Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
5.1.Introduccin..........................................................................................................................2
5.1.1.Ventajas.........................................................................................................................3
5.1.2.Arquitectura...................................................................................................................3
5.1.3.Definiciones....................................................................................................................4
5.2.InstalacindelcontroladordeDominio...............................................................................6
5.2.1.Tareasprevias................................................................................................................6
5.2.2.Instalacin......................................................................................................................6
5.2.3.PostInstalacin..............................................................................................................9
5.3.Administracindeldirectorioactivo.....................................................................................9
5.3.1.HerramientasAdministrativas.......................................................................................9
5.2.3.Administracinbsicadeobjetos................................................................................10
5.3.2.1.Unidadesorganizativas.........................................................................................10
5.3.2.2.Usuarios................................................................................................................11
5.3.2.3.Equipos..................................................................................................................12
5.4.Administracindedirectivasdegrupo...............................................................................13
5.4.1.Directivasdeseguridad.................................................................................................13
Tipos....................................................................................................................................13
Configuracin......................................................................................................................14
Aplicacin............................................................................................................................15
5.4.2.Directivasdegrupolocal..............................................................................................15
5.4.3.Administracindedirectivasdegrupo........................................................................16
Tema5:DirectorioActivo(Windows2008)
Pgina 1
5.1. Introduccin
EnunentornoderedWindowsnormal,unusuariopuedeiniciarsesinenlaredconun
nombredeusuario,digamosmperez,yunacontrasea.Asumiendoquetienelospermisos
necesarios,mperezpuedepulsarconelratnenEntornoderedoconectarseaunaunidadde
redybuscarlosficherosquenecesite.
Todoestofuncionamuybienhastaqueelmbitodelaredcambia.Laempresaintroduce
correoelectrnico,ymperezobtieneotraidentidad(mariaperez@empresa.com).Los
servicios,basesdedatosyherramientasadministrativasadicionalescadaunoidentificandoa
mperezdeunaformaligeramentedistintanecesitanseraccesiblesporelmismousuario.
Cuandoseconsideraquetodoestoessloparaunoscientoseinclusomilesdeusuarios,no
cuestaverlodifcilderesolverquepuedenresultarloserroresquepuedenpresentarse.A
medidaqueelnmerodeobjetosenunaredcrece,losserviciosdeDirectorioActivode
Microsoft(odominio)sevuelvenesenciales.
Undominioconsisteenunaagrupacindemquinasyusuarios.Cuandounusuarioseconecta
alared,debeseleccionareldominioalquequiereentrareintroducirsusdatosdeusuario.Al
serautentificadoenundominio,elusuariotienedisponiblestodoslosrecursosdadosdealta
endichodominio,sintenerqueautentificarseencadaunodelosservidoresqueformenparte
dedichodominio.Lagestindeundominioserealizadeformacentralizada,yaquela
informacindetodoslosintegrantesdesteestenunabasededatosalmacenadaenel
ControladorPrincipaldeDominio(PDC).
LosServiciosdeDominiodeActiveDirectory(ADDS,oDirectorioActivo)sonlabaseparala
infraestructuradeunaredbasadaenMicrosoftWindows.Msconcretamenteproporcionalos
mecanismospara:
Losserviciosdeldirectorioactivopermiten:
Almacenarinformacinacercadeusuarios,equiposyotrosdispositivosy
serviciosdelareddelaempresadeformacentralizada.
Autenticarusuariosyequipos.
Permitirodenegarelaccesodeunusuariooequipoaunrecursodered.
Facilitaralosusuarioslabsquedadeimpresoras,recursoscompartidosy
otrosusuarios.
Undirectorioesunaestructurajerrquicaquealmacenainformacinacercadelos
objetosexistentesenlared.
Unserviciodedirectorio,comoActiveDirectory,proporcionamtodospara
almacenarlosdatosdeldirectorioyponerlosadisposicindelosadministradoresylos
usuariosdelared.
Tema5:DirectorioActivo(Windows2008)
Pgina 2
Porejemplo,ActiveDirectoryalmacenainformacinacercadelascuentasdeusuario
(nombres,contraseas,nmerosdetelfono,etc.)ypermitequeotrosusuarios
autorizadosdelamismaredtenganaccesoaesainformacin.
5.1.1. Ventajas
Seguridaddelainformacin.Elcontroldeaccesosepuededefinirnosloporcada
objetodeldirectorio(p.e.usuario,equipo),sinotambinporcadaunadelas
propiedadesdelobjeto.
Administracinbasadaendirectivas.Comoestructuralgicaproporcionauna
jerarquadecontextosenlosquesepuedenaplicarlasdirectivas.Comodirectorio,
almacenalasdirectivas(objetosdedirectiva)quepermitenestablecer:
Elaccesoaobjetosdedirectorioyrecursosdeldominio
Qurecursosdeldominio,comoaplicaciones,estndisponiblesparalos
usuarios
Cmoseconfiguranesosrecursosparasuutilizacin
Capacidaddeampliacin.Puedeampliarseyaquelosadministradorespuedenaadir
nuevasclasesdeobjetosynuevosatributosdalasclasesyaexistentes.
Porejemplo,puedeagregarelatributoCapacidaddecompraalobjetoUsuario.
Escabilidad.Puedeincluirvariosdominios,cadaunoconvarioscontroladoresde
dominio.
Replicacindelainformacin.Proporcionaladisponibilidaddelainformacin,
toleranciaaerrores,equilibriodecargaymejorasderendimientoparaelDA.
IntegracinconelDNS.UtilizaelservicioDNSparatraducir:
nombresdelosequipos<>IPs
Interoperabilidadconotrosservidores.DadoqueelDAestbasadoenprotocolos
estndardeaccesoadirectorios,comoelLDAPpuedeinteroperarconotrosservicios
dedirectorioqueutiliceneseprotocolo.
Consultasflexibles.SepuedeutilizarelcomandoBuscarparabuscarcualquierobjeto
delDA.
5.1.2. Arquitectura
Tema5:DirectorioActivo(Windows2008)
Pgina 3
Directivas de Grupo:
Aplicadas a los usuarios,
equipos UOs y Grupos
Dominio
Juan
administra
impresoras
Directiva 1
Cuota de disco
Mara
administra
esta UO
Directiva 2
Configuracin de escritorio
Usuario 3
Usuario 1
Impresora 1
Usuario 4
Usuario 2
Impresora 2
Ordenador 1
5.1.3. Definiciones
ParapoderadministrarunDirectorioActivohayquetenerclaroslossiguientesconceptos:
BBDDdelDirectorioActivo.Esdondeseguardatodalainformacindelosobjetosdeldominio
(usuarios,equipos,grupos,etc.).
Controladordedominio.Esunservidorquemantienelabasededatosdeusuariosdel
dominio.Atravsdelasherramientasdeadministracinsepuedenadministrarlosusuarios,
grupos,equipos,permisosdeldominio.
Dominio.Unidadadministrativaqueagrupausuarios,equipos,grupos,etc.
Bosque.Coleccindeunoomsdominios.Alprimerdominiodelbosqueselellamadominio
raz.Unbosqueesunainstancianicadeldirectorio.Ningndatodeldirectoriosereplica
fueradeloslmitesdelbosque.
rboles.LosrbolessonelresultadodirectodelosnombresDNSelegidosparalosdominios
delbosque.Siundominioessubdominiodeotro,ambossonconsideradoselmismorbol
(p.e.miempresa.comyalmeria.miempresa.com).Si,porelcontrario,losdosdominiosse
llamanmiempresa.comymiotraempresa.com,alnotenerunespaciodenombrescontiguo,se
tienendosrbolesdiferentes.
Nivelfuncional.Lafuncionalidaddeundominoobosquedependedelamnimaversindel
sistemaoperativoqueutilizanloscontroladoresdedominio.Porejemplo,sidisponedeuna
redconuncontroladordedominioconWindows2003yotroconWindows2008,elnivel
funcionalesparaservidoresWindows2003.
Tema5:DirectorioActivo(Windows2008)
Pgina 4
Relacindeconfianza.Indicalaconfianzaquetieneundominiosobreotroparaaceptarsus
polticasdeseguridad.
Relacindeconfianza.Unaconfianzadedominioesunarelacinestablecidaentredos
dominiosquepermiteauncontroladordedominioautentificaralosusuariosdeotro
dominio.Todaslasrelacionestienenlugarentredosdominios:elqueconfayenelquese
confa
n de acc
cci
es
e
r
o
Di
Direccin de confianza
Dominio que confa
(Recurso)
Equipo.Ordenadorqueseencuentradadodealtaeneldominio.
Servidorautnomo.OrdenadorqueNOseencuentraeneldominioyporlotantosu
administracinesindependientealdominio.
Unidadorganizativa.Agrupacindeusuarios,gruposoequiposquepermiteobteneruna
mejorrepresentacindelesquemadeldirectorioactivoparaqueseasemejemsala
realizadad.
Tema5:DirectorioActivo(Windows2008)
Pgina 5
ElnombredeldominioyelnombreDNS.Igualmenteelnombrenetbios.
Elnivelfuncionaldeldominiosegnlaversindelsistemaoperativodelosservidores
queformaneldominio.
LoscontroladoresdedominiorequierenunaIPyunamscaradesubredfijas.
ElcontroladordedominiodebetenerunservidorDNSquerealicelaresolucinde
nombres.Sirealizalainstalacindeunnuevobosque,elasistenteinstala
automticamenteelroldeservidorDNS.
ElservidorqueactadecontroladordedominiodebetenerunaparticinNTFS.
5.2.2. Instalacin
PararrealizarlainstalacindelDirectorioActivodeberealizarlossiguientespasos:
1. InicielaherramientaadministrativaAdministradordelservidor,pulseenlaopcin
RolesyhagaclicenAgregarroles.Elasistentemuestralosserviciosquetiene
instaladosenelsistema.SeleccioneelservicioServiciosdedominiodeActive
DirectoryypulseSiguiente.Ademsdeutilizarelasistentepuedeiniciarlainstalacin
delDirectorioActivoejecutandoelsiguientecomandodcpromo.
2. Elsistemamuestrainformacinacercadelservicio.PulseSiguienteyconfirmeque
desearealizarlainstalacin.Acontinuacinseiniciaelasistentedeinstalacinde
Tema5:DirectorioActivo(Windows2008)
Pgina 6
ServiciosdedominiodeActiveDirectoryparadarfuncionalidadcompletaalservidor
comocontroladordedominio.
3. Trasunapginadebienvenidaelasistentepreguntalaaccinquedesearealizar:
Creareldominioenunbosqueexistente.Dentrodeestaopcinhayotrasdos:
AgregarelcontroladordedominioaundominioexistenteobienCrearundominio
nuevo.Conlaprimeraopcinsereplicarlainformacindeldirectoriodeldominio
existenteysiseleccionalasegundaopcin,elcontroladorseconvierteenel
primercontroladordedominiodelnuevodominio,yofrecelaposibilidaddecrear
unarazderboldedominionuevaenlugardeunnuevodominiosecundario.Los
dominiossecundariossoninteresantesporejemploparacrearunnuevodominio
denominadooficina.empresa.comcomoundominiosecundariodeldominio
empresa.com.Siseleccionaestaopcin,elsistemalepreguntalosdatosde
usuariodeladministradordeldominioprincipal.
Creareldominioenunnuevobosque.Seleccioneestaopcinsisteeseldominio
principaldesuorganizacinosideseaqueeldominionuevoseacompletamente
independientedelbosqueactual.
4. Paraidentificarelcontroladordedominioenlaredhayqueespecificarelnombredel
dominiocompleto(FQDN).Estenombrenotieneporquserelmismoqueelnombre
dedominioqueutilizalaorganizacinparasupresenciaenInternet.Tampoconecesita
estarregistradoenInternet.Noobstante,elempleodeunnombrededominio
registradoresultaconvenientesilosusuariosderedvanateneraccesoalosrecursos
deInternetsimultneamenteconlosrecursosdelaredlocalosilosusuariosexternos
alaorganizacinvanateneraccesoalosrecursosderedlocalatravsdeInternet.
5. Acontinuacin,elsistemasolicitaelnivelfuncionaldelbosquedependiendodela
versindelsistemaoperativoquetenganlosservidoresmiembros(Windows2000,
2003,2008o2008R2).Esimportanteseleccionarelnivelmsaltoposibleyaquepor
ejemplo,siseleccionaWindowsServer2003,algunascaractersticasavanzadasen
controladoresdedominiosqueutilizaWindowsServer2008noestarndisponibles.
6. Unavezintroducidoelnombrededominioyseleccionadosunivelfuncionalpuede
seleccionaropcionesadicionalescomoservidorDNS,catlogoglobalocontroladorde
Tema5:DirectorioActivo(Windows2008)
Pgina 7
dominiodeslolectura(RODC).Elprimercontroladordedominiodeunbosquedebe
serunservidordecatlogoglobalynopuedeserunRODC.Adems,serecomiendala
instalacindelservidorDNSenelprimercontroladordedominio.
7. Establezcalascarpetasdondeseguardanlabasededatos,elregistrodeActive
Directoryylaubicacindelvolumendelsistemacompartido(SYSVOL).Lacarpeta
SYSVOLalmacenalacopiadelservidordearchivospblicosdeldominio.Elcontenido
deestacarpetasereplicaentodosloscontroladoresdedominioeneldominio.Pulse
Siguienteparacontinuar.
8. Especifiquelacontraseadeadministracindemododerestauracindeserviciode
directorioypulseSiguiente.
9. Elasistentemuestraunresumendetodaslasopcionesseleccionadas.Revisey
confirmelasopcionesypulseSiguiente.
Tema5:DirectorioActivo(Windows2008)
Pgina 8
Notas:
UnavezpuestoenmarchaelDirectorioActivosiquieredarleunamayor
redundanciaalsistemapuedeaadircontroladoresdedominioadicionales.
Sideseadegradaruncontroladordedominioaservidormiembroejecuteel
comandodcpromoyrealicelospasosqueleindicaelasistente.
5.2.3. PostInstalacin
ComoelDirectorioActivonecesitautilizarunservidordenombresesrecomendablequeenel
servidordenombresactivelosreenviadoresparaquelosclientespuedanresolvercualquier
dominio.Paraactivarlosreenviadores,enlaherramientaadministrativaServidorDNS
seleccioneelservidor,pulseelbotnderecho,seleccionePropiedadesyenlapestaa
ReenviadoresespecifiquevariosservidoresDNSpblicosdeconfianza.
UsuariosyEquiposdeActiveDirectory.Permiterealizarlastareasdiariascon
usuarios,grupos,equipos,impresoras,carpetascompartidas,etc.
SitiosyServiciosdeActiveDirectory.Permiteadministrarlareplicaciny
temasrelacionadosconlatopologadelared.
DominiosyConfianzas.Permiterealizarlasrelacionesdeconfianzaylos
nivelesfuncionalesdeldominioydelbosque.
Tema5:DirectorioActivo(Windows2008)
Pgina 9
Acontinuacinsevaavercmoserealizalaadministracindelosdiferentesobjetosdel
DirectorioActivo.
Tema5:DirectorioActivo(Windows2008)
Pgina 10
5.3.2.2. Usuarios
Representaentidadesfsicas,comopersonas.Alcrearlasselesasignaautomticamente
identificadoresdeseguridad(SID),quesepuedeusarparaobteneraccesoarecursosdel
dominio.
Unacuentadeusuario:
Autentificalaidentidaddeunusuario.Permitequeunusuarioiniciesesinen
equiposydominiosconunaidentidadqueeldominiopuedaautentificar.
Autorizaodeniegaelaccesoalosrecursosdeldominio.Despusdeautenticarun
usuario,esposibleconcederleodenegarleelaccesoalosrecursosdeldominioen
funcindelospermisosasignadosenelrecurso.
Paraadministrarlosusuariosygruposdeusuariosenuncontroladordedominiotieneque
utilizarlaherramientaadministrativaUsuariosyequiposdeActiveDirectory.Unadelas
ventajasdeutilizarelDirectorioActivoesquesepuedecentralizartodalainformacindelos
usuariosdelaempresa,deformaquecualquierusuariopuedeaccederasucuentayasus
datosdesdecualquierequipo.
.
Tema5:DirectorioActivo(Windows2008)
Pgina 11
5.3.2.3. Equipos
LascuentasdeequiposdeundominiodelDirectorioActivo,aligualquelosusuarios,son
entidadesdeseguridadquerepresentanalosequiposfsicos.
Paradardealtaunequipoeneldominiovayaalequipo,pulseMiPC,Propiedadesyenla
pestaaNombredeequipopulseenCambiaryescribaelnombredeldominioalquedesea
conectarse.PulseSiguienteyacontinuacinelsistemalesolicitaunnombredeusuarioy
contraseaconsuficientespermisosparadardealtaunequipoeneldominio.
Nota:
ElequipoclienteenlaconfiguracinTCP/IPdebetenercomoservidorDNSladireccinIPdel
directorioactivo.
Tema5:DirectorioActivo(Windows2008)
Pgina 12
Unavezdadodealtaeneldominio,steaparecerenlaseccinComputer.Siseleccionael
equipopuederealizarlasaccionesmsimportantescomoversuspropiedadesoadministrarlo
deformaremota.
Tipos
Paracrearunaconfiguracinespecficaparaungrupodeusuariosoequiposesnecesario
configurarunaGPO.ExistendostiposdeGPOdependiendodesumbito:
Lostiposdedirectivasson:
Tema5:DirectorioActivo(Windows2008)
Pgina 13
GPOlocales.Seutilizanprincipalmenteparalosequiposquenoformanpartedeun
directorioactivoycomosunombreindica,laGPOseaplicanicamentealequipo
local.
GPOnolocales.LasGPOnolocalessecreanenelDirectorioActivoysevinculanaun
sitio,dominio,unidadorganizativa(UO),usuariosoequipos.Deestaformaesposible
establecerdirectivasqueafectenatodalaempresa,aundepartamento,grupode
usuarios,etc.
Deformapredeterminada,alconfigurarelserviciodeDirectorioactivocreandosGPOno
locales:
Directivapredeterminadadedominio.Sevinculaaldominioyafectaatodoslos
usuariosyequiposdeldominio.
Directivapredeterminadadecontroladoresdedominio.Estadirectivasevincula
nicamentealoscontroladoresdeldominio.
Puestoqueesposiblequeseproduzcanconflictosenunamismapolticaqueseencuentra
definidaendistintosGPO,esnecesarioqueexistaunordendeaplicacinconcretoyconocido
deformaqueconozcaquepolticaafectaacadausuariooequiposinambigedades.Elorden
deaplicacindelasGPOeselsiguiente:
SeaplicalaGPOlocaldelequipo
SeaplicalasGPOvinculadasalsitio
SeaplicalasGPOsvinculadasaldominio
SeaplicalasGPOvinculadasaunidadesorganizativasdeprimernivel,
posteriormentedesegundoniveletc.
Configuracin
Lasdirectivasdeseguridadseclasificanendosgrandesgrupos:
Laconfiguracindelequipoagrupatodaslaspolticasoparmetrosdeconfiguracin
quepuedenestablecerseaniveldeequipo.LasGPOqueafectanaunequipose
aplicancadavezquesereiniciaelequipo.
Laconfiguracindeusuarioagrupatodaslaspolticasoparmetrosdeconfiguracin
quepuedenestablecerseaniveldeusuario.LasGPOqueafectanaunusuariose
aplicancadavezqueelusuarioiniciasesinencualquierequipodeldominio.
Internamente,cadasubcategorasedivideen:
Directivas
o Configuracindesoftware.Permitelainstalacinautomticadesoftware.
o ConfiguracionesdeWindows,incluyendoentreotrosaspectosconfiguracin
deseguridadyejecucindescripts.
o Plantillasadministrativasqueincluyenaquellaspolticasbasadasenla
configuracindeloselementosmsimportantesdelequipo (componentesde
Windows,impresoras,paneldecontrol,redysistema).
Tema5:DirectorioActivo(Windows2008)
Pgina 14
Preferencias
o ConfiguracindeWindows.Incluyeopcionesdeconfiguracincomola
creacindevariablesdeentorno,creacindeaccesosdirectos,unidadesde
red,etc.
o Configuracindelpaneldecontrol.Incluyeopcionesdeconfiguracincomo,
porejemplo,lainstalacindedispositivoseimpresoras,usuariosygrupos
locales,opcionesdeenerga,tareasprogramadas,servicios,etc.
Aplicacin
Comohavistoanteriormente,laconfiguracindelasdirectivasdeseguridadseaplicandedos
formasdiferentes:
Paralaconfiguracindeequiposeaplicaalarrancarloyposteriormentecada90a120
minutos.
Paralaconfiguracindeusuarioseaplicaaliniciarsesinelusuarioycada90120
minutos.
Nota:
Puedeforzarlaaplicacinorefrescodelasdirectivasdegrupoutilizandoelcomando
gpupdate.
Tema5:DirectorioActivo(Windows2008)
Pgina 15
Seleccionelaunidadorganizativa.
Pulseelbotnderechoyseleccioneunadelassiguientesopciones:
o CrearunGPOenestedominioyvincularloaqu.
o VincularunGPOexistente.
Dependiendodelaopcinseleccionadaindiqueelnombredelanuevadirectivao
seleccioneladirectivaquedeseavincular.
AutomticamenteaparecelaGPOcreada.Porejemplo,enlafigura711semuestrala
GPOequiposoficinadentrodelaunidadorganizativaOficina.
Tema5:DirectorioActivo(Windows2008)
Pgina 16
Unavezquesehacreadoovinculadoladirectivadegrupo,seleccioneladirectivay
pulseEditarparapersonalizarlaGPO.
Yasehacreadolanuevadirectivadegrupo.Seleccionelanuevadirectiva,pulseel
botnderechoyseleccioneEditarparapoderpersonalizarlaGPO
Nota:Recuerdequeseaplicanlasdirectivasdegrupoalreiniciarelequipo(sies
configuracindeequipo),aliniciarsesinundeterminadousuario(siesconfiguracin
deusuario),deformaautomticacada90minutosoalejecutarelcomandogpudate.
Tema5:DirectorioActivo(Windows2008)
Pgina 17