Tema 6 - Iso

TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
TEMA 6
Configuración y
Administración de
Windows Server 2008
1. INTRODUCCIÓN A LOS SISTEMAS OPERATIVOS EN RED.
REDES WINDOWS
1.1.Introducción a los sistemas operativos en red
Los sistemas operativos en red son sistemas que mantienen a dos o más equipos unidos a través de algún
medio de comunicación con el objetivo primordial de poder compartir los diferentes recursos hardware y
software. Algunos sistemas operativos en red son:
 Novel Netware.
 Windows Server.
 Linux.
Los tipos de sistemas de red son:

 Grupo de trabajo. Todos los equipos tienen la misma función; actúan como cliente y como ser-
vidor y gestionan la seguridad de sus recursos.
 Cliente/Servidor. Los equipos tienen dos funciones:
o Clientes. Normalmente tienen un Sistema Operativo monopuesto. Cuando se encienden,
se conectan al servidor y se validan en él para poder empezar a trabajar en la red.
o Servidores. Normalmente tienen un Sistema Operativo de red. Proporcionan recursos a
los clientes. algún servidor tendrá la función de gestionar la seguridad del dominio.
1.1.1. SOFTWARE Y HARDWARE DE UN SISTEMA EN RED

El software necesario en un sistema en red para los clientes y servidores debe proporcionar:
 Clientes. Deben poder acceder a los recursos proporcionados por los servidores.
 Servidores. Capaces de proporcionar recursos a los clientes. Suelen ser multitarea.
Software de los clientes:

 Normalmente, tienen un SO como Windows XP, Windows Vista, Windows 7 o Windows 8.
 Estos sistemas incorporan software para conectarse a una red.
 Para alguna función concreta puede ser necesario instalar software especial para conectarse en
red (por ejemplo, para conectarse a servidores Linux; no siempre).
Software de los servidores:

 Normalmente, tienen un SO como Windows Server o Linux.
185
 Estos sistemas tienen el software necesario para que los clientes puedan conectarse a ellos, y
para suministrar servicios a estos clientes.
1.1.2. CARACTERÍSITCAS DE LOS SISTEMAS OPERATIVOS EN RED

Objetivos de los Sistemas Operativos en red:
 Optimizar la utilización de recursos.
 Realizar una gestión centralizada del software y de los recursos hardware de la red.
Características de los Sistemas Operativos en red:

 Compartir recursos.
o Proporcionar recursos disponibles para los clientes.
o Determinar el nivel de acceso a los recursos por usuarios (privilegios).
o Coordinar el acceso a los recursos (que no accedan dos a la vez).
 Gestión de usuarios.
o Crear, modificar, eliminar cuentas de usuarios o grupos.
o Otorgar o quitar permisos de usuario a los recursos de la red.
o Asignar o denegar permisos a los usuarios.
 Gestión de la red. Herramientas para analizar la red y detectar problemas.
1.2.Selección de un sistema operativo en red

Lo primero que hay que determinar es si vamos a utilizar una arquitectura cliente/servidor o grupos de tra-
bajo. Los parámetros que hay que tener en cuenta son:
 Nivel de seguridad de la red.
 Número de usuarios de la red.
 Número de equipos de la red.
 Evaluar la interoperabilidad de la red. Evaluar hasta qué punto se necesita que la red se com-
porte como una unidad. Hay dos tipos:
o Interoperabilidad basada en servidor. Las aplicaciones se instalan en el servidor, y los
clientes acceden a ellas.
o Interoperabilidad basada en cliente. En cada equipo se instalan aplicaciones y se configu-
ran para trabajar en conjunto.
También hay que determinar los servicios de red que se requieren. Los servicios son programas que
se ejecutan de forma permanente en los Sistemas Operativos y que determinan qué es lo que se puede hacer
sobre el sistema. Algunos servicios son:
 Uso compartido de archivos.
 Impresión.
 Correo electrónico.
 Web.
1.2.1. ¿QUÉ SISTEMA OPERATIVO EN RED ES EL ADECUADO PARA MI RED?

Los Sistemas Operativos en red más utilizados son:
 Novel Netware. Es sólo un sistema de red. Poco extendido.
 Windows. Es un Sistema Operativo de equipo y red. Versiones:
o Versiones cliente. Windows XP, Windows Vista, Windows 7.
o Versiones servidor. Windows Server 2003, Windows Server 2008, Windows Server 2012.
 Linux. También es un sistema de equipo y de red. En las distribuciones Linux a veces hay dos
versiones:
o Versiones desktop.
o Versiones Server.
186
1.2.1.1.Sistemas operativos en red Windows

Windows Server es un Sistema Operativo diseñado para entornos de servidores que trabajan sobre un mo-
delo denominado dominio. Un dominio es una colección de equipos (clientes y servidores) que comparten
una política de seguridad y una base de datos común. Cada dominio tiene un nombre único.
Los servicios más habituales proporcionados por este Sistema Operativo para la gestión de la red son:
 Servicios de compartición de recursos. Para compartir carpetas, impresoras, etc., con el nivel
de seguridad que se necesite.
 Seguridad. Gestión centralizada de las cuentas de usuario. Se gestionan los permisos y derechos
de cada usuario.
 Servicios de impresión. Normalmente, el servidor es servidor de impresión.
 Servicios de red:
o Servicio de mensajería.
o Servicio de alarma.
o Servicio de exploración.
o Servicio de estación.
o Servicio de servidor.
 Interoperabilidad. Windows Server se integra fácilmente con Sistemas Operativos que no sean
Windows.
1.2.1.2.Sistemas operativos en red UNIX/Linux

UNIX/Linux es un sistema operativo de propósito general, multiusuario y multitarea. UNIX/Linux trabaja
bien sobre un equipo autónomo y también en un entorno de red. A diferencia de los sistemas de Microsoft,
UNIX/Linux, en cualquiera de sus versiones, puede trabajar como cliente o como servidor. La diferencia de
las versiones cliente y servidor radica en que los clientes incorporan menos servicios que los servidores. Se
suelen trabajar en ellos en modo consola.
1.2.2. INTEGRACIÓN DE SISTEMAS OPERATIVOS EN REDES MIXTAS

En una red, es posible integrar:
 Clientes Windows.
 Clientes Linux.
 Servidores Windows.
 Servidores Linux.
187
1.3.Características de Windows Server 2003/2008

1.3.1. VERSIONES DE WINDOWS SERVER 2003/2008
Las versiones de Windows Server más utilizadas son:
 Windows Server 2003:
o Standard Edition.
o Enterprise Edition.
o Datacenter Edition.
o Web Edition.
 Windows Server 2008. Tiene las mismas distribuciones que Windows Server 2003, y además
añade las siguientes:
o Versión para Itanium.
o Versión Core.
o Versiones con o sin Hyper-V.
1.3.2. UTILIZACIÓN DE LAS VERSIONES DE WINDOWS SERVER 2003/2008

Los usos que tienen cada una de las versiones de Windows Server son:
 Windows Server 2008 Standard Edition. Para pequeñas empresas y departamentos.
 Windows Server 2008 Enterprise Edition. Para empresas de todos los tamaños. Para los servi-
dores que se emplean en una red empresarial de gran tamaño y para un entorno de uso inten-
sivo de bases de datos.
 Windows Server 2008 Datacenter Edition. Para aplicaciones esenciales para la empresa que
requieren los mayores niveles de fiabilidad, disponibilidad y escalabilidad. Es el sistema opera-
tivo más potente. Está diseñado para admitir almacenes de datos de gran tamaño, procesa-
miento de transacciones en línea, etc.
 Windows Server 2008 Web Edition. Esta versión proporciona una plataforma para desarrollar e
implementar rápidamente servicios Web y aplicaciones mediante un servidor Web que ejecute
Servicios de Microsoft Internet Information Server (IIS) 6.0.
1.3.3. CARACTERÍSTICAS
Las características de cada una de las versiones de Windows Server son:
 Windows Server 2008 Standard Edition. Proporciona servicios que simplifican la administración
de redes: Active Directory (Directorio activo), Directivas de grupos y Servidor de aplicaciones. Su
compatibilidad de hardware es: 4 GB de RAM como máximo, y SMP de 4 vías (SMP, Symmetric
Multiprocessing).
 Windows Server 2008 Enterprise Edition. Tiene todas las características de Windows Server
2008 Standard Edition. Proporciona una escalabilidad y disponibilidad del sistema mejoradas
respecto a Standard Edition. Su compatibilidad de hardware es: 32 GB de RAM como máximo
(64 GB para la versión de 64 bits), y SMP de 8 vías.
 Windows Server 2008 Datacenter Edition. Contiene todas las características de Windows Server
2008 Enterprise Edition. Su compatibilidad de hardware es: 64 GB de RAM como máximo (512
GB para la versión de 64 bits), y SMP de 32 vías (SMP de 64 vías para la versión de 64 bits).
 Windows Server 2008 Web Edition. Pueden ser miembros de un dominio, pero no pueden ser
controladores de dominio (no pueden ejecutar el Active Directory). Su compatibilidad de hard-
ware es: 2 GB de RAM como máximo, y SMP de dos vías.
188
1.3.4. REQUISITOS HARDWARE PARA LA INSTALACIÓN DE

WINDOWS SERVER 2008
Los requisitos para poder instalar Windows Server 2008 en un ordenador son los siguientes:
 Procesador mínimo y recomendado: 1 GHz/2 GHz.
 Memoria mínima, recomendada y máxima: 512 MB/1 GB/2 TB.
 Número de procesadores: hasta 4.
 Espacio en disco mínimo y recomendado: 10 GB/40 GB.
 Tarjeta gráfica mínima: Super VGA de 800x600.
1.3.5. SISTEMAS DE ARCHIVOS EN WINDOWS SERVER 2008

Windows Server 2008 admite dos sistemas de archivos, que son los siguientes:
 Sistema FAT. Este sistema divide el disco en bloques del mismo tamaño. Crea una tabla FAT,
donde se indica qué bloques están ocupados y cuáles están libres. No permite gestionar seguri-
dad (permisos de acceso a usuarios específicos). Este sistema no es adecuado para servidores.
El sistema FAT tiene dos versiones:
o FAT. Se puede acceder a este sistema de archivos desde MS-DOS y desde todas las versio-
nes de Windows. El tamaño máximo de la partición es de 2 GB. No soporta dominios.
o FAT 32. Se puede acceder a este sistema desde Windows 95 OSR2, Windows 98, Windows
2000, Windows XP y Windows Server 2003 y 2008. El tamaño máximo de la partición es
de 2 TB (en Windows 2000 es de 32 GB). El tamaño máximo de un archivo es de 4 GB. No
soporta dominios.
 Sistema NTFS (New Technology File System). En lugar de la tabla FAT, utiliza una estructura je-
rárquica. Es más rápido el acceso a los datos que en el sistema FAT. Permite gestionar seguridad
(permisos de acceso a usuarios específicos, cuotas de uso, cifrado y compresión de archivos).
Este sistema es adecuado para servidores. Este sistema se desarrolló para Windows NT 4. El
tamaño máximo de una partición es de 16 TB y no hay límite para el tamaño de archivo.
1.4.Fases de la instalación de un sistema operativo

Para instalar un sistema operativo en entorno servidor, hay que seguir las siguientes fases:
 Fase de planificación. En esta fase hay que analizar los siguientes conceptos:
o Compatibilidad del Sistema Operativo con el hardware.
o Compatibilidad de las aplicaciones con el Sistema Operativo del cliente y del servidor.
o Soporte de drivers para clientes y servidores.
o Soporte para todo el software: Sistema Operativo, antivirus, herramienta de copias de
seguridad, aplicaciones, bases de datos, etc.
o ¿Cuál es el uso previsto para el sistema?
o ¿Existen posibilidades de que eso cambie?
o Recursos de los que se dispone para lograr ese fin.
 Fase de instalación. En esta fase, los pasos a seguir son los siguientes:
o Preparar el equipo para arrancar desde CD/DVD.
o Preparar el disco duro.
o Ejecutar el programa de instalación.
o Proporcionar el nombre y contraseña del usuario que será administrador del sistema.
o Seleccionar componentes software adicionales a instalar.
o Ajustar los parámetros de la red.
o Configurar el gestor de arranque.
o Realizar las actualizaciones de seguridad.
o Instalar los plugins del navegador.
o Instalar los drivers necesarios para los dispositivos no reconocidos durante la instalación.
189
 Fase de instalación (documentación). Una vez instalado el Sistema Operativo, hay que elaborar
documentación que contenga los siguientes datos:
o Fecha y hora de la instalación.
o Especificaciones hardware del equipo en el que instalamos el Sistema Operativo (proce-
sador, disco duro, memoria RAM, tarjeta gráfica, ratón, teclado, monitor, etc.).
o Datos introducidos en el proceso de instalación: nombre del equipo, clave del producto,
contraseña del administrador, licencias, etc.
o Software adicional instalado: descripción, utilidad, fecha de instalación.
o Configuración de la red: dirección IP, máscara de red, DNS, dirección de la puerta de en-
lace, grupo de trabajo o dominio, etc.
o Incidencias producidas durante el proceso de instalación.
1.5.Instalación de Windows Server 2008

El proceso de instalación de Windows Server 2008 es el siguiente, expuesto paso a paso:
 Aceptar el contrato de licencia.
 Elegir actualizar o personalizada para realizar una instalación desde cero.
 Posibilidad de crear o eliminar particiones (elegir entre primarias o extendidas).
 Seleccionar el disco, si hubiera más de uno, sobre el que se va a instalar el sistema operativo.
 Formatear utilizando el sistema de archivos NTFS. Se puede formatear una o varias particiones
del disco duro. También se pueden eliminar particiones creadas y redimensionarlas. El resto de
particiones se pueden formatear ahora o después de la instalación.
 Continuar el proceso de instalación.
1.6.Determinación de los componentes a instalar

Durante la instalación no nos pregunta los componentes que queremos instalar. Hay que instalarlos después
iniciando sesión como Administrador del equipo.
Después de la instalación, Windows Server se comporta como un Sistema Operativo monopuesto. No
se comportará como servidor de red hasta que instalemos los servicios de red. Los componentes y servicios
de red que se pueden instalar en Windows Server 2008 para que funcione como servidor de red son:
 Servidor Web (IIS). Servidor de páginas Web.
 Servidor de aplicaciones. Administración de aplicaciones en red.
 Servidor de impresoras. Administración de impresoras.
 Servicios de dominio del Directorio Activo. Administración de usuarios y grupos de dominio con
Directorio Activo.
 Servidor DHCP. Asignación de direcciones DHCP automáticas.
 Servidor DNS. Resolución de nombres de dominio.
 Servidor de fax. Servicio de envío de fax a través del ordenador.
 Servidor de archivos. Administración y gestión de carpetas compartidas.
 Servicios de acceso y políticas de red. Control de políticas de seguridad como contraseñas de
acceso al sistema.
 Terminal Services. Administración remota del servidor desde otro equipo de la red.
Para agregar funciones y características a Windows Server 2008, hay que seguir los siguientes pasos:
 Abrir la herramienta Administrador del servidor. Para ello, hacemos clic en Inicio > Todos los
programas > Herramientas administrativas > Administrador del servidor.
 En Administrador del servidor, hacemos clic en Resumen de funciones > Agregar funciones.
Agregar una función es agregar un programa de software. Agregar una característica es agregar
un programa de software no incluido en la función, pero que la complementan o aumentan.
Para agregar una función, pulsamos en Agregar o quitar función; aparece una lista de funciones
que se pueden agregar al equipo y seleccionamos la función que queremos añadir.
190
 Aquí también se puede Eliminar una función o Ver las funciones instaladas.
1.7.Actualización del servidor

Para actualizar Windows Server 2008 se sigue el mismo procedimiento que en Windows 7. Antes de actualizar
habrá que averiguar los efectos de la actualización (¿puede provocar fallos en el funcionamiento de la red?).
Se puede personalizar el entorno gráfico para que sea similar a Windows XP o Windows 7, o configu-
rarlo sin gestión de ventanas en 3D y otros efectos. También se puede personalizar la gestión de herramien-
tas, con la herramienta MMC (Microsoft Management Console), y se pueden crear consolas nuevas persona-
lizadas.
2. DOMINIOS EN REDES WINDOWS

2.1.Conceptos previos
Un grupo de trabajo es una red entre iguales, que tiene las siguientes características:
 Gestión individual. Cada usuario gestiona sus propios recursos indicando cuáles se comparten
y cuáles se restringen.
 Problemas para grandes organizaciones. Difícil localización de los recursos y grupo limitado de
colaboradores.
 Única seguridad. Contraseñas.
 Herramientas para explorar e identificar recursos. Entorno de red, Mis sitios de red y Red.
En cambio, un servicio de directorios es una red cliente-servidor, que tiene las siguientes característi-
cas:
 Directorio. Almacén de datos. Es un almacén de información sobre los objetos de la red (usua-
rios, equipos, impresoras, grupos, etc.). La información está organizada de forma jerárquica.
 Servicio de directorio. Servicio que proporciona métodos para almacenar los datos del directo-
rio y ponerlos a disposición de los administradores y los usuarios de la red.
El Directorio Activo, o Active Directory (AD) es un servicio de directorio de Windows Server 2008.
Almacena información acerca de los objetos de la red y facilita la búsqueda y utilización de esa información
por parte de usuarios y administradores.
2.1.1. ACTIVE DIRECTORY

2.1.1.1.Características
El Active Directory incorpora un directorio que almacena información acerca de los objetos (archivos, impre-
soras, servidores, cuentas de usuario y de equipo de red), incorpora un conjunto de reglas (esquema), define
un catálogo global, y tiene tolerancia a fallos, con un servicio de replicación.
2.1.1.2.Estructura
La estructura del Active Directory es la siguiente:
 Dominio (Estructura jerárquica superior). Conjunto de objetos que se van a administrar de
forma conjunta.
 Unidad organizativa (Estructura jerárquica inferior al dominio). Agrupa objetos dentro de un
dominio. También puede agrupar otras unidades organizativas.
 Objetos. Son representaciones de los recursos de la red: usuarios, equipos, impresoras, etc.
191
2.1.1.3.Espacio de nomenclatura
El espacio de nomenclatura es el conjunto de nombres que representan un dominio, por ejemplo, princi-
pal.cam.com. El espacio de nomenclatura contiguo es la primera parte del nombre del dominio que es co-
mún al nombre de otro dominio, por ejemplo, principal.cam.com y cam.com).
2.1.2. ÁRBOL DE DOMINIOS

El árbol de dominios es una estructura jerárquica formada por uno o varios dominios que:
 Forman un espacio de nombres común o espacio de nomenclatura contigua.
 Están conectados mediante relaciones de confianza bidireccionales y transitivas.
 Tienen el mismo esquema y catálogo global.
El dominio raíz del árbol es el primer dominio que se crea en el árbol. El dominio secundario de otro
dominio del árbol es un subdominio de ese dominio.
2.1.3. BOSQUE DE DOMINIOS

Un bosque de dominios es una estructura jerárquica formada por uno o varios árboles. Los dominios del
bosque:
192
 Están conectados mediante relaciones de confianza bidireccionales y transitivas.

 No comparten un espacio de nomenclatura contiguo (por ejemplo, dominio.local y domi-
nio1.local).
 Tienen el mismo esquema y catálogo global.
El Dominio raíz del bosque es el primero que se crea.
2.1.4. NOMBRES DE UN SERVIDOR

Puede haber tres tipos de servidores:
 Controlador de dominio.
o Equipo con Windows Server 2008 en el que se ha instalado Active Directory.
o Tiene una copia completa de todos los datos de los objetos del dominio.
o En un dominio tiene que haber, al menos, un controlador de dominio.
o RODC (Controlador de dominio de sólo lectura, Read Only Domain Controler):
 Sólo en Windows Server 2008.
 Es un controlador de dominio que almacena la información que le pasan los otros
controladores del dominio, pero donde no se puede modificar esa información.
 Servidor miembro.
o Pertenece al dominio.
o No tiene instalado el servicio de directorio activo.
 Servidor independiente. Si no pertenecen al dominio.
2.1.5. EL ESQUEMA
El Esquema es un conjunto de reglas que definen los siguientes conceptos:
 Las clases de objetos. Son los tipos de objeto. Por ejemplo, la clase Usuario o la clase Equipo.
 Los atributos de los objetos. Las características que hay que definir en cada clase de objetos.
Por ejemplo, el nombre es un atributo de la clase Usuario..
Las características del Esquema son:

 El esquema es común para todo el bosque. En todo el bosque, los usuarios, los equipos, las
impresoras, etc., tienen los mismos atributos.
 El esquema se puede modificar, pero es una tarea avanzada que debe hacerse con precaución.
El Maestro de Esquema es un controlador de dominio del bosque (un solo controlador). Es el “respon-
sable” del esquema, ya que es el controlador donde se pueden hacer los cambios. Comunica los cambios en
el esquema al resto de controladores de dominio del bosque.
2.1.6. EL CATÁLOGO GLOBAL

El Catálogo Global contiene información acerca de cada uno de los objetos del directorio. Un controlador
de dominio del bosque tiene la función de catálogo global. En principio, es el primer dominio que se crea en
el bosque, el dominio raíz, pero se podría cambiar. El controlador de dominio que es catálogo global contiene
información completa de los objetos de su dominio, e información parcial de los objetos de los otros dominios
del bosque.
2.1.7. SERVICIO DE REPLICACIÓN

Todos los controladores de un dominio de escritura tienen una copia completa de todos los datos del domi-
nio, y comunican al resto cualquier cambio en los datos de los objetos del dominio.
193
2.1.8. DNS
El Active Directory utiliza los nombres DNS para resolver los nombres de los equipos en direcciones IP, y
asignar nombres a los dominios. En cada bosque tiene que haber, al menos, un servidor DNS.
2.2.Instalar Active Directory

Al instalar Active Directory, hay que realizar unas consideraciones previas, que son:
 ¿Único servidor o controlador de domino del sistema? ¿Varios servidores o controladores?
 Identificación del equipo.
 Nombre del equipo.
Antes de instalar Active Directory, también habrá que revisar la configuración del equipo:
 Identificación de red del equipo: IP fija, máscara, puerta de enlace, servidor DNS preferido
(127.0.0.1) y nombre del equipo.
 Credenciales del administrador de red: contraseña del administrador cumpliendo requisitos de
seguridad.
Para instalar Active Directory, hay que hacer clic en Inicio > Ejecutar, escribir dcpromo y pulsar Intro;
se abrirá el instalador de Active Directory. Para desinstalar Active Directory (depromocionar un Controlador
de dominio) se siguen los mismos pasos, pero en vez de abrirse el instalador se abrirá el desinstalador.
2.3.Objetos que administra un dominio

2.3.1. USUARIOS GLOBALES
Un usuario global es un usuario reconocido por todos los equipos del dominio. En cambio, un usuario local
es un usuario que se dedica a la gestión local en cada equipo, pertenezca o no a un dominio.
Al instalar el controlador de dominio se crean cuentas de usuario y grupo que sirven para:
 Identificar y autentificar a las personas que se conectan al sistema.
 Administrar y gestionar los permisos y privilegios que servirán para controlar el acceso de los
usuarios a los recursos del sistema.
Con el controlador de dominio existen cuentas de usuario globales cuya información se almacena en
el directorio activo, por lo que es conocida por todos los equipos del dominio.
Las cuentas de usuario globales representan una cuenta única de usuario que se puede utilizar desde
cualquier ordenador integrado en el dominio. Una persona se conecta a cualquier ordenador del dominio
utilizando la cuenta global. Ese ordenador realiza una consulta al Active Directory recibiendo la validación de
las credenciales del usuario y concediendo o rechazando su conexión.
Un equipo cliente de un dominio puede tener tanto usuarios locales como globales. Los usuarios loca-
les no podrán acceder a los recursos del dominio.
2.3.2. GRUPOS
Los grupos son una agrupación de usuarios u objetos para conceder permisos de utilización de recursos del
dominio. Los grupos se almacenan en al Active Directory y son visibles por todos los equipos del dominio. Se
pueden crear distintos tipos de grupos: distribución y seguridad.
2.3.3. EQUIPOS
La base de datos del Active Directory almacena información de los equipos que forman parte del dominio.
Cada equipo, junto con el nombre, tiene un identificador único y privado que sólo conoce el controlador de
dominio, y mediante el cual se le asignan permisos y derechos.
194
2.3.4. UNIDADES ORGANIZATIVAS (UO)

Son objetos del directorio que pueden contener otros objetos. Se usan para delegar la administración de sus
objetos a otros usuarios distintos del administrador del dominio, así como para personalizar el comporta-
miento de los usuarios y/o equipos mediante la aplicación de directivas.
2.4.Utilización de herramientas administrativas para la

administración de dominios
Para utilizar e identificar herramientas de gestión del Active Directory, hay que ir a Inicio > Panel de control
> Herramientas administrativas.
2.4.1. Administración de equipos

La Administración de equipos administra y configura opciones básicas del controlador de dominio tales como
usuarios y grupos locales, espacio en disco, etc. Las opciones que tiene son:
 Herramientas del sistema.
o Programador de tareas.
o Visor de eventos. Histórico de los sucesos que han ocurrido.
o Carpetas compartidas. Recursos compartidos del equipo.
o Confiabilidad y rendimiento. Recursos consumidos por el equipo en cuanto a CPU, memo-
ria, disco y red.
o Administrador de dispositivos. Gestiona el hardware del equipo, instalando o desinsta-
lando dispositivos y viendo los recursos consumidos o solucionando problemas.
 Almacenamiento. Gestión de discos duros y/o volúmenes.
 Servicios y aplicaciones. Gestión de servicios en ejecución.
2.4.2. DNS
Consiste en la asociación de un nombre de equipo a una dirección IP. En la instalación del Active Directory se
configura automáticamente.
2.4.3. DOMINIOS Y CONFIANZAS DE ACTIVE DIRECTORY

Se pueden configurar las relaciones de confianza. Las relaciones de confianza se usan cuando existen dos o
más dominios diferentes y se desea unificar la administración de la organización desde cualquiera de los
controladores de dominio existentes. Varios dominios se administran como si fuera uno solo.
2.4.4. USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY

Se puede administrar a los usuarios globales, grupos y equipos del dominio.
3. USUARIOS Y GRUPOS DE RED EN WINDOWS

3.1.Unidades organizativas
Son contenedores de Active Directory. Permiten crear una estructura jerárquica similar a las estructuras por
departamentos empresariales.
Pueden contener No pueden contener

- Usuarios. - Objetos de otros dominios.
- Grupos.
- Equipos.
- Otras Unidades Organizativas.
195
Se utilizan para No se utilizan para

- Facilitar la administración. Agrupan objetos. - Asignar permisos (para ello, hay que ir a Recursos
- Delegar el control administrativo (a un usuario). > Seguridad).
- Asignar derechos. Directivas.
3.1.1. HERRAMIENTA USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY
El dominio es el dominio sobre el que se trabaja. Si hubiera subdominios, se podría actuar sobre los
usuarios y grupos de otros dominios.
Los objetos contenedores, contienen grupos de objetos. Hay objetos contenedores de equipos, usua-
rios y grupos. Los objetos contenedores no se pueden borrar, y tampoco se pueden aplicar directivas sobre
ellos. Los objetos contendores predeterminados de Active Directory son:
 Builtin. Contiene cuentas de usuarios.
 Computers. Contiene cuentas de equipos.
 Domain Controllers. Contiene controladores de dominio.
 ForeignSecurityPrincipals. Contiene objetos de un dominio externo en el que haya una relación
de confianza con el dominio actual.
 Users. Contiene a los usuarios.
Puede haber también un usuario global de dominio, que podría ser, por ejemplo, el Administrador del
servidor. Y también un grupo de usuarios de dominio, que podría ser, por ejemplo, los Controladores de
dominio.
3.1.2. CREAR UNIDADES ORGANIZATIVAS

Se hace dentro del dominio directamente, no dentro de los contenedores predeterminados en Active Direc-
tory, a excepción del contenedor Domain Controllers.
Para crear una Unidad Organizativa para agrupar grupos:
 Sobre el nombre del dominio, hacemos clic con el botón derecho, seleccionamos Nuevo > GRU-
POS.
 Marcamos la opción de “Proteger contenedor contra eliminación accidental”.
 Introducimos los objetos en la Unidad Organizativa, seleccionando los grupos de la Unidad Or-
ganizativa Users, hacemos clic con el botón derecho, seleccionamos Mover y elegimos la Unidad
Organizativa Grupos de destino.
 NOTA. También se pueden crear objetos dentro de la misma Unidad Organizativa.
Para eliminar una Unidad Organizativa, hacemos clic con el botón derecho sobre el nombre de la Uni-
dad Organizativa, y seleccionamos Eliminar.
196
3.1.3. PROPIEDADES DE UNA UNIDAD ORGANIZATIVA

Para abrir las propiedades, hacemos clic con el botón derecho sobre el nombre de la Unidad Organizativa,
seleccionamos Propiedades, y nos aparecerá una ventana como ésta:
Las pestañas son:

 General. Descripción de la Unidad Organizativa y datos sobre su ubicación física.
 Administrado por. Usuario responsable de la administración de la Unidad Organizativa.
 COM+. Partición COM+ de la que la Unidad Organizativa debería ser miembro.
3.2.Usuarios
Una cuenta de usuario es igual al Principal de Seguridad en un Active Directory. A las cuentas de usuario se
les asignan ID de seguridad para iniciar sesiones en red y para acceder a recursos. Una cuenta de usuario
representa a una persona. Cada cuenta de usuario tiene un Identificador de Seguridad único (SID). Este
identificador nunca se reutiliza; si eliminamos una cuenta, no podremos recuperar sus permisos y derechos).
Las cuentas de usuario se utilizan para:
 Autenticar la identidad del usuario.
 Autorizar o denegar el acceso a recursos del dominio.
 Administrar otros principales de seguridad.
 Auditar las acciones realizadas con esa cuenta de usuario.
El nombre de la cuenta de un usuario es igual al nombre principal de seguridad y, además, el sufijo de

nombre principal. Esta combinación crea un nombre principal de usuario (UPN).
Las cuentas de usuario son también cuentas DNS, y su validación se realiza de dos formas:
 Nombre NetBIOS. Por ejemplo, el usuario “carmen”, tiene un nombre NETBIOS “carmen”).
197
 Nombre completo. Por ejemplo, carmen@principal.com, donde principal.com es el nombre del

dominio).
3.2.1. TIPOS DE USUARIOS

Los tipos de usuarios que se pueden crear son:
 Usuarios globales o usuarios del dominio. Sirven para acceder a los recursos de todo el dominio.
Se valida el usuario y contraseña del mismo en la base de datos del dominio.
o Se crean desde “Usuarios y equipos de Active Directory”.
o Se almacenan en los controladores del dominio.
o Se utilizan para conectarse al domino en el que se han creado y a los dominios en los que
se confía.
 Usuarios locales. Sirven para acceder a los recursos del equipo local. Se validan en una base de
datos de seguridad local.
3.2.2. CUENTAS DE USUARIOS LOCALES PREDEFINIDAS EN

WINDOWS SERVER
Las cuentas de usuario locales predefinidas son:
 Administrador. Tiene control total sobre el equipo o el dominio. Se puede renombrar y desha-
bilitar. Esta cuenta no se puede borrar. Es miembro de varios grupos de usuarios. La seguridad
de la cuenta es mediante una contraseña con ciertos requisitos de seguridad.
 Invitado. Es una cuenta que utilizan los usuarios que no tienen cuenta en el dominio. Suele estar
deshabilitada. Se puede renombrar y borrar.
3.2.3. USUARIOS GLOBALES O DE DOMINIO

3.2.3.1.Crear un usuario global
198
Para crear un usuario global, en un sitio vacío de un contenedor, hacemos clic con el botón derecho y
seleccionamos Nuevo > Usuarios.
Nos aparecerá una pantalla para introducir los datos del nuevo usuario:
 Nombre, que no es el login, (28c+Mym) e iniciales (6c+Mym) para identificar al usuario.
 Apellidos (29c+Mym).
 Nombre completo. Nombre completo del usuario (64c + Mym).
 Nombre de inicio de sesión de usuario. Login de usuario con el que se inicia sesión en el sistema,
o de forma de remota, o desde el propio servidor. El uso del UPN y el sufijo puede ser diferente.
 Nombre de inicio de sesión de usuario anterior a Windows 2000. Nombre para iniciar conexión
en un dominio de Windows NT 4.0 Server.
Una vez introducidos los datos, pulsamos siguiente, y nos aparece una pantalla para configurar la con-
traseña:
 Introducir la contraseña por duplicado (127c).
 El usuario debe cambiar la contraseña al iniciar una sesión de nuevo. Si marcamos esta opción,
se haya o no introducido una contraseña cuando se inicie la sesión en el equipo por primera vez,
se obligará a cambiar la contraseña. Se necesita previamente la contraseña anterior.
 El usuario no puede cambiar la contraseña. Para marcar esta opción debe estar desactivada la
opción anterior. Se puede hacer que el usuario se conecte con una contraseña en blanco o no,
sin darle la posibilidad de que él la cambie. Aquí el Administrador conoce la contraseña del usua-
rio, puesto que el usuario tendrá que elegir la opción que le haya dado el Administrador. En la
opción anterior, el Administrador conoce la primera clave, pero luego, cuando el usuario la cam-
bia, ya no.
 La contraseña nunca caduca. Si marcamos esta opción, la contraseña tendrá una validez hasta
que el Administrador lo decida. Si no se marca esta opción, la contraseña caducará a los 42 días
(por defecto).
 La cuenta está deshabilitada. Si se marca esta opción, no se borran las credenciales del ordena-
dor de un usuario que no queremos que se conecte. Se utiliza esta opción cuando el usuario
dejará por un tiempo de usar la cuenta o se quiere denegar el acceso por un tiempo concreto.
199
Pulsamos siguiente, y nos aparece una pantalla resumen con los datos introducidos. Pulsamos Finali-
zar.
3.2.3.2.Propiedades de un usuario
Para abrir las propiedades de un usuario, hacemos clic con el botón derecho sobre el nombre del usuario, y
seleccionamos Propiedades. Nos aparece una ventana con varias pestañas.
La pestaña General contiene datos identificativos del nuevo usuario, como el nombre, apellidos, co-
rreo electrónico, etc.
200
La pestaña Dirección contiene información sobre la dirección física del usuario.
La pestaña Cuenta contiene numerosa información sobre:

 Nombre de inicio de sesión de usuario. Nombre que tiene cada usuario en la red junto con su
sufijo DNS.
 Nombre de inicio de sesión de usuario anterior a Windows 2000.
 Horas de inicio de sesión e Iniciar en…
 La cuenta está bloqueada. Se usa para desbloquear una cuenta que se ha bloqueado por iniciar
sesión con una contraseña incorrecta.
 Opciones de cuenta. Esta sección contiene las siguientes opciones:
201
o Las tres primeras aparecen ya en las ventanas de creación de usuario.

o Almacenar contraseña utilizando cifrado reversible. Se activa para usuarios de equipos
Apple.
o Cuenta deshabilitada. Se usa para cuando un usuario deja compañía o se va de vacacio-
nes. En general, se usa en casos en los que no se va a borrar la cuenta directamente, sino
que se va a dejar de usar durante un cierto tiempo.
o La tarjeta inteligente es necesaria para un inicio de sesión interactivo. Se utiliza para que
el usuario tenga que utilizar una tarjeta para conexión a la red.
o La cuesta es importante y no se puede delegar. Se utiliza para no delegar su administra-
ción.
o Usar tipos de cifrado DES para esta cuenta.
o No pedir la autenticación Kerberos previa.
 Caducidad de la cuenta. En esta sección aparecen las opciones siguientes:
o Nunca. Si está marcada, nunca caducará la cuenta.
o Fin de. Si está marcada, la cuenta caducará en la fecha indicada.
En la pestaña Perfil se podrá asignar un perfil de usuario, un script de inicio de sesión o un directorio
particular para la cuenta del usuario.
En la pestaña Teléfonos se pueden añadir los teléfonos del usuario. En la pestaña Organización se
contienen los datos referidos a donde trabaja el usuario.
El resto de pestañas son:
 Miembro de. Contiene la pertenencia del usuario a grupos locales, globales o universales.
 Marcado. Se usa para configurar el acceso telefónico a redes del usuario o mediante VPN.
 Entorno. Se usa para configurar el entorno de inicio de sesión de los Servicios de Terminal Ser-
ver.
 Control Remoto. Se usa para configurar el control remoto de los servicios de Terminal Server.
202
 Ficha COM+. Conjuntos de particiones que se pueden asignar al usuario. Una partición COM+ es
un conjunto de componentes COM desarrollados para trabajar conjuntamente. Hay dos tipos
de partición, Almacenadas de Directorio Activo y Locales, y Almacenadas en Servidores de Apli-
caciones.
203
3.2.3.3.Operaciones sobre cuentas de usuario

Para cambiar el nombre de la cuenta, hacemos clic con el botón derecho sobre el nombre del usuario, y
seleccionamos “Cambiar nombre”.
Para modificar la contraseña, hacemos clic con el botón derecho sobre el nombre del usuario, y selec-
cionamos “Restablecer contraseña…”.
204
También se puede modificar la contraseña a través de la línea de comando de tres maneras:
Comando NET USER

NET USER nombre_usuario contraseña_nueva /Domain
Ejemplo:
NET USER Jose asir2m2m /domain
Otra manera de cambiar la contraseña utilizando el comando NET USER es la siguiente, aunque esta-
blecerá una contraseña elegida al azar:
NET USER nombre_usuario /domain /random
Ejemplo:
NET USER Jose /domain /random
Comando DSMOD USER

DSMOD USER nombre_canónico_de_usuario –pwd contraseña
Ejemplo:
DSMOD USER “cn=Jose,cn=users,dc=primero,dc=local” –pwd asir2m2m
Jose, que está en el dominio primero.local, cambia su contraseña.
Para eliminar una cuenta de usuario, hacemos clic con el botón derecho sobre su nombre, y seleccio-
namos Eliminar. ¿Qué ocurre al eliminar una cuenta de usuario? La cuenta de usuario de dominio desaparece,
pero los archivos en disco que pertenecen al usuario quedan sin cambios.
Para limitar las horas de conexión de un usuario, hacemos clic con el botón derecho sobre el nombre
del usuario, y seleccionamos Propiedades. En la ventana que se nos abre seleccionamos la ficha Cuenta y
hacemos clic sobre Hora de inicio de sesión…
205
Se nos abrirá una cuadrícula con horas y días. En ella, señalamos los días y horas que se le deniega la
conexión al usuario y al final hacemos clic en Aceptar.
Para limitar las estaciones desde las que puede conectarse un usuario, hacemos clic con el botón de-
recho del ratón sobre el nombre del usuario, y seleccionamos Propiedades. En la ventana que se abre, selec-
cionamos la pestaña Cuenta y hacemos clic sobre Iniciar sesión en…
Se nos abre una ventana, donde podemos elegir entre que el usuario inicie sesión desde todos los
equipos, o seleccionar Los siguientes equipos para introducir los equipos desde donde podrá iniciar sesión
el usuario (si no queremos que pueda hacerlo desde cualquier equipo).
206
Para copiar una cuenta de usuario, hacemos clic con el botón derecho sobre el nombre del usuario y
seleccionamos Copiar… Crea una cuenta nueva con bastantes datos copiados de esta cuenta. Se puede utili-
zar como plantilla para crear varios usuarios parecidos.
Para realizar operaciones sobre varias cuentas, seleccionamos el nombre de varias cuentas, hacemos
clic con el botón derecho sobre la selección y seleccionamos Propiedades.
207
3.2.4. CREACIÓN DE PLANTILLAS DE USUARIO

Las plantillas de usuario son cuentas de usuario estándares creadas con las propiedades que se aplican a
usuarios con necesidades comunes.
Los pasos para la creación de una plantilla de usuario son:
 Crear un usuario nuevo con nombre plantilla_tipo_usuario y le meteremos sus datos.
 Copiar a la Unidad Organizativa en la que se trabaja. Este nuevo usuario tomará los datos del
usuario plantilla salvo el login, el nombre, los apellidos y la contraseña.
 Por ejemplo, en la plantilla de usuario se configuran las horas de inicio de sesión. El usuario copia
de la plantilla también tendrá esos datos.
3.3.Grupos
Los grupos contienen o pueden contener usuarios, contactos, equipos u otros grupos, aunque lo normal es
que contenga cuentas de usuarios. Simplifican la administración, ya que conceden capacidades comunes a
múltiples usuarios. Existen dos tipos de grupos: de seguridad y de distribución. Con la creación de un grupo
se asigna un ámbito, que es la visibilidad del grupo dentro del dominio y características que pueden conceder
a los objetos que contiene.
3.3.1. TIPOS DE GRUPOS

Hay dos tipos de grupos, que son:
 Grupos de seguridad. Se utilizan para asignar derechos y permisos, y como entidades de correo
electrónico.
 Grupos de distribución. Sólo se emplean como entidades de correo electrónico.
208
3.3.2. ÁMBITOS DE LOS GRUPOS

Hay tres tipos de ámbitos para los grupos:
 Ámbito universal (Grupos Universales). Solo se pueden gestionar en servidores en modo nativo
(servidores y equipos del mismo tipo de Sistema Operativo). Para dominios de Windows 2000 o
superiores. Puede tener miembros de cualquier dominio del bosque. Se les puede asignar per-
misos para recursos de cualquier dominio. Pueden tener como miembros a otros grupos univer-
sales, a grupos globales de cualquier dominio y cuentas individuales de usuarios de cualquier
dominio. Pueden ser miembro de cualquier grupo de dominio local de cualquier dominio, y cual-
quier grupo universal de cualquier dominio.
 Ámbito global (Grupos Globales). Sus miembros solo pueden actuar en el dominio donde está
dado de alta el grupo global. Los permisos concedidos a este grupo tienen validez en cualquier
dominio. Están pensados para administrar cuentas de usuario y grupo en el dominio particular
(por ejemplo, usuarios con un trabajo común). Pueden tener como miembros a grupos globales
del mismo dominio y a cuentas de usuario del mismo dominio. Pueden ser miembros de grupos
universales de cualquier dominio, de grupos locales de cualquier dominio, y de un grupo global
del mismo dominio.
 Ámbito local de domino (Grupos Locales de Dominio). Sus miembros actúan sobre cualquier
dominio. Sus permisos sólo son efectivos para recursos del dominio en el que se crea el grupo.
Están pensados para ayudar y administrar el acceso a los recursos, tales como impresoras y car-
petas compartidas (por ejemplo, impresoras usadas por un departamento). Pueden tener como
miembros a otros grupos locales de dominio en el mismo dominio, a grupos globales de cual-
quier dominio, a grupos universales de cualquier dominio, y a cuentas de usuarios de cualquier
dominio. Pueden ser miembros de otros grupos locales de dominio.
 Ámbito local (Grupos Locales). Para este tipo no se necesita el Active Directory. Sus miembros
son cuentas locales del equipo donde se crean y si el equipo forma parte de un dominio, podrá
tener también cuentas y grupos del propio dominio.
Ejemplos de ámbitos de grupos serían:

 Un Grupo Local de Dominio “impresora_color” que tiene permisos para imprimir con la impre-
sora LaserColor.
 Un Grupo Global de Dominio “profesoresASIR”:
o A este grupo pertenecen los usuarios que son profesores de ASIR.
o Este grupo de usuarios puede imprimir en la impresora LaserColor.
o El grupo “profesoresASIR” se hacen miembro de “impresora_color” para darle permisos
sobre la impresora, y que puedan imprimir.
 Un Grupo Universal “Todosusuimpresora”:
o Se hacen miembros los grupos globales asir.es\alumnos y etc.es\alumnos (asir.es y etc.es
son dominios del mismo bosque).
o El grupo “Todosusuimpresora” se hacen miembro del grupo local impresora_color.
o Al asignar permisos al grupo universal se dan a todos sus miembros.
3.3.3. GRUPOS CREADOS DURANTE LA INSTALACIÓN DE

ACTIVE DIRECTORY
Los grupos creados durante la instalación de Active Directory son:
 Grupos creados en la carpeta Builtin. Pertenecen al tipo local, y si se accede a ellos en el apar-
tado Descripción se muestra su utilidad. Los grupos son los siguientes:
o Operadores de cuentas. Los miembros de este grupo pueden crear, modificar y eliminar
cuentas de usuarios y grupos. No tienen permiso para modificar los grupos Administrado-
res o Administradores del dominio ni las cuentas de dichos grupos. Los miembros de este
209
grupo pueden iniciar sesión en el modo local en los controladores del dominio y apagarlos.
No hay miembros predeterminados.
o Usuarios DHCP. Los usuarios de este grupo tienen derecho de solo lectura al servicio
DHCP.
o Operadores de configuración de red. Pueden modificar la configuración TCP/IP y renovar
y liberar las direcciones TCP/IP. Este grupo no tiene ningún miembro predeterminado.
o Administradores. Tienen control total sobre todos los controladores de dominio. Cual-
quier derecho que no tenga el administrador de forma predeterminada se lo puede con-
ceder a sí mismo.
o Operadores de Copia. Los miembros de este grupo pueden iniciar sesión en el equipo,
realizar copias de seguridad y restaurar archivos en el equipo. También pueden apagarlo.
No pueden cambiar la configuración de seguridad. No tiene miembros predeterminados.
o Operadores de Copia de seguridad. Los miembros de este grupo pueden realizar copias
de seguridad y restaurar todos los archivos en los controladores del dominio, iniciar sesión
y apagarlos. Este grupo no tiene ningún predeterminado. No es igual que el anterior.
o Invitados. Los miembros de este grupo solo pueden realizar tareas para las que el admi-
nistrador les haya concedido permisos. Son miembros de este grupo los grupos Usuario
invitado e Invitados del dominio.
o Operadores de impresión. Pueden administrar las impresoras y las colas de impresión.
No tiene miembros predeterminados.
o Replicador. Sus miembros pueden replicar los servicios en un controlador de dominio. No
debe contener usuarios estándares.
o Operadores de servidores. Los miembros de este grupo pueden realizar la mayoría de las
tareas administrativas en los controladores de dominio de forma remota. Este grupo no
tiene miembros predeterminados.
o Usuarios. Los miembros de este grupo pueden iniciar sesión en el equipo, acceder a la
red, guardar documentos y apagar el equipo. No pueden instalar programas. Cualquier
derecho que no tenga el administrador de forma predeterminada, se lo puede conceder
a sí mismo o realizar cambios en el sistema. Cuando añadimos un equipo servidor miem-
bro 2000/2003 a un dominio, se integra en este grupo. Por defecto todas las cuentas que
se crean en el dominio son miembros de este grupo.
o Usuarios avanzados. Los miembros de este grupo pueden crear y modificar las cuentas
de usuario e instalar programas en el equipo local, pero no pue den ver los archivos de
otros usuarios. Pueden crear y eliminar grupos locales y quitar usuarios de los grupos. No
hay miembros predeterminados.
o Usuarios de escritorio remoto. Pueden iniciar sesión en un servidor de forma remota.
Este grupo no tiene miembros predeterminados.
o DnsAdmins. Los miembros de este grupo solo tienen acceso administrativo al servicio
DNS. No tiene ningún miembro predeterminado.
o Servidores RAS e IAS. Los miembros de este grupo pueden obtener propiedades de ac-
ceso remoto a los usuarios.
o Grupo de replicación de contraseña RODC denegada. Los miembros de este grupo no
pueden replicar las contraseñas a ningún controlador de dominio de solo lectura en el
dominio.
o Contraseña RODC permitida. Los miembros de este grupo pueden replicar las contrase-
ñas a todos los controladores de dominio de solo lectura en el dominio.
o Publicadores de certificados. Los miembros de este grupo pueden publicar certificados
en el directorio.
 Grupos creados en la carpeta Users. Pertenecen al tipo dominio local, globales o universales, y
si se accede a ellos, en el apartado Descripción se muestra su utilidad. Los grupos son los si-
guientes:
210
o Administradores del dominio. Este grupo pasa a ser miembro automáticamente del
grupo local Administradores en todos los controladores, de forma que sus miembros pue-
den realizar tareas administrativas en cualquier equipo del dominio. De forma predeter-
minada la cuenta Administrador es miembro de este grupo.
o Equipos del dominio. Todos los controladores y estaciones de trabajo del dominio son
miembros de este grupo.
o Controladores de dominio. Contiene todos los controladores de dominio.
o Invitados del dominio. Tiene como cuenta predeterminada a Invitados.
o Usuarios del dominio. Todos los usuarios del dominio y la cuenta Administrador son
miembros.
o Administradores. Los miembros de este grupo pueden modificar el esquema de Directo-
rio Activo.
o Administradores de empresas. Administradores designados de la empresa.
o Administradores de esquema. Administradores designados del esquema.
o Enterprise Domain Controllers de solo lectura. Los miembros de este grupo son contro-
ladores de dominio de solo lectura en la empresa.
3.3.4. CREACIÓN Y ELIMINACIÓN DE GRUPOS EN ACTIVE DIRECTORY

3.3.4.1.Creación de grupos
Tanto si hemos creado una nueva Unidad Organizativa para los grupos de usuarios como si no, la forma de
crear grupos es realmente sencilla:
 Desplegaremos la Unidad Organizativa que contiene los grupos, sea Users o la nueva Unidad
Organizativa creada, y nos situaremos en la parte derecha de la pantalla sobre una zona vacía
de la misma.
 Con el botón derecho del ratón seleccionaremos Nuevo > Grupo, o desde el menú Acción selec-
cionaremos Nuevo > Grupo. En cualquiera de los dos casos, se nos desplegará un cuadro de
diálogo, en donde introduciremos el nombre y el ámbito del nuevo grupo que estamos creando.
o Nombre del grupo. Introduciremos el nombre del grupo con el que este quedará recono-
cido en el sistema a todos los efectos. El sistema operativo asignará un SID (Security Iden-
tifiers) al grupo para gestionarlo. Este identificativo no lo conoceremos, pero el sistema lo
manejará internamente para realizar cualquier operación sobre este objeto.
o Nombre del grupo (anterior a Windows 2000). Solamente si trabajamos con servidores
Windows NT 4.0 con los que tengamos establecidos relaciones de confianza, este nombre
otorgará compatibilidad con este tipo de sistemas. En otro caso no es necesario indicar
nada.
o Ámbito del grupo. Como ya hemos indicado anteriormente, local, global o universal.
Como vemos, por defecto el ámbito siempre será global, para otorgar compatibilidad con
otros dominios.
o Tipo de grupo. Indica si el grupo será de Seguridad o de Distribución. Nosotros, de mo-
mento, todos los grupos que creemos serán de Seguridad, ya que los grupos de Distribu-
ción se utilizan para realizar instalaciones remotas de software en los equipos clientes en
los que se validan usuarios que pertenezcan al grupo. Los grupos de Seguridad los utiliza-
remos para asignar privilegios de utilización de recursos compartidos en el equipo.
3.3.4.2.Eliminación de grupos
Para eliminar un grupo, basta con:
 Seleccionarlo en su correspondiente Unidad Organizativa.
 Pulsar el botón derecho del ratón y seleccionar Eliminar.
211
La eliminación del grupo no elimina los usuarios u objetos que este contenga, ya que solo eliminará los
permisos que este grupo tiene asociado.
3.3.5. INCORPORAR USUARIOS A UN GRUPO

Para añadir usuarios a un grupo, seguiremos los siguientes pasos:
 Crearemos los grupos necesarios dentro de una nueva unidad organizativa.
 Seleccionaremos los usuarios dentro de Users en el panel de Active Directory o dentro de la
Unidad Organizativa que los contiene.
 Seleccionaremos los deseados utilizando para ello las teclas Control y Shift o el ratón.
 Pulsaremos con el botón derecho del ratón en una de las cuentas de usuario seleccionadas y
elegiremos la opción Agregar a un grupo.
 En el cuadro de diálogo que aparece, introduciremos las primeras iniciales del grupo y pulsare-
mos Comprobar nombres. Cuando aparezca el grupo, pulsaremos Aceptar. También podemos
desplegar este cuadro pulsando en Avanzadas > Buscar ahora para mostrar la lista de grupos,
seleccionar el grupo deseado y pulsar Aceptar.
El mismo proceso lo podemos realizar desde el propio grupo. Lo seleccionamos y hacemos clic con el
botón derecho del ratón en Propiedades. Se abre un cuadro de diálogo en el que pulsaremos Miembros >
Agregar. Se abrirá otra pantalla, en la que realizaremos la selección de los usuarios y grupos que queremos
incluir en el grupo recién creado.
Haremos clic en Avanzadas > Buscar ahora. Si el grupo es global, agregaremos solo usuarios nuevos, y
si es local, agregaremos usuarios y otros grupos globales.
3.3.6. OPERACIONES CON VARIAS CUENTAS DE GRUPOS

Para ello, seleccionamos en la herramienta de Usuarios y equipos de Active Directory varias cuentas de gru-
pos. Después abrimos el menú acción, en la que aparecen las siguientes opciones:
 Agregar a un grupo. Se añaden a otro grupo los grupos seleccionados.
 Mover. Se mueven los grupos a otro contenedor.
 Enviar un correo. Se envía un correo a cada grupo.
 Eliminar. Se eliminan del Active Directory todos los grupos seleccionados.
4. DIRECTIVAS Y AUDITORIAS
4.1.Directivas de seguridad
Las directivas de seguridad son un conjunto de reglas de seguridad, referentes a características y permisos
que se pueden configurar con el fin de garantizar el acceso a los recursos del sistema. El sistema aporta desde
la instalación unas directivas de seguridad predeterminadas, que son suficientes para la mayoría de las situa-
ciones. Los administradores pueden modificarlas o personalizarlas para que se ajusten a las necesidades es-
pecíficas de la organización del sistema.
Existen tres tipos:
 Directiva de seguridad local. Es la que se debe utilizar si se desea modificar la configuración de
seguridad de un equipo y dicho equipo no es un Servidor Windows, o sí lo es, pero no tiene
instalado el Active Directory. Para trabajar con directivas locales, iremos a Herramientas admi-
nistrativas > Directivas de seguridad local.
 Directiva de seguridad de dominio. Es la que se debe utilizar si el servidor Windows 2008 es un
controlador de dominio y se desea modificar la configuración de seguridad para todos los equi-
pos que sean miembros del dominio. Para acceder a ella, iremos a Administración de Directivas
de Grupo.
212
 Directiva de seguridad del controlador del dominio. Es la que se debe utilizar si el servidor Win-
dows 2008 es un controlador de dominio y se desea modificar la configuración de seguridad
para todos los equipos que sean controladores de dominio. Para acceder a ella, iremos a Admi-
nistración de Directivas de Grupo.
Desde dicha herramienta se pueden establecer, entre otras, las siguientes directivas:
 Directivas de cuentas. En este apartado se puede establecer cuál es la política de cuentas o de
contraseñas que se seguirá. Dentro de este apartado se pueden distinguir reglas en tres grupos:
Contraseñas, Bloqueo y Kerberos. Entre ellas, las dos primeras hacen referencia a cómo deben
ser las contraseñas en el equipo (longitud mínima, vigencia máxima, historial, etc.), y cómo se
debe bloquear una cuenta que haya alcanzado un cierto máximo de intentos fallidos de cone-
xión.
 Directivas locales. Entre las que se encuentran las directivas de auditoría, las directivas de asig-
nación de derechos de usuario y las directivas de seguridad.
 Directivas de clave pública. Se pueden administrar las opciones de seguridad de las claves pú-
blicas emitidas por el equipo.
Las distintas directivas de seguridad deben estar vinculadas a un objeto directiva de grupo.
4.2.Directivas de grupo
4.2.1. INTRODUCCIÓN
4.2.1.1.Qué son las directivas de grupo
Se denominan Directivas de grupo al conjunto de valores de configuración utilizados por el administrador
para gestionar objetos que actúan durante la inicialización y la finalización de los equipos, y durante el inicio
de la sesión y el final de la sesión de los usuarios.
Por medio de estas directivas, el administrador controla los entornos de trabajo de los usuarios del
dominio y el comportamiento de un objeto determinado. Las Directivas de grupo se pueden utilizar para
administrar características tales como instalación de software, plantillas administrativas, redirección de car-
petas, configuración de seguridad, secuencias de comandos (inicio o apagado, e inicio de sesión o cierre de
sesión) y mantenimiento de Internet Explorer. El administrador de las directivas de grupo puede definir, por
ejemplo, los programas que se visualizarán en el escritorio de los usuarios, las opciones del menú Inicio de
cada usuario, los archivos que copiarán en la carpeta Mis Documentos, el acceso a los archivos y a las carpe-
tas. También pueden influir en los permisos que se otorgan a las cuentas de usuario y de grupos.
4.2.1.2.A qué objetos afectan las directivas

Las directivas de grupo afectan a usuarios y a equipos. Se activan en el momento que el usuario inicia su
sesión, mientras que, por su parte, las directivas de grupo de equipo se activan en el inicio del sistema.
4.2.1.3.Categorías
Las Directivas de Seguridad vinculadas a una directiva de grupo se agrupan en dos categorías:
 Según su función:
o Directivas de seguridad. ¿Cuántos caracteres tiene una contraseña? ¿Cada cuánto tiempo
debe ser cambiada ésta? Etc.
 A nivel de dominio. Son aplicadas en todas las máquinas del dominio.
 A nivel de controladores de dominio. Se aplican tan sólo en los controladores de
dominio, pero sin suplantar a las del dominio (en caso de entrar en contradicción
una y otra, se aplica la del dominio, don la de los controladores de dominio).
213
o Directivas de Entorno. ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño má-
ximo del archivo de registro de sistema?
 A nivel de equipo local.
 A nivel de sitio.
 A nivel de dominio.
 A nivel de Unidad Organizativa.
 Según su objeto de configuración:
o Configuración del equipo.
o Configuración del usuario.
4.2.1.4.En qué objetos se aplican

Se aplican a los siguientes niveles:
 Sitios de Active Directory. Se aplican a todos los equipos y/o usuarios de un sitio, independien-
temente del dominio del mismo bosque al que pertenezcan.
 Dominios de Active Directory. Se aplican a todos los equipos y/o usuarios de un dominio.
 Contenedores de Active Directory. Se aplican sólo a los equipos y/o usuarios que pertenezcan
al contenedor. Se pueden aplicar a los siguientes contenedores: Contenedor predefinido de los
controladores de dominio y Unidades Organizativas. No se pueden aplicar al resto de contene-
dores predefinidos del sistema: Users, Builin, etc.
Las directivas de grupo se pueden aplicar también a nivel local. Equipo local: se aplica sólo al equipo
que las tiene asignadas, independientemente del dominio al que pertenezcan. Se modifican con gpedit.msc.
Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores inde-
pendientes o clientes de red igual a igual.
Un sitio hace referencia a la ubicación física del equipo (equipos que están en la misma red, están en
el mismo sitio). Puede haber más de un dominio en el mismo sitio, o varios sitios dentro del mismo dominio,
depende como éste configurada la red.
4.2.1.5.Las directivas son objetos de Active Directory

Las directivas de grupo son objetos independientes de Active Directory, es decir, pueden existir directivas
que no estén asignadas a ningún objeto. Se pueden aplicar:
 Se pueden asignar la misma directiva a varios objetos.
 Se pueden aplicar varias directivas a un objeto.
4.2.1.6.Directivas predefinidas
Al instalar Active Directory, se crean dos directivas por defecto, que se asignan a:
 Todo el dominio (Default Domain Policy). Son aplicadas en todas las máquinas del dominio y
afecta tanto a la configuración de equipo como de usuario.
 Contenedor de los controladores de dominio (Default Controller Domain Policy). Se aplican
sólo a los equipos que sean controladores de dominio y afecta tanto a la configuración de equipo
como de usuario.
4.2.2. ADMINISTRACIÓN DE LAS DIRECTIVAS DE GRUPO

Vamos a administrar directivas de grupo para un dominio o para una unidad. Para ello, desde Herramientas
Administrativas abrimos Administración de directivas de grupo y seleccionamos el objeto al que se quiere
aplicar la directiva.
4.2.2.1.Crear una directiva de grupo

Para crear una directiva de grupo, seleccionar en el menú contextual Crear una GPO en este dominio y vin-
cularlo aquí. Se indicará el nombre de la directiva.
214
4.2.2.2.Definir una directiva de grupo

Para definir una directiva de grupo, desplegar el nodo Objetos de directiva de grupo y pulsar en el menú
contextual Editar.
4.2.2.3.Cambiar el orden de aplicación de directivas

Para cambiar el orden de aplicación de las directivas en el objeto, hay que situarse sobre la directiva a cambiar
y pulsar el triángulo arriba o abajo para desplazarla en la lista.
4.2.2.4.Eliminar una directiva de grupo

Para eliminar una directiva de grupo, hay que situarse sobre la directiva a eliminar y pulsar en el menú con-
textual en Eliminar, donde se eliminará la vinculación de la directiva sobre el objeto pero no se eliminará la
directiva en sí.
4.2.2.5.Opciones del vínculo de una directiva

Las opciones del vínculo de una directiva son:
 Impedir que otras directivas anulen la configuración de la directiva de grupo seleccionada: pulsar
la opción Exigido en el menú contextual.
 Para deshabilitar el uso de la directiva de grupo para el contenedor correspondiente: pulsar so-
bre Vínculo habilitado del menú contextual.
4.2.2.6.Herencia
Si deseas impedir que otras directivas de grupo que estén vinculadas a otros objetos de nivel superior se
apliquen al contendor actual y a sus elementos secundarios, activar la casilla Bloquear la Herencia de Direc-
tivas.
4.2.2.7.Propiedades de la Directiva
Para ver o modificar distintas propiedades de una directiva de grupo solo hay que seleccionarla y saldrá un
panel con diferentes fichas:
 Ámbito. Se muestran los vínculos de dicha directiva de grupo. En el apartado Filtrado de Segu-
ridad se muestran los grupos, usuarios y equipos a los que se aplica dicha directiva. Y en el apar-
tado Filtros WMI se indican los filtros que se aplican a dicha directiva.
 Detalles. Se muestra información diversa sobre dicha directiva de grupo, y en el apartado Estado
de GPO se puede seleccionar si se desea deshabilitar la configuración de equipo, de usuario o
ambas.
 Configuración. Muestra un resumen de los datos recopilados de dicha directiva.
 Delegación. Muestra los grupos y usuarios que tienen permisos sobre dicha directiva y si pulsas
en Agregar o Quitar podrá modificarlos.
4.2.3. PARÁMETROS DE LAS DIRECTIVAS DE GRUPO

4.2.3.1.Grupos de parámetros
Existen dos conjuntos de parámetros:
 Configuración del equipo. Configuración aplicable a los equipos sin importar qué usuario inicie
sesión.
 Configuración de usuario. Configuración aplicable a los usuarios sin importar en qué equipo
inicien sesión.
Los dos grupos de parámetros se dividen en:

 Configuración de software.
215
 Configuración de Windows:
o Archivos de comandos de inicio o fin (encendido o apagado, en equipos; inicio o fin de
sesión, en usuarios).
o Configuración de seguridad:
 Directivas de cuentas (para equipos):
 Directivas de contraseñas.
 Directivas de bloqueo de cuentas.
 Directivas locales (para equipo):
 Directivas de auditoría.
 Asignación de derechos de usuario.
 Opciones de seguridad.
 Plantillas administrativas. Configuración del entorno del usuario:
o Impresoras (para equipo).
o Componentes de Windows (para usuario y equipo).
o Panel de control (para usuario y equipo).
o Red (para usuario y equipo).
o Sistema (para usuario y equipo).
o Carpetas compartidas (para usuario).
o Escritorio (para usuario).
o Menú de Inicio y barra de tareas (para usuario).
4.2.3.2.Configuración de cada directiva

Seleccionar una de las opciones siguientes:
 No configurada. No se define nada sobre esta política. Si está definido en los contenedores su-
periores, heredará su valor.
 Habilitada. Se configura esta política. Supongamos la política “Configuración del equipo > Con-
figuración de Windows > Configuración de seguridad > Directivas locales > Opciones de Seguri-
dad > Inicio de sesión interactivo: no requerir CTRL+ALT+SUPR”. Si está habilitada, no será ne-
cesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesión.
 Deshabilitada. Se impide que se configure esta política. En el ejemplo anterior, si esta política
está deshabilitada, obligará a que el usuario pulse CTRL+ALT+SUPR para iniciar sesión.
En algunos parámetros, además de seleccionar una de las opciones anteriores, hay que asignar algún
valor.
4.2.4. APLICACIÓN DE LAS GPO

4.2.4.1.Cuándo se aplican las directivas
 Cuando se arranca un equipo se aplican los parámetros definidos para el equipo y los scripts de
inicio.
 Cuando un usuario inicia una sesión, se aplican los parámetros del usuario, seguidos de los
scripts de inicio de sesión. Estos últimos disponen por defecto de hasta diez minutos para eje-
cutarse.
 Una vez aplicadas las directivas se refrescan cada 90 minutos (cada 5 minutos en los servidores).
o Se puede forzar el refresco con la orden GPUPDATE.
o Se puede configurar el tiempo de actualización en Plantillas administrativas > Sistema >
Directivas de grupo.
 Cuando un usuario cierra una sesión, se aplican los scripts de fin de sesión.
 Cuando se apaga un equipo se aplican los scripts de apagado.
216
4.2.4.2.Orden de aplicación de las directivas definidas en varios contenedores

 Orden de aplicación:
o Primero, las directivas locales.
o Segundo, las directivas a nivel de sitio.
o Tercero, las directivas a nivel de dominio.
o Cuarto, las directivas a nivel de Unidad Organizativa.
 ¿Son contradictorias?
o NO. Se acumulan.
o SI. Prevalece la última según el orden de aplicación, es decir, la directiva más próxima al
usuario (es decir, a nivel de Unidad Organizativa, etc.).
217
4.2.4.3.Orden de aplicación de las directivas definidas en el mismo contenedor

 Orden de aplicación. Se aplican en el orden de la lista, de abajo hacia arriba.
 ¿Son contradictorias?
o NO. Se acumulan.
o SI. Prevalece la última según el orden de aplicación, es decir, las situadas en la parte su-
perior.
4.2.4.4.Herencia
Por defecto, las directivas se heredan de los contenedores padre. Así, a los usuarios de una Unidad Organi-
zativa para la cual no hay definida ninguna directiva, se les pueden aplicar los parámetros definidos a nivel
de sitio, de dominio, o incluso de una Unidad Organizativa padre de su contenedor.
4.2.5. EJEMPLOS
4.2.5.1.Directivas de contraseñas
Para establecer una directiva de contraseña, después de pulsar en Editar, hay que ir a Default Domain Con-
troller > botón derecho > Editar > Configuración del equipo > Directivas > Configuración de Windows >
Configuración de Seguridad > Directivas de cuenta > Directiva de contraseñas. Cuando se establezca la di-
rectiva, ejecutar gpupdate.exe para actualizar las directivas.
218
4.2.5.2.Directiva de inicio de sesión local

Para establecer una directiva de contraseña, después de pulsar en Editar, hay que ir a Default Domain Con-
troller > botón derecho > Editar > Configuración del equipo > Directivas > Configuración de Windows >
Configuración de Seguridad > Directivas locales > Asignación de derechos de usuario para buscar la directiva
de inicio de sesión local. Cuando se establezca la directiva, ejecutar gpupdate.exe para actualizar las directi-
vas.
4.2.5.3.Directivas de grupo aplicada a una Unidad Organizativa (eliminar la opción de

buscar del menú de Inicio)
Para establecer la directiva, seleccionamos la Unidad Organizativa, hacemos clic con el botón derecho y se-
leccionamos Crear una GPO en este dominio y vincularlo aquí. Lo llamamos EliminarEjecutarMenuInicio, la
seleccionamos y hacemos clic con el botón derecho y seleccionamos Editar. Después hay que ir a Configura-
ción de usuario > Directivas > Plantillas administrativas > Menú inicio y barra de tareas y buscamos la di-
rectiva para eliminar la opción de buscar del menú de Inicio. Cuando se establezca la directiva, ejecutar gpu-
pdate.exe para actualizar las directivas.
219
4.3.Las auditorías
Un registro de auditoría registrará una entrada siempre que los usuarios realicen determinadas acciones. Por
ejemplo, la modificación de un archivo o una directiva puede desencadenar una entrada de auditoría. La
entrada de auditoría muestra la acción que se ha llevado a cabo, la cuenta de usuario asociada y la fecha y
hora de la acción. Se pueden auditar tanto los intentos correctos como incorrectos en las acciones.
El análisis regular permite a un administrador hacer un seguimiento y garantizar un nivel adecuado de
seguridad en cada equipo como parte de un programa de administración de riesgos de la empresa.
La auditoría de seguridad es extremadamente importante para cualquier sistema empresarial, ya que
los registros de auditoría puede que den la única indicación de que se ha producido una infracción de segu-
ridad. Si se descubre la infracción de cualquier otra forma, la configuración de auditoría adecuada generará
un registro de auditoría que contenga información importante sobre la infracción.
A menudo, los registros de errores son mucho más informativos que los registros de aciertos, ya que
los errores suelen indicar problemas. Por ejemplo, si un usuario inicia sesión correctamente en el sistema,
puede considerarse como algo normal. Sin embargo, si un usuario intenta sin éxito iniciar sesión en un sis-
tema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el
identificador de usuario de otra persona.
Los valores de configuración de auditoría son:
 Correcto. Auditar los intentos correctos.
 Erróneo. Auditar los intentos fallidos.
 Sin auditoría.
Los sucesos que se pueden auditar son los siguientes:

 Auditar eventos de inicio de sesión de cuenta. Este valor determina si se debe auditar cada
instancia de un usuario que inicie o cierre una sesión desde otro equipo, en la que el equipo que
registra el suceso de auditoría se utiliza para validar la cuenta. Las auditorías de aciertos generan
una entrada de auditoría cuando un intento de inicio de sesión de cuenta tiene éxito, lo que
ofrece información útil para determinar quién consiguió iniciar sesión y en qué equipo. Las au-
ditorías de errores generan una entrada de auditoría cuando en un intento de inicio de sesión
de cuenta se produce un error, lo que resulta útil para la detección de intrusos. Si se habilita esta
auditoría con aciertos en un controlador de dominio, se registrará una entrada para cada usuario
que se valide en el controlador de dominio, aunque el usuario esté iniciando sesión en una es-
tación de trabajo asociada al dominio. Las auditorías de inicio de sesión de cuenta se van a rea-
lizar siempre en el equipo donde esté instalado el servidor, ya que es en ese equipo donde se
guarda la información y configuración de las auditorías.
 Auditar la administración de cuentas. Este valor determina si se deben auditar todos los sucesos
de administración de cuentas de un equipo. Algunos ejemplos de estos sucesos pueden ser:
o Se crea, cambia o elimina una cuenta de usuario o grupo.
o Cambia el nombre de una cuenta de usuario, o bien, se desactiva o se activa una.
o Se establece o cambia una contraseña.
 Auditar el acceso del servicio de directorio. Determina si se debe auditar el suceso de un usuario
que tiene acceso a un objeto de Microsoft Active Directory que tiene su propia lista de control
de acceso al sistema especificada.
 Auditar eventos de inicio de sesión. Determina si se debe auditar cada instancia de un usuario
que inicie, cierre una sesión o realice una conexión de red al equipo que registra el suceso de
auditoría. Si está registrando sucesos de auditoría de inicio de sesión correctos de cuenta en un
controlador de dominio, los intentos de inicio de sesión de la estación de trabajo no generan
auditorías de inicio de sesión. Sólo los intentos de inicio de sesión de red interactivos en el con-
trolador de dominio propiamente dicho generan sucesos de inicio de sesión. En resumen, los
sucesos de inicio de sesión de cuenta se generan donde se encuentra la cuenta; los sucesos de
inicio de sesión se generan donde se produce el intento de inicio de sesión. Las auditorías de
inicio de sesión se van a realizar en el equipo en el cual se inicia la sesión.
220
 Auditar el acceso a objetos. Determina si se debe auditar el suceso de un usuario que obtiene
acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una im-
presora, etc. La habilitación de la auditoría de acceso de objetos puede generar un gran volumen
de entradas en los registros de seguridad de los sistemas, por ello sólo se deben habilitar estos
valores si se desea utilizar realmente la información registrada. La auditoría de acceso a objetos
consta de dos partes, ya que una vez que se ha indicado en el MMC que se desea utilizar dicha
auditoría hay que indicar qué objetos se desean auditar, para qué usuarios y sobre qué tipo de
eventos. Para ello hay que pulsar con el botón derecho sobre el objeto a auditar y seleccionar
Propiedades > pestaña Seguridad > Opciones avanzadas > pestaña Auditoría. Una vez ahí, hay
que indicar mediante el botón Agregar el grupo o usuario sobre el que se quiere practicar la
auditoría, por ejemplo, el grupo Todos si se quiere controlar cualquier acceso a ese recurso. Una
vez ahí se pueden seleccionar que eventos deben provocar una entrada en la auditoría.
 Auditar el cambio de directivas. Determina si se debe auditar cada caso de cambio de las direc-
tivas de asignación de derechos de usuario, de auditoría o de confianza.
 Auditar el uso de privilegios. Determina si se debe auditar cada caso en el que un usuario eje-
cute un derecho de usuario. El volumen de sucesos generados al habilitar este valor es muy alto
y muy difícil de clasificar.
 Auditar el seguimiento de procesos. Determina si se debe auditar información de seguimiento
detalladas de sucesos como la activación de programas, la salida de procesos, la duplicación de
identificados y el acceso indirecto a objetos. La habilitación del valor de configuración de esta
auditoría genera una gran cantidad de sucesos, por lo que generalmente se establece en Sin
auditoría.
 Auditar eventos del sistema. Determina si se debe auditar el reinicio o cierre de un equipo rea-
lizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad.
Los eventos auditados se pueden consultar en la consola de administración de equipos, en Adminis-

tración del equipo > Herramientas del sistema > Visor de eventos > Registros de Windows > Seguridad,
donde se mostrarán todos los eventos auditados. Al hacer doble clic sobre un evento se mostrará una ven-
tana con información detallada sobre dicho evento.
Cuando se define una directiva de auditoría, es con el fin de vigilar una red para contrarrestar las even-
tuales intrusiones o malversaciones. Por lo tanto, es importante no pasar por alto ningún suceso.
4.3.1. EJEMPLOS
4.3.1.1.Auditoría de un inicio de sesión en un controlador de dominio
Se va a comprobar que se inicia/cierra sesión con un usuario en el equipo de dominio. Para ello hay que abrir
el Editor de administración de directivas de grupo e ir a Configuración del equipo > Directivas > Configura-
ción de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría, y buscamos
Auditar eventos de inicio de sesión. La ponemos para auditar eventos correctos, y luego nos vamos al Visor
de eventos, y abrimos Registros de Windows > Seguridad para ver las auditorías.
221
222
4.3.1.2.Auditoría de acceso a carpetas en un controlador de dominio

Para lograr la auditoría de acceso a las carpetas, a diferencia de otras características de auditoría, es necesario
realizar varios pasos. El primer paso es habilitar la opción de Auditar acceso a Objetos y decidir si me intere-
san los eventos de “logro” o de fallo”. Posteriormente debemos seleccionar el objeto que queremos auditar.
Este objeto puede ser un archivo u una carpeta completa incluyendo archivos y subcarpetas. Después, es
necesario indicar si queremos auditar el acceso de un usuario en particular o de un grupo de usuarios y,
finalmente, debemos indicar qué es lo que queremos saber acerca del acceso a ese objeto, por ejemplo, si
fue leído, borrado, consultado las propiedades, modificado, etc.
Una vez realizado esto, tenemos que dirigirnos al “visor de eventos”, y en seguridad veremos entre
otras cosas los eventos de auditoría sobre acceso a los objetos.
Pasos:
1. Crear una Unidad Organizativa, y dentro de ella un usuario.
2. Crear una carpeta en C:\ y la comparto en red para este usuario con permisos cambiar y leer.
3. Luego, en seguridad, entramos en opciones avanzadas y en auditoría. Añadimos el usuario y le
decimos que las acciones a auditar son el borrado de archivos y de carpetas.
4. Vamos a las directivas del controlador de dominio (por Administración de directivas de grupo o
mediante Herramientas Administrativas). Elijo la directiva de auditar acceso a objetos y selec-
ciono los dos valores (correcto y erróneo).
5. Actualizamos la directiva de auditoría.
6. Iniciamos sesión en el controlador de dominio con el usuario.
7. Añadimos carpetas y ficheros a la carpeta compartida, y luego borramos lo que deseamos.
8. Iniciamos sesión como administrador en el controlador y comprobamos en el Visor de eventos
lo que ha ocurrido (filtro por usuario y por ID de suceso).
223

Tema 6 - Iso

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 6 - Iso

Cargado por

Copyright:

Formatos disponibles

TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos

DE WINDOWS SERVER 2008

Los tipos de sistemas de red son:

1.1.1. SOFTWARE Y HARDWARE DE UN SISTEMA EN RED

Software de los clientes:

Software de los servidores:

1.1.2. CARACTERÍSITCAS DE LOS SISTEMAS OPERATIVOS EN RED

Características de los Sistemas Operativos en red:

1.2.Selección de un sistema operativo en red

1.2.1. ¿QUÉ SISTEMA OPERATIVO EN RED ES EL ADECUADO PARA MI RED?

1.2.1.1.Sistemas operativos en red Windows

1.2.1.2.Sistemas operativos en red UNIX/Linux

1.2.2. INTEGRACIÓN DE SISTEMAS OPERATIVOS EN REDES MIXTAS

1.3.Características de Windows Server 2003/2008

1.3.2. UTILIZACIÓN DE LAS VERSIONES DE WINDOWS SERVER 2003/2008

1.3.4. REQUISITOS HARDWARE PARA LA INSTALACIÓN DE

1.3.5. SISTEMAS DE ARCHIVOS EN WINDOWS SERVER 2008

1.4.Fases de la instalación de un sistema operativo

1.5.Instalación de Windows Server 2008

1.6.Determinación de los componentes a instalar

1.7.Actualización del servidor

2. DOMINIOS EN REDES WINDOWS

2.1.1. ACTIVE DIRECTORY

2.1.2. ÁRBOL DE DOMINIOS

2.1.3. BOSQUE DE DOMINIOS

 Están conectados mediante relaciones de confianza bidireccionales y transitivas.

El Dominio raíz del bosque es el primero que se crea.

2.1.4. NOMBRES DE UN SERVIDOR

Las características del Esquema son:

2.1.6. EL CATÁLOGO GLOBAL

2.1.7. SERVICIO DE REPLICACIÓN

2.2.Instalar Active Directory

2.3.Objetos que administra un dominio

2.3.4. UNIDADES ORGANIZATIVAS (UO)

2.4.Utilización de herramientas administrativas para la

2.4.1. Administración de equipos

2.4.3. DOMINIOS Y CONFIANZAS DE ACTIVE DIRECTORY

2.4.4. USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY

3. USUARIOS Y GRUPOS DE RED EN WINDOWS

Pueden contener No pueden contener

Se utilizan para No se utilizan para

3.1.1. HERRAMIENTA USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY

3.1.2. CREAR UNIDADES ORGANIZATIVAS

3.1.3. PROPIEDADES DE UNA UNIDAD ORGANIZATIVA

Las pestañas son:

El nombre de la cuenta de un usuario es igual al nombre principal de seguridad y, además, el sufijo de

 Nombre completo. Por ejemplo, carmen@principal.com, donde principal.com es el nombre del

3.2.1. TIPOS DE USUARIOS

3.2.2. CUENTAS DE USUARIOS LOCALES PREDEFINIDAS EN

3.2.3. USUARIOS GLOBALES O DE DOMINIO

La pestaña Dirección contiene información sobre la dirección física del usuario.

La pestaña Cuenta contiene numerosa información sobre:

o Las tres primeras aparecen ya en las ventanas de creación de usuario.

3.2.3.3.Operaciones sobre cuentas de usuario

También se puede modificar la contraseña a través de la línea de comando de tres maneras:

Comando NET USER

NET USER nombre_usuario /domain /random

Comando DSMOD USER

Jose, que está en el dominio primero.local, cambia su contraseña.

3.2.4. CREACIÓN DE PLANTILLAS DE USUARIO

3.3.1. TIPOS DE GRUPOS

 Grupos de distribución. Sólo se emplean como entidades de correo electrónico.

3.3.2. ÁMBITOS DE LOS GRUPOS