tiene el Administrador del servidor
Interfaz gráfica de usuario, por lo que debe utilizar una alternativa
métodos para instalar los archivos para el dominio
función de controlador e instalar el controlador de dominio
papel en sí. Puede utilizar el Administrador del servidor, Windows
PowerShell o administración remota del servidor
Herramientas (RSAT) instaladas en un cliente de Windows 8.1.
Para instalar los archivos de AD DS en el servidor, puede hacer

uno de los siguientes:
• Utilice el Administrador del servidor para conectarse de forma remota

el servidor Server Core e instale AD DS
rol como se describe en el tema anterior.
• Utilice el comando de Windows PowerShell Install-WindowsFeature AD-Domain-Services para instalar el

archivos.
Una vez que instale los archivos de AD DS, puede completar todo excepto la instalación del hardware y
configuración de una de las siguientes formas:
• Utilice el Administrador del servidor para iniciar el Asistente de configuración de servicios de dominio de Active Directory como se describe
en el tema anterior.
• Ejecute el cmdlet Install-ADDSDomainController de Windows PowerShell y proporcione el

información en la línea de comando.
17/11/2020 20410D
Nota: En Windows Server 2012 y Windows Server 2012 R2, que tienen Windows
Versiones de PowerShell v3.0 y 4.0 respectivamente, ejecutar un cmdlet carga el módulo de cmdlets
automáticamente si está disponible. Por ejemplo, ejecutando el cmdlet Install-ADDSDomainController
carga el módulo ADDSDeployment automáticamente en su Windows PowerShell actual
sesión. Si un módulo no está cargado o disponible, recibirá un error cuando ejecute el cmdlet,
diciendo que no es un cmdlet válido.
Aún puede importar el módulo que necesita manualmente. Sin embargo, no necesita hacer esto en
Windows Server 2012 y Windows Server 2012 R2, a menos que exista una necesidad explícita de hacerlo, como
como apuntando a una fuente particular para instalar el módulo.
Página 105
Lectura adicional:
• Para obtener detalles completos sobre el uso del cmdlet de Windows PowerShell Install-ADDSDomainController
consulte "Instalar servicios de dominio de Active Directory (nivel 100)" en
• Consulte los enlaces en la siguiente página web para obtener más información:
Cmdlets de implementación de AD DS en Windows PowerShell, en
Actualizar un controlador de dominio
Nota: el proceso para actualizar un dominio

el controlador es el mismo si está actualizando
el controlador de dominio de Windows Server 2008
o Windows Server 2008 R2 a Windows Server
2012 o Windows Server 2012 R2.
El proceso también es el mismo cuando estás

actualizar el controlador de dominio desde Windows
Server 2012 a Windows Server 2012 R2.
Puede actualizar a Windows Server 2012

dominio de una de dos formas.
• Puede actualizar el sistema operativo en los controladores de dominio existentes que ejecutan Windows
Servidor 2008.
• Puede agregar servidores de Windows Server 2012 como controladores de dominio en un dominio que ya tiene dominio
controladores que ejecutan versiones anteriores de Windows Server.
De los dos métodos, el segundo es preferible porque cuando termine, tendrá una instalación limpia del
Sistema operativo Windows Server 2012 y la base de datos AD DS. Siempre que haya un nuevo controlador de dominio
agregado, los registros DNS del dominio se actualizan y los clientes encontrarán y usarán este controlador de dominio
inmediatamente.
Actualización a Windows Server 2012

Para actualizar un dominio de AD DS que se ejecuta en un nivel funcional de Windows Server anterior a un AD DS
dominio que se ejecuta en el nivel funcional de Windows Server 2012, primero debe actualizar todo el dominio
controladores al sistema operativo Windows Server 2012. Puede realizar esta actualización actualizando todos
de los controladores de dominio existentes a Windows Server 2012, o mediante la introducción de nuevos controladores de dominio que
están ejecutando Windows Server 2012 y luego eliminan gradualmente los controladores de dominio existentes.
17/11/2020 20410D
Una actualización del sistema operativo en el lugar no realiza la preparación automática de esquemas y dominios. A
realizar una actualización en el lugar de una computadora que tiene instalada la función AD DS, primero debe usar la
comandos de línea de comandos adprep.exe / forestprep y adprep.exe / domainprep para preparar el bosque
y dominio. La herramienta adprep se incluye en el medio de instalación en la carpeta \ Support \ Adprep. Ahí
no hay pasos de configuración adicionales después de ese punto, y puede continuar ejecutando Windows
Actualización del sistema operativo Server 2012.
Cuando promueve un servidor de Windows Server 2012 para que sea un controlador de dominio en un dominio existente y
ha iniciado sesión como miembro de los grupos de administradores de esquema y administradores de empresa, el esquema de AD DS
se actualiza automáticamente a Windows Server 2012. En este escenario, no es necesario ejecutar adprep
comandos antes de iniciar la instalación.
Página 106
Implementación de controladores de dominio de Windows Server 2012

Para actualizar el sistema operativo de un controlador de dominio de Windows Server 2008 a Windows Server 2012,
realice el siguiente procedimiento:
1. Inserte el disco de instalación de Windows Server 2012 y luego ejecute el programa de instalación.
Se abrirá el asistente de configuración de Windows.
2. Después de la página de selección de idioma , haga clic en Instalar ahora .
3. Después de la página de selección de sistema operativo y la página de aceptación de licencia , en el tipo

de instalación quieres? página, haga clic en Actualizar: instale Windows y mantenga los archivos, la configuración y
aplicaciones .
Nota: Con este tipo de actualización, no es necesario conservar la configuración de los usuarios y reinstalar
aplicaciones; todo se actualiza en el lugar. Recuerde verificar el hardware y el software
compatibilidad antes de realizar una actualización.
Para introducir una instalación limpia de Windows Server 2012 como controlador de dominio, realice los siguientes pasos:
1. Implemente y configure una nueva instalación de Windows Server 2012 y únala al dominio.
2. Promueva el nuevo servidor para que sea un controlador de dominio en el dominio mediante Server Manager 2012 o
uno de los otros métodos descritos anteriormente.
3. Actualice la configuración de DNS del cliente que hace referencia a los controladores de dominio antiguos para usar el nuevo dominio.
controlador.
Instalación de un controlador de dominio mediante la instalación desde medios
Si tiene una red intermedia que es lenta,

poco confiable o costoso, puede que le resulte necesario
agregar otro controlador de dominio en un control remoto
ubicación o sucursal. En este escenario, es
a menudo es mejor implementar AD DS en un servidor utilizando
el método Install from Media (IFM) en lugar de
desplegándolo en la red.
Por ejemplo, si se conecta a un servidor que está en un

oficina remota y use el Administrador del servidor para instalar
AD DS, toda la base de datos de AD DS y el
La carpeta SYSVOL se copiará al nuevo dominio
controlador sobre una WAN potencialmente no confiable
conexión. Como alternativa, y para reducir significativamente la cantidad de tráfico que se mueve a través del enlace WAN,
puede hacer una copia de seguridad de AD DS (quizás en una unidad USB) y llevar esta copia de seguridad a la ubicación remota.
Cuando esté en la ubicación remota y ejecute el Administrador del servidor para instalar AD DS, puede seleccionar la opción
instalar desde los medios. La mayor parte de la copia se realiza localmente y el enlace WAN se usa solo por seguridad.
tráfico y para garantizar que el nuevo controlador de dominio reciba los cambios que se realizaron en la central
AD DS después de crear la copia de seguridad de IFM.
Para instalar un controlador de dominio mediante IFM, busque un controlador de dominio que no sea un RODC. Utilizar el
17/11/2020 20410D
ntdsutil herramienta de línea de comandos para crear una instantánea de la base de datos de AD DS y luego copiar la instantánea a
el servidor que se promoverá a controlador de dominio. Utilice el Administrador del servidor para promover el servidor a
Página 107
controlador de dominio seleccionando la opción Instalar desde medio y luego proporcionando la ruta local al
Directorio IFM que creó anteriormente.
El procedimiento es el siguiente:
1. En el controlador de dominio completo, en un símbolo del sistema administrativo, escriba los siguientes comandos
(donde C: \ IFM es el directorio de destino que contendrá la instantánea de la base de datos de AD DS):
Ntdstil
Activar ntds de instancia
Ifm
crear SYSVOL completo C: \ IFM
2. En el servidor que está promocionando a un controlador de dominio, realice los siguientes pasos:
a. Use el Administrador del servidor para agregar la función de AD DS.
segundo. Espere mientras se instalan los archivos de AD DS.
C. En el Administrador del servidor, haga clic en el icono de Notificación y en Configuración posterior a la implementación ,
haga clic en Promocionar este servidor a un controlador de dominio .
Se ejecuta el Asistente para configuración de servicios de dominio de Active Directory.
re. En la página correspondiente del asistente, seleccione la opción para instalar desde IFM y luego proporcione
la ruta local al directorio de instantáneas.
3. Luego, AD DS se instala desde la instantánea.
4. Cuando se reinicia el controlador de dominio, se pone en contacto con otros controladores de dominio en el dominio y actualiza
AD DS con los cambios realizados desde que se creó la instantánea.
Lectura adicional: para obtener más información sobre los pasos necesarios para instalar AD DS, consulte
para "Instalar servicios de dominio de Active Directory (nivel 100)" en
¿Qué es Windows Azure Active Directory?
Windows Azure Active Directory (Windows

Azure AD) es un servicio que proporciona identidad
gestión y control de acceso para su nube
aplicaciones basadas. Usas Windows Azure AD
cuando se suscribe a Microsoft Office® 365,
Exchange Online, Microsoft SharePoint ® en línea,
o Microsoft Lync ® Online. Además, puede
usar Windows Azure AD con aplicaciones de Windows Azure
o aplicaciones conectadas a Internet que requieren
autenticación. Puede sincronizar su
AD DS local con Windows Azure AD para
Permita que sus usuarios usen la misma identidad en
tanto los recursos internos como los recursos basados en la nube.
17/11/2020 20410D
Página 108
Windows Azure AD no incluye todos los servicios disponibles con Windows local
Solución Server 2012 Active Directory. Active Directory de Windows Server 2012 admite cinco
servicios:
• Servicio de dominio de Active Directory (AD DS)
• Servicio de directorio ligero de Active Directory (AD LDS)
• Servicio de federación de Active Directory (AD FS)
• Servicio de certificados de Active Directory (AD CS)
• Servicio de administración de derechos de Active Directory (AD RMS)
Windows Azure AD incluye solo:
• Windows Azure AD, que admite la gestión de identidades en la nube.
• Servicio de control de acceso de Windows Azure, que admite la federación con administración de identidad externa
servicios, incluido su AD DS local.
Windows Azure AD no es compatible con las aplicaciones integradas de Active Directory. Para aplicaciones a
integrarse con Windows Azure AD, deben estar escritos para Windows Azure AD.
Nota: No crea controladores de dominio de AD DS en Windows Azure AD. Puedes usarlo como
un servicio independiente o integrarlo con su infraestructura de AD existente. Sin embargo, no eres
crear o administrar los sistemas Windows Azure AD. En cambio, está administrando a sus usuarios en
el servicio Windows Azure AD.
Implementación de controladores de dominio en Windows Azure
Windows Azure también proporciona infraestructura como

Servicio (IaaS), que le permite ejecutar servicios
e infraestructura en Windows Azure
plataforma. Específicamente, IaaS de Windows Azure
proporciona almacenamiento, redes, alojamiento de bases de datos,
y servicios de alojamiento de máquinas virtuales. Todos
consideraciones para virtualizar aplicaciones y
los servidores en la infraestructura local se aplican cuando
implementa las mismas aplicaciones y servidores para
Windows Azure.
Nota: Windows Server 2012 activo

Directory, que se implementó en Windows Azure, no es lo mismo que Windows Azure AD.
Windows Server 2012 Active Directory, que se ha implementado en Windows Azure, es suyo
roles y servicios (AD DS, AD LDS, AD FS, AD CS y AD RMS) en los que ha implementado
Windows Azure.
Cuando implementa AD DS en Windows Azure, es responsable de mantener todo

excepto el hardware.
Windows Azure AD es un servicio que Microsoft ha configurado en la nube. No tiene todo

las funciones que tiene un AD DS local; se ocupa principalmente de la gestión de identidades
y control de acceso.
Con Windows Azure AD, usted es responsable únicamente de administrar sus datos.
Página 109
Windows Server 2012 está diseñado para facilitar su integración en sistemas basados en la nube. Uno de
17/11/2020 20410D
las decisiones más importantes que debe tomar un administrador es si la organización debe utilizar
IaaS de nube pública o tecnología de virtualización de nube privada, o continúe utilizando servidores físicos.
Cuando implemente AD DS en Windows Azure, tenga en cuenta lo siguiente:
• Retroceder. Si bien Windows Azure no proporciona servicios de reversión a los clientes, Windows Azure
los servidores pueden revertirse como parte regular del mantenimiento. Sin embargo, cuando un sistema AD DS
revertido, se pueden crear números de secuencia de actualización (USN) duplicados, y debido a que el dominio
La replicación del controlador depende de los USN, los números duplicados pueden causar problemas. Para prevenir esto,
Windows Server 2012 Active Directory introdujo un nuevo identificador llamado VM-Generation ID . VM-
El ID de generación puede detectar una reversión y evita que el controlador de dominio virtualizado se replique
cambios salientes hasta que el AD DS virtualizado haya convergido con los otros controladores de dominio en el
dominio.
• Limitaciones de la máquina virtual. Las máquinas virtuales de Windows Azure están limitadas a 14 GB de RAM y una
adaptador de red. Además, la función de punto de control no es compatible.
Cuando implementa Windows Server 2012 Active Directory en máquinas virtuales de Windows Azure, el
La implementación está sujeta a las mismas pautas que la ejecución de AD DS local en una máquina virtual. Estas
Las pautas incluyen lo siguiente:
• Sincronización de tiempo. Una infraestructura de dominio de AD DS basada en Windows se basa libremente en todos
máquinas comunicantes teniendo la hora correcta. Cuando los relojes del controlador de dominio y el dominio
Los relojes de los miembros tienen una diferencia horaria de más de cinco minutos, los clientes no pueden iniciar sesión ni acceder
recursos de red. Por lo tanto, Windows tiene el servicio de hora de Windows (w32time). Este servicio asegura
que la hora está sincronizada en todo el dominio de la siguiente manera:
o El emulador de PDC del dominio raíz debe configurarse con una fuente de tiempo externa, como
un proveedor de tiempo de Internet mediante el protocolo de tiempo de red (NTP).
o Los controladores de dominio utilizan el emulador de PDC desde su propio dominio o desde su dominio principal.
o Los miembros del dominio obtienen la hora de su controlador de dominio.
Sincronizar la hora en todo el dominio no es tan fácil en entornos virtualizados como en entornos físicos.
ordenadores. El motor de virtualización regula el uso del procesamiento central del host de virtualización.
unidades (CPU) y distribuye los recursos del sistema entre las máquinas virtuales según sea necesario. los
El reloj del sistema operativo se basa en ciclos de CPU estables, que no existen en entornos virtuales.
Los motores de virtualización realizan la sincronización horaria con los equipos invitados de forma predeterminada. Cuando
Los hosts de virtualización no participan en la sincronización de tiempo, el tiempo de dominio y la virtualización.
Es probable que la hora del host no esté sincronizada. Mientras que las computadoras físicas participan en la
sincronización de hora, las máquinas virtuales se restablecen a la hora del host de virtualización. Para evitar esto
problema, debe configurar el host de virtualización para participar en la sincronización de tiempo o deshabilitar
la sincronización con los controladores de dominio virtuales.
• Punto único de fallo. Los controladores de dominio de AD DS son las piezas más importantes de su
infraestructura. Si fallan, los usuarios no pueden iniciar sesión, acceder a recursos o aplicaciones, y ciertos
es posible que los servicios no se ejecuten tan bien como lo harían normalmente. Por eso es muy importante que su dominio de AD DS
Los controladores están configurados para que no sean un solo punto de falla.
Cuando virtualiza controladores de dominio en Windows Azure, no controla los

infraestructura, por lo que no puede utilizar la misma estrategia para evitar un solo punto de falla que para un
instalación local. Para instalar varios controladores de dominio en Windows Azure y asegurarse de que lo hagan
no comparte ningún hardware, puede instalar cada controlador de dominio en un Windows Azure diferente
centro de datos.
Página 110
Laboratorio: Instalación de controladores de dominio

Guión
Su gerente le ha pedido que instale un nuevo controlador de dominio en el centro de datos para mejorar el inicio de sesión
rendimiento y para crear un nuevo controlador de dominio para una sucursal mediante IFM.
Objetivos
Después de realizar esta práctica de laboratorio, debería poder:
17/11/2020 20410D
• Instale un controlador de dominio.
• Instale un controlador de dominio mediante IFM.

20410D ‑ LON ‑ SVR1
20410D-LON-RTR
20410D ‑ LON ‑ SVR2
2. En Hyper-V Manager, haga clic en 20410D-LON-DC1 , y luego en el panel Acciones, haga clic en Iniciar .
3. En el panel Acciones, haga clic en Conectar .
Espere hasta que se inicie la máquina virtual.
o Dominio: Adatum
5. Repita los pasos 2 a 4 para 20410D-LON-SVR1 , 20410D-LON-RTR y 20410D-LON-SVR2 .
Ejercicio 1: instalación de un controlador de dominio

Guión
Los usuarios están experimentando inicios de sesión lentos en Londres durante las horas pico de uso. El equipo del servidor ha determinado
que los controladores de dominio están abrumados cuando muchos usuarios se autentican simultáneamente. Mejorar
rendimiento de inicio de sesión, agregará un nuevo controlador de dominio en el centro de datos de Londres.
Página 111
1. Agregue una función de Servicios de dominio de Active Directory (AD DS) a un servidor miembro.
2. Configure un servidor como controlador de dominio.
3. Configure un servidor como servidor de catálogo global.
▶ Tarea 1: Agregar una función de Servicios de dominio de Active Directory (AD DS) a un servidor miembro
1. En LON-DC1, en el Administrador del servidor, agregue LON-SVR1 a la lista de servidores.
2. Agregue la función del servidor de Servicios de dominio de Active Directory a LON-SVR1 . Agregue todas las funciones requeridas como
solicitado.
La instalación tardará varios minutos.
3. Cuando se complete la instalación, haga clic en Cerrar para cerrar el Asistente para agregar funciones y funciones.
▶ Tarea 2: configurar un servidor como controlador de dominio
17/11/2020 20410D
• En LON-DC1, use el Administrador del servidor para promover LON-SVR1 a un controlador de dominio y elija el
siguientes opciones:
o Agregar un controlador de dominio al dominio Adatum.com existente
o Utilice las credenciales Adatum \ Administrator con la contraseña Pa $$ w0rd
o Para Opciones de controlador de dominio, instale el Sistema de nombres de dominio , pero elimine la selección para
instalar el catálogo global
o La contraseña de DSRM es Pa $$ w0rd
o Para todas las demás opciones, use las opciones predeterminadas
▶ Tarea 3: configurar un servidor como servidor de catálogo global

1. Inicie sesión en LON-SVR1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. Utilice Sitios y servicios de Active Directory para convertir LON-SVR1 en un servidor de catálogo global.
Resultados : después de completar este ejercicio, habrá explorado el Administrador del servidor y ascendido a un miembro
servidor para ser un controlador de dominio.
Ejercicio 2: instalación de un controlador de dominio mediante IFM

Guión
Su gerente le ha asignado para administrar una de las nuevas sucursales que se están configurando. UNA
Se instalará una conexión de red más rápida en unas pocas semanas. Hasta entonces, la conectividad de la red será muy
lento.
La sucursal requiere un controlador de dominio para admitir inicios de sesión locales. Para evitar problemas con el lento
conexión de red, utilizará IFM para instalar el controlador de dominio en la sucursal.
1. Utilice la herramienta ntdsutil para generar IFM.
2. Agregue la función de AD DS al servidor miembro.
3. Utilice IFM para configurar un servidor miembro como un nuevo controlador de dominio.
Página 112
▶ Tarea 1: use la herramienta ntdsutil para generar IFM

1. En LON-DC1, abra una interfaz de línea de comandos administrativa y luego use ntdsutil para crear una
Copia de seguridad IFM tanto de la base de datos de AD DS como de la carpeta SYSVOL. Los comandos para crear la copia de seguridad
son como sigue:
Ntdsutil
Activar ntds de instancia
Ifm
Crear sysvol completo c: \ ifm
2. Espere a que se complete el comando IFM y luego cierre el símbolo del sistema.
▶ Tarea 2: agregar la función de AD DS al servidor miembro

1. Cambie a LON-SVR2 e inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. Abra un símbolo del sistema y luego asigne la letra de unidad K: a \\ LON-DC1 \ C $ \ IFM .
3. Utilice el Administrador del servidor para instalar la función del servidor AD DS en LON-SVR2.
▶ Tarea 3: Use IFM para configurar un servidor miembro como un nuevo controlador de dominio
1. En LON-SVR2, en el símbolo del sistema, copie la copia de seguridad IFM de K: a C: \ ifm .
2. En LON-SVR2, use el Administrador del servidor con las siguientes opciones para realizar la implementación posterior
configuración de AD DS:
17/11/2020 20410D
o Agregar un controlador de dominio al dominio Adatum.com existente
o Utilice Adatum \ Administrator con la contraseña Pa $$ w0rd para las credenciales
o Utilice Pa $$ w0rd para la contraseña DSRM
o Utilice los medios IFM para configurar e instalar AD DS. Utilice la ubicación C: \ IFM para los medios IFM
o Aceptar todos los demás valores predeterminados
3. Reinicie LON-SVR2 para completar la instalación de AD DS.
Resultados : después de completar este ejercicio, habrá instalado un controlador de dominio adicional para el
sucursal mediante IFM.

Pregunta: ¿Por qué usó el Administrador del servidor y no dcpromo cuando promovió un servidor?
ser un controlador de dominio?
Pregunta: ¿Cuáles son los tres maestros de operaciones que se encuentran en cada dominio?
Pregunta: ¿Cuáles son los dos maestros de operaciones que están presentes en un bosque?
Pregunta: ¿Cuál es el beneficio de realizar una instalación IFM de un controlador de dominio?
Página 113

Cuando haya completado el laboratorio, vuelva las máquinas virtuales a su estado inicial. Para hacer esto, complete
los siguientes pasos:
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-DC1 y luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 , 20410D-LON-RTR y 20410D-LON-SVR2 .
17/11/2020 20410D
Página 114

Pregunta: ¿Cuáles son los dos propósitos principales de las unidades organizativas?
Pregunta: ¿Por qué necesitaría implementar un árbol adicional en el bosque de AD DS?
Pregunta: ¿Qué método de implementación usaría si tuviera que instalar una

controlador de dominio en una ubicación remota que tenía una conexión WAN limitada?
Pregunta: Si necesita promover una instalación Server Core de Windows Server 2012 para ser
un controlador de dominio, ¿qué herramienta o herramientas podría utilizar?
Pregunta: Si desea ejecutar un controlador de dominio en la nube, ¿qué servicio debería

considerar el uso de máquinas virtuales Windows Azure AD o Windows Azure IaaS?
17/11/2020 20410D
Página 115
3-1
Módulo 3
Administrar objetos de servicios de dominio de Active Directory
Contenido:
Lección 1: Gestión de cuentas de usuario 3-2
Lección 2: Gestión de grupos 3-12
Lección 3: Administrar cuentas de computadora 3-21
Lección 4: Delegación de la administración 3-29
Laboratorio: Administración de objetos de servicios de dominio de Active Directory 3-33

Los servicios de dominio de Active Directory (AD DS) pueden ayudarlo a administrar su red de manera más efectiva en muchos
formas. Por ejemplo, le permite administrar cuentas de usuarios y computadoras como parte de grupos en lugar de
administrar una cuenta a la vez. También proporciona formas de delegar tareas administrativas a varias personas.
para ayudarlo a distribuir las cargas de trabajo de manera eficiente.
La gestión de identidades de dispositivos es cada vez más compleja a medida que más empleados traen sus propios dispositivos
en el lugar de trabajo. A medida que se amplíen los programas de traer su propio dispositivo (BYOD), usted estará administrando
identidades para muchos tipos de dispositivos personales y los diversos sistemas operativos que ejecutan. AD DS tiene
muchas funciones que pueden facilitarlo.
Este módulo describe cómo administrar cuentas de usuario y cuentas de computadora, incluido cómo administrar
Programas BYOD. Cubre cómo administrar una red empresarial administrando grupos, en lugar de
administrar identidades individuales y cómo delegar tareas administrativas a usuarios o grupos designados
para asegurar que la administración de la empresa sea eficiente y eficaz.
Objetivos
• Gestionar cuentas de usuario con herramientas gráficas.
• Administrar cuentas grupales con herramientas gráficas.
• Administrar cuentas de computadora.
17/11/2020 20410D
• Delegar permisos para realizar la administración de AD DS.
Página 116
3-2 Administrar objetos de servicios de dominio de Active Directory
Lección 1
Gestión de cuentas de usuario
Un objeto de usuario en AD DS es mucho más que propiedades relacionadas con la identidad de seguridad o cuenta del usuario.
Es la piedra angular de la identidad y el acceso en AD DS. Por lo tanto, procesos consistentes, eficientes y seguros
con respecto a la administración de cuentas de usuario son la piedra angular de la gestión de la seguridad empresarial.
En esta lección, aprenderá a administrar las cuentas de los usuarios, que es más complejo que simplemente crear
y eliminándolos. Las cuentas de usuario tienen muchos atributos asociados que se pueden utilizar para
una variedad de propósitos, como almacenar información adicional de contacto del usuario o información específica de la aplicación
para aplicaciones compatibles con Active Directory. Además, hay archivos y configuraciones específicos del usuario que no
almacenados en Active Directory pero normalmente se almacenan en el perfil de usuario. Por último, aprenderá a utilizar user
plantillas para ayudarlo a crear cuentas de usuario más fácilmente.
• Ver objetos de AD DS mediante el uso de varias herramientas de administración de AD DS.
• Explicar cómo crear cuentas de usuario que puede utilizar en una red empresarial.
• Describir cómo configurar los atributos importantes de la cuenta de usuario.
• Describir cómo crear perfiles de usuario.
• Explicar cómo administrar las cuentas de usuario.
Herramientas de administración de AD DS
Antes de que pueda comenzar a crear y administrar usuarios,

cuentas de grupo y de computadora, es importante
que comprenda qué herramientas puede utilizar para
realizar estas diversas tareas de gestión.
Administración de Active Directory

Complementos
Realiza la mayor parte de la administración de AD DS con el
siguientes complementos:
• Directorio activo de usuarios y computadoras. usted

utilice este complemento para administrar los
recursos diarios, incluidos usuarios, grupos,
computadoras y unidades organizativas (OU). Es probable que utilice este complemento con mucha más frecuencia que el
otros tres.
• Sitios y servicios de Active Directory. Utilice este complemento para administrar la replicación, la topología de red y
servicios relacionados.
• Dominios y fideicomisos de Active Directory. Utiliza este complemento para configurar y mantener la confianza
relaciones y el nivel funcional del bosque.
• Esquema de Active Directory. Utilice este complemento para examinar y modificar la definición de Activo
Atributos de directorio y clases de objetos. Es el modelo de AD DS. Rara vez lo mirarás y
incluso más raramente cambiarlo. Por lo tanto, el complemento Esquema de Active Directory no está registrado por
17/11/2020 20410D
defecto.
Página 117
Nota: Para registrar el complemento Esquema de Active Directory, ejecute el siguiente comando en un
símbolo del sistema elevado:
regsvr32 schmmgmt.dll
Nota: Puede administrar AD DS desde un servidor que no sea un controlador de dominio, utilizando
Herramientas de administración de servidor remoto (RSAT). RSAT se puede instalar desde el nodo Características de
Administrador del servidor en Windows Server ® 2012.
También puede administrar AD DS desde un equipo cliente mediante RSAT. Necesita usar RSAT para
Windows 8 ® en Windows Server 2012 y RSAT para Windows 8.1 ® en Windows Server 2012 R2.
RSAT para Windows 7 ® no le permitirá administrar AD DS en Windows Server 2012 o en
Después de descargar los archivos de instalación de RSAT del sitio web de Microsoft, ejecute el Asistente de configuración,
que lo lleva a través de la instalación. Después de instalar RSAT, debe encender la herramienta o
herramientas que desea utilizar. Para hacer esto, en el Panel de control, en la categoría Programas y características
página, utilice Activar o desactivar las funciones de Windows.
Enlaces de referencia: para descargar los archivos de instalación de RSAT, vaya a Microsoft Download
Center en http://go.microsoft.com/fwlink/?LinkID=266735 .
Centro administrativo de Active Directory

Windows Server 2012 proporciona otra opción para administrar objetos de AD DS. El directorio activo
Centro Administrativo proporciona una interfaz gráfica de usuario (GUI) construido sobre Windows PowerShell ® . usted
puede usar esta interfaz mejorada para realizar la administración de objetos de AD DS mediante la navegación orientada a tareas.
Las tareas que puede realizar mediante el Centro de administración de Active Directory incluyen:
• Crear y administrar cuentas de usuarios, computadoras y grupos
• Crear y administrar OU
• Conéctese y administre múltiples dominios dentro de una sola instancia de Active Directory
Centro administrativo
• Busque y filtre datos de Active Directory mediante la creación de consultas
• Administrar la configuración del control de acceso dinámico, como las políticas de acceso central y las reglas de acceso central
Todas las acciones que realiza el Centro de administración de Active Directory son comandos de Windows PowerShell,
que puede ver en el área de historial de Windows PowerShell del Centro de administración de Active Directory.
Puede copiar estos scripts y reutilizarlos en procedimientos posteriores.
Windows PowerShell
Puede utilizar el módulo de Active Directory para Windows PowerShell (módulo de Active Directory) para crear y
administrar objetos en AD DS. Windows PowerShell no es solo un lenguaje de secuencias de comandos; también te permite correr
comandos que realizan tareas administrativas, como crear nuevas cuentas de usuario, configurar servicios,
eliminar buzones de correo y funciones similares.
Windows PowerShell 3.0 se instala de forma predeterminada en Windows Server 2012 y Windows PowerShell v4
instalado de forma predeterminada en Windows Server 2012 R2.
Página 118
17/11/2020 20410D
3-4 Administración de objetos de servicios de dominio de Active Directory
Los cmdlets individuales se agrupan en módulos de Windows PowerShell. Los módulos deben instalarse
en un sistema para que estén disponibles en sus sesiones de Windows PowerShell. Cuando usa Windows
Cmdlet de PowerShell, el módulo correspondiente se importa automáticamente. Por ejemplo, ejecutar el cmdlet
Get-ADDomain carga el módulo de Active Directory automáticamente en esa sesión en particular. El activo
El módulo de directorio está instalado y disponible para su uso cuando realiza una de las siguientes acciones:
• Instale la función de servidor de AD DS o Active Directory Lightweight Directory Services (AD LDS)
• Instalar RSAT
Ejecutar el comando Get-Module -ListAvailable enumera todos los módulos instalados disponibles que pueden
importarse automáticamente o manualmente mediante el cmdlet Import-Module . Si necesitas un
módulo que no aparece en la lista, debe instalar el servicio de función correspondiente o la herramienta de administración.
Herramientas de línea de comandos del servicio de directorio

También puede usar las herramientas de línea de comandos de Directory Service, además de Windows PowerShell. Estas
Las herramientas le permiten crear, modificar, administrar y eliminar objetos de AD DS, como usuarios, grupos y
ordenadores. Puede utilizar los siguientes comandos:
• dsadd . Úselo para crear nuevos objetos
• dsget . Úselo para mostrar objetos y sus propiedades
• dsmod . Úselo para editar objetos y sus propiedades
• dsmove . Úselo para mover objetos
• dsquery . Úselo para consultar AD DS en busca de objetos que coincidan con los criterios que proporcionó
• dsrm . Úselo para eliminar objetos
Nota: es posible canalizar los resultados del comando dsquery a otro servicio de directorio
comandos. Por ejemplo, escribir lo siguiente en un símbolo del sistema devuelve el teléfono de la oficina
número de todos los usuarios cuyo nombre comienza con John:
dsquery nombre de usuario John * | usuario de dsget –tel
Crear cuentas de usuario
En AD DS, todos los usuarios que requieren acceso a la red

Los recursos deben configurarse con una cuenta de usuario.
Con esta cuenta de usuario, los usuarios pueden autenticarse en
el dominio de AD DS y acceder a los recursos de la red.
En Windows Server 2012, una cuenta de usuario es una

objeto que contiene toda la información que
define un usuario. Una cuenta de usuario incluye al usuario
nombre, contraseña de usuario y pertenencia a grupos.
Una cuenta de usuario también contiene muchas otras configuraciones
que puede configurar según su
requisitos organizativos.
Con una cuenta de usuario, puede:
• Permitir o denegar a los usuarios el permiso para iniciar sesión en una computadora según la identidad de su cuenta de usuario.
• Otorgar a los usuarios acceso a procesos y servicios para un contexto de seguridad específico.
Página 119
• Administre el acceso de los usuarios a recursos como objetos de AD DS y sus propiedades, carpetas compartidas, archivos,
directorios y colas de impresión.
Una cuenta de usuario permite que un usuario inicie sesión en computadoras y dominios con una identidad que el dominio
puede autenticar. Cuando crea una cuenta de usuario, debe proporcionar un nombre de inicio de sesión de usuario, que debe ser
17/11/2020 20410D
único en el dominio y bosque en el que se crea la cuenta de usuario.
Para maximizar la seguridad, debe evitar que varios usuarios compartan una sola cuenta y, en cambio, asegurarse de que
cada usuario que inicia sesión en la red tiene una cuenta de usuario y una contraseña únicas.
Nota: este curso se centra en las cuentas de AD DS, pero también puede almacenar cuentas de usuario en el
base de datos del administrador de cuentas de seguridad local (SAM) de cada computadora, lo que permite el inicio de sesión local y
acceso a recursos locales. Las cuentas de usuarios locales están, en su mayor parte, más allá del alcance de este
curso.
Crear cuentas de usuario

Una cuenta de usuario incluye el nombre de usuario y la contraseña, que sirven como credenciales de inicio de sesión del usuario. Un usuario
El objeto también incluye varios otros atributos que describen y administran al usuario.
Puede utilizar Usuarios y equipos de Active Directory, Centro administrativo de Active Directory, Windows
PowerShell o la herramienta de línea de comandos dsadd para crear un objeto de usuario. Cuando crea cuentas de usuario,
considere los siguientes elementos:
• El nombre completo. El nombre completo se utiliza para crear varios atributos de un objeto de usuario, en particular, el
Atributos de nombre común y nombre para mostrar. El nombre común de un usuario es el nombre que se muestra en
el panel de detalles del complemento y debe ser único dentro del contenedor o la unidad organizativa. Si crea un usuario
objeto para una persona con el mismo nombre que un usuario existente en la misma unidad organizativa o contenedor, debe
dé al nuevo objeto de usuario un nombre completo único.
• El inicio de sesión del nombre principal de usuario (UPN). Los inicios de sesión UPN de usuario siguen el formato nombre de inicio de sesión de usuario @ (UPN
sufijo) .
Los nombres de usuario en AD DS pueden contener caracteres especiales, incluidos puntos, guiones y apóstrofos.
Estos caracteres especiales le permiten generar nombres de usuario precisos, como O'Hare y Smith-Bates.
Sin embargo, ciertos programas y aplicaciones pueden tener otras restricciones, por lo que le recomendamos que utilice
solo letras y números estándar hasta que pruebe las aplicaciones en su entorno empresarial por completo
para compatibilidad con caracteres especiales.
Puede administrar la lista de sufijos UPN disponibles utilizando Dominios y fideicomisos de Active Directory
complemento. Haga clic con el botón derecho en la raíz del complemento, haga clic en Propiedades y luego use la pestaña Sufijos UPN para agregar
o eliminar sufijos. El nombre del sistema de nombres de dominio (DNS) de su dominio de AD DS siempre está disponible
como sufijo y no puede eliminarlo.
Nota: Es importante que implemente una estrategia de nomenclatura de cuentas de usuario, especialmente en
Grandes redes en las que los usuarios pueden compartir el mismo nombre completo. Una combinación de apellido y
nombre y, cuando sea necesario, caracteres adicionales, deben producir un nombre de cuenta de usuario único.
Específicamente, solo el nombre UPN debe ser único dentro de su bosque de AD DS. El nombre completo
debe ser único solo dentro de la OU donde reside, mientras que el nombre de User sAMAccountName
debe ser único dentro de ese dominio.
Página 120
Configurar atributos de cuenta de usuario
Cuando crea una cuenta de usuario en AD DS,

también configura toda la cuenta asociada
propiedades o atributos.
Nota: Los atributos asociados con

una cuenta de usuario se define como parte de AD DS
esquema, que miembros de los administradores de esquema
el grupo de seguridad puede modificar. Generalmente, el esquema
no cambia a menudo. Sin embargo, cuando un
17/11/2020 20410D
programa de nivel empresarial (como Microsoft ®
Exchange Server) se presenta, muchos esquemas
Se requieren cambios. Estos cambios permiten
objetos, incluidos los objetos de usuario, para tener atributos adicionales.
Cuando crea un nuevo objeto de usuario, debe definir los atributos que permiten al usuario iniciar sesión por
usando la cuenta además de algunos otros atributos. Porque puede asociar un objeto de usuario con muchos
atributos, es importante que comprenda cuáles son estos atributos y cómo puede utilizarlos en
tu organización.
Categorías de atributos
Los atributos de un objeto de usuario se dividen en varias categorías amplias. Estas categorías aparecen en la navegación
panel del cuadro de diálogo Propiedades de usuario en el Centro de administración de Active Directory, e incluya el
siguiendo:
• Cuenta. Además de las propiedades el nombre del usuario (Nombre , Inicial , Apellidos , nombre completo)
y los distintos nombres de inicio de sesión del usuario (inicio de sesión de usuario UPN , inicio de sesión de usuario sAMAccountName), puede
configurar las siguientes propiedades adicionales:
o Iniciar sesión en horas. Esta propiedad define cuándo se puede utilizar la cuenta para acceder a los equipos del dominio.
Puede utilizar la vista de estilo de calendario semanal para definir las horas permitidas de inicio de sesión y el inicio de sesión denegado
horas.
o Inicie sesión en. Utilice esta propiedad para definir qué equipos puede utilizar un usuario para iniciar sesión en el dominio.
Especifique el nombre de la computadora y agréguelo a una lista de computadoras permitidas.
o La cuenta expira. Este valor es útil cuando desea crear cuentas de usuario temporales. por
Por ejemplo, es posible que desee crear cuentas de usuario para pasantes que estarán en su empresa por solo
un año. Puede establecer la fecha de vencimiento de la cuenta por adelantado. La cuenta no se puede utilizar después
la fecha de vencimiento hasta que un administrador la reconfigure manualmente.
o El usuario debe cambiar la contraseña en el próximo inicio de sesión. Esta propiedad le permite obligar a los usuarios a restablecer sus
propia contraseña la próxima vez que inicien sesión. Esto suele ser algo que puede habilitar después de
restablecer la contraseña de un usuario.
o Se requiere una tarjeta inteligente para el inicio de sesión interactivo. Este valor restablece la contraseña del usuario a un complejo,
secuencia aleatoria de caracteres y establece una propiedad que requiere que el usuario utilice una tarjeta inteligente
para autenticarse durante el inicio de sesión.
o La contraseña nunca caduca. Esta es una propiedad que normalmente usa con cuentas de servicio; es decir,
aquellas cuentas que no son utilizadas por usuarios habituales sino por servicios. Al establecer este valor, debe
recuerde actualizar la contraseña manualmente de forma periódica. Sin embargo, no está obligado a
haga esto en un intervalo predeterminado. En consecuencia, la cuenta nunca se puede bloquear debido a
Caducidad de la contraseña: una característica que es particularmente importante para las cuentas de servicio.
Página 121
o El usuario no puede cambiar la contraseña. Esta opción se usa generalmente para cuentas de servicio.
o Almacene la contraseña mediante cifrado reversible. Esta política brinda apoyo a los programas que utilizan
protocolos que requieren el conocimiento de la contraseña del usuario para fines de autenticación. Almacenamiento
contraseñas que utilizan cifrado reversible es esencialmente lo mismo que almacenar versiones de texto sin formato de la
contraseñas. Por esta razón, nunca debe habilitar esta política a menos que los requisitos del programa
supere la necesidad de proteger la información de la contraseña. Esta política es necesaria cuando utiliza
Desafiar la autenticación del Protocolo de autenticación de protocolo de enlace (CHAP) a través del acceso remoto o
Servicio de autenticación de Internet (IAS). También es necesario cuando se utiliza la autenticación implícita en
Servicios de información de Internet (IIS).
o La cuenta es de confianza para la delegación. Puede utilizar esta propiedad para permitir que una cuenta de servicio
hacerse pasar por un usuario estándar para acceder a los recursos de la red en nombre de un usuario.
• Organización. Esto incluye propiedades como el nombre para mostrar del usuario , la oficina , la dirección de correo electrónico, varias
números de teléfono de contacto, estructura administrativa, nombres de departamentos y empresas, direcciones y
otras propiedades.
• Miembro de. Esta sección le permite definir las membresías de grupo para el usuario.
• Configuración de contraseña. Esta sección incluye configuraciones de contraseña que se aplican directamente al usuario.
17/11/2020 20410D
• Perfil. Esta sección le permite configurar una ubicación para los datos personales del usuario y definir un
ubicación en la que se guardará el perfil de escritorio del usuario cuando cierre la sesión.
• Extensiones. Esta sección expone muchas propiedades de usuario adicionales, la mayoría de las cuales normalmente no
requieren configuración manual.
Crear perfiles de usuario
Cuando los usuarios cierran la sesión, su escritorio y aplicación

las configuraciones se guardan en una subcarpeta en C: \ Users
carpeta en el disco duro local que coincida con su
nombre de usuario. Esta carpeta contiene su perfil de usuario.
Dentro de esta carpeta, las subcarpetas contienen documentos
y configuraciones que representan el perfil del usuario,
incluidos documentos, videos, imágenes y
Descargas.
Si es probable que un usuario inicie sesión de forma interactiva en más

de una estación de trabajo cliente, es preferible
estos ajustes y documentos estarán disponibles en
esas otras estaciones de trabajo del cliente. Hay un
varias formas en las que puede asegurarse de que los usuarios puedan acceder a sus perfiles desde varias estaciones de trabajo.
Configuración de las propiedades de la cuenta de usuario para administrar perfiles

Puede configurar las siguientes propiedades del perfil de escritorio de un usuario mediante la configuración de la cuenta de usuario
en el Centro de administración de Active Directory:
• Ruta del perfil. Esta ruta es local o, más generalmente, una ruta de Convención de nomenclatura universal (UNC).
La configuración del escritorio del usuario se almacena en el perfil. Si un perfil de usuario tiene una ruta UNC, entonces el usuario
tener acceso a la configuración de su escritorio independientemente del equipo de dominio en el que inicien sesión. Esto es conocido
como perfil itinerante .
Página 122
Nota: como práctica recomendada, utilice una subcarpeta de la carpeta de inicio del usuario para el perfil del usuario.
camino.
• Script de inicio de sesión. Este es un archivo por lotes que contiene comandos que se ejecutan cuando el usuario inicia sesión.
Normalmente, utiliza estos comandos para crear asignaciones de unidades. En lugar de utilizar un lote de secuencias de comandos de inicio de sesión
, normalmente implementará scripts de inicio de sesión utilizando GPO o preferencias de directiva de grupo. Si utiliza
un script de inicio de sesión, el nombre del script debe ser solo un nombre de archivo (con extensión). Los guiones deben ser
almacenado en la carpeta C: \ Windows \ SYSVOL \ domain \ scripts en todos los controladores de dominio.
• Carpeta de inicio. Esta es un área de almacenamiento en la que los usuarios pueden guardar sus documentos personales. Puede especificar
ya sea una ruta local, o más generalmente, una ruta UNC a la carpeta del usuario. También debe especificar una unidad
letra que se utiliza para asignar una unidad de red a la ruta UNC especificada. A continuación, puede configurar un usuario
documentos personales a esta carpeta de inicio redirigida.
Nota: cuando crea cuentas de usuario para usarlas como plantillas y usa una ubicación común para
la ruta del perfil y la carpeta de inicio, debe usar la variable % username% en la ruta para que
AD DS puede crear estas carpetas automáticamente cuando la cuenta se usa como plantilla. por
Por ejemplo, puede utilizar las siguientes rutas, donde el servidor de archivos se llama LON-FS y comparte
se han creado para los perfiles y carpetas de inicio, perfil $ y inicio $, respectivamente:
Ruta del perfil : \\ LON-FS \ profile $ \% username%
Carpeta de inicio Conectar H: a \\ LON-FS \ home $ \% username%
Uso de la política de grupo para administrar perfiles
17/11/2020 20410D
Como alternativa al uso de la configuración de la cuenta de usuario individual, puede usar GPO para administrar estos
ajustes. Puede configurar la redirección de carpetas mediante el Editor de administración de políticas de grupo para
abra un GPO para editarlo y luego navegue hasta el nodo Configuración de usuario \ Directivas \ Configuración de Windows.
Esta configuración contiene los subnodos de la siguiente tabla.
Subnodos en el nodo Configuración de Windows
• AppData (itinerancia) • Imágenes • Descargas
• Escritorio • Música • Enlaces
• Menu de inicio • Videos • Búsquedas
• Documento • Favoritos • Partidas guardadas
• Contactos
Puede utilizar estos subnodos para configurar todos los aspectos del perfil de escritorio de un usuario y la configuración de la aplicación. Para
un subnodo dado, como Documentos, puede elegir entre la redirección básica y avanzada. En Básico
redirección, todos los usuarios afectados por el GPO tienen su carpeta Documentos redirigida a un nombre individual
subcarpeta de una carpeta raíz común definida por un nombre UNC, por ejemplo, \\ LON-SVR1 \ Users \. En
Redirección avanzada, puede utilizar la pertenencia a un grupo de seguridad para especificar dónde la configuración y
Los documentos se almacenarán.
Página 123
Demostración: gestión de cuentas de usuario
Esta demostración le muestra cómo:
• Utilice el Centro de administración de Active Directory para:
o Eliminar una cuenta de usuario.
o Cree una nueva cuenta de usuario.
o Mover la cuenta de usuario.
o Ver el HISTORIAL DE WINDOWS POWERSHELL
• Utilice Windows PowerShell para:
o Buscar cuentas de usuario inactivas.
o Buscar cuentas de usuario deshabilitadas.
o Eliminar cuentas de usuario deshabilitadas.
Eliminar una cuenta de usuario

2. En LON-DC1, abra el Centro de administración de Active Directory .
3. Busque Ed Meadows en la unidad organizativa Administradores y luego elimine la cuenta.
Crea una nueva cuenta de usuario

• Cree una nueva cuenta de usuario llamada Ed Meadows . Asegúrese de que la cuenta se cree con una sólida
contraseña.
Mover la cuenta de usuario

• Mueva la cuenta de Ed Meadows a la unidad organizativa de TI.
Ver el HISTORIAL DE WINDOWS POWERSHELL
17/11/2020 20410D
1. Maximice el Centro de administración de Active Directory.
2. Expanda la sección HISTORIAL DE WINDOWS POWERSHELL .
3. Analice los comandos de Windows PowerShell que se muestran en el HISTORIAL DE WINDOWS POWERSHELL
sección.
4. Cierre el Centro de administración de Active Directory.
Buscar usuarios que no hayan iniciado sesión durante los últimos 30 días
1. Abra Windows PowerShell .
2. Ejecute los siguientes comandos:
$ logonDate = (obtener-fecha) .AddDays (-30)
Get-ADUser -Filter {lastLogon -le $ logonDate}
Página 124
Buscar y eliminar todas las cuentas de usuario deshabilitadas

1. Para encontrar todas las cuentas de usuario deshabilitadas, ejecute el siguiente comando:
Get-ADUser -Filter {habilitado -ne $ True}
2. Para eliminar las cuentas de usuario deshabilitadas, ejecute el siguiente comando:
Get-ADUser -SearchBase "OU = Ventas, DC = Adatum, DC = com" -Filter {habilitado -ne $ true} |
Eliminar adobject -Confirmar: $ False
3. Para verificar que las cuentas deshabilitadas se hayan eliminado, ejecute el siguiente comando:
Get-ADUser -Filter {habilitado -ne $ True}
Demostración: uso de plantillas para administrar cuentas de usuario
• Cree una cuenta de plantilla de usuario.
• Utilice Windows PowerShell para crear un usuario a partir de la plantilla de usuario.
• Verifique las propiedades de la nueva cuenta de usuario.
Crea una cuenta de plantilla

2. En la unidad organizativa de ventas, cree una nueva cuenta de usuario denominada _LondonSales Template que tenga lo siguiente
ajustes:
o Nombre: _LondonSales
o Apellido: Plantilla
o Inicio de sesión de usuario UPN: _LondonSales
o Verificar: proteger contra eliminación accidental
o Departamento: Ventas
o Empresa: A. Datum
o Ciudad: Londres
17/11/2020 20410D
o Descripción: Usuarios de ventas de Londres
o Miembro de: Ventas
Página 125
Cree un usuario a partir de la plantilla _LondonSales

• En la ventana de Windows PowerShell, cree un usuario a partir de la plantilla _LondonSales mediante el
siguientes comandos:
$ LondonSales = Get-ADUser -Identity "_LondonSales" -Properties

Departamento, empresa, ciudad
New-ADUser -Name "Dan Park" -SamAccountName "Dan" -Path "OU = Sales, DC = Adatum, DC = com"
-AccountPassword (ConvertTo-SecureString -AsPlaintext "Pa $$ w0rd" -Force)
-GivenName "Dan" -Surname "Park" -DisplayName "Dan Park" -Enabled $ True
-UserPrincipalName "Dan@Adatum.com" -ChangePasswordAtLogon $ true
-Instancia $ LondonSales
Verificar las propiedades del usuario

Get-ADUser -Identity "Dan" -Properties *
2. Examine la salida para verificar que las propiedades se copiaron de la plantilla.
17/11/2020 20410D
Página 126
Lección 2
Administrar grupos
Aunque puede resultar práctico asignar permisos y capacidades a cuentas de usuarios individuales en pequeñas
redes, esto se vuelve poco práctico e ineficaz en las redes de grandes empresas. Por ejemplo, si muchos usuarios
necesita el mismo nivel de acceso a una carpeta, es más eficiente crear un grupo que contenga los
cuentas de usuario y luego asigne al grupo los permisos necesarios. Esto tiene el beneficio adicional de permitir
puede cambiar los permisos de archivo de un usuario agregándolos o eliminándolos de grupos en lugar de editar el
permisos de archivo directamente.
Antes de implementar grupos en su organización, debe comprender el alcance de varias

Tipos de grupos de servidores y la mejor manera de utilizarlos para administrar el acceso a los recursos o para asignar la administración
derechos y habilidades.
• Describe los tipos de grupos.
• Describir los alcances del grupo.
• Explicar cómo implementar la gestión de grupos.
• Describir los grupos predeterminados.
• Describe identidades especiales.
• Administrar grupos en Windows Server.
Tipos de grupo
En una red empresarial de Windows Server 2012,

hay dos tipos de grupos: seguridad y
distribución. Cuando crea un grupo,
elija el tipo de grupo y el alcance.
Grupos de distribución, que no son

seguridad habilitada, se utilizan principalmente por correo electrónico
aplicaciones. Los grupos de distribución tienen seguridad
identificadores (SID). Sin embargo, porque tienen
un atributo groupType de Active Directory de
0x2 (ACCOUNT_GROUP), no se pueden dar
permiso a los recursos. Enviando un correo electrónico
mensaje a un grupo de distribución envía el
mensaje a todos los miembros del grupo.
Los grupos de seguridad están habilitados para la seguridad y se utilizan para asignar permisos a varios recursos. Seguridad
grupos tienen SID, con un Active Directory groupType atributo de 0x80000002 (ACCOUNT_GROUP |
SECURITY_ENABLED). Por lo tanto, puede utilizar estos grupos en entradas de permisos en listas de control de acceso.
(ACL) para controlar la seguridad del acceso a los recursos. Como también incluyen el tipo de grupo de cuentas, también
puede utilizar grupos de seguridad como medio de distribución para aplicaciones de correo electrónico. Si desea utilizar un grupo para
administrar la seguridad, debe ser un grupo de seguridad.
Nota: el tipo de grupo predeterminado es seguridad.
17/11/2020 20410D
Página 127
Debido a que puede utilizar grupos de seguridad tanto para el acceso a recursos como para la distribución de correo electrónico, muchas organizaciones
utilice solo grupos de seguridad. Sin embargo, le recomendamos que si utiliza un grupo para distribución de correo electrónico únicamente,
debe crear el grupo como grupo de distribución. De lo contrario, al grupo se le asigna un SID y el SID se
agregado al token de acceso de seguridad del usuario, lo que puede hacer que el token sea innecesariamente grande.
Un grupo de seguridad se puede convertir en un grupo de distribución en cualquier momento; cuando haces esto el
El atributo groupType cambia de 0x80000002 (ACCOUNT_GROUP | SECURITY_ENABLED) a 0x2
(ACCOUNT_GROUP). Por tanto, un grupo de seguridad que se ha convertido en un grupo de distribución pierde
todos los permisos asignados, aunque las ACL todavía contienen el SID. Cuando un grupo de distribución
se convierte en un grupo de seguridad ocurre lo contrario, el atributo groupType cambia de 0x2
(ACCOUNT_GROUP) a 0x80000002 (ACCOUNT_GROUP | SECURITY_ENABLED). Si el grupo de distribución
era un grupo de seguridad previamente convertido, puede otorgar inadvertidamente a los usuarios acceso a derechos y
permisos que se habían asignado al grupo cuando anteriormente era un grupo de seguridad.
Nota: Tenga en cuenta que cuando agrega un usuario a un grupo de seguridad, el token de acceso del usuario:
que autentica los procesos del usuario: se actualiza solo cuando el usuario inicia sesión. Por lo tanto, si el usuario está
iniciado sesión actualmente, el usuario debe cerrar sesión y volver a iniciar sesión para actualizar su token de acceso con
cualquier membresía de grupo cambiada.
Nota: El beneficio de utilizar grupos de distribución se vuelve más evidente en grandes

Implementaciones de Exchange Server, especialmente cuando es necesario anidar estos grupos de distribución
en toda la empresa.
Ámbitos de grupo
Windows Server 2012 admite el alcance de grupos.

El alcance de un grupo determina tanto el rango
de las habilidades o permisos de un grupo, y el
membresía de grupo.
Hay cuatro ámbitos de grupo:
• Local. Utiliza este tipo de grupo para

servidores solos o estaciones de trabajo, en el dominio
servidores miembros que no son de dominio
controladores o miembros del dominio
estaciones de trabajo. Los grupos locales son verdaderamente locales,
lo que significa que solo están disponibles en
la computadora donde existen. Lo importante
Las características de un grupo local son:
o Puede asignar habilidades y permisos solo en recursos locales, es decir, en la computadora local.
o Los miembros pueden ser de cualquier lugar del bosque de AD DS y pueden incluir:
▪ Cualquier principal de seguridad del dominio: usuarios, equipos, grupos globales o dominio local.
grupos.
▪ Usuarios, equipos y grupos globales de cualquier dominio del bosque.
▪ Usuarios, computadoras y grupos globales de cualquier dominio confiable.
▪ Grupos universales definidos en cualquier dominio del bosque.
Página 128
17/11/2020 20410D
• Dominio local. Utiliza este tipo de grupo principalmente para administrar el acceso a los recursos o para asignar
responsabilidades de gestión (derechos). Existen grupos locales de dominio en controladores de dominio en un AD DS
bosque y, en consecuencia, el alcance del grupo está localizado en el dominio en el que residen. los
Las características importantes de los grupos locales de dominio son:
o Puede asignar habilidades y permisos en recursos locales del dominio solamente, lo que significa en todos
equipos en el dominio local.
▪ Cualquier principal de seguridad del dominio: usuarios, equipos, grupos globales o dominio local.
grupos.
▪ Usuarios, computadoras y grupos globales de cualquier dominio confiable.
• Global. Utiliza este tipo de grupo principalmente para consolidar usuarios que tienen características similares.
Por ejemplo, los grupos globales se utilizan a menudo para consolidar usuarios que forman parte de un departamento o
ubicación geográfica. Las características importantes de los grupos globales son:
o Puede asignar habilidades y permisos en cualquier lugar del bosque.
o Los miembros pueden ser solo del dominio local y pueden incluir:
▪ Usuarios, computadoras y grupos globales del dominio local.
• Universal. Este tipo de grupo se utiliza con mayor frecuencia en redes multidominio porque combina el
características tanto de los grupos locales de dominio como de los grupos globales. Específicamente, lo importante
Las características de los grupos universales son:
o Puede asignar habilidades y permisos en cualquier lugar del bosque, como con los grupos globales.
o Las propiedades de los grupos universales se propagan al catálogo global y están disponibles
a través de la red empresarial en todos los controladores de dominio que alojan la función de catálogo global. Esta
hace que las listas de miembros de los grupos universales sean más accesibles, lo cual es útil en multidominio
escenarios. Por ejemplo, si se utiliza un grupo universal con fines de distribución de correo electrónico, el proceso
para determinar la lista de miembros suele ser más rápido en redes distribuidas multidominio.
La siguiente tabla resume y compara las propiedades básicas de los cuatro alcances de grupo.
Puede ser asignado

Puede incluir miembros de estos Se puede convertir a estos
Alcance del grupo permisos para
grupos grupos
estos grupos
Local • Usuarios de dominio, equipos de dominio, Computadora local N/A

grupos globales y grupos universales solo recursos
de cualquier dominio del bosque
• Grupos locales de dominio del mismo

dominio
• Usuarios locales desde la computadora
Página 129
Puede ser asignado

Puede incluir miembros de estos Se puede convertir a estos
Alcance del grupo permisos para
grupos grupos
estos grupos
Dominio local • Usuarios de dominio, equipos de dominio, Dominio local Grupos universales (siempre que
grupos globales y grupos universales solo recursos ningún otro dominio local
de cualquier dominio del bosque los grupos existen como miembros)
17/11/2020 20410D
• Grupos locales de dominio del mismo
dominio
Global • Usuarios de dominio, equipos de dominio, Cualquier dominio Grupos universales (siempre que
y grupos globales de la misma recurso en el no es miembro de ninguna
dominio bosque otros grupos globales)
Universal • Usuarios de dominio, equipos de dominio, Cualquier dominio Grupos locales de dominio
grupos globales y grupos universales recurso en el Grupos globales (siempre que
de cualquier dominio del bosque bosque ningún otro grupo universal
existir como miembros)
Implementación de la gestión de grupo
Agregar grupos a otros grupos es un proceso llamado

anidamiento . El anidamiento crea una jerarquía de grupos que
respaldar sus funciones comerciales y de gestión
reglas.
Una de las mejores prácticas para el anidamiento de grupos se conoce como

IGDLA, que es un acrónimo de lo siguiente:
• Identidades
• Grupos globales
• Grupos locales de dominio
• Acceso
Estas partes de IGDLA están relacionadas de la siguiente manera:
• Las identidades (cuentas de usuario y de computadora) son miembros de grupos globales, que representan negocios
roles.
• Los grupos globales (que también se conocen como grupos de roles) son miembros de grupos locales de dominio, que
representar reglas de gestión, por ejemplo, determinar quién tiene permiso de lectura para un determinado
colección de carpetas.
• Los grupos locales de dominio (que también se conocen como grupos de reglas) tienen acceso a los recursos. En el
En el caso de una carpeta compartida, el acceso se otorga agregando el grupo local de dominio a la ACL de la carpeta, con
un permiso que proporciona el nivel apropiado de acceso.
Página 130
En un bosque multidominio, la mejor práctica para la anidación de grupos se conoce como IGUDLA. La letra adicional U
significa grupos universales, que encajan entre los grupos globales y locales de dominio de la siguiente manera:
• Identidades
• Grupos globales
• Grupos universales
• Grupos locales de dominio
• Acceso
En este caso, los grupos globales de varios dominios son miembros de un solo grupo universal. Ese universal
group es miembro de grupos locales de dominio en múltiples dominios.
Ejemplo de IGDLA
17/11/2020 20410D
La figura de la diapositiva representa una implementación grupal que refleja la visión técnica del grupo.
las mejores prácticas de gestión (IGDLA) y la visión empresarial de la gestión basada en roles y en reglas.
Considere el siguiente escenario:
La fuerza de ventas de Contoso, Ltd. acaba de completar su año fiscal. Los archivos de ventas del año anterior están en un
carpeta denominada Ventas. La fuerza de ventas necesita acceso de lectura a la carpeta Ventas. Además, un equipo de auditores
de Woodgrove Bank, un posible inversor, requiere acceso de lectura a la carpeta Ventas para realizar la auditoría.
Puede implementar la seguridad para este escenario siguiendo estos pasos:
1. Asigne usuarios con responsabilidades laborales comunes u otras características comerciales a grupos de roles, que
se implementan como grupos de seguridad global.
Haga esto por separado en cada dominio. Los vendedores de Contoso se agregan a un grupo de roles de ventas; Auditores
en Woodgrove Bank se agregan a un grupo de funciones de Auditores.
2. Cree un grupo para administrar el acceso a las carpetas de Ventas con permiso de lectura.
Implementa esto en el dominio que contiene el recurso que se está administrando. En este caso, el
La carpeta de ventas está en el dominio de Contoso. Por lo tanto, crea la regla de administración de acceso a recursos
group como un grupo local de dominio llamado ACL_Sales Folders_Read.
3. Agregue los grupos de funciones al grupo de reglas de administración de acceso a recursos para representar la administración
regla.
Estos grupos pueden provenir de cualquier dominio del bosque o de un dominio de confianza, como Woodgrove.
Banco. Los grupos globales de dominios externos de confianza, o de cualquier dominio del mismo bosque, pueden
miembros de un grupo local de dominio.
4. Asigne el permiso que implementa el nivel de acceso requerido.
En este caso, conceda el permiso Permitir lectura al grupo local del dominio.
Esta estrategia da como resultado dos puntos únicos de gestión, lo que reduce la carga de gestión.
Un punto de la administración define quién está en Ventas y el otro punto de la administración define quién está
un auditor. Debido a que es probable que estos roles tengan acceso a una variedad de recursos más allá de la carpeta Ventas,
tiene otro punto único de administración para determinar quién tiene acceso de lectura a la carpeta Ventas.
Además, es posible que la carpeta Ventas no sea una sola carpeta en un solo servidor; podría ser una colección de
carpetas en varios servidores, cada uno de los cuales asigna el permiso Permitir lectura a un único dominio-
grupo local.
Página 131
Grupos predeterminados
Windows Server 2012 crea una serie de

grupos automáticamente. Estos se llaman predeterminados
grupos locales , e incluyen grupos bien conocidos
como administradores, operadores de respaldo y
Usuarios de escritorio remoto. Hay adicionales
grupos que se crean en un dominio, tanto en el
Contenedores integrados y de usuarios, incluido el dominio
Administradores, administradores de empresas y administradores de esquemas.
Grupos predeterminados que proporcionan

Privilegios administrativos
Hay un subconjunto de grupos predeterminados que tienen
permisos significativos y derechos de usuario relacionados con
la gestión de AD DS. Por los derechos que tienen estos grupos, son Grupos Protegidos.
(Los grupos protegidos se describen más adelante en este tema). La siguiente lista resume las capacidades de estos
grupos:
• Administradores de empresa (en el contenedor Usuarios del dominio raíz del bosque). Este grupo es miembro del
Grupo de administradores en todos los dominios del bosque, lo que le da acceso completo al
configuración de todos los controladores de dominio. También posee la partición de configuración del directorio y
17/11/2020 20410D
tiene control total del contexto de nomenclatura de dominio en todos los dominios del bosque.
• Schema Admins (contenedor de usuarios del dominio raíz del bosque). Este grupo posee y tiene el control total de
el esquema de Active Directory.
• Administradores (contenedor integrado de cada dominio). Los miembros de este grupo tienen el control total
sobre todos los controladores de dominio y datos en el contexto de denominación de dominio. Pueden cambiar el
pertenencia a todos los demás grupos administrativos del dominio y al grupo Administradores en el
El dominio raíz del bosque puede cambiar la pertenencia a administradores de empresa, administradores de esquema y dominio.
Administradores. El grupo de administradores en el dominio raíz del bosque generalmente se considera el más
poderoso grupo de administración de servicios en el bosque.
• Administradores de dominio (contenedor de usuarios de cada dominio). Este grupo se agrega al grupo Administradores de
su dominio. Por lo tanto, hereda todas las capacidades del grupo de administradores. También es, por defecto,
agregado al grupo de administradores locales de cada computadora miembro del dominio, dando
Administra la propiedad de todos los equipos del dominio.
• Operadores de servidor (contenedor integrado de cada dominio). Los miembros de este grupo pueden realizar
tareas de mantenimiento en controladores de dominio. Tienen derecho a registrarse localmente, iniciar y detener
servicios, realizar operaciones de copia de seguridad y restauración, formatear discos, crear o eliminar recursos compartidos y cerrar
controladores de dominio. De forma predeterminada, este grupo no tiene miembros.
• Operadores de cuentas (contenedor integrado de cada dominio). Los miembros de este grupo pueden crear, modificar,
y eliminar cuentas de usuarios, grupos y equipos ubicados en cualquier unidad organizativa del dominio (excepto el
Controladores de dominio OU) y en los contenedores Usuarios y Equipos. Grupo de operadores de cuentas
los miembros no pueden modificar las cuentas que son miembros de los grupos de administradores o administradores de dominio,
tampoco pueden modificar esos grupos. Los miembros del grupo de operadores de cuentas también pueden iniciar sesión localmente para
controladores de dominio. De forma predeterminada, este grupo no tiene miembros.
• Operadores de respaldo (contenedor integrado de cada dominio). Los miembros de este grupo pueden realizar copias de seguridad
y restaurar operaciones en controladores de dominio, iniciar sesión localmente y cerrar controladores de dominio.
De forma predeterminada, este grupo no tiene miembros.
• Operadores de impresión (contenedor integrado de cada dominio). Los miembros de este grupo pueden mantener colas de impresión
en controladores de dominio. También pueden iniciar sesión localmente y cerrar los controladores de dominio.
Página 132
• Cert Publishers (contenedor de usuarios de cada dominio). Los miembros de este grupo pueden publicar
certificados al directorio.
Gestión de grupos que proporcionan privilegios administrativos

Debe administrar con cuidado los grupos predeterminados que brindan privilegios administrativos porque
suelen tener privilegios más amplios que los necesarios para la mayoría de los entornos delegados, y porque
a menudo aplican protección a sus miembros.
El grupo Operadores de cuentas es un buen ejemplo de esto. Si examina las capacidades de la cuenta
Grupo de operadores en la lista anterior, puede ver que los miembros de este grupo tienen derechos muy amplios:
incluso pueden iniciar sesión localmente en un controlador de dominio. En redes muy pequeñas, estos derechos pueden asignarse
a una o dos personas que suelen ser administradores de dominio de todos modos. Sin embargo, en las grandes empresas,
los derechos y permisos otorgados a los operadores de cuentas suelen ser demasiado amplios.
Además, el grupo Operadores de cuentas es, como los otros grupos administrativos, un grupo protegido.
Grupos protegidos
Los grupos protegidos los define el sistema operativo y no pueden desprotegerse. Miembros de un
grupo protegido se vuelve protegido por asociación y ya no hereda los permisos (ACL) de su
OU, sino que recibe una copia de una ACL del grupo protegido. Esta ACL de grupo protegido ofrece
considerable protección a los miembros. Por ejemplo, si agrega Jeff Ford a los Operadores de cuentas
grupo, su cuenta se protege, y la mesa de ayuda, que puede restablecer todas las demás contraseñas de usuario en el
Empleados OU, no pueden restablecer la contraseña de Jeff Ford.
Grupos personalizados
Debe intentar evitar agregar usuarios a los grupos que no tienen miembros de forma predeterminada (Cuenta
Operadores, Operadores de respaldo, Operadores de servidor y Operadores de impresión). En su lugar, cree grupos personalizados para
que usted asigna permisos y derechos de usuario que cumplen con sus requisitos administrativos y comerciales.
Por ejemplo, si Scott Mitchell debería poder realizar operaciones de respaldo en un controlador de dominio, pero
17/11/2020 20410D
no debe poder realizar operaciones de restauración que podrían conducir a la reversión o corrupción de la base de datos, y
no debería poder apagar un controlador de dominio, no coloque a Scott en el grupo Operadores de respaldo.
En su lugar, cree un grupo y asígnele solo el derecho de usuario Backup Files And Directories, y luego agregue Scott
Como un miembro.
Identidades especiales
Windows y AD DS también son compatibles con

identidades, que son grupos para los que la membresía
está controlado por el sistema operativo. No se puede
ver los grupos en cualquier lista (en Active Directory
Usuarios y equipos, por ejemplo), no puede
ver o modificar la membresía de estos especiales
identidades, y no puede agregarlas a otras
grupos. Sin embargo, puede utilizar estos grupos para
asignar derechos y permisos.
Página 133
Las identidades especiales más importantes, a menudo llamadas grupos (por conveniencia), se describen en el
Lista de seguidores:
• Inicio de sesión anónimo. Esta identidad representa conexiones a una computadora y sus recursos que son
realizado sin proporcionar un nombre de usuario y contraseña. Antes de Windows Server 2003, este grupo era un
miembro del grupo Everyone. A partir de Windows Server 2003, este grupo ya no es un
miembro predeterminado del grupo Todos.
• Usuarios autenticados. Esto representa identidades autenticadas. Este grupo no incluye

Invitado, incluso si la cuenta de invitado tiene una contraseña.
• Todos. Esta identidad incluye los usuarios autenticados y la cuenta de invitado. (En computadoras que son
ejecutando versiones del sistema operativo Windows Server que preceden a Windows Server 2003, esto
grupo incluye inicio de sesión anónimo.)
• Interactivo. Esto representa a los usuarios que acceden a un recurso mientras están conectados localmente a la computadora
que aloja el recurso, en lugar de acceder al recurso a través de la red. Cuando un usuario
accede a cualquier recurso dado en una computadora en la que el usuario ha iniciado sesión localmente, el usuario se agrega
automáticamente al grupo interactivo para ese recurso. Interactive también incluye usuarios que inician sesión
a través de una conexión de escritorio remoto.
• Red. Representa a los usuarios que acceden a un recurso a través de la red, a diferencia de los usuarios que están
inició sesión localmente en el equipo que aloja el recurso. Cuando un usuario accede a cualquier
recurso a través de la red, el usuario se agrega automáticamente al grupo Red para ese recurso.
• Creador proprietario. Representa la entidad de seguridad que creó un objeto.
La importancia de estas identidades especiales es que puede utilizarlas para proporcionar acceso a recursos basados
en el tipo de autenticación o conexión, en lugar de la cuenta de usuario. Por ejemplo, puede crear
una carpeta en un sistema que permite a los usuarios ver su contenido cuando inician sesión localmente en el sistema,
pero eso no permite que los mismos usuarios vean el contenido de una unidad asignada a través de la red. usted
podría lograr esto asignando permisos a la identidad especial interactiva.
Demostración: Gestión de grupos
• Cree un nuevo grupo.
17/11/2020 20410D
• Agregue miembros al grupo.
• Agregue un usuario al grupo.
• Cambiar el tipo y alcance del grupo.
• Modificar la propiedad Administrado por del grupo.
Crea un grupo nuevo

2. Cree un nuevo grupo de seguridad global en la unidad organizativa de TI denominado Administradores de TI .
Agregar miembros al grupo

• Agregue varios usuarios al nuevo grupo.
Página 134
Agregar un usuario al grupo

• Agregue Ed Meadows al grupo de administradores de TI .
Cambiar el alcance y el tipo de grupo

• En las Propiedades del grupo Administradores de TI, cambie el Alcance del grupo a Universal y el Tipo a
Distribución .
Modificar la propiedad Gestionado por del grupo

• Agregue a Ed Meadows a la lista Administrado por y luego otorgue que el Gerente pueda actualizar
permiso de la lista de miembros .
17/11/2020 20410D
Página 135
Lección 3
Administrar cuentas de computadora
Las computadoras, como los usuarios, son directores de seguridad:
• Tienen una cuenta con un nombre de inicio de sesión y una contraseña que Windows Server cambia automáticamente
de forma periódica.
• Se autentican con el dominio.
• Pueden pertenecer a grupos, tener acceso a recursos y usted puede configurarlos usando Grupo
Política.
Una cuenta de computadora comienza su ciclo de vida cuando la crea y la une a su dominio. Después de eso,
Las tareas administrativas diarias incluyen lo siguiente:
• Configurar las propiedades de la computadora
• Mover la computadora entre OU
• Gestionar la propia computadora
• Cambiar el nombre, restablecer, deshabilitar, habilitar y eventualmente eliminar el objeto de la computadora
Es importante que sepa cómo realizar estas diversas tareas de administración de computadoras para que pueda
configurar y mantener los objetos informáticos dentro de su organización.
• Explicar el propósito del contenedor AD DS Computers.
• Describir cómo configurar la ubicación de las cuentas de computadora.
• Explica cómo controlar quién tiene permiso para crear cuentas de computadora.
• Describir cómo realizar una unión a un dominio sin conexión.
• Describir las cuentas de la computadora y el canal seguro.
• Explique cómo restablecer el canal seguro.
¿Qué es el contenedor de computadoras?
Antes de crear un objeto de computadora en el

Servicio de directorio, debe tener un lugar para colocarlo.
Cuando crea un dominio, las computadoras

El contenedor se crea por defecto (nombre común
(el atributo cn ) = Computadoras). Este contenedor es
no una OU; en cambio, es un objeto del contenedor
clase.
Hay diferencias sutiles pero importantes

entre un contenedor y una OU. No se puede
crear una OU dentro de un contenedor, por lo que no puede
17/11/2020 20410D
subdividir el contenedor Computers. Tu también
no se puede vincular un GPO a un contenedor. por lo tanto, nosotros
Página 136
Recomendamos que cree unidades organizativas personalizadas para alojar objetos de computadora, en lugar de utilizar las
envase.
Especificación de la ubicación de las cuentas de computadora
La mayoría de las organizaciones crean al menos dos OU para

objetos informáticos, uno para servidores y otro
para alojar cuentas de computadora para computadoras cliente,
como computadoras de escritorio, portátiles y otros dispositivos de usuario.
Estas dos unidades organizativas son adicionales al dominio
Controladores OU que se crea de forma predeterminada durante
la instalación de AD DS.
Los objetos de computadora se pueden crear en cualquier OU en

Tu dominio. No hay diferencia técnica
entre un objeto de computadora en una OU cliente, un
objeto de computadora en una unidad organizativa de servidor, una computadora
objeto en un controlador de dominio OU, o incluso un
objeto de computadora en una unidad organizativa destinada a los usuarios. Los objetos informáticos son objetos informáticos. Sin embargo, separe
Por lo general, las unidades organizativas se crean para proporcionar ámbitos de gestión únicos, de modo que pueda delegar
gestión de objetos de cliente a un equipo y gestión de objetos de servidor a otro.
Su modelo administrativo puede requerir que divida sus unidades organizativas de cliente y servidor en grupos más pequeños.
Muchas organizaciones crean sub-OU debajo de una OU de servidor, para clasificar y administrar tipos específicos de servidores.
Por ejemplo, puede crear una OU para servidores de archivos e impresión, una OU para servidores de bases de datos o cualquier número
de unidades organizativas que categorizan los tipos de servidor en su organización. Al hacerlo, puede delegar permisos a
administrar los objetos de la computadora en la unidad organizativa adecuada al equipo de administradores para cada tipo de servidor.
De manera similar, las organizaciones distribuidas geográficamente con equipos de soporte de escritorio locales a menudo dividen a un padre
OU para clientes en sub-OU para cada sitio. Este enfoque permite al equipo de soporte de cada sitio crear
objetos de computadora en el sitio para computadoras cliente, y para unir computadoras al dominio usando esos
objetos informáticos.
Estos ejemplos específicos son útiles, pero lo más importante es que la estructura de su OU refleje su
modelo administrativo para que sus OU puedan proporcionar puntos únicos de gestión para la delegación de
administración.
Además, al utilizar unidades organizativas independientes, puede crear varias configuraciones de línea de base utilizando diferentes
GPO que están vinculados al cliente y las unidades organizativas del servidor. Con la directiva de grupo, puede especificar la configuración
para colecciones de equipos vinculando los GPO que contienen instrucciones de configuración a las unidades organizativas. Es común
para que las organizaciones separen a los clientes en unidades organizativas de escritorio y portátiles. Luego puede vincular los GPO que especifican
configuración de escritorio o portátil a las unidades organizativas adecuadas.
Nota: puede utilizar la herramienta de línea de comandos redircmp para reconfigurar el contenedor predeterminado
para computadoras. Por ejemplo, si desea cambiar el contenedor predeterminado para computadoras a una unidad organizativa
llamado mycomputers, use la siguiente sintaxis:
redircmp ou = mycomputers, DC = contoso, dc = com
17/11/2020 20410D
Página 137
Control de permisos para crear cuentas de computadora
Antes de unir una computadora a un dominio,

primero debe crear un objeto de computadora en el
OU apropiada. Para unir una computadora a un AD DS
dominio, se deben cumplir tres condiciones:
• Debe tener los permisos adecuados en

el objeto de la computadora que le permite unirse a un
equipo físico con el mismo nombre que el
dominio.
• Debe ser miembro de la

Grupo de administradores en la computadora.
Esto le permite cambiar la computadora
membresía de dominio o grupo de trabajo.
• No debe haber excedido el número máximo de cuentas de computadora que puede agregar al
dominio. De forma predeterminada, los usuarios pueden agregar un máximo de 10 computadoras al dominio; este valor se conoce como
la cuota de la cuenta de la máquina y está controlada por el valor de MS-DS-MachineQuota. Puedes modificar esto
valor mediante el complemento Editor de interfaces de servicio de Active Directory (Edición ADSI).
Nota: no tiene que crear un objeto de computadora en el servicio de directorio, pero nosotros
recomiendo que lo haga. Muchos administradores unen equipos a un dominio sin crear primero
un objeto informático. Sin embargo, cuando hace esto, Windows Server intenta unirse al dominio para
un objeto existente. Cuando Windows Server no encuentra el objeto, falla y crea una computadora
objeto en el contenedor Computers predeterminado.
El proceso de creación de una cuenta de computadora por adelantado se denomina preparación previa de una computadora . Hay dos
Principales ventajas de preconfigurar una computadora:
• La cuenta se coloca en la unidad organizativa correcta y, por lo tanto, se delega de acuerdo con la política de seguridad.
definido por la ACL de la OU.
• La computadora está dentro del alcance de los GPO vinculados a la OU, antes de que la computadora se una al dominio.
Si tiene los permisos adecuados, puede crear objetos de computadora siguiendo estos pasos:
1. Haga clic con el botón derecho en la unidad organizativa y, en el menú Nuevo , haga clic en Equipo .
2. Escriba el nombre de la computadora, siguiendo la convención de nomenclatura de su empresa.
3. Seleccione el usuario o grupo al que se le permite unir la computadora al dominio con esta cuenta.
Nota: Debe poner el mismo nombre de computadora en el campo Nombre de computadora que
poner en el campo Nombre de la computadora (antes de Windows 2000). Rara vez hay motivos para configurar
ellos por separado.
Delegación de permisos
De forma predeterminada, los grupos de administradores de empresas, administradores de dominio, administradores y operadores de cuentas tienen
permiso para crear objetos de computadora en cualquier unidad organizativa nueva. Sin embargo, como se discutió anteriormente, recomendamos que
restringe estrictamente la membresía en los primeros tres grupos y que no agrega usuarios que son miembros
del grupo Administradores de empresas, Administradores de dominio o Administradores al grupo Operadores de cuentas.
Página 138
En su lugar, debe delegar el permiso para crear objetos de computadora (llamado Crear objetos de computadora)
a los administradores apropiados o al personal de apoyo. Este permiso, que se asigna al grupo para
que está delegando la administración, permite a los miembros del grupo crear objetos de computadora en un
17/11/2020 20410D
UNED. Por ejemplo, puede permitir que su equipo de soporte de escritorio cree objetos de computadora en los clientes
OU y permita que los administradores del servidor de archivos creen objetos de computadora en la OU de los servidores de archivos.
Para delegar permisos para crear cuentas de computadora, puede usar el Asistente de control delegado para elegir
una tarea personalizada para delegar.
Cuando delega permisos para administrar cuentas de computadora, podría considerar otorgar
permisos más allá de los necesarios para crear cuentas de computadora. Por ejemplo, puede decidir permitir
un administrador delegado para administrar las propiedades de las cuentas de computadora existentes, para eliminar el
cuenta de computadora, o para mover la cuenta de computadora.
Nota: Si desea permitir que un administrador delegado mueva cuentas de computadora, considere
que el administrador debe tener los permisos adecuados tanto en el contenedor de AD DS de origen
(donde la computadora existe actualmente) y en el contenedor de destino (donde la computadora estará
trasladado a). Específicamente, el administrador debe tener permisos de Eliminar equipo en el origen
contenedor y permisos de Crear equipo en el contenedor de destino.
Realizar una unión de dominio sin conexión
Normalmente, cuando desea unirse a una computadora

a un dominio, la computadora debe poder
comunicarse con un controlador de dominio en línea.
A partir de Windows Server 2008 R2,
Microsoft introdujo la unión al dominio sin conexión , que
te permite unir una computadora a un
dominio sin comunicarse directamente con un
controlador de dominio en línea. Unirse al dominio sin conexión
funciona con equipos cliente que se ejecutan
Windows 7, Windows 8, Windows 8.1, Windows
Server 2008 R2, Windows Server 2012 o
Windows Server 2012 R2. Esta función es útil en
situaciones en las que la conectividad es intermitente, como cuando está implementando un servidor en un sitio remoto que
está conectado vía satélite uplink.
Utiliza la herramienta de línea de comandos, djoin , para realizar una unión a un dominio sin conexión. Esto incluye generar un
archivo de unión de dominio y luego importarlo al equipo cliente.
Cuando realiza una unión a un dominio sin conexión, debe especificar la siguiente información:
• El dominio al que se une a la computadora.
• El nombre de la computadora que se está uniendo al dominio.
• El nombre del archivo guardado que está transfiriendo al destino de la unión al dominio sin conexión.
Página 139
Para realizar una unión a un dominio sin conexión, siga este procedimiento:
1. Para aprovisionar una cuenta de computadora en el dominio y crear el archivo de unión al dominio, abra un
símbolo del sistema y utilice el comando djoin con la opción / provision . El formato para esto
comando es:
djoin.exe / Provision / Domain <DomainName> / Machine <MachineName> / SaveFile <filepath>
Por ejemplo, para unir la computadora Canberra al dominio adatum.com usando el archivo de guardado
Canberra-join.txt, escriba el siguiente comando:
17/11/2020 20410D
djoin.exe / provision / dominio adatum.com / machine canberra / savefile
c: \ canberra-join.txt
Si la cuenta de la computadora no está preparada previamente, se creará en el contenedor Computadoras. Si el

equipo está preconfigurado, entonces debe incluir la opción / reuse en el comando djoin .
2. Para transferir el archivo de salvar a la computadora aprovisionada, use el comando djoin con / requestODJ
opción. El formato de este comando es:
djoin.exe / requestODJ / LoadFile <ruta de archivo> / WindowsPath <ruta a Windows

directorio de la imagen fuera de línea>
Opcionalmente, puede realizar la importación en un sistema operativo en línea utilizando la opción / localOS .
Si está utilizando la opción / localOS , configure la opción / WindowsPath en % systemroot% o
% viento% . Por ejemplo, para transferir el archivo guardado Canberra-join.txt a la computadora Canberra, escriba el
siguiente comando en Canberra:
djoin.exe / requestODJ / loadfile canberra-join.txt / windowspath% systemroot% / localos
3. Inicie o reinicie la computadora para completar la operación de unión al dominio.
A partir de Windows 8 y Windows Server 2012, la unión a un dominio sin conexión también puede configurar DirectAccess
para equipos externos. Las políticas de DirectAccess deben crearse antes del proceso de unión al dominio sin conexión
puede incluir configuraciones de acceso directo.
Cuando realiza una unión a un dominio sin conexión de DirectAccess, la cuenta del equipo debe agregarse al
DirectAccessClients group antes de ejecutar inicialmente djoin y crear el archivo de unión de dominio. Adicional
Las opciones de djoin están disponibles si DirectAccess se ha configurado para usar la infraestructura de clave pública (PKI).
Nota: Para aplicar el archivo de unión de dominio a un archivo de imagen de Windows (.wim) o disco duro virtual
(.vhd o .vhdx), primero use el comando Deployment Image Servicing and Management ( dism )
herramienta de línea para montar la imagen en un sistema de archivos, y luego use el comando djoin para aplicar el
archivo de unión de dominio. Una vez finalizado el proceso de unión , puede utilizar dism para desmontar el
archivo de imagen y prepare el archivo .wim para la implementación.
Página 140
Cuentas informáticas y canales seguros
Cada equipo miembro en un dominio de AD DS

mantiene una cuenta de computadora con un nombre de usuario
(sAMAccountName) y contraseña, como un usuario
cuenta lo hace. La computadora almacena su contraseña en
la forma de un secreto de la autoridad de seguridad local (LSA),
y cambia su contraseña con el dominio
aproximadamente cada 30 días. El NetLogon
El servicio utiliza las credenciales para iniciar sesión en
dominio, que establece el canal seguro con
un controlador de dominio.
Cuentas informáticas y relaciones seguras

entre las computadoras y su dominio son robustos.
Sin embargo, existen ciertos escenarios en los que una computadora no puede autenticarse con el dominio. Cuando
Esto sucede, los usuarios no pueden iniciar sesión y la computadora no puede acceder a recursos, como la Política de grupo.
17/11/2020 20410D
Ejemplos de escenarios en los que esto puede suceder incluyen:
• Después de reinstalar el sistema operativo en una estación de trabajo, la estación de trabajo no puede autenticarse, incluso
aunque el técnico usó el mismo nombre de computadora utilizado en la instalación anterior. Porque el
nueva instalación generó un nuevo SID, y debido a que la nueva computadora no conoce el original
contraseña de la cuenta de computadora en el dominio, no pertenece al dominio y no puede
autenticarse en el dominio.
• No se ha utilizado una computadora durante un período prolongado, tal vez porque el usuario estaba trabajando
de la oficina, o la computadora fue preconstruida como repuesto y no fue necesaria durante mucho tiempo. Durante
esta vez, un administrador puede haber restablecido o eliminado la cuenta de la computadora.
• El secreto LSA de una computadora no está sincronizado con la contraseña que conoce el dominio. usted
Puede pensar en esto como si la computadora olvidara su contraseña. Aunque no olvidó su contraseña,
simplemente no está de acuerdo con el dominio sobre cuál es realmente la contraseña. Cuando esto sucede, la computadora
no se puede autenticar y no se puede crear el canal seguro.
En el siguiente tema se describen los pasos a seguir cuando ocurre uno de estos escenarios.
Restablecimiento del canal seguro
Ocasionalmente, la relación de seguridad entre

una cuenta de computadora y su dominio está roto,
resultando en numerosos síntomas potenciales y
errores. Los signos más comunes de la computadora.
los problemas de la cuenta son:
• Los mensajes al iniciar sesión indican que un dominio

controlador no puede ser contactado, que el
Puede que falte una cuenta de computadora, que
la contraseña de la cuenta de la computadora es
incorrecta, o que la relación de confianza (también
llamada la relación segura ) entre el
computadora y el dominio se ha perdido.
• Los mensajes de error o eventos en el registro de eventos indican problemas similares o sugieren que contraseñas, fideicomisos,
canales seguros o las relaciones con el dominio o un controlador de dominio han fallado. Uno de esos errores
es NETLOGON Event ID 3210: Failed To Authenticate, que aparece en el registro de eventos de la computadora.
Página 141
• Falta una cuenta de equipo en AD DS.
Cuando falla el canal seguro, debe restablecerlo. Muchos administradores hacen esto quitando la computadora
del dominio, ponerlo en un grupo de trabajo y luego volver a unirse al dominio. Cuando quita el
computadora del dominio, la cuenta de computadora en AD DS está deshabilitada. Cuando vuelva a unirse a la computadora
el dominio, se reutiliza y activa la misma cuenta de computadora. No cambie el nombre de la computadora cuando
únala al dominio.
También puede restablecer el canal seguro entre un miembro del dominio y el dominio mediante lo siguiente:
• Directorio activo de usuarios y computadoras
• Centro administrativo de Active Directory
• La herramienta de línea de comandos dsmod
• La herramienta de línea de comandos netdom
• La herramienta de línea de comandos más nltest
Si restablece la cuenta, el SID de la computadora sigue siendo el mismo y la computadora mantiene su grupo
membresías.
Para restablecer el canal seguro mediante usuarios y equipos de Active Directory, siga este procedimiento:
1. Haga clic con el botón derecho en una computadora y luego haga clic en Restablecer cuenta .
2. Haga clic en Sí para confirmar su elección.
3. Vuelva a unir la computadora al dominio y luego reinicie la computadora.
17/11/2020 20410D
Para restablecer el canal seguro mediante el Centro de administración de Active Directory, siga este procedimiento:
1. Haga clic con el botón derecho en una computadora y luego haga clic en Restablecer cuenta .
2. Haga clic en Sí para confirmar su elección.
Para restablecer el canal seguro mediante dsmod , siga este procedimiento:
1. En un símbolo del sistema, escriba el siguiente comando:
equipo dsmod “ComputerDN” -reset
Para restablecer el canal seguro mediante netdom , escriba el siguiente comando en un símbolo del sistema, donde
las credenciales pertenecen al grupo de administradores locales de la computadora:
netdom reset MachineName / domain DomainName / UserO UserName / PasswordO { Password |

*}
Este comando restablece el canal seguro al intentar restablecer la contraseña tanto en la computadora como
el dominio, por lo que no es necesario volver a unirse o reiniciar.
Para restablecer el canal seguro mediante nltest , en la computadora que ha perdido su confianza, escriba lo siguiente
comando en un símbolo del sistema:
nltest / server: nombre del servidor / sc_reset: dominio \ controlador de dominio
Página 142
También puede usar el módulo de Active Directory para Windows PowerShell para restablecer una cuenta de computadora.
Para restablecer el canal seguro entre la computadora local y el dominio al que está unido, ejecute este
comando en la computadora local:
Test-ComputerSecureChannel -Reparación
Nota: También puede restablecer la contraseña de una computadora remota con Windows PowerShell al
ejecutando los siguientes comandos:
invoke-command -computername Workstation1 -scriptblock {reset-computermachinepassword}
Trae tu propio dispositivo
Con la proliferación de traer tu propio dispositivo

(BYOD) en entornos corporativos,
consideraciones de gestión y seguridad deben
incluir dispositivos de consumo. Directorio Activo
Federation Services (AD FS) simplifica el acceso a
sistemas y aplicaciones mediante el uso de
mecanismo de autorización de acceso. Típicamente,
la seguridad de los programas BYOD se basa en
seguridad. Sin embargo, esto no tiene en cuenta la
dispositivo.
AD FS en Windows Server 2012 R2 incluye el

Función de unión al lugar de trabajo, que puede utilizar para
administrar el acceso de los usuarios al contenido cuando utilizan dispositivos personales. Con Workplace Join, usted crea
Objetos de AD DS para dispositivos de consumo. Los dispositivos no se unen al dominio; en cambio, los dispositivos se emiten
certificados que representan los objetos de AD DS. Una vez que se crean los objetos de AD DS, se utilizan para
17/11/2020 20410D
administrar la seguridad como cualquier otro objeto de AD DS. Además, los usuarios pueden optar por unirse a su lugar de trabajo
dispositivos a la administración de dispositivos de Windows Intune, para permitir que el personal de TI administre los dispositivos.
Una vez que un dispositivo se ha unido al lugar de trabajo, puede administrar el acceso a los recursos utilizando Dynamic Access
Control y condiciones de permisos. El control de acceso dinámico le permite clasificar archivos y configurar
políticas centrales para acceder a esos archivos. Las condiciones le permiten especificar condiciones individuales para
acceder al contenido. En cualquier caso, utiliza estas funciones para limitar el acceso de un usuario al contenido de
dispositivos unidos al lugar de trabajo.
Además de los dispositivos con Windows 8.1, los dispositivos iOS también se pueden unir al lugar de trabajo para brindar un acceso seguro
desde esas plataformas también.
Página 143
Lección 4
Delegación de la administración
Aunque una sola persona puede administrar una red pequeña con unas pocas cuentas de usuario y computadora, como
La red crece, el volumen de trabajo relacionado con la gestión de la red también crece. En algún momento, los equipos
con especializaciones particulares evolucionan, cada una con la responsabilidad de algún aspecto específico de la red
administración. En entornos de AD DS, es una práctica común crear unidades organizativas para diferentes departamentos y
regiones geográficas y delegar el control de esas unidades organizativas a diferentes personas. Es importante que tu
saber por qué y cómo crear unidades organizativas, y cómo delegar tareas administrativas a los usuarios en objetos dentro
esas OU.
• Describir el uso de unidades organizativas.
• Describir los permisos de AD DS.
• Determinar los permisos efectivos de AD DS de un usuario en un objeto de AD DS.
• Delegar el control administrativo de un objeto de AD DS a un usuario o grupo de usuarios específico.
Consideraciones para el uso de unidades organizativas
De forma predeterminada, AD DS contiene solo una unidad organizativa,

la unidad organizativa de controladores de dominio. Aunque es posible
gestionar una pequeña organización sin crear
OU adicionales, incluso las organizaciones pequeñas normalmente
crear una jerarquía de unidades organizativas. Una jerarquía OU permite
usted para subdividir la administración de su
dominio para fines de gestión. El mejor
La práctica para crear una jerarquía de unidades organizativas es crear
Unidades organizativas para organizar objetos para:
• Delegación de control
• Aplicación de GPO
• Tanto la delegación de control como la aplicación de GPO
17/11/2020 20410D
Cuando diseña una jerarquía de unidades organizativas, puede seguir muchas estrategias diferentes. Puede crear un plano, ancho
estructura que tiene solo uno o dos niveles de unidades organizativas; puede crear una estructura profunda y estrecha que tenga cinco o
más niveles de unidades organizativas anidadas; o puede crear cualquier cosa en el medio. El factor clave en el diseño de su unidad organizativa
La jerarquía es que debería ayudar a administrar su organización.
La forma en que diseña su jerarquía de unidades organizativas podría basarse en cualquiera de los siguientes elementos:
• Ubicación geográfica. Podría haber personal de TI local para delegar la administración, regulaciones locales que
requieren políticas específicas, o muchos otros factores.
• Características departamentales. Normalmente, los diferentes departamentos se gestionan de forma diferente y tienen
requisitos únicos.
• Tipo de recurso. Algunas organizaciones crean unidades organizativas independientes para diferentes recursos. Los servidores de archivos son
generalmente se administran de manera diferente a los servidores SQL y requieren que se les apliquen políticas diferentes.
Página 144
• Estructura de gestion. Algunas organizaciones quieren que su jerarquía de unidades organizativas refleje su gestión
estructura.
• Cualquier combinación de las anteriores. No existe una forma correcta de diseñar su jerarquía de unidades organizativas.
Por ejemplo, puede tener una organización diversa con oficinas en muchas ubicaciones geográficas y
hay suficiente personal de TI en la mayoría de las ubicaciones. Puede crear unidades organizativas de nivel superior basadas en estas
ubicaciones y delegar el control de estas unidades organizativas en el personal de TI local. Cada uno de estos podría tener unidades organizativas secundarias
basado en los departamentos en esas ubicaciones, con GPO aplicados a esas OU para hacer cumplir
ajustes. Otro diseño para la misma organización podría tener las unidades organizativas de nivel superior que representen
estructura departamental, con unidades organizativas secundarias que representan ubicaciones.
Permisos de AD DS
Todos los objetos de AD DS, como usuarios, equipos,

y grupos, se pueden proteger mediante una lista de
permisos. Los permisos sobre un objeto son
llamadas entradas de control de acceso (ACE), y son
asignados a usuarios, grupos o computadoras, que son
también conocidos como principios de seguridad. Los ACE se guardan
en la lista de control de acceso discrecional del objeto
(DACL), que forma parte de la ACL del objeto. El ACL
contiene la lista de control de acceso al sistema (SACL) que
incluye la configuración de auditoría.
Cada objeto de AD DS tiene su propia ACL. Si usted tiene

permisos suficientes, puede modificar el
permisos que controlan el nivel de acceso a un objeto específico de AD DS. Si tiene suficientes permisos,
también puede delegar el control administrativo, por ejemplo, al igual que puede dar a un grupo la capacidad de
cambiar archivos en una carpeta, puede dar a un grupo la capacidad de restablecer contraseñas en objetos de usuario.
También puede utilizar la DACL del objeto para asignar permisos a las propiedades específicas de un objeto. Por ejemplo,
puede permitir (o denegar) el permiso para Leer opciones de teléfono y correo electrónico o Escribir teléfono y correo electrónico
opciones . Si bien puede hacer esto con una sola casilla de verificación, este es en realidad un conjunto de propiedades que incluye múltiples
propiedades específicas. Con los conjuntos de propiedades, puede administrar fácilmente los permisos para las colecciones de uso común
de propiedades. Sin embargo, también puede asignar permisos más detallados y permitir o denegar permisos para
cambie solo parte de la información, como el número de teléfono móvil o la dirección postal.
Los permisos que asigna a una OU son heredados por todos los objetos de la OU. Puedes aprovechar
de este aspecto de los permisos de AD DS para simplificar muchas tareas administrativas. Por ejemplo, asignar la ayuda
El permiso de escritorio para restablecer las contraseñas para cada objeto de usuario individual es tedioso. Además, en AD DS, no es un
buena práctica para asignar permisos a objetos individuales. En su lugar, debe asignar permisos en el
Nivel OU. Sin embargo, si otorga permiso al servicio de asistencia técnica para restablecer las contraseñas de los objetos de usuario y adjuntar
ese permiso a la OU que contiene los usuarios, entonces todos los objetos de usuario dentro de esa OU heredarán ese
permiso y, en un solo paso, ha delegado esa tarea administrativa.
Los objetos secundarios heredan los permisos del contenedor principal o la unidad organizativa. Ese contenedor u OU a su vez hereda
17/11/2020 20410D
sus permisos de su contenedor principal o OU. Si es un contenedor de primer nivel o una unidad organizativa, hereda la
permisos del propio dominio. La razón por la que los objetos secundarios heredan los permisos de sus padres es
que, de forma predeterminada, cada nuevo objeto se crea con la opción de heredar permisos habilitada.
Página 145
Permisos efectivos de AD DS
Los permisos efectivos son los permisos resultantes

para una entidad de seguridad (como un usuario o un grupo),
basado en el efecto acumulativo de cada heredada
y ACE explícito. Tu capacidad para restablecer un usuario
contraseña, por ejemplo, puede deberse a su
pertenencia a un grupo al que se le permite el reinicio
Permiso de contraseña en una unidad organizativa de varios niveles
encima del objeto de usuario. El permiso heredado
asignado a un grupo al que pertenece resultados
en un permiso efectivo de Permitir: Restablecer
Contraseña. Sus permisos efectivos pueden ser
complicado si se considera Permitir y Denegar
permisos, ACE explícitos y heredados, y el hecho de que puede pertenecer a varios grupos, cada uno de
a los que se les pueden asignar diferentes permisos.
Los permisos, ya sean asignados a su cuenta de usuario o a un grupo al que pertenece, son equivalentes.
Esto significa que, en última instancia, un ACE se aplica a usted, el usuario. La mejor práctica es administrar los permisos
asignándolos a grupos, pero también puede asignar ACE a usuarios individuales o computadoras. Un permiso
que se le ha asignado directamente a usted, el usuario, no es ni más importante ni menos importante que un
permiso asignado a un grupo al que pertenece.
Los permisos Permitir, que permiten el acceso, son acumulativos. Cuando perteneces a varios grupos y cuando
esos grupos tienen permisos que permiten una variedad de tareas, usted podrá realizar todas las tareas
asignados a todos esos grupos, además de las tareas asignadas directamente a su cuenta de usuario.
Denegar permisos, que niegan el acceso, anulan los permisos Permitir equivalentes. Si estás en un grupo que
se le ha permitido el permiso para restablecer contraseñas, y también está en otro grupo que ha sido
si se le niega el permiso para restablecer las contraseñas, el permiso Denegar le impide restablecer las contraseñas.
Nota: Utilice los permisos de Denegación con poca frecuencia. De hecho, no es necesario asignar permisos de Denegación,
porque si no asigna un permiso Permitir, los usuarios no pueden realizar la tarea. antes de
asignar un permiso de Denegación, verifique si puede lograr su objetivo eliminando un
Permitir permiso. Por ejemplo, si desea delegar un permiso Permitir a un grupo, pero
eximir solo a un miembro de ese grupo, puede usar un permiso de Denegación en ese usuario específico
cuenta mientras el grupo todavía tiene un permiso Permitir.
Cada permiso está detallado. Incluso si se le ha negado la capacidad de restablecer contraseñas, es posible que
tener la capacidad a través de otros permisos de Permitir para cambiar el nombre de inicio de sesión o la dirección de correo electrónico del usuario.
Dado que los objetos secundarios heredan los permisos heredables de los objetos principales de forma predeterminada, y porque
Los permisos pueden anular los permisos heredables, un permiso Permitir explícito anulará un permiso heredado
Denegar el permiso.
Desafortunadamente, la compleja interacción de los permisos de usuario, grupo, explícitos, heredados, Permitir y Denegar puede
hacer que la evaluación de permisos efectivos sea tediosa. Puede utilizar los permisos informados por dsacls
comando, o en la pestaña Acceso efectivo del cuadro de diálogo Configuración de seguridad avanzada para comenzar
evaluar los permisos efectivos, pero sigue siendo una tarea manual.
17/11/2020 20410D
Página 146
Demostración: delegación de permisos administrativos
• Cree una unidad organizativa.
• Mueva objetos a una unidad organizativa.
• Delegar una tarea estándar.
• Delegar una tarea personalizada.
• Ver los permisos de AD DS resultantes de estas delegaciones.
Crea una OU
1. Abra Usuarios y equipos de Active Directory .
2. Cree una unidad organizativa denominada Ejecutivos en la raíz de Adatum.com.
Nota: Analice la configuración Proteger contenedor de eliminación accidental .
Mover usuarios a la unidad organizativa Ejecutivos

• Mueva todos los usuarios de Carol Troup a Euan Garden a la unidad organizativa Ejecutivos .
Delegar una tarea estándar

• Utilice el Asistente de control delegado para otorgar permisos al grupo de TI para realizar el siguiente estándar
tareas de gestión en la unidad organizativa Ejecutivos:
o Crear, eliminar y administrar cuentas de usuario
o Restablecer las contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión
o Leer toda la información del usuario
Delegar una tarea personalizada

• Utilice el Asistente de control delegado para otorgar los siguientes permisos en la unidad organizativa Ejecutivos al equipo de TI
grupo:
o Control total sobre los objetos de la computadora
o Crear objetos informáticos
o Eliminar objetos de la computadora
Ver los permisos de AD DS resultantes de estas delegaciones

1. Habilite la vista Funciones avanzadas en Usuarios y equipos de Active Directory.
2. Ver las propiedades de la unidad organizativa Ejecutivos.
3. Utilice la pestaña Seguridad para verificar los permisos asignados.
Página 147
17/11/2020 20410D
Laboratorio: Administración de objetos de servicios de dominio de Active Directory

Guión
Ha estado trabajando para A. Datum Corporation como especialista en soporte de escritorio y ha visitado
computadoras de escritorio para solucionar problemas de aplicaciones y de red. Recientemente aceptó una promoción
al equipo de soporte del servidor. Una de sus primeras asignaciones es configurar el servicio de infraestructura para un
nueva sucursal.
Para comenzar la implementación de la nueva sucursal, está preparando objetos de AD DS. Como parte de esto
preparación, debe crear una unidad organizativa para la sucursal y delegar el permiso para administrarla. Entonces
necesita crear usuarios y grupos para la nueva sucursal. Finalmente, necesita restablecer el seguro
canal para una cuenta de computadora que ha perdido la conectividad con el dominio en la sucursal.
Objetivos
• Delegar la administración de una sucursal.
• Cree y configure cuentas de usuario en AD DS.
• Administrar objetos de computadora en AD DS.

20410D ‑ LON ‑ CL1
2. En Hyper-V ® Manager, haga clic en 20410D-LON-DC1 y luego en el panel Acciones, haga clic en Iniciar .
o Dominio: Adatum
5. Repita los pasos 2 a 4 para 20410D-LON-CL1 .
Página 148
Ejercicio 1: Delegación de la administración para una sucursal

Guión
A. Datum delega la administración de cada sucursal a un grupo específico. Esto permite a un empleado que
trabaja en el sitio para ser configurado como administrador cuando sea necesario. Cada sucursal tiene una sucursal
17/11/2020 20410D
grupo
grupo de
de administradores
mesa de ayuda deque puede realizar
la sucursal una administración
que puede completa
administrar usuarios en ladentro
unidaddeorganizativa
la unidad organizativa de lapero
de la sucursal, sucursal. También
no otros hay una
objetos.
Debe crear estos grupos para la nueva sucursal y delegar permisos a los grupos.
1. Delegar la administración para los administradores de sucursales.
2. Delegue un administrador de usuarios para la mesa de ayuda de la sucursal.
3. Agregue un miembro a los administradores de sucursal.
4. Agregue un miembro al grupo de la mesa de ayuda de la sucursal.
▶ Tarea 1: administración delegada para administradores de sucursales

1. En LON-DC1, abra Usuarios y equipos de Active Directory y luego en el dominio Adatum.com,
cree una nueva unidad organizativa denominada Sucursal 1 .
2. Cree los siguientes grupos de seguridad global en la unidad organizativa de la sucursal 1 :
o Mesa de ayuda de la sucursal 1
o Administradores de la Rama 1
o Usuarios de la sucursal 1
3. Traslade a Holly Dickson de IT OU a Branch Office 1 OU.
4. Mueva los siguientes usuarios a la unidad organizativa de la sucursal 1 :
o Desarrollo \ Bart Duncan
o Gerentes \ Ed Meadows
o Marketing \ Connie Vrettos
o Investigación \ Barbara Zighetti
o Ventas \ Arlene Huff
5. Mueva la computadora LON-CL1 a la OU de la sucursal 1 y luego reinicie la computadora LON-CL1.
6. Inicie sesión en LON-CL1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
7. En LON-DC1, en Usuarios y equipos de Active Directory, use el Asistente de control delegado para delegar
la administración de la Sucursal 1 unidad organizativa a la rama 1 Administradores grupo de seguridad por
delegando las siguientes tareas comunes y personalizadas:
a. Delegue las siguientes tareas comunes:
▪ Crear, eliminar y administrar cuentas de usuario.
▪ Restablecer las contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión
▪ Leer toda la información del usuario
▪ Crear, eliminar y administrar grupos
▪ Modificar la membresía de un grupo
▪ Administrar enlaces de políticas de grupo
Página 149
segundo. Delegue las siguientes tareas personalizadas:
▪ Crear y eliminar objetos de computadora en la OU actual
▪ Control total de los objetos de la computadora en la OU actual
▶ Tarea 2: Delegar un administrador de usuarios para la mesa de ayuda de la sucursal

1. En LON-DC1, en Usuarios y equipos de Active Directory, use el Asistente de control delegado para delegar
la administración de la Sucursal 1 unidad organizativa a la rama turística 1 Ayuda grupo de seguridad.
2. Delegue las siguientes tareas comunes:
o Restablecer las contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión
o Leer toda la información del usuario
17/11/2020 20410D
o Modificar la membresía de un grupo
▶ Tarea 3: agregar un miembro a los administradores de sucursal

1. En LON-DC1, agregue Holly Dickson al grupo global Administradores de la sucursal 1 .
2. Agregue el grupo global de Administradores de Branch1 al grupo local de dominio de Operadores de servidor .
3. Salga de LON-DC1.
4. Inicie sesión como Adatum \ Holly con la contraseña Pa $$ w0rd .
Puede iniciar sesión localmente en un controlador de dominio porque Holly pertenece indirectamente al servidor
Grupo local de dominio de operadores.
5. En el Administrador del servidor, abra Usuarios y equipos de Active Directory .
Confirme las credenciales actuales de Holly en el cuadro de diálogo Control de cuentas de usuario .
6. Intente eliminar Sales \ Aaren Ekelund .
No tiene éxito porque Holly carece de los permisos necesarios.
7. Intente eliminar Branch Office 1 \ Ed Meadows .
Tienes éxito, porque Holly tiene los permisos necesarios.
▶ Tarea 4: Agregar un miembro al grupo de la mesa de ayuda de la sucursal

1. En LON-DC1, agregue Bart Duncan al grupo global de la mesa de ayuda de la sucursal 1 .
2. Cierre Usuarios y equipos de Active Directory y, a continuación, cierre el Administrador del servidor.
3. Abra el Administrador del servidor y luego abra Usuarios y equipos de Active Directory .
4. En el cuadro de diálogo Control de cuentas de usuario , especifique Adatum \ Administrator y Pa $$ w0rd como
credenciales requeridas.
Para modificar la lista de miembros de Operadores de servidor, debe tener permisos más allá de los disponibles
al grupo de administradores de la sucursal 1.
5. Agregue el grupo global de la mesa de ayuda de Branch1 al grupo local del dominio de Operadores de servidor .
7. Inicie sesión como Adatum \ Bart con la contraseña Pa $$ w0rd .
Puede iniciar sesión localmente en un controlador de dominio porque Bart pertenece indirectamente a los operadores de servidor
grupo local de dominio.
8. Abra el Administrador del servidor y luego abra Usuarios y equipos de Active Directory . Confirma tu actual
credenciales en el cuadro de diálogo Control de cuentas de usuario .
Página 150
9. Intente eliminar Branch Office 1 \ Connie Vrettos .
No lo logra porque Bart carece de los permisos necesarios.
10. Restablezca la contraseña de Connie a Pa $$ w0rd .
11. Después de confirmar que el restablecimiento de la contraseña se ha realizado correctamente, cierre la sesión de LON-DC1.
Resultados : después de completar este ejercicio, habrá creado con éxito una OU y delegado
administración de la misma al grupo apropiado.
Ejercicio 2: creación y configuración de cuentas de usuario en AD DS

Guión
Tiene una lista de nuevos usuarios para la sucursal y necesita crear cuentas de usuario para ellos.
17/11/2020 20410D
1. Cree una plantilla de usuario para la sucursal.
2. Configure los ajustes de la plantilla.
3. Cree un nuevo usuario para la sucursal, según la plantilla.
4. Inicie sesión como usuario para probar la configuración de la cuenta.
▶ Tarea 1: Cree una plantilla de usuario para la sucursal

1. En LON-DC1, cree una carpeta llamada C: \ branch1-userdata y luego compártala.
2. Modifique los permisos de la carpeta compartida para que el grupo Todos tenga Control total Permitir
permisos.
3. En el Administrador del servidor, abra Usuarios y equipos de Active Directory y luego cree un nuevo usuario con
las siguientes propiedades en la unidad organizativa de la sucursal 1 :
o Nombre completo: _Branch_template
o Nombre de inicio de sesión del usuario: _Branch_template
o La cuenta está deshabilitada
▶ Tarea 2: Configure los ajustes de la plantilla

• En LON-DC1, modifique las siguientes propiedades de la cuenta _Branch_template :
o Ciudad: Slough
o Grupo: Usuarios de la sucursal 1
o Carpeta de inicio: \\ lon-dc1 \ branch1-userdata \% username%
▶ Tarea 3: Cree un nuevo usuario para la sucursal, según la plantilla

1. En LON-DC1, copie la cuenta de usuario _Branch_template y luego configure las siguientes propiedades:
o Nombre: Ed
o Apellido: Meadows
Página 151
o El usuario debe cambiar la contraseña en el próximo inicio de sesión se borra
o La cuenta está deshabilitada se borra
2. Verifique que las siguientes propiedades se hayan copiado durante la creación de la cuenta:
o Ciudad: Slough
o Ruta de la carpeta de inicio: \\ lon-dc1 \ branch1-userdata \ Ed
o Grupo: Usuarios de la sucursal 1
▶ Tarea 4: Inicie sesión como usuario para probar la configuración de la cuenta

1. Cambie a LON-CL1 y cierre la sesión.
2. Inicie sesión en LON-CL1 como Adatum \ Ed con la contraseña Pa $$ w0rd .
Puede iniciar sesión correctamente.
3. Verifique que tiene una asignación de unidad para la unidad Z a la carpeta de inicio de Ed en LON-DC1.
4. Cierre sesión en LON-CL1.
Resultados : después de completar este ejercicio, habrá creado y probado con éxito una cuenta de usuario
creado a partir de una plantilla.
17/11/2020 20410D
Ejercicio 3: administración de objetos de computadora en AD DS
Guión
Una estación de trabajo ha perdido su conectividad con el dominio y no puede autenticar a los usuarios correctamente. Cuando los usuarios
intente acceder a los recursos desde esta estación de trabajo, se deniega el acceso. Necesitas reiniciar la computadora
cuenta para recrear la relación de confianza entre el cliente y el dominio.
1. Restablezca una cuenta de computadora.
2. Observe el comportamiento cuando un cliente inicia sesión.
3. Vuelva a unirse al dominio para volver a conectar la cuenta de la computadora.
▶ Tarea 1: Restablecer una cuenta de computadora

1. En LON-DC1, inicie sesión como Adatum \ Holly con la contraseña Pa $$ w0rd .
2. Abra Usuarios y equipos de Active Directory .
3. Confirme sus credenciales en el cuadro de diálogo Control de cuentas de usuario .
4. Vaya a Sucursal 1 .
5. Restablezca la cuenta de la computadora LON-CL1 .
Página 152
▶ Tarea 2: observe el comportamiento cuando un cliente inicia sesión

1. Cambie a LON-CL1 e intente iniciar sesión como Adatum \ Ed con la contraseña Pa $$ w0rd .
Aparece un mensaje que indica que la relación de confianza entre esta estación de trabajo y la
dominio falló .
2. Haga clic en Aceptar para reconocer el mensaje.
▶ Tarea 3: Vuelva a unirse al dominio para volver a conectar la cuenta de la computadora

1. Inicie sesión en LON-CL1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. Abra el Panel de control, cambie a la vista Iconos grandes y luego abra Sistema .
3. Vea la configuración avanzada del sistema y luego haga clic en la pestaña Nombre del equipo .
4. En el cuadro de diálogo Propiedades del sistema , utilice el botón ID de red para volver a unir la computadora al
dominio.
5. Complete el asistente con la siguiente configuración:
o Dominio: Adatum
o ¿Le gustaría utilizar el nombre de la computadora LON-CL1: Sí
o ¿Desea habilitar una cuenta de usuario de dominio en esta computadora: No
6. Cuando se le solicite, reinicie la computadora.
7. Inicie sesión como Adatum \ Ed con la contraseña Pa $$ w0rd .
Tiene éxito porque la computadora se ha reincorporado correctamente.
Resultados : Después de completar este ejercicio, habrá restablecido con éxito una relación de confianza.
17/11/2020 20410D
Pregunta: ¿Cuáles son las opciones para modificar los atributos de los usuarios nuevos y existentes?
Pregunta: ¿Qué tipos de objetos pueden ser miembros de grupos globales?
Pregunta: ¿Qué tipos de objetos pueden ser miembros de grupos locales de dominio?
Pregunta: ¿Qué dos credenciales son necesarias para que cualquier computadora se una a un dominio?

Cuando haya completado el laboratorio, vuelva las máquinas virtuales a su estado inicial. Para hacer esto, complete
los siguientes pasos:
2. En la lista de Máquinas virtuales, haga clic con el botón derecho en 20410D-LON-CL1 y luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-DC1 .
Página 153

Pregunta: Su empresa tiene sucursales en varias ciudades y cada sucursal tiene un dominio local
que es parte del bosque de la empresa. Cada sucursal también tiene sus propias impresoras que se administran
mediante el uso de grupos locales de dominio de su dominio local. El personal de ventas de la empresa
viaja con frecuencia entre ubicaciones.
¿Cómo puede proporcionar al personal de ventas acceso a las distintas impresoras mientras viajan?
entre ubicaciones?
Pregunta: Usted es responsable de administrar las cuentas y el acceso a los recursos de su

miembros del grupo. Un usuario de su grupo se traslada a otro departamento de la empresa.
¿Qué debe hacer con la cuenta de usuario?
Pregunta: ¿Cuál es la principal diferencia entre el contenedor Computers y una OU?
Pregunta: ¿ Cuándo debería restablecer una cuenta de computadora? ¿Por qué es mejor restablecer el
cuenta de computadora en lugar de desconectarse y luego volver a unirla al dominio?
Pregunta: Un director de proyecto de su departamento está iniciando un proyecto de grupo que

continuar durante el próximo año. Varios usuarios de su departamento y otros departamentos
estar dedicado al proyecto durante este tiempo. El equipo del proyecto debe tener acceso al mismo
recursos compartidos. El director del proyecto debe poder gestionar las cuentas de usuario y el grupo.
cuentas en AD DS; sin embargo, no desea dar permiso al director del proyecto para
administrar cualquier otra cosa en AD DS. ¿Cuál es la mejor manera de hacer esto?
Pregunta: Trabaja como técnico de TI en Contoso, Ltd. Está administrando el

Infraestructura basada en Windows Server. Tienes que encontrar un método para unirte a nuevos
Equipos basados en Windows 8.1 a un dominio durante el proceso de instalación, sin
intervención de un usuario o administrador. ¿Cuál es la mejor manera de hacer esto?
Mejores prácticas
Prácticas recomendadas para la gestión de cuentas de usuario
• No permita que los usuarios compartan cuentas de usuario. Cree siempre una cuenta de usuario para cada individuo, incluso si eso
persona no estará con su organización durante mucho tiempo.
• Eduque a los usuarios sobre la importancia de la seguridad de las contraseñas.
• Asegúrese de elegir una estrategia de nomenclatura para las cuentas de usuario que le permita identificar al usuario
a quien se refiere la cuenta. También asegúrese de que su estrategia de nomenclatura utilice nombres únicos dentro de su
dominio.
Mejores prácticas para la gestión de grupos
17/11/2020 20410D
• Cuando administre el acceso a los recursos, intente utilizar grupos locales de dominio y grupos de funciones.
• Use grupos universales solo cuando sea necesario porque agregan peso al tráfico de replicación.
• Utilice Windows PowerShell con el módulo de Active Directory para trabajos por lotes en grupos.
• Evite agregar usuarios a grupos integrados y predeterminados.
Página 154
Mejores prácticas relacionadas con la administración de cuentas de computadoras
• Siempre aprovisione una cuenta de computadora antes de unir computadoras a un dominio, y luego colóquelas en
OU apropiada.
• Redirigir el contenedor Computadoras predeterminado a otra ubicación.
• Restablezca la cuenta de la computadora, en lugar de desconectarse y volver a unirse.
• Integre la funcionalidad de unión de dominio sin conexión con instalaciones desatendidas.
Herramientas
Herramienta Usado para Donde encontrarlo
Administrador de Active Directory Gestionar usuarios y grupos Herramientas administrativas

Centrar
Usuarios de Active Directory y Gestionar usuarios y grupos Herramientas administrativas

Ordenadores
Módulo de Active Directory para Administrar usuarios y grupos instalados como característica de Windows
Windows PowerShell
Módulo de Active Directory para Cuenta de computadora Herramientas administrativas

Windows PowerShell administración
unirse Unirse al dominio sin conexión Debe ser lanzado desde un

Símbolo del sistema o Windows
Indicador de PowerShell
redircmp Cambiar computadora predeterminada Línea de comando

envase
dsacls Ver y modificar AD DS Línea de comando

permisos
17/11/2020 20410D
Página 155
4-1
Módulo 4
Automatización de los servicios de dominio de Active Directory
Administración
Contenido:
Lección 1: Uso de herramientas de línea de comandos para la administración de AD DS 4-2
Lección 2: Uso de Windows PowerShell para la administración de AD DS 4-8
Lección 3: Realización de operaciones masivas con Windows PowerShell 4-14
Laboratorio: Automatización de la administración de AD DS mediante Windows PowerShell 4-25

Puede utilizar las herramientas de línea de comandos y Windows PowerShell ® para automatizar Active Directory ® de dominio
Administración de servicios (AD DS). Automatizar la administración acelera los procesos que podría
de lo contrario, realice manualmente. Windows PowerShell incluye cmdlets para realizar la administración de AD DS
y para realizar operaciones a granel. Puede utilizar operaciones masivas para cambiar muchos objetos de AD DS en una
paso único en lugar de actualizar cada objeto manualmente.
Objetivos
• Utilice herramientas de línea de comandos para la administración de AD DS.
• Utilice cmdlets de Windows PowerShell para la administración de AD DS.
• Realice operaciones masivas con Windows PowerShell.
17/11/2020 20410D
Página 156
4-2 Automatización de la administración de servicios de dominio de Active Directory
Lección 1
Uso de herramientas de línea de comandos para la administración de AD DS
Windows Server® 2012 incluye varias herramientas de línea de comandos que puede utilizar para ejecutar AD DS
administración. Muchas organizaciones crean scripts que utilizan herramientas de línea de comandos para automatizar la creación.
y administración de objetos de AD DS, como cuentas de usuario y grupos. Debes entender cómo usar
estas herramientas de línea de comandos para asegurarse de que, si es necesario, pueda modificar los scripts que su organización
usos.
• Describir los beneficios de utilizar herramientas de línea de comandos para la administración de AD DS.
• Describir cómo y cuándo utilizar la herramienta de línea de comandos csvde .
• Describir cómo y cuándo usar la herramienta de línea de comandos ldifde .
• Describir cómo y cuándo utilizar los comandos de Servicios de directorio de Windows Server® 2012.
Beneficios de usar herramientas de línea de comandos para la administración de AD DS
Muchos administradores prefieren utilizar gráficos

herramientas para la administración de AD DS siempre que sea posible.
Herramientas gráficas, como los usuarios de Active Directory
y el complemento Computers, son intuitivos de usar
porque representan información visualmente y
proporcionar opciones en forma de botones de radio y
Cuadros de diálogo. Cuando la información está representada
gráficamente, no es necesario que memorice la sintaxis.
Las herramientas gráficas funcionan bien en muchas situaciones, pero

no puede automatizarlos. Para automatizar AD DS
administración, necesita herramientas de línea de comandos,
que puede utilizar en scripts o mediante otros
aplicaciones y programas.
Algunos beneficios de usar herramientas de línea de comandos son:
• Implementación más rápida de operaciones masivas. Por ejemplo, puede exportar una lista de nuevos empleados desde
una aplicación de recursos humanos. A continuación, puede utilizar una herramienta de línea de comandos o un script para crear el nuevo usuario.
cuentas basadas en la información exportada. Esto es mucho más rápido que crear cada nueva cuenta de usuario.
a mano.
• Procesos personalizados para la administración de AD DS. Puede utilizar un programa gráfico personalizado para
recopile información sobre un nuevo grupo propuesto y luego cree el nuevo grupo. Cuando el
recopila la información, el programa gráfico puede verificar que el formato de la información, como
la convención de nomenclatura es correcta. Luego, el programa gráfico utiliza una herramienta de línea de comandos para crear
el nuevo grupo. Este proceso permite hacer cumplir las reglas específicas de la empresa.
• Administración de AD DS en Server Core. No se puede ejecutar la instalación Server Core de Windows Server
herramientas de administración gráfica como Usuarios y equipos de Active Directory. Sin embargo, puede utilizar
herramientas de línea de comandos en Server Core.
Página 157
Nota: También puede administrar Server Core de forma remota mediante herramientas gráficas.
17/11/2020 20410D
¿Qué es Csvde?
La herramienta de línea de comandos csvde exporta o importa

Objetos de AD DS hacia o desde un objeto separado por comas
archivo de valores (.csv). Muchos programas y aplicaciones son
capaz de exportar o importar datos de .csv
archivos. Esto hace que csvde sea útil para la interoperabilidad.
con otros programas y aplicaciones, como bases de datos
u hojas de cálculo.
La principal limitación de csvde es que no puede

modificar los objetos de Active Directory existentes. usted
solo puedo usarlo para crear nuevos objetos. Por ejemplo,
puede usar csvde para crear un conjunto de nuevos usuarios
cuentas, pero no puede utilizarlo para modificar el
propiedades de las cuentas de usuario después de su creación. También puede usar csvde para exportar propiedades de objetos,
como una lista de usuarios y sus direcciones de correo electrónico.
Exportar objetos mediante csvde

Para exportar objetos usando csvde , como mínimo, debe especificar el nombre de archivo del archivo .csv a
qué datos se exportan. Cuando especifica solo el nombre del archivo, se exportan todos los objetos del dominio.
La sintaxis básica para usar csvde para exportar es:
csvde -f nombre de archivo
La siguiente tabla enumera otras opciones que puede usar con csvde .
Opción Descripción
-d RootDN Especifica el nombre distinguido del contenedor desde el que se exporta

comienza. El predeterminado es el dominio.
-p SearchScope • Especifica el alcance de la búsqueda en relación con el contenedor especificado por el

opción -d . La opción SearchScope puede ser:
o base (solo este objeto)
o un nivel (objetos dentro de este contenedor)
o subárbol (este contenedor y todos los subcontenedores). Este es el valor predeterminado.
-r filtro Limita los objetos devueltos a aquellos que coinciden con el filtro. El filtro se basa
en la sintaxis de consulta del Protocolo ligero de acceso a directorios (LDAP).
-l ListOfAtrributes Especifica los atributos que se exportarán. Utilice el nombre LDAP para cada
atributo y sepárelos con comas.
Una vez completada la exportación, el archivo .csv contiene una fila de encabezado y una fila para cada objeto que se
exportado. La fila de encabezado es una lista separada por comas con los nombres de los atributos de cada objeto.
Página 158
Crear objetos usando csvde

La sintaxis básica para usar csvde para crear objetos es:
csvde - i - f nombre de archivo - k
El parámetro -i especifica el modo de importación. El parámetro -f identifica el nombre del archivo desde el que importar.
El parámetro -k indica a csvde que suprima los mensajes de error, incluido el error Objeto ya existe
mensaje. La opción para suprimir errores es útil al importar objetos para garantizar que todos los objetos
17/11/2020 20410D
posibles se crean, en lugar de detenerse cuando están parcialmente completos.
El archivo .csv que está utilizando para una importación debe tener una fila de encabezado que contenga los nombres de los atributos LDAP
para los datos en el archivo .csv. Cada fila debe contener exactamente el número correcto de elementos como se especifica en el
fila de encabezado.
No puede usar csvde para importar contraseñas, porque las contraseñas en un archivo .csv no están protegidas. Por lo tanto,
las cuentas de usuario que crea con csvde tienen una contraseña en blanco y están desactivadas.
Nota: Para obtener más información sobre los parámetros de csvde , en el símbolo del sistema, escriba
csvde /? y luego presione Entrar.
Lectura adicional: para obtener más información sobre la sintaxis de consultas LDAP, consulte Consulta LDAP
Conceptos básicos en http://go.microsoft.com/fwlink/?LinkId=168752 .
¿Qué es Ldifde?
Puede utilizar la herramienta de línea de comandos ldifde para

exportar, crear, modificar o eliminar objetos de AD DS.
Al igual que csvde , ldifde usa datos que se almacenan en un archivo.
El archivo debe estar en formato de intercambio de datos LDAP
(LDIF). La mayoría de los programas y aplicaciones no pueden exportar ni
importar datos en formato LDIF. Es más probable que
obtendrá datos en formato LDIF de otro
servicio de directorio.
Un archivo LDIF está basado en texto, con bloques de líneas

componer una sola operación como crear
o modificar un objeto de usuario. Cada línea dentro
la operación especifica algo sobre el
operación, como un atributo o el tipo de operación. Una línea en blanco separa múltiples operaciones dentro
el archivo LDIF.
Página 159
El siguiente es un ejemplo de un archivo LDIF que crea un solo usuario:
dn: CN = Bonnie Kearney, OU = Empleados, OU = Cuentas de usuario, DC = adatum, DC = com

changetype: agregar
objectClass: top
objectClass: persona
objectClass: organizationPerson
objectClass: usuario
cn: Bonnie Kearney
sn: Kearney
título: Operaciones
descripción: Operaciones (Londres)
dadoNombre: Bonnie
displayName: Kearney, Bonnie
empresa: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@adatum.com
correo: bonnie.kearney@adatum.com
17/11/2020 20410D
Para cada operación en un archivo LDIF, la línea changetype define la operación que se realizará. El valido
los valores son agregar , modificar o eliminar .
Exportar objetos mediante Ldifde

Cuando usa ldifde para exportar objetos, como mínimo, debe proporcionar un nombre de archivo para contener los datos.
Cuando no se especifican otras opciones, se exportan todos los objetos del dominio.
La sintaxis básica para exportar objetos mediante ldifde es:
ldifde -f nombre de archivo
La siguiente tabla enumera otras opciones que puede utilizar al exportar objetos mediante ldifde .
Opción Descripción
-d RootDN La raíz de la búsqueda LDAP. El valor predeterminado es la raíz del dominio.
-r filtro Un filtro de búsqueda LDAP que limita los resultados devueltos.
-p SearchScope El alcance o la profundidad de la búsqueda. Esto puede ser:

o subárbol (el contenedor y todos los contenedores secundarios)
o base (solo los objetos secundarios inmediatos del contenedor)
o un nivel (el contenedor y sus contenedores secundarios inmediatos)
-l ListOfAttributes Una lista de atributos separados por comas para incluir en la exportación.
-o ListOfAttributes Una lista de atributos separados por comas para excluir en la exportación.
Importar objetos mediante Ldifde

Cuando usa ldifde para importar objetos, debe especificar la operación a realizar en el objeto. por
cada operación en un archivo LDIF, la línea changetype define la operación a realizar.
La sintaxis básica para usar ldifde para importar objetos es:
ldifde -i -f nombre de archivo -k
El parámetro -i especifica el modo de importación. El parámetro -f identifica el nombre del archivo desde el que importar.
El parámetro -k indica a ldifde que suprima los errores, incluido el error Objeto ya existe. La opción
Página 160
Suprimir errores es útil al importar objetos para garantizar que se creen todos los objetos posibles, en su lugar
de detenerse cuando está parcialmente completo.
No puede usar ldifde para importar contraseñas, porque las contraseñas en un archivo LDIF no son seguras. Por lo tanto,
Las cuentas de usuario creadas por ldifde tienen una contraseña en blanco y están desactivadas.
¿Qué son los comandos DS?
Windows Server 2012 incluye la línea de comandos

herramientas llamadas comandos de servicios de directorio , que
son adecuados para su uso en scripts. Puede utilizar ds *
comandos para crear, ver, modificar y eliminar
Objetos de AD DS. La siguiente tabla describe ds *
comandos.
17/11/2020 20410D
Herramienta Descripción
dsadd Crea objetos de AD DS.
dsget Muestra las propiedades de los objetos de AD DS.
dsquery Busca objetos de AD DS.
dsmod Modifica los objetos de AD DS.
dsrm Elimina objetos de AD DS.
dsmove Mueve los objetos de AD DS.
Ejemplos de comandos de administración de usuarios

Los siguientes son ejemplos de comandos ds * que puede escribir en un símbolo del sistema.
Para modificar el departamento de una cuenta de usuario, escriba:
dsmod user "cn = Joe Healy, ou = Managers, dc = adatum, dc = com" -dept IT
Para mostrar el correo electrónico de una cuenta de usuario, escriba:
dsget user "cn = Joe Healy, ou = Managers, dc = adatum, dc = com" -email
Para eliminar una cuenta de usuario, escriba:
dsrm "cn = Joe Healy, ou = Gerentes, dc = adatum, dc = com"
Para crear una nueva cuenta de usuario, escriba:
usuario dsadd "cn = Joe Healy, ou = gerentes, dc = adatum, dc = com"
Página 161
Pregunta: ¿Qué criterios usaría para seleccionar entre usar csvde , ldifde y ds *
comandos?
17/11/2020 20410D
Página 162
Lección 2
Uso de Windows PowerShell para la administración de AD DS
Windows PowerShell es el entorno de secuencias de comandos preferido en Windows Server 2012. Es mucho más fácil
para el uso de lenguajes de script anteriores tales como Microsoft ® Visual Basic Scripting Edition (VBScript).
Windows PowerShell incluye una extensa lista de cmdlets para administrar objetos de AD DS. Puedes usar cmdlets
para crear, modificar y eliminar cuentas de usuario, grupos, cuentas de computadora y unidades organizativas (OU).
• Utilice cmdlets de Windows PowerShell para administrar cuentas de usuario.
• Utilice cmdlets de Windows PowerShell para administrar grupos.
• Utilice cmdlets de Windows PowerShell para administrar cuentas de equipo.
• Utilice cmdlets de Windows PowerShell para administrar OU.
Uso de cmdlets de Windows PowerShell para administrar cuentas de usuario
Puede usar cmdlets de Windows PowerShell para

crear, modificar y eliminar cuentas de usuario. usted
puede usar estos cmdlets para operaciones individuales
o como parte de un script para realizar operaciones masivas.
La siguiente tabla enumera algunos de los
utilizaba cmdlets para administrar cuentas de usuario.
Cmdlet Descripción
17/11/2020 20410D
New-ADUser Crea cuentas de usuario.
Set-ADUser Modifica las propiedades de las cuentas de usuario.
Remove-ADUser Elimina cuentas de usuario.
Set-ADAccountPassword Restablece la contraseña de una cuenta de usuario.
Set-ADAccountExpiration Modifica la fecha de vencimiento de una cuenta de usuario.
Desbloqueo-ADAccount Desbloquea una cuenta de usuario cuando está bloqueada después de exceder el aceptado
número de intentos de inicio de sesión incorrectos.
Enable-ADAccount Habilita una cuenta de usuario.
Disable-ADAccount Desactiva una cuenta de usuario.
Página 163
Crear nuevas cuentas de usuario

Cuando usa el cmdlet New-ADUser para crear nuevas cuentas de usuario, puede establecer la mayoría de las propiedades de usuario
incluyendo una contraseña. Por ejemplo:
• Si no utiliza el parámetro -AccountPassword , no se establece ninguna contraseña y la cuenta de usuario

discapacitado. El parámetro -Enabled no se puede establecer como $ true cuando no se establece ninguna contraseña.
• Si usa el parámetro -AccountPassword para especificar una contraseña, debe especificar una variable
que contiene la contraseña como una cadena segura, o elija que se le solicite la contraseña. Un seguro
la cadena está encriptada en la memoria. Si establece una contraseña, puede habilitar la cuenta de usuario configurando
el parámetro -Enabled como $ true .
En la siguiente tabla, se enumeran los parámetros de uso común para el cmdlet New-ADUser .
Parámetro Descripción
AccountExpirationDate Define la fecha de vencimiento de la cuenta de usuario.
Cuenta Contraseña Define la contraseña de la cuenta de usuario.
ChangePasswordAtLogon Requiere que la cuenta de usuario cambie las contraseñas en la próxima

inicio de sesión.
Departamento Define el departamento de la cuenta de usuario.
Habilitado Define si la cuenta de usuario está habilitada o deshabilitada.
InicioDirectorio Define la ubicación del directorio de inicio de una cuenta de usuario.
InicioDrive Define las letras de unidad que se asignan a la casa

directorio para una cuenta de usuario.
Nombre de pila Define el nombre de una cuenta de usuario.
Apellido Define el apellido de una cuenta de usuario.
Camino Define la unidad organizativa o el contenedor donde se crea la cuenta de usuario.
El siguiente es un ejemplo de un comando que puede usar para crear una cuenta de usuario con un mensaje para
una contraseña:
Nuevo - ADUser "Sten Faerch" - AccountPassword (Read - Host - AsSecureString "Enter password")
-Departamento TI
Pregunta: ¿Son iguales todos los parámetros de cmdlet que usa para administrar cuentas de usuario?
17/11/2020 20410D
Página 164
Uso de cmdlets de Windows PowerShell para administrar grupos
Puede usar Windows PowerShell para crear,

modificar y eliminar grupos. Puedes usar estos
cmdlets para operaciones individuales o como parte de un
script para realizar operaciones masivas. Algunos de los
Los cmdlets para administrar grupos se enumeran en el
siguiente tabla.
Cmdlet Descripción
New-ADGroup Crea nuevos grupos.
Set-ADGroup Modifica propiedades de grupos.
Get-ADGroup Muestra las propiedades de los grupos.
Eliminar-ADGroup Elimina grupos.
Add-ADGroupMember Agrega miembros a grupos.
Get-ADGroupMember Muestra la pertenencia a grupos.
Remove-ADGroupMember Elimina miembros de los grupos.
Add-ADPrincipalGroupMembership Agrega pertenencia a un grupo a los objetos.
Get-ADPrincipalGroupMembership Muestra la pertenencia a grupos de objetos.
Remove-ADPrincipalGroupMembership Elimina la pertenencia a un grupo de un objeto.
Crear nuevos grupos

Puede usar el cmdlet New-ADGroup para crear grupos. Sin embargo, cuando crea grupos utilizando el
New-ADGroup cmdlet, debe usar el parámetro GroupScope además del nombre del grupo. Esto es
el único parámetro requerido. La siguiente tabla enumera los parámetros de uso común para New-ADGroup .
Nombre Define el nombre del grupo.
GroupScope Define el ámbito del grupo como DomainLocal , Global o Universal . usted
debe proporcionar este parámetro.
Nombre para mostrar Define el nombre de visualización LDAP del objeto.
GroupCategory Define si es un grupo de seguridad o un grupo de distribución. Si no lo hace

especificar bien, se crea un grupo de seguridad.
17/11/2020 20410D
Página 165
Gestionado por Define un usuario o grupo que puede administrar el grupo.
Camino Define la unidad organizativa o el contenedor en el que se crea el grupo.
SamAccountName Define un nombre que es compatible con versiones anteriores de los sistemas operativos más antiguos.
El siguiente comando es un ejemplo de lo que podría escribir en un indicador de Windows PowerShell para crear
un nuevo grupo:
Nuevo - ADGroup - Nombre "CustomerManagement" - Ruta "ou = managers, dc = adatum, dc = com" - GroupScope
Global - Seguridad de categoría de grupo
Administrar membresía de grupo

Hay dos conjuntos de cmdlets que puede usar para administrar la pertenencia a grupos: * -ADGroupMember y
* -ADPrincipalGroupMembership . La distinción entre estos dos conjuntos de cmdlets es la perspectiva
se utiliza al modificar la pertenencia a un grupo. Son:
• Los cmdlets * -ADGroupMember modifican la pertenencia a un grupo. Por ejemplo, agrega o

eliminar miembros de un grupo.
o No puede canalizar una lista de miembros a estos cmdlets.
o Puede pasar una lista de grupos a estos cmdlets.
• Los cmdlets * -ADPrincipalGroupMembership modifican la pertenencia al grupo de un objeto como un

usuario. Por ejemplo, puede modificar una cuenta de usuario para agregarla como miembro de un grupo.
o Puede canalizar una lista de miembros a estos cmdlets.
o No puede proporcionar una lista de grupos a estos cmdlets.
Nota: La canalización es un proceso común en los lenguajes de secuencias de comandos que le permite utilizar la salida
de un cmdlet como entrada para el siguiente cmdlet del comando. Por ejemplo, el siguiente comando
crea una cuenta de usuario y luego habilita la cuenta:
New-ADUser - Nombre "Sten Faerch" -AccountPassword (Read-Host -AsSecureString "Enter

contraseña ") | Habilitar-Cuenta
El siguiente es un comando que puede usar para agregar un miembro a un grupo:
Agregar - ADGroupMember - Nombre "CustomerManagement" - Miembros "Joe"
Página 166
17/11/2020 20410D
Uso de cmdlets de Windows PowerShell para administrar cuentas de equipo
Puede usar Windows PowerShell para crear,

modificar y eliminar cuentas de computadora. Usted puede
utilice estos cmdlets para operaciones individuales o como
parte de un script para realizar operaciones masivas. los
La siguiente tabla enumera los cmdlets que puede utilizar para
administrar cuentas de computadora.
Cmdlet Descripción
New-ADComputer Crea una nueva cuenta de computadora.
Set-ADComputadora Modifica las propiedades de una cuenta de computadora.
Get-ADComputer Muestra las propiedades de una cuenta de computadora.
Remove-ADComputer Elimina una cuenta de computadora.
Test-ComputerSecureChannel Verifica o repara la relación de confianza entre una computadora

y el dominio.
Reset-ComputerMachinePassword Restablece la contraseña de una cuenta de computadora.
Crear nuevas cuentas de computadora

Puede usar el cmdlet New-ADComputer para crear una nueva cuenta de equipo antes de unirse al
computadora al dominio. Haga esto para poder crear la cuenta de computadora en la unidad organizativa correcta antes
desplegar la computadora.
La siguiente tabla enumera los parámetros de uso común para New-ADComputer .
Nombre Define el nombre de la cuenta de la computadora.
Camino Define la unidad organizativa o el contenedor donde se crea la cuenta del equipo.
Habilitado Define si la cuenta de la computadora está habilitada o deshabilitada. Por defecto, el

La cuenta de computadora está habilitada y se genera una contraseña aleatoria.
El siguiente es un ejemplo que puede usar para crear una cuenta de computadora:
New-ADComputer -Name LON-SVR8 -Path "ou = marketing, dc = adatum, dc = com" -Enabled $ true
Reparar la relación de confianza para una cuenta de computadora

Puede usar el cmdlet Test-ComputerSecureChannel con el parámetro -Repair para reparar una confianza perdida
relación entre una computadora y el dominio. Debe ejecutar el cmdlet en la computadora con el
relación de confianza.
Página 167
El siguiente es un comando que puede usar para reparar la relación de confianza de una cuenta de computadora:
Test-ComputerSecureChannel -Reparación
17/11/2020 20410D
Uso de cmdlets de Windows PowerShell para administrar unidades organizativas
Puede usar cmdlets de Windows PowerShell para

crear, modificar y eliminar unidades organizativas. Puedes usar estos
cmdlets para operaciones individuales o como parte de un
script para realizar operaciones masivas. El seguimiento
La tabla enumera los cmdlets que puede usar para administrar
OU.
Cmdlet Descripción
New-ADOrganizationalUnit Crea unidades organizativas.
Set-ADOrganizationalUnit Modifica las propiedades de las unidades organizativas.
Get-ADOrganizationalUnit Muestra las propiedades de las unidades organizativas.
Remove-ADOrganizationalUnit Elimina unidades organizativas.
Crear nuevas unidades organizativas

Puede usar el cmdlet New-ADOrganizationalUnit para crear una nueva OU para representar los departamentos o
ubicaciones físicas dentro de su organización.
La siguiente tabla muestra los parámetros de uso común para el cmdlet New-ADOrganizationalUnit .
Nombre Define el nombre de la nueva OU.
Camino Define la ubicación de la nueva OU.
ProtectedFromAccidentalDeletion Evita que la unidad organizativa se elimine accidentalmente. los

el valor predeterminado es $ verdadero .
El siguiente es un ejemplo que puede utilizar cuando desee crear una nueva OU:
New-ADOrganizationalUnit -Name Sales -Path "ou = marketing, dc = adatum, dc = com"

-ProtectedFromAccidentalDeletion $ true
Pregunta: En el ejemplo de la diapositiva, ¿el parámetro ProtectedFromAccidentalDeletion

¿necesario?
Página 168
Lección 3
Realización de operaciones masivas con Windows PowerShell
Windows PowerShell es un potente entorno de secuencias de comandos que puede utilizar para realizar operaciones masivas,
que puede ser tedioso de realizar manualmente. También puede realizar algunas operaciones masivas en herramientas gráficas.
Antes de poder realizar operaciones masivas con Windows PowerShell, debe comprender cómo
crear consultas para una lista de objetos de AD DS y cómo trabajar con archivos .csv. Luego puede crear scripts que
Realice las operaciones masivas que necesite.
17/11/2020 20410D
• Describir operaciones a granel.
• Utilice herramientas gráficas para realizar operaciones masivas.
• Consultar objetos de AD DS mediante Windows PowerShell.
• Modificar objetos de AD DS mediante Windows PowerShell.
• Utilice archivos .csv con Windows PowerShell.
• Modificar y ejecutar scripts de Windows PowerShell para realizar operaciones masivas.
¿Qué son las operaciones a granel?
Una operación masiva es una acción única que cambia

múltiples objetos. Realización de una operación a granel
es mucho más rápido que cambiar muchos objetos
individualmente. También podría ser más preciso,
porque realizar muchas acciones individuales
aumenta la probabilidad de hacer un tipográfico
Error. Sin embargo, debido a la naturaleza de Bulk
Operaciones, si se introduce un error, puede
multiplicarse a cada objeto individual siendo
cambiado. Por lo tanto, asegúrese de probar su volumen
operación en un conjunto de objetos más pequeño antes de ejecutar
en todos los elementos que desee modificar.
Las operaciones masivas comunes en un entorno de Windows Server incluyen:
• Cree nuevas cuentas de usuario basadas en información de una hoja de cálculo.
• Desactive todas las cuentas de usuario que no se hayan utilizado en los últimos seis meses.
• Cambiar el nombre del departamento para todos los usuarios que pertenecen a un departamento determinado.
Puede realizar operaciones masivas con herramientas gráficas, en un símbolo del sistema o mediante secuencias de comandos. Cada
El método para realizar operaciones masivas tiene diferentes capacidades, tales como:
• Las herramientas gráficas tienden a estar limitadas en las propiedades que pueden modificar.
• Las herramientas de línea de comandos tienden a ser más flexibles que las herramientas gráficas al definir consultas, y
tiene más opciones para modificar las propiedades del objeto.
• Los scripts pueden combinar múltiples acciones de la línea de comandos para lograr la mayor complejidad y flexibilidad.
Página 169
Demostración: uso de herramientas gráficas para realizar operaciones masivas
Puede utilizar el Centro de administración de Active Directory y Usuarios y equipos de Active Directory
herramientas gráficas para modificar las propiedades de varios objetos simultáneamente.
Nota: cuando utiliza herramientas gráficas para modificar varias cuentas de usuario simultáneamente,
se limitan a modificar las propiedades que aparecen en la interfaz de usuario.
Para realizar una operación masiva utilizando herramientas gráficas, realice los siguientes pasos:
1. Realice una búsqueda o cree un filtro para mostrar los objetos que desea modificar.
2. Seleccione los objetos.
3. Examine las propiedades de los objetos.
4. Modifique las propiedades que desea cambiar.
En esta demostración, verá cómo:
17/11/2020 20410D
• Cree una consulta para todos los usuarios.
• Configure el atributo Empresa para todos los usuarios.
• Verifique que se haya modificado el atributo Compañía.
Crea una consulta para todos los usuarios

3. Vaya a Búsqueda global y luego agregue los criterios. El tipo de objeto es usuario / inetOrgPerson
/ computadora / grupo / unidad organizativa .
4. Verifique que el criterio que agregó es para el tipo Usuario y luego realice la búsqueda.
Configure el atributo Empresa para todos los usuarios

1. Seleccione todas las cuentas de usuario y luego modifique sus propiedades.
2. Haga el nombre de la empresa A. Datum .
Verifique que se haya modificado el atributo Empresa

• Abra las propiedades de Adam Barr y luego verifique que la Compañía sea A. Datum.
Página 170
Consulta de objetos con Windows PowerShell
En Windows PowerShell, usa Get- *

cmdlets para obtener listas de objetos, como usuario
cuentas. También puede utilizar estos cmdlets para
generar consultas para objetos en los que puede
realizar operaciones masivas. La siguiente tabla
enumera los parámetros que se utilizan comúnmente con
los cmdlets Get-AD * .
SearchBase Define la ruta de AD DS para comenzar a buscar, por ejemplo, el dominio o una OU.
Alcance de la búsqueda Define en qué nivel por debajo de SearchBase se debe realizar la búsqueda.
Puede optar por buscar solo en la base, un nivel hacia abajo o en todo el subárbol.
ResultSetSize Define cuántos objetos devolver en respuesta a una consulta. Para asegurar que todos
se devuelven objetos, establezca esto en $ null .
Propiedades Define qué propiedades del objeto devolver y mostrar. Para devolver todas las propiedades,
17/11/2020 20410D
escriba un asterisco ( * ). No es necesario utilizar este parámetro para utilizar una propiedad para
filtración.
Crear una consulta

Puede utilizar el parámetro Filter o el parámetro LDAPFilter para crear consultas para objetos con el
Cmdlets Get-AD * . Use el parámetro Filter para las consultas que escriba en Windows PowerShell y use el
Parámetro LDAPFilter para consultas que escribe como cadenas de consulta LDAP.
Es preferible Windows PowerShell porque:
• Es más fácil escribir consultas en Windows PowerShell.
• Puede utilizar variables dentro de las consultas.
• Existe conversión automática de tipos de variables, cuando se requiere.
En la siguiente tabla, se enumeran los operadores más utilizados en Windows PowerShell.
Operador Descripción
-eq Igual a
-nordeste No igual a
-lt Menos que
-le Menos que o igual a
-gt Mas grande que
Página 171
Operador Descripción
-ge Mayor qué o igual a
-me gusta Utiliza comodines para la coincidencia de patrones
Nota: Puede encontrar más información sobre los operadores de comparación ejecutando el
ayuda about_Comparison_Operators Comando de Windows PowerShell.
Filtrar
Como se mencionó anteriormente, puede usar el parámetro Filter para filtrar los datos recuperados por un cmdlet Get- * .
El parámetro Filter usa la misma sintaxis que el cmdlet Where-Object en Windows PowerShell. Como un
Por ejemplo, el siguiente comando recupera todas las cuentas de usuario que tienen a Smith como apellido, seguido de
la salida del comando:
> Get-ADUser -Filter {sn -eq "Smith"}
Nombre distinguido: CN = Denise Smith, OU = Marketing, DC = Adatum, DC = com

Habilitado : Cierto
Nombre de pila : Denise
Nombre : Denise Smith
ObjectClass: usuario
ObjectGUID : 1ff1b2cb-38c1-4bc7-bda7-511e19744d2a
SamNombre de la cuenta: Denise
SID : S-1-5-21-322346712-1256085132-1900709958-1407
Apellido : Herrero
UserPrincipalName: Denise@adatum.com
Nombre distinguido: CN = Tony Smith, OU = IT, DC = Adatum, DC = com

Habilitado : Cierto
Nombre de pila : Tony
Nombre : Tony Smith
ObjectGUID : ac7eb8db-3cf1-4e6d-91d3-7527e540c284
Sam Nombre de la cuenta: Tony
SID : S-1-5-21-322346712-1256085132-1900709958-1408
17/11/2020 20410D
Apellido : Herrero
UserPrincipalName: Tony@adatum.com
Una de las características de todos los cmdlets Get- * que usa para recuperar datos de Active Directory es que
no siempre devuelven todas las propiedades de los objetos que recuperan. Por ejemplo, mirando la salida
arriba, verá solo algunas de las propiedades que tiene una cuenta de usuario en Active Directory. No ves, por
ejemplo, la propiedad mail . Puede utilizar los parámetros -Properties para recuperar propiedades no devueltas
de forma predeterminada cuando ejecuta Get- * cmdlets. Por ejemplo, el siguiente código devuelve la misma lista de usuarios, pero
esta vez con las propiedades mail y PasswordLastSet :
> Get-ADUser -Filter {sn -eq "Smith"} -Properties mail, passwordlastset
Nombre distinguido: CN = Denise Smith, OU = Marketing, DC = Adatum, DC = com

Habilitado : Cierto
Nombre de pila : Denise
Nombre : Denise Smith
ObjectGUID : 1ff1b2cb-38c1-4bc7-bda7-511e19744d2a
Última contraseña: 7/9/2013 12:51:30 PM
SamNombre de la cuenta: Denise
SID : S-1-5-21-322346712-1256085132-1900709958-1407
Apellido : Herrero
UserPrincipalName: Denise@adatum.com
Página 172
Nombre distinguido: CN = Tony Smith, OU = IT, DC = Adatum, DC = com

Habilitado : Cierto
Nombre de pila : Tony
Nombre : Tony Smith
ObjectGUID : ac7eb8db-3cf1-4e6d-91d3-7527e540c284
Última contraseña: 7/9/2013 12:51:30 PM
Sam Nombre de la cuenta: Tony
SID : S-1-5-21-322346712-1256085132-1900709958-1408
Apellido : Herrero
UserPrincipalName: Tony@adatum.com
El siguiente es un comando que usa para mostrar todas las propiedades de una cuenta de usuario:
Get-ADUser -Name "Administrator" -Properties *
El siguiente es un comando que utiliza para devolver todas las cuentas de usuario en la unidad organizativa de marketing y todas las
sus unidades organizativas secundarias:
Get-ADUser -Filter * -SearchBase "ou = Marketing, dc = adatum, dc = com" -SearchScope subárbol
El siguiente es un comando que usa para mostrar todas las cuentas de usuario con una última fecha de inicio de sesión anterior
que una fecha específica:
Get-ADUser -Filter {lastlogondate -lt "1 de enero de 2012"}
El siguiente es un comando que usa para mostrar todas las cuentas de usuario en el departamento de marketing
que tienen una fecha de último inicio de sesión anterior a una fecha específica:
Get-ADUser -Filter {(lastlogondate -lt "1 de enero de 2012") -and (departamento -eq
"Márketing")}
Lectura adicional: para obtener más información sobre el filtrado con cmdlets Get-AD * , consulte
"about_ActiveDirectory_Filter" en http://go.microsoft.com/fwlink/?LinkID=266740 .
LDAPFilter
También puede usar el parámetro LDAPFilter para filtrar los datos recuperados por un cmdlet Get- * . El LDAPFilter
El parámetro toma un valor de cadena que usa la misma sintaxis que usas para construir una consulta LDAP. Por ejemplo,
el siguiente comando recupera todos los usuarios cuyo apellido es Smith:
> Get-ADUser -LDAPFilter "(sn = Smith)"
17/11/2020 20410D
Página 173
Búsqueda-ADAccount
Una de las desventajas de los cmdlets Get-AD * es cómo tratan la propiedad UserAccountControl .
Esta propiedad es un mapa de bits de 4 bytes, donde cada bit corresponde a una propiedad diferente vinculada a un activo
Cuenta de directorio. La siguiente tabla muestra algunos de los bits del mapa de bits.
Valor hexadecimal Identificador de valor decimal Descripción
0x00000001 1 ADS_UF_SCRIPT Se ejecuta el script de inicio de sesión
0x00000002 2 ADS_UF_ACCOUNTDISABLE la cuenta de usuario está deshabilitada
0x00000008 8 ADS_UF_HOMEDIR_REQUIRED Una carpeta de inicio es

necesario
0x00000010 dieciséis ADS_UF_LOCKOUT La cuenta de usuario está bloqueada

afuera
Lectura adicional: para obtener la lista completa de indicadores en la propiedad UserAccountControl , consulte
"Cómo utilizar los indicadores UserAccountControl para manipular las propiedades de la cuenta de usuario" en
Cuando lee UserAccountControl , recibe un valor numérico. No es un grupo de valores verdaderos / falsos
por bandera individual. Por ejemplo, el código siguiente muestra la propiedad UserAccountControl para todos los usuarios
cuyo apellido comienza con S :
> Get-ADUser -Filter {sn -like "Sm *"} -Properties userAccountControl | Seleccionar
Nombre, userAccountControl | FT -AutoSize
Nombre control de cuentas del usuario

---- ------------------
Denise Smith 66048
Tony Smith 66048
Imagine que necesita recuperar una lista de todas las cuentas deshabilitadas en Active Directory. Para hacer eso, necesitas
para recuperar todas las cuentas en las que la propiedad UserAccountControl tiene el penúltimo bit habilitado.
Puede hacer esto usando el siguiente código:
> Get-ADUser -LDAPFilter "(userAccountControl: 1.2.840.113556.1.4.803: = 2)" | Seleccionar nombre
Memorizar, o incluso buscar, indicadores en la propiedad UserAccountControl es un trabajo que requiere mucho tiempo.
Por supuesto, puede crear scripts que ya tengan el código incorporado y simplemente reutilizarlos. Sin embargo,
Sería mucho mejor tener un comando que abstraiga todo ese trabajo para usted, que es lo que
El cmdlet Search-ADAccount sí lo hace. Puede recuperar una lista de cuentas deshabilitadas utilizando el
Cmdlet Search-ADAccount de la siguiente manera:
> Search-ADAccount -AccountDisabled | Seleccionar nombre
17/11/2020 20410D
Página 174
Eso es mucho más fácil que usar Get-ADUser . La siguiente tabla enumera los parámetros que
Utiliza el cmdlet Search-ADAccount .
Cuenta deshabilitada Recupera una lista de cuentas deshabilitadas.
Tipo de autenticación Especifica el tipo de autenticación que se utiliza al ejecutar este comando.
Cuenta expirada Recupera una lista de cuentas caducadas que han caducado.
Cuenta Expirada Recupera una lista de cuentas que caducan dentro de un período de tiempo determinado.
Cuenta inactiva Recupera una lista de cuentas que quedarán inactivas en un tiempo determinado.
lapso.
Bloqueado Recupera una lista de cuentas bloqueadas.
La contraseña expiró Recupera una lista de cuentas cuyas contraseñas han expirado.
Contraseña Expirada Recupera una lista de cuentas cuyas contraseñas caducarán en un tiempo
lapso.
La contraseña nunca expira Recupera una lista de cuentas cuyas contraseñas nunca caducan.
Computadoras solamente Recupera cuentas de computadora.
UsersOnly Recupera cuentas de usuario.
Espacio de tiempo Se utiliza junto con PasswordExpiring, AccountExpiring y

AccountInactive para especificar el intervalo de tiempo para esos parámetros.
Fecha y hora Se utiliza junto con PasswordExpiring, AccountExpiring y

AccountInactive para especificar la fecha de vencimiento de esos parámetros.
SearchBase Especifica el contenedor LDAP base para la búsqueda.
Alcance de la búsqueda Especifica el alcance de la búsqueda.
Servidor Especifica el servidor al que conectarse.
A continuación, se muestran algunos ejemplos del cmdlet Search-ADAccount :
# Recuperar todas las cuentas de usuario deshabilitadas

Search-ADAccount -AccountDisabled -UsersOnly
# Recuperar todas las cuentas de usuario inactivas durante los últimos 5 días
Search-ADAccount -AccountInactive -TimeSpan -5 -UsersOnly
# Recupere todas las cuentas de usuario cuya contraseña caducará el 7/4/2014

Search-ADAccount -AccountExpiring -DateTime "4/7/2014" -UsersOnly
# Recupere todas las cuentas de computadora que están bloqueadas

Buscar-Cuenta AD -Sólo equipos -LockedOut
17/11/2020 20410D
Página 175
Pregunta: ¿Cuál es la diferencia entre usar -eq y -como cuando se está comparando
¿instrumentos de cuerda?
Modificar objetos con Windows PowerShell
Para realizar una operación masiva, debe aprobar

la lista de objetos que ha consultado
otro cmdlet para modificar los objetos. En la mayoría
casos, utilice los cmdlets Set-AD * para modificar
los objetos.
Para pasar la lista de objetos consultados a otro

cmdlet para su posterior procesamiento, utiliza la tubería
(|) carácter. El personaje de la tubería pasa cada
objeto de la consulta a un segundo cmdlet, que
luego realiza una operación específica en cada
objeto.
Puede utilizar el siguiente comando para aquellos

cuentas que no tienen establecido el atributo Compañía. Genera una lista de cuentas de usuario y establece la
Atributo de la empresa a A. Datum .
Get-ADUser -Filter {empresa -notlike "*"} | Set-ADUser -Company "A. Datum"
Lectura adicional: para obtener más información sobre el cmdlet Set-ADUser , consulte
"Set-ADUser" en http://go.microsoft.com/fwlink/?LinkID=331074.
El siguiente es un comando que puede usar para generar una lista de cuentas de usuario que no han iniciado sesión
en desde una fecha específica, y luego desactívelos:
Get-ADUser -Filter {lastlogondate -lt "1 de enero de 2012"} | Disable-ADAccount
Usar objetos de un archivo de texto

En lugar de usar una lista de objetos de una consulta para realizar una operación masiva, puede usar una lista de objetos
en un archivo de texto. Esto es útil cuando tiene una lista de objetos para modificar o eliminar, y no es posible
generar esa lista mediante una consulta. Por ejemplo, el departamento de Recursos Humanos puede generar una lista
de las cuentas de usuario que se deshabilitarán. No existe ninguna consulta que pueda identificar una lista de usuarios que han abandonado el
organización.
Cuando utiliza un archivo de texto para especificar una lista de objetos, el archivo de texto debe tener el nombre de cada objeto en
una sola línea.
El siguiente es un comando que puede usar para deshabilitar las cuentas de usuario que se enumeran en un archivo de texto:
Get-Content C: \ users.txt | Disable-ADAccount
Pregunta: ¿Qué atributos de una cuenta de usuario puede usar al crear una consulta usando
el parámetro Filtro ?
Página 176
17/11/2020 20410D
Trabajar con archivos CSV
Un archivo .csv puede contener mucha más información

que una simple lista. Similar a una hoja de cálculo, un .csv
El archivo puede tener varias filas y columnas de
información. Cada fila del archivo .csv representa
un solo objeto y cada columna del archivo .csv
representa una propiedad del objeto. Esto es útil
para operaciones masivas, como la creación de cuentas de usuario
cuando varios datos sobre cada uno
se requieren objetos.
Puede usar el cmdlet Import-Csv para leer el

contenido de un archivo .csv en una variable, y luego
trabajar con los datos. Después de importar los datos a
la variable, puede hacer referencia a cada fila de datos individual y a cada columna de datos individual. Cada
La columna de datos tiene un nombre que se basa en la fila de encabezado (la primera fila) del archivo .csv y puede consultar
a cada columna por su nombre.
El siguiente es un ejemplo de un archivo .csv con una fila de encabezado:
Nombre, Apellido, Departamento
Greg, Guzik, IT
Robin, joven, investigación
Qiong, Wu, marketing
Utilice Foreach para procesar datos CSV

En muchos casos, creará scripts que reutilizará para varios archivos .csv y no sabrá
cuántas filas hay en cada archivo .csv. En estos casos, puede utilizar un bucle foreach para procesar cada fila
en un archivo .csv. No necesita saber cuántas filas hay. Durante cada iteración del foreach
loop, una fila del .csv se importa a una variable que luego se procesa.
El siguiente es un comando que puede usar para importar un archivo .csv a una variable y usar un foreach
bucle para mostrar el nombre de cada fila en un archivo .csv:
$ users = Import-CSV –LiteralPath “C: \ users.csv”
foreach ($ usuario en $ usuarios)
Write-Host "El nombre es:" $ user.FirstName "
Pregunta: En el ciclo foreach , ¿cómo cambia $ i ?
Página 177
Demostración: Realizar operaciones masivas con Windows PowerShell
Puede usar un script para combinar varios comandos de Windows PowerShell para realizar tareas más complejas
Tareas. Dentro de un script, a menudo utiliza variables y bucles para procesar datos. Los scripts de Windows PowerShell tienen
una extensión .ps1.
La política de ejecución en un servidor determina si los scripts se pueden ejecutar. La política de ejecución predeterminada
17/11/2020 20410D
en Windows Server 2012 es RemoteSigned . Esto significa que los scripts locales pueden ejecutarse sin firma digital.
Puede controlar la política de ejecución mediante el cmdlet Set-ExecutionPolicy .
En esta demostración, verá cómo:
• Configurar un departamento para usuarios.
• Cree una unidad organizativa.
• Ejecute un script para crear nuevas cuentas de usuario.
• Verifique que se hayan creado nuevas cuentas de usuario.
Configurar un departamento para usuarios

1. En LON-DC1, abra una ventana del símbolo del sistema de Windows PowerShell.
2. En el indicador de Windows PowerShell, busque cuentas de usuario en la unidad organizativa de investigación mediante el
siguiente comando:
Get-ADUser -Filter * -SearchBase "ou = Research, dc = adatum, dc = com"
3. Establezca el atributo de departamento de todos los usuarios en la unidad organizativa de investigación mediante el siguiente comando:
Get-ADUser -Filter * -SearchBase "ou = Investigación, dc = adatum, dc = com" | Set-ADUser

-Departamento de Investigación
4. Muestre una lista de usuarios con formato de tabla en el departamento de Investigación. Mostrar el nombre distinguido
y departamento usando el siguiente comando:
Get-ADUser -Filter 'departamento -eq "Investigación"' | Formato-tabla

Nombre distinguido, Departamento
5. Utilice el parámetro Propiedades en el comando anterior para que el departamento se muestre correctamente.
en la salida. Utilice el siguiente comando:
Get-ADUser -Filter 'departamento -eq "Investigación"' -Departamento de Propiedades | Formato-tabla

Nombre distinguido, Departamento
Crea una unidad organizativa (OU)

• En el indicador de Windows PowerShell, cree una nueva unidad organizativa denominada LondonBranch mediante el siguiente
mando:
New-ADOrganizationalUnit LondonBranch -Path "dc = adatum, dc = com"
Página 178
Ejecute un script para crear nuevas cuentas de usuario

1. Abra E: \ Labfiles \ Mod04 \ DemoUsers.csv y luego lea la fila del encabezado.
2. Edite DemoUsers.ps1 y luego revise el contenido del script. Tenga en cuenta que el guión:
o Se refiere a la ubicación del archivo .csv.
o Utiliza un bucle foreach para procesar el contenido del archivo .csv.
o Se refiere a las columnas definidas por el encabezado en el archivo .csv.
3. En el indicador de Windows PowerShell, cambie al directorio E: \ Labfiles \ Mod04 y luego ejecute el

siguiente comando:
. \ DemoUsers.ps1
17/11/2020 20410D
Verifique que se hayan creado nuevas cuentas de usuario
1. En el Administrador del servidor, abra el Centro de administración de Active Directory .
2. En el Centro de administración de Active Directory, vaya a Adatum (local)> LondonBranch y luego verifique
que se crearon las cuentas de usuario.
Tenga en cuenta que las contraseñas están deshabilitadas porque no se estableció ninguna contraseña durante la creación.
Página 179
Laboratorio: Automatización de la administración de AD DS mediante Windows

Potencia Shell
Guión
Ha trabajado para A. Datum Corporation durante varios años como especialista en soporte de escritorio. En
En esta función, visitó computadoras de escritorio para solucionar problemas de aplicaciones y redes. Tienes recientemente
aceptó un ascenso al equipo de soporte del servidor. Una de sus primeras tareas es configurar el
servicio de infraestructura para una nueva sucursal.
Como parte de la configuración de una nueva sucursal, debe crear cuentas de usuario y de grupo. Creando múltiples
usuarios con herramientas gráficas es ineficiente, por lo que utilizará Windows PowerShell.
Objetivos
• Cree cuentas de usuario y grupos mediante Windows PowerShell.
• Utilice Windows PowerShell para crear cuentas de usuario de forma masiva.
• Utilice Windows PowerShell para modificar cuentas de usuario de forma masiva.
17/11/2020 20410D

20410D ‑ LON ‑ CL1
2. En Hyper-V ® Manager, haga clic en 20410D-LON-DC1 y luego en el panel Acciones, haga clic en Iniciar .
o Nombre de usuario: Adatum \ Administrator
5. Repita los pasos 2 y 3 para 20410D-LON-CL1 . No inicie sesión en LON-CL1 hasta que se le indique.
Página 180
Ejercicio 1: creación de grupos y cuentas de usuario mediante Windows

Potencia Shell
Guión
A. Datum Corporation tiene una serie de scripts que tiene previamente para crear cuentas de usuario utilizando
herramientas de línea de comandos. Sin embargo, un mandato de toda la empresa especifica que todas las secuencias de comandos futuras se realizarán
mediante Windows PowerShell. Como primer paso para crear secuencias de comandos, debe identificar la sintaxis requerida
para administrar objetos de AD DS en Windows PowerShell.
1. Cree una cuenta de usuario con Windows PowerShell.
2. Cree un grupo con Windows PowerShell.
▶ Tarea 1: Cree una cuenta de usuario con Windows PowerShell

2. En el indicador de Windows PowerShell, cree una nueva unidad organizativa denominada LondonBranch escribiendo lo siguiente
mando:
New-ADOrganizationalUnit LondonBranch
3. Cree una nueva cuenta de usuario para Ty Carlson en la unidad organizativa LondonBranch mediante el siguiente comando:
New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname Carlson -Path

"ou = LondonBranch, dc = adatum, dc = com"
4. Cambie la contraseña en blanco para la nueva cuenta a Pa $$ w0rd , usando el siguiente comando:
Set-ADAccountPassword Ty
17/11/2020 20410D
5. Habilite la nueva cuenta de usuario mediante el siguiente comando:
Enable-ADAccount Ty
6. En LON-CL1, inicie sesión como Ty con la contraseña Pa $$ w0rd .
7. Verifique que el inicio de sesión sea exitoso y luego cierre la sesión de LON-CL1.
▶ Tarea 2: Cree un grupo con Windows PowerShell

1. En LON-DC1, en el indicador de Windows PowerShell, cree un nuevo grupo de seguridad global para los usuarios en el
Sucursal de Londres, mediante el siguiente comando:
New-ADGroup LondonBranchUsers -Path "ou = LondonBranch, dc = adatum, dc = com" -GroupScope

Seguridad global de categoría de grupo
2. En el indicador de Windows PowerShell, agregue Ty como miembro de LondonBranchUsers, utilizando el

siguiente comando:
Add-ADGroupMember LondonBranchUsers -Members Ty
3. En el indicador de Windows PowerShell, confirme que Ty ahora es miembro de LondonBranchUsers, por

usando el siguiente comando:
Get-ADGroupMember LondonBranchUsers
Página 181
Resultados : después de completar este ejercicio, habrá creado cuentas de usuario y grupos utilizando Windows
Potencia Shell.
Ejercicio 2: uso de Windows PowerShell para crear cuentas de usuario de forma masiva
Guión
Tiene un archivo .csv que contiene una gran lista de nuevos usuarios para la sucursal. Es ineficiente crear
estos usuarios de forma individual con herramientas gráficas, por lo que utilizará un script de Windows PowerShell en su lugar. UNA
colega que tiene experiencia con secuencias de comandos le ha dado un guión que creó. Necesitas modificar
el script para que coincida con el formato de su archivo .csv.
1. Prepare el archivo .csv.
2. Prepara el guión.
3. Ejecute el script.
▶ Tarea 1: preparar el archivo .csv

1. En LON-DC1, lea el contenido en E: \ Labfiles \ Mod04 \ LabUsers.ps1 para identificar el encabezado
requisitos para el archivo .csv.
2. Edite el contenido en E : \ Labfiles \ Mod04 \ LabUsers.csv y luego agregue el encabezado apropiado.
▶ Tarea 2: preparar el guión

1. En LON-DC1, utilice el entorno de secuencias de comandos integrado (ISE) de Windows PowerShell para modificar las variables
en LabUsers.ps1 :
o $ csvfile: E: \ Labfiles \ Mod04 \ labUsers.csv
o $ OU: "ou = LondonBranch, dc = adatum, dc = com"
2. Guarde el LabUsers.ps1 modificado .
3. Revise el contenido del guión.
▶ Tarea 3: Ejecute el script
17/11/2020 20410D
1. En LON-DC1, abra un símbolo del sistema de Windows PowerShell y luego ejecute
E: \ Labfiles \ Mod04 \ LabUsers.ps1 .
2. En el indicador de Windows PowerShell, use el siguiente comando para verificar que los usuarios fueron creados:
Get-ADUser -Filter * -SearchBase "ou = LondonBranch, dc = adatum, dc = com"
3. En LON-CL1, inicie sesión como Luka con la contraseña Pa $$ w0rd .
Resultados : después de completar este ejercicio, habrá usado Windows PowerShell para crear cuentas de usuario en
abultar.
Página 182
Ejercicio 3: uso de Windows PowerShell para modificar cuentas de usuario de forma masiva
Guión
Ha recibido una solicitud para actualizar todas las cuentas de usuario en la nueva unidad organizativa de la sucursal con la
Dirección del nuevo edificio. Además, se le ha pedido que se asegure de que todas las nuevas cuentas de usuario
en la sucursal están configurados para obligar a los usuarios a cambiar sus contraseñas la próxima vez que inicien sesión.
1. Obligue a todas las cuentas de usuario de LondonBranch a cambiar sus contraseñas en el próximo inicio de sesión.
2. Configure la dirección para las cuentas de usuario en LondonBranch.
▶ Tarea 1: Obligar a todas las cuentas de usuario de LondonBranch a cambiar sus contraseñas en la próxima
registrarse
2. En el indicador de Windows PowerShell, cree una consulta para las cuentas de usuario en la unidad organizativa LondonBranch mediante
usando el siguiente comando:
Get-ADUser -Filter * -SearchBase "ou = LondonBranch, dc = adatum, dc = com" | Todo el formato

Nombre distinguido
3. En el indicador de Windows PowerShell, modifique el comando anterior para obligar a todos los usuarios a cambiar su
contraseña la próxima vez que inicien sesión con el siguiente comando:
Get-ADUser -Filter * -SearchBase "ou = LondonBranch, dc = adatum, dc = com" | Set-ADUser

-ChangePasswordAtLogon $ true
▶ Tarea 2: configurar la dirección para las cuentas de usuario en LondonBranch

2. Abra las propiedades de todas las cuentas de usuario en LondonBranch.
3. Configure la dirección para varios usuarios de la siguiente manera:
o Calle: Sucursal
o Ciudad: Londres
o País / Región: Reino Unido
Resultados : después de completar este ejercicio, habrá modificado las cuentas de usuario de forma masiva.
17/11/2020 20410D
Pregunta: De forma predeterminada, las nuevas cuentas de usuario están habilitadas o deshabilitadas cuando las crea por
utilizando el cmdlet New-ADUser ?
Pregunta: ¿Qué extensión de archivo utilizan los scripts de Windows PowerShell?
Página 183

Cuando termine la práctica de laboratorio, revierta todas las máquinas virtuales a su estado inicial realizando los siguientes pasos:
2. En la lista de Máquinas virtuales, haga clic con el botón derecho en 20410D-LON-CL1 y luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-DC1 .
17/11/2020 20410D
Página 184

Pregunta: un colega está creando un script de Windows PowerShell que crea cuentas de usuario
a partir de datos en un archivo .csv. Sin embargo, su secuencia de comandos está experimentando errores al intentar establecer un
contraseña predeterminada. por que podria estar pasando esto?
Pregunta: Eres administrador de un distrito escolar que crea 20.000 nuevos usuarios
cuentas para los estudiantes cada año. El sistema de administración para estudiantes genera una lista de
los nuevos estudiantes y luego exportarlo como un archivo .csv. Después de exportar los datos a un archivo .csv,
¿Qué información necesita para trabajar con los datos en un script?
Pregunta: El departamento de investigación de su organización ha pasado a llamarse "Investigación y

Desarrollo." Necesita actualizar la propiedad del departamento de los usuarios en la investigación
departamento para reflejar este cambio.
Ha creado una consulta para las cuentas de usuario que tienen la propiedad del departamento establecida en
Investigue mediante el cmdlet Get-ADUser y el parámetro -filter . Cuál es el próximo paso
actualizar la propiedad del departamento a Investigación y Desarrollo?
Herramientas
Herramienta Usado para Donde encontrarlo
csvde Csvde es una herramienta de línea de comandos que exporta o En Windows Server 2012.
importa objetos de AD DS hacia o desde un
archivo de valores separados por comas (.csv).
ldifde Ldifde es una herramienta de línea de comandos que puede utilizar En Windows Server 2012.
para exportar, crear, modificar o eliminar AD DS
objetos. Como csvde , ldifde usa datos que son
almacenado en un archivo.
comandos ds * Puede utilizar los comandos ds * para crear, ver, En Windows Server 2012
modificar y eliminar objetos de AD DS. Estas herramientas
son adecuados para scripts e incluyen: dsadd , dsget ,
dsquery , dsmod , dsrm y dsmove .
17/11/2020 20410D
Página 185
5-1
Módulo 5
Implementando IPv4
Contenido:
Lección 1: Descripción general de TCP / IP 5-2
Lección 2: Comprensión del direccionamiento IPv4 5-7
Lección 3: Subnetting y Supernetting 5-12
Lección 4: Configuración y solución de problemas de IPv4 5-18

IPv4 es el protocolo de red utilizado en Internet y las redes de área local. Para asegurarte de que puedas
comprender y solucionar problemas de comunicación de red, es esencial que comprenda cómo se utiliza IPv4
implementado. En este módulo, verá cómo implementar un esquema de direccionamiento IPv4 y determinar
y solucionar problemas relacionados con la red.
Objetivos
• Describir el conjunto de protocolos TCP / IP.
• Describir el direccionamiento IPv4.
• Determine una máscara de subred necesaria para la división en subredes o superredes.
• Configurar IPv4 y solucionar problemas de comunicación IPv4.
Página 186
5-2 Implementación de IPv4
Lección 1
Descripción general de TCP / IP
17/11/2020 20410D
TCP / IP es un conjunto de protocolos estándar de la industria que proporciona comunicación en un entorno heterogéneo.
red. Esta lección proporciona una descripción general de IPv4, cómo se relaciona con otros protocolos y cómo IPV4 y
otros protocolos permiten la comunicación en red. Esta lección también cubre sockets, que son utilizados por
programas de red al comunicarse con programas en un host remoto. Combinados juntos, esta lección
proporciona una base para comprender y solucionar problemas de comunicación de red.
• Describir los elementos del conjunto de protocolos TCP / IP.
• Describir los protocolos individuales que componen la suite TCP / IP.
• Describir los protocolos de la capa de aplicación TCP / IP.
• Describir un socket e identificar los números de puerto para protocolos específicos.
El conjunto de protocolos TCP / IP
Las tareas realizadas por TCP / IP en el

los procesos de comunicación se distribuyen
Protocolos. Estos protocolos están organizados en
cuatro capas distintas dentro de la pila TCP / IP:
• Capa de aplicación. Los programas utilizan la aplicación

protocolos de capa para acceder a los recursos de la red.
Los protocolos de la capa de aplicación incluyen:
o Protocolo de transferencia de hipertexto (HTTP)
o Protocolo de transferencia de archivos (FTP)
o Protocolo simple de transferencia de correo (SMTP)
o Sistema de nombres de dominio (DNS)
o Protocolo de oficina postal 3 (POP3)
o Protocolo simple de administración de red (SNMP)
• Capa de transporte. Los protocolos de la capa de transporte controlan la confiabilidad de la transferencia de datos en la red. Transporte
los protocolos de capa incluyen:
o Protocolo de control de transmisión (TCP)
o Protocolo de datagramas de usuario (UDP)
• Capa de Internet. Los protocolos de la capa de Internet controlan el movimiento de paquetes entre redes. Internet
los protocolos de capa incluyen:
o Protocolo de resolución de direcciones (ARP)
o Protocolo de administración de grupos de Internet (IGMP)
o Protocolo de mensajes de control de Internet (ICMP)
Página 187
• Capa de interfaz de red. Los protocolos de la capa de interfaz de red definen cómo los datagramas
La capa de Internet se transmite en los medios.
Beneficios de las capas de arquitectura

En lugar de crear un solo protocolo, dividir las funciones de red en una pila de protocolos separados
proporciona varios beneficios:
• Los protocolos separados facilitan la compatibilidad con una variedad de plataformas informáticas.
• La creación o modificación de protocolos para admitir nuevos estándares no requiere la modificación de todo
pila de protocolos.
17/11/2020 20410D
• Múltiples protocolos que operan en la misma capa permiten a los programas seleccionar los protocolos que
proporcione solo el nivel de servicio requerido.
• Debido a que la pila se divide en capas, el personal que está calificado de manera única en las operaciones de
capas particulares pueden desarrollar protocolos simultáneamente.
Protocolos en la suite TCP / IP
El modelo de interconexión de sistemas abiertos (OSI)

define distintas capas relacionadas con el embalaje,
enviar y recibir transmisiones de datos a través de un
red. El conjunto de protocolos en capas que forman
la pila TCP / IP realiza estas funciones.
Capa de aplicación
La capa de aplicación del modelo TCP / IP
corresponde a la aplicación, presentación,
y capas de sesión del modelo OSI. Esta capa
proporciona servicios y utilidades que permiten
programas para acceder a los recursos de la red.
Capa de transporte
La capa de transporte corresponde a la capa de transporte del modelo OSI y es responsable de la
comunicación mediante TCP o Protocolo de datagramas de usuario (UDP). El conjunto de protocolos TCP / IP ofrece aplicaciones
programadores la elección de TCP o UDP como protocolo de capa de transporte:
• TCP proporciona comunicaciones confiables orientadas a la conexión para programas. Orientado a la conexión
la comunicación confirma que el destino está listo para recibir datos antes de enviarlos. A
hacer que la comunicación sea confiable, TCP confirma que se reciben todos los paquetes. La comunicación confiable es
deseado en la mayoría de los casos y es utilizado por la mayoría de los programas. Servidores web, clientes de Protocolo de transferencia de archivos (FTP),
y otros programas que mueven grandes cantidades de datos utilizan TCP.
• UDP proporciona una comunicación sin conexión y poco confiable. Cuando se usa UDP, la entrega confiable es la
responsabilidad del programa. Los programas utilizan UDP para una comunicación más rápida con menos gastos generales que
TCP. Los programas como la transmisión de audio y video usan UDP para que un solo paquete faltante no
Retraso de la reproducción. UDP también es utilizado por programas que envían pequeñas cantidades de datos, como Domain
Búsqueda de nombres en el sistema de nombres (DNS).
El protocolo de la capa de transporte que utiliza un programa lo determina el desarrollador de un programa, y es

basado en los requisitos de comunicación del programa.
Página 188
Capa de Internet
La capa de Internet corresponde a la capa de red del modelo OSI y consta de varios
protocolos, que incluyen: IP; Protocolo de resolución de direcciones (ARP); Protocolo de administración de grupos de Internet (IGMP);
y Protocolo de mensajes de control de Internet (ICMP). Los protocolos de la capa de Internet encapsulan el transporte
coloque los datos en capas en unidades llamadas paquetes , diríjase a ellos y luego enrutelos a sus destinos.
Los protocolos de la capa de Internet son:
• IP. IP es responsable del enrutamiento y el direccionamiento. Windows ® sistema operativo 8 y Windows

El sistema operativo Server® 2012 implementa una pila de protocolos IP de doble capa, que incluye soporte para
tanto IPv4 como IPv6.
• ARP. ARP es utilizado por IP para determinar la dirección de control de acceso a medios (MAC) de la red local
adaptadores, es decir, adaptadores instalados en computadoras en la red local, desde la dirección IP de un
anfitrión local. ARP está basado en difusión, lo que significa que las tramas ARP no pueden transitar por un enrutador y, por lo tanto, son
localizado. Algunas implementaciones de TCP / IP brindan soporte para ARP inverso (RARP) en el que el MAC
La dirección de un adaptador de red se utiliza para determinar la dirección IP correspondiente.
17/11/2020 20410D
• IGMP. IGMP proporciona soporte para programas multitarea a través de enrutadores en redes IPv4.
• ICMP. ICMP envía mensajes de error en una red basada en IP.
Capa de interfaz de red

La capa de interfaz de red corresponde al enlace de datos y las capas físicas del modelo OSI. La red
La capa de interfaz a veces se denomina capa de enlace o capa de enlace de datos . La capa de interfaz de red
especifica los requisitos para enviar y recibir paquetes en los medios de red. Esta capa no es
normalmente se considera parte del conjunto de protocolos TCP / IP porque las tareas las realiza la combinación
del controlador del adaptador de red y del adaptador de red.
Aplicaciones TCP / IP
Los programas utilizan protocolos de capa de aplicación para

comunicarse a través de la red. Un cliente y
el servidor debe usar la misma capa de aplicación
Protocolo para comunicarse. La siguiente tabla
enumera algunos protocolos de capa de aplicación comunes.
Protocolo Descripción
HTTP Se utiliza para la comunicación entre navegadores web y servidores web.
HTTP / seguro (HTTPS) Una versión de HTTP que cifra la comunicación entre navegadores web.
y servidores web.
FTP Se utiliza para transferir archivos entre servidores y clientes FTP.
Página 189
Protocolo Descripción
Escritorio remoto Se utiliza para controlar de forma remota una computadora que ejecuta Windows
Protocolo (RDP) sistemas a través de una red.
Bloque de mensajes del servidor Usado por servidores y computadoras cliente para compartir archivos e impresoras.
(SMB)
Transferencia de correo simple Se utiliza para transferir mensajes de correo electrónico a través de Internet.
Protocolo (SMTP)
Protocolo de la Oficina postal Se utiliza para recuperar mensajes de algunos servidores de correo electrónico.
versión 3 (POP3)
Acceso a mensajes de Internet Se utiliza para recuperar mensajes de algunos servidores de correo electrónico.
Protocolo (IMAP)
¿Qué es un enchufe?
Un socket es una combinación de una dirección IP, un

protocolo de transporte y un número de puerto. Cuando un
El programa quiere establecer comunicación con un
programa en un host remoto, crea un TCP
17/11/2020 20410D
o un socket UDP, según corresponda. Un enchufe requiere
la siguiente información como parte del
Proceso de comunicación:
• El protocolo de transporte que utiliza el programa,

que podría ser TCP o UDP.
• Los números de puerto TCP o UDP que el

los programas están usando.
• La dirección IPv4 o IPv6 de los hosts de origen y destino.
Puertos conocidos
A los programas se les asigna un número de puerto entre 0 y 65.535. Los primeros 1.024 puertos se denominan conocidos
puertos y han sido asignados a programas específicos. Los programas que escuchan conexiones usan un puerto consistente
números para facilitar la conexión de los programas cliente. Si un programa escucha en un puerto no estándar
número, luego debe especificar el número de puerto cuando se conecte a él. Los programas cliente suelen utilizar un
número de puerto de origen aleatorio superior a 1024. La siguiente tabla identifica algunos de estos puertos conocidos.
Puerto Protocolo Programa
80 TCP HTTP utilizado por un servidor web
443 TCP HTTPS para un servidor web seguro
110 TCP POP3 utilizado para la recuperación de correo electrónico
143 TCP IMAP utilizado para la recuperación de correo electrónico
25 TCP SMTP utilizado para enviar mensajes de correo electrónico
Página 190
Puerto Protocolo Programa
53 UDP DNS utilizado para la mayoría de las solicitudes de resolución de nombres
53 TCP DNS utilizado para transferencias de zona
20, 21 TCP FTP utilizado para transferencias de archivos
Debe conocer los números de puerto que utilizan los programas para poder configurar los firewalls para permitir
comunicación. La mayoría de los programas tienen un número de puerto predeterminado para este propósito, pero se puede cambiar cuando
necesario. Por ejemplo, algunos programas basados en web se ejecutan en un puerto que no sea el puerto 80 o el puerto 443.
Pregunta: ¿Hay otros puertos conocidos en los que pueda pensar?
17/11/2020 20410D
Página 191
Lección 2
Comprensión del direccionamiento IPv4
Comprender la comunicación de red IPv4 es fundamental para garantizar que pueda implementar, solucionar problemas,
y mantener las redes IPv4. Uno de los componentes principales de IPv4 es el direccionamiento. Comprensión
El direccionamiento, las máscaras de subred y las puertas de enlace predeterminadas le permiten identificar la comunicación adecuada
entre hosts. Para identificar errores de comunicación IPv4, debe comprender cómo la comunicación
El proceso está diseñado para funcionar.
• Describir el direccionamiento IPv4.
• Identificar direcciones IPv4 públicas y privadas.
• Explica cómo se relaciona la notación decimal con puntos con los números binarios.
• Describir una red IPv4 simple con direccionamiento con clase.
• Describir una red IPv4 más compleja con direccionamiento sin clases.
Direccionamiento IPv4
Para configurar la conectividad de red, debe estar

familiarizado con las direcciones IPv4 y cómo funcionan.
La comunicación de red para una computadora es
dirigido a la dirección IPv4 de esa computadora.
Por lo tanto, cada computadora en red debe
asignada una dirección IPv4 única.
Cada dirección IPv4 tiene una longitud de 32 bits. Para hacer IP

direcciones más legibles, se muestran en
notación decimal con puntos. Notación decimal con puntos
divide una dirección IPv4 de 32 bits en cuatro grupos de
8 bits, que se convierten en un número decimal
entre cero y 255. Un punto decimal separa
los números decimales. Cada número decimal se llama octeto . Como ejemplo, esta dirección IP contiene de
cuatro octetos: 172.16.0.10.
17/11/2020 20410D
Máscara de subred
Cada dirección IPv4 se compone de una identificación de red (ID) y una ID de host. El ID de red identifica el
red en la que se encuentra la computadora. El ID de host identifica de forma exclusiva la computadora en ese
red. Una máscara de subred identifica qué parte de una dirección IPv4 es la ID de red y qué parte es la
ID de host.
En los escenarios más simples, cada octeto en una máscara de subred es 255 o 0. Un 255 representa un octeto que es
parte del ID de red, mientras que un 0 representa un octeto que forma parte del ID de host. Por ejemplo, una computadora
con una dirección IP de 172.16.0.10 y una máscara de subred de 255.255.0.0 tiene una ID de red de 172.16.0.0 y una
ID de host de 0.0.0.10.
Puede presentar máscaras de subred en notación de prefijo de red, que representa cuántos binarios continuos
los números con el valor de 1 están contenidos en la máscara de subred. Por ejemplo, la red 172.16.0.0 que
tiene la máscara de subred 255.255.0.0 se puede presentar como 172.16.0.0/16. El / 16 representa los 16 bits que
Página 192
tienen un valor de 1 cuando la máscara de subred se representa en formato binario:

11111111.11111111.00000000.00000000. La siguiente tabla representa las máscaras de subred predeterminadas y
su notación de prefijo de red.
Máscaras de subred predeterminadas (notación de prefijo de red)
Clase de dirección Bits para máscara de subred Prefijo de red
Clase A 255.0.0.0 11111111 00000000 00000000 00000000 /8
Clase B 255.255.0.0 11111111 11111111 00000000 00000000 /dieciséis
Clase C 255.255.255.0 11111111 11111111 11111111 00000000 / 24
Nota: Los términos red, subred y VLAN (red de área local virtual) se utilizan a menudo
indistintamente. Una red grande a menudo se subdivide en subredes y las VLAN se configuran en
enrutadores o en conmutadores de Capa 3 para representar subredes.
Puerta de enlace predeterminada

Una puerta de enlace predeterminada es un dispositivo, generalmente un enrutador, en una red TCP / IP que reenvía paquetes IP a otros
redes. Las múltiples redes internas de una organización pueden denominarse intranet .
En una intranet, cualquier red dada puede tener varios enrutadores que la conectan a otras redes, tanto locales
y remoto. Debe configurar uno de los enrutadores como puerta de enlace predeterminada para los hosts locales. Esto permite
hosts locales para comunicarse con hosts en redes remotas.
Antes de que un host envíe un paquete IPv4, utiliza su propia máscara de subred para determinar si el host de destino
está en la misma red o en una red remota. Si el host de destino está en la misma red, el
El host de envío transmite el paquete directamente al host de destino. Si el host de destino se encuentra en una
red, el host transmite el paquete a un enrutador para su entrega.
Cuando un host transmite un paquete a una red remota, IPv4 consulta la tabla de enrutamiento interna para determinar
el enrutador apropiado para que el paquete llegue a la subred de destino. Si la tabla de enrutamiento no
contener cualquier información de enrutamiento sobre la subred de destino, IPv4 reenvía el paquete al valor predeterminado
puerta. El host asume que la puerta de enlace predeterminada contiene la información de enrutamiento requerida. los
La puerta de enlace predeterminada se utiliza en la mayoría de los casos.
Las computadoras cliente generalmente obtienen su información de direccionamiento IP de una configuración dinámica de host
Servidor de protocolo (DHCP). Esto es más sencillo que asignar una puerta de enlace predeterminada manualmente en cada
anfitrión. La mayoría de los servidores tienen una configuración de IP estática que se asigna manualmente.
Pregunta: ¿Cómo se ve afectada la comunicación de red si se configura una puerta de enlace predeterminada?
¿incorrectamente?
17/11/2020 20410D
Página 193
Direcciones IPv4 públicas y privadas
Dispositivos y hosts que se conectan directamente al

Internet requiere una dirección IPv4 pública. Anfitriones y
dispositivos que no se conectan directamente al
Internet no requiere una dirección IPv4 pública.
Direcciones IPv4 públicas

Las direcciones IPv4 públicas deben ser únicas. Internet
La Autoridad de Números Asignados (IANA) asigna público
Direcciones IPv4 a registros regionales de Internet,
que luego asignan direcciones IPv4 a Internet
proveedores de servicios (ISP). Por lo general, su ISP asigna
usted una o más direcciones públicas de su dirección
piscina. La cantidad de direcciones que su ISP
que le asigna depende de la cantidad de dispositivos y hosts que conecte a Internet.
Direcciones IPv4 privadas

Las computadoras y dispositivos que necesitan conectarse a Internet deben configurarse con direcciones IP públicas.
Sin embargo, el número de direcciones IPv4 públicas se está volviendo limitado. Dado que las organizaciones no pueden obtener
dirección IPv4 pública para cada computadora corporativa, en su lugar utilizan direcciones IP privadas.
Debido a que las direcciones IP privadas no se pueden enrutar en Internet, las computadoras configuradas con IP privada
dirección no puede acceder a Internet. Tecnologías como la traducción de direcciones de red (NAT) permiten
administradores para utilizar un número relativamente pequeño de direcciones IPv4 públicas y, al mismo tiempo, habilitar
hosts locales para conectarse a servicios y hosts remotos en Internet.
IANA define los rangos de direcciones en la siguiente tabla como privados. Los enrutadores basados en Internet no reenvían
paquetes que se originan o están destinados a direcciones en estos rangos.
Red Rango
10.0.0.0/8 10.0.0.0-10.255.255.255
172.16.0.0/12 172.16.0.0-172.31.255.255
192.168.0.0/16 192.168.0.0-192.168.255.255
Cómo se relaciona la notación decimal con puntos con los números binarios
Cuando asigna direcciones IP, utiliza puntos

notación decimal. La notación decimal con puntos es
basado en el sistema numérico decimal. Sin embargo, en
En segundo plano, las computadoras usan direcciones IP en
binario. Para entender cómo elegir una subred
máscara para redes complejas, debe comprender
Direcciones IP en binario.
Dentro de un octeto de 8 bits, cada posición de bit tiene un

valor decimal. Un bit que se establece en 0 siempre tiene un
valor cero. Un bit que se establece en 1 se puede convertir
a un valor decimal. La baja -order bits es la
bit más a la derecha en el octeto, y representa un
17/11/2020 20410D
Página 194
valor decimal de 1. El bit de orden superior es el bit más a la izquierda en el octeto y representa un valor decimal de
128. Si todos los bits de un octeto se establecen en 1, entonces el valor decimal del octeto es 255, es decir: 128 + 64 + 32 + 16 + 8
+ 4 + 2 + 1. 255 es el valor más alto posible de un octeto.
La mayoría de las veces, puede usar una calculadora para convertir números decimales a binarios y viceversa. los
Los sistemas operativos Windows incluyen la aplicación Calculadora que puede realizar conversiones de decimal a binario,
como se muestra en el siguiente ejemplo.
Binario Notación decimal con puntos
10000011 01101011 00000011 00011000 131.107.3.24
Implementaciones simples de IPv4
Clases de direcciones IPv4

La IANA organiza las direcciones IPv4 en clases.
Cada clase de dirección tiene un valor predeterminado diferente
máscara de subred que define el número de
hosts en la red. IANA ha nombrado IPv4
clases de direcciones de clase A través de la Clase E .
Las clases A, B y C son redes IP que usted

puede asignar direcciones IP en equipos host.
Las computadoras y los programas usan direcciones de clase D
para multidifusión. La IANA reserva la Clase E para
uso experimental. Un proceso de direccionamiento que utiliza
una clase A, B o C se denomina direccionamiento con clase . Una red que usa una clase A, B o C se llama classful
red .
La siguiente tabla enumera las características de cada clase de dirección IP.
Numero de hosts
Clase Primer octeto Máscara de subred predeterminada
Numero de redes
por red
UNA 1-127 255.0.0.0 126 16.777.214
segundo 128-191 255.255.0.0 16,384 65.534
C 192-223 255.255.255.0 2,097,152 254
Nota: Internet ya no usa enrutamiento basado en la máscara de subred predeterminada de IPv4

clases de direcciones.
Redes IPv4 simples

Puede utilizar la división en subredes para dividir una red grande en varias redes más pequeñas. En redes IPv4 simples,
la máscara de subred define octetos completos como parte de la ID de red y la ID de host. Un 255 representa un octeto que es
parte del ID de red y un 0 representa un octeto que forma parte del ID de host. Por ejemplo, puede utilizar
la red 10.0.0.0 con una máscara de subred de 255.255.0.0 para crear 256 redes más pequeñas.
Página 195
17/11/2020 20410D
Nota: La dirección IPv4 127.0.0.1 se utiliza como dirección de bucle invertido; puedes usar esta dirección para
pruebe la configuración local de la pila de protocolos IPv4. En consecuencia, la dirección de red 127 es
no permitido para configurar hosts IPv4.
Implementaciones de IPv4 más complejas
En redes complejas, es posible que las máscaras de subred no se

combinaciones simples de 255 y 0. Más bien,
podría subdividir un octeto con algunos bits que son
para el ID de red, y algunos que son para el host
CARNÉ DE IDENTIDAD. Esto le permite tener el número específico de
subredes y hosts que necesite. 172.16.0.0
con la máscara de subred 255.255.240.0 es un ejemplo
de una máscara de subred que se puede utilizar para dividir
red de clase B en 16 subredes.
En muchos casos, en lugar de utilizar un decimal con puntos

representación de la máscara de subred, el número de
En su lugar, se especifican bits en el ID de red. Esto es
llamado enrutamiento entre dominios sin clases (CIDR). Este es un ejemplo de notación CIDR: 172.16.0.0/20
Máscaras de subred de longitud variable

Los enrutadores modernos admiten el uso de máscaras de subred de longitud variable, que le permiten crear subredes de
diferentes tamaños cuando subdivide una red más grande. Por ejemplo, podría subdividir una red pequeña
con 256 direcciones en tres redes más pequeñas de 128 direcciones, 64 direcciones y 64 direcciones. Esta
le permite utilizar direcciones IP en una red de manera más eficiente.
Pregunta: ¿Su organización utiliza redes simples o complejas?
Página 196
Lección 3
Subnetting y Supernetting
En la mayoría de las organizaciones, debe realizar la división en subredes para dividir su red en subredes más pequeñas y
17/11/2020 20410D
asignar esas subredes para propósitos o ubicaciones específicas. Para hacer esto, debe comprender cómo seleccionar
el número correcto de bits para incluir en las máscaras de subred. En algunos casos, es posible que también deba combinar
múltiples redes en una sola red más grande a través de superredes.
• Describir cómo se utilizan los bits en una máscara de subred o longitud de prefijo.
• Identificar cuándo utilizar la división en subredes.
• Calcule una máscara de subred que admita un número específico de direcciones de subred.
• Calcule una máscara de subred que admita un número específico de direcciones de host.
• Identifique una máscara de subred adecuada para un escenario.
• Describir las superredes.
Cómo se utilizan los bits en una máscara de subred o longitud de prefijo
En redes simples, las máscaras de subred se componen

de cuatro octetos, y cada octeto tiene un valor de 255
o 0. Si el octeto es 255, ese octeto es parte del
Identificación de red. Si el octeto es 0, ese octeto es parte de
el ID de host.
En redes complejas, puede convertir la subred

máscara a binario, y evalúe cada bit en el
máscara de subred. Una máscara de subred se compone de
1 y 0 contiguos. Los 1 comienzan en el extremo izquierdo
bit y continúe ininterrumpidamente hasta que los bits
cambiar a todos los 0.
Nota: cmdlets de Windows PowerShell ® para

configurar IPv4 use un valor de longitud de prefijo en lugar de una máscara de subred para definir el número de
bits de red. La longitud del prefijo es el mismo número de bits que utiliza la notación CIDR.
Puede identificar el ID de red de una máscara de subred por los 1. Puede identificar el ID de host por los 0.
Todos los bits tomados de la ID de host y asignados a la ID de red deben ser contiguos al original.
Identificación de red:
• Cada 1 bit es parte del ID de red.
• Cada bit 0 es parte del ID de host.
El proceso matemático que se utiliza para comparar una dirección IP y una máscara de subred se denomina AND .
Cuando usa más bits para la máscara de subred, puede tener más subredes, pero luego puede tener menos
hosts en cada subred. El uso de más bits de los que necesita permite el crecimiento de la subred, pero limita el crecimiento de
Página 197
Hospedadores. Usar menos bits de los que necesita permite aumentar la cantidad de hosts que puede tener, pero limita
crecimiento en subredes.
La siguiente es una lista de los bits usados en la diapositiva y el número correspondiente de subredes y hosts:
• 8 bits: 256 subredes, 254 hosts
• 3 bits: 8 subredes, 8.190 hosts
17/11/2020 20410D
• 2 bits - 4 subredes, 16,382 hosts
• 1 bit - 2 subredes, 32,766 hosts
• 0 bits - 1 subredes, 65.534 hosts
Los beneficios de utilizar la división en subredes
Cuando subdivide una red en subredes,

debe crear una ID única para cada subred. Estas
Los ID únicos se derivan del ID de la red principal
cuando asigna algunos de los bits en el ID de host
a la ID de red. Esto le permite crear
más redes.
Al usar subredes, puede:
• Utilice una única red grande en múltiples

ubicaciones físicas.
• Reducir la congestión de la red segmentando

tráfico y reducir las emisiones en cada
segmento.
• Aumente la seguridad dividiendo la red y usando firewalls para controlar la comunicación.
• Supere las limitaciones de las tecnologías actuales, como exceder el número máximo de hosts que
cada segmento puede tener.
Página 198
Cálculo de direcciones de subred
Antes de definir una máscara de subred, estime cómo

muchas subredes y hosts para cada subred que puede
exigir. Esto le permite utilizar el apropiado
número de bits para la máscara de subred.
Puede calcular el número de bits de subred que

que necesita en la red. Usa la fórmula 2 n ,
donde n es el número de bits. El resultado es el
número de subredes que requiere su red.
La siguiente tabla indica el número de

subredes que puede crear mediante un
número de bits.
Número de bits (n) Número de subredes (2 n )
1 2
2 4
17/11/2020 20410D
3 8
4 dieciséis
5 32
6 64
Para determinar las direcciones de subred rápidamente, puede utilizar el bit de valor más bajo en la máscara de subred. por
Por ejemplo, si elige dividir en subredes la red 172.16.0.0 usando 3 bits, esto significa que la máscara de subred es
255.255.224.0. El decimal 224 es 11100000 en binario, y el bit más bajo tiene un valor de 32, por lo que es el
incremento entre cada dirección de subred.
La siguiente tabla muestra las direcciones de subred para este ejemplo; los 3 bits que ha elegido utilizar para
subred de la red están en negrita.
Número de red binaria Número de red decimal
172.16. 000 00000.00000000 172.16.0.0
172.16. 001 00000.00000000 172.16.32.0
172.16. 010 00000.00000000 172.16.64.0
172.16. 011 00000.00000000 172.16.96.0
172.16. 100 00000.00000000 172.16.128.0
172.16. 101 00000.00000000 172.16.160.0
172.16. 110 00000.00000000 172.16.192.0
172.16. 111 00000.00000000 172.16.224.0
Página 199
Nota: Puede utilizar una calculadora de subredes para determinar las subredes adecuadas para su
red, en lugar de calcularlos manualmente. Las calculadoras de subredes están ampliamente disponibles en
Internet.
Cálculo de direcciones de host
Para determinar los bits de host en la máscara, determine el

número requerido de bits para los hosts de soporte
en una subred. Calcule la cantidad de bits de host
requerido usando la fórmula 2 n -2, donde n es el
número de bits. Este resultado debe ser al menos el
número de hosts que necesita para su red,
y la cantidad máxima de hosts que puede
configurar en esa subred.
En cada subred, se asignan dos ID de host

automáticamente y no puede ser utilizado por computadoras.
Una dirección con el ID de host de todos los 0 representa
la red. Una dirección con el ID de host de todos los 1
es la dirección de transmisión de esa red.
La siguiente tabla muestra cuántos hosts tiene disponible una red de clase C en función del número de hosts
bits.
Número de bits (n) Número de hosts (2 n -2)
1 0
17/11/2020 20410D
2 2
3 6
4 14
5 30
6 62
Puede calcular el rango de direcciones de host de cada subred mediante el siguiente proceso:
1. El primer host es un dígito binario más alto que el ID de subred actual.
2. El último host es dos dígitos binarios más bajo que el siguiente ID de subred.
La siguiente tabla muestra ejemplos de cálculo de direcciones de host.
Red Rango de host
172.16.64.0/19 172.16.64.1 - 172.16.95.254
172.16.96.0/19 172.16.96.1 - 172.16.127.254
172.16.128.0/19 172.16.128.1 - 172.16.159.254
Página 200
Para crear un esquema de direccionamiento apropiado para su organización, debe saber cuántas subredes
necesita y cuántos hosts necesita en cada subred. Con esa información, puede calcular un
máscara de subred adecuada.
Discusión: Creación de un esquema de división en subredes para una nueva oficina
Para esta discusión, lea el escenario y responda

las preguntas de la diapositiva.
Guión
Estás diseñando una red adecuada
configuración para un nuevo campus. Usted ha sido
asignó la red 10.34.0.0/16 que puede
subred según sea necesario, dados estos requisitos:
• Hay cuatro edificios en el nuevo campus,

y cada uno debe tener su propia subred para permitir
para enrutamiento entre los edificios.
• Cada edificio tendrá hasta 700 usuarios.
• Cada edificio tendrá impresoras de red que requerirán direcciones IP.
• La proporción típica de usuarios por impresoras es de 50 a 1.
• Necesita asignar una subred para el centro de datos del servidor que albergará hasta 100 servidores.
Preguntas de discusión
Con base en este escenario, responda las siguientes preguntas:
Pregunta: ¿Cuántas subredes se requieren?
Pregunta: ¿Cuántos bits se requieren para crear esa cantidad de subredes?
Pregunta: ¿Cuántos hosts se requieren en cada subred?
Pregunta: ¿Cuántos bits se requieren para admitir esa cantidad de hosts?
17/11/2020 20410D
Pregunta: ¿Cuál es una máscara de subred adecuada que satisfaría estos requisitos?
¿Qué es la creación de superredes?
La creación de superredes combina varias redes pequeñas

en una sola red grande. Esto podría ser
apropiado cuando tiene una red pequeña que
ha crecido y necesitas ampliar la dirección
espacio. Por ejemplo, si una sucursal que utiliza
la red 192.168.16.0/24 agota todos sus
Direcciones IP, puede asignar las
red 192.168.17.0/24. Si usa el
máscara de subred predeterminada de 255.255.255.0 para estos
redes, entonces debe realizar el enrutamiento
entre ellos. Puede utilizar superredes para
combínelos en una sola red.

Instalación y Configuración Windows Server 2012: Página 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Instalación y Configuración Windows Server 2012: Página 1

Cargado por

Copyright:

Formatos disponibles

17/11/2020 20410D

PRODUCTO OFICIAL MICROSOFTLEAR NING

© 2014 Microsoft Corporation. Todos los derechos reservados.

Microsoft y las marcas comerciales enumeradas en http://www.microsoft.com/about/legal/en/us/IntellectualProperty

Número de producto: 20410D

Número de refacción: X19-55618

TÉRMINOS DE LICENCIA DE MICROSOFT

AL ACCEDER, DESCARGAR O UTILIZAR EL CONTENIDO CON LICENCIA, ACEPTA ESTOS TÉRMINOS.

a. Si es miembro del programa Microsoft IT Academy:

segundo. Si es miembro de Microsoft Learning Competency :

re. Si es un usuario final:

mi. Si eres Entrenador.

C. Plazo de prelanzamiento . Si es miembro del programa Microsoft IT Academy, Microsoft Learning

11. LEY APLICABLE.

14. LIMITACIÓN Y EXCLUSIÓN DE RECURSOS Y DAÑOS. PUEDES RECUPERARTE DE

Esta limitación se aplica a

LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR LES

Revisado en julio de 2013

Andrew J. Warren - Desarrollador principal de contenido

Gary Dunlop - Desarrollador de contenido

Dave Franklyn - Desarrollador de contenido

Vladimir Meloski - Desarrollador de contenido

Stan Reimer - Desarrollador de contenido

Telmo Sampaio - Desarrollador de contenido

David Susemiehl - Desarrollador de contenido

Brian Svidergol - Desarrollador de contenido

Orin Thomas - Desarrollador de contenido

Brian Langan - Revisor técnico

Módulo 2: Introducción a los servicios de dominio de Active Directory

Módulo 3: Gestión de objetos de servicios de dominio de Active Directory

Módulo 4: Automatización de la administración de servicios de dominio de Active Directory

Módulo 5: Implementación de IPv4

Módulo 6: Implementación del protocolo de configuración dinámica de host

Módulo 7: Implementación de DNS

Módulo 8: Implementación de IPv6

Módulo 9: Implementación de almacenamiento local

Módulo 10: Implementación de servicios de impresión y archivo

Módulo 11: Implementación de políticas de grupo

Módulo 12: Protección de servidores Windows mediante objetos de directiva de grupo

Módulo 13: Implementación de la virtualización de servidores con Hyper-V

Teclas de respuesta de laboratorio

Acerca de este curso

Descripción del curso

Requisitos previos del estudiante

• Comprender los fundamentos de las redes

• Comprender los conceptos básicos de Active Directory

• Tener conocimiento y comprensión de las mejores prácticas de seguridad.

• Tener conocimientos básicos de hardware de servidor.

Objetivos del Curso

• Implementar y administrar Windows Server 2012.

• Administrar objetos de Active Directory.

• Automatizar la administración de Active Directory.

• Implementar el Protocolo de configuración dinámica de host (DHCP).

• Implementar el sistema de nombres de dominio (DNS).

• Implementar almacenamiento local.

• Implementar servicios de archivo e impresión.

• Implementar la política de grupo.

• Implementar la virtualización de servidores mediante Hyper-V.

Esquema del curso

Módulo 1 , Implementación y administración de Windows Server 2012

Módulo 2 , Introducción a los servicios de dominio de Active Directory

AD DS es una parte fundamental de la gestión de redes en un entorno empresarial. Te lo presentamos

Módulo 4 , Automatización de la administración de servicios de dominio de Active Directory