Windows 2003

Config cin y ura a m istra d in cind e W d s Se r 2 0 in ow rve 0 3
Configuracin y administracin de Windows Server 2003
INDICE
INDICE.................................................................................................................................1 INTRODUCCIN...............................................................................................................6 FAMILIA DE SISTEMAS OPERATIVOS WINDOWS ..........................................................................6 NUEVAS CARACTERSTICAS DE LOS SERVIDORES WINDOWS.........................................................7 VERSIONES DE WINDOWS....................................................................................................11 Windows XP Professional...........................................................................................11 Windows Server 2003 Standard Edition.....................................................................12 Windows Server 2003 Enterprise Edition...................................................................12 Windows 2003 Datacenter Edition.............................................................................13 Windows 2003 Web Edition........................................................................................13 CONSIDERACIONES PREVIAS A LA INSTALACIN...........................................14 REQUERIMIENTOS DE HARDWARE..........................................................................................14 Lista de compatibilidad de hardware.........................................................................14 Hardware de multiprocesamiento simtrico...............................................................14 Soporte Plug and Play.................................................................................................14 Temas sobre ACPI.......................................................................................................15 DESARROLLO DE UN PLAN DE IMPLEMENTACIN......................................................................15 Documentar el hardware............................................................................................16 Documentar la red.......................................................................................................16 Documentar el software..............................................................................................17 Documentar los componentes heredados...................................................................17 Prepararse para los problemas..................................................................................17 CONFIGURACIN GENERAL DEL SISTEMA.........................................................19 ASISTENTE DE ADMINISTRACIN DEL SERVIDOR.......................................................................19 Funciones de los servidores Windows Server 2003...................................................21 MEN INICIO Y BARRA DE TAREAS.......................................................................................22 OPCIONES DE CONFIGURACIN USANDO EL PANEL DE CONTROL.................................................24 Pantalla.......................................................................................................................25 Opciones de carpeta....................................................................................................30 Opciones de Internet...................................................................................................33 Configuracin regional y de idioma...........................................................................41
-1-
Dispositivos de Sonidos y Audio.................................................................................43 Sistema.........................................................................................................................46 Tareas programadas...................................................................................................56 INTERCONEXION DE REDES EN WINDOWS.........................................................66 VISIN GENERAL DEL TCP/IP ............................................................................................66 COMPRENSIN DE LOS VALORES DE CONFIGURACIN TCP/IP...................................................67 Direccin IP................................................................................................................68 Mscara de subred......................................................................................................69 Tipos de direcciones IP...............................................................................................69 Comprensin de una subred........................................................................................70 Puerta de enlace predeterminada...............................................................................71 Direccionamiento IP avanzado...................................................................................71 Servidores DNS preferidos y alternativos...................................................................72 CONFIGURACIN DE TCP/IP...............................................................................................72 COMPRENSIN DE LA RESOLUCIN Y REGISTRO DE NOMBRES.....................................................75 Uso del archivo HOSTS..............................................................................................76 Uso del sistema de nombres de dominio.....................................................................76 Nombres NetBIOS.......................................................................................................77 Archivo LMHOSTS......................................................................................................78 Resolucin NetBIOS Pre-Windows 2000 vs. Windows 2000 o superiores................79 Cundo se deja de depender de NetBIOS...................................................................80 GRUPOS DE TRABAJO VS. DOMINIOS.....................................................................81 CONFIGURACIN DEL GRUPO DE TRABAJO O DOMINIO..............................................................81 DIRECTORIO ACTIVO..................................................................................................84 QU ES ACTIVE DIRECTORY?............................................................................................84 CARACTERSTICAS DEL DIRECTORIO ACTIVO..........................................................................85 Escalabilidad...............................................................................................................85 Extensibilidad..............................................................................................................85 Seguridad.....................................................................................................................85 Integracin de DNS y estndares................................................................................85 CONVENCIONES DE NOMENCLATURA DE ACTIVE DIRECTORY....................................................86 Nombre completo........................................................................................................86 Nombre completo relativo...........................................................................................86 Nombre principal de usuario .....................................................................................87 Identificador nico de manera global.........................................................................87
-2-
ACTIVE DIRECTORY Y DNS ................................................................................................88 Resolucin de nombre.................................................................................................88 Ubicacin de los componentes fsicos de Active Directory........................................88 Espacio de nombres.....................................................................................................88 DISEO Y ORGANIZACIN DEL DIRECTORIO ACTIVO..................................90 ESTRUCTURA LGICA..........................................................................................................90 Dominio.......................................................................................................................91 Unidades organizativas...............................................................................................92 Objetos.........................................................................................................................93 rboles y bosques........................................................................................................93 ESTRUCTURA FSICA............................................................................................................95 Sitios............................................................................................................................95 FUNCIONES ESPECFICAS DEL CONTROLADOR DE DOMINIO.........................................................97 Catlogo global...........................................................................................................97 Maestros de operaciones.............................................................................................98 Maestro de esquema....................................................................................................99 Maestro de nombre de dominio..................................................................................99 Maestro de RID ..........................................................................................................99 Emulador PDC............................................................................................................99 Maestro de infraestructura ......................................................................................100 ADMINISTRACIN DE USUARIOS..........................................................................101 USUARIOS Y GRUPOS LOCALES DE MQUINA.........................................................................101 Gestin de usuarios locales de mquina..................................................................101 Gestin de grupos locales de Mquina.....................................................................107 UNIDADES ORGANIZATIVAS DE ACTIVE DIRECTORY..............................................................108 Creacin de unidades organizativas.........................................................................108 Mover unidades organizativas..................................................................................109 Eliminar unidades organizativas..............................................................................110 USUARIOS Y GRUPOS DE ACTIVE DIRECTORY.......................................................................110 Las cuentas de usuario y de equipo en Active Directory.........................................111 Creacin de cuentas de usuario de dominio.............................................................111 Configuracin de las propiedades de cuenta...........................................................112 Administracin de cuentas de usuario......................................................................117 Los grupos.................................................................................................................118 Tipos de grupos.........................................................................................................118
-3-
mbitos de grupo.......................................................................................................118 Los grupos incorporados..........................................................................................119 Creacin de grupos...................................................................................................120 Configuracin de las propiedades de grupo.............................................................121 PUBLICAR CONTACTOS EN ACTIVE DIRECTORY .....................................................................123 RESUMEN........................................................................................................................125 ADMINISTRACIN DE RECURSOS COMPARTIDOS.........................................126 PERMISOS DE NTFS........................................................................................................126 Asignacin de permisos NTFS..................................................................................128 Permisos avanzados de acceso.................................................................................130 COMPARTIR RECURSOS......................................................................................................132 ADMINISTRACIN DE CARPETAS COMPARTIDAS......................................................................133 INSTALACIN Y CONFIGURACIN DE IMPRESORAS....................................135 INSTALACIN DE UNA IMPRESORA LOCAL EN UN SERVIDOR......................................................135 INSTALACIN DE UNA IMPRESORA DE RED EN UN SERVIDOR.....................................................140 PUBLICACIN DE LAS IMPRESORAS EN EL DIRECTORIO ACTIVO.................................................144 ADMINISTRACIN DE CARACTERSTICAS AVANZADAS..............................................................147 ADMINISTRACIN DE DISCOS BSICA................................................................152 SISTEMAS DE ARCHIVOS.....................................................................................................152 CONFIGURACIN DE VOLMENES........................................................................................152 Creacin de un nuevo volumen.................................................................................152 Formatear de discos..................................................................................................156 Cmo cambiar la letra de unidad y la ruta..............................................................157 PROPIEDADES DEL VOLUMEN..............................................................................................159 HERRAMIENTAS DE DISCO..................................................................................................165 Cmo limpiar el disco...............................................................................................165 Desfragmentador de discos.......................................................................................167 Comprobacin de errores.........................................................................................168 LOS SERVICIOS.............................................................................................................170 EL REGISTRO DE WINDOWS....................................................................................174 ESTRUCTURA DEL REGISTRO...............................................................................................174 HKEY_LOCAL_MACHINE......................................................................................175 HKEY_USERS...........................................................................................................175 HKEY_CURRENT_USER.........................................................................................176 HKEY_CLASSES_ROOT..........................................................................................176
-4-
HKEY_CURRENT_CONFIG....................................................................................176 CMO USAR LOS EDITORES DEL REGISTRO ............................................................................176 Utilizacin de Regedt32............................................................................................176 Utilizacin de Regedit...............................................................................................178 ARCHIVOS DE REGISTRO (LOGS) Y AUDITORIA..............................................180 CONFIGURACIN DE ARCHIVOS DE REGISTRO.........................................................................180 AUDITORA......................................................................................................................183 CONFIGURACIN DE AUDITORA.........................................................................................183 Configuracin de una directiva de auditora...........................................................183 Auditora del acceso a archivos y carpetas..............................................................187 Auditora del acceso a objetos de Active Directory.................................................188 Auditora del acceso a impresoras...........................................................................188 MONITORIZACIN DEL SISTEMA.........................................................................190 ADMINISTRADOR DE TAREAS DE WINDOWS..........................................................................190 MONITOR DE RENDIMIENTO................................................................................................192 Uso de contadores.....................................................................................................193 Propiedades del Monitor de rendimiento.................................................................194 Configuracin de registros de contador...................................................................197 Configuracin de las alertas de rendimiento...........................................................198 COPIAS DE SEGURIDAD.............................................................................................201 TIPOS DE COPIAS DE SEGURIDAD.........................................................................................201 CMO USAR COPIA DE SEGURIDAD DE WINDOWS..................................................................202 Creacin de copias de seguridad..............................................................................203 Restauracin de las copias de seguridad.................................................................208 Disco de reparacin de emergencia.........................................................................213 Cmo cambiar las opciones predeterminadas de copia de seguridad.....................213 Copias de seguridad a travs de comandos..............................................................217 ENLACES Y DIRECCIONES DE INTERES..............................................................219
-5-
INTRODUCCIN
Este presente manual pretende mostrar las herramientas y procedimientos fundamentales para la administracin de sistemas informticos basados en servidores Windows 2003. Se pretende suministrar unos conocimientos necesarios para llevar a cabo la administracin de dichos sistemas, as como la instalacin y configuracin avanzada de los diversos servicios del sistema. Adems de dichos aspectos se recogen algunos conceptos de diseo previos que deben ser tenidos en cuenta antes de llevar a cabo la instalacin y configuracin de los distintos servicios en el sistema.
Familia de sistemas operativos Windows

Desde la popularizacin de los sistemas Windows de Microsoft con la aparicin de la interfaz de usuario Windows 3.1 y sobre todo posteriormente con la aparicin del sistema operativo Windows 95 se han sucedido diferentes versiones de sistemas operativos con la denominacin comn Windows. Podemos decir que algunas de ellas son evoluciones unas de otras, sin embargo otras proceden de un tronco distinto y pretenden objetivos diferentes. Este universo de diferentes versiones ha llevado a veces a cierta confusin por parte del usuario, por lo que en primer lugar intentaremos aclarar un poco el objetivo de las diferentes versiones y situar los sistemas Windows Server 2003 dentro de ellas. Obviando algunas versiones de propsito especfico, aparecidas la mayora de las veces como especializacin de otras ya existentes, podramos decir que existen dos grandes ramas en la familia de sistemas operativos Windows: las versiones de propsito domstico u ofimtico y las versiones de ndole profesional. Aunque anteriormente existieron otras, las versiones de propsito domestico comienzan a popularizarse con la aparicin de Windows 3.0 y Windows 3.1, que eran solo una interfaz de usuario que corra sobre MS-DOS. Con la aparicin de Windows 95 al que podemos considerar ya un sistema operativo completo recibe el espaldarazo definitivo. Posteriormente en esta misma lnea y como evolucin de la misma apareceran Windows 98 y Windows Millenium. El objetivo de todas ellas era servir de sistema operativo de propsito general para usuarios domsticos o estaciones de trabajo de prestaciones bajas o medias. La rama de versiones profesionales nace con Windows NT 3.1, evolucionando posteriormente a Windows NT 3.5, Windows NT 3.51 y Windows NT 4.0. Adems a partir de la versin de Windows NT 3.5 cada una de ellas se comercializan divididas a su vez en dos versiones: Workstation y Server. La primera dirigida a estaciones de trabajo profesionales o de altas prestaciones y la segunda a servidores de red. A partir de la versin de Windows NT 4.0 y, como evolucin de la misma, aparecen la familia de sistemas operativos Windows 2000 en sus distintas versiones de estaciones de trabajos y servidores. A su vez, como evolucin de Windows 2000 Profesional, la versin de estacin de trabajo de Windows 2000, ha aparecido Windows XP en dos ediciones distintas, Home y Professional. Y posteriormente se produce el lanzamiento de Windows Server 2003, que
-6-
es una evolucin de la familia Windows 2000 Server y la versin de servidores de la misma generacin que Windows XP. El siguiente grafico muestra la situacin y evolucin de la familia de sistemas operativos Windows.
Propsito domstico
Windows 3.x Windows 3.1 3.11
Propsito profesional
Windows NT 3.1
Windows NT 3.5 Workstation Windows 95 Windows NT 3.51 Workstation Windows 98
Windows NT 3.5 Server
Windows 98 SE
Windows NT 4.0 Workstation
Windows Millenium
Windows 2000 Professional
Windows 2000 Server Advanced Server y Datacenter
Windows XP Home
Windows XP Professional
Windows Server 2003
Nuevas caractersticas de los servidores Windows

A riesgo de ser excesivamente sinceros podramos decir que Windows 2000 fue la siguiente versin de Windows NT 4.0. De hecho durante mucho tiempo de la fase de desarrollo se le conoca como Windows NT 5.0. Windows Server 2003 es el siguiente paso de esta evolucin, aadiendo algunas funciones nuevas a las ya aportadas por Windows 2000 y mejorando la seguridad y rendimiento general del sistema. La estrategia de esta evolucin pretende bsicamente dos cosas: avanzar en la convergencia de todos los sistemas operativos Windows (la convergencia completa de
-7-
versiones se produce con la salida de Windows Server 2003) y atacar el segmento de los grandes servidores con mayores garantas contando a su vez con la versin de cliente bajo la misma arquitectura de sistema operativo. Son muchos los cambios y aadidos desde la versin de Windows NT 4.0 pero a grandes rasgos podramos destacar: Mejora de la interfaz de usuario, Windows 2000 aade caractersticas visuales ya incluidas en Windows 98 y Milenium, Windows Server 2003 adopta la interfaz grfica aparecida con Windows XP. Mejora de la gestin del hardware y soporte de dispositivos Plug and Play, aunque en algunas ocasiones podemos encontrarnos con problemas para localizar los drivers adecuados de algunos dispositivos o la inexistencia de los mismos, este problema tiende a minimizarse. Adems Windows Server 2003 aporta gestin para software ms potente, siendo compatible con plataformas de 64 bits. Mejora de las herramientas de administracin en general tendiendo a la centralizacin de todos los procesos de administracin y aadiendo un mayor soporte para la administracin remota. Dentro de este apartado cabe destacar aspectos como: Directivas de grupo: El editor de directivas de grupo permite a los administradores establecer polticas para usuarios individuales y grupos en un sitio, dominio o unidad organizativa dentro del Directorio Activo. Esta solucin permite hacer ms eficaces los perfiles de usuario y utilizacin del sistema operativo que luego se puede controlar desde el Directorio activo. En Windows Server 2003 se aade adems la herramienta del Conjunto resultante de directivas que simplifica la administracin de estas. Mejoras en las herramientas de administracin de linea de comandos: En Windows Server 2003 se aaden nuevos comandos desde el smbolo del sistema, es premisa de diseo que toda la administracin de un servidor se pueda realizar a traves de linea de comandos, de modo que todas las tareas sean susceptibles de ser ejecutadas de forma programada mediante scripts. Ademas, desde Windows 2000 se da soporte directo a la ejecucin de scripts de Visual Basic, Java scripts u otros a traves de WSH (Windows Scripting Host) que permite la automatizacin de tareas tanto en el mbito de la administracin de usuarios, la conexin o desconexin un servidor de red, la creacin de accesos directos para aplicaciones y archivos estndar as como muchas otras tareas comunes. Escritorio remoto: Aparecido con Windows 2000 como servicios de terminal, que permite el acceso remoto a un terminal para la administracin completa del servidor como si estuviramos delante de la consola, con Windows Server 2003 se permite incluso la captura de la consola del servidor. Asistencia remota: Aparecida con Windows XP permite el control remoto de la consola de estaciones de trabajo Windows XP o servidores Windows 2003. Este control remoto puede ejercerse bajo peticin del usuario o directamente sin la solicitud de este, segn la configuracin que se haya establecido. Mejora en al interconexin de redes: mayor y mejor soporte al protocolo TCP/IP, que se convierte en el protocolo nativo de red desde Windows 2000 en el -8-
intento de convertirse en el sistema operativo de servidor con todos los servicios intranet Internet integrados. DNS dinmico integrado en el Directorio Activo para la traduccin nombres de red a direcciones IP de los clientes de la red. NAT (Network Address Translator): traductor de direcciones de red, es un servicio que oculta las direcciones IP procedentes de redes externas traduciendo la direccin IP a una direccin externa pblica. Esta operacin oculta la estructura IP interna y adems permite a una red local usar direcciones IP sin registrar para las comunicaciones internas ATM (Asynchronous Transfer Mode) Modo de transferencia asncrona es una avanzada tecnologa de trasmisin WAN que ofrece conmutacin de paquetes de trasmisiones de datos a alta velocidad de tamao de celda fijo. ATM puede transferir voz, datos, vdeo, imgenes y otros productos multimedia a cerca de 155 Mbps con un lmite terico de 1.2 Gbps. Fibre Chanel: ofrece una transferencia de datos de 1 Gbps que combina protocolos de trasporte comunes, como IP, junto a E/S de gran velocidad en una solucin de conectividad. QoS (Quality of Service): calidad de servicio Windows es un conjunto de servicios diseados para ofrecer un sistema de envo garantizado a travs del trfico IP. QoS ofrece un conjunto de requisitos de servicio que debe cumplir la red mientras transfiere datos, como reservar cierto ancho de banda para una aplicacin en concreto. Mejoras en el almacenamiento de ficheros, funciones nuevas para administrar y proteger archivos en caso de que se produzcan errores en el disco duro. Servicio de proteccin de ficheros: este servicio protege los ficheros sensibles del sistema operativo ante su modificacin o eliminacin aumentando as la disponibilidad y confiabilidad del sistema Capacidad de cifrado de archivos de usuario. Capacidad de agregar espacio de disco a un volumen sin tener que volver a arrancar el servidor. DFS (Distributed File System): sistema de archivos distribuidos es un nuevo componente de servidor que facilita la bsqueda de informacin y datos a los usuarios. Con DFS, los usuarios pueden ver un sencillo rbol de directorios que incluye ficheros de varios servidores o grupos de archivos proporcionando servicios de replicacin de los mismos que aumentan la disponibilidad de los mismos. Seguimiento de vnculos distribuidos: este sistema soluciona problemas con archivos que has cambiado de nombre o de ruta. El seguimiento de vnculos distribuidos arregla los accesos directos y vnculos OLE para estos cambios de nombre o ruta. Cuotas de disco: permite administrar la cantidad de espacio dentro de volmenes de disco NTFS. Usando cuotas de disco se puede limitar la
-9-
cantidad de espacio que se usa por usuario, o monitorizar la cantidad de espacio usado en las particiones del disco. En Windows Server 2003 se aaden las Instantneas de volumen, que son copias de los datos en un momento determinado y que permiten volver a estados anteriores de los mismos en caso de desastre, corrupcin o borrado accidental de los mismos Mejoras en disponibilidad y fiabilidad: herramientas que ayudan a mantener los sistemas siempre disponibles y minimizan los tiempos de recuperacin en caso de errores. La utilidad de copia de seguridad permite desde Windows 2000 guardar archivos en un amplio abanico de soportes, como discos Zip, CD-ROM unidades de cinta y discos duros externos, unidades de red, etc. Recuperacin automatizada del sistema: una herramienta basada en disquete que arrancara el sistema y restaurara el conjunto de archivos necesarios para iniciar Windows desde la copia de seguridad. Organizacin por clsteres: La familia de servidores Windows tambin soporta nuevos servicios de organizacin por clsteres, la organizacin por clsteres permite la conexin de dos o ms servidores para formar un sistema virtual nico. Esta operacin crea mayor disponibilidad y poder de computacin, soportndose hasta sistemas de 32 nodos de hasta 32 procesadores cada uno. Mejoras en los servicios de impresin mediante el Directorio Activo impresoras se pueden organizar como objetos para que sean fciles de localizar usar, con servicio de configuracin automtica en el cliente Escalabilidad mejorada: La familia de servidores Windows permite acceder ahora hasta 64 GB de memoria en plataformas Intel de 32 bits y hasta 128 GB en plataformas de 64 bits. La arquitectura de memoria permite a las aplicaciones mantener ms datos en memoria y, por consiguiente, mejorar el funcionamiento. Por otro lado tambin se ha mejorado el rendimiento SMP soportndose sistemas multiprocesador de hasta 32 microprocesadores. Mejoras en la seguridad: Desde Windows 2000 se ofrecen varias herramientas y mejoras para la cada vez mayor necesidad de seguridad en las redes avanzadas de hoy en da. Autenticacin Kerberos: es un protocolo de autenticacin estndar de Internet y sustituye a NTLM como el protocolo de seguridad primario para tener acceso a recursos dentro de un dominio o a travs de dominios. Kerberos ofreces varias ventajas de seguridad, incluyendo autenticacin tanto para el cliente como para el servidor, as como reduccin de la carga del servidor para mantener la seguridad. Servidor de certificados de clave pblica: desde Windows 2000 se incorpora un servidor de certificados de clave pblica para cifrar datos. El servidor de certificados de clave pblica permite a las organizaciones usar certificados de clave pblica con un servidor de certificados en su propio web, en lugar de apoyarse en otras compaas proveedoras de certificados de clave.
- 10 -
Tarjeta inteligente: Microsoft ha puesto en prctica tarjetas inteligentes, un componente de la infraestructura de clave pblica. Las tarjetas inteligentes aumentan la seguridad del acceso simple, del almacenamiento y otras soluciones de software. Las tarjetas inteligentes permiten proteger claves privadas, contraseas, informacin personal y otra informacin privada. Las tarjetas inteligentes incluidas en Windows 2000 cumplen el estndar ISO y contribuirn a reducir los problemas de incompatibilidad tan frecuentes en el pasado. Editor de configuracin de seguridad: permite a los administradores crear una plantilla de seguridad aplicable a muchas computadoras. Esta caracterstica de plantilla ahorra a los administradores tiempo y ofrece un enfoque ms uniforme a las configuraciones de seguridad de una red. IPSec: Protocolo de seguridad IP para el trfico TCP/IP cifrado. El protocolo de seguridad IP se puede usar para transmisiones cifradas dentro de una intranet, y tambin se puede usar el Protocolo de tnel punto a punto (PPTP, Point to Point Tunneling Protocol) cuando se crean Redes privadas virtuales a travs de Internet. En Windows Server 2003 se da una vuelta de tuerca ms a la seguridad, adems de soportar todas las funciones arriba sealadas se aportan herramientas adicionales para la gestin de la misma y se desactivan por defecto todos los servicios que pudieran resultar potencialmente peligrosos, de modo que sea el administrador del sistema el que los active de modo consciente y por lo tanto se haga cargo de su gestin y seguridad. Directorio Activo, por supuesto el Active Directory, la funcin que ms potencialidades ofrece desde el lanzamiento de Windows 2000 y un concepto nuevo en Windows 2000 y totalmente integrado en Windows Server 2003 con el que se recoge y da soporte al estndar de directorios LDAP posibilitndose la sincronizacin con sistemas de metadirectorios y el tan deseado Single Sign-on (autenticacin nica).
Versiones de Windows
Podramos decir que Windows Server ms que un sistema nico es una familia de sistemas operativos. Actualmente, en su versin Windows 2003 est formado por cuatro miembros: Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Server y Windows Server 2003 Web Edition. As mismo su correspondiente sistema operativo de cliente o estacin de trabajo sera Windows XP Professional Edition. Veamos a grandes rasgos las diferencias entre ellos. Windows XP Professional Podramos decir que Windows XP Professional es donde realmente se realiza el trabajo dentro de una red. Sera la versin correspondiente a Windows NT Workstation o Windows 2000 Professional en la generacin de Windows 2003. Sus requerimientos de instalacin y funcionamiento son:
- 11 -
Microprocesador: El mnimo admitido es Pentium o compatible a 233 Mhz. Aunque estn recomendados 300 Mhz o superior. Con soporte de 2 procesadores por equipo en el caso de la versin Professional. Memoria RAM: Se recomienda al menos 128 MB de RAM dependiendo del nmero y naturaleza de aplicaciones a ejecutar, 64 MB de es el mnimo admitido. Disco duro: se recomienda 1,5 GB con de espacio libre de disco duro para la instalacin. Aunque realmente no es mala idea reservar una particin de 8 GB para contener el sistema y los programas. Deberemos, adems, tener en cuenta que si el sistema de archivos es FAT se requieren entre 200 y 400 MB adicionales y que si se instala a travs de una red, se necesitar ms espacio libre durante el proceso de instalacin.
Windows Server 2003 Standard Edition Sera la versin correspondiente a Windows 2000 Server en Windows 2003. Sus requisitos de instalacin y funcionamiento son: Microprocesador: El mnimo admitido son procesadores con una velocidad de 133 Mhz. Aunque est recomendados un mnimo de 550 Mhz. Se soportan hasta un mximo de 4 procesadores por equipo. Memoria RAM: Se recomienda 256 MB de RAM como mnimo, 128 MB es el mnimo admitido y 4 GB es el mximo. Una particin de disco duro con suficiente espacio libre para alojar el proceso de instalacin. El espacio mnimo necesario ser aproximadamente 1,25 a 2 GB, es posible que necesite ms espacio dependiendo de los componentes que van a instalarse y el tipo de instalacin que se realice. Tendremos tambin en cuenta, aparte de las consideraciones ya realizadas para la versin XP Professional en este aspecto, el tamao del archivo de paginacin (1,5 veces el tamao de la RAM como mnimo), si es que este va ha alojarse en esta unidad. Adems a todo esto debemos aadir el tamao de las aplicaciones a instalar... Reservar una particin de 8 GB para el sistema en puede ser bastante razonable.
Por otro lado, una actualizacin puede requerir mucho ms espacio que una instalacin nueva, ya que la base de datos de cuentas de usuario existentes puede expandirse hasta multiplicarse por diez al agregar la funcionalidad de Active Directory. Windows Server 2003 Enterprise Edition Sera una versin para servidores ms grandes, incluye caractersticas adicionales como soporte para clusters, mejora del sistema de memoria e incluye ordenamiento de alto rendimiento (mejora el rendimiento de tareas comunes como prepararse para grabar informacin en procesos por lotes, preparar impresoras, operaciones de procesos por lotes para ese tipo de operaciones). Sus requisitos de instalacin y funcionamiento son: Microprocesador: El mnimo admitido es 133 Mhz. Aunque estn recomendado 733 Mhz. MMX o ms y este es el mnimo admitido para sistemas de 64 bits. Hasta un mximo de 8 procesadores por equipo en SMP (Multiproceso simtrico). Se da soporte a procesadores de 64 bits.
- 12 -
Memoria RAM: Se recomienda 256 MB de RAM como mnimo, 128 MB es el mnimo admitido y 32 GB es el mximo para sistemas de 32 bits y 64 GB para sistemas de 64 bits Las consideraciones sobre disco duro son las mismas que para la versin Standard. Se proporciona soporte a clsteres de servidores, pudiendo gestionar hasta 8 nodos.
Windows 2003 Datacenter Edition Es el sistema operativo ms potente de la familia de servidores Windows. Dicho de manera sencilla, la versin Datacenter nace de la Enterprise para dar soporte a aplicaciones crtica de negocio con los ms altos niveles de escalabilidad y disponibilidad. Hay dos puntos clave que diferencian a Datacenter de Enterprise. Son la escalabilidad SMP y la memoria fsica. Escalabilidad SMP: Datacenter Edition admite entre 8 y 32 CPUs en multiproceso en la versin de 32 bits y hasta 64 procesadores en la versin de 64 bits. Memoria fsica: Datacenter Edition soporta hasta 64 GB de memoria RAM en plataformas de 32 bits y hasta 512 GB en sistemas de 64 bits.
Windows 2003 Web Edition Es un producto nuevo dentro de los sistemas operativos de Windows, est diseado especficamente para el alojamiento de servidores Web tanto de pginas como de aplicaciones mediante IIS 6.0. No puede emplearse para alojar otro tipo de servicios como servicios de red, controladores de dominio de Active Directory, etc. Microprocesador: El mnimo admitido es 133 Mhz. Aunque estn recomendado 550 MMX o ms. Hasta un mximo de 2 procesadores por equipo en SMP (Multiproceso simtrico). Memoria RAM: Se recomienda 256 MB de RAM como mnimo, 128 MB es el mnimo admitido y 2 GB es el mximo. Las consideraciones sobre disco son las mismas que para la versin Standard.
- 13 -
CONSIDERACIONES PREVIAS A LA INSTALACIN

Windows Server 2003 ofrece varios mtodos para implementar el sistema operativo en la empresa. Sin embargo, antes de comenzar es necesario realizar un estudio de las configuraciones vigentes de la red y planificar cuidadosamente el mtodo y los tiempos de la actualizacin. La preparacin previa y la planificacin son factores vitales para una implantacin exitosa de Windows Server 2003, independientemente de que se est instalando un servidor, cien servidores o miles de servidores. Es necesario que estemos totalmente seguros que nuestro hardware, nuestra configuracin de red y nuestras aplicaciones aceptarn al nuevo sistema operativo sin provocar interrupciones en la productividad de la empresa.
Requerimientos de hardware
Ningn sistema operativo se ejecuta adecuadamente si est instalado en una mquina menos potente de lo necesario o en una mquina con hardware que el sistema no admite. Windows Server 2003 establece algunas consideraciones importantes sobre los requisitos mnimos de hardware. En el captulo anterior se han descrito los requisitos de hardware de cada una de las ediciones de Windows Server 2003. Se podr constatar que la especificacin "mnimo requerido" es realmente insuficiente para las aplicaciones del mundo real, por lo tanto, tambin se incluyen los valores recomendados, a esto deberemos sumar los requerimientos de las aplicaciones que tengamos pensado ejecutar para los usuarios que se prevean atender de forma concurrente. Lista de compatibilidad de hardware La lista de compatibilidad de hardware de Microsoft (HCL, Hardware Compatibility List) brinda una larga lista de fabricantes de productos, incluyendo sistemas, clsteres, controladores de disco, red y sistemas de almacenamiento. (NAS, Network Attached Storage o SAN, storage area network). La HCL forma parte del grupo WHQL de Microsoft (Windows Hardware Quality Labs). En el sitio web de Microsoft www.microsoft.com se puede consultar la lista HCL vigente. Adems de tranquilizar a los administradores respecto a la compatibilidad de su hardware, la inclusin en HCL significa que tambin encontraremos los controladores en Windows Server 2003. Esto es especialmente importante para los sistemas que utilizan un HAL personalizado, como el hardware de multiprocesamiento simtrico (SMP) o para sistemas que emplean controladores de disco de tipo complejo. Hardware de multiprocesamiento simtrico Desde las primeras versiones de Windows NT Microsoft ha dado soporte al hardware de procesamiento simtrico. SMP (Symmetric Multi-Processing) permite que un ordenador comparta uno o ms procesadores, y que cada procesador comparta memoria y entrada /salida. Soporte Plug and Play Desde hace bastante tiempo que los sistemas operativos de cliente y servidor de Microsoft soportan el estndar Plug And Play (PnP) para detectar dispositivos e instalar automticamente sus controladores. Windows Server 2003 obviamente sigue suministrando dicho soporte. Con el sistema operativo se puede utilizar una amplia variedad de dispositivos PnP, incluyendo las tarjetas PCI e ISA.
- 14 -
Si en el sistema existen dispositivos que no son PnP, Windows Server 2003 podr tambin utilizarlos. No obstante, ser necesario verificar que los recursos utilizados por el dispositivo no generan conflictos con otros o con los recursos reservados por la BIOS del equipo. Si ya se han utilizado dichos dispositivos que no son PnP en versiones anteriores de Windows, es ms que probable que sigan funcionando correctamente en Windows Server 2003. Sin embargo, deberamos tener la precaucin de documentar esos dispositivos, incluyendo el rango de direcciones de entrada/salida, el rango o rangos de direcciones de memoria, la IRQ utilizada y el canal DMA (cuando corresponda). Esta informacin nos puede ser til en el futuro cuando tengamos que configurar o reconfigurar dispositivos en Windows Server 2003. Temas sobre ACPI La configuracin avanzada e interfaz de energa (ACPI, Advanced Configuration and Power Interface) es actualmente el medio de comunicacin estndar del hardware con la BIOS del sistema. Windows Server 2003 soporta ACPI pero quiz no soporte sistemas anteriores que empleen metodos ms antiguos de administracin avanzada de energa (APM, Advanced Power Management). Para evitar esta clase de problemas lo mejor es consultar previamente la lista HCL.
Desarrollo de un plan de implementacin

La instalacin de un nuevo sistema operativo en una red productiva no representa un esfuerzo trivial. Antes de instalar o de actualizar el primer equipo con Windows Server 2003 se debera probar a fondo el sistema operativo en un entorno de laboratorio, pruebas o preproduccin y realizar una lista clara y detallada de los pasos necesarios para lograr implementar y controlar el sistema operativo en su entorno de produccin. Esta lista de pasos detallados se convertir en su plan de implementacin. No existen reglas estrictas sobre el contenido o longitud de este documento que debemos generar con anticipacin a la implementacin real de todo el entorno de produccin, pero cuanto ms detallado sea este plan, mejor. Se comienza con la informacin bsica acerca de su entorno e infraestructura vigente, el modo en que est estructurada la empresa y un mapa detallado de la red, incluyendo la informacin relacionada a los protocolos, direccionamientos y conexiones a redes externas (por ejemplo, enlaces entre LAN y conectividad con Internet). Adems, el plan de implementacin debera identificar las aplicaciones utilizadas dentro del entorno que podran verse afectadas por la migracin a Windows Server 2003. Esto incluye aplicaciones de capas mltiples, aplicaciones basadas en web y todos los componentes que se ejecutarn en un equipo Windows Server 2003. Despus de haber identificado los componentes del entorno, el plan de implementacin debera afrontar los detalles especficos de la instalacin, lo que incluye la especificacin del propio entorno de pruebas, la cantidad de servidores que se implementarn y el orden de secuencia que se seguir. Finalmente, pero no por eso menos importante, el plan de implementacin debera incluir los pasos que se tendran que realizar si algo no funcionase de la manera esperada; el desarrollo de un plan de contingencias para contrarrestar potenciales problemas en la implementacin es uno de los aspectos ms importantes de la fase de planificacin incluyendo un plan completo de vuelta atrs que deje el sistema en el mismo estado en que se encontraba antes de comenzar la implementacin. Si se encuentran inconvenientes para identificar el rango completo de hardware, aplicaciones y datos de la empresa, puede comprobarse si la empresa tiene un plan de continuidad comercial que incluya los recursos informticos. Muchas empresas de tecnologas de la informacin mantienen un plan de recuperacin de desastres que identifica los pasos especficos que se deben llevar a cabo para restaurar los servidores y sistemas en el caso de un desastre natural, y ste - 15 -
puede ser un buen punto de inicio para obtener informacin de la plataforma de hardware vigente, las versiones de las aplicaciones y las ubicaciones de los datos crticos de la empresa. Adems deberemos tener en cuenta que aunque un documento creado con un procesador de textos es adecuado para escribir un plan de implementacin, si la empresa posee un parque amplio de equipos y de servidores o si el plan de implementacin de equipos Windows Server 2003 abarca un perodo prolongado de tiempo se debera considerar la posibilidad de controlar el avance del plan utilizando un buen producto especializado para gestin y administracin de proyectos, como por ejemplo Microsoft Project. El plan de implementacin debera incluir una lista de todas las personas directamente involucradas en el proceso de implementacin, detallando tambin sus funciones. Esto puede lograr que disminuya la posibilidad de que se dupliquen las tareas o, peor an, que no se realicen nunca. Documentar el hardware Determinar que el hardware soportar los ya de por s bastante exigentes requerimientos de Windows Server 2003 es una tarea crtica antes de comenzar la instalacin. Al existir tantos requerimientos que afectan la compatibilidad con el sistema operativo, es necesario documentar todos los sistemas existentes sobre los que se piensa instalar o actualizar el sistema operativo. Basndonos en este anlisis, podramos encontrarnos ante la situacin en la que se precise actualizar algunos componentes, por ejemplo, la memoria RAM, el procesador y el espacio en disco para dar soporte a Windows Server 2003, o quiz lleguemos a la conclusin que algunos equipos tengan que ser reemplazados. Una hoja de inventario en la que se indican las especificaciones de hardware de los posibles candidatos a servidores nos puede ayudar a identificar qu es lo hay que actualizar y/o qu es lo que hay que sustituir antes de implementar Windows Server 2003. Deberemos utilizar la informacin que hayamos reunido en la hoja de hardware junto con la informacin de los requerimientos de hardware que hayamos previsto para desarrollar una estrategia de actualizacin o sustitucin de hardware de la instalacin de Windows Server 2003. Documentar la red La informacin de documentacin de red del plan de implementacin implica el anlisis pormenorizado de todos los aspectos de la comunicacin por red de toda la empresa. Esto incluye no slo el equipo fsico de red, por ejemplo, adaptadores de red, tipos de cables, routers o encaminadores, intercambiadores y concentradores, sino que tambin requiere la informacin de configuracin de protocolos, sitios geogrficos y topologa lgica. Para la comunicacin con otro host de la red, nuestro equipo Windows Server 2003 debe emplear un esquema de direccionamiento compatible, y debe tener un nombre nico. Para el protocolo TCP/IP, esto incluye la documentacin de las subredes vigentes, las direcciones IP estticas de cada subred, los servidores DHCP disponibles y los espacios de nombres DNS. Para nombres de red, se debera documentar la metodologa que se aplica en la empresa para la nomenclatura de los servidores de la red si es que hay alguna o en su caso definir una clara en la que basarse. Nuestro plan de implementacin debera identificar todas las necesidades de conectividad entre redes fsicas internas, as como tambin las conexiones a redes de rea extensa (WAN, Wide rea Networks) y a Internet. Entre las funcionalidades o caractersticas que se
- 16 -
deberan documentar se tendra que incluir el tipo de conexin, el ancho de banda, el tipo de dato que transita por el enlace y la necesidad o no de encriptacin. Independientemente de que se planifique la actualizacin de los posibles controladores de dominio existentes a Windows Server 2003, la documentacin de nuestra estructura vigente de dominio, si es que existe, brindar una buena visin general sobre cmo se adecuarn los equipos individuales Windows Server 2003 a nuestra red. Tambin nos permitir visualizar ms fcilmente el camino de actualizacin de nuestros dominios y controladores de dominio, si tambin pensamos actualizarlos. Documentar el software Se deber documentar las aplicaciones, detallando el nombre de cada aplicacin que se ejecuta en cada servidor, las versiones vigentes (inclusive el nivel de revisin o parcheado de la versin) y una breve descripcin de la funcin de cada aplicacin. Adems de las aplicaciones empresariales ms comunes, tambin se debe incluir los servicios principales, por ejemplo, los servidores de bases de datos y componentes menos visibles, como los servicios de red, servicios de terceros y las herramientas de administracin y monitorizacin. Documentar los componentes heredados El trmino "heredado" es simplemente una manera elegante de decir "obsoleto" y es un trmino que se aplica igualmente a hardware, aplicaciones, protocolos y datos. Los componentes heredados normalmente cumplen un objetivo importante dentro de la empresa, y sa es frecuentemente la principal razn por la que el componente heredado an no se ha podido reemplazar o eliminar de la empresa. Los componentes heredados podran ser de distinto tipo: Ciertas tarjetas ISA o PCI, por ejemplo tarjetas SNA propietarias para conexin a un ordenador principal (mainframe) o adaptadores para cifrado, que no tienen soporte en el sistema operativo. Aunque estos dispositivos pueden funcionar correctamente en equipos Windows NT o en Windows Server 2000, no existen garantas que sus controladores de dispositivos funcionen adecuadamente con Windows Server 2003. Los controladores ms antiguos para almacenamiento masivo o controladores con una BIOS de bajo nivel o un firmware que no est soportada por el sistema operativo. En estos casos deberemos informarnos en el sitio web del fabricante sobre posibles actualizaciones que den soporte a Windows Server 2003. Aplicaciones antiguas de 8 o 16 bits desarrolladas para DOS o Windows 3.x.. Aunque Windows Server 2003 intenta mantener la compatibilidad hacia atrs con el software antiguo, se debe estar preparado para detectar que no todos los programas antiguos se ejecutarn correctamente en ese sistema operativo. Prepararse para los problemas Los problemas forman parte del mundo real. Incluso el mejor plan de implementacin no llegar a tener en cuenta todos los problemas posibles que podemos encontrar cuando introduzcamos Windows Server 2003 en nuestro entorno. Quiz se haya omitido alguna aplicacin crtica al reunir la informacin acerca de la red, y la aplicacin falla al ejecutarse en Windows Server 2003. O quiz una ACPI de BIOS antigua est provocando un comportamiento extrao en uno de los controladores de dominio que se han actualizado a Windows Server 2003. Independientemente de los problemas especficos que podemos encontrar, es importante identificar los riesgos potenciales asociados a cada etapa de la - 17 -
implementacin, e incluir las contingencias en nuestro plan de implementacin. Es necesario asegurarnos que siempre se tiene un modo para volver al estado anterior, preferentemente mediante la restauracin del entorno. Los riesgos se pueden gestionar tomando en consideracin a los potenciales problemas antes de que se presenten o tratando con ellos despus que aparezcan. Obviamente, no es posible ni rentable documentar todo lo que podra funcionar mal y desarrollar una contingencia para enfrentar el problema. Pero, al incluir una lista de problemas potenciales junto con la solucin dentro de cada etapa del plan de implementacin podremos eliminar una gran cantidad de trabajo, inclusive problemas terribles como los del tipo son las 2 de la maana y estoy aqu hace 18 horas, el servidor no arranca y no s cmo arreglarlo. Obviamente, la realizacin de una copia completa del sistema es un requisito imprescindible a la implementacin de un nuevo sistema, pero la restauracin del sistema a partir de la copia de seguridad no debera ser el nico plan de contingencia. Se debera verificar que en el plan de implementacin se tienen previstas contingencias para las situaciones, como la incompatibilidad de hardware y aplicaciones o los fallos de controladores de terceros.
- 18 -
CONFIGURACIN GENERAL DEL SISTEMA

Como puede imaginar, configurar la interfaz y el sistema es una de las ta reas ms sencillas que puede realizar con su servidor. La configuracin del sis tema y de la interfaz implica establecer una serie de configuraciones que afec tan a la apariencia del escritorio, de los iconos y de las carpetas, a cmo maneja el sistema las aplicaciones y la memoria y a cmo el servidor accede y utiliza Internet. Aunque la configuracin de la interfaz y del sistema es mu cho ms fcil de establecer que los complejos servicios de servidor y las opciones de interconexin que examinaremos en los siguientes captulos, la configuracin del sistema afecta a su forma de funcionamiento y a cmo se muestra la interfaz. En este captulo aprenderemos como utilizar el asistente para configurar el servidor y a configurar el sistema y la interfaz para que funcionen segn sus necesidades.
Asistente de administracin del servidor

Despus de instalar Windows Server 2003, cada vez que se inicia sesin en el equipo, automticamente se abre la pgina Administre su servidor . Microsoft introdujo esta herramienta en Windows 2000 y en Windows Server 2003 se encuentra una versin mejorada de la misma. Tal como puede apreciarse en la imagen, esta ventana contiene una gran cantidad de utilidades para configurar las funciones de nuestro servidor y para administrar los servicios previstos para los usuarios de esas funciones.
Tambin podemos abrir esta pgina haciendo clic en el botn I n i c i o > A d m i n i s t r e s u servidor .
- 19 -
Podemos utilizar los asistentes que nos ofrece la herramienta Administre su servidor para configurar el servidor Windows Server 2003 para una funcin especfica o para funciones mltiples (existe un asistente independiente para cada funcin). El asistente nos conduce por los pasos de la instalacin de los componentes necesarios para los servicios que se quieren prestar con el servidor.1 Para iniciar el asistente deberemos hacer clic en A g r e g a r o q u i t a r f u n c i n . La pgina del asistente que se abre visualiza una lista de las tareas preliminares, la mayora de las cuales probablemente las hemos llevado a cabo automticamente durante la instalacin del sistema operativo.
Cuando hacemos clic en S i g u i e n t e , el asistente verifica el adaptador de red (NIC) para comprobar que el equipo se puede comunicar con la red y despus visualiza la lista de funciones que podemos asignar al servidor.
Los asistentes para configurar nuestro servidor no estn disponibles en la versin Web Edition de Windows Server 2003.
- 20 -
En esta ventana nos informa de los servicios que tenemos configurados y cuales no. Seleccionando una funcin concreta, podremos instalarla o administrar aquellas que ya tengamos configuradas. Funciones de los servidores Windows Server 2003 Dentro de una red de Windows un servidor puede estar dedicado a mltiples funciones, cada una de las cuales suelen estar interrelacionadas entre s proporcionando a los clientes de la red una serie de servicios integrados. Entre las diferentes funciones que un servidor puede llevar a cabo caben destacar algunas: Controlador de Dominio (DC): Son los encargados de guardar la base de datos de objetos del Active Directory. Se recomienda que existan al menos dos de ellos en una red, de este modo se replicaran la informacin del Dominio entre ellos proporcionando mayor rendimiento y tolerancia a fallos pudindose aadir tantos como se desee(de todas maneras un DC puede atender a miles de clientes en una red sin problemas de rendimiento). Los servidores que no realizan funciones de DC se les conoce como servidores miembro o independientes. Servidores de servicios de red: proporcionan diferentes funcionalidades dentro de la propia red como servicio de DNS, WINS, DHCP, etc. Servidores de ficheros: guardar ficheros que pueden ser accesibles desde el resto de clientes de la red. Servidores de impresin: prestan servicios de impresin al resto de clientes de la red. Servidores de aplicaciones de Internet (IIS): proporcionan servicios de pginas Web, FTP, etc. ya sea en la propia intranet como en Internet
- 21 -
Servidores de Base de Datos. Almacenan grandes volmenes de datos de forma estructurada y los suministran a clientes que ejecutan aplicaciones de acceso y manipulacin de los mismos. Servidores de Correo electrnico: proporcionan servicios de correo (POP3 y SMTP) tanto en el mbito interno de la intranet como por Internet. Adicionalmente tambin pueden proporcionar servicios de mensajera avanzados a travs de aplicaciones adicionales como Exchange Server. Servidores de aplicaciones (Terminal Server): ejecutan directamente en el servidor aplicaciones en un entorno multiusuario, ofreciendo a los clientes un terminal de visualizacin de su aplicacin (Windows Terminal), implementando as un modelo de informtica centralizada. Servidor de acceso remoto / VPN: proporciona acceso a la LAN a la cual el servidor est conectado a usuarios remotos. Este acceso puede realizarse a travs de marcado telefnico o a travs de Internet utilizando una conexin de datos encriptada (VPN) pudiendo proporcionarse adems servicio de traduccin de direcciones NAT. Servidor multimedia: permite la distribucin de contenido multimedia (audio y video por secuencias).
Men Inicio y Barra de tareas

Se pueden personalizar fcilmente los elementos que aparecen en el men Inicio y en la Barra de tareas . Para configurar estas opciones, haga clic en I n i c i o > Pa n e l d e C o n t r o l > B a r r a d e t a r e a s y m e n I n i c i o o haga clic con el botn derecho del ratn sobre la B a r r a d e t a r e a s y elija P r o p i e d a d e s . Aparece una ventana con dos fichas: Barra de tareas y Men Inicio . En la ficha Barra de tareas , como muestra la figura, podemos usar las casillas de verificacin para seleccionar la opcin de la barra de tareas que queramos usar.
- 22 -
Las opciones de casilla de verificacin son: : Esta opcin impide que la barra de tareas se mueva por el contorno de la pantalla, adems bloquea el desplazamiento de las barras de inicio rpido.
Bloquear la barra de tareas Ocultar automticamente la barra de tareas
: Esta opcin oculta la barra de
tareas cuando no se usa.

Mantener la barra de tareas siempre visible
: Esta opcin no permite que otras
ventanas cubran la barra de tareas. : Esta opcin agrupa en un solo botn varias instancias de la misma aplicacin cuando se va llenando la barra de tareas. Para acceder a cada una de ellas una vez agrupadas deberemos pulsar sobre el botn de dicha aplicacin y elegir la instancia deseada.
Agrupar botones similares de la barra de tareas Mostrar inicio rpido : muestra u oculta los botones de la barra de inicio rpido que aparecen a lado del botn de <I n i c i o > . Estos botones son
personalizables y podemos aadir o quitar los que deseemos.

Mostrar reloj :
muestra u oculta el reloj del sistema en la barra de tareas. Cuando esta visible permite el acceso a la configuracin de fecha y hora haciendo doble clic sobre el mismo. : Esta opcin oculta aquellos iconos que no utilicemos del rea de notificacin en la esquina inferior derecha de la pantalla.
Ocultar iconos inactivos
Si hacemos clic en la ficha Men Inicio , podemos personali zar los elementos que aparecern en el men Inicio .
Podremos elegir entre el nuevo men de inicio al estilo de Windows XP o el men de inicio anterior al estilo de Windows 2000. Para cada uno, pulsando el botn de - 23 -
, podremos especificar distintas opciones del comportamiento del men de inicio y mostrar u ocultar los diferentes elementos del mismo.
<Per sonalizar ...>
En las siguientes imgenes se muestran los cuadros de dialogo de personalizacin del Men de Inicio de estilo Windows XP.
A continuacin se muestran el cuadro de dialogo de personalizacin del Men de Inicio Clsico.
Opciones de configuracin usando el Panel de control

La mayora de las configuraciones del sistema se pueden realizar desde los iconos del Panel de control. Muchas de estas configuraciones son sencillas, y en las siguientes secciones se explica lo que est disponible y cmo configurarlo. Muchas de las aplicaciones o utilidades que instalemos en el sistema tambin incluyen nuevos iconos en el Panel de Control que nos ayudarn a configurar las nuevas funcionalidades. - 24 -
Pantalla El icono de propiedades de Pantalla del Panel de control permite configurar varias opciones de la pantalla en Windows Server 2003. Disponemos de varias opciones incorporadas muchas de las cuales se introdujeron por primera vez con Active Desktop de Internet Explorer 4.0. Se explican en las siguientes secciones.
Temas
La hoja de propiedades de Temas no es muy util en Windows Server 2003, se incluye por compatibilidad con Windows XP.
- 25 -
A travs de ella se podra cambiar la apariencia global del escritorio con una serie de opciones predefinidas. Windows Server 2003 solo incluye, de serie, el tema Windows Clsico, pero podran aadirse cualquiera de los temas disponibles para Windows XP, sin embargo esta opcin no resulta muy recomendable, ya que al tratarse de un sistema operativo con propsito de funcionar como servidor no se configura para el trabajo durante largo tiempo frente a la consola sino para ofrecer servicio a travs de la red, y este tipo de opciones solo restaran rendimiento al comportamiento global del sistema en ese aspecto
Escritorio
La hoja de propiedades Escritorio es la misma que en Windows XP, ofrece varios fondos de escritorio seleccionados, aunque se pueden usar imgenes personalizadas o archivos HTML como fondos. Tambin se puede buscar imgenes adicionales o archivos HTML con el fin de que se muestren a travs del botn < E x a m i n a r . . . > dispuesto para tal fin.
Sin embargo cabe sealar que de cara a la configuracin de un servidor en de red donde en principio no van a trabajar usuarios directamente sobre la consola lo ms adecuado es no configurar ninguna imagen de fondo, ya que de este modo descargaremos del trabajo de dibujar los fondos de pantalla al servidor, lo que redundara en un mejor rendimiento global del sistema. Un caso especialmente crtico sera el caso de servidores de aplicaciones a travs de Servicios de Terminal, en cuyo caso es recomendable la configuracin de un fondo negro obligatorio para los usuarios, de modo que la potencia consumida por la interfaz grfica para cada terminal sea la mnima posible y no se desperdicie ancho de banda en la comunicacin de imgenes de fondo. Tambin cabe destacar que el escritorio predeterminado de Windows Server 2003 permanece casi vaco, aparte de la barra de tareas slo contiene la Papelera de reciclaje. Podemos personalizar la aparicin del resto de elementos de escritorio a los que estamos
- 26 -
acostumbrados en otras versiones de Windows a travs del botn < Pe r s o n a l i z a r e s c r i t o r i o > que aparece en la parte inferior de la ficha de Escritorio. As podremos mostrar u ocultar los iconos de Mi PC, Mis documentos, Mis Sitios de red, y el icono de Internet Explorer, por supuesto adems de estos y como siempre, podremos aadir al escritorio los accesos directos que en cada caso consideremos necesarios sin ms que arrastrarlos y soltarlos sobre el fondo del escritorio o arrastrarlos a la papelera de reciclaje cuando ya no los consideremos necesarios. A este respecto, se ha incluido al igual que en Windows XP un asistente que monitoriza los iconos del escritorio y elimina automticamente del escritorio aquellos que no hayamos empleado en los ltimos 60 das. Dicho asistente puede activarse o desactivarse desde la opcin que aparece en la parte inferior de la pestaa general del cuadro de dialogo de personalizacin del escritorio, como puede observarse en la figura.
Adems en la pestaa Web de este cuadro de dialogo podemos configurar la aparicin de contenido Web en el escritorio, sin embargo como se ha mencionado anteriormente este tipo de opciones no son muy recomendables en un sistema servidor, tanto por consideraciones practicas como por su influencia en el rendimiento.
- 27 -
Configuracin y administracin de Windows Server 2003 Protector de pantalla
La hoja de propiedades Protector de pantalla permite elegir el protector de pantalla. Si hace clic en el botn <Configuracin> , podr especificar ciertos colores y formas en funcin del protector de pantalla seleccionado. Si hace clic en el botn <Energa> , podr ajustar la configuracin de energa para que el monitor y los discos duros se desactiven despus de un periodo de inactividad concreto, siempre que el hardware soporte administracin de energa. As mismo, al usar protector de pantalla, recuerde que muchos de ellos (especialmente los que usan OpenGL) utilizan mucha memoria del sistema y muchos recursos lo que puede influir negativamente en el rendimiento general del sistema.
Una funcin interesante del protector de pantalla desde el punto de vista de la seguridad es la opcin Protegido por contrasea, esta opcin hace que una vez se active el protector de pantalla tras el tiempo especificado en la calilla Esperar, la consola del servidor queda bloqueada y slo puede volver a ser activada por el usuario que estuviera utilizndola o por un administrador del sistema. Esta opcin puede evitar accesos indeseados a la consola del servidor ocasionados por posibles descuidos en la utilizacin del mismo.
Apariencia
La hoja de propiedades Apariencia es muy parecida a la de versiones anteriores de Windows. Podemos usar esta ficha para especificar el color del escritorio, ventanas, barras de desplazamiento, mens, y algunas otras opciones y efectos de visualizacin utilizando los botones <Efectos> y <Opciones Avanzadas> incluidos con dicho propsito. La activacin de un fondo negro en la pantalla del servidor es la opcin que menos recursos del sistema consume, esta opcin se hace especialmente importante en el caso de servidores de aplicacin a travs de Servicios de Terminal
- 28 -
Configuracin
La hoja de propiedades Configuracin es la misma de versiones anteriores de Windows. En esta ficha podemos seleccionar el nmero de colores y el tamao del rea de pantalla.
Si hacemos clic en el botn <Opciones avanzadas>, podemos especificar configuraciones adicionales para nuestro monitor y adaptador de video concretos o solucionar problemas de rendimiento.
- 29 -
Opciones de carpeta Windows Server 2003 al igual que ocurre en Windows XP ofrece opciones flexibles a la hora de elegir la apa riencia de las carpetas y los archivos que contienen. Podemos acceder al icono Opciones de carpeta dentro del Panel de control o elegir Opciones de carpeta desde el men de Herramientas de cualquier ventana del Explorador de archivos, para ver las opciones de carpeta disponibles. Estn disponibles las siguientes hojas de propiedades y opciones de con figuracin:
General
La hoja de propiedades General permite elegir si se muestran o no las opciones de tareas comunes a la parte izquierda de la ventana a en las capetas. Si no deseamos esta funcin, podemos activar la opcin Utilizar el escritorio clsico de Windows. Tambin podemos elegir examinar las carpetas, de forma que cada carpeta se abra en la misma ventana o se abran mltiples ventanas. Y podemos elegir la posibilidad de abrir un elemento haciendo clic slo una vez, como ocurre con los hipervnculos de una pgina Web.
- 30 -
Ver
La hoja de propiedades Ver muestra varias casillas de verificacin y botones de opcin para poder especificar la informacin que se muestra en las ventanas de Windows sobre archivos y carpetas. Esta funcin permite ver archivos ocultos o del sistema, rutas completas de archivo, ocultar o visualizar las extensiones de archivos conocidos, mostrar de otro color las carpetas y archivos comprimidos o cifrados y varias funciones adicionales tal y como se muestra en la siguiente figura.
Tipos de archivo
Esta hoja de propiedades muestra todos los tipos de archivo registrados en el sistema. Podemos agregar o eliminar el tipo de archivo que queramos, pero la configuracin predeterminada normalmente es la mejor. El botn < Opciones avanzadas> permite
- 31 -
especificar los iconos para determinados tipos de archivo, asociar las acciones a desarrollar y programas a utilizar y elegir que se muestre siempre la extensin del archivo, si se desea.
Archivos sin conexin
Windows 2003 o Windows XP podemos ver archivos guardados en un equipo de la red cuando el equipo est desconectado. Esta hoja de propiedades, es una funcin que aparece con Windows 2000 y funciona guardando archivos en la cach de nuestra mquina casi de la misma forma que los archivos de Internet se almacenan en el disco duro.
- 32 -
Como se puede apreciar en la figura, podemos usar las casillas de verificacin para Habilitar archivos sin conexin, Sincronizar todos los archivos sin conexin al iniciar sesin, Sincronizar todos los archivos sin conexin antes de cerrar la sesin, Habilitar avisos e incluso Crear un acceso directo a Archivos sin conexin en el escritorio. Tambin podemos especificar la cantidad de espacio del disco duro local que se va a usar para almacenar archivos sin conexin temporal. El valor predeterminado es el diez por ciento.
El botn <Opciones avanzadas> permite configurar Windows para notificar cundo se pierde una conexin de red y para crear una lista de excepciones. Se puede especificar cmo se debe comportar la computadora cuando un equipo concreto se desconecte. El botn <Ver archivos> permite ver los archivos desconectados que hay actualmente guardados, y el botn <Eliminar> permite eliminar archivos desconectados cuando ya no se necesitan. Esta opcin, especialmente interesante en equipos porttiles, no esta disponible para conexiones a de redes Novell o en servidores que tengan activados los Servicios de Terminal. Opciones de Internet Windows Server 2003 viene configurado de serie con Internet Explorer 6.0 como navegador de paginas Web. Lo primero que nos sorprende al abrir por primera vez Internet Explorer 6.0 sobre Windows Server 2003 es la pgina inicial con la que viene configurado. En ella se nos informa que Explorer tiene habilitadas caractersticas de seguridad especiales sobre el navegador. Estas caractersticas no son otra cosa que una configuracin especifica de Internet Explorer pensada para maximizar la seguridad sobre el servidor y minimizar el riesgo de ataques que pueden producirse a travs de la visualizacin de diferentes pginas Web, pero tambin limita la visualizacin correcta de algunas pginas al impedir el acceso a ciertas caractersticas o tecnologas del navegador. Si no tenemos pensado utilizar el servidor para la visualizacin de pginas Web es mejor que esta caracterstica permanezca habilitada para minimizar los riesgos de seguridad. Pero si por el contrario, necesitamos utilizar el navegador del servidor para mostrar paginas directamente como el caso de consulta de documentacin de soporte en formato Web o su uso como servidor de aplicaciones con Terminal Server donde se espera que - 33 -
los usuarios tengan necesidad de emplear el navegador, podremos desactivar esta caracterstica para que no interfiera en la correcta visualizacin de los contenidos de las paginas Web.
Evidentemente si por alguno estos u otros motivos tenemos que deshabilitar esta caracterstica deberamos de estudiar la necesidad de dotar al servidor de otras medidas de seguridad adicionales que ayuden a paliar los posibles efectos negativos que puedan producirse sobre la seguridad, sobre todo en el caso de que el servidor este conectado a Internet. Para deshabilitar la configuracin de seguridad mejorada de Internet Explorer debemos dirigimos al Panel de Control, hacer clic en Agregar o quitar programas y luego en Agregar o quitar componentes de Windows.
- 34 -
Desactivaremos la opcin Configuracin de seguridad mejorada de Internet Explorer y luego pulsaremos en <Siguiente> y una vez producida la desinstalacin pulsaremos en <Finalizar>. Deberemos reiniciar Internet Explorer para que la configuracin tenga efecto. Tambin podremos configurar las caractersticas de Internet Explorer para que se adapten al comportamiento y nivel de seguridad deseados tanto si tenemos habilitada la caracterstica de seguridad mejorada como si no. Las opciones de Internet Explorer se pueden controlar desde Internet Ex plorer o desde el icono Opciones de Internet en el Panel de control. La hoja de propiedades es la misma en ambas ubicaciones. Hay muchas opciones de configuracin para Internet Explorer y la mayora de ellas son muy descriptivas. La siguiente lista ofrece un resumen de cada ficha y lo que se puede configurar desde cada una de ellas:
General
La hoja de propiedades General tiene tres secciones: Pgina de inicio, Archivos temporales de Internet e Historial. En la seccin Pgina de inicio podemos especificar un URL al que Internet Explorer se conecta automticamente nada ms iniciar el explorador. La opcin Archivos temporales de Internet permite borrar la cach de archivos del navegador haciendo clic en el botn <Eliminar archivos>. Si pulsamos el botn <Configuracin>, podemos configurar el tiempo que permanecen en el disco los archivos temporales de Internet y el espacio de disco que pueden utilizar estos archivos. Con el botn <Borrar Historial> eliminamos la lista de direcciones almacenada en la barra de direcciones. El resto de botones administran la apariencia de la interfaz grfica de navegador y las opciones de Idioma y Accesibilidad.
Seguridad
La hoja de propiedades Seguridad permite configurar la seguridad de la zona ( Bajo, Medio bajo, Mediano, Alto) para las cuatro zonas: Internet, intranet local, Sitios de confianza y Sitios restringidos. Se incluye una seguridad predeterminada para cada zona, pero se puede
- 35 -
cambiar usando el control deslizante, como muestra la figura. Tambin se incluye una descripcin de cada nivel de seguridad.
Privacidad
Esta hoja de propiedades permite configurar el nivel de seguridad con que va a ser tratada la informacin de carcter personal que se suministra a los sitios Web mientras navegamos. Existen 6 niveles de privacidad que definen como se comportan las cookies de los diferentes sitios Web. Con el botn <Editar> de la parte inferior de la pantalla podemos establecer excepciones de sitios Web a los que no se apliquen la configuracin de privacidad declarada.
- 36 -
Configuracin y administracin de Windows Server 2003 Contenido
Esta hoja de propiedades contiene tres secciones: Asesor de contenido, Certificados e Informacin personal. Si hacemos clic en el botn <Habilitar> dentro de la seccin Asesor de contenido, aparece una hoja de propiedades del Asesor de contenido con cuatro fichas.
En la ficha Clasificacin, podemos seleccionar una categora y ajustar el control deslizante para controlar el tipo de informacin que se podr ver. Las dems hojas de propiedades del Asesor de contenido permiten activar o de sactivar determinados sitios y configurar informacin general.
- 37 -
En la hoja de propiedades Contenido, la seccin Certificados permite usar certificados digitales generados por entidades emisoras de certificados. Un certificado digital es una medida de seguridad que permite a los visitantes de una Web descargar informacin autntica. La seccin Informacin personal configura el comportamiento de IE con la informacin personal del usuario y un perfil personal.
Conexiones
La ficha Conexiones permite configurar la forma en que Internet Explorer se conecta a Internet. Si utilizamos un mdem, po demos usar la seccin Configuracin de acceso telefnico para agregar o eliminar entradas a la libreta de telfonos, de forma que IE sepa qu conexin usar. Adems, se puede usar el botn <Instalar> para iniciar un asistente que ayuda a establecer una conexin inicial.
- 38 -
La seccin Configuracin de la red de rea local (LAN) se puede usar, haciendo clic en el botn, para configurar una conexin a un servidor proxy que ofrezca acceso a Internet a nuestra organizacin.
En cuyo caso podemos usar el botn de <Avanzadas> para indicar las Excepciones, que sern aquellas direcciones para las que no queremos usar los servicios de proxy, por encontrarse en nuestra red local, por ejemplo. Tambin podemos prescindir de los servicios de proxy, en cuyo caso deber existir un router (enrutador) convenientemente configurado en nuestra red para enrutarnos hacia Internet, de lo contrario solo tendremos acceso en el mbito de la intranet.
- 39 -
Configuracin y administracin de Windows Server 2003 Programas
La ficha Programas permite especificar qu programa se debe usar automticamente como Editor HTML, Correo electrnico, Grupos de noticias, Llamadas por Internet, Calendario y Lista de contactos. Utilice simplemente el men desplegable de cada programa para seleccionar el que quiera usar.
Opciones avanzadas
La ficha Opciones avanzadas muestra una serie de casillas de verificacin para configurar todava ms el rendimiento de IE. Por ejemplo, se puede activar Habilitar contador de visitas a la pgina, Habilitar transiciones a la pgina. Subrayar vnculos siempre, etc. Simplemente active las casillas de verificacin que desee habilitar. Aqu se encuentran tambin algunas opciones del explorador que tienen que ver con la seguridad a la hora de navegar por Internet.
- 40 -
Configuracin regional y de idioma La Configuracin regional , permite configurar varias opciones regionales que afectan a distintos componentes del sistema. A continuacin se ofrece una visin global de las opciones disponibles en cada hoja de propiedades:
Opciones regionales
En la hoja de propiedades Opciones regionales , puede seleccionar en el men desplegable el idioma del pas que utilizara el sistema, y la seccin de Ubicacin permite seleccionar la ubicacin geogrfica donde nos encontramos. La configuracin ms adecuada para nosotros en castellano corresponde con Espaol (Espaa) y alfabetizacin internacional . La configuracin de idioma desde Windows 2000 es muy sofisticada, existiendo incluso una configuracin para el uso del Euskera.
Idiomas
La hoja de propiedades Idiomas permite configurar los juegos de caracteres para los diferentes idiomas que deseamos usar en el equipo . Pulsaremos en <Detalles> para aadir soporte a nuevos idiomas.
- 41 -
Configuracin y administracin de Windows Server 2003 Opciones avanzadas
Esta hoja de propiedades permite elegir el comportamiento de idioma para aquellos programas que utilicen juegos de caracteres no Unicode.
- 42 -
Dispositivos de Sonidos y Audio Se puede controlar la forma en que el sistema utiliza los sonidos y el audio. En funcin del hardware instalado, tenemos varias opciones en las propiedades de Dispositivos de sonido y audio , como se explica en la siguiente lista:
Volumen
Esta hoja de propiedades controla el volumen de la reproduccin del sonido y la aparicin o no del icono de control de volumen en el rea de notificacin. Adems, en el rea de Configuracin del altavoz podemos regular el volumen de cada altavoz de forma independiente o configurar el tipo y ubicacin de los mismos a traves de botn <Propiedades Avanzadas> para que se asemejen a la configuracin que vayamos a tener fsicamente instalada.
Sonidos
La hoja de propiedades Sonidos permite elegir los sonidos que usa Windows para los distintos eventos del sistema. Podemos emplear una combinacin de sonidos preestablecida o configurar una a medida. Si seleccionamos el evento de sonido de la lista, podemos usar el men desplegable para seleccionar el sonido que queremos or para ese evento particular. Tambin podemos usar el botn <Examinar> para utilizar un sonido personalizado.
Audio
La hoja de propiedades Audio tiene tres reas: Reproduccin de sonido , Grabacin de sonido y Reproduccin de msica MIDI . Cada una de estas secciones tiene un men desplegable para poder elegir el dispositivo del sistema que queremos usar para cada una. As como un botn para acceder al <Volumen> de cada uno de los dispositivos y un botn de < Opciones avanzadas> para configurar el comportamiento del hardware empleado en caso de que sea configurable.
- 43 -
Voz
Windows Server 2003 suministra compatibilidad con sistemas de sntesis y reconocimiento de voz desde el sistema operativo, desde esta pestaa de Voz podemos configurar los dispositivos que utilizaremos para la grabacin y reproduccin de la voz as como el volumen empleado y sus opciones de configuracin avanzadas.
- 44 -
Configuracin y administracin de Windows Server 2003 Hardware
La hoja de propiedades Hardware enumera los dispositivos instalados en el sistema que se usan para sonido as como los codecs configurados. Si seleccionamos un dispositivo de la lista podemos ver su hoja de propiedades o hacer clic en el botn <Solucionar problemas> para tratar de resolver problemas del dispositivo.
- 45 -
Sistema La hoja de propiedades Sistema , disponible en el Panel de control , es en esencia la misma que en versiones anteriores con algunas novedades. Tambin se puede acceder a ella haciendo clic con el botn derecho en Mi PC y seleccionando Propiedades . La siguiente lista enumera las distintas opciones de cada hoja de propiedades:
General
La hoja de propiedades General muestra la versin del sistema operativo, el nombre de la persona o compaa para la que est registrado el sistema operativo e informacin bsica sobre el hardware del equipo. No podemos cambiar nada en esta ficha.
Nombre de equipo
Esta hoja de propiedades ofrece informacin para identificar el equipo en la red. Podemos cambiar el nombre y descripcin del equipo desde esta ficha e introducirlo o sacarlo de un dominio existente a travs de botn <Cambiar>.
- 46 -
Hardware
La hoja propiedades Hardware aparece con botones que ejecutan el Asistente para agregar hardware , las opciones de Firma de Controladores , el Administrador de dispositivos o Perfiles de hardware .
Opciones avanzadas
En la hoja de propiedades Opciones a vanzadas tenemos la opcin de configurar el Rendimiento del sistema , Perfiles de usuario , Inicio y recuperacin, Variables de entorno e Informe de errores al hacer clic en el botn correspondiente.
- 47 -
La siguiente lista muestra cmo configurar cada uno de ellos: Rendimiento : Si hace clic en el botn <Configuracin> , nos aparece a su vez, el cuadro de dialogo de Opciones de rendimiento , con dos pestaas, Efectos visuales y Opciones avanzadas .
En la pestaa de opciones visuales podemos ajustar el comportamiento de Windows respecto a los efectos visuales de la interfaz grfica. Por defecto viene configurado en la opcin Dejar a Windows elegir la configuracin ms adecuada , en ella quedan desactivados la mayora de los efectos grficos, lo cual redunda en un
- 48 -
mejor rendimiento general del sistema, ya que pueden aprovecharse los recursos no consumidos por la interfaz grfica en las tareas ms propias del servidor. En la pestaa de Opciones avanzadas podemos configurar tres aspectos que influyen directamente en el rendimiento del servidor respecto a las tareas para las cuales vaya a ser dedicado: Programacin del procesador , Uso de memoria y la Memoria virtual . En la primera podemos elegir entre optimizar el rendimiento de Programas o de los Servicios en segundo plano haciendo clic en el botn de opcin apropiado. Por defecto, aparece seleccionado el botn Servicios en segundo plano . En principio en el caso de un servidor de red de bemos usar la configuracin predeterminada, que provoca que todos los programas reciban la misma cantidad de recursos de procesador, a menos que tengamos una razn concreta para optimizar el rendimiento de las aplicaciones, como podra ser el caso de estar configurando un servidor de aplicaciones a travs de Servicios de Terminal . En la parte de Uso de memoria, podemos elegir entre optimizar la memoria para Programas o para Cach del Sistema . Con la primera de ellas se asigna un valor de cach predeterminado por Windows a cada una de las aplicaciones, es el valor por defecto y ms adecuado en el caso que se vaya a emplear el sistema como estacin de trabajo, como en el caso de Windows XP, o que tengan se deban ejecutar concurrentemente mltiples aplicaciones y servicios en el servidor. Con la segunda opcin se reserva mayor cantidad de memoria como cach del sistema para las aplicaciones, esta opcin es la recomendable en el caso de servidores dedicados a una tarea especifica. En la parte de abajo del cuadro de Opciones de rendimiento tenemos el apartado de Memoria virtual . Recuerde que la memoria virtual permite al sistema usar una parte del disco duro para almacenar memoria en caso de no haber suficiente RAM fsica. Si hacemos clic en el botn <Cambiar> , aparece la hoja Memoria virtual . Esta hoja ofrece informacin sobre la configuracin de memoria virtual, con la opcin de cambiarla usando el botn <Establecer> .
- 49 -
Por defecto Windows configura la memoria virtual en el disco del sistema estableciendo un tamao inicial de 1,5 veces la memoria fsica instalada y un tamao mximo de 2,5 veces la memoria fsica. Podemos optimizar el rendimiento general del sistema ubicando la memoria fsica en el disco ms rpido del que dispongamos e incluso repartiendo esta entre varias unidades de disco fsicas distintas, de modo que el acceso a la misma pueda darse a travs de varios dispositivos de forma concurrente. Tambin puede ser conveniente configurar un tamao fijo de memoria virtual impidiendo su crecimiento y por tanto evitando la posibilidad de que se produzca fragmentacin en el archivo de paginacin haciendo ms lento el acceso a la memoria virtual. En cuanto a su tamao depender de la tarea a la que dediquemos el servidor, pero en principio y si no tenemos otras consideraciones por parte de servicios o aplicaciones que instalemos un buen valor puede ser duplicar la memoria fsica instalada. En cualquier caso recuerde que si la memoria es un problema en su sistema, la mejor solucin siempre es agregar ms RAM, duplicar la memoria fsica de un sistema en que este parmetro se encuentre comprometido puede aumentar del orden de un 30% el rendimiento general del sistema. Otro punto importante de optimizacin del rendimiento del sistema se encuentra en las Propiedades de la Conexin de red, haciendo clic en el botn de <Propiedades> del servicio de Compartir impresoras y archivos para redes Microsoft de una conexin en concreto.
- 50 -
Se nos abrir el cuadro de dialogo de opciones de Optimizacin del servidor . Este cuadro regula las opciones de optimizacin de la memoria del equipo. La primera de ella Minimiza la memoria utilizada , la siguiente realiza un Balance entre los servicios de compartir archivos e impresoras y otros servicios como el uso como estacin de trabajo interactiva. Estas dos primeras opciones estn pensadas para servidores de pequeas redes, ya que en cualquier caso hacen un uso comedido de la memoria. La opcin de Maximizar el rendimiento para compartir archivos optimiza el uso de memoria aumentando el tamao disponible como cach de los servicios de compartir archivos y servidor de impresin de red. Por ltimo la opcin Maximizar el rendimiento para aplicaciones de red optimiza el uso de memoria para aplicaciones de red distribuidas que realicen su propio almacenamiento en cach, como servidores de bases de datos, servidores Web o servidores de correo electrnico. Perfiles de usuario : Esta hoja de propiedades enumera los perfiles en uso actualmente y permite eliminar cualquier perfil, excepto el del usuario que estemos empleando en ese momento. Tambin permite cambiar el tipo de perfil para cada perfil local o mvil usando el botn <Cambiar tipo> , o usar el botn <Copiar a> para copiar el perfil a una ubicacin distinta o a otro usuario.
- 51 -
Inicio y recuperacin : Al hacer clic en el botn <Inicio y recuperacin> , podemos hacer algunos cambios en el inicio y recuperacin del sistema.
Primero, si tenemos arranque dual entre varias configuraciones o varios sistemas operativos distintos, podemos usar el men desplegable para elegir el sistema operativo predeterminado que debe cargarse y el tiempo de espera del men de eleccin de sistema operativo. Tambin podemos elegir mostrar o no las opciones de recuperacin del sistema y durante cuanto tiempo o Editar manualmente el fichero de configuracin de inicio del sistema, cuya ubicacin predeterminada es C:\BOOT.INI.
- 52 -
El resto de la ficha ofrece casillas de verificacin para modificar las acciones que debera realizar Windows si el sistema se detuviera. Las opciones incluyen Grabar un suceso en el registro del sistema , Enviar una alerta administrativa , Reiniciar automticamente , Escribir informacin de depuracin (la ubicacin predeterminada es C:\WINNT\MEMORY.DMP), sobrescribiendo el anterior archivo .DMP. Estas opciones se pueden seleccionar haciendo clic en la casilla de verificacin apropiada. Variables de entorno : Al hacer clic en el botn <Variables de entorno> aparecen tanto las variables de usuario como las del sistema. Las variables de entorno se muestran como cadenas que contienen informacin, como el nombre de la unidad o ruta. Las variables listadas controlan el comportamiento de los programas y dnde se almacena la informa cin. Podemos agregar, eliminar o modificar las variables como quera mos haciendo clic en el botn apropiado, pero slo podemos cambiar variables de sistema si tenemos los privilegios de administrador. Las variables de usuario son diferentes para cada usuario y se definen en la configuracin del sistema y en las configuraciones adicionales que establece el usuario. Windows desempea un buen papel controlando sus propias variables de sistema, de modo que normalmente no ser necesario cambiarlas.
Informe de Errores : Al hacer clic en el botn <Informe de errores> aparece un cuadro de dialogo que nos permite configurar el comportamiento de Windows Server 2003 en cuanto a la generacin de informes de errores tanto frente a los errores del Sistema operativo Windows como sobre los Apagados de equipo no planeados o errores de los Programas en ejecucin . Esta informacin es posteriormente accesible desde el complemento Informacin del sistema en el apartado Entorno de software .
- 53 -
Actualizaciones automticas
En esta ficha podemos configurar las opciones de actualizaciones automticas del sistema a nivel de parches y Service Packs que puedan ir apareciendo para Windows Server 2003. Podemos configurar que el sistema se actualice automticamente o no y en su caso la programacin ms adecuada para la actualizacin en nuestro caso. En el caso de sistemas de produccin puede ser conveniente desactivar las actualizaciones automticas para realizarlas manualmente tras haber realizado las pruebas oportunas en un entorno de pruebas. Adems para el caso de grandes organizaciones existe la posibilidad de instalar y configurar un servidor SUS (Software Update Services), suministrado de forma gratuita desde el Web de Microsoft, que se encargue de descargar las actualizaciones de Internet para luego repartirlas al resto de servidores y clientes de la red de forma programada y controlada.
- 54 -
Configuracin y administracin de Windows Server 2003 Acceso remoto
Desde esta hoja de propiedades podemos configurar las opciones de Asistencia remota y Escritorio remoto .
A travs de la Asistencia remota podemos habilitar que terceras partes se conecten remotamente a la consola del servidor para visualizar la pantalla o incluso con el permiso del usuario tomar el control de la pantalla con el objetivo de suministrar ayuda o soporte tcnico. Asistencia remota comienza normalmente con un usuario que solicita ayuda, bien por correo electrnico, a travs de Windows Messenger o mediante una invitacin guardada como un archivo. Sin embargo, un asistente puede ofrecer tambin ayuda sin que se la pida un usuario. Asistencia remota requiere que ambos equipos estn ejecutando Windows XP o un producto de la familia de Windows Server 2003. A travs del botn <Configuracin avanzada...> podemos configurar algunas opciones de la asistencia remota como si permitimos el control remoto o slo la visualizacin o el tiempo que son vlidas las invitaciones de Asistencia remota .
- 55 -
El Escritorio remoto es un servicio que aparece con Windows 2000 Server aunque conocido como Servicios de terminal en modo de administracin remota . Permite el acceso remoto a dos escritorios para la administracin adems de la propia consola del servidor. Esta herramienta nos permite la administracin completa del servidor con independencia de la ubicacin fsica a travs de la red. Tambin esta disponible para Windows XP pero en este caso solo se permite una conexin de escritorio al sistema, bloquendose la consola en caso de producirse el acceso remoto. Para el acceso al escritorio remoto necesitaremos del cliente de Escritorio remoto , que viene configurado de serie con Windows XP y Windows 2003, aunque puede ser instalado en cualquier versin anterior de Windows. Al activar este servicio se habilita la conexin al servidor a travs del puerto TCP 3389 con trfico cifrado, en principio slo queda habilitado para usuarios administradores del equipo y que no tengan vaca la contrasea de su usuario, aunque podremos habilitarlo para otro usuario a travs del botn <Seleccionar usuarios remotos...>
Tareas programadas Tareas programadas es una aplicacin incluida con Windows Server 2003 que permite programar tareas y podemos utilizarla para iniciar aplicaciones y utilidades mediante un plan prefijado. El mejor uso del programador de tareas es para asegurarnos que las tareas de mantenimiento se ejecutan con regularidad. Las tareas que creamos son archivos (con extensin .job ) que se pueden intercambiar mediante correo electrnico o copiar a equipos remotos, permitindonos crear y ejecutar tareas programadas en otros equipos. Los archivos de tareas .job se encuentran en %SystemRoot%\Task . Podemos iniciar esta utilidad desde el Panel de control o desde el men Inicio > Todos los Programas > Accesorios > Herramientas del sistema > Tareas Programadas . La ventana de Tareas programadas se abre para visualizar un icono denominado Agregar tarea programada , junto con otros iconos para cualquier tarea existente.
- 56 -
Uso de asistente de tareas programadas Abriremos el icono Agregar tarea programada para iniciar el asistente y hacer clic en <Siguiente> para pasar a la siguiente ventana despus de la ventana de bienvenida. El asistente presenta una lista de los archivos de aplicaciones en nuestro equipo.
La lista de aplicaciones visualizadas en la ventana del asistente incluye los componentes instalados con el sistema operativo y el software de terceras partes que hemos instalado posteriormente y que aparecen tambin en la lista de aplicaciones de Agregar o quitar programas . Si la aplicacin que queremos programar no se encuentra en la lista (un programa que se inicia desde la lnea de comandos o un script), hacer clic en <Examinar> para abrir la ventana Seleccione programa a organizar . Esta ventana es similar a cualquier ventana Abrir, y podemos seleccionar una aplicacin local, una secuencia de comandos, un documento o cualquier objeto en un equipo remoto a travs de la red. En la siguiente ventana del asistente comenzamos a configurar la tarea.
Si seleccionamos la opcin Al iniciar la sesin, la tarea se conecta a un nombre de usuario, que tendremos que introducir en la pantalla siguiente. El usuario puede ser cualquiera; no estamos limitados a hacer esto slo para nuestro propio inicio de sesin.
- 57 -
Debemos conocer la contrasea de inicio de sesin del usuario para configurar esta opcin y el usuario debe tener los permisos suficientes para iniciar el programa. Continuaremos con las ventanas del asistente para configurar esta tarea. La ltima ventana del asistente ofrece el acostumbrado botn <Finalizar> , pero tambin existe una opcin para Abrir las propiedades avanzadas de esta tarea cuando haga clic en Finalizar . El cuadro de dilogo de Propiedades de tarea ofrece opciones de configuracin adicionales que veremos en el siguiente apartado. Creacin manual de una tarea programada Si queremos pasar directamente al cuadro de dilogo Propiedades para configurar nuestra tarea, en lugar de seguir los pasos de asistente, podemos utilizar uno de los mtodos siguientes para crear una tarea nueva: Desde la ventana Tareas programadas, elegir la opcin Archivo > Nuevo > Tarea Programada . Hacer clic con el botn secundario en un espacio en blanco de la ventana Tareas programadas y elegir del men emergente Nuevo > Tarea programada .
En la ventana aparece un nuevo icono denominado Nueva tarea . El ttulo de la tarea se encuentra en modo de edicin por lo tanto podemos introducir un nombre para la nueva tarea. Despus de darle el nombre a la tarea, hacemos clic con el botn secundario sobre su icono y elegimos del men emergente la opcin Propiedades para que se abra el cuadro de dilogo Propiedades , evidentemente mediante este procedimiento tambin podemos modificar las Propiedades de cualquier tarea ya creada en el sistema. Ficha Tarea Las opciones de la ficha Tarea casi se explican por s solas, pero hay un par de detalles que se deberan tener en cuenta.
Si la tarea inicia un programa, podemos aadir parmetros para el archivo ejecutable. Debemos verificar que los parmetros estn codificados de manera completa y segura y no debemos incluir ninguna funcin que exija alguna accin interactiva. Si estamos utilizando un parmetro que requiere dar un nombre al archivo de entrada, debemos - 58 -
verificar que el archivo exista y que hemos tecleado correctamente su ruta de acceso. No utilizar parmetros que necesiten confirmacin, salvo que exista algn modo de utilizar un parmetro para enviar una respuesta S/N. Debemos utilizar el campo Ejecutar como para introducir el nombre de usuario y la contrasea bajo los cuales se ejecutar la tarea. Debemos comprobar que el usuario tiene los permisos necesarios para ejecutar este archivo. Ficha Programacin La ficha Programacin es el sitio en donde se especifica la frecuencia de la programacin, pero existe una diferencia entre las opciones presentadas en el asistente y las que aparecen en el cuadro de dilogo Propiedades . La diferencia radica en un componente faltante. El asistente ofrece la opcin Los das laborables cuando se selecciona la opcin Diariamente ; el cuadro de dilogo Propiedades no lo hace. Si queremos ejecutar esta tarea slo los das laborables, deberemos seleccionar Semanalmente y despus hacer clic en los cinco das laborables de la semana para crear una opcin parecida.
Podemos ampliar la configuracin de la programacin haciendo clic en el botn Avanzadas y elegir entonces las opciones adecuadas (las opciones que se ofrecen difieren dependiendo de la categora de programacin elegida). Ficha Configuracin La ficha Configuracin ofrece opciones que nos permiten controlar el modo en que la tarea opera bajo ciertas condiciones del sistema. En la seccin Tarea programada completada de la ficha Configuracin , tenemos dos opciones: . Esto se aplica a las tareas que tienen una fecha de finalizacin (incluyendo las tareas que se ejecutan una vez). La tarea, junto con su archivo, se elimina despus de la ltima ejecucin automtica. No seleccionar esta opcin si la tarea podra iniciarse peridicamente.
Eliminar la tarea si no est programada para ejecutarse de nuevo
- 59 -
. Introducir la duracin del periodo de tiempo que se permitir para la ejecucin de esta tarea (el valor predeterminado es 72 horas, lo cual es ridculo, pero evita que tareas bloqueadas por algn error de ejecucin puedan quedarse ocupando memoria permanentemente). Esta opcin es til para las tareas que consumen mucho tiempo de procesador que se configuran para ejecutarse en el medio de la noche y que queremos asegurarnos que no se estn ejecutando cuando comience la hora de actividad laboral.
Detener la tarea si se ejecuta durante: <un tiempo especificado>
No especificar una duracin lmite para las copias de seguridad (ni tampoco para. otra tarea critica), porque nos interesa que esa tarea se ejecute hasta su terminacin independientemente de la cantidad de tiempo que necesite. En cambio, si la tarea es muy prolongada, modificar la hora de inicio para que empiece ms temprano y as asegurarnos que la tarea se finaliza cuando comienza el horario laboral.
En la seccin Tiempo de inactividad de la ficha Configuracin , especificar las opciones para una tarea que se configura para ejecutarse en los momentos de inactividad del sistema. La definicin de tiempo de inactividad significa "no hay actividad del ratn ni del teclado". Esto, por supuesto, no significa que el equipo est inactivo, porque podran estar ejecutndose diferentes procesos incluyendo descargas, bsquedas de bases de datos, replicacin u otras tareas automatizadas. Las opciones de Tiempo de inactividad no nos ayudan para lograr que las tareas programadas se ejecuten ms eficientemente y no deberamos programar dos tareas simultneas con uso intensivo de entrada/salida o de procesador salvo que estemos preparados para dejarlos en ejecucin ms tiempo del que podran durar si se ejecutasen solas. La seccin Administracin de energa de la ficha Configuracin especifica el comportamiento deseado si surge alguna situacin especial con el uso de las bateras del equipo durante la ejecucin de una tarea programada. La opcin se aplica a los porttiles: no tiene relacin con los equipos que tienen conectado dispositivos SAI que funcionan cuando no hay suministro de corriente elctrica. (De hecho, si estamos ejecutando software SAI, por ejemplo PowerChute, nuestro equipo probablemente est configurado para el cierre automtico). Se incluye tambin una opcin para reactivar el equipo para realizar esta tarea si que soporta a esa funcionalidad. - 60 -
Ficha Seguridad Ha regresado la ficha Seguridad para las tareas programadas! Si estamos pasando a Windows Server 2003 desde Windows NT 4, no nos daremos cuenta de la prdida, pero en Windows 2000 se haba eliminado esta funcionalidad. Muchos administradores enviaron informes de fallos sobre esta funcionalidad durante la prueba beta de Windows 2000 y durante las primeras betas de Windows Server 2003 (an no estaba presente). Ahora ha regresado. La ficha Seguridad suministra permisos y derechos para el archivo de tareas. Asignar las opciones de seguridad que se necesiten establecer para que los usuarios apropiados puedan realizar cambios a las propiedades de las tareas. Por ejemplo, el usuario que est vinculado a la tarea debera tener la capacidad para cambiar la programacin, tal como la tienen todos los administradores que tienen responsabilidad para las tareas. Por otra parte, no nos interesar que otros usuarios, o alguien que est accediendo incorrectamente al sistema, tengan la capacidad para ejecutar, eliminar o modificar alguna de estas tareas.
La ficha Seguridad no afecta la configuracin de seguridad del programa que se est ejecutando bajo esa tarea. El archivo ejecutable del programa tiene su propia ficha de Seguridad . Cuando la tarea se ejecuta, el programa vinculado se ejecuta como si lo hubiera iniciado el usuario especificado, con el contexto de seguridad del usuario. Por ejemplo, si el usuario especificado para una tarea programada es miembro del grupo de operadores de copias en el equipo local, el programa especificado en la tarea programada se ejecuta como si el que inici la sesin dentro del equipo fuese un miembro del grupo de operadores de copias. Si en el momento en que se inicia la tarea el equipo est siendo utilizado por otro usuario, la tarea se ejecuta pero no es visible al usuario vigente. Si el usuario vigente del equipo crea una tarea que se ejecuta bajo su propia cuenta o si un administrador crea una tarea que se ejecuta bajo la cuenta de un usuario especfico, el contexto de seguridad de la tarea puede generar problemas. Si nuestra red est configurada para forzar a los usuarios a cambiar peridicamente la contrasea, debemos cambiar la contrasea asociada a las tareas programadas para cada usuario. El cambio de
- 61 -
la contrasea en una tarea tambin cambia la contrasea para las otras tareas vinculadas a ese usuario. Sin embargo, el cambio de contraseas para las tareas es de por s un problema serio. Adems, los usuarios cambian de departamentos y de equipos o abandonan la empresa. Como la contrasea del administrador no suele cambiar, es mejor utilizar la cuenta del administrador para estas tareas. Incluso mejor, crear un usuario con privilegios administrativos para las tareas y cambiar la configuracin de ese usuario para que su contrasea nunca caduque. Modificacin o eliminacin de tareas programadas Para cambiar las propiedades de cualquier tarea, abrir la ventana Tareas programadas y despus abrir la tarea. Pasar a la ficha apropiada del cuadro de dilogo Propiedades y realizar los cambios apropiados. Para eliminar una tarea programada se la selecciona y se elige alguno de estos mtodos para su eliminacin: Pulsar la tecla <Supr> Hacer clic en el icono Eliminar en la barra de tareas. Hacer clic con el botn secundario sobre la tarea y elegir del men emergente la opcin Eliminar . Elegir Eliminar desde el men archivo.
Las tareas eliminadas se envan a la papelera de reciclaje. Si no queremos ejecutar una tarea pero pensamos que podramos necesitarla en el futuro, en lugar de eliminarla, podemos deshabilitarla. Para hacer esto, anular la seleccin del cuadro de verificacin Habilitada de la ficha Tarea del cuadro de dilogo Propiedades de la tarea. Ejecucin y detencin de tareas programadas Podemos ejecutar cualquiera de las tareas programadas en cualquier momento si no queremos esperar a que se ejecute automticamente cuando llegue su momento. En la ventana Tareas programadas , seleccionar la tarea y elegir Archivo > Ejecutar o hacer clic con el botn secundario del ratn y elegir del men emergente la opcin Ejecutar . Si la tarea se est ejecutando y queremos detenerla, abrir la ventana Tareas programadas , hacer clic con el botn secundario sobre el objeto de la tarea y elegir la opcin Finalizar tarea . Asignacin de opciones globales para las tareas programadas El men avanzado de la ventana Tareas programadas ofrece opciones para manipular el modo en que operan las tareas programadas: eas: La seleccin de este comando deshabilita todas las tareas programadas hasta que se vuelva a utilizar el men Avanzado y seleccionar la opcin Iniciar Programador de tareas . Adems, el programador de tareas no se iniciar automticamente en el siguiente inicio del sistema Windows Server 2003 salvo que lo hayamos vuelto a activar antes de cerrar el equipo.
Detener Programador de tar
: Se usa este comando para detener temporalmente la programacin de tareas e impedir que se inicien tareas programadas. Este comando resulta til para detener tareas mientras se est instalando software. Para reiniciar el uso del programador, seleccionar Continuar
Pausar Programador de tareas
- 62 -
del men Avanzado . Todas las tareas programadas para ser ejecutadas durante el tiempo en que el programador de tareas estuvo detenido no se ejecutarn hasta su siguiente programacin.
con Programador de tareas
: Este comando no significa lo que indica. No nos notifica de las tareas no ejecutadas; slo nos notifica de un fallo en el propio servicio de tareas programadas. Las tareas que fallan en su ejecucin debido a ejecutables corruptos o con fallos, no activan una notificacin.
Informarme de las Tareas no ejecutadas
: Usar este comando para cambiar la cuenta de usuario que ejecuta tareas que estn programadas con el comando AT (la cuenta predeterminada es System ). La seleccin del comando abre el cuadro de dilogo Configuracin de la cuenta de servicios AT, en donde podemos seleccionar una cuenta de usuario (e introducir y confirmar la contrasea para esa cuenta). Normalmente deberamos dejar que sea la cuenta Sistema la que ejecute las tareas, sin embargo esto es til con tareas que necesitan acceder a servicios de otros equipos y por lo tanto deben ejecutarse en un contexto de seguridad con derechos de acceso sobre dichos equipos.
Cuenta de servicios AT Ver registro :
Seleccionar este comando para abrir el registro de tareas en el bloc de notas, en donde podemos controlar el xito o el fallo de nuestras tareas programadas (el archivo de registro es %SystemRoot%\SchedLgU.Txt ).
Trabajo con tareas en equipos remotos Podemos visualizar, aadir o modificar tareas programadas en un equipo remoto, dependiendo de los permisos que tengamos para manipular ese equipo. Incluso sin la capacidad de acceder a las tareas en otro equipo, podemos enviarlas a usuarios en otros equipos en la forma de archivos .job . Para visualizar la carpeta Tareas programadas en otro equipo, tenemos que localizar primero dicha carpeta. Abrir Mis sitios de red y expandir el equipo remoto para localizar la carpeta Tareas programadas . Es fcil de encontrar porque tiene un reloj como icono de la carpeta. Seleccionar la carpeta para visualizar su contenido. Utilizar la vista Detalles para acceder a la mayor cantidad de informacin. stas son las reglas: La unidad que contiene la carpeta Tareas programadas debe estar compartida para dar acceso a la carpeta. No podremos realizar una conexin de unidad a la carpeta Tareas programadas .
Si tenemos los permisos adecuados, podemos eliminar o modificar las tareas en el equipo de destino. Podemos arrastrar o copiar una tarea entre nuestro equipo y un equipo remoto con estas limitaciones: El archivo del cual depende la tarea (normalmente un archivo ejecutable) debe existir en el equipo de destino. Las propiedades de la tarea pueden necesitar algn tipo de ajuste para que reflejen la ruta de acceso al archivo en el quipo de destino. Las propiedades de la tarea pueden necesitar algn tipo de ajuste para reflejar un nombre de usuario diferente.
- 63 -
Si tenemos acceso a la carpeta Tareas programadas en el equipo de destino, la mejor forma de hacer esto es arrastrar la tarea con un clic del botn secundario entre la carpeta Tareas programadas del equipo local y la carpeta Tareas programadas del equipo remoto. Desde el men que aparece, elegir la opcin Copiar aqu cuando se libera el botn secundario del ratn (si se arrastra utilizando el botn izquierdo la tarea se mueve en lugar de copiarse). Como alternativa, podemos copiar y pegar la tarea entre las dos carpetas, utilizando los comandos disponibles en los mens contextuales que se obtienen haciendo clic con el botn secundario del ratn sobre la tarea. No debemos utilizar la carpeta %SystemRoot%\Tasks como origen o destino de un procedimiento de copiar o pegar. Schtasks.exe Este comando es nuevo en Windows Server 2003 (y en Windows XP), es como tener el comando AT.exe pero con muchas ms funcionalidades y opciones. Es una gran alternativa al comando AT.exe y la nica razn por la que se puede continuar teniendo AT.exe en nuestra unidad es para dar soporte a los scripts con comandos programados heredados y que no nos interesa rehacerlos con schtasks.exe . es la versin de la lnea de comandos de la utilidad Tareas programadas , por lo tanto, todo lo que hagamos en un sitio queda reflejado en el otro. A diferencia de lo que sucede con AT.exe , no tenemos que preocuparnos si realizamos un cambio en la interfaz de usuario despus de crear una tarea programada con.exe , ya que podremos seguir utilizando el comando de lneas sobre la tarea de manera indistinta (cosa que no sucede con AT.exe ).
Schtasks.exe
Podemos consultar la descripcin y sintaxis completa del comando tecleando Schtasks /? en una consola de comandos. En este captulo se ha explicado la configuracin del sistema y de la interfaz. En Windows Server 2003 se puede configurar la mayora de aspectos del sistema y de la - 64 -
interfaz a travs de los iconos del Panel de control, y la mayora son muy sencillos de configurar. Windows Server 2003 facilita la configuracin de la interfaz y del sistema permitiendo prestar mayor atencin a los asuntos relacionados con la red y la configuracin de los servicios del servidor.
- 65 -
INTERCONEXION DE REDES EN WINDOWS

Para llevar a cabo la comunicacin en redes de ordenadores se utilizan los protocolos de red. Un protocolo es un conjunto de reglas que definen la comunicacin entre equipos dentro de una red. Sin estas reglas de comunicacin, la comunicacin en red sera un fracaso y los equipos no podran comunicarse unos con otros. El crecimiento de Windows hasta llegar a ser un sistema operativo de redes de nivel empresarial y la meterica popularidad de Internet son dos de los factores que han hecho que el protocolo TCP/IP sea ahora el estndar de facto para las redes. Las redes empresariales se han convertido en los ltimos aos en redes cada vez ms heterogneas, por el aadido de nuevas tecnologas o por la consolidacin de otras ya existentes, y uno de los problemas resultantes de este fenmeno ha sido el incremento de la congestin de trfico en las redes debido a los diferentes protocolos utilizados por las distintas plataformas. Para superar esta congestin, muchos administradores de redes han buscado la estandarizacin en un nico conjunto de protocolos de red, con la esperanza de conseguir de esa manera que su trfico de red sea ms fcil de administrar. Por varias razones, el conjunto elegido como protocolo ha sido TCP/IP. Entre estas razones se pueden citar las siguientes: Compatibilidad: La mayora de los sistemas operativos de red actualmente en uso son capaces de utilizar TCP/IP como protocolo nativo. Aquellos que no lo hacen ahora son vistos como carentes de soporte para los estndares de la industria. Escalabilidad: TCP/IP fue diseado para ser utilizado en lo que ahora se conoce como la red ms grande del mundo: Internet. Suministra protocolos adecuados para casi cualquier tarea de comunicacin, con diferentes grados de velocidad, cargas de trabajo y fiabilidad. Heterogeneidad: TCP/IP es capaz de soportar prcticamente cualquier tipo de hardware o plataforma de sistema operativo hoy en da en uso. S. estructura modular permite soportar el aadido de nuevas plataformas sin tener que reestructurar los protocolos principales. Direccionabilidad: Cada equipo en una red TCP/IP est asignado a un identificador nico, lo que lo hace directamente direccionable por cualquier otro equipo de la red. Disponibilidad: Los protocolos TCP/IP est diseados para ser estndares abiertos, libremente utilizables por todos y se desarrollan mediante el enfoque de foro abierto en el que son bienvenidas las contribuciones de todas las partes interesadas.
TCP/IP es parcialmente responsable de la creciente popularidad que actualmente disfruta Windows. Su predecesor NetBEUI (el protocolo nativo original en Windows NT) resulta insuficiente como protocolo empresarial porque no tiene capa de red y por ese motivo no es apto para el trabajo con segmentos de red.
Visin general del TCP/IP

TCP/IP (Transmisin Control Protocol / Internet Protocol) Es el protocolo de comunicaciones nativo desde Windows 2000. Esto confiere una gran ventaja de
- 66 -
funcionamiento y confiabilidad. TCP/IP es un protocolo de red enrutable que se adapta perfectamente a redes locales tanto de pequeo tomo de gran tamao a redes de rea extensa (WAN) y es el estndar de facto para la comunicacin de Internet. TCP/IP es bastante complejo y queda fuera del propsito del este manual explicar su estructura y caractersticas, por los que ofreceremos solamente una visin general de TCP/IP, sus componentes y caractersticas. TCP/IP es un conjunto de protocolos, los que significa que se compone de muchos protocolos individuales que funcionan juntos. Estos protocolos individuales permiten una gran funcionalidad para muchos servicios y caractersticas. Hay mas de 100 protocolos en el conjunto de protocolos TCP/IP, mostraremos algunos de los ms importantes: TCP: (Transmission Control Protocol). Protocolo de control de transmisiones, se ocupa de trasmisiones orientadas a conexiones. Garantiza la entrega de los paquetes. IP: (Internet Protocol). Protocolo de Internet, se ocupa de la entrega de paquetes sin conexin. Define las reglas de direccionamiento de la red. UDP (User Datagram Protocol). Protocolo de datagrama de usuario, se ocupa de la comunicacin sin conexin y no garantiza la entrega de los paquetes. SMPT (Simple Mail Transfer Protocol). Protocolo de trasferencia de correo simple, se ocupa de los servicios de entrega de correo. FTP (File Transfer Protocol). Protocolo de transferencia de archivos posibilita la trasferencia de archivos y la administracin de directorios. HTTP (Hypertext Transfer Protocol). Protocolo de transferencia de hipertexto, es el responsable de la entrega de documentos HTML. ICMP (Internet Control Message Protocol). Protocolo de mensajes de control de Internet es utilizado por TCP/IP para solicitar ciertas contestaciones de componentes de red. Telnet. Ofrece servicios de emulacin de terminal.
Comprensin de los valores de configuracin TCP/IP

TCP/IP ha sido el protocolo preferido desde Windows NT 4 y se instala con el sistema operativo. Sin embargo, con Windows Server 2003, TCP/IP es un prerrequisito para iniciar la sesin, para utilizar Active Directory (AD), Domain Name System (DNS) y muchas cosas ms. La pila TCP/IP en Windows Server 2003 incluye soporte para todos los protocolos analizados anteriormente, as como tambin un gran conjunto de servicios y utilidades que nos permiten la utilizacin, administracin y deteccin de problemas en TCP/IP. Windows Server 2003 se distribuye con muchos servicios basados en TCP/IP que facilitan la administracin de una gran cantidad de usuarios TCP/IP en una red. Opcionalmente, TCP/IP tambin se puede instalar despus del sistema operativo, haciendo clic en el botn Agregar en la pgina de Propiedades de conexiones de rea local . Si hemos dependido de otros protocolos, por ejemplo NetBEUI, para comunicarnos con otros equipos Windows en nuestra red local recomiendo eliminarlos despus de haber configurado todas esas mquinas para utilizar TCP/IP. En general es conveniente mantener la cantidad de protocolos en uso en un mnimo.
- 67 -
Despus de instalar TCP/IP, con el programa de instalacin o desde la pgina de Propiedades conexiones de rea local , debemos suministrar la configuracin necesaria para identificar nuestra mquina para la interaccin con el resto de la red TCP/IP. Windows Server 2003 contina incluyendo el protocolo de configuracin de equipo host dinmico (DHCP, Dynamic Host Configuration Protocol), que permite que un equipo Windows Server 2003 suministre automticamente a nuestros sistemas todos valores de configuracin necesarios para TCP/IP. En otro captulo analizaremos el uso de DHCP, y por lo tanto se podra omitir los detalles de configuracin que se tratan ms adelante. Sin embargo para completar nuestro estudio acerca de TCP/IP analizaremos los valores requeridos para una comunicacin efectiva en TCP/IP y cmo los equipos pueden utilizarlos para comunicarse con la red. Los valores requeridos para utilizar TCP/IP en Windows Server 2003 estn configurados en la pgina de Propiedades del protocolo de Internet (TCP/IP) de cada dispositivo de red: Direccin IP Mscara de subred Puerta de enlace predeterminada Servidores DNS preferidos y alternativos
Direccin IP La direccin IP es el medio por el cual los equipos se identifican en una red TCP/IP. Identifica tanto al equipo husped como a la red en donde reside. Cada equipo debe estar asignado con una direccin unica en la red, para evitar que los datagramas se entreguen en un sistema errneo. En una red TCP/IP, el trmino husped no es necesariamente sinnimo a equipo Un husped es una interfaz de red, de las cuales puede haber varias en un sistema. En tal caso cada husped debe tener su propia direccin IP. Las direcciones IP tradicionalmente tienen una longitud de 32 bits y estn expresadas con cuatro valores decimales entre 0 y 255, representando cada uno de ellos 8 bits, separados por puntos. Por ejemplo, la direccin IP 192.168.1.146 es equivalente al siguiente valor binario:
11000000.10101000.00000001.10010010
Si nuestra red no est conectada a Internet, las direcciones IP pueden ser asignadas a los equipos individuales por los administradores de la red. Las propias direcciones reales pueden ser cualquier combinacin legal de nmeros, siempre y cuando cada una sea una direccin nica. Esto se denomina como red no registrada porque mantiene una organizacin totalmente privada dentro de los confines de nuestra empresa. Sin embargo, si nuestra red est conectada a Internet tendremos que tener una o ms mquinas con direcciones IP registradas. Para impedir la duplicacin de direcciones, debemos registrar las direcciones IP de los huspedes Internet con una autoridad de Internet. Una red privada puede elegir el uso de direcciones IP registradas para todos sus equipos, o puede mantener una red no registrada para usuarios internos y registrar slo los equipos que son accesibles directamente desde Internet, por ejemplo, los servidores Web y ftp. En tal caso, los usuarios con direcciones IP no registradas acceden normalmente a Internet mediante el uso de un servidor proxy o de un router adecuadamente configurados que tramita sus peticiones con una direccin registrada e impide el acceso no autorizado a la red local desde equipos externos a la red.
- 68 -
Cuando estamos configurando un equipo para utilizar TCP/IP, deberamos hacerlo con un grupo planificado de direcciones o utilizar un servidor DHCP, que asigna direcciones automticamente a partir de un conjunto que configuramos previamente. Lo que no deberamos hacer nunca es seleccionar direcciones IP aleatorias simplemente para ver si funcionan. Los conflictos de direcciones IP son uno de los problemas ms comunes en las redes TCP/IP y uno de los problemas de ms difcil resolucin. Debemos tener en cuenta que las direcciones IP que podemos pedir prestadas podran pertenecer a otro sistema y las pilas IP se cierran en el evento de una duplicidad. Mscara de subred La mscara de subred es posiblemente el valor de configuracin menos entendido de TCP/IP. Muchos usuarios observan los valores asignados a este campo, por ejemplo 255.255.255.0, y los confunden con direcciones IP reales. La mscara de subred en realidad est basada en un concepto muy sencillo. Si recordamos, en el apartado anterior dijimos que las direcciones IP identifican a la red y tambin al husped de esa red. El nico fin de la mscara de subred es designar qu parte de la direccin IP identifica a la red en la cual reside el husped y qu parte identifica al propio husped. Esto se comprende ms fcilmente si consideramos a la mscara de subred en trminos binarios. Todas lis direcciones IP son valores binarios de 32 bits. Normalmente se escriben en formato decimal slo por conveniencia. El valor de una mscara de subred de 255.255.255.0, cuando se expresa en su forma binaria, aparece de la siguiente forma:
11111111.11111111.11111111.00000000
Este valor significa que, para las direcciones IP asociadas con esta mscara, todos los dgitos con valor 1 identifican a la red, y todos los dgitos con valor 0 identifican al equipo en esa red (es decir, la mscara de unos es el identificador de la red). De esta manera, si la direccin IP del equipo es 123.45.67.89, 123.45.67 identifica entonces a la red y 89 identifica al equipo. Tipos de direcciones IP Cuando ya se comprende para qu se utiliza la mscara de subred la siguiente pregunta lgica es por qu diferentes redes requieren distintos nmeros de dgitos para ser identificadas. La respuesta a esto, como la mayora de las preguntas sobre TCP/IP, se encuentra en Internet. Los protocolos TCP/IP fueron diseados para ser utilizados en lo que ahora se conoce como Internet. Aunque nadie poda haber predicho su enorme crecimiento, Internet fue diseada para ser una red fcilmente escalable con mnimas necesidades de administracin centralizada. Los desarrolladores de TCP/IP comprendieron desde el principio que la idea de registrar una direccin nica para cada equipo en la red con alguna cierta estructura administrativa era algo poco prctico. El costo habra sido entonces muy alto. Por ese motivo decidieron que slo estaran registradas las redes y que los administradores de las redes seran responsables de mantener las asignaciones de direcciones IP para los equipos individuales. Se crearon entonces tres clases diferentes de redes, las que estaran registradas a redes individuales basndose en la cantidad de equipos que conectaban a Internet. En la tabla mostrada ms abajo se listan estas clases de redes, la mscara de subred de cada una de
- 69 -
ellas, la cantidad mxima de redes posibles de esa clase utilizando el sistema vigente y la cantidad de direcciones de equipos disponibles para cada red de cada clase. Existen dos clases de direcciones adicionales: D y E. Las direcciones de clase D se utilizan normalmente para multidifusin, y las direcciones de clase E estn reservadas para uso experimental. A nivel prctico esto significa que si queremos registrar nuestra red para conectarla a Internet podramos obtener una direccin de clase C de una autoridad de Internet. La autoridad nos asigna una direccin de red que podemos usar para los primeros tres octetos de todas nuestras direcciones IP, por ejemplo 199.45.67. Despus tenemos la libertad de asignar los 254 valores posibles para el cuarto octeto de la forma que nos interese, siempre y cuando no existan duplicaciones. La mscara de subred para todas nuestras mquinas es 255.255.255.0, lo que indica que slo el ltimo octeto se utiliza para identificar a equipos individuales Si en nuestra red tenemos ms de 254 nodos, tendramos que obtener otra direccin de clase C. Si tuvisemos una red muy grande, podramos obtener una direccin de clase B, que nos dara soporte hasta 65.534 equipos. Entonces asignaramos los dos ltimos octetos para nuestros equipos y utilizaramos mscara de subred 255.255.0.0 Si en nuestra red tenemos ms de 254 nodos, tendramos que obtener otra direccin de clase C. tuvisemos una red muy grande, podramos obtener una direccin de clase B, que nos dara soporte 65.534 equipos. Entonces asignaramos los dos ltimos octetos para nuestros equipos y utilizaramos mscara de subred 255.255.0.0. Clase de direccin de equipos A B C Mscara de subred predeteminada 255.0.0.0 255.255.0.0 255255.255.0 Cantidad de redes 126 16384 2.097.152 N mximo de equipos 16.777.214 65.534 254
Comprensin de una subred Las mscaras de subredes ocasionalmente son ms complicadas que los ejemplos dados aqu. Algunas veces la lnea divisoria entre las partes de la red y las partes de los equipos de una direccin IP no est exactamente entre dos octetos. Una subred es simplemente una subdivisin lgica impuesta en una direccin de red con fines organizativos. Por ejemplo, una gran empresa que tiene registrada una direccin de red de clase B probablemente no asigne las direcciones a sus nodos mediante una numeracin consecutiva desde 0.0 hasta 255.255. Una situacin ms prctica sera dividir la red en una serie de subredes, normalmente basndose en un esquema que coincide con el diagrama de la distribucin de los cables. Al crear subredes que se corresponden con las redes que componen toda la empresa, la tarea de asignacin y mantenimiento de direcciones IP se puede delegar entre los administradores responsables de cada red. De esa manera, en tal situacin, la direccin de red de clase B dictara los valores de los primeros dos octetos de una direccin IP, y la subred dictara el valor del tercer octeto, dejando el cuarto para identificar al equipo. La - 70 -
mscara de subred en esta situacin sera 255.255.255.0 porque los primeros tres octetos estn definiendo la direccin de red, independientemente de cmo est registrada. Sin embargo, supongamos que tenemos una direccin de clase C y que nos encontramos en una situacin similar. Los primeros tres octetos de nuestras direcciones IP estn determinados por la direccin de red registrada, pero queremos crear subredes porque nuestras estaciones de trabajo estn en distintos segmentos de red. An podemos hacer esto, si consideramos a la mscara de subred en trminos binarios. En lugar de utilizar la mscara de subred tal como est, podemos asignar algunos de los bits del cuarto octeto de la direccin de red, de esta manera:
11111111.11111111.11111111.11110000
La conversin de la direccin al formato decimal nos lleva a una mscara de red igual a 255.255.255.240. Este ordenamiento nos permite definir hasta 14 direcciones de red (no 16, porque los valores de todo ceros o de todo unos no son vlidos) compuesta cada una por 14 equipos. Podemos alterar el ordenamiento de bits para favorecer, segn la necesidad, una mayor cantidad de redes o una mayor cantidad de equipos. Para asignar las direcciones de red y de equipos utilizando este mtodo es conveniente trabajar primero con los valores binarios y despus convertirlos a los valores decimales para evitar errores. Normalmente resulta difcil pensar en trminos binarios, la mayora de nosotros necesita una calculadora para realizar esta tarea. En la mayor parte de los casos, el valor para la mscara de subred de nuestro equipo se suministra junto con la direccin IP, sea manualmente o mediante un servidor DHCP, especialmente si se est utilizando una organizacin complicada de subredes. Aunque debemos recordar que las subredes es un fenmeno local: un dispositivo del administrador. Las aplicaciones TCP/IP tratan todas las direcciones IP de la misma manera, independientemente de qu bits se estn utilizando para identificar la red. Puerta de enlace predeterminada En la pgina de Propiedades del protocolo de Internet (TCP/IP) se configura la puerta de enlace predeterminada, y es la direccin del sistema de puerta de enlace en nuestro segmento de red local, que permite el acceso al resto de la red de Internet. La puerta de enlace puede ser un equipo, un intercambiador o un enrutador que rene dos o ms segmentos de nuestra red. Podemos tener ms de una puerta de enlace en nuestro segmento local, pero la puerta de enlace predeterminada es aquella que nuestro equipo utiliza de manera predeterminada cuando intenta conectar a un equipo en otra red (frecuentemente, a la propia Internet). Si podemos conectar a otros sistemas en nuestra red local, pero no a aquellos que estn en otras redes, entonces es muy probable que hayamos especificado un valor incorrecto para la puerta de enlace predeterminada o que la propia puerta de enlace est funcionando incorrectamente. El uso de la puerta de enlace predeterminada para acceder a ciertos destinos puede ser alterado automticamente en nuestra estacin de trabajo mediante la recepcin de un mensaje de redireccionamiento ICMP, que contiene la direccin de otra puerta de enlace que suministra un enrutamiento ms eficiente hacia el destino. Direccionamiento IP avanzado Un equipo puede tener ms de una interfaz de red, cada una de las cuales debe tener su propia configuracin TCP/IP. La pgina de Propiedades del protocolo de Internet (TCP/IP)
- 71 -
de nuestra ventana de Propiedades de conexin de rea local contiene un selector que nos permite realizar una seleccin de los adaptadores de red instalados en nuestro equipo, de manera que podemos configurar cada uno de ellos de manera independiente. Para los equipos de la familia de Windows Server 2003, podemos asignar ms de una direccin IP a un nico adaptador de red. Cuando hacemos clic en el botn Avanzado en la pgina de Propiedades de protocolos de Internet (TCP/IP) , se nos presenta el cuadro de dilogo para la configuracin TCP/IP avanzada. En la ficha Configuracin de IP , podemos introducir direcciones IP adicionales para cada uno de los adaptadores de red instalados. La situacin ms comn en la que se asignan direcciones mltiples a un nico adaptador en un equipo Windows Server 2003 es en el caso de una mquina utilizada como servidor en Internet. Por ejemplo, podemos procesar un servidor Web, utilizando IIS en un equipo Windows Server 2003 directamente conectado a Internet y hospedar sitios Webs para los diferentes clientes, suministrando a cada sitio su propia direccin IP. Los usuarios de Internet podran entonces acceder a los distintos sitios asociados con cada direccin IP, sin saber que en realidad todos ellos se estn ejecutando en una misma mquina. La ficha Configuracin de IP en el cuadro de dilogo Configuracin avanzada de TCP/IP tambin nos permite especificar las direcciones de las puertas de enlace adicionales para cada adaptador. A diferencia de lo que sucede con las direcciones IP adicionales, que permanecen todas activas simultneamente, las puertas de enlace adicionales slo se usan en el orden listado cuando la puerta de enlace predeterminada principal no se encuentra disponible. Servidores DNS preferidos y alternativos Si estamos pasando a Windows Server 2003 desde Windows NT, no se ha tenido tanto contacto con DNS como se tendr ahora. Quizs se est acostumbrado a utilizar DNS principalmente para la resolucin externa, dependiendo de NetBIOS y WINS, no de DNS, para la comunicacin con los otros equipos de la red. DNS se ha hecho cargo de la responsabilidad de la resolucin de nombres dentro de Windows Server 2003 (en realidad, esto comenz con Windows 2000). Cada vez que se pide un contacto con otro equipo de nuestra red o en Internet, el servicio DNS suministra la adecuada traduccin de nombre de equipo a direccin IP. Como resultado de la dependencia de DNS por parte del sistema Windows Server 2003, debemos configurar todos los equipos en nuestra red para que usen un servidor DNS preferido. Tambin se recomienda utilizar un servidor DNS alternativo, pero esto es opcional. Podemos introducir manualmente las direcciones IP de los servidores preferido y secundario o permitir que DHCP pase la informacin a los clientes. En capitulos posteriores se incluye informacin ms detallada sobre DNS en Windows Server 2003.
Configuracin de TCP/IP
Cuando se configura cualquier equipo en una red TCP/IP, se debe suministrar al menos la direccin IP y la mscara de subred. A partir de Windows 2000 se ofrecen tres formas de realizar esta tarea: Manual: Podemos asignar manualmente una direccin IP, mscara de subred y puerta de enlace a cada equipo de la red. A este mtodo se le conoce como direccionamiento esttico. Este mtodo tiene un elevado coste de mantenimiento en redes grandes para todos los clientes de una comunidad, sin embargo tiene una
- 72 -
innegable ventaja, que es la identificacin inequvoca de cada cliente. En cualquier caso es muy recomendable asignar una direccin IP esttica a nuestros servidores, para que sus direcciones IP no cambien. Dinmica: podemos usar DHCP (Dynamic Host Configuration Protocol), para asignar dinmicamente una direccin IP a un equipo cliente de la red. Una vez configurado un servidor DHCP en la red, este asigna una direccin IP y realiza la configuracin automtica del protocolo de red de los clientes cada vez que uno de ellos lo solicite. Asignacin automtica de direcciones IP privadas: A partir de Windows 2000 incluye una nueva caracterstica que permite implementar una direccin IP privada automtica a clientes de la red. Este mtodo es eficaz en pequeos entornos de modo que no es necesaria la configuracin manual o el uso de un servidor DHCP. La caracterstica de IP automtica privada asigna direcciones IP a los clientes automticamente entre 169.254.0.0 y 169.254.255.255, que es un intervalo de direcciones IP reservado establecido por el ICANN (Internet Corporate for Assigned and Numbers), de esta forma, los clientes pueden utilizar una direccin IP que no provocar conflictos con otras direcciones enrutables.
Para configurar TCP/IP seleccionamos el icono de Conexiones de red del Panel de Control . Se nos desplegaran las conexiones de red que tenemos disponibles, pulsamos con el botn derecho sobre la conexin que queramos configurar y elegimos <Propiedades> .
Elegimos Protocolo Internet TCP/IP y pulsamos <Propiedades> .
- 73 -
De forma predeterminada, aparece seleccionada la opcin Obtener una direccin IP automticamente . Con esta opcin el equipo trata de localizar un servidor DHCP que le asigne una direccin IP. Si el equipo no puede localizar un servidor DHCP, entonces utiliza AutoNet para asignarse as mismo una direccin IP privada entre 169.254.0.0 y 169.254.255.255 para poder comunicarse con la red. La funcin de asignacin automtica de direcciones IP privadas est habilitada de forma predeterminada a partir de Windows 2000, pero se puede deshabilitar usando el registro. Si necesitamos configurar manualmente TCP/IP en nuestro equipo, lo que suele ser necesario en el caso de servidores, entonces deberamos introducir una direccin IP nica y tambin una mscara de subred adecuada, as como una puerta de enlace si fuera necesario. Tambin podemos escribir manualmente la direccin IP del servidor DNS preferido y alternativo si fuera el caso. Esto resultar necesario en el caso de que queramos incluir el equipo en algn dominio de Windows Server 2003 ya existente.
- 74 -
En el caso de redes locales ser recomendable usar alguno de los rangos de direcciones no enrutables: 10.0.0.0 10.255.255.255 : 1 red clase A. 172.16.0.0 172.31.255.255 : 16 redes Clase B contiguas. 192.168.0.0 192.168.255.255 : 256 redes Clase C contiguas.
Pulsando sobre el botn <Opciones avanzadas...> accedemos a las opciones del direccionamiento IP avanzado donde podemos configurar varias direcciones IP o varias puertas de enlace como se ha explicado en al apartado anterior.
Comprensin de la resolucin y registro de nombres

Los protocolos TCP/IP en las comunicaciones de red dependen totalmente de las direcciones IP para la identificacin de los otros sistemas. Adems, los nombres de equipo y los nombres NetBIOS se utilizan para identificar equipos conectados a la red para simplificar el contacto entre los equipos. Sera extremamente difcil, si no imposible, recordar todas las direcciones IP de todos los equipos o de cada sitio Web cual queremos contactar. Los sistemas operativos de Microsoft anteriores a Windows 2000 siempre han basado sus comunicaciones de red en nombres NetBIOS. Windows Server 2003 an sigue permitiendo NetBIOS por razones de compatibilidad, pero est diseado para trabajar con nombres de equipo en lugar de nombres NetBIOS. De todas maneras, debe existir un mtodo para igualar estos nombres con direcciones IP. Se puede usar varios mecanismos, con distintos niveles de complejidad; pero todo se puede reducir a que finalmente es una base de datos que contiene nombres y sus direcciones equivalentes. Las diferencias de los mecanismos se centran en los mtodos utilizados para obtener la informacin en la base datos (registro de nombres) y en las formas en que se pueden recuperar (resolucin de nombres).
- 75 -
Si estamos utilizando una red Windows Server 2003 con clientes de bajo nivel, se necesitan al menos dos mecanismos separados de resolucin de nombres. En este aspecto, los nombres de equipo (hostname) y los nombres NetBIOS siempre se tratan de manera independiente, incluso aunque el equipo utilice el mismo nombre para ambos. Si nuestra red no tiene equipos de bajo nivel ni aplicaciones basadas en NetBIOS, podemos omitir el uso de nombres NetBIOS. Para nombres de equipos, los mecanismos disponibles son un archivo HOSTS y el servicio de nombres de dominio (DNS). Para nombres NetBIOS, los mecanismos disponibles son la difusin de red, WINS, y el archivo LMHOSTS. Todos los equipos basados en Windows utilizan al menos uno de estos mecanismos durante cada intercambio TCP/IP que utiliza un nombre en lugar de una direccin IP. La comprensin de cmo funcionan puede ayudarnos a maximizar la eficiencia de la red, a mantener los niveles de trfico de red en un mnimo y a resolver los problemas de comunicaciones. Uso del archivo HOSTS La manera ms simple de resolver nombres de equipos es mantener una tabla con esos nombres y sus equivalentes en direcciones IP Eso es lo que es un archivo HOSTS: un archivo ASCII, almacenado en una unidad de disco duro local, que lista direcciones IP en la parte izquierda y nombres de equipo en la parte derecha. Cuando un usuario suministra un nombre de equipo a una aplicacin, sta lo busca en el archivo HOSTS. Si encuentra el nombre, se usa su equivalente de direccin IP para crear la conexin de red. Si no lo encuentra, la operacin fracasa. Hace no tanto tiempo, crase o no, los servicios de resolucin de nombres para todo Internet se suministraban por medio de una nica tabla HOSTS que contenan miles de entradas que tenan que ser recargadas regularmente por los usuarios de Internet para actualizar sus sistemas. Los problemas de este mtodo resultan obvios. El mtodo del registro de nombres, es decir, los medios por los cuales los nombres y las direcciones se insertan en el archivo, es totalmente manual. Los usuarios o administradores deben modificar o actualizar individualmente el archivo HOSTS de cada equipo de la red para incluir el nombre y la direccin de cada equipo que se tiene que contactar por nombre. Tambin, a medida que el nmero de entradas se incrementa, el archivo puede transformarse en algo poco manejable y el rendimiento de la resolucin de nombres comienza a sufrir las consecuencias. Podemos imaginarnos tratando de gestionar el archivo HOSTS de nuestra compaa con cientos o miles de nombres de equipo y direcciones IP correspondientes? Cada cambio al archivo requerira que se actualizasen todos los equipos de la red, lo que significa que todo el archivo HOSTS necesitara ser transferido a cada uno de ellos. Uso del sistema de nombres de dominio El sistema de nombres de dominio, DNS, es el mtodo ms comnmente utilizado para la resolucin de nombres en Internet porque permite a los usuarios conectarse con cualquier sitio de Internet utilizando el nombre. Esto podra parecer una proeza increble, particularmente teniendo en cuenta el amplio crecimiento de Internet en los ltimos aos, pero DNS se aprovecha de la estructura basada en dominios de los nombres de equipo de Internet.
- 76 -
El sistema de nombres de dominio est compuesto de miles de servidores DNS ubicados por todo Internet. Cuando registramos un nombre de dominio, es necesario especificar un servidor DNS principal y uno alternativo. Estos se conocen como servidores autorizados para nuestro dominio. Un servidor DNS es un subproceso UNIX o un servicio Windows que es responsable del mantenimiento y publicacin de una base de datos de nombres de equipo y direcciones en su propio dominio. Los servidores DNS de un dominio no tienen que estar necesariamente ubicados en su propia red local, y de hecho muchos proveedores de servicios Internet (ISP) ejecutan servicios de hospedaje Web en los cuales suministran el uso de sus servidores DNS a cambio de una cuota mensual. Lo importante es que una autoridad de Internet tiene un registro de los servidores DNS responsable para esos equipos del dominio. Los administradores de red son responsables de la asignacin de nombres de equipos dentro de sus dominios, y tambin deben ser los responsables de mantener los registros DNS para esos nombres. Sorprendentemente, el registro de los equipos en el dominio en sus servidores DNS es una tarea tan manual como la del archivo HOSTS. Si agregamos un nuevo servidor ftp a nuestra red, por ejemplo, debemos aadir o editar manualmente un registro del recurso DNS, especificando el nombre y la direccin del nuevo equipo. Sin embargo, el servicio DNS de Windows Server 2003 ha adoptado la nueva tecnologa de registros dinmicos de equipos en lugar de la tediosa actualizacin manual de registros de recurso. Los clientes pueden registrar automticamente su equipo y su puntero a los registros de recursos con el servidor DNS. Tambin, DNS de Windows Server 2003 puede estar integrado con el directorio activo, lo cual mejora la seguridad, la replicacin de la base de datos DNS, su administracin, etc. Nombres NetBIOS Aunque NetBIOS ya no es necesario en una red Windows Server 2003, es esencial para mantener una compatibilidad hacia atrs con los sistemas anteriores basados en Windows, por ejemplo Windows 9x y Windows NT, que utilizan NetBIOS para comunicarse y para las aplicaciones que utilizan NetBIOS. Por esas razones, Windows Server 2003 an incluye soporte para NetBIOS. NetBIOS es una interfaz de software que se ha utilizado desde hace tiempo para suministrar capacidades de comunicacin de red a las aplicaciones. Algunas de las arquitecturas de redes originales de Windows NT que han sido incorporadas en Windows Server 2003 dependen nicamente de NetBIOS para resolver el sistema de nombres para identificar otros equipos en la red. Un nombre NetBIOS est compuesto de 16 caracteres, el ltimo de los cuales queda reservado para Windows para identificar funciones especiales de ciertos equipos, por ejemplo controladores de dominio o navegadores. Cuando se habilita NetBIOS, a cada equipo el sistema operativo le asigna un nombre NetBIOS. El nombre podra corresponderse o no con el nombre de inicio de sesin del usuario o con el nombre del equipo. Se usa el nombre NetBIOS cada vez que tecleamos una ruta de acceso UNC que se refiere a un nodo de la red. NetBIOS ya no es una necesidad salvo que se tengan en la red clientes d bajo nivel o aplicaciones dependientes de NetBIOS, pero an sigue formando parte integral de la red de Windows. Los servicios de estaciones de trabajo y de servidor que se ejecutan en todos los equipos Windows Server 2003/2000 utilizan NetBIOS y hosting directo para brindar los servicios de archivos compartido desde cualquier sistema operativo de red. Hosting directo es un protocolo que utiliza DNS para la resolucin de nombres, en lugar de NetBIOS. La configuracin predeterminada habilita - 77 -
NetBIOS y hosting directo, que se utilizan simultneamente para resolver nombres de nuevas conexiones con otras mquinas. Al ejecutarse sobre la interfaz de dispositivo de transporte, NetBIOS puede tericamente utilizar cualquier protocolo compatible para sus necesidades de comunicaciones de bajo nivel. Originalmente, los sistemas operativos anteriores a Windows 2000 utilizaban NetBEUI (NetBIOS Extended User Interface) para transportar el trfico NetBIOS. Sin embargo, NetBEUI no es enrutable, por lo tanto cuando se propuso TCP/IP como alternativa las organizaciones comenzaron a trabajar sobre un estndar abierto (despus publicado como una RFC) para definir el modo en el cual los servicios NetBIOS podan ser suministrados utilizando protocolos TCP/IP. Este estndar se conoci como NetBIOS sobre TCP/IP, o NetBT. Las peticiones del servicio de red generadas por la interfaz NetBIOS utilizan nombres de equipo NetBIOS para referirse a los otros sistemas. Para que TCP/IP transporte las peticiones por la red, los nombres NetBIOS, como los nombres de equipo, deben ser primero convertidos a direcciones IP. Los nombres NetBIOS se resuelven como direcciones IP antes de la transmisin, por lo tanto podemos utilizarlos en lugar de los nombres de equipo en las redes internas. Para conectarse a un servidor Web intranet, por ejemplo, un usuario puede especificar el nombre NetBIOS del servidor en un navegador Web, en lugar del tradicional nombre del equipo. De la misma manera, podemos utilizar un nombre de equipo en una ruta de acceso UNC, en lugar del nombre NetBIOS. Archivo LMHOSTS Cuando fracasa un intento de resolucin de nombre NetBIOS utilizando emisiones, la siguiente alternativa que se consulta es el archivo LMHOSTS en la unidad de disco duro local. Los clientes no WINS hacen esto automticamente. Para un cliente WINS es la alternativa que sigue a los mtodos fallidos del uso de WINS y del uso de emisiones, en tal caso se debe marcar la casilla de verificacin para habilitar las bsquedas LMHOSTS en la pgina de Direccin WINS del cuadro de dilogo Propiedades TCP/IP . Un archivo LMHOSTS es similar al archivo HOSTS utilizado para la resolucin de nombres de equipos salvo que lista los nombres NetBIOS. Est ubicado en el mismo directorio que HOSTS, %SystemRoot%\System32\drivers\etc ., y Windows suministra un archivo de ejemplo denominado lmhosts.sam para nuestro uso como modelo y a partir del cual podemos crear nuestro propio archivo (es un archivo de texto, por lo tanto podemos visualizarlo utilizando el bloc de notas ). Para un sistema que no es un cliente WINS, LMHOSTS es el nico mtodo de resolucin de nombres disponible para los equipos que se encuentran en otros segmentos de red. Los nombres NetBIOS en LMHOSTS se registran manualmente editando el archivo y aadiendo una entrada para cada sistema al que se quiere contactar. Cada entrada debera contener la direccin IP del sistema en el margen izquierdo seguido por el nombre NetBIOS asociado, en la misma lnea y separado por un espacio. A diferencia de lo que sucede con el archivo HOSTS, los archivos LMHOSTS pueden contener opciones adicionales que ayudan en el proceso de resolucin de nombres, las cuales encontramos explicadas en el archivo lmhost.sam de ejemplo antes mencionado.
- 78 -
Resolucin NetBIOS Pre-Windows 2000 vs. Windows 2000 o superiores A continuacin se exponen los mtodos de resolucin de nombres en equipos anteriores y posteriores a Windows 2000, como puede apreciarse partir de Windows 2000 las resoluciones de nombres pasan a depender prioritariamente del DNS, optimizandose el mtodo, lo que redunda en una mejor respuesta global en las peticiones de red.
Resolucin NetBIOS pre-Windows 2000
Resolucin a partir de Windows 2000
Cache de nombres NetBIOS
Nombre equipo local
3 consultas a servidores WINS
Cache de nombres NetBIOS
3 intentos broadcast
3 consultas a servidores WINS
Consulta archivo LHHOSTS
3 intentos broadcast
Consulta archivo HOSTS
Consulta archivo LHHOSTS
Consulta a servidor DNS
Consulta archivo HOSTS
Error
Consulta a servidor DNS
Dir IP Error
Dir IP
- 79 -
Cundo se deja de depender de NetBIOS Microsoft est intentando obtener una implementacin TCP/IP ms pura en el entorno de red Windows. Ya no requiere NetBIOS para superponer a TCP/IP en la resolucin de nombres; DNS se hace cargo de esa tarea. NetBIOS slo se soporta por los sistemas y aplicaciones heredadas. DNS simplemente es mejor: es una solucin para la resolucin de nombres ms escalable y ms fiable. Ha superado la prueba del tiempo e Internet es el mejor ejemplo de este xito. Tal como se puede imaginar, cuanto antes dejemos de utilizar NetBIOS, tanto mejor ser para nuestro entorno Windows. El primer paso es actualizar todos los clientes de bajo nivel a la versin vigente de Windows. Desgraciadamente, la actualizacin no completa nuestra tarea. Tambin tenemos que verificar si se estn ejecutando aplicaciones que son dependientes de NetBIOS. Si tenemos realmente aplicaciones basadas en NetBIOS y an es necesario mantenerlas, podemos verificar con el fabricante para comprobar si existe una versin actualizada que no dependa de NetBIOS (consejo: verificar la versin de Microsoft Office). Despus que se deshabilita NetBIOS, todas las aplicaciones que dependen de l no trabajarn correctamente o directamente no funcionarn. El paso final es realmente deshabilitar NetBIOS en todos los equipos Windows Server 2003/XP/2000. Para hacer esto, sganse estos pasos: 1. Desde el men Inicio>Configuracin seleccionar Conexiones de red . 2. Hacer clic con el botn secundario en el icono Conexin de rea local y seleccionar Propiedades . 3. Seleccionar Protocolo Internet (TCP/IP) y seleccionar Propiedades . 4. En el cuadro de dilogo Propiedades , hacer clic en el botn Opciones avanzadas para visualizar el cuadro de dilogo Configuracin avanzada de TCP/ IP 5. Pasar a la ficha WINS y seleccionar la opcin Deshabilitar NetBIOS sobre TCP/IP . 6. Hacer clic dos veces en Aceptar y despus hacer clic en Cerrar .
- 80 -
GRUPOS DE TRABAJO vs. DOMINIOS

Un dominio es una agrupacin de cuentas y recursos de red bajo un mismo nombre de dominio y lmite de seguridad. Un grupo de trabajo es un tipo de agrupacin ms bsico, diseado nicamente para ayudar a los usuarios a encontrar objetos como impresoras y carpetas compartidas en ese grupo. Los dominios son la opcin recomendada para todas las redes excepto para las muy pequeas con pocos usuarios. En un grupo de trabajo los servidores funcionan de modo independiente y por tanto son los nicos responsables de la seguridad de los recursos almacenados en ellos, por lo dems el nombre del grupo de trabajo no es ms que una denominacin bajo la que agrupar diversas mquinas. Sera lo que se conoce como una red pair to pair o entre iguales. Es un tipo de organizacin heredada de anteriores versiones de Windows y se hace muy complicada de administrar y poco amigable a los usuarios ya que se deber gestionar y proporcionar una autenticacin para cada servidor. En la configuracin de grupo de trabajo a los servidores se les denomina servidores independientes. Algunas veces esta organizacin puede resultar interesante desde el punto de vista de la seguridad, y se emplea en zonas de alto riesgo como en configuracin de zonas DMZ. Desde Windows 2000 un dominio lleva inevitablemente asociado el concepto de Directorio Activo, no puede existir este sin apoyarse al menos en un dominio ni puede existir un Dominio sin Directorio Activo asociado. En un dominio de Windows 2000 o Windows Server 2003 sern los controladores de dominio los encargados de velar por la seguridad de todo el dominio posibilitando una administracin centralizada de todos los recursos y el concepto de single sign-on (autenticacin nica). A los servidores que no son controladores de dominio se les conoce como servidores miembro.
Configuracin del grupo de trabajo o Dominio

Para cambiar la configuracin de grupo de trabajo o dominio de Windows as como para cambiar el nombre del equipo en la red debemos pulsar con el botn derecho del ratn sobre el icono de Mi PC y elegir Propiedades, pulsando a continuacin sobre la pestaa de Nombre de equipo en el cuadro de dialogo que nos aparece. En esta pestaa podemos observar el nombre del equipo en la red as como si nos encontramos en una configuracin de dominio o de grupo de trabajo y el nombre que le ha sido asignado a dicho dominio o grupo de trabajo en el que nos encontremos. La configuracin por defecto de Windows se establece como servidor independiente, por lo que si no hemos alterado esta configuracin despus de la instalacin del sistema operativo nos encontraremos en un grupo de trabajo denominado GRUPO_TRABAJO si el sistema operativo esta configurado en castellano o WORKGROUP si est en ingls. Para cambiar est configuracin pulsaremos el botn <Cambiar> que se encuentra en la parte inferior de este cuadro de dialogo.
- 81 -
Nos aparece el cuadro de dialogo de Cambios de identificacin, donde podremos establecer un nuevo nombre para el equipo en la red y seleccionar la configuracin de Dominio o Grupo de trabajo, introduciendo el nombre de grupo de trabajo o del dominio al cual nos queremos unir respectivamente.
Una vez realizados los cambios pulsaremos el botn de <Aceptar> para establecer la configuracin definitiva.
- 82 -
En el caso de que nos estemos uniendo a un dominio nos ser requerido el nombre y contrasea de un usuario con privilegios de unir equipos al dominio. En principio cualquier usuario autentificado en el dominio puede aadir hasta 10 estaciones de trabajo al dominio y los Administradores del dominio pueden aadir equipos de forma ilimitada, pero posteriormente un administrador puede dar permiso a otros usuarios para unir equipos al dominio sin limitacin de nmero.
- 83 -
DIRECTORIO ACTIVO
Uno de los principales problemas actuales de las redes es encontrar y administrar recursos. Conforme las redes han ido creciendo en tamao y complejidad, los usuarios se enfrentan con el reto de buscar el servidor adecuado con el recurso adecuado, mientras los administradores tratan con la sobrecogedora tarea de asegurar que todos los servidores y recursos estn disponibles para los usuarios de la red. Cuando las redes eran ms pequeas, esto no era un problema, pero en las grandes redes de hoy da y en los entornos de trabajo distribuido, los servicios de directorio se han convertido en un problema muy complejo. La familia de servidores Windows se enfrenta a este problema con su nuevo servicio de directorio, Active Directory. Active Directory almacena todos los recursos de red, como usuarios, archivos, impresoras y bases de datos, dentro de una localizacin estructurada, de modo que son fciles de localizar y usar. Como las redes de Windows 2000 / Windows 2003 contienen slo controladores de dominio y no PDC y BDCs como en Windows NT, todos los servidores mantienen en todo momento una copia exacta de la base de datos mediante la duplicacin. As, Active Directory es la respuesta de Microsoft a los servicios de directorio en los complejos entornos de computacin actuales.
Qu es Active Directory?
Fun ncionalida d ll lida Fu cionalid dde nciona ad e servicioded ctorio rvicio d dire orio e irectorio se ct
Orga aniza r Org nizar Adm istra in rar Adm inist r Control Conrol t
Administ cincen lizad ntra da Adm racince traliza a m inistra Ad inistra

Punt nicodead inistra n o ico d a min cin e dm istracin Pu to n
Recursos cu Re rsos
Los usuariossereg rios sere istranunavez gistra u a ve n n z Los usua
pa tene unacce comp toalos ara ner cceso pleo p ra te r una so com let alos recu cursose t o e d ctorio n odo l irect re rsos entod eldire orio
El servicio Active Directory es bsicamente una forma de publicar objetos de inters. En este caso, la cuenta de su usuario podra ser interesante, la impresora que utiliza un grupo,
- 84 -
una carpeta de datos compartida e incluso el enrutador que acaba de instalar. Los Objetos de inters pueden incluir el conmutador o la nueva aplicacin PeopleSoft. De manera potencial a todos estos elementos se puede tener acceso y administrar a travs de Active Directory. Conforme pasa el tiempo se vern ms y ms proveedores, tanto de software como de hardware, desarrollando sus productos para aprovechar Active Directory, porque su interfaz intuitiva y centralizada simplifica la organizacin, administracin y control de los recursos de la red. Con Active Directory, los usuarios se registran una vez y tienen acceso a cualquier cosa en el bosque que el administrador elija otorgarles. Active Directory no debe haber ninguna razn para que un solo usuario tenga ms de una cuenta.
Caractersticas del Directorio Activo

Active Directory contiene varias caractersticas importantes que facilitan su administracin y uso. A continuacin se ofrece una breve descripcin de estas caractersticas. Escalabilidad Active Directory es altamente escalable. Sus servicios de directorio funcionan en un entorno reducido, igual que en una gran red distribuida. Como Active Directory es escalable, puede crecer con nuestra organizacin y es ca paz de soportar un nmero prcticamente ilimitado de objetos. Extensibilidad Active Directory es "extensible", lo que significa que los administradores pueden personalizar las clases y objetos que aparecen dentro de Active Directory para satisfacer las necesidades de la organizacin. Esta accin se realiza usando el complemento Esquema de Active Directory, o a travs de ADSI (Active Directory Services Interface), Interfaz de servicios del Directorio Activo. Seguridad Active Directory incorpora completamente las caractersticas de seguridad de Windows 2000 y Windows 2003 Server. Con este nuevo diseo se puede habilitar un control de acceso en cada objeto e incluso en cada propiedad de ese objeto. Este diseo permite controlar completamente quin puede tener acceso a Active Directory. Integracin de DNS y estndares Los nombres de dominio en Windows 2000 / Windows 2003 son nombres DNS porque Active Directory utiliza DNS como servicio de nombres y de ubicacin. A partir de Windows 2000 Server se soporta DNS dinmico, lo que implica que las direcciones IP asignadas dinmicamente a clientes que se encuentren actualmente conectados, se pueden registrar con el servicio DNS, de modo que la tabla DNS se actualiza dinmicamente. Active Directory tambin soporta directamente HTTP y LDAP. LDAP permite encontrar objetos con facilidad dentro de Active Directory utilizando la bsqueda y HTTP permite ver objetos dentro de Active Directory como pginas web. Active Directory tambin soporta nombres de correo electrnico, como minombre@miorganizacion.com y la nomenclatura UNC. Debido a estos estndares
- 85 -
abiertos de Active Directory, es fcil usar y trabajar con servicios de directorios externos.
Te cnolog sa m a d ActiveD ctory a d itid s e ire

DN NS DS DH HCP D CP SNTP TP SN
Tecnologa e nd deInternet cnologas estndard Interne e t Te s st ar de rnet
TCP/IP TCP/IP
LDAP AP LD
X.50 09 X.5 9
LDIF IF LD Ke eros rb ros Kerbe
Convenciones de nomenclatura de Active Directory

Nombre completo Cada objeto necesita un nombre distinto para que todo elemento del bosque pueda identificarse de manera nica. Un bosque es como una estructura de archivo: no puede colocar dos archivos del mismo nombre en el mismo directorio ni tampoco puede colocar dos personas con el mismo nombre exactamente en el mismo lugar en el bosque. Aunque puede tener dos usuarios con el mismo nombre, deben existir en distintos lugares. Para satisfacer la necesidad para que cada objeto tenga un solo identificador, Active Directory utiliza el nombre completo. Este ejemplo muestra a un usuario con un nombre tan comn como Pedro Gmez. Se ubica en una unidad organizativa que se llama Usuarios, que existe en un dominio llamado Contoso.com. Esto es excelente si est iniciando en la parte superior del rbol y est trabajando en forma descendente. Nombre completo relativo Sin embargo, si ya est en la misma unidad organizativa, no necesita definir toda la ruta al objeto solicitado. La idea de un nombre completo relativo especifica que siempre que se encuentre en un bosque o en la estructura de rbol, slo necesita identificar parte del nombre para llegar a ese objeto. En este ejemplo, si ya se encuentra en la unidad organizativa llamada Usuarios, slo tiene que decir: Quiero encontrar a Pedro Gmez. Si ya est en el dominio llamado Contoso, dir: Buscar en Usuarios y encontrar a Pedro Gmez. Est definiendo la ruta del objeto en relacin con su posicin. - 86 -
Nombre principal de usuario El nombre principal de usuario es generalmente el nombre con el cual se registra el usuario. Sin embargo, el usuario an necesita saber en qu dominio existe la cuenta porque algunos usuarios podran tener mltiples dominios o podra tener mltiples dominios con confianzas instaladas. En sus sistemas, las cuentas de correo electrnico que proporciona a sus clientes podran no reflejar la estructura de dominio de su bosque. Por lo tanto, puede asignar a un cliente la direccin pgomez, cuando ese usuario existe en su bosque como un objeto con un nombre completo completamente diferente. Identificador nico de manera global En la versin 4.0 del sistema operativo Windows NT, cada objeto en el dominio tiene un solo identificador de seguridad (SID). En Windows 2000, este concepto an aplica, pero adems cada objeto necesita ser identificado de manera nica en todo el bosque. Por lo tanto, cuando crea un objeto obtiene el SID, que se adhiere en el dominio, as como el GUID, o Identificador nico global. El SID puede cambiar de manera inesperada. Por ejemplo, si mueve un objeto de usuario del dominio X al dominio Y, obtendr un nuevo SID, ya que ste est unido al dominio. Sin embargo, el GUID para ese objeto nunca debe cambiar. Siempre que el objeto exista en cualquier lugar dentro de la estructura del bosque, su GUID nunca debe cambiar, lo que significa que el GUID se puede utilizar para realizar un seguimiento del movimiento de objetos.
Conve ncione denom ncla s e turadeActive ire D ctory
N brecom let om p o DC= ,DC= com contoso,CN= Usuarios,CN= Pedro Gm ez N brecom let re tivo om p o la N brep cip deu rio om rin al sua Ide ntifica dornico d m ne g e a ra lobal U icida denom s n d bre
- 87 -
Active Directory y DNS

Resolucin de nombre Debido a que se necesita contar con alguna forma para traducir el nombre del servidor X a una direccin IP, o para llegar a un web en el servidor X, que tiene una direccin IP, los mtodos de resolucin de nombre familiares an siguen ah. Tiene la opcin de realizar una transmisin NetBIOS y tener acceso a WINS, sin embargo estos mtodos son heredados de Windows NT. El mtodo de resolucin de nombres propio de Active Directory es DNS, que a su vez se encuentra integrado dentro del propio Directorio Activo. Adems, el Protocolo de actualizacin DNS dinmico se puede utilizar para obtener no slo la direccin IP de un servidor, sino tambin la direccin IP de un servicio. Para ilustrar la diferencia, considerese lo siguiente: en lugar de ir a DNS para obtener una direccin IP para el servidor X, tal vez slo necesite conectarse a la red. Hasta ese punto, le interesa o necesita saber cul es el controlador de dominio que lo autentica o cul es su nombre? Lo que s sabe es que tiene que conectarse a un cierto dominio, as es que cuando va a DNS ahora, no est preguntando por el nombre concreto de un servidor, sino que est preguntando por los controladores de dominio que le permitirn conectarse al dominio X. WINS ya hacia esto. Por lo tanto, tenga en mente que la resolucin de nombre no slo involucra el nombre del equipo para la direccin IP, sino tambin el identificador de un servicio. Ubicacin de los componentes fsicos de Active Directory Ubicar los componentes fsicos de Active Directory tiene que ver con permitir a los usuarios encontrar fcilmente los recursos de la red que necesitan para hacer su trabajo. Una vez que los usuarios se conecten, tal vez necesiten encontrar una impresora, el directorio compartido de datos o una lista de todos los usuarios que viven en Seattle. Esto suceder a travs del almacn de Active Directory, que est almacenado en los controladores de dominio con algunos subconjuntos de esos componentes en los Catlogos globales, pero finalmente deber asociarse el nombre del servicio solicitado a alguna direccin IP. Espacio de nombres
empresa.com
prod.empresa.com
ventas.empresa.com
admin.miempresa.com
dpto1.prod.empresa.com
local.ventas.empresa.com
dir1.admin.empresa.com
Como los nombres de Active Directory son nombres DNS, se puede usar un formato de nomenclatura estndar como miorganizacion.com . Por definicin, un espacio de - 88 -
nombres es un rea mediante la que se pueden resolver los nombres. Todos los objetos que pertenezcan al espacio de nombres dependen del mismo esquema de nombres y se pueden resolver al objeto que representa el nombre. As es cmo Active Directory sabe que servidor1.miorganizacion.com es en realidad un servidor concreto en una ubicacin especfica. Un espacio de nombres contiguo existe si todos los objetos secundarios heredan el espacio de nombres del objeto principal. Un espacio de nombres inconexo no sigue el formato heredado. En la figura se ofrece un ejemplo de un espacio de nombres contiguo.
- 89 -
Diseo y organizacin del Directorio Activo

El Directorio Activo permite disear una estructura de directorios que cubra las necesidades de nuestra organizacin, debemos tener cuidado antes de disear una estructura para que sta ofrezca una solucin organizada y lgica. Lo que no debemos olvidar es que el Directorio Activo permite organizar nuestro directorio con criterios de bsqueda fcil para que los usuarios puedan acceder a los recursos que necesitan sin tener que conocer el diseo fsico de la red y la ubicacin de los distintos servidores. Para conseguir esto, el Directorio Activo se organiza en una estructura de rbol que contiene los recursos de forma lgica. Esta organizacin se explica en las siguientes secciones.
Estructura lgica
Este diagrama muestra la estructura lgica de un bosque. Los dominios, que hasta ahora se haban dibujado en crculos, ahora se muestran como tringulos. El bosque por lo general se mostrar como un tipo de cuadrado o rectngulo que incluye los otros componentes. Cada dominio individual, tal como las unidades organizativas, por lo comn se mostrarn como crculos, aunque en algunas ocasiones estn dibujados como una estructura de carpeta de archivo. Las siguientes pginas definen los dominios, unidades organizativas, rboles y bosques.
Estructuralgica
D inios om U d s orga tivas nida e niza rb s y b ue ole osq s

D om om inio D inio D om om inio D inio
rbole s OU OU
D om om inio D inio
OU OU
Bosque s
D omio om inio D in
D om om inio D inio
OU OU
rbole s D om om inio inio D
D om om inio D inio
- 90 -
Dominio La estructura organizativa del Directorio Activo se basa en el dominio. Esta estructura sigue la estructura de dominio de red, y cada dominio guarda slo la informacin sobre sus objetos. Por motivos prcticos, cada dominio, en esencia, puede contener un nmero ilimitado de recursos, con un lmite terico de aproximadamente 10 millones.
D inios om

Lm dese ite guridad Lim ad inistrativo ite m Unidadded uplicacin M odos dedom inio Modo combinado Modo nativo
Cont dordedom rolad ominio Controla or ded inio (Wind s Serve 20 3) indows rver 00 ) (W ow Se r 2 03
y y
Controladordedom Cont d d d inio rola or e ominio (Window NT4.0 ind s T .0) (W ows N 4 )
Cont roladore ded inio (slo ores Controlad s dedominio(slo om enWindow Serve 20 3) n ind s rver 00 ) e W ows Se r 2 03
En Windows NT, un dominio era un lmite de seguridad, un lmite administrativo y una unidad de replicacin. Si se trabajaba en un dominio Windows NT, se tenan tres cosas. Si era el administrador del Dominio Uno, le perteneca. Si se tenan dos controladores de dominio en este dominio, se comunicaban entre s y ambos tenan una copia completa de cada objeto en ese dominio. Y, si en su dominio se haba definido una longitud mnima para la contrasea de 10 caracteres, sta era una decisin para todo el dominio. En Windows 2000 y Windows 2003, estas tres funciones no han cambiado, el dominio sigue siendo un lmite de seguridad, un limite administrativo y una unidad de replicacin. El lmite de seguridad se logra mediante la ACL (Access Control List), Listas de control de acceso. La ACL del dominio contiene todos los permisos para los recursos del dominio, Adems, se puede ejecutar su dominio en alguno de los modos combinados o nativo. Cuando desarrolle su primer controlador de dominio, viene en modo combinado. No tiene ninguna otra opcin durante la instalacin. De hecho, es lgico que no tenga opcin: si est realizando una migracin, la diferencia entre el modo combinado y el nativo es que si cuenta con controladores de dominio en arquitecturas anteriores tiene que ejecutarlos en el modo combinado o de compatibilidad. Imagine que ya est listo para iniciar la migracin del dominio Windows NT. Ejecutar la actualizacin en el controlador de dominio principal y se convertir en un controlador de - 91 -
dominio Windows 2003. Hasta ese punto, cada controlador de dominio en el dominio an necesita ver este dominio recin actualizado como el controlador de dominio principal. Por lo tanto, lo ejecutar en el modo combinado, lo que significa que los elementos como SID se crean secuencialmente, algo que a los controladores de dominio de reserva les gusta ver. Tambin significa que siempre que se contacte al controlador de dominio de reserva para realizar cambios, vendr aqu para obtener esos cambios. Conforme migre o actualice otros controladores de dominio de reserva, estos se convertirn en controladores de dominio Windows 2003; de esta manera, todo el concepto del controlador de dominio principal/controlador de dominio de reserva (PDC/BDC) realmente se est eliminando. Los controladores de dominio de Active Directory son en esencia iguales y los cambios se pueden realizar en cualquiera de esos equipos. Despus de que actualice todos los equipos BDC de NT a los controladores de dominio Windows Server 2003, ya no tiene ninguna razn apremiante para ejecutar ms en el modo combinado. Debido a que todos estos equipos ahora son controladores de dominio de Active Directory, todas comprenden el concepto de transferir datos en una relacin de igual a igual, en oposicin a la relacin PDC/BDC, que es bsicamente un movimiento de informacin de una sola va. Tomar la decisin de ejecutar en modo nativo cuando todos sus controladores de dominio se hayan actualizado a Windows Server 2003. Pero, cuando actualice ese primer controlador de dominio principal, aparecer en un modo combinado y continuar contactando a los controladores de dominio de reserva hasta que decida cambiar al modo nativo. La transicin del modo combinado al modo nativo es para todos los propsitos prcticos un viaje de un solo sentido. Para volver al modo combinado desde el nativo tendr que restaurar desde las cintas de copia de seguridad. Por lo tanto, desear estar seguro que ya est listo para cambiar al modo nativo antes de hacerlo. Unidades organizativas Los recursos del dominio se organizan en OU (Organizational Units), Unidades organizativas(mejor traducido por Departamentos en castellano). Podemos imaginar una OU como una carpeta de archivos que contiene archivos adecuados. Las OU contienen agrupaciones lgicas de recursos, como archivos, impresoras, bases de datos, aplicaciones y otros recursos de dominio. Imagine que tiene un dominio Windows NT 4.0 y desea que una persona sea el administrador para la mitad de los usuarios y que otra persona administre la otra mitad. En Windows NT esto es casi imposible. No puede dividir un dominio Windows NT 4.0 de manera administrativa; puede ser que administre todos los usuarios o que no administre ninguno de ellos. No sera maravilloso que un solo dominio se pudiera dividir para que Tom administre a todos en Los Angeles, y Mary administre todos en Nueva York, y no se afecten entre s? Esto es lo que una estructura de una unidad organizativa permite hacer. Aunque existen otras razones para crear Unidades organizativas, esta habilidad es ciertamente una de las principales. Existen varias filosofas sobre cmo crear este modelo, puede dividir por aplicaciones, impresoras, ubicaciones, usuarios y dems, pero una de las mejores es disear la estructura de la unidad organizativa despus de su modelo administrativo en lugar de su modelo empresarial.
- 92 -
No existe una ventaja para que los usuarios diseen la Unidad organizativa en las divisiones de negocios porque no necesitan saber su unidad organizativa para conectarse, en realidad nunca utilizan su nombre de unidad organizativa. Adems, modelar la estructura de la unidad organizativa despus de la del negocio podra ser una gran desventaja para su personal administrativo. En lugar de eso, observe el modelo administrativo que est utilizando ahora. Si su estructura de dominio se basa en la geografa, esa podra ser una buena forma de disear su estructura de unidad organizativa.
U a e orga tiva nid d s niza s
D a Unida s orga tiva dea rdo con: ise r de niza s cue

Estructura organizacional Estructura organizacional Modelo administrativode red inistrativo de red Modelo adm
Pars Ventas Reparacin
Ventas Usuarios Com putadoras
D le r e cont a inist tivoanive delaunida e ga l rol dm ra l d orga t niza iva La unida s orga t spe it n e m lo de s de niza iva rm e l ode dom ion in ico
Sin importar cul modelo elija para la estructura de unidad organizativa, el punto es lograr que el sistema sea ms fcil de administrar. Objetos Las unidades organizativas contienen objetos o recursos. Un objeto puede ser cualquier recurso de dominio, como archivos, aplicaciones o incluso usuarios. Los objetos pueden organizarse en clases que agrupen ciertos tipos de objetos. Como vemos en la figura, los objetos se incluyen en las OU y las OU se incluyen en un dominio. rboles y bosques Cuando desarrolla ese primer controlador de dominio, est desarrollando el dominio de raz en el bosque. Este es un dominio muy especial en este bosque porque establece toda la estructura del bosque. Todas las confianzas, todo el acceso a los objetos, se ejecutar a travs de este dominio. Si este dominio fuera a desaparecer, tendra que reconstruir su bosque. Por lo tanto, ser ciertamente interesante mantener al menos dos controladores de domino replicndose este nivel.
- 93 -
rbole y b s osques
(raz)
Confianzastra nsitivasde dos vas e Confianzastransitivasd dos vas
cont oso.com contoso.com
Bosques
nw tra tra ders.com nw ders.com
rbol china. chin a. contoso.com contoso.com
jap an. japan. contoso.com contoso.com
china . . china nw trad rs.com trad e nw ers.com
rb ol
japa . . nn japa nw trad trad ers.com nw ers.com

Confianzaque noest nsitivade una nza s ra Confia queno e tra nsitivadeun a va va
D om om inio D inio W ind ss N 4 .0 indow N T 4 W ow T .0
Durante la instalacin, se le solicitar que nombre el dominio. Cuando desarrolle el dominio de raz, el bosque toma el nombre del dominio de raz. En este ejemplo, el dominio de raz se llama contoso.com, por lo que el bosque recibir ese mismo nombre tambin. Conforme comience a agregar otros dominios, tendr dos opciones bsicas: 1. Puede incorporar los nuevos dominios en un rbol existente, que es exactamente lo que sucede en este ejemplo. Observe que el espacio de nombre inicia a tomar los nombres del dominio principal, en realidad no tiene opcin alguna. As, si incorpora a China en el rbol existente, ste se llamar china.contoso.com. Si incluye otro dominio en ese mismo, ser domain1.china.contoso.com, manteniendo el espacio de nombre contiguo a travs de esa estructura de rbol. 2. Su otra opcin es permanecer en el mismo bosque pero teniendo un dominio o espacio de nombre DNS diferente. Hasta ese punto, lo que est diciendo es: nete al bosque contoso.com, pero no entres al rbol existente. Entra como tu propia raz de rbol. El diagrama muestra otra raz de rbol, pero no es otra raz de bosque. Como se mencion arriba, si pierde contoso, perder el bosque. Pero ahora ha creado un nuevo espacio de nombre DNS, en el cual puede comenzar a desarrollar un rbol debajo, con el mismo requisito de continuar ese nombre DNS hacia abajo a travs de la estructura. De forma predeterminada, obtendr confianzas transitivas de dos vas entre todos los dominios en su bosque. Esto significa que si un usuario en el dominio de China necesita utilizar una impresora en Japn, puede ofrecerles esa habilidad. Debido a la relacin de confianza de dos vas, puede llegar a cualquier recurso en el bosque fcilmente.
- 94 -
Adems, tal vez necesite desarrollar relaciones con otros dominios. Por ejemplo, puede estar a la mitad del proceso de la migracin y tener algunos dominios en un bosque, pero no todos. Si necesita que las confianzas estn en su lugar durante la migracin, tiene la habilidad de desarrollar lo que es en esencia una confianza de Windows NT 4.0 porque es de una va y no es transitivo. Adems, cualquier confianza existente permanecer en su lugar durante el proceso de actualizacin. Este diagrama muestra confianzas transitivas de dos vas. Lo que es ms, si as lo desea, puede crear confianzas adicionales dentro de su propio bosque. Cuando el usuario en Japan.nwtraders intenta llegar a la impresora, esa solicitud pasar del dominio del usuario hasta la raz y volver. Una vez que ese usuario recorre esa ruta una vez, el sistema le ofrece un ticket para que la siguiente vez que necesite llegar a ese recurso lo pueda hacer. Mientras tanto, si tiene un dominio grande, o un bosque grande con una gran cantidad de dominios y rboles, y desea otorgar acceso de un lugar a otro, puede crear una confianza, a modo de atajo, para que eso suceda. El punto es que no est completamente bloqueado en la estructura que se le dio. Puede crear confianzas adicionales incluso dentro de su propio bosque, si as lo requiere. Finalmente, por qu la confianza transitiva es tan diferente de las confianzas en Windows NT 4.0? Es de dos vas. En Windows NT 4.0, podra decir, si A confa en B y B confa en C, eso no le dice absolutamente nada acerca de A y C. Una confianza transitiva es exactamente lo opuesto a eso. En este caso, si A confa en B y B confa en C, entonces pueden pasar de A a C a travs de B. Esto es una confianza transitiva. Tambin significa que no terminar con una gran cantidad de dominios con una cantidad increblemente grande de confianzas de dos vas pasando entre ellos; no pasar mucho tiempo antes de que se d cuenta de que tiene algunos diagramas de confianzas realmente horribles. Esto se encargar de ese problema.
Estructura fsica
Con el concepto del sitio y la estructura fsica, surgen preguntas en relacin con los controladores de dominio, el trfico entre los controladores de dominio, y el concepto de la creacin del sitio. Si ha trabajado con Microsoft Exchange Server, el concepto de los sitios le debe resultar de alguna forma familiar. Con el concepto de sitio a partir de Windows 2000 se evitan una gran cantidad de limitaciones que existan con Windows NT 4.0. Sitios Un sitio hospeda la estructura fsica del Directorio Activo. Los usuarios del Directorio Activo ven los objetos no en trminos de un sitio sino en trminos de rboles y dominios. El sitio, sin embargo, se mantiene por motivos de administracin de red, en primer lugar para la replicacin. Los sitios se conectan internamente a travs de enlaces de alta velocidad para que pueda darse la replicacin del directorio intra-sitio. Active Directory usa rplica multimaster, lo que significa que no hay un controlador de dominio que sea el replicador maestro, sino que todos los controladores de dominio funcionan a la par para replicar cambios en sus recursos de dominio a los otros dominios.
- 95 -
Sitios
Se t a tle N wYork e Chica go Los Ange s le
Subre IP d
Sitio
Subre IP d
Imagine que tiene un solo dominio que abarca California y tiene controladores de dominio en Los ngeles con un controlador de dominio principal en San Francisco. La Costa Oeste de Estados Unidos funciona bien porque puede obtener todo el ancho de banda que necesite. Sin embargo, quiere cambiarse a Sudamrica que no cuenta con el nivel de conectividad que est disponible en este pas. En Windows NT, todos los cambios deben llevarse a cabo en el controlador de dominio principal. Sin embargo, el controlador de dominio de reserva en Brasil necesita obtener esos cambios tambin. Debido a que todo sucede en el controlador de dominio principal, slo tiene que tratar con el trfico de replicacin. Si ese conector se desactiva durante un periodo largo, cuando vuelva tal vez vea una sincronizacin de toda su base de datos SAM (Administrador de cuentas de seguridad) teniendo lugar a travs de ese conector WAN. Debido a la forma en que funciona la relacin PDC/BDC, cuando el controlador de dominio de reserva se dirige al registro de cambio, busca optimizar su propio consumo de tiempo. Si ve su consumo de tiempo, sabe cules son los cambios y los baja. Si no ve el consumo de tiempo, BDC simplemente toma toda la base de datos. Puede intentar arreglar esta situacin al utilizar la administracin de replicacin y la administracin de sincronizacin para realizar cambios con menos frecuencia. Pero eso realmente no hace nada por reducir el trfico, slo resulta en ms trfico menos frecuente. Aun as, el trfico de replicacin o sincronizacin suceder de cualquier forma, porque en caso de que suceda un cambio, el trfico ocurrir. As, lo que estos mtodos realmente pueden hacer es administrar cundo ocurren los cambios. En el escenario de California, cuenta con un controlador de dominio principal, uno de reserva en la misma habitacin y posiblemente otro de reserva. Cuenta con uno de reserva en Los ngeles y con otro de reserva en Brasil. Si cambia el tiempo de replicacin en el principal, afectar a una gran cantidad de usuarios porque ese controlador de dominio tan
- 96 -
lejano no puede administrar una sincronizacin cada cinco minutos (que es el tiempo predeterminado). Sin embargo, tener los dos equipos en la misma habitacin replicando cada cinco minutos no sera ningn problema sino todo lo contrario. Por desgracia, Windows NT 4.0 no tena forma de especificar cun a menudo los dominios se replicaran. Todo eso conlleva al concepto de sitios. Un sitio es una coleccin de subredes IP. Un sitio puede tener tantas subredes en l como desee incluir, pero una subred no puede abarcar sitios mltiples. Si imagina el sitio como un limite fsico, es lgico que no desee una subred que cruce desde Brasil a Los ngeles. Por ejemplo, si tiene una gran cantidad de usuarios en Los ngeles, podra ser perfectamente apropiado tener subredes mltiples como parte del mismo sitio. Una vez que defina sus sitios, puede comenzar a refinar la replicacin entre ellos. Puede especificar que los dos equipos en el mismo sitio, llamadas San Francisco, se dupliquen entre s siempre que lo deseen. Sin embargo, este equipo en Los ngeles es un conector un poco ms lento por lo que estos equipos pueden duplicarse slo cada 30 minutos. Y el periodo de tiempo para ese en Brasil debe ser de seis horas. En otras palabras, aunque no pueda hacer mucho sobre la cantidad de trfico que tiene que moverse, s tiene ms control.
Funciones especficas del controlador de dominio

Una vez comprendida la organizacin de Active Directory, veremos algunas funciones especificas de los controladores de dominio que explican mejor cmo funciona Active Directory. Hasta ese punto, los controladores de dominio tienen funciones especficas, una de las cuales es el Catlogo global, que le permite agregar distintos tipos de funcionalidad a un controlador de dominio para distintos propsitos. Los maestros de operaciones son un poco diferentes en cuanto a que slo puede tener uno por bosque o uno por dominio, dependiendo de la funcin que el Maestro de operaciones intente satisfacer. Es importante saber cules son los controladores de dominio que satisfacen estas funciones, por ejemplo, por si uno de ellos se apaga o se elige moverlo. Catlogo global Como se ha mencionado anteriormente, Active Directory utiliza un catlogo global que permite a los usuarios buscar informacin en un dominio; rbol o bosque. El catlogo global se genera automticamente en cada dominio a travs del proceso de rplica. Este catlogo global es un servicio, adems, una ubicacin de almacenamiento que contiene rplicas, de objetos y sus atributos. Por definicin, los atributos de cada objeto permiten al usuario realizar una bsqueda para encontrar el objeto sin saber el nombre exacto de objeto. Por ejemplo, dentro del catlogo global, un usuario puede buscar "impresora" sin tener que saber el nombre de la impresora concreta que el ella desea usar. Cuando Active Directory se instala en el primer controlador de dominio dentro de un nuevo bosque, el controlador de dominio predeterminado es el servidor de catlogo global. El servidor de catlogo global almacena una copia del catlogo global. Otros servidores pueden ser servidores de catlogo global; sin embargo, debe tenerse en - 97 -
cuenta que cuantos ms servidores de catlogo global, mayor ser el trfico de rplica y consulta en la red. No obstante, disponer de ms servidores de catlogo global ayuda a acelerar el tiempo de respuesta en redes congestionadas. Para comprender la filosofa detrs del servidor de Catlogo global, imagine que est trabajando en China y desea encontrar todas las impresoras de color de dos lados en su bosque. No tiene tiempo de esperar que el mecanismo de consulta busque en todos los rboles. Lo que necesita es una base de datos centralizada de todos los objetos. Eso es lo que hace el servidor del Catlogo global. De manera que el catlogo global por definicin tendr informacin acerca de todos los objetos del bosque. Para evitar que esta base de datos crezca aun tamao increblemente grande, se limita la cantidad de informacin que muestra sobre cada objeto a un subconjunto de los aspectos ms populares en donde un usuario quisiera buscar, tal como el apellido, direccin y nmero telefnico del usuario. A veces se dice que el Catlogo global contiene una lista parcial de todos los objetos del bosque, pero eso es engaoso. En lugar de eso, el Catlogo global es una lista completa de los objetos con algunos de los atributos de cada objeto. La buena noticia es que, como administrador, se puede determinar cules son los atributos que van a aparecer en ese Catlogo global. Si est ejecutando en modo nativo, los Catlogos globales tambin contienen listas de la Pertenencia a grupo universal. Durante la conexin se utilizan los Catlogos globales para determinar en cules Grupos universales se encuentra el usuario. Debido a que los Grupos universales necesitan acceso a ese servidor del Catlogo global, va a querer a ms de uno. Ms importante an, dnde los vamos a colocar? Si los usuarios en Brasil no tienen un servidor de Catlogo global, cada vez que busquen fuera de su propio dominio, ver trfico en ese conector al servidor del Catlogo global. Para remediar eso, debe construir un Servidor de Catlogo global en Brasil. Las realidades fsicas y geogrficas son ms importantes cuando decide en dnde se ubicarn los servidores del Catlogo global, y esto, a su vez, est equilibrado por el lugar en donde se encuentren los usuarios y por la cantidad de bsquedas de dominios cruzados que necesitan llevar a cabo. Debe tenerse en cuenta que un controlador de dominio puede administrar bsquedas para recursos dentro del dominio del usuario; es slo cuando se est solicitando un recurso fuera del propio dominio del usuario cuando se involucra un Catlogo global. Adems, si est en el modo nativo, se necesitar tener acceso a un servidor de Catlogo global para la autenticacin, que es otra buena razn para acercarlos a donde se encuentren sus usuarios. No tiene sentido tener un controlador de dominio geogrficamente cerca de los usuarios, y despus hacerlos cruzar un conector lento para tener acceso al Catlogo global slo para conectarlos. Finalmente, los Catlogos globales son fciles de poner a trabajar y de retirarlos. Si no desea que un servidor sea ms un Catlogo global, slo seleccione un cuadro y desaparecer. Maestros de operaciones Los cinco tipos de Maestro de operaciones son el Maestro de esquema, Maestro de nombre de dominio, el Maestro de RID (Identificador relativo), el Emulador PDC y el Maestro de infraestructura. La primera implementacin que construya en ese primer dominio de raz tendr los cinco tipos de Maestros de operaciones. Su segundo dominio
- 98 -
tendr tres de las funciones: Maestro de RID, Emulador PDC y el Maestro de infraestructura. Puede realizar la ejecucin sin ninguno de estos por un periodo limitado de tiempo. Incluso puede no saber que le falta uno hasta que realiza algo que requiere una de estas funciones. Maestro de esquema En Windows Server 2003, no tiene una clase de objeto llamada enrutador. Para agregar atributos a objetos existentes o para crear clases de objeto completamente nuevas, necesita habilitar Active Directory para saber cmo crear ese objeto y esto involucra ampliar el esquema. Un equipo en el bosque debe administrar esa extensin de esquema. Cada controlador de dominio sabr cmo se ve el esquema y necesita saber qu tipos o clases de objetos se pueden crear. Para evitar los conflictos originados por distintas personas que cambian el esquema en tiempos diferentes, slo un equipo debe ser una copia de leer/escribir de esa base de datos de esquema. Este ser su Maestro de esquema. El primer controlador de dominio que desarrolle completar esa funcin Maestro de esquema. Slo puede existir un Maestro de esquema por bosque. Maestro de nombre de dominio Como el Maestro de esquema, slo puede existir un Maestro de nombre de dominio por bosque. El Maestro de nombre de dominio es el equipo que asegura que no tenga dos dominios en el mismo rbol con el mismo nombre. Por ejemplo, si establece contoso.com como su dominio de raz y crea one.contoso.com, el Maestro de nombre de dominio evitar que coloque otro dominio con el mismo nombre evitando as un conflicto. Maestro de RID Si est ejecutando en modo combinado, significa que su Controlador de dominio de reserva est en lnea. Como parte del proceso de sincronizacin, los Controladores de dominio de reserva necesitan ver los SID (Identificadores de seguridad) consecutivos, y depende del Maestro de RID asegurar que eso suceda. Cuando crea un usuario, ese usuario ir al Maestro de RID para obtener el siguiente SID disponible. Una vez que cambia al modo nativo, los SID consecutivos ya no importan, pero an se necesita el Maestro de RID porque desea asegurarse que nunca duplicar un SID. En el modo nativo, en lugar de tener acceso al Maestro de RID cada vez que crea un objeto, slo toma un bloque de aproximadamente 500 Id. para utilizarlos de manera local. As, la funcin del Maestro RID cambia un poco en el modo nativo, pero sigue siendo muy importante saber que ah est. Si piensa eliminarlo, probablemente no lo sabra hasta que se quedara sin Id. y no pudiera obtener ms. Existe un Maestro de RID por dominio. Emulador PDC En el modo combinado, los BDC se dirigen al Emulador PDC para los cambios. Puede crear objetos en un dominio con Active Directory, pero cuando los controladores de reserva necesiten obtener los cambios, no se dirigen al controlador de dominio; slo saben dirigirse al Emulador PDC. Adems, cuando sus clientes que ejecutan Windows 98 o Windows NT necesitan encontrar un PDC y se dirigen al Emulador PDC. - 99 -
Cuando cambia de modo combinado a modo nativo, la funcin del Emulador PDC cambia un poco, pero no desaparece. Ciertos cambios se consideran cambios crticos, tales como las contraseas que se cambiaron, alguien que excedi el nmero mximo de intentos de conexin, etctera. Debido a la naturaleza critica y de amplio alcance de estos cambios, estos se replican de inmediato nuevamente en el Emulador PDC. Por lo tanto, aun si se encuentra en el modo nativo y realmente no cuenta con un equipo que acte como un Controlador de dominio principal, an cuenta con el Emulador PDC, y sigue siendo importante que funcione y est disponible. Existe un Emulador PDC por dominio. Maestro de infraestructura El Maestro de infraestructura realiza un seguimiento del movimiento de los objetos. Si mueve un usuario de un dominio o Unidad organizativa a otro, parte del nombre del usuario cambiar. Y desea que el grupo en donde el usuario se encuentra refleje ese cambio de nombre lo ms pronto posible. El Maestro de infraestructura lo har en su lugar.
- 100 -
ADMINISTRACIN DE USUARIOS
Como hemos visto la ubicacin de la informacin de seguridad difiere un tanto si nuestra red esta organiza en grupos de trabajo o si en cambio hemos elegido una configuracin de dominio con Active Directory. En el primer caso la informacin referente a las cuentas de usuario y permisos se almacenan en cada servidor independiente, por tanto ser en cada servidor donde tengamos que crear las cuentas de usuario y grupos. Sin embargo si hemos instalado Active Directory ser ah donde se guarde la informacin de todos los recursos de forma centralizada y ser desde all desde donde realizaremos toda la administracin de los recursos.
Usuarios y grupos locales de mquina

Tanto en los servidores independientes configurados en grupos de trabajo como en los servidores miembros de dominio tenemos la posibilidad de crear usuarios y grupos a nivel local. Los servidores miembros de dominio estarn sometidos a las polticas de seguridad impuestas en Active Directory por los controladores del dominio, sin embargo, como veremos, a veces tambin puede resultar interesante la creacin de usuarios a nivel local para arrancar algunos servicios o grupos a nivel local para establecer una ms potente y correcta organizacin del acceso a los recursos. Los usuarios y grupos a nivel local de mquina es un concepto que no ha variado respecto a la versin de Windows NT 4.0, si acaso a variado el interfaz y algunas de las propiedades. Con los usuarios locales de mquina podremos administrar el acceso a los recursos y servicios de la propia mquina en que los hayamos creado, nunca de otras mquinas u objetos de Active Directory, para eso deberemos emplear usuarios o grupos de dominio. No podemos crear usuarios ni grupos locales de mquina en los controladores de dominio, en su lugar se utilizarn usuarios de dominio y grupos locales de dominio en el Active Directory. Gestin de usuarios locales de mquina Windows 2000 / Windows 2003 Server tiene dos cuentas de usuario locales preconfiguradas Administrador e Invitado que no est permitido eliminar. La del administrador es una cuenta especial con todos los privilegios del sistema, no debe utilizarse como cuenta habitual de trabajo y es el ltimo recurso de acceso a la mquina incluso en el caso de que no podamos iniciar sesin en un dominio, ante un problema de red por ejemplo. Un aspecto este muy recomendable por motivos de seguridad es cambiar de nombre a esta cuenta. La cuenta de invitado viene por defecto desactivada y podremos activarla en caso necesario. Para crear nuevas cuentas de usuarios a nivel local seguiremos el siguiente procedimiento: 1. Hacemos clic en Inic io > Pro g ra ma s > He rra mie nta s a d minis tra tivas > Ad minis tra c in de equipo s o con el botn derecho del ratn sobre Mi PC seleccionamos Ad minist ra r.
- 101 -
2. Nos dirigimos a la carpeta Usua rio s dentro de Usuario locales y Grupos y hacemos clic con el botn derecho del ratn sobre ella seleccionando la opcin crear nueva cuenta de usuario. 3. Nos aparece una ficha como la mostrada en la figura para que rellenemos los campos correspondientes. No mbr e de usuar io ser el nombre de la cuenta que se utilice para iniciar sesin. Los campos No mbr e co mple to y De sc ripc i n son opcionales. 4. Establecemos la contrasea inicial del usuario si es que queremos que tenga alguna y marcamos las opciones que deseemos utilizar de la parte inferior. El us ua rio de be c a mbia r la c ontra se a en el sig uie nte inic io de ses i obligar n al usuario a establecer una contrasea nueva la prxima vez que inicie sesin. El us ua rio no pue de ca mbia r la co ntra se aimpide el cambio de contraseas por parte del usuario. La c ontras e a nunc a c ad uc a permite mantener la misma contrasea en la cuenta indefinidamente, en caso contrario obligar a cambiarla trascurrido el periodo marcado en las polticas de seguridad. Cue nta des ha bilit ad a impide el inicio de sesin con esa cuenta.
5. Pulsaremos el botn Cre a r para que se genere la nueva cuenta, tras lo cual nos aparecer la ficha en blanco por si queremos generar ms cuentas. Pulsaremos Ce rra r si no queremos generar nuevas cuentas Una vez generadas las cuentas haciendo doble clic sobre ellas veremos sus propiedades y podremos gestionar otras caractersticas de las mismas a travs de las fichas que se nos muestran. General En esta ficha podemos modificar las propiedades establecidas cuando se gener la cuenta del usuario. Todas excepto el propio nombre de la cuenta para el inicio de sesin. Este lo cambiaremos haciendo clic con el botn derecho del ratn sobre la cuenta de usuario en la pantalla del Ad ministr ad o r de equipo sy seleccionando ca mbia r no mb re.
- 102 -
Adems podemos observar que nos aparece una opcin nueva, c uent a bloq ue a d a, esta la utilizaremos para habilitar manualmente la cuenta cuando haya sido automticamente desactivada por sucesivos intentos de inicio de sesin errneos debido a una poltica de seguridad habilitada en el sistema.
Miembro de A travs de esta ficha veremos y gestionaremos la pertenencia del usuario a los grupos, utilizando para ello los botones Ag re g a r y Q uita r
- 103 -
Perfil En esta ficha podemos establecer la Ruta de ac c eso al pe rf il del usuario en caso de que este sea mvil, el perfil es la configuracin personal del usuario a nivel de iconos de escritorio personalizacin de vistas y datos de programas etc. Tambin podremos indicar un Arc hivo de c o ma nd o s de inic io de ses i n un script que se ejecutar cada vez que , inicie sesin el usuario con el fin de prepararle adecuadamente el entorno de trabajo. La Car pet a partic ular es la carpeta de trabajo del usuario, puede ser una carpeta a nivel local o una ubicacin de la red a la que el sistema automticamente conectara una unidad de red en el inicio de sesin. Estas rutas tanto de perfil como de carpeta particular son opcionales y en caso de no ser indicadas el sistema guardar los datos y configuraciones de los usuarios en la carpeta Do c u me nt s and Se tt ing sdel disco del sistema.
Entorno, Sesiones, Control remoto y Perfil de Servicios de Terminal Las siguientes cuatro fichas muestras propiedades y aspectos de configuracin para cuando el usuario inicio sesin en un servidor de aplicaciones desde un terminal remoto a travs de los Ser vic io s de Termina l. Un servidor de aplicaciones es un tipo de servidor que ejecuta aplicaciones de forma centralizada para los usuarios enviando a estos una imagen de los resultados a una sesin de terminal a la que se conectan. Algunas de las propiedades no son aplicables directamente a Windows 2000 Server configurado como servidor de aplicaciones, sino que estn preparadas para trabajar con Citrix MetaFrame y su cliente de terminal ICA, un producto que se instala sobre un servidor de aplicaciones de Windows 2000 y potencia sus capacidades y configuracin como servidor de aplicaciones.
- 104 -
Ficha de Entorno de trabajo de terminales.
Ficha de propiedades de las sesiones de terminal
- 105 -
Ficha de control remoto de sesiones de terminal
Ficha de perfil de usuario para sesiones de terminal
- 106 -
Marcado La pgina Marcado permite configurar el acceso remoto para el usuario, en caso que fuera necesario. En la parte superior de la ventana podemos seleccionar Permitir acceso para permitir al usuario tener acceso al servidor de acceso remoto a travs de acceso telefnico o VPN. Tambin podemos permitir opciones de devolucin de llamada activando el botn de opcin adecuado en medio de la ventana. Dependiendo de la configuracin de acceso remoto tambin podemos asignar una direccin IP esttica al usuario y asignarle una ruta esttica. De forma predeterminada, el acceso telefnico se deniega al usuario hasta que lo habilitamos en su pgina de propiedades.
Gestin de grupos locales de Mquina La creacin de grupos locales de mquina la realizaremos de forma anloga a como se realiza la creacin de usuarios locales de mquina, slo que las propiedades a rellenar son menos numerosas y ms sencillas. A travs de la ficha de grupos locales de mquina podremos ver y gestionar los miembros de los grupos locales, que pueden ser usuarios o otros grupos del Directorio asociado al dominio del que la mquina sea miembro. Usando los botones <Agregar> y <Quitar> gestionaremos la pertenencia a grupos. As como los usuarios locales de mquina pierden importancia cuando la mquina es miembro de algn dominio a favor de los usuarios de Active Directory no as los grupos locales que tienen una importancia an mayor si cabe en la correcta gestin de los permisos de acceso a los recursos de la mquina cuando esta es miembro de algn domino como veremos ms adelante.
- 107 -
Ficha de propiedades de grupos locales
Unidades Organizativas de Active Directory

Las unidades Organizativas son los contenedores dentro de los cuales se organizan y estructuran los distintos objetos de un dominio en el Directorio Activo. Adems Active Directory permite crear unas unidades organizativas dentro de otras para representar todo tipo de organizaciones Por todo ello, antes de plantearnos la creacin de objetos dentro de Active Directory debemos plantearnos el tipo de estructura y organizacin que queremos utilizar y para llevarla a cabo crearemos las unidades organizativas correspondientes. Creacin de unidades organizativas Se puede agregar fcilmente una unidad organizativa a nuestro rbol de dominio siguiendo los siguientes pasos: 1. En el rbol de la consola de Usuarios y equipos de Active Directory, expandimos el nodo del dominio. 2. Hacemos clic con el botn derecho sobre el nodo de dominio o en una carpeta dentro del nodo de dominio en el que se quiera agregar una OU. 3. Elegimos Nuevo y hacemos clic sobre Unidad organizativa. 4. Escribimos el nombre de la OU en la ventana que aparece y hacemos clic en <Aceptar>.
- 108 -
Mover unidades organizativas Podemos mover una unidad organizativa a otra unidad organizativa o a otro contenedor en el rbol de dominio. Para mover una OU seguiremos los siguientes pasos: 1. En el rbol de la consola de Usuarios y equipos de Active Directory, expandimos el nodo de dominio. 2. Hacemos clic con el botn derecho en la OU y elegimos Mover. 3. Aparece la ventana Mover. Expandimos el dominio y seleccionamos la carpeta a la que queramos mover la unidad organizativa. Hacemos clic en <Aceptar>.
- 109 -
Eliminar unidades organizativas Se puede eliminar fcilmente una unidad organizativa haciendo clic con el botn derecho del ratn en la OU y seleccionando Eliminar. Deberemos confirmar la orden de eliminacin haciendo clic en S o No.
Usuarios y grupos de Active Directory

La administracin de cuentas de usuario y de grupo es una tarea algo absorbente para los administradores de red. Para la mayora de ellos, crear, configurar y administrar cuentas de usuario y de grupo no es diferente a como era desde los tiempos de Windows NT, hay ms opciones que configurar pero las tareas siguen siendo las mismas. Como hemos visto a partir de Windows 2000 ya no disponemos del Administrador de usuarios para dominios; las cuentas de usuario, equipo y grupos se administran ahora con el complemento Usuarios y equipos de Active Directory . Este captulo muestra cmo crear, configurar y administrar cuentas de usuario y grupo en en servidores Win dows con Active Directory. - 110 -
Las cuentas de usuario y de equipo
en Active Directory
Tanto las cuentas de Usuario como las de equipo deben estar habilitadas para ofrecer derechos de acceso, as como restricciones tanto a usuarios de red como a equipos que pertenezcan a la red. Windows con Active Directory ofrece dos modos diferentes de cuentas de usuario: cuentas de usuario de dominio y cuentas de usuario local. Cuando un usuario se conecta al dominio, la cuenta de usua rio y su contrasea se verifican con el SID (Security ID), Id. de seguridad pa ra esa cuenta. Si la cuenta es vlida, la cuenta se autentica por el controlador de dominio y el usuario recibe un testigo de acceso. La informacin de la cuenta de usuario se replica a los otros controladores de dominio para que el usuario pueda tener acceso a los recursos del dominio. La cuenta de usuario local permite al usuario conectar con un equipo concreto y tener acceso a los recursos que existan en la mquina. La cuenta del equipo local se crea slo en la base de datos de seguridad del equipo y su informacin de cuenta no se replica a los controladores de dominio. Los usuarios que acceden a un equipo local usando una cuenta de equipo local no podrn usar los recursos que existan en el dominio. El Directorio Activo de Windows contiene dos cuentas incorporadas, la cuenta del administrador y la cuenta de invitado. La cuenta de invitado se deshabilita de forma predeterminada y se puede habilitar y asignarle una contrasea si hace falta. Podemos volver a nombrar la cuenta de invitado pero no podemos eliminarla. Es importante recordar al crear cuentas de usuario que los nombres de ini cio de sesin de usuario deben ser nicos, no pueden contener ms de 20 ca racteres, y los siguientes caracteres no son vlidos: "/\[];|=,+*?<>. Las maysculas no influyen en los nombres de inicio de sesin de usuario, pero s en las contraseas. Creacin de cuentas de usuario de dominio Para crear una cuenta de usuario, podemos seguir estos pasos: 1. Hacemos clic en Inic io > Pro g ra ma s > Her ra mie nt as a d ministr a tivas> Usua rios y eq uipo s de Ac tive Dire ct or y . 2. Expandimos el dominio dentro de la consola. 3. Hacemos clic con el botn derecho en el contenedor Usuarios, o en la OU donde quiera crear una cuenta de usuario, se selecciona N ue vo y hacemos clic en Usua rio, o simplemente seleccionamos el icono N ue vo us uar io en la barra de tareas. Aparece Crear nuevo objeto (Usuario), como se mues tra en la figura. Escribimos el nombre del usuario y el nombre de inicio de sesin. El nombre de inicio de sesin a bajo nivel, que usa r con servidores de Windows anteriores, como NT, se muestra automticamente. A continuacin, hacemos clic en < Sig uie nt e>. 4. En la siguiente ventana, se debe escribir la contrasea para el usuario y activar las casillas de verificacin adecuadas, como muestra la figura. Tenemos la opcin de elegir El usuario debe cambiar la contrasea en el si guiente inicio de sesin , El usuario no puede cambiar la contrasea , La contrasea nunca caduca o Cuenta deshabilitada . Realizamos la seleccin y hacemos clic en < Siguie nte >. 5. Aparece una pgina de resumen, como se muestra en la figura. Se revisa la cuenta y hacemos clic en el botn <Fina liza r > para crear la cuenta, o seleccionamos el botn < Atr s > para realizar cambios.
- 111 -
Configuracin de las propiedades de cuenta Una vez creada una cuenta de usuario, podemos configurar informacin adicional sobre la cuenta para especificar ms detalles sobre el usuario y asignar al usuario ciertos derechos y privilegios de acceso. Para configurar una cuenta de usuario, localice la cuenta de usuario que quiera configurar, haga clic con el botn derecho sobre ella y seleccione sus propiedades. La pgina de propiedades del usuario se abre mostrando ocho fichas. Pueden aparecer ms fichas en funcin de la configuracin del sistema. Las siguientes secciones muestran cmo podemos configurar cada pgina. General En la pgina General , que se muestra en la siguiente figura, podemos escribir informacin adicional sobre el usuario, como una descripcin del usuario, in formacin del lugar de trabajo, telfono, correo electrnico y la pgina per sonal de usuario, si dispone de ella. Podemos seleccionar el botn < Otros> para escribir informacin adicional o pginas de acceso web adicionales si es ne cesario.
- 112 -
Direccin En la hoja de propiedades Direccin , que se muestra en la figura, po demos escribir la direccin del usuario escribiendo los datos en el cuadro co rrespondiente. Use el men desplegable Pas / regin para seleccionar el pas o la regin apropiada.
Cuenta La hoja de propiedades Cuenta , se presenta el nombre de inicio de sesin de usuario y el nombre de inicio de sesin de bajo nivel. En esta pgina tenemos las siguientes opciones de cuenta para el usuario:
El usuario debe cambiar de contrasea en el siguiente inicio de sesin . El usuario no puede cambiar de contrasea . La contrasea nunca caduca . Almacenar contrasea como texto sencillo cifrado . Cuenta deshabilitada . El usuario debe iniciar sesin utilizando una tarjeta inteligente .
- 113 -
La cuenta debe estar aprobada por la delegacin . La cuenta es importante y no se puede delegar . Utilizar tipos de cifrado DES para esta cuenta (DES es No requerir autenticacin previa Kerberos (lo
un estndar de cifrado de datos basado en algoritmos de cifrado que se usan para ofrecer confidencialidad). que cifra la contrasea en cuanto se comienza a enviar al servidor de autenticacin).
En la parte inferior de la pantalla tambin podemos establecer una fecha de caducidad para la cuenta si sta es temporal y queremos que desaparezca. Para establecer una fecha de caducidad, active la opcin Final de y, a continuacin, utilice el men desplegable para seleccionar la fecha de caducidad para la cuenta. Al seleccionar el botn Horas de inicio de sesin, podemos restringir el acceso a ciertos das y horas de la semana si es necesario. La pgina Horas de inicio de sesin, que se puede ver en la figura, muestra una cuadrcula que representa cada da y cada hora de la semana. Las cuadrculas azules permiten el inicio de sesin mientras que las cuadrculas blancas lo deniegan. Para realizar cambios, seleccione en las secciones de cuadrcula los das y horas y active los botones de opcin Inicio de sesin permitido o Inicio de sesin denegado. En el ejemplo de la siguiente figura, el usuario puede iniciar sesin las 24 horas de lunes a sbado, pero no tiene acceso los domingos.
- 114 -
Al seleccionar el botn Iniciar sesin en, podemos restringir las estaciones de trabajo en las que puede iniciar sesin el usuario. Esta ventana, que se muestra en la figura, permite seleccionar el botn Es te usuario puede iniciar sesin en: Los siguientes equipos. A continuacin, agregue los nom bres NetBIOS de las estaciones de trabajo. Una vez hecho esto, el usuario no tendr acceso a las estaciones de trabajo de la lista. Incluso si posteriormente se agregan estaciones de trabajo, el usuario todava seguir sin tener acceso a las estaciones de trabajo especificadas en sus propiedades de cuenta hasta que se cambien.
Perfil En la pgina Perfil, podemos escribir la ruta del perfil, archivo de comandos de inicio de sesin y ruta del directorio principal, si los perfiles estn habilitados para el usuario. Tambin podemos escribir la ruta de red a una carpeta de documentos compartida si es necesario.
- 115 -
Telfonos / notas La pgina Telfonos / notas permite escribir nmeros de telfonos adicionales, como el del domicilio, telfono mvil, fax, telfono IP y nmeros de localizador. Se incluye una seccin de comentarios donde se pueden incluir comentarios relacionados con la informacin de contacto del usuario. Organizacin La pgina Organizacin, que se muestra en la Figura, permite escribir informacin sobre el lugar que ocupa en la organizacin, incluyendo el jefe del usuario y los nombres de los empleados que supervisan al usuario. Miembro de La pagina Miembro de que se muestra en la figura, permite configurar los grupos a los que pertenece el usuario. Si selecciona el botn <Agregar> , aparece una lista de grupos de Active Directory . Seleccione un grupo al que quiera que pertenezca el usuario, haga clic en <Agregar> y, a continuacin, haga clic en <Aceptar> . Los nuevos grupos que seleccione van a aparecer en la lista Miembro de.
Marcado La pgina Marcado, que se muestra en la siguiente figura, permite configurar el acceso remoto para el usuario, en caso que fuera necesario En la parte superior de la ventana podemos seleccionar Permitir acceso para permitir al usuario tener acceso al servidor de acceso remoto a travs de acceso telefnico o VPN. Tambin podemos permitir opciones de devolucin de llamada activando el botn de opcin adecuado en medio de la ventana. Dependiendo de la configuracin de acceso remoto tambin podemos asignar una direccin IP esttica al usuario y asignarle una ruta esttica. De forma predeterminada, el acceso telefnico se deniega al usuario hasta que lo habilitamos en su pgina de propiedades.
- 116 -
Administracin de cuentas de usuario Podemos realizar fcilmente otras acciones relacionadas con las cuentas de usuario haciendo clic con el botn derecho en el icono de la cuenta de usuario en el panel de detalles. Esta opcin permite deshabilitar la cuenta rpidamente, cambiar la contrasea, mover la cuenta a otra ubicacin dentro del directorio, abrir la pgina personal del usuario (si la pgina personal se ha configurado en la pgina de propiedades), o enviar al usuario un correo electrnico (si la direccin de correo electrnico se ha configurado en la pgina de propiedades). Si deshabilitamos la cuenta, aparece una X roja sobre el objeto cuenta dentro del directorio, como podemos ver en la figura. Tambin podemos borrar o cambiar el nombre de una cuenta si es necesario. Si cambiamos el nombre de una cuenta, estaremos cambiando el nombre del objeto de Active Directory, el usuario puede seguir iniciando la sesin con el mismo nombre de usuario y contrasea que se configuraron originalmente. Si tenemos que cambiar el nombre de inicio de sesin de un usuario, abra la pgina de propiedades y cambie el nombre de inicio de sesin en la pgina Cuenta.
- 117 -
Los grupos Los grupos de Windows 2000 permiten administrar usuarios ms fcilmente. Podemos conceder acceso a un grupo para un recurso concreto de una vez, en lugar de tener que concederlo a cada usuario. Este mtodo organizativo ahorra tiempo de administracin y reduce la posibilidad de errores. Adems, los miembros de un grupo concreto tambin pueden ser miembros de otros grupos, y los grupos pueden ser miembros de otros grupos (lo que se denominara anidamiento). Sin embargo, agregar grupos a otros grupos deber hacerse cuidadosamente, ya que conceder permisos se hace ms complicado. Tipos de grupos Windows 2000 soporta dos tipos de grupos, grupos de seguridad y grupos de distribucin. Los dos tipos de grupos se guardan en Active Directory. Los grupos de seguridad se usan para asignar permisos para los recursos a los grupos, mientras que los grupos de distribucin se usan con fines distintos a la seguridad. Las aplicaciones usan grupos de distribucin para funciones tales como enviar mensajes de correo electrnico, si bien no se pueden usar para asignar permisos. Los programas diseados para funcionar con Active Directory utilizan los grupos de distribucin. Adems, un grupo de seguridad tiene todas las funciones de un grupo de distribucin y ms. mbitos de grupo Los mbitos de grupo definen cmo podemos usar el grupo para asignar permisos. El mbito determina cmo podemos asignar permisos al grupo para tener acceso a recursos. Hay tres mbitos de grupo disponibles en Windows 2000: grupos globales, grupos locales y grupos universales. Cada uno de ellos se describe en la siguiente lista:
Grupos globales :
Los miembros de grupos globales pertenecen a un dominio pero tienen acceso a recursos en cualquier dominio para el que el grupo tenga permiso.
locales : Los miembros pertenecen a cualquier dominio pero los miembros slo tienen acceso a recursos en el dominio local. Los grupos locales se usan para asignar permisos a recursos. A continuacin podemos colocar los grupos globales dentro de grupos locales, de modo que a esos recursos puedan tener acceso los miembros del grupo global. Grupos Grupos universales :
Los miembros pueden pertenecer a cualquier dominio y pueden tener acceso a recursos en cualquier dominio. En Windows 2000, los grupos universales estn disponibles slo en modo nativo y no en modo mixto.
Para cada grupo se aplican reglas de pertenencia de ese grupo. Las reglas definen qu miembros pueden contener un grupo y de qu grupos puede ser miembro el grupo. La siguiente lista muestra las reglas que rigen la pertenencia a un grupo en cada mbito:
Grupos globales :
Pueden contener cuentas de usuario y grupos globales del mismo dominio. El grupo global puede ser miembro de un grupo de dominio universal y local de cualquier dominio.
Dominio local :
Puede contener cuentas de usuario, grupos universales y grupos globales de cualquier dominio. El grupo local de dominio puede ser miembro de otros grupos locales de dominio en el mismo dominio.
- 118 -
Universal :
Puede contener cuentas de usuario, grupos universales y grupos globales de cualquier dominio. El grupo universal puede ser miembro de cualquier grupo de dominio local o universal en cualquier dominio.
Los grupos incorporados El Directorio Activo de Windows incluye varios grupos incorporados que se crean y se configuran automticamente durante la instalacin. Los grupos integrados se crean en Active Directory y podemos agregar o eliminar usuarios de estos grupos si es necesario. Por defecto, los grupos carecen de derechos de acceso a recursos. Podemos asignar estos derechos agregando los grupos incorporados a grupos globales o a grupos locales de dominio. El Direcdtorio Activo de Windows incluye los siguientes grupos globales incorporados:
Usuarios de dominio :
El grupo Usuarios de dominio se agrega automticamente al grupo local de dominio Usuarios. De forma predeterminada, el administrador es un miembro, y cada nuevo miembro que se agrega a Active Directory se convierte en un miembro de este grupo. El grupo Admins. de dominio se agrega automti camente al grupo local de dominio Administradores para permitir a los miembros del grupo realizar tareas administrativas.
Admins. de Invitados de dominio : El grupo Invitados de dominio se agrega autom dominio :
ticamente
al grupo local de dominio.

Administracin de empresas :
El grupo Administracin de empresas se disea para usuarios que necesitan tener control administrativo so bre el dominio. El grupo Administracin de compaa se puede agregar al grupo local de dominio Administradores en cada dominio de la compaa.
Windows tambin ofrece grupos locales de dominio incorporados para ofrecer derechos de usuario y permisos para realizar tareas en controlado res de dominio y Active Directory . Hay varios grupos locales de dominio integrados. La lista siguiente explica algunos de los ms comunes:
Usuarios : Pueden realizar tareas para las que les hayamos concedido derecho a
recursos.
Operadores de cuentas : Pueden crear, eliminar y modificar cuentas de
usuario
y otros grupos, a excepcin del grupo Administradores.

Operadores de servidores :
Pueden administrar los servidores de la red, apagarlos, instalar o cambiar la configuracin de hardware, servicios etc.
Operadores de copia de seguridad :
Pueden realizar copias de seguridad y restaurar todos los controladores de dominio usando Copia de segu ridad de Windows .
Administradores :
Pueden realizar todas las tareas administrativas en los controladores de dominio.

Operadores de impresin :
Pueden configurar y administrar impresoras de red que existan en los controladores de dominio.
- 119 -
Creacin de grupos Crear grupos puede complicarse un poco. Los universales pueden contener casi cualquier cosa: usuarios, grupos globales, incluso otros universales. Y estos pueden entrar en grupos locales. Este diagrama muestra la antigua estrategia AGLP (cuentas > grupos globales > grupos locales > permisos). Inicie con sus usuarios, cree sus propios grupos y despus otrgueles los permisos que necesitan.
Cre r grupos a
Estra giade crea te cin
degrup os
U U
G G
L L
P P
G Asignacin de usuarios U a grupos globales U G Asignacin de grupos globales G G a grupos locales Y despus otorgar perm isos P P
Name of new group:
L L
Cre un grup ar o
e ActiveD ctory n ire
Downlevel name of new group: Group scope: Domain local Global Universal Group type: Security Distribution
Para crear un nuevo grupo, se siguen estos pasos: 1. Haga clic en In ic io > Pr og r a m a s > H e r ra m i e n ta s ad mi ni s tr a ti v a s > U su a r ioys equipos de Active Directory . 2. Expanda el nombre del servidor y haga clic con el botn derecho en la OU donde quiera agregar un nuevo grupo. Seleccione Nu e v o y elija G ru po. 3. Aparece la ventana C re a r nu e vo obje to ( Gr ou p , que se muestra en la siguiente ) figura, escriba el nombre del nuevo grupo y, a continuacin, asigne el mbito de grupo, ya sea de dominio local, global o universal. En Tipo de grupo, deje activado el botn de opcin Seguridad. Haga clic en Aceptar. El nuevo grupo aparecer en el panel de detalles de la consola.
- 120 -
Configuracin de las propiedades de grupo Una vez creado el nuevo grupo, podemos hacer clic con el botn derecho en el icono del objeto y elegir Propiedades . Se abre la pgina de pro piedades del grupo, que contiene cuatro fichas.. General En la pgina General , que se muestra en la figura, podemos escribir una descripcin del grupo y una direccin de correo electrnico. Por ejemplo, si el grupo tiene una direccin de correo electrnico como contabilidad@empresa.com, cada miembro del grupo recibir el correo electrnico enviado al grupo. La ficha General tambin muestra el mbito y el tipo del grupo.
Miembros La pgina Miembros , que se muestra en la Figura, muestra una lista de los miembros actuales del grupo. Si es un grupo nuevo, necesitaremos usar esta ficha para agregar miembros al grupo. Si hacemos clic en el botn <Agregar>, podremos seleccionar y agregar miembros al grupo desde Active Directory.
- 121 -
Miembro de La pgina Miembro de , se parece a la pgina Miembros , si bien en esta ficha agregamos los grupos de los que es miembro este grupo. Por ejemplo, el grupo contabilidad puede ser miembro del grupo organizacin. Esta accin, llamada anidamiento, aporta a los miembros de un grupo derechos adicionales al asignarles derechos de otros grupos a travs de un grupo primario. Esta funcin debe usarse con cuidado, ya que mltiples grupos dentro de mltiples grupos pueden hacerse difciles de administrar. Adems, pueden aparecer problemas de solucin de problemas y de conflictos de derechos. Para agregar un grupo a otro grupo, simplemente seleccione el botn <Agregar> y elija los grupos deseados de Active Directory .
Administrado por En la pgina Administrado por , podemos usar el botn <Cambiar> para seleccionar el usuario de Active Directory que administrar el grupo. Una vez hecho esto, el nombre de usuario, direccin, telfono y fax se transfieren automticamente de la cuenta de usuario a Active Directory, como muestra la figura.
- 122 -
Todas las tareas El men Todas las tareas de cada grupo permite mover el grupo a una ubi cacin diferente, o bien enviar correo electrnico. Puede abrir Todas las tareas haciendo clic con el botn derecho en el objeto de grupo dentro del pa nel derecho de la consola, y seleccione Todas las tareas . A continuacin, elija Mover , o bien Enviar correo , como muestra la Figura
Publicar contactos en Active Directory

Adems de los usuarios y grupos de la organizacin en Active Directory tambin podemos publicar contactos. Esta opcin sirve para integrar en el Directorio Activo informacin de usuarios que no pertenecen directamente a nuestra organizacin pero con
- 123 -
los que si se mantiene una relacin por lo que puede resultar de inters almacenar cierta informacin. Es algo muy parecido a una libreta de direcciones de correo electrnico. Para publicar un contacto hacemos clic con el botn derecho en la OU donde queramos agregar el contacto y elegimos Nuevo > Contacto. Aparece la ventana Crear nuevo objeto (Contacto), donde podemos introducir el nombre de la persona.
Una vez hecho esto, abrimos la pagina de Propiedades haciendo doble clic sobre el contacto o pulsando con el botn derecho sobre el contacto y seleccionando Propiedades, podemos introducir informacin adicional como nmeros de telfono, direccin, correo electrnico, organizacin, pgina personal y otras propiedades.
Una vez configuradas las entradas adicionales, podremos tener acceso al contacto a travs de Active Directory o cualquier herramienta de consulta del mismo como Buscar personas y, al hacer clic con el botn derecho sobre el contacto, podremos enviarle un correo directamente o acceder a su pgina personal.
- 124 -
Resumen
Configurar y administrar cuentas de usuario, equipo y grupo dentro del complemento Usuarios y equipos de Active Directory es fcil. Desde esta sen cilla interfaz podemos realizar varias acciones y configurar cuentas de usuario y de equipo para nuestro dominio. Adicionalmente, podemos administrar equipos remotos y agregar usuarios y equipos a grupos adecuados. Usando la organizacin de grupos podemos definir los recursos de la red a los que pueden acceder los usuarios, a la vez que se reducen las tareas y el tiempo ad ministrativo.
- 125 -
ADMINISTRACIN DE RECURSOS COMPARTIDOS

La posibilidad de compartir recursos e informacin es una razn fundamental para trabajar en red. Los usuarios pueden abrir cualquier archivo o carpeta de la red, lo que implica aumentar la productividad mientras se ahorra tiempo. Esta sencilla idea, al igual que la mayora de componentes de red, se ha complicado bastante con los aos. La importancia de asegurar ciertos recursos y conseguir que ciertos usuarios no autorizados no tengan acceso a esos recursos, o no puedan cambiarlos, ha sido un omnipresente problema para la seguridad. La respuesta de Microsoft a este problema ha sido Permisos de NTFS, que permite un control ms exhaustivo de los recursos compartidos dentro del sistema de archivos. En este captulo explicaremos la administracin de carpetas y archivos compartidos.
Permisos de NTFS
Los permisos de NTFS (NT File System) permiten controlar los recursos a los que tienen acceso los usuarios y lo que pueden hacer con esos recursos una vez hayan accedido. Con los permisos de NTFS, no slo podemos controlar una carpeta, sino tambin los archivos que haya dentro de esa carpeta. De esta forma, un usuario puede tener acceso a una carpeta y a algunos archivos dentro de la carpeta, pero no necesariamente a todos los archivos. Los permisos NTFS slo estn disponibles en volmenes con el formato NTFS; los volmenes FAT y FAT32 no admiten ninguno de los permisos de NTFS, lo que es una razn bsica para elegir el sistema de archivos NTFS. Los permisos NTFS funcionan igual desde Windows NT. Podemos siguientes permisos para los archivos individuales:
Escribir ,
asignar los
Leer , el usuario puede leer el archivo, ver sus atributos, permisos y propietario.
el usuario puede realizar cualquier funcin de lectura, pero tambin puede modificar el archivo y cambiar sus atributos.
Lectura y ejecucin , el usuario puede realizar todas las acciones de la funcin Leer y, adems, puede ejecutar aplicaciones. Modificar , el usuario puede realizar todas las acciones ejecucin y puede modificar o eliminar el archivo. Control total
de
Leer
y Lectura y
, el usuario puede realizar cualquier accin permitida por el resto de permisos y tambin puede cambiar permisos y tomar posesin de ellos.
Leer , el usuario puede ver los archivos y subcarpetas dentro de la carpeta y ver
Podemos asignar los siguientes permisos para carpetas: el propietario, los atributos y los permisos de la carpeta
Escribir ,
el usuario puede crear nuevos archivos y subcarpetas dentro de la carpeta y cambiar los atributos de la carpeta. El usuario tambin puede ver el propietario y los permisos de la carpeta. , el usuario puede ver los nombres de los archivos y subcarpetas dentro de la carpeta.
Listar el contenido de la carpeta
- 126 -
Lectura y ejecucin , el usuario puede realizar todas las permisos de Leer y Listar el contenido de la carpeta y, adems,
acciones de los puede desplazarse a travs de las carpetas hasta otros archivos y carpetas sin un permiso especfico para cada carpeta.
Modificar , el usuario puede realizar todas las acciones de los permisos Lectura y ejecucin y tambin puede eliminar la carpeta. Control total Escribir
, el usuario puede realizar todas las acciones permitidas por los dems permisos y, adems, puede cambiar los permisos de carpeta, tomar posesin y eliminar cualquier subcarpeta y archivo.
Adems de todos estos permisos, tambin podemos denegar el acceso a un usuario a un archivo o carpeta. Para cada archivo y carpeta, NTFS mantiene una ACL (Access Control List) , lista de control de acceso que contiene una lista de usuarios y cuentas de gru po que tienen derechos de acceso al archivo o carpeta. Cuando un usuario quiere tener acceso a un archivo o carpeta, se comprueba la ACL para ver si el usuario tiene derechos de acceso y, si es as, qu derechos de acceso tiene. Podemos asignar permisos a cada usuario y a cada grupo al que pertenez ca el usuario. Una vez hecho esto, el usuario tendr lo que se conoce por "per misos efectivos" para cada recurso, basados en los permisos combinados de NTFS. Los permisos NTFS son acumulativos, es decir, si un usuario tiene asig nado permiso de Leer para unos recursos, pero tambin es miembro de un grupo que tiene permiso de Modificar para el recurso, entonces los permisos efectivos del usuario son de Leer y de Modificar . La nica excepcin a esta re gla es Denegar . Si el usuario tiene acceso de Leer a un archivo pero es miem bro de un grupo con acceso denegado al mismo archivo, entonces el usuario no tiene acceso; Denegar domina sobre cualquier otro permiso. Adems, los permisos de archivo dominan sobre los permisos de carpeta. Si un usuario tie ne acceso de Leer a una carpeta, pero tiene Control total sobre un archivo de esa carpeta, entonces el usuario mantiene el permiso de Control total para ese archivo y no se reducir a Leer porque el archivo est dentro de la carpeta. Otro aspecto de los permisos de NTFS que debemos recordar es la "herencia". De forma predeterminada, las subcarpetas y archivos heredan los permisos NTFS de la carpeta principal. Podemos evitar la herencia en sub carpetas si es necesario. Cuando realizamos esta accin, la subcarpeta se con vierte en una nueva carpeta principal para todas las carpetas y archivos con tenidos en esa carpeta. Por ejemplo, si una carpeta tiene permiso de Escribir , pero hay una subcarpeta que queremos que tenga permiso de Slo lectura , entonces tendremos que bloquear la herencia y asignar permiso de Leer a esa subcarpeta. Esta subcarpeta se convierte entonces en una nueva carpeta prin cipal y todo lo que hay dentro de esta carpeta tendr permiso de Leer Por ltimo, debemos comprender bien lo referente a mover y copiar archivos y carpetas y el efecto de estas acciones sobre los permisos NTFS. Cuando copiamos un archivo o carpeta a un volumen NTFS diferente, el archivo o carpeta recibe los permisos de la carpeta destino. Por ejemplo, si te nemos un archivo llamado Infopersonal que tiene permiso de Leer , y el ar chivo se copia a una carpeta que tiene permiso de Modificar , el archivo recibir el permiso de Modificar . Windows 2000 considera el archivo copiado como un archivo "nuevo" y, por consiguiente, hereda los permisos de la car peta destino. Para copiar un archivo a otro volumen NTFS, debemos tener permiso de Escribir en la carpeta destino, lo que nos convertir en el propie tario - 127 -
creador de ese archivo. Desde luego, si copiamos un archivo o carpeta FAT o FAT32, se pierden todos los permisos NTFS.
a un volumen
Si movemos un archivo o carpeta dentro del mismo volumen NTFS, el archivo o carpeta conserva sus permisos NTFS. Debemos tener permiso de Escribir en la carpeta de destino para mover un archivo o carpeta hacia ella, y debemos tener permiso de Modificar para el archivo y para la carpeta que es tamos moviendo. Si movemos un archivo o carpeta a un volumen NTFS distinto, el archivo o carpeta heredar los permisos de la carpeta de destino. De bemos tener permiso de Escribir en la carpeta destino para copiar en ella el archivo o carpeta, y debemos tener permiso de Modificar para el archivo o carpeta que estamos moviendo. Al igual que en la copia de archivos, cual quier archivo o carpeta que se mueva a un volumen FAT o FAT32 pierde to dos los permisos NTFS. Asignacin de permisos NTFS De forma predeterminada, cuando se da formato a un volumen con NTFS, el grupo Todos tiene permiso de Control total. Debemos cambiar esta configuracin para poder controlar los recursos a los que tienen acceso determinados usuarios o grupos y qu derechos tienen esos usuarios o grupos sobre ese recurso. Como en la mayora de tareas administrativas, la organizacin tiene una importancia clave. Los grupos estn ah para poder asignar derechos de acceso a grupos en lugar de a usuarios individuales. Adems, normalmente es mejor asignar permisos NTFS a una carpeta y despus agregar documentos a esa carpeta. Esta accin facilitar nuestro trabajo. Para establecer permisos NTFS a un archivo o carpeta, haga clic con el botn derecho en la carpeta compartida y seleccione Propiedades . Seleccione la ficha Seguridad , que se muestra en la figura.
En esta pgina podemos ver el nombre de la carpeta y el lmite de usuarios (si se ha configurado alguno).
- 128 -
Esta ventana muestra los permisos que se han concedido al grupo Usuarios. Si quiere denegar todos los permisos, active la casilla de verificacin Denegar el Control total, que deniega todos los permisos NTFS para este grupo. Seleccione el botn <Agregar> para agregar otros grupos. Aparece una ventana Usuarios y equipos de Active Directory que permite seleccionar a qu grupos quiere agregar permisos. Seleccione el grupo, elija el botn <Agregar> y repita el proceso hasta que haya incluido todos los grupos deseados. Al terminar, haga clic en <Aceptar> . Ahora aparece el nuevo grupo en la pgina Permisos del recurso compartido. Haga clic en las casillas de verificacin para asignar los permisos que quiera y, despus, haga clic en <Aceptar> .
El grupo Administradores se incluyen de forma predeterminada con Control total. Podemos agregar otros grupos y asignar derechos de acceso si fuera necesario. Esta funcin nos permite hacer un ajuste fino de los derechos que queremos asignar a grupos individuales. Adems, en la parte inferior de la ventana, podemos desactivar la casilla de verificacin Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto para blo quear la herencia. Si se desactiva la casilla de verificacin, aparece un cuadro de seguridad que pregunta qu accin deseamos realizar, como muestra la figura .
- 129 -
Permisos avanzados de acceso Generalmente, los permisos NTFS que asignamos a usuarios o grupos para tener acceso a recursos son suficientes para administrar de forma eficaz un recurso compartido. Sin embargo, Windows 2000 ofrece permisos de acceso adicionales si es necesario un tipo de permiso de acceso especfico. Estos permisos avanzados de acceso, que se muestran en la figura estn dis ponibles haciendo clic en el botn <Avanzada> en la ficha Seguridad de las propiedades del recurso.
Podemos seleccionar el botn <Agregar> para agregar otro usuario o grupo para el que queramos definir derechos adicionales. Por ejemplo, si quisiramos definir derechos avanzados para un usuario, Elessar, haramos clic en el botn <Agregar> , seleccionaramos su cuenta de usuario y, despus haramos clic en <Aceptar> . A continuacin, aparecer una lista de permisos para que podamos elegir los derechos que queremos asignar a Elessar, como muestra la figura.
- 130 -
La descripcin de cada uno de los permisos es la siguiente: : Permite movernos a travs de subcarpetas y ejecutar archivos dentro de dichas carpetas.
Recorrer carpeta/Ejecutar archivo Listar carpeta/Leer datos
: Permite listar el contenido de la carpeta y leer los
datos de la carpeta.
Atributos de lectura : Permite leer atributos. Atributos extendidos de lectura Crear archivos/Escribir datos Crear carpetas/Anexar datos Atributos de escritura
: Permite leer los atributos de todas las carpetas.
: Permite crear archivos dentro de la carpeta y escribir datos en los archivos existentes. : Permite crear subcarpetas adicionales y anexar informacin a los datos existentes. : Permite escribir atributos para la carpeta. : Permite escribir atributos extendidos para la
Atributos extendidos de escritura
carpeta.
Eliminar subcarpetas y archivos
: Permite borrar cualquier archivo y subcarpeta
dentro de la carpeta principal.

Eliminar :
Permite borrar cualquier informacin dentro de la carpeta en la misma datos dentro de la carpeta y de las subcarpetas.
carpeta.
Permisos de lectura : Permite leer Cambiar permisos : Permite cambiar el propietario de la carpeta. Tomar posesin : Permite tomar posesin de la carpeta.
Podemos permitir o denegar cualquiera de estos permisos al usuario o grupo elegido. Hay dos particularmente tiles que son Cambiar permisos y Tomar posesin . Podemos dar a los usuarios o a otros administradores la ca pacidad de cambiar los permisos de una carpeta compartida sin asignar a la persona el permiso Control tota l. Esta accin permite al usuario asignar per misos para la carpeta sin tener el poder de eliminar la carpeta o escribir en ella. Otro permiso til es Tomar posesin . Podemos asignar este permiso a al guien para tomar posesin de la carpeta si el propietario actual se indispone o abandona la organizacin. Incluso se puede restringir al nuevo propietario para borrar la carpeta. Adems, podemos seleccionar la casilla de verificacin que aparece en la parte inferior de la ventana para hacer efectivos los permisos para todos los archivos y subcarpetas dentro de esa carpeta concreta. Una vez configurados los permisos avanzados, la pgina Seguridad de la pgina de propiedades de carpeta muestra el usuario y ofrece una nota informando que los permisos adicionales se han activado para el usuario y sern visibles al presionar el bo tn <Avanzada> , como muestra la siguiente figura.
- 131 -
Compartir recursos
Una vez establecida la seguridad de los accesos a los recursos a travs de los permisos NTFS ya podemos compartir los recursos en la red, ya que hasta este momento solo son accesibles desde la propia mquina en la que estn guardados. Para compartir una carpeta y hacerla accesible para el resto de equipos de la red hacemos clic con el botn derecho del ratn sobre ella y elegimos Compartir, nos aparecer una ficha como la que se muestra en la figura.
- 132 -
En principio estar marcada la opcin No compartir esta carpeta , marcaremos la opcin Compartir esta carpeta , se nos sugerir el mismo nombre de recurso compartido que el nombre que tenga la carpeta, este nombre es con el que el recurso va a ser visible desde la red, no tiene por qu ser igual al de la carpeta pero suele ser lo habitual. Solo tendremos que pulsar <Aceptar > para que el recurso sea accesible desde la red. Tambin en esta ficha vemos que existe un botn de Permisos , si pulsamos sobre l veremos la ficha de permisos de acceso a nivel de red. Vemos que son unos permisos mucho memos sofisticados que los de NTFS que son a nivel de fichero, estos permisos estn pensados para regular los accesos desde la red en equipos formateados con particiones FAT y FAT32 donde no contamos con permisos a nivel de fichero, en el caso de particiones NTFS resulta innecesario su uso. Si utilizamos ambos, los permisos resultantes seran la combinacin ms restrictiva de ambos.
Administracin de carpetas compartidas

Los permisos NTFS funcionan con recursos compartidos para ofrecer un conjunto completo de opciones de seguridad. Al combinar los permisos de Carpeta compartida y los permisos NTFS, tenemos un gran control sobre lo que pueden hacer los usuarios y los grupos con la informacin existente dentro de las carpetas compartidas. Podemos colocar una carpeta compartida en un volumen FAT o FAT32 y seguir controlando los usuarios que pueden tener acceso al recurso compartido. El permiso predeterminado de carpeta compartida es Control total asignado al grupo Todos , que es una configuracin que deberamos cambiar. Sin embargo, existe un problema con los permisos de Carpeta compartida y es que los permisos slo se aplican a la carpeta, no a los archivos y subcarpetas que hay dentro de la carpeta. Obviamente, los permisos de carpeta compartida ofrecen menos seguridad que los permisos NTFS.
- 133 -
Los permisos de carpeta compartida son Lectura , Modificar y Control total . Podemos permitir o denegar estos permisos igual que los permisos NTFS. Al igual que los permisos NTFS, los permisos de carpeta son acumulativos: si un usuario tiene permisos de Lectura pero es miembro de un grupo que tiene permiso de Control total , el usuario tiene Control total . La funcin Denegar permisos domina sobre el resto de permisos. Si copiamos o movemos una carpeta compartida entre volmenes FAT o FAT32, la carpeta no se compartir en la nueva ubicacin. Las carpetas compartidas aparecen en nuestra unidad con un icono de una mano debajo de ellas. Generalmente es una buena idea, al trabajar con permisos NTFS, dejar los permisos predeterminados de red para la carpeta y definir los permisos de acceso a travs de NTFS utilizando la ficha Seguridad. Tambin podemos hacer clic en el botn Cach para configurar la cach cuando se trabaja sin conexin. Para permitir guardar en la cach cuando se trabaje sin conexin para la in formacin de carpetas compartidas, haga clic en la casilla de verificacin Permitir almacenar en cach archivos en esta carpeta compartida . En el men des plegable Configuracin , tenemos tres opciones: Alojamiento automtico en cach de documentos , Alojamiento automtico en cach para programas y Alojamiento manual en cach de documentos . El alojamiento automtico en cach tanto para documentos como para programas, descarga automticamente archivos y programas al usuario, de forma que el usuario tiene acceso a documentos y programas en caso de que la carpeta compartida deje de estar disponible. La funcin de almacenamiento manual en cach obliga al usuario a almacenar manualmente en cach los archivos especificados cuando se trabaja sin conexin o cuando la carpeta compartida deja de estar disponible. Esta funcin requiere ms trabajo por parte del usuario, pero menos por parte del servidor.
- 134 -
Instalacin y configuracin de Impresoras

Para que Windows 2000 Server realice funciones de servidor de impresin y realice funciones avanzadas de gestin de las mismas a travs de Active Directory, como bsquedas e instalacin transparente de los drivers adecuados, ser necesario realizar la instalacin de las impresoras en el servidor para posteriormente ponerlas a disposicin de la red y publicarlas en el Directorio Activo.
Instalacin de una impresora local en un servidor

En primer lugar comprobamos que la impresora est correctamente conectada al puerto correspondiente del ordenador y pulsamos el interruptor de encendido en caso de que estuviera apagada. A continuacin habr que ir a la carpeta de impresoras. Para ello ir a Inicio > Configuracin > Impresoras y pulsar el icono Agregar Impresora. Nos aparecer la ventana de bienvenida, pulsaremos el botn de <Siguiente> para continuar.
- 135 -
En la siguiente ventana comprobamos que est seleccionada la opcin Impresora Local y Detectar e instalar mi impresora Plug and Play automticamente y pulsamos el botn <Siguiente> para continuar.
A continuacin aparece una ventana que nos indica que Windows est buscando la impresora para instalarla.
Si la impresora no es detectada tendremos que pulsar el botn <Siguiente> para instalar la impresora manualmente. Nos aparecer una ventana como la mostrada en la siguiente figura.
- 136 -
Dejamos la opcin que viene marcada, Usar el puerto siguiente: , y seleccionamos el puerto al que tenemos conectada la impresora (normalmente LPT1), a continuacin pulsamos el botn <Siguiente>.
En esta ventana seleccionamos primero la marca (en la columna de la izda.) y despus el modelo (columna de la dcha.) de la impresora que estamos instalando, pulsando el botn <Siguiente>para continuar. A continuacin, en la ventana que nos aparece introducimos el nombre de la impresora segn queramos que nos aparezca en el sistema operativo y pulsamos el botn <Siguiente> para continuar.
- 137 -
En la siguiente ventana se nos pregunta si queremos que la impresora est compartida para otros usuarios de la red, indicaremos la segunda opcin para que Windows comparta la impresora e introduciremos el nombre de la impresora segn queremos que la vean los usuarios desde la red (normalmente ser el mismo nombre que el introducido en la ventana anterior) y pulsamos el botn <Siguiente> para continuar.
A continuacin, nos aparecer una ventana donde debemos introducir los campos localizacin (location) y Comentario (Comments). En el campo localizacin introducimos la ubicacin de la impresora dentro de la oficina (por ejemplo planta) y el rea al cual pertenece. En el campo comentario podemos indicar el driver que utiliza la impresora (marca y modelo de la misma) o caractersticas tcnicas interesantes que incorpora (color o B/N, capacidades de imprimir a doble cara, etc.).
- 138 -
En la siguiente ventana se nos pregunta si deseamos imprimir una pgina de prueba para comprobar la instalacin correcta de la impresora. Seleccionamos est opcin si la deseamos y pulsamos el botn de <Siguiente>para continuar.
La siguiente ventana es la ltima de la configuracin, en ella se nos da un resumen con las opciones de configuracin que hemos seleccionado. Para terminar la instalacin pulsamos el botn de <Finalizar>.
- 139 -
Tras lo cual se copiarn los archivos de configuracin necesarios (cabe la posibilidad de que se nos requieran los discos de instalacin si el sistema no tiene los archivos necesarios para llevar a cabo la instalacin de la impresora, en cuyo caso deberemos suministrrselos para terminar la instalacin).
Instalacin de una impresora de red en un servidor

En primer lugar habr que ir a la carpeta de impresoras. Para ello ir a Inicio > Configuracin > Impresoras y pulsar <Agregar impresora>. Nos aparecer la ventana de bienvenida, pulsaremos el botn de <Siguiente> para continuar.
Nos aparecer la ventana donde se nos pregunta si queremos instalar una impresora directamente conectada al servidor o una impresora de red. Seleccionaremos la opcin para instalar una impresora directamente conectada a nuestro ordenador Impresora Local (Local printer) pero desactivaremos la opcin de Detectar e instalar mi impresora Plug and Play automticamente (Automatically detect and install my Plug and Play printer ), tal y como se muestra en la siguiente figura.
Pulsaremos <Siguiente> para continuar y nos aparecer una ventana para seleccionar el puerto donde tenemos conectada la impresora. Tendremos que cambiar la opcin por defecto y seleccionar Crear nuevo puerto (Create a new port), con lo que se nos habilitar el
- 140 -
cuadro combinado para elegir el Tipo de puerto (Type), desplegamos el cuadro combinado y seleccionamos Standard TCP/IP Port, pulsamos <Siguiente> para continuar.
En este momento arrancar el asistente para la configuracin del nuevo puerto de impresora. Debemos comprobar que la impresora de red est encendida y accesible a travs de la red, pulsando el botn <Siguiente> empezar a configurar el puerto.
En la siguiente ventana introduciremos la direccin IP correspondiente a la impresora de red que estamos instalando en el campo Nombre de impresora o direccin IP (Printer Name or IP Address) y dejamos el nombre propuesto por el sistema en Nombre de puerto (Port Name), pulsando el botn <Siguiente> para continuar.
- 141 -
El sistema, si detecta la impresora en el puerto, mostrar un resumen con las opciones elegidas, pulsaremos el botn de <Finalizar> para terminar de instalar el puerto. Ahora instalaremos la impresora sobre el puerto recin configurado. Para ello, en la ventana que nos aparece, seleccionamos primero la marca (columna izda.) y despus el modelo (columna dcha.) de la impresora que estamos instalando y pulsamos <Siguiente> para continuar.
A continuacin, en la ventana que nos aparece introducimos el nombre de la impresora segn queramos que aparezca en el sistema operativo y pulsamos el botn <Siguiente> para continuar.
- 142 -
En la siguiente ventana se nos pregunta si queremos que la impresora est compartida para otros usuarios de la red, introduciremos el nombre de la impresora segn queremos que la vean los usuarios desde la red (normalmente ser el mismo nombre que el introducido en la ventana anterior) y pulsamos el botn <Siguiente> para continuar.
A continuacin, nos aparecer una ventana donde debemos introducir los campos Localizacin (Location) y Comentarios (Comments).
- 143 -
En el campo localizacin introducimos la ubicacin de la impresora dentro de la oficina (por ejemplo planta) y el rea al cual pertenece. En el campo comentarios indicamos el driver que utiliza la impresora (marca y modelo de la misma) o caractersticas tcnicas interesantes que incorpora (color o B/N, capacidades de imprimir a doble cara, etc.). En la siguiente ventana se nos pregunta si deseamos imprimir una pgina de prueba para comprobar la instalacin correcta de la impresora. Seleccionamos est opcin si la deseamos y pulsamos el botn de <Siguiente> para continuar.
Esta es la ltima ventana de la configuracin, en ella se nos da un resumen con las opciones de configuracin que hemos seleccionado. Para terminar la instalacin pulsamos el botn de <Finalizar>, tras lo cual se copiarn los archivos de configuracin necesarios (cabe la posibilidad de que se nos requieran los discos de instalacin si el sistema no tiene los archivos necesarios para llevar a cabo la instalacin de la impresora, en cuyo caso deberemos suministrrselos para terminar la instalacin).
Publicacin de las impresoras en el directorio activo

Todas las impresoras que se conecten al servidor se publicarn automticamente en el Directorio Activo, dentro del servidor correspondiente, en la Unidad Organizativa en la que este se encuentre. Por lo tanto para publicarlas slo habr que marcar la opcin de Mostrada en Directorio dentro de la opcin Compartir de la impresora. Para marcar esta
- 144 -
opcin ir a Inicio > Configuracin > Impresoras y pulsar con el botn derecho del ratn sobre la impresora que queramos publicar en el escritorio.
En las opciones que aparecen pulsar sobre Compartir... (Sharing) Aparecer una ventana como la siguiente
Marcar la opcin Mostrada en Directorio (List in the Directory) y pulsar <Aceptar>. Para comprobar que realmente la impresora est publicada en el Directorio Activo ir a Usuario y Equipos de Active Directory y pulsando sobre la parte derecha de la ventana con el botn derecho del ratn y seleccionar Ver > Usuarios, grupos y equipos como Contenedores (View > Users, Groups and Computers as containers).
- 145 -
Ir a la unidad organizativa correspondiente y debajo de sta sobre el servidor correspondiente. Se ver que en la parte derecha de la ventana aparece la impresora ya publicada.
- 146 -
Tambin podemos mover la impresora para que cuelgue directamente de otra unidad organizativa y no del servidor de impresin, para ello pulsamos con el botn derecho del ratn sobre la impresora y seleccionamos la opcin Mover... (Move...) para seleccionar a continuacin la unidad organizativa de la que queremos que dependa la impresora. Por ltimo debemos dejar de nuevo las vistas como estaban anteriormente pulsando de nuevo con el botn derecho del ratn sobre la parte derecha de la ventana y quitando la seleccin en Ver > Usuarios, grupos y equipos como contenedores (View->Users, Groups and Computers as Containers).
Administracin de caractersticas avanzadas.

Una vez instalada la impresora, desde la carpeta de impresoras podemos configurar algunas caractersticas de administracin avanzadas. Para ello pulsamos con el botn derecho del ratn sobre la impresora en cuestin y elegimos Propiedades. Aparecen varias pestaas donde podemos afinar ms aun la configuracin de la impresora. Estas pestaas no siempre son las mismas, ya que algunas dependen de la impresora y las caractersticas incluidas por el fabricante, sin embargo algunas son comunes y pasaremos a describirlas a continuacin. En la pestaa de General podemos cambiar opciones establecidas durante la instalacin de la impresora como su nombre, la Ubicacin o Comentario. Deberemos tener en cuenta que estas caractersticas son a travs de las cuales los usuarios podrn luego buscar las impresoras en el Active Directory.
En la parte de abajo tenemos el botn <Imprimir pgina de prueba> podemos utilizar para realizar una prueba de impresin. Tambin tenemos el botn <Preferencias de impresin> a travs del cual y dependiendo del modelo de impresora y las caractersticas incluidas por el fabricante en el driver podremos establecer las caractersticas de la impresin por defecto (estas caractersticas pueden ser alteradas posteriormente para cada trabajo de impresin por parte del usuario), como orientacin del papel, orden de las pginas, nmero de paginas por hoja o calidad de la impresin, como se muestra en las siguientes figuras.
- 147 -
En la pestaa de Compartir podemos indicar si queremos compartir la impresora para los usuarios de la red y con qu nombre, adems de s la impresora debe publicarse en el Directorio Activo.
Pulsando el botn de <Controladores adicionales> aparece un cuadro de dialogo donde podemos indicar los drivers que deben instalarse para ser suministrados automticamente a los clientes de red que lo requieran.
- 148 -
Marcaremos los sistemas operativos de los clientes que tengamos en la red y pulsaremos el botn de <Aceptar> , tras lo cual se nos solicitara el CD-ROM de instalacin para instalar los controladores adecuados en el servidor, de modo que pueda posteriormente envirselos a los usuarios de la red que lo soliciten en funcin del sistema operativo utilizado. En la pestaa de Puertos encontramos la configuracin referente a los puertos asociados con la impresora. En la parte de abajo nos encontramos con el botn de Habilitar la cola de la impresora . Mediante esta opcin Windows 2000 Server es capaz de manejar dos o ms impresoras idnticas como una agrupacin de impresoras a travs de una sola cola de impresin, optimizando el rendimiento y aumentando la disponibilidad para los usuarios de la red.
En la pestaa de Avanzadas podemos tenemos algunas caractersticas avanzadas del servidor de impresin que se detallan a continuacin.
: podemos indicar el horario en que la impresora est disponible, fuera de ese horario la impresora no aceptara documentos en la cola de impresin.
Disponibilidad
- 149 -
Prioridad :
Indica la configuracin actual de prioridad. Los usuarios pueden indicar un valor de prioridad a sus documentos de 1 (la ms baja) a 99 (la ms alta). As se imprimen primero los documentos ms prioritarios. : se indica si se debe utilizar la cola de impresin o imprimir directamente sobre la impresora, adems puede indicarse si se ha de esperar a que todo el documento entre en la cola de impresin o se empieza a imprimir inmediatamente de cuando se reciba.
Uso de la cola
: deja retenidos en la cola de impresin aquellos documentos que no coincidan con las caractersticas de impresin por defecto de la impresora, pasando a imprimir nicamente los coincidentes.
Dejar pendientes documentos no coincidentes
: Especifica que la cola de impresin debe favorecer a los documentos cuya puesta en cola se haya completado a la hora de decidir qu documento se imprimir a continuacin, incluso aunque los documentos completados tengan una prioridad menor que los que todava estn en espera en la cola. Si no se ha completado la puesta en cola de ningn documento, la cola de impresin favorecer los documentos mayores con respecto a los menores. Se utiliza esta opcin para aumentar al mximo la eficacia de la impresora. Cuando esta opcin est deshabilitada, la cola de impresin elige los documentos basndose exclusivamente en su prioridad.
Imprimir primero los documentos de la cola de impresin
: Especifica que la cola de impresin no debe eliminar los documentos una vez impresos. Esto permite volver a enviar un documento a la impresora desde la cola, en lugar de hacerlo desde el programa.
Conservar los documentos despus de su impresin caractersticas de impresin avanzadas : Especifica si la caracterstica de impresin avanzada se encuentra habilitada. Cuando se encuentre habilitada, se activa la cola de impresin de metarchivos y se habilitarn opciones como Orden de pginas, Impresin en folleto y Pginas por hoja, que dependen de la impresora. Habilitar predeterminadas de impresin> : son las opciones predeterminadas que queremos indicar para los documentos que se envan a la impresora. <Opciones
: se puede indicar una pagina de separacin que se imprimir entre un trabajo de impresin y el siguiente, esto ayuda a los usuarios a separar los trabajos de impresin y a encontrar los suyos entre los de todos los usuarios en la impresora.
<Pagina de separacin>
En la pestaa de Seguridad podemos indicar los permisos de uso de la impresora para los distinto usuarios de la red. Los permisos disponibles para la administracin del uso de las impresoras son:
Imprimir :
Permite enviar documentos a la cola de impresin para que sean impresos por la impresora. : permite cambiar la configuracin de la impresora y las opciones predeterminadas de la impresin
Administrar Impresoras
- 150 -
: Posibilita la administrar los documentos que se encuentran en la cola de impresin permitiendo detener, pausar y reanudar la impresin del documento as como eliminarlo definitivamente de la cola de impresin.
Administracin documentos
La configuracin por defecto de Windows 2000 en cuando a la seguridad de la impresora incluye permisos para la administracin completa de las impresoras tanto para los Administradores como para los grupos Opers. de impresin y Opers. de servidores , con todos los permisos habilitados para estos grupos. Adems se encuentra habilita el permiso de Imprimir para el grupo Todos y el permiso administracin de documentos para CREATOR OWNER , lo que permite a cada usuario la administracin de los documentos que el mismo enve a la cola de impresin sin permitirle interferir en los documentos de otros usuarios.
Si queremos restringir la impresin nicamente a los usuarios de nuestra red o a un subconjunto de estos podramos sustituir el grupo Todos por Usuarios o por otro creado especficamente para tal efecto. Esta configuracin es especifica de cada impresora, lo que permite restringir el uso de cada impresora para grupos especficos de usuarios.
- 151 -
ADMINISTRACIN DE DISCOS BSICA

La administracin de discos en Windows 2000 Server es muy diferente a Windows NT Server 4.0. Veremos algunas funciones familiares y las funciones relativas al mantenimiento general de discos. Tambin veremos algunas funciones y tecnologas nuevas que hay que manejar correctamente en aras del buen funcionamiento de los discos duros. Este captulo explica estas nuevas tecnologas y funciones adems de mostrar cmo configurar los discos duros en Windows 2000 Server para conseguir un rendimiento ptimo.
Sistemas de archivos
Windows 2000 Server soporta FAT, FAT32 y NTFS. El sistema de archivos NTFS incluido en Windows 2000 Server es una versin mejorada que sopor ta las caractersticas adicionales de seguridad de Kerberos. Cuando se instala Windows 2000 Server, el programa de instalacin conserva el sistema de ar chivos de Windows NT (si la instalacin fue una actualizacin) o nos pregunta acerca del tipo de sistema de archivos que queremos usar. A menos que tengamos una razn concreta para usar FAT o FAT32, deberamos usar NTFS en todos nuestros discos duros. NTFS permite usar una serie de funciones de almacenamiento de archivos y de seguridad dentro de Windows 2000 Server y es la mejor opcin de cara al rendimiento.
Configuracin de volmenes
Administrar volmenes es relativamente fcil, y Windows 2000 Server ofrece varios asistentes para ayudar a configurar los discos. Los siguientes apartados muestran cmo realizar varias tareas relacionadas con discos. Creacin de un nuevo volumen Para crear un nuevo volumen, siga estos pasos: 1. Haga clic en Inicio > Programas > Herramientas administrativas > Administracin de equipos o haga clic con el botn derecho sobre el icono de Mi PC y elija Administrar Se abrir la ventana de la consola. 2. Expanda el rbol Almacenamiento y haga clic en Administracin de discos . 3. Haga clic en el disco en que quiera crear una nueva particin (no en uno de los volmenes) o en al parte de espacio No asignado y elija Crear particin . Esta accin inicia el Asistente para crear una nueva particin.
- 152 -
4. La ventana del asistente ofrece una breve introduccin. Haga clic en <Siguiente> .
- 153 -
5. Aparece la ventana Seleccionar el tipo de particin . Haga clic en el botn de opcin Particin primaria y despus haga clic en <Siguiente> .
6. Aparece la ventana Especificar el tamao de la particin . En esta ventana, seleccione el tamao de la particin, como muestra la figura y haga clic en <Siguiente> .
- 154 -
7. Aparece la ventana Asignar letra de unidad o ruta de acceso . En esta ventana puede asignar una letra de unidad o ruta si lo desea. Elija lo que desee y haga clic en <Siguiente> .
8. Aparece la ventana Formatear la particin . En esta ventana puede elegir entre dar formato al volumen o no hacerlo. Si decide dar formato al volumen, puede elegir el sistema de archivos, el tamao de la unidad de asignacin y la etiqueta del volumen. Una vez hechas las elecciones, haga clic en <Siguiente> .
- 155 -
9. El asistente finaliza con un resumen de las selecciones realizadas. Haga clic en el botn <Finalizar> para crear la particin. Aparece la nueva particin en la ventana Administracin de discos.
Formatear de discos Podemos dar formato a cualquier particin (exceptuando la particin de arranque o de sistema) usando la herramienta Administracin de discos de Windows 2000 Server. Para dar formato o volver a formatear cualquier uni dad, siga estos pasos: 1. Haga clic en Inicio > Programas > Herramientas administrativas > Administracin de equipos o haga clic con el botn derecho sobre el icono de Mi PC y elija Administrar Se abrir la ventana de la consola. 2. Expanda el rbol Almacenamiento y haga clic en Administracin de discos . La utilidad Administracin de discos aparece en el panel derecho. 3. Haga clic con el botn derecho en la particin a la que quiera dar formato, o volver a dar formato, y elija Formato .
- 156 -
4. Aparece una ventana, como muestra la figura anterior, donde podr elegir el sistema de archivos, el tamao de la unidad de asignacin y una etiqueta de volumen. Para el sistema de archivos puede elegir FAT, FAT32 o NTFS. Una vez seleccionado, haga clic en <Aceptar> . 5. Aparece un cuadro de dilogo indicando que el formato eliminar cualquier dato de la particin. Haga clic en <Aceptar> para continuar o <Cancelar> para cerrar. Cmo cambiar la letra de unidad y la ruta Se puede cambiar la letra de unidad de un volumen simple siguiendo estos pasos: 1. Haga clic en Inicio > Programas > Herramientas administrativas > Administracin de equipos o haga clic con el botn derecho sobre el icono de Mi PC y elija Administrar Se abrir la ventana de la consola. 2. Expanda el rbol Almacenamiento y haga clic en Administracin de discos . 3. Haga clic con el botn derecho sobre el volumen cuya letra de unidad quiere cambiar y seleccione Cambiar la letra y ruta de acceso de unidad .
4. En un cuadro de dilogo aparece la letra de unidad actual y cualquier ruta, como muestra la figura. Haga clic en el botn <Modificar> .
- 157 -
5. En el men desplegable Asignar letra de unidad , seleccione la nueva letra de unidad y haga clic en <Aceptar> .
Podemos usar el mismo proceso para asignar una ruta montada o cambiar una ruta montada existente; y nos permite montar una unidad local en una carpeta vaca en un volumen local NTFS. Esta accin provoca que Windows 2000 asigne una ruta de unidad a la unidad ms que la letra de unidad. No estamos limitados a 24 letras de unidad (de la C a la Z). El uso de una ruta montada sobrepasa esa limitacin y asegura que no se producirn fallos debidos a cambios realizados en la ruta de la unidad. Esta accin permite varias posibilidades, incluyendo montar una unidad de CD-ROM slo accesible a travs de C:\CD-ROM , o incluso mover la carpeta Archivos de programa a otro volumen con ms espacio mientras se mantiene la ruta C:\Archivos de programa . Para configurar una ruta montada, siga estos pasos: 1. Haga clic en Inicio > Programas > Herramientas administrativas > Administracin de equipos o haga clic con el botn derecho sobre el icono de Mi PC y elija Administrar . 2. Expanda el rbol Almacenamiento y haga clic en Administracin de discos . 3. Haga clic con el botn derecho sobre el volumen cuya letra de unidad quiere cambiar y seleccione Cambiar la letra y ruta de acceso de unidad . 4. En el cuadro de dilogo aparece la letra de unidad actual y cualquier ruta. Haga clic en el botn <Agregar> .
5. En el cuadro de dilogo elija la opcin Montar este volumen en una carpeta NTFS vaca , que soporta rutas de acceso de unidad, escriba la ruta o desplcese hasta ella con el botn de <Examinar> . A continuacin, haga clic en <Aceptar> .
- 158 -
La ruta montada de unidad aparece ahora como una unidad en lugar de como una carpeta donde la habamos configurado para residir, como muestra la figura.
Propiedades del volumen

Podemos tener acceso a una hoja de propiedades de un volumen hacien do clic con el botn derecho en el volumen dentro de Administracin de discos y seleccionando Propiedades. La hoja Propiedades, ofrece informacin variada sobre el volumen y las opciones de configuracin, como se describen en la siguiente lista:
General :
La hoja de propiedades General contiene informacin sobre el disco, como el sistema de archivos, espacio usado, espacio libre y un grfico circular que muestra el espacio libre disponible. Tenemos la opcin de iniciar Liberar
- 159 -
(que se describe en la seccin He rramientas de disco) y tam bin las opciones de comprimir la unidad o indexarla.
espacio
Herramientas : La hoja de propiedades Herramientas permite ejecutar Comprobacin de errores , Copia de seguridad y Desfragmentacin . La Comprobacin de errore s y la Desfragmentacin se describen en la sec cin Herramientas de disco, de este captulo, y Copia de seguridad se explica en el captulo
correspondiente.
- 160 -
Hardware :
La ficha Hardware contiene informacin estndar sobre el hardware del disco, su estado y los botones para solucionar problemas de hardware o ver sus propiedades.
Compartir :
La ficha Compartir permite configurar las opciones estndar de comparticin del volumen. Podemos compartir el volumen, limitar el nmero de usuarios, establecer permisos y configurar las opciones de cach, para que el volumen pueda consultarse desconectado. La op cin Cach se usa normalmente para documentos y carpetas que los usuarios necesitan. La opcin Cach permite a estos documentos estar disponibles incluso cuando el disco est sin conexin.
- 161 -
Seguridad :
La ficha Seguridad permite configurar las opciones de segu ridad para usuarios que acceden al volumen, o denegar estos permi sos a grupos o usuarios particulares .
Cuota :
La cuota de disco es nueva en Windows 2000 Server, y ofrece una forma de administrar el espacio de disco del que dispone cada usuario. Esta funcin obliga a los usuarios a ser ms conservadores con el almacenamiento y eliminar archivos y carpetas innecesarios. Una vez activada la gestin de cuotas en la correspondiente casilla de verificacin, podemos restringir el espacio de disco a los usuarios que excedan de la cuota lmite.
- 162 -
El cuadro Limitar espacio de disco a permite establecer la cuota, as como una alerta para que los usuarios sepan cundo estn acercndose a su lmite. Las opciones de registro de cuota estn disponibles en la parte inferior de la ventana, y el botn Valores de cuota permite ver los eventos de cuota y su uso. Aunque las restricciones de cuota son una buena manera de administrar el espacio en disco, debemos asegurarnos que las restricciones de cuota son suficientemente grandes como para cubrir las necesidades de los usuarios.
Haciendo doble clic sobre cada usuario de la lista podemos establecer valores de cuota especficos para cada usuario del sistema.
Sin embargo debemos tener en cuenta que Windows 2000 solo permite asignar valores de cuota a usuarios individuales, no a grupos de usuarios, y slo a nivel - 163 -
de volmenes de disco en su conjunto, no a carpetas individuales. Esta limitacin hace que, por ejemplo, que si un usuario guarda un archivo correspondiente al un informe de ventas de su departamento el espacio ocupado por dicho archivo sea asignado a su cuota de usuario y no haya ninguna manera de asignarlo a una cuota correspondiente al conjunto de usuarios del departamento en cuestin. : La ficha Uso compartido de Web permite compartir el volumen en un sitio web. Podemos usar el cuadro Alias para crear un alias para el volumen. Esta funcin se podra usar para compartir el volumen en una intranet, de modo que los usuarios tengan acceso al volumen desde un navegador de Internet al hacer clic sobre un enlace o escribiendo la url correspondiente en la barra de direcciones del navegador.
Uso compartido de Web
Esta opcin sin embargo puede ser potencialmente peligrosa desde el punto de vista de la seguridad y en todo caso debe llevarse a cabo tomando las debidas precauciones, ya que se est compartiendo la informacin del volumen a travs del puerto 80, puerto estndar del protocolo de comunicaciones Web por lo que
- 164 -
podramos estar posibilitando el acceso a travs de Internet sin ser conscientes de ello.
Herramientas de disco
Windows 2000 Server incluye varias herramientas nuevas para ayuda a ad ministrar y solucionar problemas con los discos duros. Algunas de estas herramientas aparecieron con Windows 98 y se consideran muy tiles. Podemos ejecutar las herramientas de disco accediendo a las hojas de propiedades de cada disco desde la consola Administracin de equipos , tambin podemos tener acceso a ellas haciendo clic en Inicio > Programas > Accesorios > herramientas del sistema . Las secciones siguientes muestran cmo usar las herramientas desde las hojas de propiedades de disco, as como una visin global de cada herramienta y cmo usarla. Cmo limpiar el disco Con el tiempo, el disco recibe gran cantidad archivos y fragmentos que no son necesarios. Estos archivos ocupan espacio de disco que se puede usar con otros fines; por eso Windows 2000 incorpora una herramienta de limpieza de disco. Esta herramienta permite especificar distintas opciones de limpieza en cada unidad e incluso desinstalar programas innecesarios. Se puede acceder a Limpiar disco a travs de la ficha General en la hoja Propiedades de disco utilizando la opcin Limpiar disco. Si hacemos clic en ese botn, Limpiar disco examina el disco y determina cunto espacio se pue de liberar, como se muestra la figura.
- 165 -
Una vez finalizado el examen, Limpiar disco muestra una lista de archivos que se pueden eliminar. Normalmente, la utilidad ofrecer una lista de archivos de programas descargados, archivos temporales de Internet, elemen tos de la Papelera de reciclaje y una opcin para comprimir archivos antiguos de la unidad. Despus de elegir lo que ms convenga, la utilidad eliminar o comprimir los elementos segn se desee.
Tambin podemos hacer clic en la ficha Ms opciones para limpiar los componentes de Windows que no se usan o programas que no usaremos ms o ya no necesitamos. Esta opcin inicia la interfaz de Agregar o quitar programas y el Asistente de componentes de Windows , donde se pueden elegir los componentes que se quieren eliminar del sistema.
- 166 -
Desfragmentador de discos Windows 2000 Server incluye una utilidad para desfragmentar discos. La fragmentacin se produce con el tiempo mientras los archivos cambian, se agregan y se eliminan del sistema. En lugar de almacenar los datos de forma continua, stos se van almacenando de forma independiente y particionada all donde hay espacio disponible. Esto provoca que el sistema tenga que trabajar ms, lo que provoca ms lentitud para obtener datos del disco duro.
- 167 -
Se puede utilizar el Desfragmentador de disco , que se encuentra en el men Herramientas de la hoja Propiedades del disco. El Desfragmentador de disco analiza una unidad al seleccionarla y hacer clic en el botn <Analizar> . Los archivos de sistema se muestran en verde, los archivos continuos aparecen en azul y los archivos fragmentados aparecen en rojo. Como puede ver en la figura, esta unidad necesita desfragmentacin. Para desfragmentar una unidad, simplemente haga clic en el botn <Desfragmentar> .
Comprobacin de errores La Comprobacin de errores comprueba que el disco est libre de errores y sectores defectuosos. La herramienta Comprobacin de errores busca estos problemas y trata automticamente de repararlos. Podemos utilizar la herra mienta Comprobacin de errores desde o desde la hoja de p ropiedades de Herramientas del disco, pulsando el botn <Comprobar ahora> .
Si marcamos la opcin Reparar automticamente errores en el sistema de archivos , Windows se encargara de corregir los errores que encuentre, de lo contrario slo nos mostrar un informe de los errores encontrados. La opcin Examinar e intentar recuperar los sectores defectuosos provoca un anlisis completo del disco incluyendo las zonas que estn vacas en busca de sectores errneos. Pulsaremos el botn de <Iniciar> para comenzar la exploracin del disco que constar de 3 fases. La reparacin de errores de disco necesita acceso exclusivo a la unidad por lo que no podr realizarse mientras existan programas o usuarios trabajando con la misma. El sistema en este caso nos ofrece la posibilidad de dejar la reparacin programada para la prxima vez que se reinicie el equipo, con lo que antes de arrancar completamente el equipo y en un modo de acceso exclusivo por parte del sistema realizar las comprobaciones y modificaciones correspondientes.
- 168 -
Tambin es posible llevar a cabo la comprobacin de las unidades de disco desde la ventana de comandos de MS-DOS utilizando el comando chkdsk seguido de la unidad que queremos comprobar y aadiendo el parmetro /F si queremos realizar la reparacin automtica de los errores encontrados.
La ventana de comandos suministra una informacin mucho ms exhaustiva del proceso de comprobacin y reparacin de discos
- 169 -
LOS SERVICIOS
Los servicios en Windows 2000 son procesos que se ejecutan en segundo plano y que realizan funciones auxiliares del sistema o proveen de funciones adicionales al mismo. Muchos de los diferentes roles a los que podemos dedicar el servidor se implementan a travs de uno o varios servicios. As por ejemplo el servidor de Web, el servidor de FTP, un servidor de correo, un servidor de base de datos o muchos de los servicios de red como DNS o DHCP se implementan a travs de servicios del sistema. Para ver los servicios instalados en el sistema nos dirigimos al administrador de equipo y expandimos la rama de Servicios y Aplicaciones y dentro de ella seleccionamos Servicios o pulsamos en <Inicio> > Programas > Herramientas administrativas > Servicios
Un servicio puede tener tres estado: Iniciado , Iniciando , Pausado o Parado . Para que el servicio lleve a cabo sus funciones correctamente debe estar en estado Iniciado . Pulsando con el botn derecho del ratn sobre un servicio podremos cambiar su estado, esto es til para reiniciar servicios que hayan quedado bloqueados o para que actualicen cambios en la configuracin que hayan podido llevarse a cabo. Adems un servicio puede tener tres tipos de inicios distintos:
Automtico : el Manual :
servicio se inicia automticamente al arrancar el servidor.
el servicio esta parado pero preparado para ser iniciado, bien por una aplicacin u otro servicio o bien manualmente por la intervencin de un operador.
Deshabilitado : el servicio est
configurado para no poder ser iniciado.
- 170 -
Haciendo doble clic sobre un servicio se abre el cuadro de dialogo del servicio con varias pestaas: En la pestaa General podemos ver el nombre del servicio tanto descriptivo como a nivel del sistema operativo. Adems podremos configurar el tipo de inicio y tenemos botones para cambiar el estado del servicio.
En la pestaa Iniciar sesin tenemos opciones para cambiar la cuenta de inicio del servicio. Por defecto los servicios se inician con la cuenta del sistema, pero a veces resulta necesario que inicien con la cuenta de algn usuario especifico para dotarlos de privilegios especiales.
- 171 -
En la pestaa de Recuperacin tenemos opciones para configurar la recuperacin automtica de los servicios en caso de error, podemos configurar el sistema para que intente reiniciar el servicio, lance algn script que intente llevar a cabo acciones correctoras o incluso reiniciar el servidor.
En la pestaa de Dependencias se muestran tanto los servicios de los que depende como otros servicios que puedan depender de este servicio en cuestin.
Tambin podemos llevar a cabo la parada y arranque de servicios a travs de la lnea de comandos utilizando los comandos net start <servicio> y net stop <servicio> para iniciar y
- 172 -
detener un servicio respectivamente. El nombre del servicio deber ser el nombre asignado por el sistema operativo y no el nombre descriptivo del mismo.
Los servicios realizan funciones en segundo plano y muchos de ellos responden a las llamadas de los usuarios a travs de la red. Por ello, tanto por consideraciones de seguridad como de rendimiento, deberamos conocer la finalidad de cada uno de los servicios arrancados en nuestro sistema y deshabilitar todos aquellos que no sean necesarios. Esta medida redunda en un mayor aprovechamiento de los recursos del sistema as como en una mejora de la seguridad y confiabilidad del mismo.
- 173 -
EL REGISTRO DE WINDOWS
El registro de Windows es el lugar donde se guardan una gran cantidad de las configuraciones y parmetros especficos de funcionamiento tanto del sistema como de los usuarios y las aplicaciones. Siendo un tanto groseros podramos decir que el registro son autnticamente las tripas del sistema. Como hemos visto hasta hora, hay muchas diferencias y cambios entre W indows 2000 Server y Windows NT. El registro, sin embargo, es un rea en la que Windows 2000 Server no se diferencia apenas de Windows NT. El re gistro funciona igual tanto en Windows 2000 Server como en Windows NT. Las recomendaciones de Microsoft para usar y modificar el registro son iguales para Windows 2000 Server: Permanezca al margen si puede! Cualquier cambio realizado en el registro tendr efectos inmediatos, y un registro mo dificado incorrectamente provocar problemas de toda ndole en el sistema incluso fallos en el arranque. Windows 2000 Server colabora ms que Win dows NT a la hora de configurar los distintos componentes del sistema, de m odo que la necesidad de utilizar el registro para cambiar la configuracin debera ser prcticamente nula. En algunas ocasiones, sin embargo, podra surgir la necesidad de entrar a1 registro. En este captulo examinaremos por encima la estructura del registro y veremos cmo usar los modificadores del registro de Win dows 2000 Server.
Estructura del registro

El registro es, en esencia, una base de datos de todo el sistema. El registro contiene toda la informacin de las configuraciones hardware y software y ayuda al sistema operativo con informacin apropiada para la inicializacin de los distintos componentes hardware y software. El registro almacena informacin sobre dispositivos y protocolos; cada vez que se produce un cambio en el sistema, sta se guarda en el registro. Cada vez que el sistema necesita informacin sobre ese cambio, la consulta en el registro.
- 174 -
El registro se organiza con una estructura jerrquica arborescente, similar a la de un explorador de archivos . En la figura se mues tra un ejemplo de subrbol del registro. Asimismo, deberamos familiarizarnos con los siguientes componentes del registro: Subrbol: Un subrbol es la principal categora de almacenamiento en el registro. Podemos concebir el subrbol como la carpeta raz de un disco duro. Hay dos subrboles primarios dentro de Windows 2000: HKEY_LOCAL_MACHINE y HKEY_USERS, pero para facilitar la bs queda de informacin del sistema, hay otros tres: HKEY_CURRENT_USER, HKEY_CLASSES_ROOT y HKEY_CURRENT_CONFIG.
Claves :
Las claves son parecidas a las carpetas. Una clave contiene informacin concreta sobre configuraciones hardware o software.
Subclaves : Entrada :
Una subclave es como una subcarpeta. La subclave se en cuentra dentro de una clave y puede definir mejor la clave. Cada clave o subclave contiene al menos una entrada. Cada entrada contiene informacin sobre el asunto de la clave o subclave y se compone de nombre, tipo de dato y valor.
Seccin : Una seccin es una coleccin de entradas, claves e incluso Tipos de datos :
subrboles. La lista
El valor de una entrada se define por un tipo de dato. siguiente muestra los tipos de datos que pueden aparecer en una entrada: REG__DWORD : Un valor sencillo representado por una cadena de dgitos hexadecimales.
uno a ocho
REG_SZ : Un valor sencillo interpretado por una cadena que debera estar almacenada. REG_EXPAND_SZ : Este tipo de dato es como REG_SZ, exceptuan do que Windows puede sustituir o actualizar una variable. REG_BINARY : Un valor que se muestra como una cadena de dgi tos hexadecimales. REG_MULTI_SZ : Una cadena que permite valores mltiples REG_FULL_RESOURCE_DESCRIPTOR : Este valor de datos guarda informacin sobre los componentes hardware y sus controladores. La clave para encontrar la informacin en el registro es tener un buen conocimiento del tipo de informacin que guarda cada subrbol. Las siguientes secciones ofrecen una visin general de cada subrbol y el tipo de informacin que contiene cada uno. HKEY_LOCAL_MACHINE es una clave primaria que guarda informacin sobre la mquina local. Este subrbol guarda todos los datos sobre la configuracin del sistema, datos del sistema operativo, dispositivos hardware y controladores, datos de inicio y aplicaciones. HKEY_LOCAL_MACHINE contiene cinco claves principales, y cada clave contiene varias subclaves. La claves principales son: SAM , Security , Software y System .
HKEY_LOCAL_MACHINE
HKEY_USERS guarda informacin sobre las configuraciones de usuario y las configuraciones de usuario predeterminadas. HKEY_CURRENT_USER forma parte de HKEY_USERS y todos los datos afectan a los usuarios almacenados en este subrbol. El
HKEY_USERS
- 175 -
subrbol contiene una clave predeterminada y claves sobre los usuarios. Con cada clave encontraremos informacin sobre el panel de control, entorno, acceso remoto y varias otras claves que afectan a la configuracin de los usuarios. HKEY_CURRENT_USER Como ya se ha mencionado, HKEY_CURRENT_USER forma parte de HKEY_USERS . Este subrbol contiene informacin de configuracin sobre el usuario actual. Cuando se conecta un usuario, la informacin de cuenta del usuario se recupera de Ntuser.dat para cargar las configuraciones y perfiles hardware. sta prevalece sobre cualquier configuracin de HKEY_LOCAL_MACHINE para que los usuarios puedan guardar la configuracin individual de sus sistemas. HKEY_CLASSES_ROOT apunta a la subclave Classes bajo la clave Software en . Contiene informacin sobre las configuraciones del software de sistema, como datos OLE (Object Linking and Enbedding), Incrustacin y vinculacin de objetos.
HKEY_CLASSES_ROOT HKEY_LOCAL_MACHINE
HKEY_CURRENT_CONFIG Este subrbol contiene informacin sobre el hardware activo en el sistema. HKEY_CURRENT_CONFIG utiliza las secciones Software y System para cargar informacin sobre la configuracin hardware con el fin de que se carguen e implementen durante el inicio los controladores de dispositivo adecuados y las configuraciones hardware.
Cmo usar los editores del registro

Como en Windows NT, se puede acceder al registro con los dos editores del registro de Windows 2000, Regedt32 y Regedit. Regedt32 permite buscar y modificar manualmente el registro como quiera, aunque puede usar el modo de slo lectura para no realizar cambios accidentalmente. Regedit no contiene el modo slo lectura y no soporta REG_EXPAND_SZ o REG_MULTI_SZ , pero ofrece una interfaz del estilo del explorador, fcil de usar. Las dos secciones siguientes muestran una visin global de lo que se puede hacer con estas herramientas. Utilizacin de Regedt32 Como hemos mencionado anteriormente, el registro est diseado para solucionar problemas y no para configurar. Debemos realizar todos los cambios en la configuracin del sistema utilizando el Panel de control , las herramientas de Active Directory y otras herramientas y hojas de propiedades. Una modificacin incorrecta del registro puede provocar una fallo del sistema que requiera volver a instalar Windows 2000. Cualquier cambio que hagamos en el registro se guarda automticamente y tiene un efecto inmediato. Podemos usar Regedt32 o Regedit escribiendo uno u otro en el cuadro de dilogo Ejecutar . Regedt32 es el editor de registro recomendado para Windows 2000. Una vez abierto Regedt32, podemos expandir el subrbol que queramos ver. Regedt32 ofrece varias opciones de men que ayudan a usar el editor del registro y buscar la informacin que necesitamos.
- 176 -
La siguiente lista enumera las opciones principales de cada men:

Registro : El men Registro Seleccionar equipo para abrir
contiene varias funciones tiles. Podemos usar el registro en un equipo remoto. Windows 2000 Server permite este acceso remoto al grupo Administradores . Podemos seleccionar la opcin Guardar clave para guardar parte del registro que seleccionemos con la intencin de probar cambios. La funcin Guardar subrbol como permite guardar el subrbol en un archivo de texto para realizar bsquedas, pero no podemos de volver este archivo de texto al registro.
Edicin : El men Edicin
permite agregar una clave de registro, agregar un valor o eliminar un objeto seleccionado. Como puede imaginar, debe ser muy cuidadoso al utilizar el men Edicin .
rbol :
El men rbol permite expandir el rbol segn nuestras necesidades. Tambin podemos expandir el rbol haciendo doble clic en la clave o subclave que queramos.
Ver :
El men Ver permite cambiar cmo vemos los datos en cada subrbol. De forma predeterminada, podemos usar a la vez el rbol y los datos de cada clave en los paneles izquierdo y derecho. En realidad, podemos usar el men Ver para ver slo el rbol, slo los datos o di vidido. Tambin, podemos usar la opcin Buscar clave para realizar una bsqueda dentro del subrbol.
Seguridad :
El men Seguridad , no disponible en Regedit, permite con figurar permisos, auditar y asignar la propiedad del registro. Al hacer clic en el botn Permisos , se pueden modificar los permisos de los usuarios o grupos con el Editor del registro. S lo los usuarios Administradores , Creator Owner o System tienen control total del registro de forma predeterminada.
- 177 -
Opciones :
El men Opciones permite seleccionar la fuente que utiliza el Editor del registro. Tambin contiene las opciones Actualizacin automtica , Modo de slo lectura y, Confirmar eliminacin y Guardar la configuracin al salir . El Modo de slo lectura es una importante ca racterstica de este men.
Utilizacin de Regedit Regedit no contiene todas las herramientas de Regedt32 y no tiene un modo de slo lectura. Sin embargo, para examinarlo nada ms, Regedit es ms fcil de usar porque parece literalmente una ventana del explorador, como muestra la figura.
La principal ventaja de usar Regedit dentro de Windows 2000 es la inter faz expansible y el hecho de que todos los subrboles aparecen en el panel izquierdo en lugar de en - 178 -
ventanas individuales. Aparte de esto, realmente no hay tantas opciones en Regedit como en Regedt32. La siguiente lista enume ra lo que hay disponible en cada men:
Registro : El men Registro Edicin :
permite importar o exportar un archivo de registro, o conectarse o desconectarse a un registro de red. En el men Edicin podemos elegir Nuevo y agregar una nue va clave, valor alfanumrico, valor binario o valor DWORD . El resto del men Edicin permite eliminar o cambiar el nombre de un elemento seleccionado y podemos copiar un nombre de clave. El men Edicin tambin contiene una funcin de bsqueda que ayuda a localizar una clave o subclave concreta.
Ver :
En el men Ver podemos seleccionar ver la Barra de estado , elegir la vista dividida o elegir Actualizar el registro.
Favoritos : El men Favoritos
permite seleccionar un subrbol o clave y agregarlo, o quitarlo, de la lista de favoritos.
- 179 -
ARCHIVOS DE REGISTRO ( LOGS) Y AUDITORIA

Como administradores, una vez Windows 2000 Server est instalado y fun cionando como queramos, dedicaremos mucho tiempo a supervisar el ser vidor, as como a los clientes. Este proceso de supervisin, llamado auditora, permite hacer un seguimiento de las actividades de los usuarios, adems de los sucesos que tienen lugar en el servidor. Auditar puede ayudar a decidir so bre las necesidades de la red y a resolver ciertos problemas que puede sufrir el entorno. Este captulo muestra cmo configurar la auditora y los archivos de registro en Windows 2000 Server para que el proceso de auditar el sistema sea eficaz y muestre un tipo de informacin que pueda resultar til.
Configuracin de archivos de registro

La auditora de sucesos, al igual que otros sucesos de Windows 2000, se guarda en varios archivos de registro que podemos ver con el Visor de sucesos. Hay tres archivos de registro principales: Aplicacin, Seguridad y Sistema. El archivo de registro de aplicacin contiene alertas, errores e informacin general que generan los programas. El archivo de registro de seguridad contiene informacin sobre sucesos de auditora, y el archivo de registro de sistema contiene alertas, errores e informacin general que el servidor genera sobre operaciones. Otros archivos de registro, como DNS y servicio de directorio pueden existir dependiendo de la configuracin del servidor. En el Visor de sucesos podemos hacer clic en cada archivo de registro para ver su contenido, y podemos hacer doble clic en una entrada para saber ms sobre ella.
Existen tres tipos de segn su gravedad o repercusin en el sistema: sucesos de Informacin, sucesos de Advertencia y sucesos de Error. Y dos ms respecto a la auditoria de la seguridad: Auditoria de aciertos y Auditoria de Errores.
- 180 -
El Visor de sucesos muestra automticamente todos los sucesos del archivo de registro seleccionado. Para facilitar la lectura del archivo de registro y poder encontrar la informacin que buscamos, podemos filtrar el archivo de registro. Para filtrar un archivo de registro, haga clic en Ver > Filtro. Con esta accin se abre la pgina de propiedades Filtro para el archivo de registro, como muestra la figura. Tenemos varias formas de filtrar sucesos. Podemos filtrar sucesos por las fechas usando los cuadros de dilogo desplegables y cambiando las fechas del filtro De y A. Esto muestra todos los sucesos del periodo de tiempo especificado. A continuacin, podemos usar las casillas de verificacin Tipos de sucesos para filtrar los tipos de sucesos que queremos ver. Podemos elegir entre Informacin, Advertencia , Error , Auditora de aciertos o Auditora de errores .
Tambin podemos buscar sucesos especficos haciendo clic en Ver > Buscar . La ventana Buscar , permite especificar el tipo de suceso que queremos buscar. Igualmente podemos
- 181 -
ajustar los botones de opcin Hacia arriba o Hacia abajo para indicar al Visor de sucesos la direccin de la lista de entradas hacia la que debe buscar.
Por ltimo podemos abrir la pgina de propiedades para cada archivo de registro haciendo clic con el botn derecho sobre l. En la ficha General , que se muestra en la figura, podemos ajustar el tamao mximo del archivo de registro y podemos elegir qu hacer cuando el archivo de registro se llene. De forma predeterminada, el tamao mximo es 512 K; use el cuadro de di logo para cambiar la configuracin predeterminada. En la seccin Tamao del registro , podemos elegir Sobrescribir sucesos cuando sea necesario , Sobrescribir sucesos de hace ms de X das o No sobrescribir sucesos . Si elegimos no sobrescribir sucesos, debemos limpiar el archivo de registro manualmente. Windows 2000 deja de escribir sucesos una vez se llena el archivo de registro.
- 182 -
Auditora
Para que la auditora sea eficaz en Windows 2000, es necesario crear un plan de auditora que recupere la informacin que necesitamos. La directiva de auditora define el tipo de informacin que se incluye en el archivo de registro de seguridad de Windows 2000, que permite ver los sucesos que nos interesan. Estos sucesos pueden ser de muchos tipos, como intentos de inicio de sesin fallidos, cambios en la pertenencia a grupos, cambios en la configuracin de se guridad e incluso las acciones que realizan ciertos usuarios especficos. De for ma predeterminada, la auditora est desactivada en Windows 2000 y, una vez se activa, tendremos que decidir qu equipos de la red tenemos que auditar y qu tipo de informacin respecto a dichos equipos se desea obtener. Podemos auditar sucesos de forma independiente en cada equipo. Antes de crear una directiva de auditora necesitaremos determinar los sucesos que queremos auditar para equipos o usuarios particulares. Lo mejor es auditar sucesos relacionados con informacin privilegiada y seguridad. Tambin es buena idea auditar el acceso a recursos del grupo Todos para auditar a cualquiera que inicie una sesin en la red.
Configuracin de Auditora
Los planes de auditora se basan en la funcin del equipo en la red. Para miembros o servidores independientes o equipos funcionando con Windows 2000 Professional, es necesario crear una directiva de auditora para cada equipo individual. Para controladores de dominio, debe crearse una directiva de auditora para todos los controladores de dominio dentro del dominio. A continuacin, tendremos que configurar una directiva de grupo para el dominio que se aplique a todos los controladores de dominio. Para instalar Auditora debemos tener derechos de usuario de inicio de sesin como Administrar auditora y seguridad para el equipo donde vamos a configurar una directiva de auditora o vamos a examinar el registro de auditora. El grupo Administradores tiene estos derechos de forma predeterminada. Configuracin de una directiva de auditora Para establecer una directiva de auditora en un equipo que no es un controlador de dominio, abra el complemento Agregar directiva de grupo de la MMC . Para ello pulse el botn de <Inicio> > Ejecutar y escriba MMC . Aparece una consola MMC vaca que deberemos configurar, para ello desde el men de Consola elija Agregar o quitar complemento , nos aparecer el cuadro de dialogo de Agregar o quitar complementos donde pulsaremos el botn de <Agregar> para configurarla. Nos aparecer el cuadro de dialogo Agregar un complemento independiente , con la lista de todos los complementos de administracin disponibles de Active Directory. Debemos que elegir el complemento Directiva de Grupo y a continuacin pulsar el botn de <Agregar> . Nos aparecer el cuadro de dialogo de Seleccionar un objeto de directiva de grupo , dejaremos seleccionado el objeto Equipo local que nos aparece por defecto y pulsaremos el botn de <Finalizar> para terminar de configurar la consola cerrando los cuadros de dialogo que nos quedan abiertos.
- 183 -
Expandimos el rbol de la consola seleccionando Directiva Equipo local > Configuracin del
equipo > Configuracin de Windows > Configuracin de seguridad > Directivas locales > Directiva de auditor a.
Podemos ver en el panel de detalles los componentes de la directiva de auditora que podemos elegir para auditar.
Inicio de sesin de cuenta:
Registra intentos de inicio de sesin completados con xito, o bien los fallidos (o ambos).
Administracin de cuentas:
Registra cambios, creaciones o eliminaciones de cuentas de usuario o de grupo. Adems registra cundo una cuenta cambia de nombre, se desactiva, se activa o se vuelve a establecer su contrasea.
Acceso del servicio de directorio: Registra
los accesos a objetos de Active Directory. Los objetos que se deben auditar se configuran en Active Directory.
- 184 -
Sucesos de inicio de sesin: Registra los inicios de sesin de usuario o los cierres de
sesin.
Acceso a objetos:
Registra si un usuario accede a un archivo, carpeta o impresora. Podemos configurar los archivos, carpetas e impresoras que queramos auditar.
Cambio de directivas: Registra Uso de privilegios: Registra Seguimiento de procesos:
cambios realizados en las opciones de seguridad de un usuario, derechos de usuario y planes de auditora. una accin por parte de un usuario en el sistema local, como cambiar la fecha del sistema. Registra cundo un programa realiza una accin. Esta funcin es til para programadores que quieran auditar los sucesos del funcionamiento de un programa.
Sucesos del sistema: Registra cundo ocurre
un suceso que afecta a la seguridad de
Windows 2000 o a la seguridad en general.
Para establecer la directiva de auditora, debemos hacer doble clic en cada atributo del panel detalles del rbol de la consola. Como podemos ver en la figura, de forma predeterminada, cada atributo esta sin configurar. Una vez hagamos doble clic en un atributo aparece un cuadro de dilogo, que permite configurar el atributo para auditar. De forma predeterminada, se activa la casilla de verificacin Error del cuadro Configuracin de la directiva de seguridad local. As slo se auditan los intentos fallidos, de forma que no se escriba en el registro de seguridad, cada vez que un usuario inicia una sesin en la red. Se puede activar la casilla Correcto del cuadro Configuracin de la directiva de seguridad local, si se desea lo contrario.
- 185 -
Una vez configurado cada atributo, el panel de detalles de la MMC muestra una configuracin de la directiva de seguridad local para cada atributo segn se configura. La configuracin puede ser "Sin auditora", "Errneo", "Correcto" o "Correcto, Errneo".
Una vez configurados los atributos segn se quiera, la directiva de auditora empezar a funcionar cuando hayamos reiniciado el servidor. Para el mismo fin, tambin podemos escribir secedt/RefreshPolcy/MACHINE_POLICY en la lnea de sistema y pulsar <Enter>. Si no actualizamos manualmente la configuracin de la directiva usando uno de estos dos mtodos, ste comenzar automticamente cuando se propague en nuestro servidor, lo que ocurre cada ocho horas de forma predeterminada.
- 186 -
Auditora del acceso a archivos y carpetas Podemos instalar auditora en las particiones NTFS para poder ver quin accede a cada archivo o carpeta. Esto es til para determinar qu archivos y carpetas utilizan ms los usuarios y para ayudar a determinar los fallos de seguridad que tenemos. Para poder auditar el acceso a archivos y carpetas, debemos configurar el objeto de auditora en nuestro plan de auditora. Para configurar la auditora de un archivo o carpeta concreto, siga estos pasos: 1. Haga clic con el botn derecho en el archivo o carpeta que quiera auditar y seleccione Propiedades. 2. Haga clic en la ficha Seguridad y despus seleccione el botn <Avanzada>. Aparece la ventana Configuracin de control de acceso. 3. Haga clic en la ficha Auditora.
4. Haga clic en el botn <Agregar>. Despus seleccione el usuario cuyos archivos o carpetas queremos auditar y haga clic en <Aceptar>. 5. Aparece el cuadro de dilogo Entrada de auditora. Active la casilla de verificacin Correcto o Incorrecto para los sucesos que quiera auditar en el archivo o carpeta. Tambin puede hacer clic en Aplicar estos valores de auditora slo a los objetos y/o contenedores de este contenedor si desea restringir la auditora a una carpeta especfica. Haga clic en <Aceptar> una vez lo haya hecho. 6. De forma predeterminada, los cambios de auditora realizados a una carpeta principal se aplican a todas las carpetas secundarias y a todos los archivos de las carpetas secundarias. Para cambiar esto, desactive la casilla de verificacin Hacer
posible que los valores de auditora heredables de un objeto primario se propaguen a ese objeto y haga clic en <Aceptar>.
- 187 -
Auditora del acceso a objetos de Active Directory De la misma forma que podemos auditar el acceso a archivos y carpetas, podemos auditar objetos dentro de Active Directory. Esta informacin indica quin accede a qu objeto de Active Directory. Al igual que con los archivos y carpetas, podemos establecer una directiva de auditora para objetos determinados, como las OU, usuarios, equipos, impresoras, etc. Para usar la auditora de objetos de Active Directory, debemos activar la auditora del servicio de directorio en nuestro plan de auditora. Para activar la auditora de objetos de Active Directory, siga estos pasos: 1. Hacer clic en Inicio > Programas > Herramientas administrativas > Usuarios y equipos de Active Directory. 2. Haga clic con el botn derecho en el objeto que quiera auditar, seleccione Propiedades y, a continuacin elija, la ficha Seguridad. 3. Haga clic en el botn <Avanzado> y, a continuacin, seleccione la ficha Auditora. Haga clic en <Aceptar>. 4. Seleccione el usuario que quiera auditar para este objeto y haga clic en <Aceptar>. 5. En la ventana Entrada de auditora que aparece, elija lo que desee utilizando las casillas de verificacin Correcto o Incorrecto para las entradas. Haga clic en
<Aceptar>.
Auditora del acceso a impresoras Al igual que los archivos, carpetas y objetos de Active Directory, podemos auditar las impresoras abriendo la pgina de propiedades de la impresora, seleccionando la ficha Seguridad, haciendo clic en el botn <Avanzada>, eligiendo la ficha Auditora, y agregando el usuario o grupo que auditar la impresora. A continuacin aparece un cuadro de dilogo Entrada de permiso.
- 188 -
Haga clic en las casillas de verificacin Correcto o Incorrecto para configurar la auditora. Haga clic en <Aceptar>.
- 189 -
MONITORIZACIN DEL SISTEMA

Una vez instalado y en funcionamiento un sistema con Windows 2000 Server, como administradores nos interesar poder hacer un seguimiento del funcionamiento rendimiento del mismo. Probablemente cuando se diseo e instalo el sistema todo fue pensado y dimensionado para un funcionamiento optimo, pero como todo en la vida el sistema va evolucionando y probablemente los requerimientos que se le exijan tambin. Por ello ser muy importante llevar a cabo un seguimiento del funcionamiento del sistema de modo que podamos prevenir los problemas que puedan producirse y detectar posibles cuellos de botella antes de que estos sean realmente graves. Para todo ello es fundamental contar con la informacin necesaria acerca del funcionamiento del sistema que nos ayude a decidir las acciones correctoras ms adecuadas para prevenir o corregir los problemas que pudieran darse. Se trata detectar problemas como la falta de espacio en disco antes de que los usuarios dejen de poder almacenar ms informacin en l o de ser capaces de responder a preguntas como es necesario aumentar la potencia del procesador o es ms conveniente aumentar la memoria del sistema? Esta saturada la red o es demasiado lenta la respuesta del subsistema de disco? Para recopilar la informacin necesaria que nos ayude en todas estas tareas Windows 2000 cuenta con varias herramientas de monitorizacin.
Administrador de tareas de Windows

El Administrador de tareas de Windows es una herramienta de monitorizacin muy bsica, pero nos permite una primera monitorizacin on-line de un sistema, adems de la gestin de los programas y procesos que estn ejecutndose en ese momentos en la mquina. Para abrir el Administrador de tareas de Windows pulsamos con el botn derecho del ratn sobre la barra de tareas y elegimos Administrador de tareas... o pulsamos la combinacin de teclas <Control> + <Alt> + <Supr> y hacemos clic sobre el botn Administrador de tareas .
- 190 -
Nos aparece la ventana del Administrador de tareas con tres pestaas: y Rendimiento .
Aplicaciones , Procesos
En la pestaa de Aplicaciones podemos ver las aplicaciones que estn ejecutndose en ese momento en la mquina, as como su estado. En la parte inferior de la ventana tenemos el botn de <Finalizar tarea> , que matara la aplicacin incluso aunque esta hubiese dejado de responder a las llamadas del sistema. Adems contamos con una barra de estado donde se nos informa del n de procesos ejecutndose en el sistema, el consumo de CPU y de memoria. En la pestaa de Procesos podemos observar todos los procesos ejecutndose en el sistema. Un proceso es un hilo de ejecucin, una aplicacin puede estar compuesta de varios procesos, adems tenemos procesos del sistema operativo o de cada uno de los servicios que pueda estar ofreciendo el servidor. De cada proceso se nos ofrece diversa informacin como su nombre, el PID (Process Identifier) identificador del proceso, el usuario al que pertenece, consumo de CPU y memoria que este produciendo, etc. En la parte inferior de la ventana tenemos la opcin de Mostrar procesos de todos los usuarios o nicamente del que esta en ese momento en la consola, as como el botn de terminar la ejecucin de un proceso. Deberemos de poner especial cuidado a la hora de matar procesos individuales, ya que si estos forman parte de una aplicacin con varios procesos podramos poner en peligro la estabilidad de la misma, o incluso la de todo el sistema operativo, si atentamos contra algn proceso vital para el funcionamiento de este.
La pestaa de Rendimiento es quizs la ms directamente relacionada con la monitorizacin, desde ella se puede realizar una monitorizacin bsica del consumo de CPU y memoria. En la parte superior tenemos un grfico correspondiente al consumo de CPU mostrado a travs de un diagrama de barras y mediante otro de lneas. Si estamos ante un sistema multiprocesador podremos configurar el Administrador de tareas para que nos muestre un grfico por cada CPU, como se muestra en la siguiente figura, o para que se muestre la media del consumo.
- 191 -
En la parte central y con la misma distribucin de grficos de barras y lneas tenemos el consumo de memoria RAM del sistema. Y en la parte inferior tenemos diversos datos del uso de la memoria como memoria fsica ocupada y libre, memoria ocupada por el ncleo, carga de transacciones, etc. A travs de los mens podremos configurar ciertos aspectos del Administrador de tareas, como el intervalo de refresco, la visualizacin de CPU por separado en sistemas multiprocesador o la distincin de carga entre procesos del ncleo del sistema operativo o del usuario.
Monitor de rendimiento
Como en Windows NT 4.0, el Monitor de rendimiento sigue siendo una parte importante de Windows 2000. El Monitor de rendimiento se usa para comprobar el rendimiento del sistema (o el rendimiento de otro sistema) examinando los componentes del sistema, como el procesador, la RAM, etc. Podemos abrir el Monitor de rendimiento haciendo clic en Inicio > Programas > Herramientas administrativas > Rendimiento. Se abre el complemento de la MMC Monitor de rendimiento. La interfaz del Monitor de rendimiento es ligeramente distinta en Windows 2000 Server a como era en Windows NT Server, pero funciona igual. Las siguientes secciones muestran cmo configurar y usar el Monitor de rendimiento.
- 192 -
Uso de contadores Los contadores son componentes del Monitor de rendimiento que hacen un seguimiento sobre componentes individuales del sistema y devuelven informacin sobre el rendimiento del componente. Somos nosotros los que incluimos los contadores que realizan un seguimiento y muestran la informacin que necesitamos. Para agregar un contador: 1. En Monitor de rendimiento, haga clic en el botn agregar contador del panel de detalles , o simplemente haga clic con el botn secundario en el rea grfica y seleccione Agregar contadores. 2. Aparece la ventana Agregar contadores. Puede seleccionar el contador que quiera agregar a un equipo concreto haciendo clic en Usar contadores del equipo local o Seleccionar contadores del equipo usando la lista desplegable. En el men desplegable Objeto de rendimiento , haga clic en el tipo de objeto que quiera, como el Procesador, Sistema, TCP, DiscoFsico, etc.
3. En el cuadro de dilogo Seleccionar contadores de la lista seleccione el contador que desee y haga clic en <Agregar>. Repita este proceso para seleccionar los contadores que desee. Cuando termine, haga clic en <Cerrar>. Para cada contador, tambin puede pulsar en <Explicar> para saber ms sobre ese contador. - 193 -
El Monitor de rendimiento muestra cada contador en un color diferente y comienza a hacer el seguimiento del rendimiento del contador en la ventana grfica.
Una vez tenemos contadores funcionando en el Monitor de rendimiento, podemos eliminar fcilmente cualquier contador seleccionando el contador en la parte inferior del panel de detalles y pulsando el botn eliminar de la barra de herramientas. Como hay muchos contadores para cada objeto, a menudo es difcil determinar qu contador debera usarse para un problema concreto. A continuacin se muestran algunos de los problemas ms importantes que podemos ex perimentar y nos indica qu contadores podramos usar en el Monitor de rendimiento. Problema Carga del procesador Contadores recomendados
Procesador\ Interrupciones/s, Procesador % Tiempo de procesador, Proceso\ % Tiempo de procesador, Sistema\ Longitud de la cola del procesador. Memoria\ MBytes disponibles, Memoria\ Pginas/s
Problemas de memoria Rendimiento de red bajo
Interfaz de red\ Total de s, Interfaz de red\ Bytes envia-dos/s, Interfaz de red\ Bytes recibidos/s, Servidor\ Total de s., Servidor\ Bytes recibidos/s., Servido\ Bytes enviados/s., Segmento de red\ % Uso de la red . Cola de impresin\ Bytes imprimidos/s., Cola de impresin\ Errores de trabajo .
Problemas de impresin
Propiedades del Monitor de rendimiento Podemos configurar las propiedades para un grfico del Monitor de rendimiento . Esta funcin permite ver, guardar y usar el monitor de rendimiento de una forma ms ventajosa. Podemos ver las propiedades del grfico haciendo clic con el botn derecho en el grfico dentro del panel de detalles y seleccionando Propiedades . Las siguientes secciones nos indican lo que podemos hacer en cada pgina. - 194 -
General En la ficha General , podemos configurar varias opciones. Primero podemos seleccionar el tipo de pantalla que queremos ver, como Grfico , Histograma o Informe . En Apariencia, podemos usar el men desplegable para seleccionar Plano o apariencia 3D, y tambin podemos aplicar un Estilo de borde usando el men desplegable si lo deseamos. Podemos cambiar los Tipos de valores de informe entre Predeterminado , Actual , Medio , Mnimo o Mximo haciendo clic en el botn de opcin deseado y, por ltimo, podemos ajustar el tiempo de actualizacin.
Origen Podemos elegir la fuente de datos para el grfico del rendimiento si usarnos la ficha Origen . Tenemos la opcin de usar la Actividad en curso o hacer clic en Actividad de registro para ver un archivo de registro guardado. Si elegimos ver un archivo de registro, podemos usar la seccin Intervalo de tiempo para seleccionar un periodo de tiempo que deseamos ver en el archivo de registro.
- 195 -
Datos La ficha Datos , ofrece una lista de los contadores que estn activos en ese momento. Tambin podemos usar el botn <Agregar> para agregar ms contadores, o el botn <Eliminar> para quitar contadores. Adems, podemos ajustar el color del contador y el ancho de la barra de grficos usando las casillas desplegables.
Grfico La ficha Grfico permite ajustar la forma en que vemos el grfico. Podemos incluir un ttulo en el grfico, una etiqueta para el eje vertical o ver una cuadricula vertical u horizontal. Asimismo, podemos ajustar la escala del grfico como deseemos.
Colores y fuentes Las pginas de propiedades Colores y Fuentes permiten ajustar los colores y las fuentes del grfico.
- 196 -
Configuracin de registros de contador Para configurar un nuevo registro de contador, siga estos pasos: 1. En el Monitor de rendimiento , haga clic en Registros y alertas de rendimiento en el panel izquierdo. 2. Haga clic en Registros de contador . Aparecen en el panel los registros existentes si los hubiera. Un icono verde indica que el registro est funcionando, mientras que un icono rojo indica que el registro est detenido. 3. En el panel de detalles, haga clic con el botn derecho en la ventana en blanco, seleccione Nuevo y, a continuacin, haga clic en Nueva configuracin de registro . Si quiere crear un registro de contador de datos guardados, elija Nueva configuracin de registro de . 4. Aparece un cuadro de dilogo solicitando el nombre para la configuracin del nuevo registro. Escriba un nombre y haga clic en <Aceptar> . 5. Aparece la ficha del registro. En la ficha General , haga clic en el botn <Agregar> para agregar nuevos contadores al registro. De forma predeterminada, los datos se muestrean cada 15 segundos, pero podemos cambiar este valor predeterminado ajustando las casillas desplegables.
6. Haga clic en la ficha Archivos . Use el men desplegable para ajustar el tipo de archivo de registro que quiera crear. Puede elegir entre Archivo de texto: CSV , Archivo de texto: TSV , Archivo binario , o Archivo cclico binario . A continuacin, puede usar los botones de opcin para permitir al archivo crecer hasta un tamao mximo o determinar un tamao lmite para el registro. Por ltimo, puede ajustar la nomenclatura del archivo de registro y su ubicacin de almacenamiento predeterminada si es necesario.
- 197 -
7. Haga clic en la ficha Programacin . Puede ajustar los botones de opcin para iniciar manualmente el registro o permitir al registro que empiece a una hora concreta. Asimismo, puede utilizar los botones de opcin para detener el registro si lo deseamos.
8. Haga clic en <Aceptar> cuando lo hayamos completado. Configuracin de las alertas de rendimiento Para crear una alerta de rendimiento, siga estos pasos: 1. En el Monitor de rendimiento , haga clic en Registros y alertas de rendimiento en el panel izquierdo. 2. Haga clic en Alertas . Cualquier alerta existente aparece en el panel de detalles. Un icono verde indica que la alerta est funcionando y un icono rojo indica que la alerta est detenida.
- 198 -
3. En el panel detalles, haga clic con el botn derecho en la ventana en blanco, seleccione Nueva alerta . Si quiere crear una alerta de datos guardados, elija Nueva configuracin de alerta desde . 4. Aparece un cuadro de dilogo solicitando el nombre para la configuracin de la nueva alerta. Escriba un nombre y haga clic en <Aceptar> . 5. Aparece la ficha Alerta . En la ficha General , puede agregar contadores para los que quiera instalar una alerta. Despus de agregar el contador, use el botn desplegable para cambiar el valor de la alerta como Inferior a o Superior a y, a continuacin, escriba un nmero en el cuadro de dilogo. Tambin puede ajustar el intervalo de muestreo de los datos si lo desea.
6. En la ficha Accin , seleccione cmo quiere que el sistema maneje la alerta. Use las casillas de verificacin para seleccionar Registrar una entrada en el registro de sucesos de aplicacin , Enviar un mensaje por la red a o Ejecutar el archivo de comandos .
- 199 -
7. En la ficha Programacin , puede configurar la programacin para iniciar o detener el registro. sta es la misma ventana que la de los registros de contador. 8. Haga clic en <Aceptar> cuando lo haya hecho.
- 200 -
COPIAS DE SEGURIDAD
La finalidad de hacer copias de seguridad de datos e informacin del sistema, como el registro, es poder restaurar los datos en caso de fallo del sistema o prdida de datos de algn tipo. Si los datos estn guardados correctamente, se pueden restaurar completamente sin tener en cuenta si los datos son un simple archivo o todo un disco. Para realizar copias de seguridad fcilmente, Windows 2000 Server incluye una herramienta para realizar copias de seguridad llamada Copia de seguridad , que podemos iniciar desde Inicio > Programas > Accesorios > Herramientas del sistema > Copia de seguridad .
Existe ms de una forma correcta de hacer copias de seguridad. El objetivo es poder restaurar datos crticos en un momento dado, por lo que el tipo de copia de seguridad que elijamos y la frecuencia con que realicemos las co pias de seguridad dependern de las necesidades de la organizacin. No es necesario hacer copia de seguridad de archivos que rara vez cambian, pero hacer copias de seguridad de datos que cambian todos los das es muy importante para restaurar la versin de los datos ms reciente. Windows 2000 Server permite elegir el medio de la copia de seguridad, desde una cinta hasta medios extrables como unidades Zip, CD-ROM, o dis cos duros en equipos remotos.
Tipos de copias de seguridad

ofrece cinco tipos de copias de seguridad que nos per miten administrar y planificar nuestras sesiones de copia de seguridad. Si ha utilizado Copia de seguridad dentro de Windows NT (NTBackup) , los reconocer fcilmente. La siguiente lista enumera los cinco tipos de copia de seguridad:
Copia de seguridad
- 201 -
Normal :
En una copia de seguridad Normal , todos los archivos y car petas seleccionados se incluyen en la copia de seguridad. Una copia de seguridad Normal no utiliza marcadores para determinar los archivos que se incluirn en la copia de seguridad; los marcadores se quitan y el archivo se marca como incluido en la copia de seguridad. Este tipo de copia de seguridad es rpida de restaurar pero el tiempo de re alizacin de la copia de seguridad vara dependiendo de la cantidad de datos incluidos.
Copia :
Una copia de seguridad Copia se parece a una Normal en que se copian todos los archivos y carpetas seleccionadas. Una copia de seguri dad Copia no mira los marcadores y no quita ningn marcador existente. Podemos usar la copia de seguridad Copia si no queremos quitar marca dores, ya que esto puede afectar a otros tipos de copia de seguridad.
Diferencial :
En una copia de seguridad Diferencial slo se incluyen los archivos y carpetas seleccionadas que estn marcados desde la ultima copia de seguridad completa. Una copia de seguridad Diferencial no quita los marcadores existentes.
Incremental :
Una copia de seguridad Incremental es como una Diferencial en la que se incluyen los archivos y carpetas seleccionados que po seen un marcador desde la ltima copia de seguridad completa, si bien una copia de seguridad Incremental elimina los marcadores existentes.
Diaria :
En una copia de seguridad Diaria , todos los archivos y carpetas seleccionados que han cambiado ese da se incluyen en la copia de se guridad. Una copia de seguridad Diaria no mira ni quita marcadores, pero es una manera eficaz de incluir en la copia de seguridad los archivos y carpetas que han cambiado ese da.
Determinar cmo hacer una copia de seguridad de los archivos es una parte importante en la planificacin. Si tenemos suficiente tiempo disponible para realizar las copias la mejor opcin es una copia Normal diaria, ahora bien las soluciones ms eficaces suelen usar una combinacin global de tipos de copia de seguridad. Una copia de seguridad Normal puede realizarse el lunes y una copia de seguridad diferencial durante los restantes das de la semana. Si se produce un error el sbado, slo necesitamos la copia del lunes y la del viernes para reconstruir los datos. Esta combinacin utiliza ms tiempo para copiar, pero menos para restaurar. Tam bin puede usar copias de seguridad Normal e Incremental de la misma manera. En caso de error, cada copia de seguridad Incremental debe restaurarse ya que elimina marcadores. Esta solucin requiere menos tiempo para hacer la copia de seguridad, pero ms tiempo para restaurar los datos. La clave es determinar la velocidad de restauracin que necesita para solucionar el error. Normalmente, las soluciones que incluyen una restauracin ms rpida invierten ms tiempo en la copia de seguridad Diaria .
Cmo usar Copia de seguridad de Windows

Puede acceder a Copia de seguridad de Windows haciendo clic en Inicio > Programas, Accesorios > Herramientas del sistema > Copia de seguridad . Aparece Copia de seguridad de Windows. Como era de esperar, las copias de seguridad dependen de los derechos de cada usuario. Si es usted administrador u operador de copia de seguridad en un grupo local, puede realizar una copia de seguridad de todos los archivos o carpetas dentro del servidor local al que se aplica el grupo. Si es administrador u operador de copia de seguridad en un controlador de dominio, puede realizar una copia de - 202 -
seguridad de todos los archivos o carpetas del dominio , exceptuando los datos de estado del sistema, que slo se pueden incluir en una copia de seguridad desde la mquina local. La ficha Bienvenido , ofrece tres botones de opcin. Asistente para copia de seguridad , Asistente para restauracin y Disco de reparaciones de emergencia . Las siguientes secciones analizan cada una de estas opciones. Creacin de copias de seguridad Puede utilizar el asistente para copia de seguridad para crear un plan de copia de seguridad para proteger sus archivos y programas en caso de error catastrfico. Para utilizar el asistente para copia de seguridad, hacer clic en el botn del asistente para copia de seguridad para comenzar el proceso y seguir estos pasos: 1. Despus de hacer clic en el botn del Asistente para copia de seguridad, se inicia el asistente. Haga clic en <Siguiente>. 2. La segunda pantalla le pregunta qu desea incluir en la copia de seguridad. Tiene las siguientes opciones: a. Hacer copia de seguridad de todo el contenido de mi equipo. Esta opcin realiza una copia de seguridad de todos los archivos de la mquina local exceptuando ciertos archivos de administracin de energa que no se incluyen en la copia de forma predeterminada. b. Hacer copia de seguridad de archivos, unidades o datos de red seleccionados. Esta opcin slo realiza copia de seguridad de los archivos y programas seleccionados. Puede usar esta opcin para hacer una copia de seguridad de cualquier recurso compartido o disco de red. c. Hacer copia de seguridad slo de los datos de estado del sistema . Esta opcin realiza una copia de seguridad del registro, de los componentes de registro de la clase COM+, la base de datos SAM, archivos de inicio del sistema y del Certifcate Server del equipo local. Si el servidor es controlador de dominio, tambin se incluye en la copia de seguridad Active Directory y el directorio SYSVOL. Si elige la opcin datos de estado del sistema, se incluyen en la copia todos los datos importantes, es decir, no se pueden elegir los componentes que se incluyen en la copia de seguridad.
- 203 -
3. Si elige realizar una copia de seguridad de archivos, unidades y datos de red seleccionados, aparecer la ventana Elementos para hacer copia de seguridad. Esta ventana de tipo explorador permite seleccionar archivos o discos, o incluso datos de red, para la copia de seguridad usando las casillas de verificacin. Si expande Mis sitios de red, podr elegir cualquier unidad de red o archivos individuales. Una vez seleccionado todo, haga clic en <Siguiente>.
4. Si elige Hacer copia de seguridad de todo el contenido de mi equipo o Hacer copia de seguridad slo de datos de estado del sistema , en su servidor aparecer la ventana Dnde almacenar la copia de seguridad, use el botn <Examinar> para seleccionar el medio de la copia de seguridad, a continuacin haga clic en <Siguiente>.
- 204 -
5. La ventana siguiente resume las selecciones realizadas. Si hace clic en el botn <Avanzado> antes de hacer clic en <Finalizar>, puede especificar opciones de copia de seguridad adicionales. Esta funcin permite especificar el tipo de copia de seguridad. Si usamos el men desplegable, puede elegir Normal, Copia, Incrementa!, Diferencial o Diaria. Elija la que desee y haga clic en <Siguiente>.
6. La ventana siguiente muestra dos casillas de verificacin, una para comprobar los datos antes de la copia de seguridad y otra para usar compresin por hardware si est disponible. Elija lo que desee y haga clic en <Siguiente>.
- 205 -
7. La ventana siguiente, Opciones de medio, permite seleccionar botones de opcin que indican a Windows que agregue la copia de seguridad a otras copias de seguridad existentes en el medio o sobrescriba el antiguo archivo de copia de seguridad por uno nuevo. Elija lo que desee y haga clic en <Siguiente>.
8. Aparece la ventana Etiqueta de la copia. En esta pgina puede aceptar las etiquetas predeterminadas o crear las suyas propias. El nombre de medio predeterminado es Se ha creado el medio en fecha y hora. Haga clic en <Siguiente>.
- 206 -
9. La ventana Cundo hacer la copia de seguridad pregunta cundo desea ejecutar Copia de seguridad. Puede seleccionar la opcin Ahora o Ms adelante y especificar la fecha de inicio de la tarea. Haga clic en <Siguiente>.
10. Llegar a la pgina final de resumen del asistente. Revise las selecciones y haga clic en <Finalizar>. 11. El Asistente para copia de seguridad calcula el tamao que ocupa la copia de seguridad y comienza a trabajar con el medio seleccionado. Una vez realizada la copia de seguridad, Copia de seguridad de Windows crea un archivo de resumen e informacin de directorios en un conjunto de catlogos de copia de seguridad, que se guarda en el medio de copia de seguridad. Aparte de utilizar el Asistente para copia de seguridad, podemos hacer clic en la ficha Copia de seguridad dentro de Copia de seguridad de Windows. Apa rece una pantalla donde podemos seleccionar unidades, archivos, carpetas y unidades de red y comenzar el proceso de copia de seguridad inmediatamente sin el asistente Desde esta vista, si hace clic en el botn <Iniciar>, ver una ventana en miniatura con varias opciones disponibles en el asistente. En la ventana Informacin sobre el trabajo de copia de seguridad, podemos especificar la etiqueta y anexo, o sustituir los trabajos de copia de seguridad anteriores. Asimismo, podemos hacer clic en el botn <Avanzado> para seleccionar el tipo de copia de seguridad que se va a realizar. Si hacemos clic en el botn <Programacin>, se nos instar a que guardemos primero el trabajo de copia de seguridad y establezcamos la contrasea de administrador para seguir adelante. Una vez hecho esto, veremos la ventana Programar trabajo, donde podremos seleccionar la hora y la fecha en que deseamos realizar la copia de seguridad.
- 207 -
Restauracin de las copias de seguridad Una vez realizada la copia de seguridad, podemos restaurarla usando el Asistente para restauracin. Podemos restaurar datos de volmenes FAT o NTFS, pero si hemos realizado la copia en un volumen NTFS, deberemos restaurar a un volumen NTFS. Si la restaurramos a un volumen FAT, podramos perder datos y algunas caractersticas, como permisos de acceso, configuraciones del sistema de cifrado de archivos, informacin de cuota de disco, informacin de unidades montadas y, posiblemente, cualquier otra informacin especfica de NTFS. Inicie el Asistente para restauracin haciendo clic en el botn <Asistente para restauracin> de la ficha Bienvenido, luego siga estos pasos: 1. Una vez haga clic en el botn <Asistente para restauracin>, se iniciar el asistente. Haga clic en <Siguiente>. 2. Aparece la ventana Elementos a restaurar, como muestra la figura. En el panel Restauracin de, seleccione los elementos que quiera restaurar y haga clic en <Siguiente>.
- 208 -
3. Aparece la ventana Resumen. Si hace clic en el botn <Avanzado>, podr especificar acciones adicionales para la operacin de restauracin. La primera ventana pregunta dnde quiere restaurar los archivos. Por defecto, se selecciona la ubicacin original, pero puede utilizar el men desplegable para seleccionar una ubicacin alternativa o una simple carpeta. Haga clic en <Siguiente>.
- 209 -
4. La ventana Cmo restaurar le pregunta si quiere restaurar los archivos ya existentes. La seleccin predeterminada y recomendada es no sustituir los archivos de la copia mientras el archivo todava exista en la ubicacin original. Esta accin evita que la copia de seguridad sustituya archivos ms nuevos con archivos ms antiguos en esta copia de seguridad. Haga clic en <Siguiente>.
5. Aparece la ventana Opciones de restauracin avanzadas. Aqu, puede elegir Restaurar seguridad, Restaurar la base de datos de medios de almacenamiento extrables o Restaurar los puntos de unin en lugar de los datos de archivos y carpetas a que hacen referencia . Una vez realizadas las selecciones, haga clic en <Siguiente>.
- 210 -
6. Ahora regrese a la pgina de resumen. Revise las selecciones y haga clic en <Finalizar>.
7. Deber confirmar la ruta del medio donde se encuentra el trabajo de copia de seguridad. A continuacin, haga clic en <Aceptar>.
8. El proceso de restauracin da comienzo. - 211 -
Al igual que con el proceso de copia de seguridad, tambin podemos ac ceder a la ficha Restauracin de Copia de seguridad de Windows. Es la misma ventana que se vea en el asistente, de modo que podemos elegir rpidamente el trabajo a restaurar. Si hacemos clic en el botn <Iniciar>, podemos ver las opciones avanzadas del asistente, o simplemente iniciar el proceso de res tauracin. Una vez que nos familiaricemos con el proceso de restauracin, podemos usar esta ficha en lugar del asistente.
Si estamos restaurando datos de estado del sistema, debemos conocer un proceso llamado "restauracin autoritativa". Si tenemos ms de un controla dor de dominio en nuestra organizacin en el que se est replicando Active Directory hacia los otros controladores de dominio, una restauracin autoritativa asegura que los datos restaurados son una rplica de esos controladores de dominio. La restauracin automtica actualiza el nmero de secuencia de Active Directory para que los datos restaurados no aparezcan como "antiguos" para los otros controladores de dominio. Si sucede esto, los datos no se duplicarn y los datos restaurados se actualizarn con datos replicados de otros servidores. La restauracin autoritativa corrige ese aspecto actualizando el nmero de secuencia para que los datos se actualicen. Para usar la restauracin autoritativa, es necesario restaurar los datos del estado del sistema en una - 212 -
operacin de restaurado normal, pero entonces necesitaremos ejecu tar Ntdsutil, que est disponible en el CD-ROM de Windows 2000 Server, para que se actualice el nmero de secuencia. Debemos ejecutar esta utilidad an tes de volver a iniciar el servidor. Disco de reparacin de emergencia Tambin podemos utilizar Copia de seguridad de Windows para crear un ERD (Emergency Repair Disk), Disco de reparacin de emergencia . El ERD guarda la configuracin y los archivos que pueden ser de utilidad para iniciar Windows en caso de un error de arranque del sistema. El ERD no es el sustituto de un plan de copia de seguridad y no protege los datos en caso de error. Debemos guardar un ERD actualizado en todo momento. Cada vez que realizamos un cambio en el sistema, como un nuevo paquete de servicios, debemos volver a crear el ERD para que est actualizado. Para crear un ERD, necesitamos al menos un disco flexible de 1.44 MB. Para crear el ERD, haga clic en el botn <Disco de reparacin de emergencia> en la ficha Bienvenido. Introduzca el disco flexible vaco en la unidad. Una vez introducido, haga clic en <Aceptar>. Se crea el ERD.
Cmo cambiar las opciones predeterminadas de copia de seguridad Windows ofrece varias configuraciones predeterminadas de copia de seguridad que se pueden cambiar, si es necesario, utilizando Copia de seguridad de Windows. Si accedemos al men Herramientas y seleccionamos Opciones, aparece una ventana con varias fichas, como muestra la figura. La siguiente lista enumera las opciones disponibles en cada ficha.
General :
En la pestaa General tenemos varias casillas de verificacin que afectan a la forma que tiene Windows de manejar las tareas de copia de seguridad y los medios de almacenamiento: Procesar la informacin de seleccin antes de las operaciones de copia de segundad y restauracin. Usar los catlogos en el medio para acelerar la construccin de catlogos de restauracin en disco. Comprobar datos despus de completar la copia de seguridad. Mostrar mensaje de alerta cuando inicie Copia de seguridad y no se est ejecutando Administracin de medios de almacenamiento extrables. Mostrar mensaje de alerta cuando inicie Copia de seguridad y no haya medios de importacin compatibles disponibles. Mostrar mensaje de alerta cuando se inserten nuevos medios en Administracin de medios de almacenamiento extrables.
- 213 -
Mover siempre nuevos medios de importacin a grupos de Copia de seguridad . Esta caracterstica mueve automtica el nuevo medio de tectado por Medios de almacenamiento extrables a Medios de copia de seguridad.
Restaurar :
La pestaa Restaurar muestra cmo elegir si una restauracin no debe sustituir un archivo ya existente en el equi po, sustituir el archivo slo si es ms antiguo, o sustituir siempre el ar chivo.
- 214 -
Tipo de copia de seguridad : La pestaa Tipo de copia de seguridad nuevamente elegir entre Normal, Copia, Diferencial, Incremental o Diaria.
permite
: La pestaa Registro de la copia de seguridad permite seleccionar el tipo de archivo de registro que se genera. Por defecto, se selecciona un Resumen de registro, pero podemos elegir un Registro detallado o Ninguno.
Registro de la copia de seguridad
- 215 -
Excluir archivos :
La pestaa Excluir archivos permite selec cionar los archivos que deseemos excluir del proceso de copia de se guridad. Esta opcin es til para archivos que no se necesite guardar o puedan dar problemas a la copia de seguridad, por estar abiertos en el momento de realizacin de la misma, como archivos temporales o de registro ( logs) Podemos configurar la exclusin de archivos para el usuario que estamos empleando en el momento de realizar la copia o para todos los usuarios del sistema.
Pulsaremos el botn <Agregar nuevo> correspondiente a la opcin que queramos emplear e indicaremos una mascara de archivo y una ruta de aplicacin, pulsando el botn de <Aceptar> para que quede configurada la nueva exclusin de archivos.
- 216 -
Copias de seguridad a travs de comandos Podemos usar la lnea de comandos para realizar operaciones de copia de seguridad, pero, la gran ventaja de los comandos es que permiten usar un archivo de proceso por lotes para personalizar, automatizar y programar la realizacin de las copias de seguridad. Esto se consigue utilizando el comando ntbackup . La sintaxis del comando ntbackup se descri be a continuacin y se ofrece una explicacin breve de cada parmetro como consulta rpida:
Ntbackup backup [systemstate] "nombre del archivo bks" /J [{nombre de la tarea}] [ / P { nombre del grupo}] [ / G { nombre simplificado}] [ / T { nombre de la cinta}] [ /N { nombre del medio}] [ / F { nombre del archivo}] [ / D {descripcin del conjunto} /DS { nombre del servidor}][/IS { nombre del servidor}] [/A] [ / V { y e s n o } ] [ / R { y e s jno}][/ L : {fsn}][/M { tipo de copia de seguridad}] [ / R S { y e s n o } ] [ / H C { o n | o f f } ]
Systemstate: Nombre del archivo bks:
Indica que se quiere una copia de seguridad de los datos de estado del sistema. Indica el nombre del archivo de informacin seleccionado a usar. El archivo de seleccin de copia de seguridad contiene informacin de los archivos y carpetas que haya seleccionado para la copia de seguridad. Tiene que crear el archivo utilizando la versin de Copia de seguridad con interfaz grfica de usuario (GUI). Puede sustituirse por la indicacin concreta de las rutas de las que se quiere realizar copia de seguridad. Nombre de la tarea. Indica el nombre de la tarea para usar en el archivo de registro. Nombre del grupo. Indica el grupo de medios, nombre del dispositivo fsico donde realizar la copia para el sistema operativo (por ejemplo DDS 4mm en el caso de una cinta de 4mm). Nombre simplificado. Sobrescribe o anexa a esta cinta. No usar con el parmetro /R Nombre de la cinta. Sobrescribe o anexa a esta cinta. No usar con el parmetro /P. Nombre del medio. Se debe indicar el nuevo nombre de la cinta. No usar con el parmetro /A. Nombre del archivo. La ruta lgica al disco y el nombre del archivo. No usar con los parmetros /P, /G o /T. Descripcin del conjunto. Indica una etiqueta para cada conjunto de copia de seguridad.
Nombre del servidor .
/J
/P
/G
/T
/N
/E
/D
/DS
Hace una copia de seguridad del archivo del servicio de directorios para el Servidor Exchange especificado.
Nombre del servidor .
/IS
Hace una copia de seguridad del archivo de informacin de almacenamiento para un Servidor Exchange especificado. - 217 -
/A
Indica una operacin de anexacin que se usa con los parmetros /G o /T. No usar /A con /P o No. Verifica que los datos estn completos despus de la copia de seguridad.
Yes Yes
/V
/R
o No. Limita el acceso a la cinta al propietario o a los administradores.

f, s
/L
o n. Especifica el tipo de archivo que se crea, f para completa ( full), s para resumen ( summary), n para sin registro (no-log). Tipo de copia de seguridad. Indica el tipo de copia de seguridad ( normal , copia , Incremental, diferencial o diaria ). o No. Hace una copia de seguridad de la base de datos de almacenamiento extrable.
Yes On
/M
/RS
/HC
u Off . Indica si usar o no usar compresin por hardware, si est disponible. Busca el primer medio disponible, le da formato y lo utiliza para la operacin de copia de seguridad actual. Deber utilizar el modificador /P para designar un grupo de medios de tipos de dispositivos cuando utilice el modificador /UM de modo que Copia de seguridad busque el tipo de medio apropiado (por ejemplo, DDS 4mm ). Cuando utilice el modificador /UM , Copia de seguridad buscar los siguientes grupos de medios para los medios disponibles: Grupo de medios libres , de importacin , no reconocid o y de copia de seguridad . Cuando se encuentran los medios disponibles, se detiene la bsqueda, se da formato y se utilizan los medios sin que deba especificar nada. Este comando no se puede aplicar a cargadores de cintas y slo se debe utilizar si dispone de un dispositivo de cinta independiente.
/UM
- 218 -
ENLACES Y DIRECCIONES DE INTERES

Del autor: e-mail: eduardo@perezdeluco.net http://www.perezdeluco.net
Otros: http://www.microsoft.com/windowsserver2003/proddoc/ http://www.microsoft.com/spain/technet/ http://www.eventid.net
- 219 -
- 220 -

Windows 2003

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Windows 2003

Caricato da

Copyright:

Formati disponibili

Config cin y ura a m istra d in cind e W d s Se r 2 0 in ow rve 0 3

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Familia de sistemas operativos Windows

Configuracin y administracin de Windows Server 2003

Windows NT 3.5 Workstation Windows 95 Windows NT 3.51 Workstation Windows 98

Windows NT 3.5 Server

Windows NT 3.51 Server

Windows NT 4.0 Workstation

Windows NT 4.0 Server

Windows 2000 Professional

Windows 2000 Server Advanced Server y Datacenter

Windows Server 2003

Nuevas caractersticas de los servidores Windows

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

CONSIDERACIONES PREVIAS A LA INSTALACIN

Configuracin y administracin de Windows Server 2003

Desarrollo de un plan de implementacin

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

CONFIGURACIN GENERAL DEL SISTEMA

Asistente de administracin del servidor

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Men Inicio y Barra de tareas

Configuracin y administracin de Windows Server 2003

: Esta opcin oculta la barra de

tareas cuando no se usa.

: Esta opcin no permite que otras

personalizables y podemos aadir o quitar los que deseemos.

Configuracin y administracin de Windows Server 2003

A continuacin se muestran el cuadro de dialogo de personalizacin del Men de Inicio Clsico.

Opciones de configuracin usando el Panel de control

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003 Protector de pantalla

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Archivos sin conexin

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003 Contenido

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003

Configuracin y administracin de Windows Server 2003 Programas

Configuracin y administracin de Windows Server 2003