ACTIVE DIRECTORY

Introducción

El Directorio Activo (Active Directory) es la pieza clave del sistema operativo "Windows 2008 
Server"; sin él muchas de las funcionalidades finales de este sistema operativo servidor que iremos 
viendo   (las   directivas   de   grupo,   las   jerarquías   de   dominio,   control   centralizado   de   cuentas   de 
usuario, de máquina, recursos compartidos, ...), no funcionarían.

El servicio Active Directory proporciona la capacidad de establecer un único inicio de sesión y un 
repositorio central de información para toda su infraestructura, lo que simplifica ampliamente la 
administración de usuarios y equipos, proporcionando además la obtención de un acceso mejorado a 
los   recursos   en   red.   Es   un   servicio   de   directorio,   en   el   cual   se   puede   resolver   nombres   de 
determinados recursos.

Active Directory (AD de ahora en adelante) es el servicio de directorio incluido con "Windows 
2008   Server",   y   amplia   las   características   de   los   anteriores   servicios   de   directorio   basados   en 
Windows, agregando características completamente nuevas. AD es seguro, distribuido, particionado 
y replicado. Está diseñado para funcionar perfectamente en una instalación de cualquier tamaño, 
desde sólo un servidor con algunos cientos de objetos, hasta múltiples servidores y millones de 
objetos.

Las cuentas de usuarios que gestiona Active Directory son almacenadas en la base de datos SAM 
(Security Accounts Manager), pero AD no sólo almacena información sobre los usuarios, sino que 
también   mantiene   información   sobre   servidores,   estaciones   de   trabajo,   recursos,   aplicaciones, 
directivas   de   seguridad,   etc.   Estas   características   explican   que   AD   sea   ampliamente   utilizado 
empresarialmente como DC, a pesar de que los orígenes de Windows no son los de un sistema en 
red.

Existe   una   alternativa   libre   (Samba   +   OpenLDAP),   aunque   su   configuración   es   mucho   más 
compleja. En la nueva versión de Samba (Samba 4) ya sí se soporta AD como servicio de directorio. 
Todo esto lo dejamos para este “veranito”, y lo hablamos en septiembre :).

Antes de comenzar el proceso de instalación de AD, vamos definir una serie de términos con los 
que nos encontraremos en dicho proceso:
• Controlador de Dominio.­ es un equipo "Windows 2008 Server" con AD instalado que 
almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red.
• Nombre   de   Dominio   de   una   máquina.­   Son   las   denominaciones   asignadas   a   los 
ordenadores de la red, "hosts", y "routers", que equivalen a su dirección IP.
• Árbol de Dominio.­ Es el conjunto de dominios formado por el nombre de dominio raíz 
(por   ejemplo   "AMETSIS.EDU")   y   el   resto   de   dominios   cuyos   nombres   constituyen   un 
espacio   contiguo   con   el   nombre   raíz   (por   ejemplo   si   tuviéramos   un   subdominio 
"DPTO_LENGUA", se nombraría como "DPTO_LENGUA.AMETSIS.EDU", y formaría un 
árbol de dominios con el dominio raíz).
 • Bosque de Árboles de Dominios.­ Es el conjunto de árboles de dominio que no constituyen 
un   espacio   de   nombres   contiguo   (si   nuestro   servidor   administrara   otro   dominio   raíz   de 
nombre "SERAGUL.EDU", este nuevo dominio, junto con el anterior "AMETSIS.EDU", 
formarían el bosque de árboles de dominios).

Promocionar (o ascender) un servidor Windows 2008 Server a 
Controlador de Dominio

Hasta  ahora   he usado el  dominio  AMETSIS  (palabra “sistema”  al revés). Ahora  voy a usar   el 

dominio SERAGUL (palabra “lugares” al revés). Por cambiar un poco :).

1. Inicio → Ejecutar → “dcpromo”
2. Tras hacer esto, el sistema comprueba si el servicio de directorio Active Directory está  
instalado. En caso negativo instala los binarios del servicio. Una vez instalado el servicio,  
se inicia el asistente de instalación de Servidor de Dominio.
3. Usar la instalación en Modo avanzado.
4. En   la   ventana   “Compatibilidad   de   Sistema   Operativo”   seguir   adelante.  (Lectura   del 
documento sobre “Autenticación de clientes en Windows NT4.0 y 2000”).
5. En la ventana “Elegir una configuración de implementación”,  “Crear un dominio nuevo en 
un bosque nuevo”.
6. En “Asigne un nombre al dominio raíz del bosque”, indica un nombre FQDN del dominio. 
Por ejemplo, en mi caso usaré seragul.dom (tú puedes elegir el tuyo propio).
7. Aceptar el nombre NetBIOS propuesto. En mi caso “SERAGUL”.
8. En “Establecer el nivel de funcionalidad del bosque”, hay que tener en cuenta con quién se 
va   a   entender   el   DC.   Si   se   va   a   agregar   al   dominio   otros   DC   de   versiones   anteriores 
(Windows Server 2000 o 2003), habrá que mantener la compatibilidad, a cambio de perder 
ciertas funcionalidades únicas de 2008. Nosotros elegiremos Windows Server 2008.
9. En   “Opciones   adicionales   del   Controlador   de   Dominio”,   seleccionamos   DNS.   El   DC 
necesita utilizar un servidor DNS, que vamos a instalar en el mismo servidor.
10. Se nos informa de que tenemos IP dinámica en alguna de nuestras interfaces. Probablemente 
se refiere a la configuración Ipv6. Debemos asegurarnos de que nuestra configuración ipv4 
es estática y que tenemos conectividad. Si es así, podemos hacer clic en “Sí, el equipo usará 
una dirección IP asignada dinámicamente...”
11. Lee atentamente la advertencia “No se puede crear una delegación DNS porque la zona 
primaria  autoritativa...”.  Nos   habla  de   resolución   de  nombres   de  nuestro  dominio   desde 
fuera (otros dominios). Aun no hemos configurado la zona, y por ello no contamos con un 
SOA para poder ser autoritativos. Continuamos haciendo clic en Si.
12. En “Ubicación de la Base de Datos” hacemos clic en Siguiente. En esta ventana se nos 
informa sobre donde se guardarán:
1. Las bases de datos: Contienen los objetos (que veremos más adelante) de AD y sus 
propiedades.
2. Los ficheros de registro: Contienen un registro de las actividades del servicio de 
directorio.
3. El volumen Sysvol: Contiene la información del dominio que se replica al resto de 
controladores.
13. Introducimos una contraseña segura, hacemos clic en siguiente.
 14. Una   ventana   nos   muestra   un   resumen   con   la   configuración   elegida.   En   el   MCTS   se 
recomienda hacer una copia de este texto y pegarlo en un fichero de texto. Hacemos clic en 
siguiente.
15. El   asistente   comienza   a   configurar   AD   y   una   vez   finalizado,   nos   propone   reiniciar   el 
sistema.

Iniciar sesión en el nuevo DC.

Observa que tu DC, es la primera máquina en el dominio. Por ello, en el inicio de sesión se propone 
al   administrador   del   dominio   (a   partir   de   ahora   DA)   iniciar   con   el   usuario   Administrador   del 
Dominio seragul.dom, es decir “SERAGUL\Administrador” (que no es el mismo que el usuario 
Administrador del equipo). 

¿Cómo podemos iniciar sesión en nuestra máquina con el Administrador local de la máquina? La 
solución   es   emplear   el   nombre   UNC   (Universal   Name   Convention)   del   administrador   local. 
Supongamos que la máquina se llama W2008­1. En tal caso, el nombre UNC del administrador 
local, será        “W2008­1\Administrador”. Antes de introducir el nombre UNC del administrador 
local, debemos elegir la opción “Cambiar de usuario”, y así en la entrada “Usuario”, introducimos 
“W2008­2\Administrador” y en la contraseña, la propia del administrador local.

Dicho esto, iniciaremos sesión con el usuario administrador del dominio.
Comprobar la instalación de AD

1. Inicia sesión con el usuario administrador de dominio.
2. Inicio → Herramientas Administrativas → Visor de eventos.
3. Desplicaga “Registros de Aplicaciones y Servicios” del panel izquierdo.
4. Elige “Servicio de Directorio”.
5. Haciendo clic sobre cualquier evento, puedes ver sus detalles. Puedes copiar y pegar en un 
documento de texto para referencias posteriores.
6. Puedes filtrar los eventos, haciendo clic derecho sobre “Servicio de Directorio” en el panel 
izquierdo y seleccionando la opción “Filtrar registro actual”. Este filtro no elemina registros, 
sino que solo restringe los que se muestran.
7. Para comprobar que AD se ha instalado correctamente, busca eventos relacionados al ID de 
evento 1000 (Instalación completada de AD) y al evento 1394 (Intento de actualizar la Base 
de Datos de AD en curso). Comprueba también los mensajes de error.

Configurar la interacción de DNS con AD

Configurar DNS integrado con AD tiene sus ventajas. Por ejemplo, la replicación de zona pasa a ser 
algo trivial. AD gestiona la replicación entre los DC de un dominio, y DNS va en el lote. También 
se puede utilizar DynDNS de forma que se automatice parte del mantenimiento de DNS. 

1. Inicio → Herramientas Administrativas → DNS
2. En el nombre del nodo DNS (nombre de la máquina), clic derecho → Propiedades.
3. Activa la pestaña “Seguridad”. Ahora se pueden especificar los usuarios y grupos que tiene 
acceso para modificar la configuración del servidor DNS. Una vez creemos nuevos usuarios/
grupos, podrás añadirlos aquí con los permisos necesarios. Acepta.
 4. Ahora vámonos a las “Zonas de búsqueda directa” en el panel izquierdo, y haz clic derecho 
sobre el dominio que creaste (en mi caso “seragul.dom”) y elige la opción propiedades.
5. En la pestaña “General” comprueba que el tipo es “Datos almacenados en Active Directory”. 
Si no estuviese esta opción seleccionada, utiliza el botón “Cambiar” en la opción tipo.
6. En la pestaña “Actualizaciones dinámicas”, asegúrate de que está seleccionada la opción 
“Sólo con seguridad”, para que las actualizaciones dinámicas solo sean llevadas a cabo por 
cuentas y procesos autenticados por AD.
7. Una vez más, en la pestaña “Seguridad” puedes asignar permisos para usuarios/grupos sobre 
esta zona.

Unir un cliente Windows a un dominio AD

El procedimiento es similar al que empleamos cuando unimos  clientes  Windows a un dominio 

Samba. Es decir, desde “Sistema” en el panel de control, elegimos “Cambiar nombre”. Una vez 
indiquemos   el   dominio,   nos   pedirá   una   contraseña   con   los   permisos   necesarios   para   unir   una 
máquina nueva al dominio. Utilizaremos la cuenta del DA.

Una vez unido el PC al dominio, podemos comprobar que dicha máquina ya ha sido agregada a la 
base de datos de AD. Para comprobarlo, sigue los siguientes pasos:

1. Inicio → Herramientas Administrativas → Usuarios y Grupos de Active Directory.
2. En   el   panel   izquierdo,   desplegar   el   nodo   del   dominio,   y   hacer   clic   sobre   la   carpeta 
“Computers”. Aquí debe aparecer el nombre de la máquina unida.
3. Además, si la DNS utilizada por el cliente Windows es la correcta (es decir, la DNS que 
hemos incluido con el DC), el cliente tratará de actualizar la DNS, y debería aparecer un 
registro de tipo A en la zona. 
Ya que estamos, si te atreves, sirve dicha configuración mediante DHCP. Se supones que ya 
controlas este servicio. Como juegues con ello es cosa tuya.
NOTA: Para que DHCP puede actuar en un entorno AD, debes autorizarlo. Para hacer esto,  
en la consola de administración de DHCP, sobre el nodo servidor  →  botón derecho  →  
Autorizar. Recuerda también que debes  configurar  el ámbito DHCP Para que actualice  
DNS.
4. Si no aparece, prueba a ejecutar “ipconfig /registerdns”. Si no se registra, “ponte en contacto 
con el Administrador del Dominio”... que casualmente eres tú. 

Crear una cuenta de usuario del dominio

Ahora puedes iniciar una sesión en el dominio utilizando el usuario Administrador del dominio (en 
mi caso SERAGUL\Administrador). Pero esto solo será necesario en algunos casos en que necesites 
permisos especiales. Los usuarios no emplearán esta cuenta, así que debemos crear una para cada 
uno de ellos.

1. Inicio → Herramientas Administrativas → Usuarios y Grupos de Active Directory.
2. En el panel izquierdo, desplegar el nodo del dominio, y hacer clic sobre la carpeta “Users”. 
En el panel derecho, hacer clic derecho y elegir “Nuevo usuario”.
3. Completar el nombre completo con apellidos y en la entrada “Nombre de inicio de sesión 
del usuario”, introducir el nombre de usuario. Siguiente.
 4. Añadir   una contraseña  y seleccionar  la  opción  adecuada.  Por  ejemplo  “El  usuario   debe 
cambiar la contraseña al iniciar una sesión de nuevo”.

Ahora es posible iniciar una sesión en una máquina del dominio utilizando este usuario.

Unir un cliente Linux a un dominio AD

La tecnología de los sistemas UNIX en general, y Linux en particular es radicalmente diferente a la 
de  los sistemas Windows de Microsoft. Ya hemos saboreado esto con Samba, especialmente  si 
hemos hecho la práctica “reto”. Por eso, unir una máquina Linux a un dominio Windows suele dar 
bastantes   dolores   de   cabeza   a   un   administrador.   En   Internet   podeis   encontrar   múltiples 
procedimientos para integrar Linux en un dominio Windows. Yo os voy a hablar de un software 
bastante nuevo: Likewise open. 

La secuencia de comandos a seguir, sería la siguiente:

# sudo apt­get update
# sudo apt­get install likewise­open
# sudo domainjoin­cli join nombre_completo(fqdn)_del_dominio → 
→ Usuario_con_permisos_para_agregar_al_dominio
# sudo update­rc.d likewise­open defaults
# sudo /etc/init.d/likewise­open start

Puede que después de instalar y reiniciar observes algunos problemas de consistencia en el sistema 
de archivos. Pulsando Ctrl+D se restaurará el disco.

No es necesario editar ningun archivo de configuracion ni similar. Solamente reiniciar el terminal y 
luego probar de iniciar sesion con “DOMINIO\Usuario” (“SERAGUL\Administrador” en mi caso).

Ahora   para   acceder   a   un   recurso   compartido   (por   ejemplo   una   carpeta   compartida   llamada 
“software”   en   el   PC   “XP1”)   desde   nautilus,   en   la   barra   de   direcciones   escribimos 
“smb://XP1/software”. Si tenemos los permisos adecuados, podremos acceder al recurso.

Unidades Organizativas (OU)

Una Unidad Organizativa es un grupo lógico de objetos AD. Sirve como contenedor dentro del cual 
se   puden   crear   otros   objetos,   pero   no   forman   parte   del   espacio   de   nombres   DNS.   Se   utilizan 
solamente con fines de organización del dominio (es decir, hacer la vida del DA más sencilla). Una 
OU puede contener los siguientes tipos de objetos (y algunos otros):

• Usuarios
• Grupos
• Máquinas
• Carpetas compartidas
• Contactos
• Impresoras
• Otros Ous
La característica más útil de una OU es que puede contener otros objetos OU, de modo que el DA 
puede agrupar jerárquicamente los recursos. Otros beneficios de los OU son:

• Su estructura es flexible y facilmente modificable.
• Los objetos hijo heredan la configuración de la OU.
• Se pueden aplicar directivas de grupo (políticas) a una OU.
La forma de planificar la jerarquía de Ous depende de la organización. Se puede dar un enfoque en 
base a roles de departamento, por ejemplo. O en cambio se puede aplicar un enfoque basado en 
ubicaciones físicas, como es el caso siguiente:

Crear una estructura de OUs

1. Inicio → Herramientas Administrativas → Usuarios y Grupos de Active Directory.
2. Clic derecho sobre el nombre del dominio local, y elegir Nuevo  →  Unidad Organizativa. 
Aparecerá una ventana. Observa que en su parte superior se indica el contexto (en mi caso 
seragul.dom) indicando que es una OU de nivel superior (ya que no está dentro de otra OU).
3. Introduce el nombre de la OU. Por ejemplo “Contabilidad”. Desactiva el botón de chequeo 
“Proteger contenedor contra eliminación accidental”. Aceptar.

Para crear otras OU's dentro de la OU “Contabilidad”, debes seguir el mismo proceso pero haciendo 
clic derecho sobre el OU en el que quieres crear el nuevo OU hijo.
Administrar OU's

Me refiero en esta sección a mover, borrar y renombrar OU's. Resulta muy intuitivo ya que todo se 
consigue a través del menú contextual asociado a la OU correspondiente.

Renombrar OU

1. Abrir la herramienta administrativa de “Usuarios y Equipos de Active Directory”. Localizar 
la OU a modificar, y hacer clic derecho en él.
2. En el menú contextual, elegir “Renombrar” y modificar el nombre.

Mover OU

1. Abrir la herramienta administrativa de “Usuarios y Equipos de Active Directory”. Localizar 
la OU a modificar, y hacer clic derecho en él.
2. Elegir la opción “mover”, y seleccionar la nueva ubicación en el árbol de la ventana “Mover 
objeto dentro del contenedor”.

Eliminar

El   proceso   para   eliminar   una   OU   es   similar   a   los   puntos   anteriores.   Sin   embargo   si   olvidaste 
desactivar el botón de chequeo “Proteger OU contra eliminación accidental” obtendrás un error al 
intentar borrar. Para poder desactivar esta opción una vez creada la OU, debes seguir los siguientes 
pasos:

1. Ver → Características avanzadas
2. Clic derecho sobre la OU y elegir “propiedades”.
3. Abrir la pestaña “Objeto” y desmarcar la casilla.
4. Ver → Desactivar “Características avanzadas”.

Objetos de AD

Ya   hemos   visto   anteriormente   como   crear   una   cuenta   de   usuario.   En   realidad   la   creación   de 
cualquier objeto sigue el mismo procedimiento. Cambian los parámetros de configuración. 

Vamos a publicar una carpeta compartida:

1. Abrimos la herramienta administrativa de usuarios y grupos de AD. Nos ubicamos sobre un 
OU que hayamos creado anteriormente (en mi caso “seragul.dom\contabilidad\planta1”), y 
hacemos clic derecho y elegimos “Carpeta compartida”.
 2. Indicamos   el   nombre   con   el   que   se   compartirá   la   carpeta   en   el   dominio,   así   como   la 
ubicación real de la carpeta, especificado en notación UNC. Por ejemplo, podemos llamar 
“Software” a la carpeta compartida que se encuentra en “\\XP1\software­oficina”. Aceptar.
La pregunta que surge es... Entonces, si no publico una carpeta en AD, ¿No puedo acceder a ella?

En realidad no es necesario publicar un recurso compartido en AD. Pero haciéndolo, podremos  
obtener información sobre él al preguntar al directorio. Comparando con la guia telefónica: el  
hecho de que un teléfono no aparezca en la guía de teléfono, no me impide llamar a ese número.  
Pero si no conozco el teléfono, no podré encontrarlo en la guía.

Mover objetos de AD

Para mover un objeto, el proceso es similar a mover una OU. Sobre el objeto, hacer clic derecho 
sobre el objeto y seleccionar mover. Finalmente elegir la nueva ubicación en el árbol que se muestra 
en la ventana “Mover” y aceptar.

Borrar un objeto de AD

El   borrado   de   objetos   en   AD   es   irreversible.   Cada   objeto   tiene   un   identificador   único, 

compuesto por:

• El identificador del dominio, o SID. Por ejemplo, el SID de un dominio podría ser S­1­5­21­
1004336348­1177238915­682003 
            ( ver http://technet.microsoft.com/en­us/library/cc778824(WS.10).aspx ).
• El identificador relativo del objeto, o RID. Por ejemplo, 512.
• De este modo, el SID del objeto sería  S­1­5­21­1004336348­1177238915­682003­512.

Cuando el objeto se borra y se vuelve a crear otro con su mismo nombre, su SID cambia (ya que es 
único para cada objeto) por lo que aunque su nombre coincida, se trata de un objeto diferente. Antes 
de borrar un objeto, hay que tenerlo muy claro.

Un ejemplo. Los permisos de un cierto recurso es propiedad de “pparker”. Peter Parker abandona  
la empresa, por lo que eliminamos al usuario pparker. Entonces recordamos que este usuario es  
necesario porque Peter Parker debe devolver antes de irse ciertos ficheros importantes relativos a 
un proyecto en curso. Entonces volvemos a crear al usuario “pparker”... pero resulta que el RID de  
este nuevo usuario pparker es diferente del original. Por lo que no servirá de nada.

Resetear una cuenta de máquina

Entre una máquina que se ha unido al dominio y el DC, se emplea una clave (clave maestra) para 
proteger la comunicación entre la máquina y el DC. 

NOTA: Este proceso se vio anteriormente en el documento  “Autenticación de clientes en Windows  
NT4.0 y 2000” (está colgado en la página y explicado en clase). 
Esta clave cambia cada 30 días. Por ello, si la clave maestra que contiene una máquina y la que se 
almacena en el DC para esta máquina no coinciden, la máquina es incapaz de comunicarse con el 
DC,   y   por   tanto   es   incapaz   de   acceder   al   dominio.   Para   restablecer   la   comunicación   entre   la 
máquina y el DC, se sigue el siguiente procedimiento:

1. Localizar el objeto “equipo” en el dominio, empleando la herramienta administrativa para 
usuarios y grupos de AD.
2. Hacer clic derecho sobre la máquina y seleccionar la opción “restablecer cuenta”. Aceptar
3. Ahora hay que reconectar la máquina al dominio. Para ello iniciamos sesión con una cuenta 
de administrador local, y unimos a la máquina a un grupo de trabajo de nombre el que 
queramos. Reiniciamos. A partir de aquí seguimos el proceso explicado en el apartado “Unir 
un cliente windows a un dominio AD”.

Crear y administrar objetos en AD: Grupos

Mucha gente se queda con los OU's y no ve necesario crear grupos. Para ilustrar su utilidad vamos a 
plantear este ejemplo:

El usuario jpeinado pertenece al departamento de contabilidad, y es un auxiliar administrativo.  
Con   esta   categoría   tiene   acceso   a   30   recursos   compartido   del   departamento.   Pero   jpeinado 
promociona y pasa a ser administrativo, con lo que ahora tiene permiso de acceso a otros 45  
recursos nuevos. Es decir, para cada recurso nuevo al que accede hay que darle permiso. Si en vez  
de   esto   contamos   con   un   grupo   llamado   “Auxiliares   administrativos”   y   otro   grupo   llamado  
“Administrativos”,   a   los   que   se   han   asignado   los   permisos   adecuados,   basta   con   cambiar   a  
jpeinado de un grupo a otro.

Crear un grupo.

1. En la herramienta administrativa de usuarios y equipos de AD, hacer clic derecho sobre un 
OU que hayamos creado previamente (en mi caso, por ejemplo, seragul.dom\contabilidad), y 
elegimos   Nuevo   →   Grupo.   Como   nombre   del   grupo   elegimos   uno   acorde   con   la  
funcionalidad del grupo (en mi caso crearé el grupo “auxiliares administrativos”.
2. En el ámbito del grupo, elegimos “global” y en el tipo “Seguridad”.
3. Después debemos editar sus propiedades y agregar los usuarios o grupos que pertenezcan al 
grupo.

NOTA:  En  la  ventana anterior  se mencionan el “tipo de grupo”  y el “ámbito del grupo”.  Su  

significado es el siguiente:

• Tipo de grupo:
◦ Grupos de seguridad: para asignar derechos y permisos.
◦ Grupos de distribución: para uso con el correo electrónico.
• Ámbito del grupo:
◦ Grupos de dominio local: se usan para dar permisos dentro de un solo dominio. Es decir, 
un recurso compartido (carpeta, impresora) en el dominio, solo puede ser accedido desde 
el mismo dominio.
 ◦ Grupos   globales:   se   usan   para   dar   permisos  dentro   del   bosque  al   que   pertenece   el 
dominio. Puede incluir otros grupos y cuentas que pertenezcan al mismo dominio en que 
es creado.
◦ Grupos universales: Al igual que los grupos globales, se usan para dar permisos dentro 
del bosque al que pertenece dominio. La diferencia está en que incluir grupos y cuentas 
de cualquier dominio del bosque.

Directivas de Grupo

Las   Directivas   de   Grupo   se   basan   en   plantillas   administrativas   amigables   con   opciones   de 
configuración   del  sistema  al  que  se aplicarán.  Por  ejemplo,  una opción  llamada  “Requerir   una 
configuración específica de Wallpaper” modificará el registro del sistema añadiendo una entrada 
que mantenga dicho valor.

La mayoría de opciones de las Directivas de Grupo tiene tres valores posibles:
• Activado: Indica que esta opción ha sido configurada.
• Desactivado: Indica que esta opción ha sido desactivada.
• Sin configurar: Indica que esta opción no ha sido activada ni desactivada. Al elegir “Sin 
configurar”, el Directiva de Grupo no especifica ninguna opción, y puede que otra opción 
tome precedencia.

Las principales opciones que se pueden configurar en las Directivas de Grupo de usuarios y equipos 
son las siguientes:

• Configuración de software.
• Configuración de Windows.
• Plantillas administrativas.
• Almacén central ADMX.
• Plantillas de seguridad.

GPO's

Los Objetos de Directiva de Grupo (GPO) encapsulan la configuración de los ficheros de Directiva 
de Grupo, para simplificar su administración. Por ejemplo, podemos tener diferentes directivas de 
grupo para usuarios y equipos en diferentes departamentos. Basándonos en esta idea, se puede crear 
una   GPO   para   los   miembros   del   departamento   “Ventas”   y   otra   GPO   para   los   miembros   del 
departamento “Ingeniería”, y aplicar cada GPO a su OU correspondiente.

Se pueden aplicar configuraciones de Directiva de Grupo tanto a dominios como a OU's.

Existe una relación de herencia por defecto. Es decir, una GPO a nivel de OU que no especifique 
una   opción,   la   hereda   de   otra   OU   superior   o   del   dominio.   En   caso   de   conflicto   entre   las 
configuraciones de las GPO a distintos niveles, siempre prevalece la del nivel más específico.

Para saber más sobre directivas de grupo, puedes consultar el siguiente enlace:
http://social.technet.microsoft.com/Forums/es­ES/wsades/thread/35d227cb­8d34­4ac1­9033­91b5645a027b

Crear Directivas de Grupo

Vamos   a   suponer   el   siguiente   ejemplo.   Los   usuarios   de   Contabilidad   de   la   planta   1   están 

constantemente   instalando   programitas   innecesarios   para   hacer   cosas   innecesarias,   generando 
constantemente  problemas  al   administrador.  Lo  primero  es   avisar   de  que  “El   uso  inapropiado” 
conllevará el bloqueo de la máquina.   La directiva de grupo que vamos a crear, informa a  los 
usuarios de esto.

Las GPO se crean en la Consola de Administración de Directivas de Grupo (GPMC). Para crear un 
GPO usando el GPMC hay que seguir los siguientes pasos:

1. Inicio → Ejecutar → Escribir “mmc” y Aceptar.
2. En la nueva ventana “Consola”: menú Archivo  →  “Agregar o quitar complemento”.  En la 
nueva ventana, elegir “Administración de Directiva de Grupo” y hacer clic en “Agregar”. 
Aceptar.
3. Ahora   el   GPMC   ya   está   disponible.   Inicio   →   Herramientas   administrativas   → 
Administración de directivas de grupo.
4. En el panel izquierdo de GPMC desplegar “Bosque →  Dominios  →  tu nombre de dominio 
(en mi caso seragul.dom). Ahora sobre una OU creada previamente, hacer clic derecho y 
elegir “Crear una GPO en este dominio y vincularlo aquí”.
5. Cuando   la   ventana   “Nueva   GPO”   aparece,   introducimos   el   nombre   “Mensaje   de 
advertencia”. Aceptar.
6. La nueva GPO aparece en el panel derecho. Hacemos clic derecho sobre ella y elegimos 
“editar”.
7. Aparece   el   “editor   de   administración   de   directivas   de   grupo”.   En   el   panel   izquierdo, 
expandimos   lo   siguiente:   Configuración   de   equipo   →   Directivas   →   Configuración   de 
seguridad → Directivas locales → Directivas locales → Opciones de seguridad.
8. En   el   panel   derecho,   buscamos   “Inicio   de   sesión  interactivo:   texto  de   mensaje   para   los 
usuarios que intentan inicar una sesión”. Hacemos doble clic sobre dicha entrada.
9. En   la   ventana   hacemos   clic   en   la   casilla   “Definir   esta   configuración   de   directiva   en   la 
plantilla”. Después escribimos en la entrada de texto lo siguiente: “El uso para fines no 
autorizados de este ordenador puede suponer el bloqueo inmediato del mismo.”. Aceptar.
10. Cerramos el editor.
11. En   la   ventana   “Administración   de   directivas   de   grupo”,   refrescamos   mediante   el   botón 
“Actualizar”.

La próxima vez que intentemos inicar sesión (Ctrl+Alt+Supr) en un cliente perteneciente a la OU 
“seragul.dom\contabilidad\planta 1” (en mi caso) se nos mostrará el mensaje.

Enlazar Directivas de Grupo con AD

Ahora vamos a suponer que habitualmente se da el problema siguiente. Los usuarios llenan sus 
escritorios de basura que no usan. Esto ralentiza la máquina y finalmente llaman al DA. El DA,  que 
no quiere perder más el tiempo con esto, decide bloquear los escritorios de los usuarios.
Al ser un problema generalizado, vamos a crear primero la directiva, y después la vincularemos a 
aquellos OU's que lo requieran.
 1. En el panel izquierdo de la ventana “Administración de Directivas de Grupo” desplegamos 
los nodos “Bosque → Dominios → Tu nombre de dominio → Objetos de directiva de grupo” 
y hacemos clic derecho sobre el último y elegimos la opción nuevo.
2. Ponemos   el   texto   “Escritorio   bloqueado”   como   nombre   a   la   GPO   y   aceptamos.   Ahora 
aparecerá en el panel derecho.
3. Hacemos clic derecho sobre la GPO y elegimos la opción editar.
4. En   la   sección   de   configuración   de   usuario,   elegimos   “Plantillas   Administrativas   → 
Escritorio”.     Buscamos   en   el   panel   derecho   la   opción   “Ocultar   y   Desactivar   todos   los 
elementos del escritorio”. Hacemos doble clic sobre ella y seleccionamos “Habilitado”. Ya 
podemos cerrar el editor de la GPO.
5. Ahora, una vez creada la GPO, vamos vincularla a una OU. En mi caso, la voy a vincular a 
“seragul.org\contabilidad\planta 1”. En el panel izquierdo de la ventana “Administración de 
directivas de grupo”, hacemos clic derecho en la OU seleccionada, y elegimos “Vincular a 
un   GPO   existente”.   En   la   ventana   que   aparece,   seleccionamos   el   GPO   “Escritorio 
bloqueado” (que hemos creado previamente).
6. Finalemente actualizamos la nueva configuración haciendo clic en el botón “Actualizar” del 
“Administrador de Directivas de Grupo”.

Ahora ya podemos iniciar sesión en una máquina perteneciente a la OU a la que vinculamos la 
GPO, y comprobar como el escritorio está bloqueado.

Replicación AD

Hay dos razones por las que tener al menos dos DC por dominio: Tolerancia a fallos y rendimiento. 
Esto no siempre es posible por limitación de recursos. Para agregar un segundo DC a un dominio 
AD, se deben seguir los siguientes pasos:

1. Inicio → Ejecutar → Escribir “dcpromo” y aceptar.
2. Esperar a que se instalen los binarios de Active Directory
3. Seleccionar el modo de instalación avanzada. Siguiente.
4. En “Elegir una configuración de implementación”, elegir “Bosque existente” y “Agregar un 
controlador de dominio a un dominio existente”.
5. En   “Credenciales   de   red”   indicamos   en   primer   lugar   el   nombre   del   dominio   donde 
instalaremos  el  DC  (en mi  caso  “seragul.dom”).  Después  elegimos   las   credenciales   que 
emplearemos para la instalación. Para ello hacemos clic en “Establecer” e introducimos las 
credenciales del administrador del dominio (en mi caso “SERAGUL\Administrador” y su 
correspondiente contraseña).

NOTA 1: Observa que al introducir el usuario y contraseña, en la parte inferior de la ventana se  
nos informa de que dicho usuario pertenece al dominio que hayamos especificado. Por eso, no es  
necesario especificar “SERAGUL\Administrador” (en mi caso), sino solamente “Administrador”.

NOTA 2: Es necesario que el nuevo controlador de dominio tenga definido como DNS preferida, la  
DNS del DC existente en el dominio. En otro caso, será incapaz de resolver el dominio (en mi caso)  
“seragul.dom”.
1. En “Seleccione un dominio” elegimos el dominio en el que estamos instalando del DC.
 2. En “Seleccione un sitio” dejamos el sitio indicado por defecto, llamado “Default­First­Site­
Name” ya que en principio no vamos a utilizar “Sites” (a estudiar en veranito).

NOTA: Los “Sites” o “Sitios” permiten indicarle a Active Directory la mejor manera de replicarse  
a través de la red. Esto está pensado para redes cuya conexión es lenta y deben replicar la base de  
datos de Active Directory. En ciertas ubicaciones no es necesario replicar toda la base de datos. La  
forma de definir esto es mediante “Sitios” de Active Directory. En nuestro contexto de ejemplo, el  
dominio está ubicado en una LAN, que  habitualmente estará “bien conectadas”.  

1. En “Opciones habituales del Controlador de Dominio”, podemos dejar activada la opción 
“Catálogo global”. Podemos dejar desactivada la opción “Controlador de Dominio de Solo 
Lectura (RODC)”.

NOTA   1:   Un   “Catálogo   global”   es   una   base   de   datos   que   contiene   toda   la   información  
perteneciente   a   todos   los   dominios   del   entrono   Active   Directory.   Su   objetivo   es   acelerar   las  
búsquedas en entornos AD con múltiples dominios repartidos por zonas remotas. En este contexto,  
una búsqueda que incluya a todos los dominios podría llevar mucho tiempo. El catálogo global  
incluye un índice de la información de AD, de modo que las búsquedas se simplifican y aceleran.  
En   el   paso   anterior,   podemos   deshabilitar   la   funcionalidad   de   “Catálogo   global”   por   varias  
razones:
1. Un catálogo global está pensado para acelerar búsquedas entre dominios. De momento solo  
tenemos uno.
2. En general, basta con un “Catálogo global” por dominio.
3. El catálogo global puede ralentizar el funcionamiento del servidor.
4. El otro DC existente en el dominio ya es un “Catálogo global”.
Sin   embargo, si desactivamos  esta opción (catálogo global) deberemos hacer  algunos cambios  
(transferir el rol de “maestro de infraestructura” desde el otro DC a este). Para profundizar en el  
tema, puedes leer sobre “Funciones FSMO” en la siguiente página:
http://support.microsoft.com/default.aspx?scid=kb;es;197132 .

Nosotros por simplicidad, vamos a hacer que todos nuestros DC sean catálogo global.

NOTA 2: Un RODC es un DC de solo lectura. Su razón de ser está relacionada con DC's ubicados  
en   lugares   remotos,   con   conexiones   lentas,   que   necesiten   un   DC   pero   que   no   cuenten   en   sus 
instalaciones con un Administrador que lo mantenga.

1. A   continuación   se   nos   informa   de   que   tenemos   una   IP   dinámica   (ipv6).   Siempre   que 
tengamos ipv4 estática, no habrá problema. Seguimos adelante.
2. También se nos informa de que tendremos que crear una delegación manual para que se 
pueda resolver nuestro dominio (seragul.dom en mi caso) desde fuera. Hacemos clic en “Sí”.
3. En “Instalar desde el medio” dejamos seleccionada la casilla “Replicar los datos de la red 
desde un controlador de dominio existente”. Siguiente.
4. En   “Controlador   de   dominio   origen”,   seleccionamos   “Usar   este   controlador   de   dominio 
específico”   y   seleccionamos   manualmente   el   nombre   del   controlador   desde   donde 
transferiremos los registros. Siguiente.
5. En   “Ubicación   de   la   base   de   datos,   los   archivos   de   registro   y   SYSVOL”,   dejamos   la 
configuración por defecto. Siguiente.
 6. En   “Contraseña   de   Admin.   del   modo   de   restauración   del   servicio   de   directorio” 
introducimos   una   contraseña.   No   tiene   por   qué   ser   la   misma   que   la   de   (en   mi   caso) 
“SERAGUL\Administrador”. Siguiente.
7. Finalmente obtenemos un resumen de la configuración del DC. Hacemos clic en Siguiente.
8. A partir de este momento, el servicio de directorio empieza a configurarse.
9. Finalmente reiniciamos.

Ahora   ya   podemos   comprobar   que   cualquier   cambio   que   realicemos   en   un   DC   se   replica 

automáticamente en el otro DC, ya que estamos en un entorno “multi­master”.

ACTIVIDADES

1. Asciende un servidor Windows 2008 Server a DC con las siguiente características:
1. El dominio será uno de tu elección.
2. Crea dos OU's relacionados con funciones de departamento (por ejemplo “Contabilidad” 
y “Proyectos”).
3. En cada departamento hay dos grupos de empleados. Por ejemplo, en el de Contabilidad 
estarán   los   administrativos   y   los   auxiliares   administrativos.   Del   mismo   modo   en   el 
departamento de Operaciones, podrían estar los directores de proyecto y los técnicos.
1. Crea un grupo de usuarios para cada grupo.
2. Crea también una OU para cada grupo.
3. Crea   un   usuario   para   cada   departamento.   Por   ejemplo,   los   usuarios   “auxiliar”, 
“administrativo”, “dproyecto” y “técnico”.

2. Une   un   cliente   Windows   al   dominio.   Utilizarás   esta   máquina   para   representar   a   los 
diferentes usuarios. Comprueba que puedes acceder utilizando los diferentes usuarios.
NOTA: Si quieres utilizar más máquinas, ponte de acuerdo con tus compañeros para emplear 
varias máquinas clientes.

3. Configura un servicio DHCP. Puedes hacer, por ejemplo, que cada departamento tenga una 
configuración diferente. No olvides autorizar el servicio DHCP en AD.

4. Comprueba que la DNS se actualiza correctamente ante un cambio de ip de la máquina 
cliente.

5. Existirán varias carpetas compartidas. Aquí tienes un ejemplo. Define tú tus propias carpetas 
y permisos.
NOTA: El servidor de archivos puede ser (para esta práctica) el mismo DC, u otra máquina 
(incluido el cliente). En cualquier caso debes acceder a las carpetas compartidas via red 
(ruta UNC).
Carpetas
Planificación proy. Proyecto A Expedientes Solicitudes
Directores de proy. RWX RWX RX RX
Técnicos RX RWX ­ ­
Departamentos
Administrativos ­ RX RWX RWX
Auxiliares admin. ­ ­ ­ RWX
6. Crea y comparte estas carpetas y asígnales los permisos adecuados. Crea dentro de cada 
carpeta ficheros de prueba, y comprueba que, empleando cada usuario, los permisos son los 
correctos.
NOTA: Para localizar los recursos, no es necesario recordar su ubicación. El servicio de  
directorio   nos   permite   realizar   búsquedas   por   el   directorio.   Para   hacer   una   búsqueda,  
dirígete a “mis sitios de red” y selecciona la opción “Buscar en Active Directory”.

7. Define una directiva de grupo para el grupos de usuarios “Auxiliares administrativos” que 
impida a estos usuarios modificar la configuración de la pantalla: En el GPMC edita la 
directiva de grupo → Configuración de usuario → directivas → plantillas administrativas → 
panel de control → pantalla → Ocultar la ficha configuración. 

8. Crea también una GPO sin enlazar, para que un usuario no pueda ni modificar su escritorio 
(visto anteriormente) ni compartir carpetas en red (en el GPMC, crea una nueva directiva y 
edítala  →  Configuración de usuario  →  directivas  →  plantillas administrativas  →  Carpetas 
compartidas). Una vez creada enlázala al grupo de “Técnicos”.

9. Emplea una segunda máquina Windows Server 2008. Promociona este segundo servidor a 
DC en el dominio que estás empleando. Comprueba la replicación. Haz cambios en cada DC 
para comprobar los cambios en el otro.