Active Directory

La gestin del servicio de directorio Active Directory es una parte importante del proceso de administracin de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas que se proporcionan para este propsito. Casi todas las herramientas utilizan complementos de Microsoft Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa Herramientas administrativas del men Inicio incluye algunos complementos, pero para el funcionamiento diario se debern aadir otros manualmente mediante la funcin Agregar complemento de la MMC. Algunas de las herramientas de administracin de Active Directory son programas que se ejecutan cada da, mientras que otras solo son necesarias durante la instalacin de Active Directory U ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de administracin de Active Directory son los siguientes: Asistente para instalacin de Active Directory crea controladores de dominio, nuevos dominios, rboles y bosques. Dominios y confianzas de Active Directory cambia el modo del dominio, gestiona las relaciones de confianza entre dominios y configura los sufijos del nombre principal de usuario (UPN). Usuarios y equipos de Active Directory crea, gestiona y configura los objetos Active Directory. Sitios y servicios de Active Directory crea y configura sitios dominio y gestiona el proceso de replica del controlador de dominio.

Esquema de Active Directory modifica el esquema que define los objetos y propiedades de Active Directory.

Preparacin de la instalacin.

Para promover Windows 2000 Server a controlador de dominio, primero hay que completar todo el proceso de instalacin del sistema operativo. Despus del ultimo reinicio, hay que iniciar sesin en la maquina utilizando una cuenta de administrador. Para alojar Active Directory, el servidor debe tener una particin NTFS 5. NTFS 5 es una versin actualizada del sistema de archivos introducido en el primer lanzamiento de Windows NT. Cuando se crean nuevas particiones NTFS durante una instalacin de Windows 2000 o se actualizan las particiones NTFS existentes creadas con versiones anteriores de Windows NT, el sistema utiliza NTFS 5. Si se opta por instalar Windows 2000 en un sistema con solo particiones FAT, se debe convertir al menos una particin a NTFS antes de poder utilizar el Asistente para instalacin de Active Directory. Esto se puede hacer utilizando la utilidad Convert.exe desde el smbolo del sistema o la pantalla Administracin de discos del complemento Administracin de equipos de MMC. El ultimo requisito para instalar Active Directory es que el servidor tenga acceso a un servidor DNS. Active Directory utiliza el DNS para almacenar informacin sobre los controladores de dominio de la red. Los sistemas cliente localizan un controlador de dominio para la autenticacin mediante el envo de una peticin al servidor DNS identificado en sus configuraciones TCP/IP cliente. El servidor DNS que utiliza Active Directory ni necesita estar

ejecutndose en el equipo que se va a convertir en un controlador de dominio, ni tiene que ejecutar el servicio DNS de Microsoft. Sin embargo, el servidor DNS que se utilice debe soportar el registro de recursos Localizacin de servicios definido en el documento RFC 2052 y el protocolo de Actualizacin dinmica definido en la RFC 2136. Si no hay disponible en la red un servidor DNS que soporte las nuevas caractersticas, el asistente se ofrecer a instalar y configurar Microsoft DNS Server en el sistema automticamente. Se puede rechazar la oferta a instalar un servidor DNS en otro sistema, pero el nuevo servidor debe ser capaz de acceder al servidor DNS para poder instalar Active Directory y promover el sistema a controlador de dominio.
Instalacin del primer controlador de dominio.

Siguiendo el patrn de un asistente estndar, la instalacin de Active Directory en un servidor es una cuestin de responder a las solicitudes en una secuencia de pantallas. Windows 2000 incorpora vnculos al asistente en la pgina de Active Directory de la pgina principal de Configurar el servidor de Windows 2000. Esta pgina se muestra en el explorador Microsoft Internet Explorer automticamente despus de la instalacin del SO. Esta pgina Web local esta diseada para guiar al administrador a travs de los procesos necesarios para configurar un nuevo servidor mediante preguntas al estilo de los asistentes y vnculos a las herramientas apropiadas para cada tarea. Para instalar el Primer controlador deberemos seguir los siguientes pasos:

Iniciar la Herramienta Configuracin del Servidor desde el men de Herramientas Administrativas. automticamente el Asistente para instalacin de Active Directory despus de que termine la instalacin del sistema operativo.

Figura 22-6. Inicio del asistente de instalacin de Active Directory.

Tipo de Controlador de Dominios: Despus de una pantalla de bienvenida, el Asistente para instalacin pregunta sobre la accin que se va a realizar, basndose en el estado actual de Active Directory en el sistema. Si el servidor ya es un controlador de dominio, el asistente solo proporciona la opcin de degradar el sistema de nuevo a servidor independiente o miembro. En un equipo que no es un controlador de dominio, el asistente muestra la pantalla Tipo de controlador de dominios, la cual pide que se seleccione una de las siguientes opciones:

Controlador de dominio para un nuevo dominio: Instala Active Directory en el servidor y lo designa como el primer controlador de dominio de un nuevo dominio. o Controlador de dominio adicional para un dominio existente: Instala Active Directory en el servidor y replica la informacin del directorio desde un dominio existente.
o

Para instalar el primer servidor Active Directory en la red, se selecciona la opcin Controlador de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS. Crear rbol o dominio secundario. Deberemos elegir el tipo de dominio que queremos configurar de las dos opciones que se presentan en la siguiente pantalla: Figura 22-7. Pantalla para la creacin de un rbol de dominios.

Crear un nuevo rbol de dominios: Configura el nuevo controlador de dominio pare que aloje el primer dominio de un nuevo rbol. o Crear un nuevo dominio secundario en un rbol de dominios existente: Configura el nuevo controlador de dominio para que aloje un hijo de un dominio de un rbol que ya existe. Crear o unir bosque, que permite especificar una de las siguientes opciones: Figura 22-8. Pantalla para la creacin o unin a un bosque.
o

Crear un nuevo bosque de rboles de dominios: Configura el controlador de dominio para que sea la raz de un nuevo bosque de rboles. o Situar este nuevo rbol de dominios en un bosque existente: Configura el controlador de dominio para que aloje el primer dominio de un nuevo rbol en un bosque que ya contiene uno o ms rboles.
o

En este caso hay que seleccionar Crear un nuevo bosque de rboles de dominios, porque el primer controlador de dominio Windows 2000 de la red ser siempre un nuevo dominio, en un nuevo rbol, en un nuevo bosque. A medida que se instalen controladores de dominio adicionales, se pueden utilizar estas mismas opciones para crear otros bosques nuevos o para poblar el bosque existente con rboles y dominios adicionales. Nombre de nuevo Dominio: Para identificar el controlador de dominio en la red se debe especificar un nombre DNS valido para el dominio que se esta creando. Figura 22-9. Pantalla para la creacin de un nuevo dominio.

Nombre de dominio NetBIOS: Despus de introducir un nombre DNS para el dominio, el sistema solicita un equivalente NetBIOS para el nombre del dominio para que los utilicen los clientes que no soporten Active Directory. Los sistemas Windows 2000 todava utilizan el espacio de nombres NetBIOS para sus nombres de

equipo, pero Active Directory utiliza la nomenclatura DNS para los dominios. Windows NT 4 y los sistemas Microsoft Windows 9x utilizan nombres NetBIOS para todos los recursos de la red, incluyendo los dominios. Si se dispone de clientes de nivel inferior en la red (esto es, Windows NT 4, Windows 9x, Microsoft Windows para Trabajo en grupo o Cliente de red Microsoft para sistemas MS-DOS), estos solo sern capaces de ver el nuevo dominio por medio del nombre NetBIOS. La pantalla Nombre de dominio NetBIOS contendr una sugerencia para el nombre, basndose en el nombre DNS especificado, qua se puede utilizar o bien se puede reemplazar con un nombre qua se elija qua tenga 15 caracteres o menos. En nuestro caso utilizaremos el nombre de dominio ESI2.es Figura 22-10. Pantalla para la asignacin de nombre NetBIOS.

Despus de especificar los nombres de dominio, el asistente solicita las ubicaciones de la base de datos, los archivos de registro y el volumen del sistema de Active

Directory. La base de datos de Active Directory contendr los objetos Active Directory y sus propiedades, mientras qua los archivos de registro registran las actividades del servicio de directorio. Los directorios para estos archivos se especifican en la pantalla ubicacin de la base de datos. La ubicacin predeterminada tanto para la base de datos como para los registros es la carpeta %SystemRoot%\Ntds del volumen del sistema, pero se pueden modificar segn nuestras necesidades siendo aconsejable que no residieran en el mismo disco que en sistema operativo Figura 22-11. Pantalla para la ubicacin de la base de datos y del registro.

La pantalla Volumen del sistema compartido permite especificar la ubicacin de lo qua se convertir en el recurso compartido Sysvol del controlador de dominio. El volumen del sistema es un recurso compartido que contiene informacin del dominio que se replica al resto de controladores de dominio de la red. De forma predeterminada, el sistema crea este recurso compartido en la carpeta %SystemRoot%\Sysvol en la unidad de disco del sistema.

La base de datos, los registros y el volumen del sistema de Active Directory tiene que situarse en volmenes que utilicen el sistema de archivos NTFS 5. Si el asistente detecta que alguno de los volmenes escogidos no utiliza NTFS 5, habr que convertirlos o seleccionar otro volumen antes de poder completar el proceso de instalacin de Active Directory. Tambin

resulta aconsejable situarlo en otro disco distinto al del sistema operativo Figura 22-12. Pantalla para la ubicacin del volumen del sistema.

Instalacin de DNS: En este punto, el Asistente para instalacin de Active Directory tiene toda la informacin de configuracin necesaria para instalar Active Directory y promover el servidor a controlador de dominio. El sistema comprueba que los nombres de dominio suministrados no los utiliza ya en servidor DNS a otros equipos de la red. El asistente tambin determina si el servidor DNS que alojara el dominio soporta el protocolo de Actualizacin dinmica. Si el sistema no puede contactar con el servidor DNS especificado en la configuracin TCP/IP cliente del equipo, o si el servidor DNS especificado no es capaz de dar soporte a un dominio Windows 2000, el asistente se ofrece a instalar Microsoft DNS Server y configurarlo para que funcione como servidor autorizado para el dominio. La

pantalla Configurar DNS permite especificar si se desea instalar el servidor DNS o configurar uno personalmente. Finalizacin de la instalacin de Active Directory: Despus de que el asistente contacte con el servidor DNS que proporcionara el servicio localizador para el nuevo dominio, se completa la instalacin y configuracin de Active Directory sin ms introduccin de datos por parte del usuario. El asistente registra todas las actividades que se producen durante el proceso de instalacin en dos archivos llamados Dcpromo.log y Dcpromoui.log, localizados en la carpeta %SystemRoot%\debug. La instalacin puede durar varios minutos, despus de lo cual hay que reiniciar el sistema para que tengan efecto los cambios. El asistente crea una cuenta de administrador para el nuevo dominio utilizando la misma contrasea que tiene la cuenta de administrador local con la que se ha iniciado sesin antes de iniciar la instalacin de Active Directory. Figura 22-13. Pantalla de instalacin de Active Directory.

Objetos de Active Directory.

El cuadro de dilogo principal de Usuarios y equipos de Active Directory contiene muchos de los elementos estndar

de las pantallas de la MMC. El rbol de la consola (a la izquierda) muestra un dominio Active Directory y los objetos contenedor dentro de una pantalla expandible. El panel de resultados (a la derecha) muestra los objetos del contenedor resaltado. El administrador incluye una barra de herramientas especializada que proporciona acceso instantneo a las funciones ms comnmente utilizadas y una barra de descripcin que proporciona informacin sobre el estado del administrador o sobre el objeto resaltado actualmente. El programa muestra las acciones que se pueden realizar sobre cada objeto en el men Accin una vez que se han pulsado los objetos. Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades fsicas (equipos y usuarios), como las entidades lgicas (grupos y unidades organizativas). Modificando el esquema que controla la estructura del servicio de directorio, se pueden crear nuevos tipos de objetos en Active Directory y modificar los atributos de los tipos existentes.
Modo normal y modo avanzado.

De forma predeterminada, Usuarios y equipos de Active Directory opera en modo normal. El modo normal slo muestra los objetos a los que los administradores accedern con mayor probabilidad durante una sesin de mantenimiento de Active Directory tpica. Esto incluye las unidades organizativas que contienen los usuarios y grupos predefinidos creados durante la instalacin de Active Directory y todos los objetos creados por los administradores despus de la instalacin. El modo normal tambin oculta ciertas pestaas de la ventana Propiedades de un objeto,

incluyendo la pestaa Objeto y la pestaa Seguridad que se pueden utilizar para establecer permisos para el objeto.
Dominio: Objeto raz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio que est administrando actualmente el administrador. Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lgicas de objetos equipo, usuario y grupo. Usuario: Representa un usuario de la red y funciona como un almacn de informacin de identificacin y autenticacin. Equipo: Representa un equipo de la red y proporciona la cuenta de mquina necesaria para que el sistema inicie sesin en el dominio. Contacto: Representa un usuario externo al dominio para propsitos especficos como envo de correo electrnico; no proporciona las credenciales necesarias para iniciar sesin en el dominio. Grupo: Objeto contenedor que representa una agrupacin lgica de usuarios, equipos u otros grupos (o los tres) que es independiente de la estructura del rbol de Active Directory. Los grupos pueden contener objetos de diferentes unidades organizativas y dominios. Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta compartida en un sistema Windows 2000. Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora compartida en un sistema Windows 2000.

Sin embargo, cuando se escoge Caractersticas avanzadas en el men Ver del administrador, la pantalla cambia para incluir todos los objetos Active Directory del sistema que representan directivas, registros DNS y otros elementos del servicio de directorio, adems del contenedor LostAndFound. Figura 22-14. Vista del explorador de Active Directory.

Desde esta interfaz se puede consultar informacin sobre los objetos del sistema y controlar el acceso a ellos modificando los permisos asociados. Como el acceso a estos objetos no se requiere con frecuencia, se puede impedir que aparezcan dejando el administrador en modo normal. Sin embargo, cuando haya que modificar los permisos de los objetos estndar como unidades organizativas, usuarios y grupos, habr que activar las Caractersticas avanzadas para acceder a la pestaa Seguridad de la ventana Propiedades de un objeto.
Cambio de dominio.

Se puede utilizar el complemento Usuarios y equipos de Active Directory para administrar cualquier dominio de la red. Para cambiar el dominio que se muestra en el administrador, hay que resaltar la raz o el objeto dominio en el rbol de la consola y escoger Conectar con el dominio en el men Accin. Esto muestra el cuadro de dilogo Conectar con el dominio, donde se puede introducir el nombre del dominio o buscar otro dominio. Figura 22-15. Bsqueda de un dominio usando Active Directory.

En el men Accin tambin se puede escoger Conectar con el controlador de dominio para acceder al dominio seleccionado utilizando un controlador de dominio especifico de la red. A menos que los controladores de dominio no estn sincronizados, la informacin debera ser la misma en todas las replicas, pero algunas veces puede ser til seleccionar un controlador de dominio en una ubicacin diferente para evitar una lenta o cara conexin WAN.
Filtros para simplificar la visualizacin.

Cuando se empieza a poblar Active Directory con nuevos objetos, puede crecer rpidamente a un tamao difcil de manejar. Un elevado nmero de objetos en la pantalla puede dificultar la localizacin del objeto especifico que se necesita. Para evitar que se muestren temporalmente los objetos que no es necesario ver, se puede aplicar un filtro al complemento Usuarios y equipos de Active Directory basndose en los tipos de objetos o basndose en el contenido de atributos de objetos especficos. Figura 22-16. Pantalla de opciones de filtro.

Cuando se escoge Opciones de filtro desde el men Ver, aparece el cuadro de dilogo Opciones de filtro. Aqu se puede optar por mostrar todos los tipos de objetos, seleccionar tipos de objetos especficos a mostrar o crear un filtro personalizado basndose en los atributos de los objetos. Cuando se selecciona la opcin Crear filtro personalizado y se pulsa el botn Personalizar, se muestra un cuadro de dilogo Buscar Bsqueda personalizada. En este cuadro de dilogo se puede seleccionar un tipo de objeto, escoger un atributo de ese objeto y especificar un valor completo o parcial para ese atributo.
Bsqueda de objetos.

Tambin se pueden buscar objetos especficos en todo Active Directory sin modificar lo que muestra el administrador. Si se selecciona el objeto dominio y se escoge Buscar en el men Accin, se muestra el. cuadro de dilogo Buscar Usuarios, contactos y grupos, en el cual se puede especificar el tipo de objeto que se desea localizar, un dominio

especfico o todo el directorio y el nombre y descripcin del objeto. Figura 22-17. Pantalla de bsqueda de equipos.

El programa busca entonces en el CG que se cre automticamente en el primer controlador del dominio para localizar el objeto deseado. El CG es un subconjunto de todo Active Directory que slo contiene los atributos ms comnmente utilizados, lo que facilita la bsqueda de un objeto especfico. Sin el CG, la tarea de buscar en una instalacin Active Directory que incluye controladores de dominio en ubicaciones remotas podra requerir un extenso trfico WAN que es tan lento como caro. La pestaa Opciones avanzadas del cuadro de dialogo Buscar Usuarios, contactos y grupos utiliza la misma interfaz que la caracterstica Filtro personalizado. De la misma forma, se pueden buscar objetos basndose en sus atributos. Si un atributo que se selecciona no es parte del CG, la bsqueda proceder inspeccionando el contenido real de los controladores de dominio de la red. En algunos casos, esto puede ralentizar considerablemente el proceso de bsqueda.
Creacin de unidades organizativas.

El esquema del servicio de directorio establece qu objetos se pueden crear en un dominio Active Directory, dnde se pueden ubicar y qu atributos se permite que tengan. Usuarios y equipos de Active Directory solo permite crear objetos en las ubicaciones apropiadas para el tipo de objeto. Por ejemplo, no se puede crear un objeto unidad organizativa (OU) subordinada a un objeto usuario, pero un objeto usuario puede subordinarse a un objeto OU. Sin embargo, las OU se pueden subordinar unas a otras y el nmero de capas de OU que se pueden crear en el dominio Active Directory es ilimitado. Para crear una OU hay que pulsar el objeto dominio u otra OU en el panel de mbito o en el de resultados de Usuarios y equipos de Active Directory y escoger Nuevo en el men Accin y seleccionar Unidad organizativa. tambin se puede pulsar el botn Crear un nuevo departamento en la barra de herramientas de Usuarios y equipos de Active Directory para conseguir el mismo efecto. despus de especificar un nombre para el nuevo objeto en el cuadro de dilogo Nuevo objeto, el administrador crea un icono con el nombre apropiado y lo inserta en la pantalla de Usuarios y equipos de Active Directory. Una vez que se ha creado una OU es posible poblarla con otros objetos, como usuarios, equipos, grupos y otras OU, o se pueden modificar sus atributos abriendo la ventana Propiedades desde el men Accin.
Configuracin de los objetos OU.

La ventana Propiedades de una OU consta de tres pestaas. La pestaa General y la pestaa Administrado por permiten especificar informacin sobre la OU como una frase descriptiva y una direccin para la ubicacin del objeto,

adems de la identidad de la persona responsable de administrar la OU. La informacin que se incluye en estas pestaas depende del criterio utilizado para disear el Active Directory. Una OU puede estar asociada a un departamento particular dentro de una organizacin, una ubicacin fsica como una habitacin, una planta o un edificio, o incluso una sucursal en una ciudad o pas particular. Figura 22-18. Pantalla de Propiedades de controladores de dominio.

La pestaa Directiva de grupo es donde se crean y administran los vnculos a los objetos directiva de grupo de Active Directory. Los objetos directiva de grupo son colecciones de parmetros del sistema que controlan la apariencia y la funcionalidad de los clientes de la red. Cuando se aplican directivas de grupo a OU, dominios y sitios, todos los objetos contenidos en esas entidades heredan los parmetros del sistema. Las OU se pueden enlazar a mltiples objetos directiva de grupo en esta pestaa y, se pueden controlar las prioridades con que se aplican las directivas. Cuando se utilice el botn Modificar de la pestaa directiva de grupo para modificar un objeto directiva de

grupo, Usuarios y equipos de Active Directory ejecuta el complemento MMC directiva de grupo. Cuando se activan las Caractersticas avanzadas en el men Ver de Usuarios y equipos de Active Directory, la ventana Propiedades de la OU tambin muestra la pestaa Objeto y la pestaa Seguridad. La pestaa Objeto muestra la ruta de acceso completa al objeto en la jerarqua del dominio, las fechas y horas de su creacin y ltima modificacin y los nmeros de secuencia de actualizacin de la creacin y la ltima modificacin. Figura 22-19. Pantalla de Propiedades de controladores de dominio.

La pestaa Seguridad permite controlar el acceso al objeto asignando permisos a usuarios y grupos. Con la casilla de verificacin Hacer posible que los permisos heredables se propaguen, tambin se puede controlar si el objeto hereda los permisos que han sido asignados a su objeto primario. El botn Avanzada de la pestaa Seguridad proporciona acceso al cuadro de dilogo Configuracin de control de

acceso desde el que se puede controlar el acceso al objeto con un detalle mucho mayor. En el cuadro de dilogo Seguridad, se puede especificar si usuarios y grupos especficos tienen permiso para crear y eliminar objetos secundarios en la OU, pero esta pantalla permite especificar que tipos de objetos se pueden crear y eliminar.
Administracin remota de equipos.

Usuarios y equipos de Active Directory proporciona acceso administrativo a equipos remotos representados por objetos en Active Directory. Cuando se pulsa un objeto equipo y se escoge Administrar en el men Accin, el administrador abre el complemento MMC Administracin de equipos con el equipo como foco. Con esta caracterstica, se pueden leer los registros de sucesos del sistema remoto, manipular sus servicios y realizar cualquiera del resto de las tareas que proporciona el complemento administracin de equipos.
Publicacin de carpetas compartidas.

Los objetos carpeta compartida permiten publicar directorios de red compartidos en Active Directory, lo que permite a los usuarios acceder a ellos directamente explorando el Entorno de red del objeto. Esto elimina la necesidad de que los usuarios conozcan la ubicacin exacta de la carpeta compartida. La creacin de un objeto carpeta compartida no crea realmente el recurso compartido; hay que hacer esto manualmente en la pestaa Compartir de la ventana Propiedades de la unidad de disco o de la carpeta en la ventana del Explorador de Windows o en la ventana Mi PC. tambin se pueden crear objetos carpeta compartida para carpetas del Sistema de archivos distribuidos (DFS, Distributed File Sytem).

Para crear un objeto carpeta compartida, hay que pulsar un objeto contenedor en Usuarios y equipos de Active Directory, escoger Nuevo en el men Accin y seleccionar Carpeta compartida. En el cuadro de dialogo Nuevo objeto, hay que especificar un nombre para el nuevo objeto a introducir la ruta de acceso UNC al recurso compartido. despus de que el administrador cree el objeto, es posible configurarlo utilizando las pestaas de la ventana Propiedades del objeto. Los permisos que se establecen en la pestaa Seguridad de la ventana Propiedades de la carpeta compartida no controlan el acceso a la propia carpeta compartida, solo al objeto carpeta compartida. Para acceder a la carpeta por medio de Active Directory, un usuario debe tener permiso para acceder tanto al recurso compartido como al objeto. Lo mismo es cierto para un objeto impresora.
Publicacin de impresoras.

La creacin de objetos impresora permite a los usuarios acceder a las impresoras a travs de Active Directory prcticamente de la misma forma en que acceden a las carpetas compartidas. Un objeto impresora se crea como se hara con un objeto carpeta compartida, seleccionando un contenedor y escogiendo Nuevo\Impresora en el men Accin y especificando la ruta de acceso UNC a la impresora compartida. El administrador crea entonces el objeto, combinando el nombre del sistema anfitrin y el del recurso compartido para formar el nombre del objeto. Figura 22-20. Pantalla impresoras en red. para la comparticin de

Traslado, cambio de nombre y eliminacin de objetos.

Una vez que se han creado objetos en Active Directory, se puede utilizar Usuarios y equipos de Active Directory para remodelar el rbol en cualquier momento trasladando objetos a diferentes contenedores, cambindoles el nombre y eliminndolos. El men Accin de casi cualquier objeto Active Directory contiene un comando Mover, que abre un cuadro de dilogo en el que se puede buscar un contenedor donde situar el objeto. Tambin se pueden seleccionar varios objetos manteniendo presionada la tecla CTRL mientras se pulsa en ellos con el ratn y movindolos conjuntamente al mismo contenedor. Cuando se traslada un objeto contenedor a una nueva ubicacin, se trasladan automticamente todos los objetos incluidos en el contenedor al mismo tiempo y tambin se modifican las referencias a esos objetos en el resto de objetos de Active Directory. Si, por ejemplo, el Usuario X es un miembro del Grupo Y y se traslada la unidad organizativa que contiene el objeto usuario de X a una nueva ubicacin, X sigue siendo miembro de Y, y la lista de miembros del Grupo Y se actualiza automticamente para mostrar a X en su nueva ubicacin. De la misma forma, cuando se cambia el nombre de un objeto utilizando el comando Cambiar nombre del men Accin o pulsando sobre el objeto una vez, todas las referencias a ese objeto a lo largo de Active Directory

Cambian para reflejar el nuevo nombre. Cuando se elimina un objeto contenedor, todos los objetos incluidos en el contenedor se eliminan tambin.

Crear usuarios y grupos, unir un equipo a un dominio y perfiles mviles

Este artculo forma parte del: [Taller]Instalacin/Configuracin y Teora de Servicios en Red .

Esta vez vanos hablar sobre como crear unidades administrativas, crear usuarios y grupos, unir un equipo a un existente y crear perfiles mviles para los usuarios del Active Directory. El tutorial esta desarrollado sobre Windows Server 2008, el proceso es parecido para Windows Server 2003.

Crear usuarios y grupos Vamos a Inicio --> Herramientas Administrativas --> Usuarios y Equipos de Active Directory

Para administrar mejor los usuarios y los grupos podemos crear unidades para los grupos y los usuarios.

Clic derecho sobre el nombre del dominio --> Nuevo --> Unidad Organizativa --> Y creamos una unidad para otra para Grupos.

Tendremos algo as:

Ahora imaginmonos que estamos dentro de una empresa y los empleados trabajan en distintos departamentos Contabilidad, Recursos Humanos y Direccin. Procedemos a crear los grupos. Hacemos clic derecho sobre la unidad organizativa que hemos creado anterior llamada Grupos --> Nuevo --> Grupos

Creamos nuestros grupos.

Repetimos el proceso con los dems grupos.

El mbito de Grupo y el Tipo de Grupo los ajustamos a nuestra necesidad, en mi caso lo dejar por defecto.

Ahora que ya tenemos creados los grupos, vamos a crear los usuarios del dominio. Clic derecho sobre la unidad organizativa Usuarios --> Nuevo --> Usuarios

Rellenamos los datos pedidos.

Elegimos la contrasea del usuarios (debe cumplir los requisitos de seguridad, podis ponerle: ElHacker.net1

Y finalizamos.

Para hacer las pruebas crearemos al menos 3 usuarios.

Agregar usuario a un grupo Seleccionamos uno de nuestros usuario --> Clic derecho sobre l --> Propriedades

Una vez abierta la ventana de propriedades, vamos a la pestaa Miembro de .

Hacemos clic en Agregar. A este usuarios vamos a unirle al grupo Recursos Humanos. Despus de escribir el grupo le damos a Comprobar Nombres.

Ahora si observamos la ventana de Miembro de, veremos que pertenece tambin el grupo Recursos Humanos.

Eso es todo en cuanto a Grupos de Usuarios.

Creacin de Perfiles Mviles

Creamos una carpeta llamada Perfiles dentro de nuestro servidor, yo la crear en el Disco Local C. Hacemos c sobre esta carpeta --> Propriedades --> Uso compartido avanzado

Despus marcamos la casilla de Compartir y hacemos clic en Permisos --> Seleccionamos Todos y marcam Total

Aplicamos los cambios y Aceptamos. Ahora vamos a Usuarios y Equipos de Active Directory --> Unidad Organizativa "Usuarios" --> Clic derecho usuario --> Pestaa Perfil

En Ruta de Acceso al Perfil, ponemos la IP del Servidor + la carpeta Perfiles + %username% Hacemos clic en Aplicar y Aceptar.

Unir un equipo a un dominio

Arrancamos el equipo que queremos unir al dominio. Primero debemos configurar el protocolo TCP/IP. Vamos a Inicio --> Panel de Control --> Conexiones de Red derecho sobre nuestra conexin --> Propriedades --> Protocolo TCP/IP --> Y configuramos el equipo. Nota: E debemos poner la IP del servidor con Active Directory.

Para comprobar que la configuracin ha surgido efecto es recomendable reiniciar el equipo y despus hacer un servidor.

Ahora toca unir el equipo al dominio. Vamos a Inicio --> Panel de Control --> Sistema --> Nombre de Equipo --> Cambiar --> Y ponemos el nombr y el nombre de dominio.

Hacemos clic en Aceptar y si todo ha salido bien no deber mostrar un mensaje como el de abajo.

Donde ponemos el nombre de inicio de sesin de algunos de nuestros usuarios y su contrasea. Clic en Acepta la bienvenida al dominio.

Reiniciamos el equipo y al iniciar tendremos activada el inicio de sesin clsico por usuarios.

Iniciamos sesin.

Ahora podemos hacer algn cambio como cambiar el fondo de escritorio, guardar algn fichero en Mis Docum comprobar que funciona el perfil mvil. Al reiniciar e iniciar sesin con ese usuario veremos que no se han pe cambios.

Si vamos a la carpeta Perfiles creada en el servidor podemos ver dentro una carpeta que tendr el nombre del el que hemos iniciado sesin anteriormente, en esa carpeta es donde se guardan las configuraciones y archivos usuario.