TEMA 6 Parte 2 - ISO

TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
5. EQUIPOS Y RECURSOS COMPARTIDOS EN RED

5.1. Equipos en red Windows
5.1.1. CUENTAS DE EQUIPO
Las cuentas de equipo se almacenan en Active Directory y representan un equipo concreto de la red. Cada
equipo del dominio, sea servidor miembro, controlador de dominio o cliente, tiene una cuenta de equipo.
Una cuenta de equipo sirve para auditar las tareas que se realizan desde ese equipo, para otorgar permisos
y restricciones o para controlar el acceso a la red y a los recursos. Las cuentas de equipo permiten realizar
administración remota.
A los equipos con Windows 95 y Windows 98 no se les asignan cuentas de equipo porque no tienen
las características de seguridad necesarias. Se pueden agregar cuentas de equipo a cualquier unidad organi-
zativa, pero las mejores son Equipos o Controladores de dominio, o bien una unidad organizativa creada
dentro de ellas.
La creación de cuentas de equipo puede realizarse de dos maneras:
 Automáticamente. Al unirse un equipo a un dominio, se crea de forma automática la cuenta de
equipo y se ubica en el contenedor Equipos (para cualquier equipo) o en Controladores de do-
minio (si es un controlador de dominio).
 Manualmente. Añadiendo un nuevo equipo en la Unidad Organizativa correspondiente.
Se pueden editar las propiedades de una cuenta de equipo, añadiendo información sobre el Sistema
Operativo, los grupos a los que pertenece, por quien está administrado, etc. Los pasos para la modificación
de las cuentas de equipo son:
 Acceso a Usuarios y Equipos de Active Directory.
 Localizar el equipo en la Unidad Organizativa correspondiente.
 Botón derecho sobre el equipo y seleccionar Propiedades.
 Las pestañas de la ventana Propiedades son:
o General. Nombre del equipo anterior a Windows 2000 (se usará para iniciar sesión con
un Sistema Operativo anterior a Windows 2000), Nombre DNS para iniciar la sesión, Fun-
ción que realiza el equipo, Descripción del equipo, Confiar en el equipo para su delega-
ción, etc.
o Sistema operativo. Nombre del Sistema Operativo, versión y último Service Pack insta-
lado.
o Miembro de. Grupos a los que pertenece el equipo.
o Ubicación. Lugar donde se encuentra el equipo.
o Administrado por. Usuario o grupo responsable de la administración del equipo.
o Marcado. Conexión vía telefónica a este equipo o por redes virtuales privadas.
Para eliminar una cuenta de equipo, hay que seguir los siguientes pasos:
 Botón derecho sobre cualquier equipo de la Unidad Organizativa correspondiente.
 Pulsar Eliminar.
Para administrar las cuentas de equipo, hay que seguir los siguientes pasos:
 Botón derecho sobre cualquier equipo de la Unidad Organizativa correspondiente.
 Pulsar Administrar.
 Se ejecuta la utilidad Administración de Equipos.
224
Para realizar operaciones con varias cuentas de equipo, hay que seguir los pasos siguientes:
 Seleccionar más de un equipo de la Unidad Organizativa correspondiente.
 Abrir el menú contextual con las siguientes opciones:
o Deshabilitar cuenta. Se deshabilita la cuenta de todos los equipos seleccionados.
o Habilitar cuenta. Se habilitará la cuenta de todos los equipos seleccionados. Si se hubiera
seleccionado un solo equipo, aparecerá la opción Restablecer la cuenta.
o Mover. Muestra los contenedores donde se pueden mover los equipos seleccionados.
o Administrar (sólo para Windows Server 2008). Si solo hay un equipo seleccionado, se
abre la utilidad Administración de Equipos.
o Eliminar. Elimina todos los equipos seleccionados.
5.1.2. INTEGRACIÓN DE CLIENTES WINDOWS A UN DOMINIO

5.1.2.1. Configuración previa de los clientes Windows
Lo primero que vamos a recordar es algo que ya hicimos, y configurar los clientes Windows XP/7 en red para
posteriormente poderlos configurar dentro de un grupo de trabajo, y en particular unirlos a un Dominio Win-
dows Server.
Partiremos de la base de que tenemos instalado el sistema operativo y la tarjeta adaptador de red. Si
no es así, ejecutaremos el asistente para agregar hardware y procederemos a instalar los drivers adecuados
de la tarjeta.
Para poder integrar nuestro equipo en una red, es necesario tener en cuenta algunas consideraciones
previas:
 El nombre de cada equipo de la misma red física tiene que ser diferente.
 La dirección IP de cada equipo dentro de una misma red física no puede ser la misma.
 La máscara de subred de los equipos en una misma red física, a priori, debe ser la misma.
Recordemos que en el proceso de instalación del sistema operativo se nos da la opción de integrar el
equipo en un grupo de trabajo o en un dominio.
El grupo de trabajo se utiliza cuando tenemos pocos equipos en la red, no necesitamos demasiada
seguridad y solamente queremos compartir unos cuantos recursos.
Durante el proceso de instalación, en un equipo nuevo es posible que no se nos permita integrar el
equipo en un dominio, ya que para que se integre en un dominio necesitamos contactar con el ordenador
denominado Controlador de dominio, y esto solamente es posible si tenemos configurada la tarjeta de red
y asignado el TCP/IP de forma correcta.
En cualquier caso, no importa. Instalaremos el sistema, dejaremos que el equipo pertenezca al grupo
de trabajo, si es que no podemos integrarlo en el dominio, y posteriormente lo agregaremos al dominio.
Para unir un equipo, en el escritorio, seleccionaremos Equipo, Propiedades. En la ventana que se abre,
haremos clic en Configuración avanzada del sistema. Se nos mostrará una pantalla en la que seleccionare-
mos la pestaña Nombre de equipo y pulsaremos el botón Cambiar.
225
Introduciremos el nombre del equipo y en este caso dejaremos el grupo de trabajo como está, ya que
de momento no nos interesa. Reiniciaremos el equipo, pues esta configuración requiere esta acción.
Ahora configuraremos el protocolo TCP/IP de comunicaciones para poder establecer conexión con el
dominio.
Desde el escritorio, haremos clic con el botón derecho del ratón en Red, Propiedades. En la ventana
siguiente, haremos clic en Ver estado, en la zona en la que se especifica Red con…
Al hacer clic en Propiedades se abrirá una pantalla como la siguiente. Haremos clic en la casilla que
indica Protocolo de Internet versión 4 y clic en Propiedades. Se nos mostrará entonces una pantalla como la
de la segunda imagen.
226
1. Obtener una dirección IP automáticamente. Solamente en el caso de que tengamos en nuestra

red local algún servidor DHCP que nos pueda asignar de forma dinámica una dirección válida en
nuestra red.
2. Usar la siguiente dirección IP:
 Dirección IP. Normalmente introduciremos la dirección correspondiente a una red de tipo
C. Las direcciones IP de una red de este tipo suelen ser de la forma 192.168.X.X. De esta
forma, a cada máquina daremos una dirección IP diferente, manteniendo los tres prime-
ros valores iguales y variando solamente el último (por ejemplo, 192.168.0.1, 192.168.0.2,
etc.). En nuestro caso, indicaremos la misma dirección para todos los equipos y sustitui-
remos el último valor por el número de orden de nuestro equipo dentro del aula.
 Máscara de subred. A continuación y de forma obligatoria, hay que configurar la máscara
de subred. Para este tipo de redes, la máscara siempre será la misma, 255.255.255.0, que
es la que indica que la red es de tipo C.
 Puerta de enlace predeterminada. Si aquí ponemos algo que no es obligatorio, se indica
qué ordenador o router de la red nos da acceso a otras redes, incluida Internet. Es decir,
normalmente escribiremos la dirección IP del router.
3. Usar las siguientes direcciones de servidor DNS. En esta pestaña se suelen configurar e intro-
ducir los datos para realizar una conexión a Internet o para que los nombres de ordenadores de
una red local sean identificados con su dirección IP. Ahora basta con saber que en esa casilla
indicaremos las DNS de un proveedor de Internet, pero en nuestro caso indicaremos como Ser-
vidor DNS preferido la dirección IP del servidor Windows Server en el que está instalado el con-
trolador de dominio.
5.1.2.2. Unir un cliente Windows a un dominio

Ya hemos visto cuál es el procedimiento de instalación de Windows Server 2008, así como el proceso de
promoción a controlador de dominio para ejecutar los servicios de directorio.
Ya sabemos que por defecto en el proceso de instalación, Windows Server se integra en grupos de
trabajo.
Ahora simplemente veremos cómo integrar equipos cliente Windows 7 en un dominio. El procedi-
miento para la integración de clientes Windows en un dominio con Active Directory con cualquiera de las
versiones del sistema operativo cliente es exactamente el mismo.
Para unir un cliente Windows 7, lo primero que tenemos que tener verificado y comprobado es la
identificación de los clientes que se van a integrar en el dominio.
De cada cliente tendremos que comprobar lo siguiente:
 El equipo tiene un nombre de equipo único en la red.
 Tiene una dirección IP dentro del mismo rango de direcciones IP que el servidor.
 La máscara de red tiene que ser la misma que la del servidor u otra que permita verla en la red.
 El grupo de trabajo al que pertenece el equipo, no es importante en este punto.
 Comprobar y verificar que el cliente tiene conectividad con otros equipos de la red. Esto lo po-
demos comprobar ejecutando una consola desde Inicio, Ejecutar e introduciendo cmd. Pulsa-
mos Aceptar y, en la ventana de la consola, introduciremos un comando que comprobará si el
equipo tiene conexión o no con otros de la red y, en particular, con el servidor: ping 192.168.1.1,
siendo 192.168.1.1 la dirección IP del servidor o controlador de dominio. En nuestro caso intro-
duciremos la IP que tenga el controlador de dominio.
 Introducir como DNS principal del equipo cliente la dirección IP del servidor. Para la DNS secun-
daria, podemos poner cualquier cosa, normalmente la que utilizamos para el acceso a Internet.
 Asegurarnos de que el usuario Administrador del equipo cliente tiene contraseña, preferible-
mente la misma que el Administrador del controlador de dominio.
227
 Aunque no es estrictamente necesario, sí que es conveniente tener las cuentas de usuario glo-
bales creadas en el controlador de dominio, para realizar la integración del cliente de forma
correcta.
 Tener iniciada sesión en el dominio y en el cliente como Administrador.
Realizadas todas estas comprobaciones, es cuando podemos integrar el equipo en el dominio. Esta
operación se realiza exactamente de la misma forma para clientes XP o 7.
Desde los clientes, sean del tipo que sean, tendremos que ir a la pantalla de Propiedades del equipo
o sistema y pulsar en la pestaña Nombre de equipo.
En Windows XP seleccionaremos Propiedades de Mi PC. En Windows 7 iremos a Equipo, Propiedades,
Configuración avanzada del sistema y pulsaremos en la pestaña Nombre de equipo.
En cualquiera de los dos casos pulsaremos el botón Cambiar. Aparecerá una pantalla como la de la
figura siguiente, en la que introduciremos el nombre del dominio al que queremos unir este equipo, habiendo
seleccionado previamente el botón de radio del cuadro Miembro del, Dominio.
El nombre de dominio puede ser el nombre DNS o el nombre Net-Bios correspondiente al dominio.
Pulsamos Aceptar y ya tendremos integrado el equipo.
Recordemos que cuando hacíamos la promoción de Windows Server a controlador de dominio, du-
rante el proceso, el mismo equipo nos informaba del nombre Net-Bios que tendría el dominio. Realmente
ahora sirve para poco, pero a veces, sobre todo cuando trabajamos con equipos clientes con sistemas ope-
rativos antiguos, es totalmente necesario.
Se nos pedirá la identificación de un usuario con privilegios en el dominio para integrar al cliente en el
mismo. Es evidente que este proceso lo tiene que realizar el Administrador local de la máquina o equipo que
estamos uniendo al dominio, pero este usuario no tiene que tener necesariamente privilegios sobre el domi-
nio. En esta parte se nos pide eso, un usuario dado de alta en el dominio con privilegios sobre el dominio, es
decir, el Administrador del dominio.
Los nombres introducidos en todo este proceso, a excepción de la contraseña, da igual que se pongan
en mayúsculas o en minúscula.
Esta es la forma fácil de hacerlo, pero de esta manera no sabemos exactamente qué se ha hecho para
integrar al cliente en el dominio.
Lo correcto es pulsar el botón Id de red cuando estemos en la pestaña Nombre de equipo del cuadro
de diálogo Propiedades del sistema. Así veremos qué pasos son los necesarios para realizar el proceso, ma-
tizando lo que en realidad ocurre.
Tras pulsar Id de red, aparecerá una pantalla indicando que hemos seleccionado el asistente para iden-
tificar el equipo en una red. Si pulsamos Siguiente aparecerá una pantalla en la que seleccionaremos la pri-
mera opción si queremos que el equipo pase de un grupo de trabajo a un dominio, o la segunda opción si
228
queremos hacer que un equipo que está en un dominio vuelva a ser miembro de un grupo de trabajo. Selec-
cionaremos la primera: El equipo forma parte de una red organizativa… y pulsaremos Siguiente.
En la siguiente pantalla el asistente nos solicitará que indiquemos si el equipo pertenecerá o no a una
red con dominio. La segunda opción, Mi compañía utiliza una red sin dominio, es para cambiar el grupo de
trabajo en un equipo en una red. Es evidente que seleccionaremos la primera, es decir, Mi compañía utiliza
una red con dominio.
A continuación aparecerá una pantalla en la que se mostrarán qué datos tenemos que conocer para
integrar el ordenador en el dominio. Es evidente que solamente el Administrador de la red, y por consi-
guiente, del dominio, es la única persona capacitada para ello. Sus credenciales, nombre de usuario y contra-
seña, nombre del dominio, etc., solamente serán o podrán ser conocidos por él.
Tras pulsar Siguiente aparecerá la siguiente pantalla. Veamos qué indica.
En las dos primeras casillas de esta pantalla, el equipo te solicita que introduzcas los datos de un usua-
rio del dominio para el que estamos realizando la operación.
En este punto es importante indicar que este usuario tiene que estar dado de alta como usuario de
Active Directory, y lo que se generará, según los datos introducidos en esta pantalla, es un perfil de usuario
para este usuario en el domino.
Introduciremos cualquier usuario y contraseña de un usuario de dominio, aunque recomendamos, al
realizar este proceso, introducir las credenciales del usuario Administrador del dominio, y posteriormente
crear los perfiles para los usuarios deseados.
En la última casilla de la figura anterior, tenemos que introducir el nombre del dominio (DNS o NetBios)
en el que queremos integrar el equipo. Introducidos estos datos, pulsaremos Siguiente.
Aparecerá una pantalla en la que tendremos que indicar con qué nombre queremos que se integre el
equipo y en qué dominio. Podemos dejar el mismo que ya tenemos o modificarlo.
En este caso, el dominio es un Windows Server 2008 llamado PRINCIPAL.PEQUE.ES y el nombre del
equipo a integrar es el propio del equipo. Veamos la siguiente figura:
Tecleados estos datos y tras pulsar Siguiente, el asistente nos pedirá las credenciales del usuario con
privilegios para unir el equipo al dominio. Tras pulsar siguiente aparece una pantalla, que aunque a priori no
parezca demasiado importante, sí que lo es. La pantalla es la mostrada en la siguiente figura:
229
En esta pantalla se muestra el usuario al que queremos crear un perfil de usuario en el dominio. Este
usuario será, al menos la primera vez, un perfil de administrador para este nuevo equipo en el dominio. Así,
si pulsamos Siguiente se agregará el perfil de usuario correspondiente, el administrador dentro de la máquina
local y el correspondiente perfil en el domino para el usuario Administrador que se ha conectado desde la
máquina local. Este perfil incluirá los privilegios correspondientes sobre la máquina local (todos, ya que es el
administrador) y los permisos correspondientes sobre el dominio (los que se le concedan en el mismo).
También podremos querer no agregar el perfil de usuario al dominio, para realizarlo posteriormente,
pero esta operación no tendría demasiado sentido, al menos de la forma que estamos trabajando hasta el
momento.
Si hubiéramos introducido otro nombre de usuario, este tendría que estar dado de alta necesaria-
mente en el dominio como usuario del dominio. En este caso se crearía un perfil local en tu máquina para
ese usuario y el perfil correspondiente en el dominio.
Tras pulsar Siguiente aparecerá una pantalla en la que podemos indicar el tipo de acceso que quere-
mos dar al usuario para la red, es decir, lo que este usuario pueda hacer en el dominio, ya que localmente
podrá hacer lo que el Administrador local haya concedido al usuario como invitado o como usuario avanzado
o lo que corresponda. Básicamente los privilegios locales dependen de en qué grupo de usuarios integres el
usuario. En este punto, recordar los grupos predefinidos por el sistema, para decidir el tipo de perfil a crear
para este nuevo usuario en el dominio.
Recuerda que por cada usuario, y cada tipo de conexión, se generará un perfil de usuario del sistema
local, válido para la máquina local o para el dominio, según proceda.
Los perfiles de usuario los trataremos más adelante.
5.1.3. INICIAR SESIÓN CON UN CLIENTE WINDOWS EN EL DOMINIO O DE

FORMA LOCAL
Una vez que tengamos agregado el equipo al dominio, sea Windows XP o Windows 7, veremos de qué forma
iniciaremos sesión en el dominio o no, ya que también podremos iniciar sesión de modo local en el equipo.
Cuando iniciemos sesión en el dominio, nos tendremos que validar con uno de los usuarios dados de
alta en el dominio. Si por el contrario iniciamos sesión en modo local, tendremos que saber qué usuarios son
los que están dados de alta localmente en el sistema para poder iniciar sesión de esta forma.
Veamos cómo se realiza el proceso de inicio de sesión, en un dominio o en modo local, de un equipo
integrado en un dominio.
Llegado a este punto, tenemos que tener los clientes integrados en el dominio, configurada la red y
dados de alta los usuarios en el controlador de dominio.
Nada más iniciar sesión en el equipo e inmediatamente después de haberlo integrado en el dominio,
y después de pulsar las teclas Control+Alt+Supr, veremos que aparece una pantalla como la siguiente:
230
Como podemos apreciar, se muestra directamente el nombre DNS del dominio seguido por el nom-
bre de usuario al que creamos el perfil a la hora de unir el equipo en el dominio. En esta pantalla es suficiente
con introducir la contraseña y pulsar Intro o el icono de entrada.
Recomendamos que la primera vez se inicie sesión como Administrador del dominio, para terminar
de crear las credenciales de la cuenta de usuario en el dominio que puedan faltar. Para realizar esta opera-
ción, que también servirá para iniciar sesión con otro usuario diferente al que aparece por defecto en la
pantalla de inicio, en la pantalla de la imagen siguiente pulsaremos el botón Cambiar de usuario.
Seleccionaremos el logo que indica Otro usuario. En la casilla Usuario, introduciremos el nombre del
nuevo usuario y en la de más abajo la contraseña. De esta forma se iniciará sesión en el dominio con el nuevo
usuario y se creará en el equipo cliente y en el servidor el perfil de este nuevo usuario.
Si por cualquier circunstancia quisiéramos iniciar sesión en modo local en el equipo, tendremos que
proceder de otra forma.
A pesar de que el equipo esté integrado en el dominio, no es obligatorio iniciar sesión en el mismo.
Podremos iniciar sesión en modo local e incluso en otro dominio diferente con el que tuviéramos establecidas
relaciones de confianza, que ya veremos cómo se gestionan.
En cualquier caso, si quisiéramos iniciar sesión en modo local, en la pantalla de la imagen siguiente
introduciremos las siguientes credenciales: Nombre_equipo_local\nombre_usuario_local y en la casilla de
abajo la contraseña del usuario local. En nombre_equipo_local introduciremos el nombre de nuestro equipo
Windows 7, y el nombre de usuario se tiene que corresponder con un usuario local del equipo, el Adminis-
trador u otro cualquier dado de alta desde la herramienta Administración de equipos.
Si quisiéramos iniciar sesión en otro dominio, en las credenciales introduciremos: Nom-
bre_DNS_del_dominio\nombre_usuario_del_dominio y su contraseña.
231
5.2. Gestión de los recursos compartidos en red

5.2.1. COMPARTIR RECURSOS DE UN CONTROLADOR DE DOMINIO
Para compartir una carpeta en Windows Server, procederemos de la misma forma que en todos los sistemas
Windows. Aunque el procedimiento, en cuanto a pantallas, varía algo de la versión Windows Server 2003 a
la 2008, indicar que prácticamente se hace igual.
Un poco más adelante veremos qué usuarios o grupos pueden tener acceso a este recurso compartido
y de qué forma.
Dentro de Herramientas administrativas, Administración de equipos, Recursos compartidos, pode-
mos ver los recursos que el propio sistema ha dado a compartir tras la instalación.
Los grupos de usuarios que pueden compartir recursos de un controlador de dominio son el Grupo de
Administradores y el Grupo de Operadores de Servidores.
5.2.2. RECURSOS COMPARTIDOS ESPECIALES

Son aquellos recursos que ha creado el propio sistema operativo para tareas administrativas y que, en la
mayoría de los casos, no se deben eliminar ni modificar. Son los siguientes:
 ADMIN$. Recurso que utiliza el sistema durante la administración remota del equipo.
 IPC$. Recurso en donde se comparten las canalizaciones con canalizaciones especiales para la
comunicación entre programas.
 NETLOGON. Se usa para el inicio de sesión.
 PRINT$. Recurso utilizado para la administración remota de carpetas.
 FAX$. Igual que el anterior pero para fax.
 Unidad_logica_$. Para poder acceder en modo remoto al recurso en cuestión, que por tener el
dólar no es visible para ningún equipo de la red. Sólo podrá utilizarlo aquel que sepa cómo se
llama. Si por ejemplo compartimos la unidad de CD-ROM en vez de como D como D$, el acceso
remoto será prácticamente igual, a diferencia de que el recurso no se vea desde el entorno de
red.
 SYSVOL. Contiene el catálogo global de las bases de datos de los controladores de dominio de
Active Directory.
Si así lo deseamos, podremos hacer que una carpeta compartida lo esté pero que no sea visible en la
red. Para ello, cuando asignemos el nombre al recurso compartido añadiremos $ al final del mismo.
5.2.3. COMPARTIR ARCHIVOS DESDE CUALQUIER CARPETA DEL EQUIPO

Cuando lo que compartimos son carpetas creadas en el equipo, como ya debemos tener al menos un contro-
lador de dominio, iremos a la unidad de almacenamiento C:\ y crearemos al menos tres carpetas: bases de
datos, plantillas Word y copias de seguridad.
232
Para compartir estas carpetas, primero tendremos que activar el uso compartido de carpetas del ser-
vidor.
Para ello, en el Escritorio haremos clic con el botón derecho del ratón en Red y seleccionaremos Pro-
piedades.
Haremos clic en la flecha situada a la derecha de Uso compartido de archivos y se desplegarán dos
opciones. Seleccionaremos Activar el uso compartido de archivos.
Luego, nos situaremos en una de las carpetas que hemos creado, bases de datos, y con el botón dere-
cho del ratón seleccionaremos Propiedades.
Seleccionaremos la pestaña Compartir y pulsaremos el botón Compartir. Se mostrará la siguiente pan-
talla:
Como podemos apreciar, de momento solo aparece un usuario con privilegios para utilizar el recurso
compartido, el administrador de la red, que además es el propietario del mismo.
A diferencia de cómo se compartían recursos en Windows XP o Vista, que era muy general, en este
caso particularizamos para quiénes vamos a compartir este recurso: usuarios o grupos de usuarios.
Pulsando en el botón desplegable de la casilla, aparecen dos opciones: Todos o Buscar. Si pulsamos en
Todos y después pulsamos el botón Agregar, veremos que aparece Todos como grupo predeterminado del
sistema que tendrá acceso al recurso compartido. Todos en este caso implica cualquier usuario del dominio,
pertenezca al grupo que pertenezca.
Como podemos ver, a este grupo se le asigna por defecto el permiso de Lector, es decir, permisos de
Solo lectura a la carpeta compartida.
Si hacemos clic en el botón que está donde pone Lector, podremos elegir Colaborador, Propietario o
Quitar.
Si por el contrario seleccionamos Buscar, podremos elegir el o los grupos y/o usuarios a los que les
queremos conceder los permisos de acceso a esta carpeta compartida. Se muestra una pantalla en la que
pulsaremos respectivamente Avanzadas, Buscar ahora. Aparecerá una pantalla como la siguiente, en la que
seleccionaremos usuarios y grupos (podemos usar las teclas Control y Shift) a los que les queremos asignar
permisos sobre la carpeta compartida.
233
Seleccionamos los usuarios y grupos que hayamos decidido y pulsamos Aceptar. Como podemos apre-
ciar, a todos los usuarios y grupos seleccionados se les asignan los privilegios de Lector, que podremos cam-
biar si así lo deseamos.
Podremos seleccionar alguno de estos permisos sobre el uso compartido de la carpeta para cada usua-
rio y/o grupo añadido:
 Lector. Limitar al usuario o grupo la visualización de archivos de la carpeta.
 Colaborador. Para permitir al usuario o grupo ver todos los archivos de la carpeta comprimida,
agregar y cambiar o eliminar los archivos que agreguen los usuarios o grupos con este permiso.
 Copropietario. Permitir al usuario o grupo ver todos los archivos de la carpeta compartida, agre-
gar y eliminar cualquier archivo creado por cualquier usuario o grupo.
En este caso daremos a compartir cada una de las carpetas creadas anteriormente a algún usuario
global del dominio con cada uno de los tres permisos posibles. Iniciaremos sesión en el equipo cliente con
ese usuario y comprobaremos lo que podemos y no podemos hacer.
Iniciaremos sesión con otro usuario al que no se le hayan concedido privilegios sobre las carpetas com-
partidas y analizaremos lo que ocurre.
5.2.4. COMPARTIR ARCHIVOS DESDE LAS CARPETAS PÚBLICAS

DEL EQUIPO
Cuando compartimos archivos desde la carpeta pública del equipo, que podremos ver en Equipo, Acceso
público, no compartiremos las carpetas con usuarios o grupos concretos.
Cualquier usuario que tenga cuenta en este equipo podrá acceder a esta carpeta. Lo único que se
puede indicar es si accede todo el mundo o no accede nadie.
Para compartir archivos desde esta carpeta, basta con mover o copiar los archivos deseados a la
misma.
Pero podremos establecer el nivel de permiso de los usuarios a esta carpeta. Para ello, seleccionare-
mos Propiedades del icono Red del escritorio, haremos clic en el botón de flecha situado a la derecha de Uso
compartido de la carpeta de acceso público y se desplegarán las tres opciones siguientes:
 Activar compartir para que todos los usuarios a la red puedan abrir archivos.
 Activar compartir para que todos los usuarios a la red puedan abrir, cambiar y crear archivos.
 Desactivar el uso compartido…
Aunque hayamos realizado estas operaciones, hasta que no copiemos archivos en esta carpeta o en
algunas de las subcarpetas que contiene, no tendremos realmente nada compartido.
Evidentemente, no colocaremos archivos particulares que queramos que sean vistos por usuarios con-
cretos.
Para este tipo de archivos utilizaremos el método anterior de compartición. De cualquiera de las dos
formas, ya tendremos las carpetas compartidas.
Añadamos ahora alguna carpeta y archivos a la carpeta compartida y comprobemos que iniciando se-
sión con dos o más usuarios diferentes tenemos acceso a las mismas.
Por último, indicar que cuando estemos en la pestaña Compartir de las Propiedades de la carpeta a
compartir, podremos pulsar el botón Uso compartido avanzado.
Se mostrará una pantalla como la de la siguiente figura, en la que podremos modificar el nombre del
recurso compartido y el número de usuario que podrán utilizarlo de forma concurrente, entre otras cosas.
234
5.2.5. CONEXIÓN A RECURSOS COMPARTIDOS

Para conectarse a los recursos compartidos:
 Windows XP. Hay que ir a Mis sitios de Red > Toda la Red > Red de Microsoft Windows y buscar
la ubicación donde se encuentra el recurso compartido (dominio/nombre del equipo).
 Windows 7. Hay que activar los recursos compartidos, ir a Red y buscar la ubicación del recurso
(nombre del equipo).
Para asociar una unidad a un recurso compartido, habrá que dirigirse a Equipo, pulsar en Conectar a
una unidad de red. Habrá que asignar la letra de la unidad, que será la unidad que se asocia al recurso.
También hay que poner la ruta de acceso al recurso o carpeta compartida (\\servidor\carpeta_compartida).
Y por último, marcar conectar de nuevo al iniciar sesión para que la unidad se conecte automáticamente en
el próximo inicio de sesión.
5.2.6. ELIMINAR RECURSOS COMPARTIDOS

Cuando tenemos una serie de recursos, carpetas y/o archivos compartidos, puede darse la circunstancia de
que queramos dejar de compartirlos.
Para dejar de compartir un recurso en cualquier de los dos sistemas operativos, simplemente seleccio-
naremos las Propiedades del mismo con el botón derecho del ratón y en la pestaña Compartir indicaremos
Dejar de compartir o marcaremos la casilla de verificación o No compartir esta carpeta si trabajamos con
versiones de Windows Server 2003.
Para comprobar si un recurso está o no compartido, observamos si el icono que lo representa tiene
asociado el icono de compartir.
5.2.7. SEGURIDAD DE ACCESO. PERMISOS

Los permisos definidos hasta ahora se aplican a los usuarios que acceden a los recursos a través de la red. La
seguridad que ahora se aplicará permite a cada usuario proteger sus datos de accesos no autorizados tanto
por red como local si se usa el sistema NTFS de archivos. NTFS permite mantener una lista de control de
acceso (ACL) actualizada por archivo o carpeta que contiene los SID (números de usuario) y sus permisos para
el recurso.
5.2.8. PERMISOS DE LOS RECURSOS COMPARTIDOS

Cuando entramos en un directorio compartido, actúan los permisos exclusivamente efectivos cuando se ac-
cede a ese directorio a través de la red. Los directorios tratados de forma local se rigen por los permisos NTFS
anteriores.
Los permisos de recurso compartido se aplican a todos los subdirectorios y archivos del directorio
compartido. Se puede especificar el número máximo de usuarios que pueden acceder por la red.
235
Se puede controlar el acceso a los recursos compartidos de las siguientes maneras:

 Usando los permisos del recurso compartido.
 Usando los permisos NTFS.
 Usando una combinación de ambos. Se aplica el más restrictivo.
5.2.9. ASIGNACIÓN DE PERMISOS DE CARPETAS COMPARTIDAS

Ya hemos visto cómo se puede compartir un recurso y de qué manera se pueden asignar los permisos están-
dar a los mismos.
Por cuestiones evidentes de seguridad, los permisos estándar pueden no ser suficientes cuando traba-
jamos en una infraestructura grande.
Los denominados permisos especiales, o permisos NTFS, se asignan de la misma forma, pero cuando
damos a compartir el recurso tendremos que pulsar en la pestaña Seguridad.
Añadir en este punto que cuando estemos en la pestaña de Seguridad de un recurso compartido, si
pulsamos en Opciones avanzadas podremos personalizar la lista de permisos más detalladamente.
Para asignar permisos especiales desde las Propiedades de la carpeta compartida en la pestaña de
Seguridad veremos que se muestra una pantalla en la que se indican en particular qué usuarios y grupos
tienen acceso a la carpeta y de qué forma, es decir, qué permisos tienen sobre la carpeta compartida.
Para modificar estos permisos pulsaremos en el botón Editar y se mostrará una pantalla como la si-
guiente:
Seleccionaremos el usuario o grupo deseado y en la parte inferior de la ventana indicaremos si Permi-

timos o Denegamos alguno de los permisos especiales al usuario o grupo.
Evidentemente, no podremos hacer las dos cosas y siempre prevalecerá la opción más restrictiva.
Desde esta misma ventana, pulsando el botón Agregar > Avanzadas > Buscar ahora y de forma similar a
como procedíamos antes, podremos añadir usuarios y grupos a los que se les otorgarán privilegios especiales
sobre este recurso, que lógicamente debe estar compartido.
Si por ejemplo a un usuario le permitimos Control total para este recurso compartido, pero se lo de-
negamos al grupo al que pertenece el usuario, éste no podrá acceder al mismo, ya que siempre prevalecerá
la restricción de mayor seguridad sobre el recurso.
En nuestro caso, asignaremos todos los permisos a un usuario del sistema, permitiremos solo la opción
de Lectura a otro de los usuarios y comprobaremos los resultados.
236
5.2.10. COMPARTIR RECURSOS EN LOS EQUIPOS CLIENTES DE

UN DOMINIO
Llegados a este punto, observamos que de momento todos los recursos a compartir en el equipo se encuen-
tran gestionados por el controlador de dominio.
Estos recursos serán locales del dominio y podrán estar ubicados en cualquier sitio, pero en definitiva,
recursos locales del dominio.
Una vez que hemos integrado un cliente en el dominio, e iniciada sesión con un usuario del dominio,
podremos, al igual que lo hemos hecho hasta el momento, compartir recursos del equipo cliente para que el
resto de usuarios de la red puedan tener acceso a los mismos.
Procederemos exactamente de la misma forma que como lo hemos hecho al compartir recursos tanto
desde los equipos clientes sin estar unidos a un dominio como desde los equipos con Windows Server.
Al pulsar Propiedades con el botón derecho del ratón y situarnos en la pestaña Compartir, o al pulsar
directamente Compartir con el botón derecho del ratón en el recurso que queremos compartir, aparece la
pantalla para compartir recursos.
Ya hemos visto que podemos indicar que queremos compartir el recurso para todos, es decir, hacerlo
público o compartirlo para usuarios concretos del dominio, cuando lo hacemos desde un controlador de
dominio.
También hemos visto que el compartir la carpeta para todos es como copiar la carpeta a compartir
dentro de la carpeta pública de recursos compartidos. El efecto es el mismo.
Pues bien, en este caso podremos hacer básicamente lo mismo, pero para el recurso ubicado en un
cliente concreto. Pulsaremos el botón de flecha de la caja de texto desplegable de la imagen anterior y se-
leccionaremos Todos o Buscar, consiguiendo lo mismo que en el caso anterior.
La diferencia es que al pulsar Buscar y ver la pantalla para buscar usuarios o grupos, en vez de pulsar
directamente Avanzadas > Buscar ahora podremos pulsar en el botón Ubicaciones. Se mostrará una pantalla
como la siguiente, en la que podremos seleccionar la lista de usuarios locales del dominio en el que estamos
integrados, o de otro dominio con el que tengamos establecidas relaciones de confianza, a los que vamos a
otorgar permisos sobre la carpeta compartida.
Seleccionaremos el primer icono que representa el nombre de nuestro equipo y pulsaremos Aceptar.
En la pantalla que vemos pulsaremos Avanzadas > Buscar ahora y se mostrará la lista de usuarios y grupos
locales del equipo. Añadiremos los usuarios y grupos locales deseados y pulsaremos Aceptar, procediendo
de la misma forma que en los casos anteriores para personalizar los permisos que acabamos de asignar.
Si en vez de hacer clic en el icono que representa el equipo en la pantalla de la imagen anterior lo
hacemos sobre el nombre DNS del controlador de dominio en el que estemos integrados u en otro con el
que tengamos establecidas relaciones de confianza, la diferencia es que los usuarios que se mostrarán al
pulsar Avanzadas > Buscar ahora serán precisamente los usuarios y grupos del dominio seleccionado.
Posteriormente procederemos exactamente de la misma forma que en casos anteriores.
237
5.3. Gestión de impresoras compartidas en red

5.3.1. INSTALACIÓN DE UNA IMPRESORA (LOCAL)
Para instalar una impresora en local, debemos dirigirnos a Inicio > Panel de control > Impresoras. En la ven-
tana que nos aparece, pulsaremos en Agregar impresora > Asistente. Elegiremos la impresora local, el puerto
al que está conectada, el fabricante y el tipo de impresora. Después tendremos que dar un nombre a la
impresora. Luego nos preguntará si queremos compartir o no la impresora, de momento seleccionaremos
que no. Por último, nos pregunta si queremos imprimir una página de prueba.
5.3.2. INSTALACIÓN DE UNA IMPRESORA (EN RED)

Para instalar una impresora en red, debemos dirigirnos a Inicio > Panel de control > Impresoras. En la ventana
que nos aparece, pulsaremos en Agregar impresora > Asistente. Después deberemos elegir impresora en
red (del dominio).
5.3.3. CONFIGURACIÓN DE IMPRESORAS COMPARTIDAS EN RED

Los sistemas de impresión basados en red tienen tres elementos diferenciados:
 Impresora.
 Cola de impresión. Archivo en el que se almacenan los trabajos a imprimir.
 Servidor de impresión. Ordenador conectado a la impresora que solicita los trabajos a la cola
para ser impresos.
Veamos cómo podemos agregar impresoras y cómo utilizarlas. Para agregar una impresora en Win-
dows Server 2008 lo haremos igual que en las versiones de Windows XP/7, tanto si es local como si es en red.
Tras instalar la impresora, quedará definida como predeterminada y estará compartida.
Supongamos que estamos instalando la impresora EPSON STYLUS C42SX. Una vez instalada, accedere-
mos a ella a través de Panel de control > Impresoras. La seleccionamos con el botón derecho del ratón y
hacemos clic en Propiedades. Aparece entonces una pantalla como la siguiente:
Veamos lo que se puede hacer en cada una de sus pestañas.

 Opciones avanzadas. Tipo de impresora y gestión de la cola de impresión de trabajos.
 Administración del color. Similar a la administración de color de la pantalla. Puedes agregar
controladores de color, para que los tonos sean más erales o más a tu gusto.
238
 General. Información de la impresora, nombre, ubicación, etc.

 Compartir. Aquí se indica el nombre con el que está la impresora compartida en el dominio. Se
puede modificar. En el botón Controladores adicionales podrás instalar controladores de esta
impresora para otros sistemas operativos u otras arquitecturas.
 Puertos. Comunicación del equipo con la impresora. Los puertos los puedes eliminar, agregar o
configurar desde esta pestaña.
 Mantenimiento del cartucho. Comprobación, alineación, limpieza.
 Configuración de dispositivos. Bandeja de papel, tipo de papel, etc.
 Seguridad. Qué usuarios, grupos y objetos de tu dominio pueden utilizar la impresora. Estos
permisos se gestionan de forma similar a los permisos de carpetas, teniendo en cuenta que son
diferentes. Estos permisos son los siguientes:
Capacidades Sin Imprimir Administración Control

acceso de documentos total
Imprimir documentos X X X
Hacer una pausa, reanudar, reiniciar y cancelar los do- X X X
cumentos de usuario
Conectarse a una impresora X X X
Controlar la configuración de todos los documentos X X
Hacer una pausa en la impresión, reiniciar y eliminar to- X X
dos los documentos
Compartir una impresora X
Modificar las propiedades de una impresora X
Eliminar impresora X
Modificar los permisos de impresora X
A continuación podemos analizar qué usuarios pueden hacer qué cosas sobre las impresoras del do-
minio:
Grupos Pueden administrar impresoras

Administradores En cualquier equipo del dominio que ejecute Windows Server 2003/208 o 2000/XP/7
Operadores de impresión En cualquier controlador de dominio
Operadores de servidor En cualquier controlador de dominio
Usuarios avanzados En cualquier equipo local del dominio en el que exista este grupo
La asignación de permisos a impresoras, al igual que para carpetas, se realiza desde la pestaña Seguri-
dad, aunque lo deseable en este caso sería crear un grupo de impresión, de tal forma que actuemos sobre él
en vez de actuar, cada vez que queramos modificar permisos, sobre todos los usuarios que tengan acceso a
la impresora.
En general, la gestión de impresoras difiere muy poco de cómo se hace en cualquier versión de Win-
dows Server, siendo importante a veces establecer notificaciones de los trabajos que se imprimen.
Se pueden controlar los trabajos de impresión configurando las notificaciones, las prioridades y los
horarios de impresión.
Para ello, el usuario deberá disponer del permiso Control total o del permiso Administración de do-
cumentos sobre la impresora adecuada. Seguiremos los siguientes pasos:
1. En la carpeta Impresoras, haremos doble clic en el icono de la impresora adecuada. A continua-
ción aparecerá el cuadro de diálogo Nombre_impresora.
2. Seleccionaremos el documento para el que deseamos realizar alguna de las tareas descritas.
3. En el menú Documento, haremos clic en Propiedades. Seguidamente aparecerá el cuadro de
diálogo Nombre_documento Propiedades con la ficha General activada.
4. Haremos clic en el comando apropiado, como se indica en la siguiente tabla, y clic en Aceptar.
239
Para Haremos esto Situación

Establecer una notificación En el cuadro Notificar escribiremos Modificar la notificación de impre-
el nombre de inicio de sesión del sión cuando otra persona que no sea
usuario que va a recibir la notifica- el usuario que imprimió el docu-
ción. mento necesite recuperarlo.
Modificar la prioridad de un docu- Moveremos el control deslizante a la Modificar una prioridad para impri-
mento prioridad deseada. La máxima es 99 y mir un documento importante antes
la mínima es 1. que los demás documentos.
Definir las horas de impresión dispo- En los cuadros Solo desde y Hasta, Definir las horas por la noche para un
nibles definiremos las horas de impresión documento grande que tarde mucho
para el documento. tiempo en imprimirse. Esto permite
asegurar que se coloca correcta-
mente en la cola de impresión du-
rante las horas laborales, pero que se
imprimirá por la noche.
Otra opción interesante es la de redirigir trabajos de impresión. Así, si una impresora está conectada
a un dispositivo de impresión que falla, podremos redirigir los documentos a un dispositivo de impresión
local o a uno en red, de forma que el usuario no tenga que volver a enviarlos.
Para ello, y solo desde los puertos locales, podremos Redireccionar la impresión, por ejemplo, a un
dispositivo de red. Este proceso se realizará del siguiente modo:
1. En la carpeta Impresoras, seleccionaremos el icono de la impresora adecuada.
2. En el menú Archivo, haremos clic en Propiedades. Aparecerá el cuadro de diálogo Nombre_im-
presora Propiedades.
3. Haremos clic en la ficha Puertos. En esta ficha se muestra la configuración actual de los puertos.
4. Haremos clic en Agregar puerto. A continuación aparecerá el cuadro de diálogo Puertos de im-
presora, los tipos de puertos de impresora disponibles.
5. Haremos clic en Local port y luego en Puerto nuevo.
6. En dicho cuadro escribiremos el nombre UNC de otra impresora; por ejemplo, \\Servidor\HPLa-
serJet4. La nueva impresora debe utilizar el mismo controlador de dispositivo que la actual.
Puede que necesitemos desactivar le puerto original para asegurarnos de que los documentos
se imprimen en el puerto al que se ha redirigido.
7. Haremos clic en Aceptar.
Es evidente que una vez instalada y configurada la impresora en el Servidor Windows Server, al estar
compartida, podremos instalarla en los clientes, procediendo exactamente de la misma forma que como lo
hacíamos cuando instalábamos impresoras en un grupo de trabajo con Windows XP/7.
Cuando vayamos a agregar la impresora, la localizaremos desde la primera opción de las que muestra
el asistente del cliente y Buscar una impresora en el directorio refiriéndose al Active Directory.
En la pestaña Compartir de la impresora en el equipo Windows Server, tendremos que habilitar la
pestaña Mostrar lista en el directorio si deseamos que esta impresora se muestre a los clientes cuando la
quieran agregar a su equipo.
La gestión de los trabajos que se van a imprimir se realiza de la misma forma que en las versiones
Windows de sobremesa.
Terminaremos este punto diciendo que cuando se comparte una impresora de un controlador de do-
minio para la red, esta será visible en todo el dominio.
Al igual que hacíamos con carpetas, podremos configurar opciones de seguridad para indicar quiénes
pueden hacer qué cosas en la impresora.
Para ello, seleccionaremos la impresora y haremos clic con el botón derecho del ratón en Propiedades.
Pulsaremos en la pestaña Compartir. Aquí observaremos que la impresora está compartida y el nombre que
tiene para que la vean otros usuarios de la red.
240
En esta pestaña también podremos activar la casilla Procesar trabajos de impresión en el equipo
cliente, de tal forma que el controlador de dominio se dedicará únicamente a establecer la conexión del
cliente con la impresora sin procesar el trabajo de impresión, liberándose así de trabajo extra.
Por último, en la pestaña Seguridad, y de forma idéntica a como lo hacíamos con carpetas, podremos
indicar los permisos de los usuarios o grupos del dominio sobre la impresora. La única diferencia es que los
tipos de permisos sobre la impresora cambian.
Veamos cuáles son:
 Imprimir. Al usuario o grupo que se le conceda este permiso únicamente podrá imprimir traba-
jos y nada más.
 Administrar impresoras. Podrán cambiar configuraciones de disponibilidad, instalar controla-
dores, cambiar el nombre compartido de la impresora, etc., es decir, casi todo lo que puede
hacer el administrador de Windows Server, a excepción de administrar los documentos.
 Administración de documentos. Con esta opción, el usuario que tenga este permiso podrá can-
celar, pausar o eliminar trabajos de impresión propios o de otros usuarios.
 Permisos especiales. Son un tipo de permisos que normalmente solo están disponibles en im-
presoras que funcionan por TCP/IP o mediante puertos especiales conectados a otros controla-
dores de dominio.
En propiedades de la impresora podemos ver las siguientes pestañas:

 General. Nombre de la impresora, ubicación física para localizarla en el Active Directory e indi-
caciones sobre dicha impresora.
 Compartir.
 Puertos.
 Opciones avanzadas.
o Restricción horaria en el envío de trabajos de impresión (la impresión de documentos
grandes bloquean a los pequeños).
o Prioridades: definir un nivel de prioridad para los documentos enviados.
o Cambio de controlador.
o Cola de impresión.
o Otras opciones.
 Seguridad.
 Configuración del dispositivo.
 Etc.
6. PERFILES Y HERRAMIENTAS DE ADMINISTRACIÓN

6.1.Perfiles móviles
Ya vimos cómo se gestionaban los perfiles locales de los usuarios locales de un equipo, pero vamos a recor-
darlo para entender mejor el manejo y administración de perfiles de usuario dentro de un dominio.
Cada vez que se da de alta un usuario local en un ordenador cliente (Windows 7) y este inicia sesión al
menos una vez, el propio sistema genera una configuración personal y específica, sobre todo del escritorio,
panel de control y de la utilización de aplicaciones, para cada usuario.
Existe, dentro del directorio raíz de instalación del sistema (normalmente C:\), una carpeta denomi-
nada Usuarios en Windows 7 que contiene varias subcarpetas. Si abrimos esta carpeta y hemos creado al
menos algún usuario y hemos iniciado sesión con él, veremos que contiene subcarpetas que hacen referencia
al administrador y al nuevo usuario.
Cada una de estas carpetas contiene todas las opciones de inicio de sesión personalizado para cada
usuario: escritorio, fondo, protector de pantalla, programas instalados, etc. De esta forma todo lo que un
usuario modifique no afectará a otro usuario que inicie sesión, como ocurría con Windows 98, ya que cada
uno de ellos tiene su propia configuración almacenada.
241
Para ver y gestionar los perfiles de usuario que tenemos en nuestro equipo, tendremos que ir a Panel
de control > Sistema > Configuración avanzada del sistema > Perfiles de usuario > Configuración (en Win-
dows 7).
En esta pantalla, si además de iniciar sesión en modo local conectáramos con un dominio, también se
generarían los perfiles de usuario correspondientes a los usuarios de red.
Podremos analizar de esta forma los perfiles de usuarios de nuestro equipo, incluyendo el que acaba-
mos de crear.
Cada perfil local tiene una serie de características. Si analizamos el nombre de un perfil llamado WIN-
DOWS7/Paco, tenemos que este perfil pertenece al usuario Paco del ordenador WINDOWS7. Podemos apre-
ciar: el tamaño que tiene, que se está usando como local y la fecha en la que fue creado. Cada usuario local
que haya iniciado sesión en el equipo tendrá un perfil de este tipo en la máquina local.
Cuando hayamos iniciado sesión en el equipo con un usuario global de dominio, también se creará un
perfil de usuario dentro del equipo local.
Este perfil será del tipo nombre_NetBios_dominio/nombre_usuario_dominio, generándose además
una carpeta personal de trabajo dentro de Usuarios que tendrá un nombre similar a este: nombre_usua-
rio_dominio.nombre_NetBios_dominio.
Todos estos perfiles siempre serán perfiles locales del equipo en el que estamos trabajando. Pero
cuando trabajamos en un dominio con este tipo de perfiles, podemos gestionarlos desde el propio controla-
dor de dominio, con determinadas características que les serán asignadas de forma local a cada usuario en
el equipo cliente desde el que conecte, siendo este perfil el utilizado por el usuario cuando trabaje en el
equipo cliente.
Estos perfiles, denominados perfiles móviles de usuario, permiten a los usuarios desplazarse de un
equipo a otro dentro de la red corporativa. Los usuarios que disponen de un perfil móvil de usuario pueden
iniciar sesión en un equipo, ejecutar aplicaciones y modificar documentos y cerrar la sesión. Al cerrar la se-
sión, su perfil de usuario se copia en un servidor. Cuando inicie la sesión en otro equipo, la información del
perfil, incluidas las personalizaciones del menú Inicio y el contenido de la carpeta Mis documentos, se copia
en dicho equipo.
Es decir, el usuario puede trabajar desde cualquier equipo, teniendo exactamente siempre la misma
configuración respecto de sus programas, aplicaciones y opciones personalizadas.
Estos perfiles se asignan a cada usuario, pueden ser modificados por ellos mismos y los cambios per-
manecen después de finalizar la conexión. Los datos de registro se guardan en ntuser.dat. Se copia esta
información a HKEY_CURRENT_USER del registro cuando inicia sesión. Si hay cambios se guarda en ficheros
.dat temporales y finalmente se vuelca al ntuser.dat. Se puede mover el usuario por toda la red (entre distin-
tos equipo) y su perfil de usuario se mantendrá inalterable porque su información se vuelca al servidor del
dominio.
Hay dos variantes del perfil móvil:
 Obligatorios. Cada usuario puede modificar su perfil pero los cambios no se conservan al finali-
zar la conexión, y solo se guardan cuando los realiza el administrador. Los datos de registro del
usuario se guardan en ntuser.man.
 Superobligatorios. Misma estructura que el obligatorio, pero se asegura que puedan trabajar
con su propio perfil, ya que en caso de no poder cargarlo no podrán iniciar sesión.
6.1.1. CREACIÓN Y ADMINISTRACIÓN DE PERFILES MÓVLES DE USUARIO

EN UN DOMINIO
Hay varias operaciones que tenemos que llevar a cabo en el controlador de dominio para crear perfiles mó-
viles. Estas tareas las realizará el Administrador del dominio habiendo iniciado sesión en el controlador de
dominio.
Veamos la forma de proceder:
1. Iniciaremos la sesión en el controlador de dominio como Administrador del mismo.
2. Haremos clic con el botón secundario del ratón en el botón Inicio y a continuación clic en Explo-
rar.
242
3. En el panel izquierdo haremos clic en Disco local (C:). En el panel derecho haremos clic con el
botón derecho del ratón en un área en blanco. En el menú contextual seleccionaremos Nuevo >
Carpeta.
4. Crearemos una carpeta con el nombre, por ejemplo, Perfiles y pulsaremos Intro.
5. Haremos clic con el botón derecho del ratón en la carpeta Perfiles y seleccionaremos Propieda-
des > Compartir.
6. Otorgaremos permisos de Control total o Copropietario, según trabajemos en Windows Server
2003 ó 2008 respectivamente, a Todos los usuarios del equipo.
7. Haremos clic en la pestaña Permisos y activaremos la casilla de verificación Permitir a Todos,
situada al lado de Control total y, a continuación, haremos clic en Aceptar.
8. Haremos clic en la pestaña Seguridad y, en Nombre de grupo o de usuario, haremos clic en
Usuarios.
9. Activaremos la casilla de verificación Permitir situada al lado de Control total.
10. Haremos clic en Aceptar para cerrar el cuadro de diálogo Propiedades de perfiles y, a continua-
ción, cerraremos el Explorador de windows.
Realizada esta operación, ya tenemos preparado el espacio de almacenamiento, con los permisos ade-
cuados, para almacenar los perfiles móviles en el equipo Windows Server. Ahora es cuando realmente tene-
mos que configurar el perfil móvil para los usuarios deseados. Veamos cómo:
1. Lanzaremos la Herramienta administrativa > Usuarios y equipos de Active Directory.
2. Iremos a la Unidad Organizativa Users y seleccionaremos el usuario deseado.
3. Este paso solo es necesario si deseamos que el usuario seleccionado inicie sesión en un contro-
lador de dominio y un escritorio estándar, en caso contrario omitiremos este paso y pasaremos
al siguiente. Haremos clic en la pestaña Miembro de, en Agregar, y seleccionaremos Adminis-
tradores. Terminaremos pulsando Aceptar.
4. Haremos clic en la ficha Perfil y aparecerá la siguiente pantalla:
5. En Ruta de acceso al perfil, teclearemos \\nombre_equipo_controlador_dominio\car-

peta_perfiles\%username%, siendo:
 \\nombre_equipo_controlador_dominio. El nombre del equipo asignado al controlador
de dominio.
 \carpeta_perfiles. El nombre de la carpeta, en nuestro caso Perfiles, creada anterior-
mente para almacenar los perfiles de usuario.
 \%username%. Variable de entorno de Windows que se sustituye por el nombre de usua-
rio en la operación correspondiente. En este caso, indicará el nombre con el que se creará
el perfil dentro de la carpeta Perfiles.
6. Haremos clic en Aceptar y, a continuación, cerraremos el complemento Usuarios y equipos de
Active Directory.
243
En el punto 2 podremos hacer una selección múltiple de usuarios para realizar esta operación de una
sola vez, eso sí, siempre que todos los perfiles de usuario se almacenen en el mismo equipo y en la misma
carpeta, en caso contrario, tendremos que proceder de uno en uno. Esta operación no se puede hacer sobre
grupos de usuarios.
Para comprobar que esto funciona, haremos lo siguiente:
1. Integrar los clientes en el dominio, es decir, unirlos al dominio.
2. Iniciar sesión con un usuario al que se le ha asignado un perfil móvil.
3. Modificar preferencias de escritorio como Menú clásico, cambiar el color de fondo, añadir ac-
cesos directos al escritorio, etc.
4. Iniciar sesión con el usuario en el equipo que hemos integrado en el dominio y observar que se
le asigna ese perfil.
5. Iniciar sesión con este usuario en otro equipo unido al mismo dominio y comprobar que tiene la
misma configuración.
6. Realizar algunos cambios de nuevo y volver a iniciar sesión en otro equipo unido al dominio.
Por último, comprobar dentro del controlador de domino que en la carpeta Perfiles se ha creado una
nueva carpeta con el nombre del usuario al que hemos asignado el perfil móvil, y dentro de las subcarpetas,
verificar que las configuraciones corresponden a la personalización que el usuario ha dado a su perfil.
En la pantalla de la imagen anterior, también podremos hacer que al usuario que inicia sesión en el
dominio se le asigne una unidad de red a su directorio personal de trabajo en el equipo.
Por cada usuario crearemos una carpeta en el servidor en la ubicación que queramos cuyo nombre sea
el login de usuario. La compartiremos, dando privilegios de acceso total a cada usuario respecto de su car-
peta.
Para terminar, en la zona Carpeta particular, pulsaremos en la casilla Conectar, indicaremos con qué
letra de unidad lógica queremos que el usuario vea desde su equipo la carpeta personal de trabajo. Indicare-
mos la ruta de acceso a la carpeta personal de trabajo, indicando \\nombre_equipo_controlador_domi-
nio\%username%.
Cuando el usuario inicie sesión, automáticamente tendrá una unidad lógica más en su equipo que es-
tará conectada directamente a su carpeta personal en el controlador de dominio.
6.1.2. ELEMENTOS DE LA FICHA PERFIL

 Ruta de acceso al perfil. Indicas la ruta de acceso de red para activar un perfil móvil u obligatorio
(\\nombre_del_servidor\nombre compartido de la carpeta de perfiles\nombre de usuario). Si
no se rellena, el perfil que se creó por defecto en la primera conexión, default, será un perfil
local. La carpeta compartida tiene que ser un directorio nuevo y distinto al de la carpeta Usua-
rios.
 Script de inicio de sesión. Nombre de un archivo donde se guarda el script de inicio de sesión
del usuario seleccionado.
 Ruta de acceso local. (nombre subdirectorio\nombre usuario) Indica el directorio local privado
de cada usuario donde puede almacenar sus archivos y programas. Permite hacer copias de se-
guridad de los archivos de cada usuario y su eliminación cuando se quite la cuenta. Es incompa-
tible con Conectar.
 Conectar. Conecta una letra de unidad a un directorio de red compartido y conectarse al inicio
de sesión (\\nombre servidor\nombre compartido subdirectorio privado\nombre usuario). Es
incompatible con ruta de acceso local.
244
6.2.Utilidades de administración
6.2.1. OPTIMIZACIÓN DE LA MEMORIA
Ya sabemos en qué consisten la paginación y la segmentación. En particular, Windows Server utiliza la técnica
de paginación para ubicar todos los programas y procesos en memoria RAM para poder ejecutarlos.
A veces la memoria RAM se queda escasa, sobre todo en este tipo de sistemas, y hay que optimizar al
máximo el uso de memoria, tanto real como virtual, para garantizar el correcto funcionamiento del equipo.
Realmente, con la memoria RAM vamos a hacer poco, pero sí que haremos que el equipo vaya más
ligero gestionando lo que realmente le preocupa al equipo: la memoria virtual.
Sin embargo, la memoria virtual se utiliza siempre, incluso si se dispone de una gran cantidad de me-
moria RAM.
Cuando el sistema gestiona la memoria virtual, crea el llamado Archivo de paginación que es utilizado
por el sistema operativo de manera temporal para almacenar bloques de programas y datos que están nor-
malmente en la memoria RAM.
Tenemos que saber que si el archivo de memoria virtual se fragmenta, cosa que ocurre habitualmente,
el rendimiento del sistema se verá bastante afectado. Por eso es útil desfragmentar este archivo.
Existen en el mercado algunas herramientas gratuitas, como PageDefrag, diseñada por Microsoft ex-
clusivamente para este uso. La podremos descargar desde la siguiente página Web: www.micro-
soft.com/spain/technet/sysinternoes/utilities/PageDefrag.mspx, seleccionando File and Disk Utilities y pos-
teriormente eligiendo PageDefrag.
Descomprimiremos el archivo en el lugar deseado. El uso del programa es extremadamente simple:
haremos clic en el ejecutable, escogeremos la opción Defragment at next boot y listo. En el siguiente inicio
de sistema y antes de entrar en el escritorio, PageDefrag optimizará todos nuestros ficheros o datos de sis-
tema.
Otra alternativa, a veces no tan buena, es modificar la configuración de la memoria virtual. El sistema,
por defecto, asigna un tamaño al archivo de paginación que a veces puede no ser el más adecuado.
Respecto del archivo de paginación, tendremos en cuenta una serie de consideraciones:
 Lo ubicaremos, si es posible, en otro disco duro diferente al que tiene instalado el sistema ope-
rativo, siempre y cuando sea al menos un disco duro de las mismas características.
 No lo ubicaremos en una partición diferente, si la tuviéramos, del mismo disco duro en el que
está el sistema operativo instalado.
 Siempre ubicaremos el archivo de paginación, sea el caso que sea, en el disco más rápido.
 Asignaremos un tamaño de 1,5 o 2 veces el tamaño de la memoria RAM del equipo. Por ejemplo,
para un equipo con 1 GB de RAM podremos establecer un tamaño de archivo de paginación de
1,5 GB o 2 GB de memoria virtual.
Para gestionar la memoria virtual, iremos a Inicio > Panel de control > Sistema y pulsaremos en Con-
figuración avanzada del sistema. En el cambio de Rendimiento haremos clic en Configuración. Haremos clic
en la pestaña Opciones avanzadas > Cambiar y se mostrará una pantalla como la siguiente:
245
1. Seleccionaremos esta opción si lo que queremos es que el sistema administre de forma auto-
mática la memoria virtual, que a veces puede ser lo mejor.
2. Se mostrarán las unidades de disco, o particiones, sobre las que podremos hacer que se gestione
el archivo pogefyle.sys de memoria virtual.
3. Marcaremos esta casilla si queremos personalizar nosotros el tamaño del archivo de paginación.
4. Marcaremos una de estas dos opciones para dejar que el sistema administre automáticamente
el archivo de paginación, siempre y cuando hayamos elegido otro disco que el de sistema, o
seleccionar que no queremos trabajar con archivo de paginación, operación que no es recomen-
dable realizar.
5. Leyenda de la configuración actual.
Si queremos modificar nosotros el tamaño, desmarcaremos la casilla 1 y seleccionaremos el botón de

radio 3 introduciendo dentro de las casillas de texto el máximo y mínimo del tamaño asignado al archivo de
paginación. Terminaremos pulsando el botón Establecer.
Reiniciaremos el equipo y comprobaremos si el rendimiento del equipo ha mejorado o no, ya que
puede ser que al cambiar el archivo de paginación el equipo vaya pero que si el propio sistema administrara
la memoria virtual.
Se trata de llegar a un equilibrio, que a veces es difícil de conseguir, pero con varias pruebas, seguro
que llegamos a un tamaño y ubicación del archivo de paginación con el que nuestro sistema funcione mejor.
Compruébalo.
Indicar, antes de terminar este punto, que Windows Server 2008 incorpora una herramienta llamada
Herramienta de diagnóstico de memoria que sirve para comprobar el estado de la RAM. Si la ejecutamos, el
equipo se reiniciará y aparecerá una pantalla en la que se realiza un diagnóstico de la RAM del equipo en
busca de errores físicos o lógicos de memoria.
6.2.2. AUTOMATIZACIÓN DE TAREAS

En todos los sistemas operativos, y en particular en las versiones XP y 7 de Windows, es posible automatizar
la ejecución de determinadas tareas o procedimientos. Esta automatización responde a la necesidad que
pueda tener un usuario de realizar periódicamente alguna acción, como una copia de archivos, una limpieza
de disco, una copia de seguridad, etc.
Las tareas se programan cuando queremos usar programas específicos con una frecuencia determi-
nada de acuerdo con la programación elegida. Por ejemplo, si utilizamos un programa de contabilidad un día
determinado de cada mes, podremos programar una tarea que abra el programa automáticamente para que
no se nos olvide abrirlo a nosotros.
Para automatizar procesos, recurriremos a la herramienta Programador de tareas que incorpora cada
una de estas versiones del sistema operativo. Para ejecutar esta herramienta iremos a Inicio > Todos los
programas > Accesorios > Herramientas del sistema > Tareas programadas. Se nos muestra una pantalla
como la de la imagen siguiente. Para realizar estos pasos tendremos que iniciar sesión como Administrador
o iniciar sesión con un usuario que tenga privilegios suficientes. Si no iniciamos sesión con privilegios de
Administrador, sólo podremos cambiar las configuraciones que afecten a la cuenta de usuario con la que
hemos iniciado la sesión.
1. Menú de acciones. Donde podremos realizar todas las acciones relacionadas con esta herra-
mienta.
2. Resumen de la programación de tareas. Podemos ver en la parte central de la ventana que se
nos muestra un resumen de las tareas activas, del estado de las tareas, como última ejecución
de cada una de ellas, etc.
3. Ventana de acciones. Desde esta parte de la ventana realizaremos las acciones específicas para
programar y configurar las tareas deseadas.
246
Para programar una tarea elemental haremos clic en el menú Acción y luego (o directamente desde la
ventana de acciones) Crear tarea básica. En la parte derecha de la ventana, veremos en qué parte de la
programación de la tarea estamos. Los pasos a seguir son los siguientes:
 Crear una tarea básica. Escribiremos el nombre de la nueva tarea y, si queremos, una descrip-
ción para la misma. Pulsaremos Siguiente.
 Desencadenador. Indicaremos cuándo o debido a qué queremos que se ejecute la tarea. En esta
pantalla, seleccionaremos una de estas opciones, dependiendo de cómo o cuándo queremos
que se ejecute la tarea:
- Para seleccionar una programación basándose en el calendario, haremos clic en Diaria-
mente, Semanalmente, Mensualmente o Una vez y haremos clic en Siguiente. Nos apa-
recerá una nueva ventana en la que indicaremos fecha de inicio, periodicidad, hora de
inicio, etc., sobre la tarea y haremos clic en Siguiente.
- Si así lo queremos, el desencadenador no tiene por qué basarse en un calendario, como
ocurre en Windows XP. En Windows 7 podremos hacer que una tarea se ejecute basán-
dose en eventos repetitivos: Cuando el equipo inicie o Cuando inicie sesión. Selecciona-
remos lo que queramos y haremos clic en Siguiente. También podremos realizar la pro-
gramación basándonos en eventos específicos; haremos clic en Cuando se produzca un
evento específico, haremos clic en Siguiente y especificaremos en el campo Registro o
qué evento asociamos la ejecución de la tarea. Terminaremos haciendo clic en Siguiente.
 Acción. En este caso podremos indicar que la tarea que estamos programando pueda Ejecutar
un programa, Enviar un correo electrónico o simplemente Mostrar un mensaje. En particular,
para hacer que una aplicación se inicie automáticamente, haremos clic en Iniciar un programa
y, a continuación, en Siguiente. Haremos clic en Examinar para buscar el programa que desea-
mos iniciar y después haremos clic en Siguiente. Este programa ha de ser un programa ejecuta-
ble (extensión exe o com) o un proceso batch escrito en entorno comando. A priori, las dos cajas
de texto que aparecen debajo de Agregar argumentos e Iniciar en se utilizarán para, por ejem-
plo, introducir los parámetros necesarios para que la tarea que hemos programado no necesite
de la intervención del usuario, como por ejemplo una limpieza de disco. La ubicación del archivo
es C:\Windows\System32 y el programa se llama dfrgui.exe.
 Finalizar. Finalizando el proceso de programación y, si queremos, podremos seleccionar la casilla
Abrir el diálogo propiedades para esta tarea al finalizar. Si seleccionamos esta casilla y pulsa-
mos Finalizar se nos mostrará un cuadro de diálogo resumen de nuestra nueva tarea, en donde
podremos modificar lo que acabamos de hacer o no. Si no seleccionamos esta casilla y pulsamos
Finalizar habremos terminado la programación.
247
Terminada la programación de la tarea, podremos ver que en la parte central de la pantalla del Pro-
gramador de Tareas, donde indica Tareas activas, aparece nuestra nueva tarea.
Si hacemos doble clic sobre ella, podremos modificar lo que hayamos programado. Observa que en la
parte derecha de la ventana aparecen nuevos botones e iconos:
Con estas acciones podremos ejecutar directamente la tarea, pararla si está en ejecución, deshabili-
tarla, ver sus propiedades o eliminarla.
7. DELEGAR EL CONTROL Y RELACIONES DE CONFIANZA

7.1.Configuración avanzada del DNS
Como ya sabemos, las validaciones de clientes, equipos y otros tipos de configuraciones en Windows 2000
Server o superior se gestionan a través de los nombres DNS.
Esta herramienta es bastante compleja de administrar, pero al menos tenemos que configurar la parte
específica para que varios controladores de dominio puedan tener conectividad entre ellos, a nivel de DNS,
y así poder, entre otras cosas, establecer relaciones de confianza.
Para configurar el servicio DNS, lo ejecutaremos desde Herramientas administrativas. Se abrirá una
pantalla como la siguiente:
248
En esta pantalla, seleccionaremos el nombre de equipo asociado al dominio, SERVEPEQUE en nuestro

caso, y con el botón derecho del ratón seleccionaremos sus Propiedades. En esta pantalla haremos clic en
Reenviadores para añadir nuevos equipos en los que se está ejecutando otro servidor DNS de tal forma que
entre ambos servidores DNS puedan ponerse en contacto.
En el cuadro de diálogo siguiente tendremos que agregar la lista de direcciones IP de otros controla-
dores de dominio, siempre y cuando pertenezcan a otro bosque. Si pertenecen al mismo bosque no es nece-
sario pero conveniente, y si pertenecen a otro bosque entonces sí es obligatorio.
Pulsaremos en Editar y se mostrará una pantalla como la siguiente, en la que introduciremos el nombre
DNS de otro dominio al que queremos agregar a la lista de reenviadores. El nombre lo introduciremos en
donde indica <Haga clic aquí para agregar una dirección IP o un nombre DNS>.
Pulsaremos Enter y en la parte central de la pantalla se mostrará información del siguiente tipo:
 √. Indica que la consulta al otro servidor se ha realizado correctamente y es válida.
 X. Indica que la consulta realizada al otro servidor no se ha podido completar.
Seleccionaremos las consultas incorrectas y pulsaremos en Eliminar. Cuando solamente tengamos

consultas válidas a otros controladores de dominio, pulsaremos Aceptar tal y como vemos en la pantalla
anterior y habremos terminado el proceso.
Esta operación la tendremos que hacer en cada servidor DNS que tengamos en nuestra empresa y que
queramos que se comunique con el resto.
Para comprobar que el servicio de DNS funciona correctamente de un servidor a otro, ejecutamos un
terminal (escribir cmd en Inicio > Iniciar búsqueda y pulsar Enter) y con el comando ping comprobaremos
que hay conectividad por:
 IP. Escribiendo c:\>ping 192.168.1.1, siendo esta la IP del otro dominio.
249
 Nombre de equipo. Escribiendo c:\>ping SERVERMADRID, siendo éste el nombre del otro do-
minio.
 Nombre DNS. Escribiendo c:\>ping principal.madrid.es, siendo este el nombre DNS del otro do-
minio.
Si al ejecutar cada uno de estos tres comandos, aparece un mensaje que dice que la solicitud de ping
no pudo encontrar el host, es que no hemos realizado bien la operación. Deberemos, entonces, comprobar
las direcciones IP, el nombre del equipo, el nombre de dominio y mirar si están habilitados los servicios de
red de ambos controladores de dominio con los que estamos trabajando en este momento.
A partir de este momento, ya tendremos configurados los servicios DNS para permitirnos establecer
comunicación entre dominios.
Para gestionar los clientes, el servicio DNS no hay que cambiar nada; eso sí, recordemos que cuando
integremos un equipo en el dominio, el equipo tiene que estar apuntado como servidor DNS principal a la IP
del controlador de dominio, y poco más.
7.2.Las relaciones de confianza

Si tenemos varios dominios (por ejemplo, departamentos), y los usuarios necesitan recursos de varios domi-
nios, ¿tendremos que crear una cuenta de usuario en cada dominio? Por ejemplo, el usuario del domino
jefes.local, ¿cómo puede acceder a los datos del dominio ventas.local? Para eso, ventas.local tiene que con-
fiar en jefes.local.
Las relaciones de confianza entre dominios permiten que los usuarios de un dominio sean autentica-
dos por un controlador de dominio de otro dominio. Una relación de confianza es una relación establecida
entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los Controladores
de Dominio de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio,
y a los administradores definir los permisos y derechos de usuario para los usuarios del otro dominio.
Windows Server en todas sus versiones soporta varios tipos de relaciones de confianza que veremos
posteriormente. Al margen de su uso, los diferentes tipos de relaciones se diferencian en función de tres
rasgos característicos:
 Método de creación. Algunos tipos de relaciones de confianza se crean de forma automática
(implícita) y otros de forma manual (explícita).
 Dirección. Algunos tipos de relaciones son unidireccionales y otras bidireccionales. Si la relación
es unidireccional, los usuarios del dominio A (de confianza) pueden utilizar los recursos del do-
minio B (que confía), pero no al revés. En una relación bidireccional, ambas acciones son posi-
bles.
 Transitividad. Algunos tipos de relaciones son transitivas y otras no. Una relación de confianza
transitiva es aquella que permite que si un dominio A confía en otro B, éste confía en un tercero
C, entonces, de forma automática. A confía en C. En las relaciones no transitivas, la confianza
entre A y C tendría que añadirse explícitamente.
Las relaciones de confianza sirven para establecer comunicación entre varios controladores de domi-
nio, con el fin de poder administrar desde un solo punto de la red a todos los usuarios y recursos que tengas.
En una red que consista en dos o más dominios, cada dominio actúa como una red por separado con
su propia base de datos de cuentas. Incluso en las organizaciones más jerarquizadas, algunos usuarios de un
dominio necesitarán utilizar algunos o todos los recursos del otro dominio. La solución usual para la configu-
ración de niveles de accesos de usuario entre dominios es lo que se llama relación de confianza.
Entre dos o más dominios se pueden establecer las siguientes relaciones de confianza:
 Relaciones entre dominios sin confianza. Es posible tener múltiples dominios sin confianza al-
guna. Por ejemplo, un usuario individual podría tener una cuenta separada para cada dominio
en una red de múltiples dominios.
250
 Relaciones de confianza unidireccionales. Para complacer a un usuario que necesita acceder a

ambos dominios se puede establecer una relación de configuración unidireccional entre ambos
dominios, siendo ésta el tipo más simple de relación de confianza.
 Relaciones de confianza bidireccionales. Permiten una mayor flexibilidad en el acceso de los
usuarios a los recursos y hacen la administración de la red mucho más fácil. En una relación de
confianza bidireccional, un usuario que se conecte con éxito a uno de los dominios será consi-
derado auténtico por el otro dominio. El usuario tendrá entonces acceso a los recursos de ambos
dominios hasta el punto concedido al usuario por el Administrador de cada dominio. Por tanto,
una relación de confianza bidireccional se crea estableciendo dos relaciones de confianza unidi-
reccionales, una en cada dirección.
En la siguiente figura podemos ver relaciones de confianza totales entre dominios:
En Windows Server 2000/2003/2008, se parte de una estructura en la que dos o más dominios pueden
pertenecer al mismo árbol de dominios y al mismo bosque. También puede ocurrir que pertenezcan a dife-
rentes árboles de dominios pero al mismo bosque.
Los dominios de Windows Server del mismo bosque comparten relaciones de confianza transitivas
unos con otros. Hay una confianza transitiva implícita entre los dominios raíz entre cada árbol del bosque de
Windows Server. También existe una confianza transitiva implícita entre todos los dominios contiguos de un
único árbol.
7.2.1. CONFIANZAS EXPLÍCITAS

Las relaciones de confianza explícitas son las creadas por los propios usuarios con la herramienta Dominios
y Confianzas de Active Directory. Para crear una relación de confianza explícita, es necesario conocer el
nombre de los dominios, y tener una cuenta con permisos de Administrador en cada dominio. A cada con-
fianza se le asignará una contraseña.
251
7.2.2. RELACIONES DE CONFIANZA UNIDIRECCIONALES
7.2.2.1.Relaciones de confianza unidireccionales intransitivas
7.2.2.2.Relaciones de confianza unidireccionales transitivas
252
7.2.3. RELACIONES DE CONFIANZA BIDIRECCIONALES
7.2.3.1.Relaciones de confianza bidireccionales intransitivas
7.2.3.2.Relaciones de confianza bidireccionales transitivas
253
7.2.4. RELACIONES DE CONFIANZA EN UN BOSQUE

Entre árboles se crean relaciones de confianza bidireccionales y transitivas:
 Dentro de un árbol. Entre el dominio raíz y los dominios secundarios. También entre cada do-
minio y sus dominios secundarios.
 Dentro de un bosque. Entre el dominio raíz del bosque y el dominio raíz de cada árbol.
Las solicitudes de autenticación dentro del bosque siguen las rutas de confianza.
7.2.5. ESTABLECER LA RELACIÓN DE CONFIANZA

Vamos a otorgar relaciones de confianza bidireccionales de dos en dos dominios. En nuestro caso, nosotros
trabajaremos con los dominios principal.peque.es y principal.madrid.es.
 Seleccionaremos el domino desde el que queremos crear la relación de confianza, en nuestro
caso desde principal.peque.es, y pulsaremos en Inicio > Herramientas administrativas > Domi-
nios y confianzas de Active Directory.
 Se mostrará una pantalla como la siguiente. En nuestro caso vamos a establecer la relación de
confianza con el dominio principal.madrid.es.
254
 En la figura de la pantalla anterior, seleccionaremos nuestro controlador de dominio, en el ejem-

plo principal.peque.es. Con el botón derecho del ratón seleccionaremos Propiedades. Se mos-
trará una pantalla como la de la figura siguiente, en la que pulsaremos en la pestaña Confía.
 En este cuadro de diálogo, pulsaremos el botón Nueva confianza y se abrirá una pantalla de
bienvenida al asistente de creación de relaciones de confianza. Pulsaremos Siguiente.
7.2.5.1.Nombre de la confianza
En la nueva pantalla que se muestra, introduciremos, el nombre NetBios del dominio con el que queremos
establecer la relación de confianza, ya que si introducimos el nombre DNS la relación se establecerá a través
de Kerberos, para lo que necesitaremos otros muchos ajustes de configuración que ahora no creemos con-
veniente explicar.
Introducido el nombre NetBios del dominio con el que queremos establecer la confianza, pulsaremos
Siguiente.
7.2.5.2.Dirección de confianza
En la siguiente pantalla indicaremos el tipo de relación que queremos establecer:
 Bidireccional. Crearemos confianza de cada dominio sobre el resto, es decir, principal.peque.es
confía en principal.madrid.es y a la inversa.
 Unidireccional de entrada. Los usuarios del dominio principal.peque.es podrán ser autentifica-
dos por el domino principal.peque.es.
 Unidireccional de salida. Los usuarios del dominio principal.madrid.es podrán ser autentifica-
dos por el dominio principal.peque.es.
En nuestro caso, estableceremos una relación de confianza bidireccional y pulsaremos Siguiente.
7.2.5.3.Partes de la relación de confianza

En este cuadro indicaremos si queremos crear solamente la confianza en el dominio desde el que la estamos
creando, o queremos crearla también y simultáneamente en el otro dominio. Si elegimos la primera opción,
Solo este dominio, en nuestro caso principal.peque.es, posteriormente tendremos que ir al dominio princi-
pal.madrid.es y establecer una relación de confianza bidireccional con el dominio principal.peque.es.
Si elegimos la opción Ambos, este dominio y el dominio especificado, y conociendo las credenciales
del Administrador del dominio con el que estamos creando la relación de confianza, es decir, conocidas las
credenciales del Administrador de principal.madrid.es, podremos establecer la relación de confianza bidi-
reccional en los dos dominios a la vez. Seleccionaremos la segunda opción y pulsaremos en Siguiente.
255
7.2.5.4.Nombre de usuario y contraseña

Introduciremos el nombre de usuario y contraseña con privilegios en el dominio con el que estamos creando
la relación de confianza, ya que lo que estamos intentando hacer es crear la relación en ambos dominios.
En este caso introduciremos el nombre de un usuario que en el dominio principal.madrid.es tenga
privilegios para hacer esta operación, normalmente el Administrador. Introducimos la contraseña y pulsare-
mos Siguiente.
Se mostrará una pantalla en la que se indica que Se ha completado la relación de confianza mostrán-
donos información de los detalles.
Pulsaremos Siguiente y en la nueva pantalla que aparece indicando Se completó la relación de con-
fianza pulsaremos Siguiente.
A continuación, si hemos creado la relación de confianza en el otro dominio, se mostrarán dos pantallas
como la de la figura anterior en la que se nos pregunta si queremos comprobar la relación de confianza
entrante y saliente. Indicaremos que Sí, confirmar la confianza entrante (saliente).
Pulsaremos Finalizar en la última pantalla que nos indica que todo ha ido de forma correcta, y podre-
mos observar que en la pantalla de Propiedades del dominio aparece creada la relación de confianza.
Iremos al otro dominio, en nuestro caso iremos a principal.madrid.es y verificaremos que la relación
de confianza se ha creado también. Para ello procederemos de la misma forma que lo hemos hecho hasta
llegar a la pantalla de Propiedades del dominio. Haremos clic en la relación de confianza creada (la de la parte
superior) y haremos clic en Propiedades. Veremos una pantalla como la siguiente, en la que se indican las
características de la relación de confianza que hemos creado.
256
En esta pantalla podremos ver cuando lo deseemos, pulsando el botón Validar e introduciendo el nom-
bre de usuario y contraseña del otro dominio, si la relación de confianza está activa.
Una vez creada la relación de confianza podremos administrar cada domino desde el otro, sin tener
que estar físicamente situado en él.
Si queremos eliminar una relación de confianza, sencillamente lo seleccionaremos, desde cualquiera
de los dos dominios, y pulsaremos el botón Quitar. Podremos quitarla solamente de nuestro dominio o de
los dos a la vez. Si queremos quitar la relación de confianza de los dos dominios, haremos clic en el botón de
radio, Sí, quitar la relación de confianza del dominio local y del otro dominio. Introduciremos las credencia-
les del Administrador del otro dominio, y pulsaremos Aceptar. De esta forma la relación de confianza se
elimina de ambos dominios. Eso sí, tendremos que eliminar, tanto la entrante como la saliente.
7.3.Administrar dominios con relaciones de confianza explícitas

Una vez establecidas las relaciones de confianza, cuando estemos realizando cualquier operación de admi-
nistración, podremos cambiar de dominio desde el que estemos trabajando. De esta forma podremos crear
Unidades Organizativas, usuarios, grupos, equipos, etc., en nuestro dominio y en el otro con el que tenemos
establecida la relación de confianza, sin movernos del equipo.
Para administrar un controlador de dominio desde otro, ejecutaremos la herramienta Usuarios y equi-
pos de Active Directory. Veremos que se muestra nuestro dominio en la raíz de la consola de la izquierda de
la pantalla. Desplegando los elementos accederemos a las unidades organizativas que tenemos creadas, en
las que hay usuarios, grupos, etc.
Administrar los objetos del otro dominio es tan sencillo como situarnos en la parte de la raíz de la
consola de la siguiente figura, en la que se indica Usuarios y equipos de Active Directory, y con el botón
derecho del ratón seleccionaremos la opción Cambiar dominio.
Introduciremos el nombre DNS del nuevo dominio, en nuestro caso principal.madrid.es, ya que esta-
mos situados en principal.peque.es, y pulsaremos Aceptar. Veremos que ahora la consola muestra informa-
ción de Usuarios y equipos de Active Directory del otro dominio, pudiendo realizar las mismas operaciones
que si estuviéramos que es la delegación de control, que veremos en el punto siguiente. Es muy importante
que las contraseñas de los usuarios administradores de los dos dominios sea la misma.
7.4.Delegación de control en dominios

Ya hemos instalado relaciones de confianza y acabamos de ver de qué forma podemos, en teoría, administrar
otro dominio con el que hemos establecido la relación de confianza.
Pero si nos damos cuenta, aún no podemos administrar realmente un dominio diferente al nuestro, a
pesar de tener todo lo anterior hecho.
257
Para poder realmente administrar otro dominio con el que hemos establecido una relación de con-
fianza, tendremos que indicar qué usuarios del dominio en el que estamos pueden administrar el dominio
con el que hemos establecido las relaciones de confianza.
La operación de delegación consiste en lo siguiente:
 Hemos creado una relación de confianza entre el dominio principal.peque.es con el dominio
principal.madrid.es. Esta relación es bidireccional externa.
 Hemos configurado el servidor DNS añadiendo al otro u otros dominios como Reenviadores de
consultas DNS.
 Sabemos cómo combinar de dominio para poder administrar desde principal.peque.es el domi-
nio principal.madrid.es.
 No podemos crear nuevos usuarios, ni grupos ni unidades organizativas ya que aún no hemos
delegado el control.
Si lo que queremos es que el dominio principal.madrid.es pueda ser administrado desde principal.pe-
que.es tendremos que realizar los siguientes pasos:
 Ir al dominio principal.madrid.es y ejecutar la herramienta Usuarios y equipos de Active Direc-
tory.
 En la parte de la consola de la figura anterior, en la que se indica el nombre DNS del equipo,
pulsaremos con el botón derecho del ratón en Delegar control. Se mostrará una pantalla de
inicio del asistente. Pulsaremos Siguiente.
 En la siguiente pantalla, si no aparece nada, es que nadie podrá administrar este dominio desde
otro, es decir, el dominio principal.madrid.es no puede ser administrado por nadie. Haremos
clic en el botón Agregar para añadir usuarios de otros dominios que puedan administrar el do-
minio principal.madrid.es.
 En la siguiente pantalla, haremos clic en Ubicaciones y se aparecerá la pantalla de la figura si-
guiente, en la que seleccionaremos de la lista de dominios aquel en el que esté el usuario al que
queremos delegar el control. En nuestro caso seleccionaremos el dominio principal.peque.es.
Pulsamos Aceptar > Avanzadas > Buscar ahora y se muestra una lista de todos los usuarios del dominio
principal.peque.es. Seleccionaremos el grupo, usuario o usuarios a los que queremos delegar el control y
pulsaremos Aceptar y Aceptar. Aparecerá una pantalla en la que se muestra la lista de usuarios y grupos del
otro dominio a los que delegamos el control en nuestro dominio, es decir, aparecerá una lista de usuarios y
grupos del dominio principal.peque.es al que delegamos el control en el dominio principal.madrid.es.
Al pulsar Siguiente, aparecerá una pantalla como la siguiente, en la que seleccionaremos las tareas
que se delegarán a todos y cada uno de los usuarios y grupos anteriores.
258
Seleccionaremos las deseadas y pulsaremos Siguiente. Al menos delegaremos las tareas relacionadas
con la gestión de usuarios, pero eso dependerá de lo que deseemos.
Si seleccionamos todas ellas, realmente podremos hacer casi todo en el otro dominio. Pulsamos Fina-
lizar y la delegación ya está realizada.
Para comprobar que funciona, iremos al dominio principal.peque.es y ejecutaremos la herramienta
de Usuarios y equipos de Active Directory y comprobaremos que podemos trabajar de la misma forma que
si estuviéramos en principal.madrid.es.
259

TEMA 6 Parte 2 - ISO

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TEMA 6 Parte 2 - ISO

Cargado por

Copyright:

Formatos disponibles

TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos

DE WINDOWS SERVER 2008

5. EQUIPOS Y RECURSOS COMPARTIDOS EN RED

5.1.2. INTEGRACIÓN DE CLIENTES WINDOWS A UN DOMINIO

1. Obtener una dirección IP automáticamente. Solamente en el caso de que tengamos en nuestra

5.1.2.2. Unir un cliente Windows a un dominio

5.1.3. INICIAR SESIÓN CON UN CLIENTE WINDOWS EN EL DOMINIO O DE

5.2. Gestión de los recursos compartidos en red

5.2.2. RECURSOS COMPARTIDOS ESPECIALES

5.2.3. COMPARTIR ARCHIVOS DESDE CUALQUIER CARPETA DEL EQUIPO

5.2.4. COMPARTIR ARCHIVOS DESDE LAS CARPETAS PÚBLICAS

5.2.5. CONEXIÓN A RECURSOS COMPARTIDOS

5.2.6. ELIMINAR RECURSOS COMPARTIDOS

5.2.7. SEGURIDAD DE ACCESO. PERMISOS

5.2.8. PERMISOS DE LOS RECURSOS COMPARTIDOS

Se puede controlar el acceso a los recursos compartidos de las siguientes maneras:

5.2.9. ASIGNACIÓN DE PERMISOS DE CARPETAS COMPARTIDAS

Seleccionaremos el usuario o grupo deseado y en la parte inferior de la ventana indicaremos si Permi-

5.2.10. COMPARTIR RECURSOS EN LOS EQUIPOS CLIENTES DE

5.3. Gestión de impresoras compartidas en red

5.3.2. INSTALACIÓN DE UNA IMPRESORA (EN RED)

5.3.3. CONFIGURACIÓN DE IMPRESORAS COMPARTIDAS EN RED

Veamos lo que se puede hacer en cada una de sus pestañas.

 General. Información de la impresora, nombre, ubicación, etc.

Capacidades Sin Imprimir Administración Control

Grupos Pueden administrar impresoras

Para Haremos esto Situación

En propiedades de la impresora podemos ver las siguientes pestañas:

6. PERFILES Y HERRAMIENTAS DE ADMINISTRACIÓN

6.1.1. CREACIÓN Y ADMINISTRACIÓN DE PERFILES MÓVLES DE USUARIO

5. En Ruta de acceso al perfil, teclearemos \\nombre_equipo_controlador_dominio\car-

6.1.2. ELEMENTOS DE LA FICHA PERFIL

Si queremos modificar nosotros el tamaño, desmarcaremos la casilla 1 y seleccionaremos el botón de

6.2.2. AUTOMATIZACIÓN DE TAREAS

7. DELEGAR EL CONTROL Y RELACIONES DE CONFIANZA

En esta pantalla, seleccionaremos el nombre de equipo asociado al dominio, SERVEPEQUE en nuestro

Seleccionaremos las consultas incorrectas y pulsaremos en Eliminar. Cuando solamente tengamos

7.2.Las relaciones de confianza

 Relaciones de confianza unidireccionales. Para complacer a un usuario que necesita acceder a

En la siguiente figura podemos ver relaciones de confianza totales entre dominios:

7.2.1. CONFIANZAS EXPLÍCITAS

7.2.2. RELACIONES DE CONFIANZA UNIDIRECCIONALES

7.2.2.1.Relaciones de confianza unidireccionales intransitivas

7.2.2.2.Relaciones de confianza unidireccionales transitivas

7.2.3. RELACIONES DE CONFIANZA BIDIRECCIONALES

7.2.3.1.Relaciones de confianza bidireccionales intransitivas

7.2.3.2.Relaciones de confianza bidireccionales transitivas

7.2.4. RELACIONES DE CONFIANZA EN UN BOSQUE

7.2.5. ESTABLECER LA RELACIÓN DE CONFIANZA

 En la figura de la pantalla anterior, seleccionaremos nuestro controlador de dominio, en el ejem-

En nuestro caso, estableceremos una relación de confianza bidireccional y pulsaremos Siguiente.

7.2.5.3.Partes de la relación de confianza

7.2.5.4.Nombre de usuario y contraseña

7.3.Administrar dominios con relaciones de confianza explícitas

7.4.Delegación de control en dominios

También podría gustarte