Manual Redes Modulo3

Carrera: Administracion de Redes
Docente: Fernando Luis Choque
Administracin
de Redes
Modulo III Configuracin de
Servidores
Material de apoyo para el alumno - 2008
para uso exclusivo del Instituto Argentino de Computacin, Salta
Instituto Argentino de Computacin Tel 4215211 - Salta 1

Modulo III Configuracin de Servidores Seguridad en Networking
1 horas semanales
PROGRAMA Carga horaria
En este modulo se presentara al alumno las tcnicas de ataque y seguridad que
Fundamentacion
deber implementar una empresa con respecto a su red conectada desde
Internet.
Con el dictado de esta materia se busca el que alumno conozca el mbito de
funcionamiento de hackers y fallas de seguridad en la red
Tambin se harn el estudio las tcnicas de vulnerabilidad.
Durante este curso el alumno aprender los siguientes puntos
Objetivos
1. Seguridad en redes de altas prestaciones
2. Elementos de hardware para implementaciones de seguridad
3. tcnicas de Hackers
Pilares bsicos de la seguridad
Temario
Polticas de Seguridad
Diseo de Redes
Dispositivos de Seguridad
Seguridad en la Red
Seguridad Fsica
Hackers
Herramientas
Criptografa
Dudas, problemas y curiosidades
Examen practico donde el alumno deber poner en practica tcnicas de
Criterios de
seguridad ante ataques de virus, troyanos, antispoofing, etc.
evaluacin
Se aprobara la materia con el 70% del puntaje total (100%) sobre la totalidad del
trabajo realizado
No existen requisitos para el cursado de esta materia.
Requisitos para el
cursado
Apuntes del Profesor.
Bibliografa Bsica y
Complementaria Algoritmos y programas de hacking
Tutoriales disponibles en Internet (Wikipedia, Portales de informtica etc.)
Ver planificacin
CLASE A CLASE

Modulo III Configuracin de Servidores Tecnologa de Servidores
1 horas semanales
Curso para conocer el hardware de un Servidor segn las prestaciones de este.
Fundamentacion
Con el dictado de esta materia se busca el que alumno pueda seleccionar los
componentes de un servidor y aprender a configurarlos. Se har hincapi en las
tcnicas de memoria RAM y RAID
Objetivos
4. Instalacin de discos duros de gran capacidad
5. tcnicas de prevencin a fallas de servidores
6. Arquitectura de Servidores.
7. Tecnologas de servicios a clientes
Hardware de Servidores
Temario
Buses, Procesadores y Memoria RAM
Multiprocesamiento
Almacenamiento de Discos
Arquitectura de I/O
Transferencia de Datos
Tolerancia a Fallas
Examen terico del tipo mltiple choice. Las preguntas estarn dirigidas al
Criterios de
aspecto tcnico de los componentes que conforman los servidores y sus
evaluacin
diferentes componentes.
Se aprobara la materia con el 70% del puntaje total (100%) sobre la totalidad de
las preguntas.
No existen requisitos para el cursado de esta materia, pero es deseable que el
Requisitos para el
alumno cuente con conocimientos bsicos de hardware de PC
cursado
Bibliografa Bsica y
Complementaria Tutoriales disponibles en Internet (Wikipedia, Portales de informtica etc.)
Ver planificacin
CLASE A CLASE

Modulo III Configuracin de Servidores Administracin de Active Directory

2 horas semanales
Curso avanzado para implementar sistemas operativos sobre Servidores.
Fundamentacion
Con el dictado de esta materia se busca el que alumno aprenda a configurar un
servidor bajo entorno Windows y la creacin de dominios, as como la
implementacin de sus servicios y la administracin avanzada de los usuarios.
Objetivos
1. Creacin de Dominios
2. Estructuras de administracin de un servidor Windows 2003 bajo Active
Directory
3. Administracin de usuarios y politicas de seguridad
4. Creacin de servidores de correo, archivos y de pagina Web.
Introduccin a Sistemas Operativos de Red Microsoft
Temario
Active Directory
Controladores de Dominio
Administracin de Usuarios en Active Directory
Administracin de Usuarios en A.D. Avanzada
Directivas de Grupo
Sistema de Archivo y Almacenamiento
Planificacin de un servidor de impresin
Servidores Intranet
Administracin de redes
Examen practico frente a la PC. Las situaciones sern tomadas de un entorno
Criterios de
prctico tales como configurar el servidor, creacin de cuentas de usuario,
evaluacin
grupos y directivas.
Se aprobara la materia con el 70% del puntaje total (100%) sobre la totalidad de
las tareas realizadas
Haber cursado la materia anterior correlativa Mantenimiento de redes.
Requisitos para el
cursado
Bibliografa Bsica y
Complementaria Tutoriales disponibles en Internet (Wikipedia, Portales de informtica etc.)
Ver planificacin
CLASE A CLASE

Modulo III Configuracin de Servidores Seguridad en Networking
Act. Temario Contenido Actividades (ejercicios)
Pilares bsicos de Elementos de Proteccin Qu es la seguridad? Confidencialidad. Integridad - Disponibilidad - Autenticidad. Que
1 la seguridad Proteger en una red?. De qu nos protegemos?. Factores humanos. Factores no humanos
Fallas de seguridad tipicas
Politicas de Recursos de la red Creacin de un plan de seguridad. Responsabilidades y Riesgos. Procedimientos. Quin
2 Seguridad utilizar el recurso?. Cul es el empleo de cada recurso?. Cules son las obligaciones de
El roldel administrador los usuarios? Quin aprueba el uso de un recurso? - El administrador. Incidentes -
Estrategias de respuestas. Modelos de polticas - Modelo Bell-Lapadula (BLP) -Modelo de
Clark-Wilson
Diseo de Redes Zonas Desmilitarizadas Redes seguras. Topologas. Protocolos de enrutamiento. Qu es un DMZ?. Proteger los
3 dispositivos. VPN (red privada virtual). Tipos de VPN. Seguridad en VPN
Redes Privadas
Dispositivos de Hardware de seguridad Filtrado de paquetes.Plataformas. IDS e IPS
4 Seguridad
Seguridad en la Amenazas Ataques Internos (AI). Mtodos de prevencin. Ataques Externos (AE). IP Spoofing. AXFR.
5 Red Amenazas Humanas (AH)
Vulnerabilidades
Qu es una vulnerabilidad? Ejemplo 1: Celulares Ejemplo 2: Alarmas Ejemplo 3: Telefona.
Grace Murray Hopper (1906-1992). Buffer overflows. Ataques DoS. Exploits
Seguridad Fsica Centro de Datos Introduccin. Los accesos. Datacenter. Seguridad contra desastres. Electricidad Incendios.
6 Temperatura. Backups. Redundancia. Warchalking. Acceso fsico al hardware. Cmaras
Backups de seguridad. Qu es trashing?. Qu son los keycatchers?.
Hackers Historia de Hackers Vinton Cerf - *Robert Morris. Hackers telefnicos. Joe Engressia - John Draper - Oak
7 Toebark - Berkeley Blue - Kevin Poulsen. Hackers, en la actualidad. El ataque Mitnick.
tcnicas mas populares Identificacin - Verificacin - Ataque - Fin de la tcnica
Herramientas Herramientas de red Netcat. Escaneadores de puertos. NMAP. Anlisis por Web. Pen Test. Software malicioso
8 (malware). Comercio electrnico. Poltica de control de acceso. Trabajo remoto.
Administracin de claves. Criptogrficas. Derecho de propiedad intelectual
Criptografa Tcnicas de encriptacin La importancia de la codificacin.. El disco de Alberti. Criptografa moderna, simtrica y
9 asimtrica. Anillos y certificados. Firma digital. Certificados digitales. Validez y Emisin.
Seguridad en entronos Protocolos de seguridad. Secure Socket Layer. S-http. Transport Layer Security. Secure
digitales Electronic Transaction.
Dudas, problemas Preguntas tipicas sobre Es posible hackear un correo electrnico? Es posible hackear una pgina? Es posible
10 y curiosidades seguridad entrar en la NASA,el Pentgono, etc.? Cmo hacemos para ser un hacker? Podemos
comprar cosas con tarjetas de otros? Podemos llamar gratis? Firewall de soft o de hard?
Los exploits son legales? Linux o Windows? Antivirus Online Antitrojanos/spyware online.
Escneres de puertos online. Foros de seguridad
Repaso Unificacin de los temas Analsis del Entorno de Seguridad de una empresa. Planificacin y documentacin.
11 tratados Deteccin de ataques
Examen Examen mltiple Choice Temario similar a la clase de repaso
12
Modulo III Configuracin de Servidores Tecnologa de Servidores

Introduccin a Tipos de Servidores Tipos de Servidores: de Dominio, de Seguridad, de Datos, de Base de Datos, de Correos,
1 Servidores de Internet. Aplicaciones de Servidores. Puntos fuertes y Puntos dbiles.
Arquitectura Cliente-Servidor
La Arquitectura Cliente Servidor Requerimientos de Hardware
Introduccin a Dispositivos crticos Puntos crticos en la planificacin de un Servidor. Microprocesadores. Buses.
2 Hardware de
Servidores Dispositivos de almacenamiento. Introduccin a las tecnologas CISC y RISC
Buses Tipos de Buses Bus de Datos, Direcciones y Control. Dual Independent BUS (DIB). GTL+ Bus. Frontside /
3 BackSide Bus. Velocidad de Transferencia.
Tecnologas
Procesadores Tipos de Procesadores Componentes de un Procesador. Terminologa de Arquitectura y de Operaciones. CISC y
4 RISC. Procesadores Intel: Similitudes y Diferencias en Arquitecturas. Multiprocesamiento
simetrico y distribuido. Chipsets. Arquitecturas Paralelas.
Memoria RAM Memoria Tecnologa de RAM. DRAM vs. SRAM. Componentes de una DRAM. Bancos de Memoria.
5 Paridad y ECC. Interleaving.
Cache
Principios Bsicos. Componentes fundamentales. Niveles de Cache. Performance. Modo
de Operacin Bsico. Tamaos. Lectura: Arquitecturas Look Aside y Look Through.
Escritura: Arquitecturas Write Through y Write Back. Protocolo MESI.
Multiprocesamiento SMP Introduccin. Tecnologas SMP y AMP. Topologas. Multiprocesamiento con Intel.
6 Arquitectura de 8 Vas.
AMP
Almacenamiento SCSI Arquitectura del Bus. Evolucin. SCSI Singled-Ended y Diferencial. Ancho del Bus.
7 de Discos Velocidad. Compatibilidad. Operaciones Secuenciales y Aleatorias. Hot Plug. Ultra2 y

Arreglo de Discos Ultra3.
Discos Lgicos. Drive nico y arreglos. RAID. Niveles. On-line spare. Controladores:
Caractersticas. Almacenamiento masivo externo. Fibre Channel.
Arquitectura de I/O Buses de Expansin Comparacin: ISA - EISA - PCI. Bus PCI. Mltiple bus PCI. PCI-X: Caractersticas.
8 Arquitectura PCI-X. Ancho de Banda de PCI.
Velocidades requeridas en
un Servidor
Transferencia de Tecnologas de Mtodos de Transporte de Datos. Memoria Compartida. I/O Programada. DMA. PCI Bus
9 Datos Motherboards Master. Anchos de Banda Requeridos y Disponibles.
Velocidades requeridas en
un Servidor
Tolerancia a Fallas Prevencin de Fallas Caractersticas globales de Alta Disponibilidad. Prevencin de Fallas. Tolerancia a Fallas.
10 Redundancias. ECC. PCI Hot Plug.
Servidores Espejo
Repaso Unificacin de los temas Anlisis de los puntos mas fuertes en la seleccin de un Servidor
11 tratados
Examen Examen mltiple Choice Temario similar a la clase de repaso
12
Modulo III Configuracin de Servidores Administracin de Active Directory

1 Introduccin a Instalacin de Windows 2003 Introduccin a Windows 2003. Conceptos de servidores de dominio. Productos Windows
Sistemas 2K: Tipos y requerimientos. Instalacin y Preparacin de servidores de dominio. Particin
Operativos de Red de discos. Nombre del Servidor.
Microsoft
Consola de Servidor. Tipos de licencias en servidores. Visor de sucesos. Administracin de
discos. Sistemas de Seguridad.
2 Active Directory Creacin de Dominios Introduccin a Active Directory. Dominios. Catalogo Global. rboles de dominio. Bosques
de dominio. Relaciones de Confianza.
Estructura de A.D.
3 Instalacin de Creacin Controladores Creacin de Controladores de dominio. Creacin de unidades organizativas. Sitios.
Controladores de Replicas de Dominio. Bsquedas de objetos en el catalogo global.
Dominio
4 Administracin de Unidades Organizativas Creacin de cuentas de usuarios. Creacin de cuentas de equipo. Propiedades de las
Usuarios en Active cuentas de usuario.
Directory Cuentas de Usuario
Conexin de Usuarios. Configuracin mediante XP y W2K
5 Directivas de Creacin de Perfiles Perfiles locales y perfiles moviles.
Seguridad
Administracin de Plantillas Administracin de cuentas. Directivas de Seguridad. Plantillas Administrativas
de usuarios
6 Directivas de Creacin de grupos locales Creacin de Grupos de usuarios. Administracin de cuentas de grupo predefinidas. Tipos
Grupo de grupos: globales y locales. mbito de grupos. Herencia. Directivas en el equipo local.
Creacin de grupos globales Apagado
7 Sistema de Volumen de Archivos Sistema de Archivos de Windows 2003. Volumen de archivos compartidos. Sistema de
Archivo y compartidos carpetas compartidas. Acceso a recursos compartidos
Almacenamiento
8 Planificacin de un Instalacin y configuracin de Instalacin de impresoras de red. Tipos de impresoras. Configurar una impresora cliente.
servidor de Impresoras Configurar una impresora en el servidor. Administracin de documentos. Notificacin al
impresin cliente.
Instalacin y configuracin de
Server Printers
9 Servidores Intranet Planificacin de un servidor Intranet e Internet. Servidor de Internet. Servidor Web. Definiciones antes de configurar.
WEB Extensiones. Servidor Web Predeterminado. Directorios Virtuales
Planificacin de un servidor Funciones de un servidor FTP. Instalacin de un FTP. Formas de acceso. Configuracin
FTP del servidor. Sitios FTP predeterminado
10 Administracin de Planificacin de Redes Funciones del administrador. Nodos de una red. Escaneo de la red utilizando software
redes especifico.
AdRem. Administracin grafica de recursos. Diseo y presentacin de redes. Planificacin
de redes en active Directory. Documentacin de recursos.
Administracin de proyectos
11 Repaso Unificacin de los temas Creacin del servidor basado en Active Director. Configuracin de cuentas de correo.
tratados
12 Examen Practico en PC Temario similar a la clase de repaso

1
Win2003
Caracteristicas de Windows 2003
Caractersticas de las versiones de Windows 2003
Windows Server 2003 fue diseado para ser utilizado como servidor en una red de computadoras o como estacion de trabajo y es,
hasta el momento, el sistema operativo ms moderno, estable, seguro, vigoroso, con mayor rendimiento, escalable y de fcil uso que
ha construido Microsoft. A continuacin describiremos alguna de sus caractersticas:
Seguridad: cuando decimos ms seguro hacemos referencia a que Windows Server 2003 ha trabajado duro para conseguir
que el sistema sea menos proclive a accesos no deseados, provenientes de la red interna o de Internet.
Mayor rendimiento: cuando hablamos de rendimiento hacemos referencia a que con igual cantidad de recursos de hardware
disponibles en un equipo con Windows 2000 Server (su antecesor) y Windows Server 2003, ste ltimo ser capaz de
realizar mayor cantidad de tareas e insumir menos recursos (memoria o capacidad de procesamiento).
Escalabilidad: otras de sus caractersticas es su escalabilidad, lo que le permite adaptarse a cualquier tipo de organizacin
(pequea, mediana o grande) y obviamente soportar expansiones futuras. Mediante Windows Server 2003, podemos crear
una red con unas pocas PC, o con miles de computadoras, situadas en un mismo lugar fsico o en reas geogrficas
distantes. Todo depender de nuestras necesidades y de la infraestructura que estemos dispuestos a montar.
Facilidad de uso: configurar y administrar Windows Server 2003 nunca ha si-do tan fcil, por ejemplo el Asistente para
configurar el servidor dispone de ayudantes que nos guan paso a paso para configurar los servicios que presta el servidor.
Incluso Windows 2003 bajar por s slo desde Internet las actualizaciones y parches de seguridad que vayan apareciendo.
Historia de Servidores Microsoft

Windows Server es el resultado de la evolucin y perfeccionamiento de los sistemas operativos creados por Microsoft que lo
predecedieron. Para hacer un poco de historia:
El primer sistema operativo para servidor creado por Microsoft apareci en 1993 (fue Windows NT 3.1 Server). Luego le siguieron las
versiones 3.5 y 3.51. Ms tarde, en 1996, se lanz Windows NT 4.0 Server.
En el ao 2000 apareci Windows 2000 Server. Adems se incorporaron dos nuevas versiones para aplicaciones ms sofisticadas,
ellas fueron Windows 2000 Advanced Server y Windows 2000 Datacenter Server.
En el ao 2003 emergi Windows Server 2003 en sus versiones: edicin estndar (Standard Edition), edicin empresarial (Enterprise
Edition), edicin centro de datos (Datacenter Edition), edicin Web (Web Edition).
Familia De Ediciones
Existen distintas versiones de Windows Server, cada una de ellas fue pensada para trabajar en un mbito particular. A continuacin
describimos las caractersticas y el campo de aplicacin de cada una de ellas:
Edicin Estndar
Un servidor que tiene instalado Windows Server 2003 Standard Edition permite montar una red en pequeas y medianas empresas.
Tambin podr ser usado en mbitos reducidos de una gran empresa, por ejemplo para satisfacer los requerimientos de un
departamento. La edicin Standard es la ms usada y difundida, por ende nuestro libro se centrar particularmente en ella. No
obstante, si nuestra necesidad es afianzarnos en cualquiera de las otras versiones, lo que aprendamos aqu, nos servir y ser de
aplicacin plena en las otras ediciones, pues la interfaz y las herramientas son esencialmente las mismas.
Los requisitos para instalar y usar la Edicin Estndar son los siguientes:
Espacio en disco duro: 1,5 GB de espacio libre en disco duro. No obstante se recomienda disponer de mucho ms espacio,
tengamos en cuenta que luego sobre el sistema operativo se instalan aplicaciones.
Memoria RAM: 128 MB de RAM (como mnimo). No obstante se recomienda usar 256 MB de RAM. El mximo de memoria RAM
que puede soportar es de 4 GB.
Procesador (CPU): un procesador de 133 Mhz (como mnimo). No obstante se recomienda usar un procesador de 550 Mhz. En
sistemas de multiprocesadores (multiprocesamiento simtrico) el mximo de procesadores que puede soportar es de 4. Los
procesadores (CPU) que soporta Windows Server 2003 Edicin Estndar son de 32 bits, es decir los mismos que usan
actualmente las PC comunes, por ejemplo Intel Pentium o AMD.
Edicin Empresarial
Un servidor con Enterprise Edition dispone de todas las funcionalidades de Windows Server 2003 Standard Edition, pero la edicin
empresarial es ms escalable, por ejemplo soporta el uso de hardware ms potente, o la posibilidad de utilizar clusters de hasta 8
nodos.

Los nodos son computadoras (Servidores) que se vinculan entre s para trabajar en grupo y de este modo mejoran su rendimiento,
adems de lograr redundancia ante fallos que se traduce en mayor disponibilidad. Cuando en un nodo se realizan labores de
mantenimiento, o se cae debido a una falla en su funcionamiento, automticamente entra a trabajar otro nodo para cubrir las labores y
ser-vicios que prestaba el nodo cado.
Un servidor con Windows Server 2003 Enterprise Edition soporta mayor rendimiento, disponibilidad y uso intensivo que un servidor
con Standard Edition. Existen dos versiones de Windows Server 2003 Enterprise Edition: para procesadores de 32 bits (son los
procesadores que usan las PC actualmente) y otra versin para equipos con procesadores de 64 bits (procesado-res Intel Itanium).
Los requisitos para instalar y usar Enterprise Edition difieren con la estandar y son los siguientes:
2 GB para equipos que poseen procesadores de 64 bits.
Memoria RAM: 256 MB de RAM. El mximo de memoria RAM que puede soportar es de 32 GB en equipos que poseen
procesadores de 32 bits, o de 64 GB en equipos que poseen procesadores de 64 bits.
Procesador (CPU): se recomienda usar un procesador de 733 Mhz. En equipos que poseen procesadores de 64 bits (Intel
Itanium) el procesador tendr que ser de 733 Mhz (como mnimo). En sistemas de multi-procesadores (multiprocesamiento
simtrico) el mximo de procesadores que puede soportar es de 8.
Edicin Centro de Datos

Un servidor que tiene instalado Windows Server 2003 Datacenter Edition podr ser usado para satisfacer los requerimientos de
grandes empresas o corporaciones en las que se requiere satisfacer un caudal enorme de clientes o transacciones simultaneas.
Mediante la edicin Datacenter se puede hacer frente a demandas de gran volumen donde el tiempo de respuesta es crtico, tal es el
caso de aplicaciones Datawarehouse. Datacenter es el ms escalable (ampliable), disponible y seguro de todas las ediciones de
Windows Server 2003 que ofrece Microsoft.
Los requerimientos son idnticos a la versin estndar pero la memoria RAM debera ser de 512 MB de RAM (como mnimo). No
obstante se recomienda usar 1 GB de RAM. El mximo de memoria RAM que puede soportar es de 64 GB en equipos que poseen
procesadores de 32 bits, o de 512 GB en equipos que poseen procesadores de 64 bits.
Edicin Web
Un servidor que tiene instalado Windows Server 2003 Web Edition est pensado para trabajar concretamente como servidor Web, o
desarrollar aplicaciones Web, por ello su bajo costo econmico. Por ejemplo podra ser til para un proveedor de Internet que ofrece
alojamiento de pginas Web Hosting.
Un servidor con Windows Server 2003 Web Edition podr desempear las siguientes funciones:
Servidor Web mediante IIS 6.0 (Internet Information Server).
Servidor WINS. Servidor DHCP. Servidor DNS.
Los requerimientos son menores a la versin estandar
Tipos de Servidores en Windows 2003
Controlador de Dominio
A los servidores que son parte activa del un dominio, es decir, aquellos que trabajan controlan el acceso entre los recursos y los
usuarios, se denominan controladores de dominio. Por ejemplo, un controlador de dominio se encarga de validar el acceso de los
usuarios al una red con dominio, administra sus claves de ingreso, el acceso a recursos tales como archivos e impresoras, caducidad
de las cuentas de usuario, ect.
Servidores Replica de dominio

Por cuestiones de segurida, es obio que no se debe dejar al azar el funcionamiento de un controlador de dominio. Cuando se estudia
el cableado estructurado de redes podemos ver el nivel de seguridad que se da a los servidores, pero hay que tener en cuenta que el
propio servidor puede tener fallas logicas y caerse. A fin de evitar que toda la informacin de seguridad de una red se encuentre en
una sola ubicacin se definen replicas de dominio, que no son otra cosa que servidores que funcionan independientemente del
controlador de dominio y lo reemplazan en caso de falla de este, de forma que la red tenga un funcionamiento permanente
Servidor miembro
A los servidores que son parte de un dominio, pero que no trabajan como controladores de dominio se los denomina servidores
miembro. Por ejemplo, un servidor de archivos e impresoras, o un servidor de acceso remoto, o un servidor Web son servidores
miembro, pues estn dentro del dominio, pero no son controladores de dominio. El servidor miembro no controla el inicio de sesin de
los usuarios ni contiene una copia del directorio activo, tampoco almacena informacin de las directivas de grupo. Es comn que en
una red haya servidores que presten ms de una funcin, por ejemplo un servidor podra ser controlador de dominio, adems de
servidor Web, entre otras aplicaciones. En este ltimo caso el servidor es considerado como un controlador de dominio. Un servidor
miembro podr ser promocionado para que trabaje como controlador de dominio.
Servidor de impresoras
Permite compartir una impresora de tal forma que los usuarios de la red desde las aplicaciones de sus PC clientes puedan imprimir
documentos en la impresora del servidor. El servidor controla que usuarios de la red tengan permiso de imprimir. Tambin permite
administrar los trabajos de impresin que llegan a la cola de impresin, por ejemplo, pausarlos o quitarlos, entre otras posibilidades.

Servidor de archivos
Desde un servidor se podrn compartir recursos (archivos y carpetas) con los usuarios de la red que deseemos. Adems se podr
definir qu permisos tendrn dichos usuarios para acceder al recurso compartido. Incluso, mediante el sistema de archivos distribuidos
(DFS), desde el servidor de archivos, se podrn compartir centralizadamente recursos que se encuentran distribuidos en muchas
mquinas de la red, dando la apariencia que se encuentran dentro del servidor, cuando en realidad no lo estn.
Servidor de Internet
Mediante la aplicacin IIS 6.0 (Internet Information Server) podemos crear los siguientes tipos de servidores:
Servidor de pginas Web: permite a los usuarios clientes de la Intranet (red interna) o de Internet, acceder a las pginas
Web del servidor. Los clientes consultan las pginas Web introduciendo en su navegador, por ejemplo el Microsoft Internet
Explorer, una direccin Web del tipo www.empresa.com. El cliente y el servidor Web usan el protocolo HTTP (HyperText
Transfer Protocol o Protocolo de Transferencia de Hipertexto). El servidor Web que ofrece Windows Server 2003 es ms
productivo, estable y seguro respecto a versiones anteriores.
Servidor de archivos FTP: permite a los usuarios de la Intranet o de Internet acceder a los archivos del servidor. Los
usuarios suben o bajan archivos mediante un cliente de FTP, o un navegador, por ejemplo el Microsoft Internet Explorer. El
cliente y el servidor FTP usan el protocolo FTP (File Transfer Protocol o Protocolo de Transferencia de Archivos).
Servidor de noticias: permite a los usuarios de la Intranet o de Internet publicar mensajes que leern otros participantes. Un
cliente y el servidor de noticias usan el protocolo NNTP (Network News Transfer Protocol o Protocolo de Transferencia de
Noticias en Red).
Servidor de correo electrnico: permite a los clientes de la Intranet enviar mensajes de email hacia el exterior, evitando el
uso de los servidores SMTP del proveedor de Internet. El cliente y el servidor de correo usan el protocolo SMTP (Simple Mail
Transfer Protocol o Protocolo Simple de Transferencia de Correo).
Servidor de nombres DNS

Permite a los usuarios acceder a los recursos de la red (computadoras, carpetas, pginas Web) mediante la utilizacin de nombres de
dominio de Internet amigables del tipo host.empresa.com o \\host.empresa.com\recursocompartido o www.empresa.com. De otro
modo tendramos que usar forzosamente las direcciones IP del tipo \\200.168.14.15\recursocompartido para invocar a dicho recur-so,
las cuales no son fciles de recordar. Como las direcciones IP son imprescindibles para identificar un equipo en la red, el servidor DNS
lo que hace es traducir los nombres que invocamos en direcciones IP sin que nosotros nos percatemos de ello, luego nuestra PC usa
la direccin IP obtenida del servidor DNS para establecer la comunicacin con la computadora que ofrece el recurso, por ejemplo un
servidor Web. El servidor DNS para traducir un nombre en una direccin IP usa una tabla de correspondencias (nombre-IP)
almacenada en su base de datos. Los servidores DNS pueden prestar sus servicios a usuarios de la red interna (Intranet), o a
usuarios externos (Internet). Cuando un usuario consulta al servidor DNS para traducir un nombre de dominio externo, el servidor de
nombres se comunicara con otros servidores DNS de Internet para conseguirle la direccin IP correspondiente al nombre de dominio
externo, por ejemplo www.microsoft.com.
Servidor de nombres WINS

Permite acceder a los recursos de la red mediante la utilizacin de nombres no jerrquicos NetBIOS del tipo
\\servidor\recursocompartido, de otro modo para invocar a dicho recurso tendramos que usar forzosamente las direcciones IP del
tipo \\200.14.12.15\recursocompartido. Es usado slo si hay clientes o servidores antiguos con Windows NT 4.0 que usen WINS, o
cuando haya aplicaciones que lo requieran. Tanto DNS como WINS se pueden usar conjuntamente. En la actualidad los servidores
WINS fueron sustituidos por los servidores DNS.
Servidor DHCP
Cada computadora de la red requiere una direccin IP para identificarse unvoca-mente. El servidor DHCP permite configurar en forma
automtica las propiedades TCP/IP a cada PC de la red, entre ellas su direccin IP. Gracias al servidor DHCP los administradores no
pierden tiempo en definir dichas propiedades manualmente para cada mquina cliente de la red, pues el servidor DHCP asigna en
forma automtica una direccin IP a los clientes de la red cuando estos se inician. En el servidor DHCP se tendr que configurar el
rango de direcciones IP que asignar en forma automtica a las computadoras de la red. Dichas computadoras no siempre recibirn la
misma direccin IP, pues el servidor DHCP asigna las direcciones que haya disponible en ese momento (asignacin dinmica). Sin
embargo, hay equipos de la red que no usan DHCP porque requieren tener una direccin IP fija configurada manualmente, por
ejemplo el mismo servidor DHCP, o el servidor DNS, el servidor WINS, o el servidor Proxy que permite compartir una conexin a
Internet.
Servidor de terminales
Permite a las computadoras clientes de la red acceder remotamente al servidor de terminales para tener acceso a su escritorio,
administrarlo, ejecutar sus aplicaciones, o acceder a sus recursos. De este modo, si hay clientes que por razones de requisitos
hardware no pueden ejecutar localmente dichas aplicaciones, ahora s lo podrn hacer a travs del servidor de terminales. Incluso
podrn acceder al servidor los clientes de red que no corran Windows. Cuando un cliente corre una aplicacin, la misma se ejecuta
dentro del servidor de terminales, entonces por la red slo viaja la informacin del cliente (teclado y mouse) y la informacin del
servidor que regresa (imgenes en pantalla). Es como si el cliente estuviera virtualmente dentro del servidor.
Servidor de red privada virtual

Clientes remotos, mediante una simple conexin a Internet podrn llamar al servidor VPN y acceder a distancia a la red interna de la
misma forma que si estuvieran dentro de ella. Como los clientes acceden a la red mediante una conexin a Internet, se logra una

comunicacin de bajo costo. Los datos viajan por Internet cifrados, por ello no existe posibilidad de que sean interpretados en el
camino. Para que el cliente se comunique con el servidor deber conocer su direccin IP, o el nombre de host y dominio, por ejemplo
host.empresa.com. Windows Server 2003 Standard Edition soporta hasta 1000 conexiones VPN de clientes simultneos. Windows
Server 2003 Edition Enterprise y Datacenter Editions soporta usuarios VPN ilimitados. Para que un usuario remoto pueda acceder a la
red interna tendr que darse de alta ingresando su nombre de usuario y contrasea, adems de tener los permisos necesarios para
poder acceder a los recursos compartidos.
Servidor de acceso remoto

Clientes remotos mediante una simple llamada telefnica por mdem podrn llamar al servidor RAS y acceder a la red interna de la
misma forma que si estuvieran dentro de ella. Para que un usuario remoto pueda acceder a la red interna tendr que darse de alta
ingresando su nombre de usuario y contrasea, adems de tener los permisos necesarios para poder acceder a los recursos
compartidos. El servidor RAS es similar a un servidor VPN, con la diferencia que mientras que en VPN la comunicacin se realiza a
travs de Internet, en RAS la comunicacin se realiza a travs de una llamada telefnica directa entre el mdem del cliente y el
mdem del servidor.
Conexin compartida a Internet

Permite a las PC de la red interna compartir una conexin a Internet (por ejemplo una lnea telefnica), de este modo varias PC de la
red interna podrn acceder a Internet al mismo tiempo, compartiendo la nica conexin con el exterior. Obviamente el ancho de banda
disponible (velocidad de acceso a Internet) ser menor porque se comparte entre varias mquinas la nica conexin a Internet
disponible.
Puente de red
Un servidor que disponga de varias tarjetas de red instaladas en l, podr interconectar varios segmentos de red, de modo tal que las
mquinas de un segmento puedan acceder a las de otro, en forma transparente, a travs del puente creado por el servidor. Las
tarjetas de red pueden ser de diferente tecnologa, por ejemplo el servidor podra tener una tarjeta de red conectada al cable de una
red, y otra tarjeta de red inalmbrica, de este modo ambas redes (cableada e inalmbrica) quedan interconectadas mediante el
servidor que oficia de puente..
Actividades
1. Realice la instalacion de Windows 2003, como estacion de trabajo.
2. Acceda al panel de control y visualice los componentes mas importantes.
3. Acceda al Administrador de Dispositivos de la PC y determine los drivers instalados
2
Win2003
Instalacin de Active Directory
Objetos de Active Directory
Active Directory almacena informacin sobre los recursos de red, al igual que sobre todos los servicios que permiten que la
informacin se encuentre disponible y sea til. Los recursos almacenados en el directorio, como pueden ser datos de usuarios,
impresoras, servidores, bases de datos, grupos, equipos y directivas de seguridad, se denominan objetos.
Un objeto es un conjunto de atributos, diferenciado por un nombre, que representa
un recurso de red. Los atributos de los objetos son caractersticas de los objetos
del directorio. Por ejemplo, los atributos de una cuenta de usuario pueden incluir
los nombres y apellidos del usuario, departamento y direccin de correo
electrnico.
En Active Directory, los objetos se pueden organizar en clases, que son
agrupaciones lgicas de objetos. Algunos ejemplos de clases de objetos son las
cuentas de usuarios, grupos, equipos, dominios y unidades organizativas (OU -
Organizational Units).
Algunos objetos, conocidos como contenedores, pueden contener a otros objetos.
Por ejemplo, un dominio es un objeto contenedor que puede contener usuarios,
equipos y otros objetos.

Componentes de Active Directory

En Active Directory, los recursos se organizan en una estructura lgica que refleja la estructura lgica de una organizacin. Agrupar
recursos lgicamente permite encontrar un recurso por su nombre en vez de por su localizacin fsica. Por el hecho de agrupar
recursos lgicamente, Active Directory hace transparente la estructura fsica a los usuarios.
Dominios
La unidad central de la estructura lgica de Active Directory es el
dominio, que puede almacenar millones de objetos. Los objetos
son productos que los miembros de la comunidad de la red
necesitan para realizar su trabajo: impresoras, documentos,
direcciones de correo electrnico, bases de datos, usuarios,
componentes distribuidos y otros recursos. Todos los objetos de la
red existen en un dominio, y cada dominio almacena informacin
exclusivamente sobre los objetos que contiene.
Active Directory est compuesto por uno o ms dominios. Un
dominio puede expandirse en ms de una localizacin fsica.
Agrupar objetos en uno o ms dominios permite a la red reflejar la
organizacin de la empresa. Los dominios comparten estas
caractersticas:
Todos los objetos de red pueden estar dentro de un
dominio, aunque cada dominio almacena informacin
referida exclusivamente a los objetos que contiene.
Tericamente, un directorio de dominio puede contener
hasta diez millones de objetos, aunque es ms prctico el
nmero de un milln de objetos.
Un dominio es un lmite de seguridad. Las listas de control
de acceso (ACL -Access Control List) controlan el acceso
a los objetos del dominio. Las ACL contienen los permisos
asociados con los objetos que controlan los usuarios que
pueden acceder a un objeto, as como los tipos de acceso
que pueden realizar.
En Windows 2003, los objetos pueden ser archivos,
carpetas, comparticiones, impresoras y otros objetos de
Active Directory. Las directivas de seguridad y las
configuraciones, como derechos administrativos, directivas de seguridad y ACL, no van de un dominio a otro. El
administrador del dominio tiene derechos totales para establecer directivas dentro de un dominio.
Unidades organizativas
Una unidad organizativa (OU - Organizational Unit) es un contenedor que se utiliza para organizar objetos dentro de un domino en
grupos administrativos lgicos que reflejan la estructura funcional y de negocios de una organizacin. Una OU puede contener objetos
tales como cuentas de usuarios, grupos, equipos, impresoras, aplicaciones, archivos compartidos y otras OU del dominio. La jerarqua
de una OU dentro de un dominio es independiente de la estructura jerrquica de la OU de otros dominios: cada dominio puede
implementar su propia jerarqua de OU.
Las OU pueden proporcionar una forma de manejar las tareas administrativas, ya que representan el punto de vista ms pequeo de
delegacin para las autoridades administrativas. Esto proporciona un mtodo para delegar la administracin de usuarios y recursos.
rboles
Un rbol es una agrupacin o una ordenacin jerrquica de uno o ms dominios de Windows 2003 que se pueden crear aadiendo
uno o ms dominios secundarios a un dominio principal existente. Los dominios en un rbol comparten un espacio de nombres
contiguo y una estructura jerrquica de nombres. Los rboles comparten estas caractersticas:
Acorde con los estndares del Sistema de nombres de dominio (DNS - Domain Name System), el nombre de dominio de un
dominio secundario es el nombre relativo de ese dominio secundario agregado al nombre del dominio principal.
Todos los dominios dentro de un mismo rbol comparten un esquema comn, que es una definicin formal de todas las
clases de objeto que se pueden almacenar en el desarrollo de Active Directory.
Todos los dominios dentro de un mismo rbol comparten un catlogo global, que es el depsito central de informacin de los
objetos del rbol.
Al crear una jerarqua de dominios en un rbol, se puede preservar la seguridad y se puede permitir la administracin dentro de una
OU o dentro de un dominio simple de un rbol. Los permisos se pueden extender hacia abajo en un rbol mediante la concesin de
permisos al usuario utilizando los esquemas comunes de una OU. Esta estructura de rbol puede contemplar con facilidad los
cambios en una organizacin.
Bosques

Un bosque es una agrupacin o configuracin jerrquica de uno o ms rboles de dominio distintos y completamente independientes
entre s. Por consiguiente, los bosques tienes las siguientes caractersticas:
Todos los rboles de un bosque comparten un esquema comn.
Los rboles de un bosque tienen diferentes estructuras de nombre de acuerdo con sus dominios.
Todos los dominios de un bosque comparten un catlogo comn global.
Los dominios en un bosque operan independientemente, pero el bosque permite la comunicacin a lo largo de toda la
organizacin.
Existe una relacin transitiva de confianza bidireccional entre los dominios y los rboles de dominio.
Estructura fsica
Los componentes fsicos de Active Directory son los sitios y los controladores de dominio. Utilizar estos componentes para
desarrollar una estructura de directorio que refleje la estructura fsica de una organizacin.
Controladores de dominio
Un controlador de dominio es un equipo con Windows 2003 Server que
almacena una copia del directorio de dominio (base de datos local del
dominio). Dado que un dominio puede contener uno o ms controladores de
dominio, todos los controladores de dominio en un dominio tienen una copia
completa de la porcin de dominio del directorio.
Las funciones de los controladores de dominio, son:
Cada controlador de dominio almacena una copia completa de toda la
informacin de Active Directory para ese dominio, administra los
cambios y replica esos cambios a otros controladores de dominio del
mismo dominio.
Los controladores de dominio de un dominio replican todos los
objetos del dominio entre ellos. Cuando se realiza una accin que
provoca la actualizacin de Active Directory, se realiza en realidad un
cambio en uno de los controladores de dominio y este replica el
cambio a los dems controladores de dominio del dominio. Se puede
controlar el trfico de replicacin entre controladores de dominio en la
red especificando la frecuencia a la que se produce la replicacin y la
cantidad de datos que Windows 2003 replica cada vez.
Los controladores de dominio replican inmediatamente ciertas actualizaciones urgentes, tales como la eliminacin de una
cuenta de usuario.
Active Directory utiliza replicacin multimaestro, en la cual ningn controlador de dominio es el maestro. En lugar de eso,
todos lo controladores de dominio de un dominio son iguales, y contienen una copia de la base de datos del directorio en la
que pueden escribir. Los controladores de dominio pueden mantener informacin diferente durante cortos espacios de tiempo
hasta que todos los controladores de dominio han sincronizados los cambios en Active Directory.
El hecho de tener ms de un controlador de dominio en un dominio provoca tolerancia a fallos. Si un controlador de dominio est
desconectado, otro controlador de dominio puede proporcionar todas las funciones necesarias, tales como almacenamiento de
cambios de Active Directory.
Los controladores de dominio administran todas las facetas de las interacciones de los usuarios en un dominio, como pueden ser la
localizacin de los objetos de Active Directory y la validacin de los intentos de inicio de sesin por parte de los usuarios.
Conceptos de Active Directory

Hay varios conceptos nuevos que se presentan con Active Directory, como son el catlogo global, la replicacin, las relaciones de
confianza, el espacio de nombres DNS y el convenio para nombres. Es importante entender el significado de estos conceptos
aplicados a Active Directory.
Catlogo Global
Replicacin
Relaciones de Confianza
Espacio de Nombres DNS
Servidores de Nombres
Convenio de Nombres
Catlogo global
El catlogo global es el almacn central de informacin sobre objetos en un rbol del bosque. De manera predeterminada, un
catlogo global se crea automticamente en el controlador de dominio inicial del bosque, conocido como servidor de catlogo global.
Almacena una copia completa de todos los atributos de los objetos del directorio para su host de dominio y una copia parcial de todos
los atributos de objetos que contiene el directorio de cada dominio en el bosque. La copia parcial almacena los atributos usados con

ms frecuencia en las operaciones de bsqueda (nombre y apellidos de usuario, nombre de inicio de sesin, etc.). Los atributos de los
objetos que se copian en el catlogo global heredan los mismos permisos que tienen en los dominios origen, garantizando la
seguridad de los datos almacenados en el catlogo global.
El catlogo global realiza dos funciones clave en el directorio:
Permite el inicio de sesin en red proporcionando informacin universal sobre pertenencia al grupo de un controlador de
dominio cuando se realiza un proceso de inicio de sesin.
Permite encontrar informacin de directorio con independencia de qu dominio del bosque contenga los datos en ese
momento.
Cuando un usuario inicia la sesin en red, el catlogo global proporciona informacin universal de pertenencia al grupo para la cuenta
a los controladores de dominio que procesan la informacin de inicio de sesin. Si slo hay un controlador de dominio en el dominio, el
controlador de dominio y el catlogo global son el mismo servidor. Si hay varios controladores de dominio en la red, el catlogo global
es el controlador de dominio que est configurado como tal. Si un catlogo global no est disponible cuando el usuario inicia el
proceso de inicio de sesin, el usuario slo ser capaz de iniciar la sesin en el equipo local.
El catlogo global est diseado para responder al usuario y a las preguntas de programa sobre los objetos situados en cualquier
lugar del rbol de dominio o bosque a la mxima velocidad y generando un trfico de red mnimo.
Replicacin
Los usuarios y los servicios deberan ser capaces de acceder a la informacin del directorio desde cualquier equipo del rbol del
dominio o del bosque. La replicacin garantiza que los cambios en un controlador de dominio se reflejen en todos los controladores de
dominio de un dominio. La informacin del directorio se replica a los controladores de dominio tanto dentro como entre los sitios.
La informacin almacenada en el directorio se divide en tres categoras. Cada una de estas categoras de informacin se denomina
particin de directorio. Estas particiones de directorio son las unidades de replicacin. Cada directorio contiene la siguiente
informacin:
Informacin de esquema. Define los objetos que se pueden crear en el directorio y los atributos que esos objetos pueden
tener. Esta informacin es comn a todos los dominios en el rbol de directorio o bosque.
Informacin de configuracin. Describe la estructura lgica de un desarrollo, con informacin como la estructura del
dominio o la topologa de replicacin. Esta informacin es comn a todos los dominios en el rbol de dominio o bosque.
Datos del dominio. Describe todos los objetos del dominio. Estos datos son especficos del dominio y no se distribuyen a
otros dominios. Para los propsitos de bsqueda de informacin a travs del rbol de dominio o del bosque, un subconjunto
de las propiedades de los objetos de todos los dominios se almacena en el catlogo global.
La informacin de esquema y de configuracin se replica a todos los controladores de dominio en el rbol de dominio o bosque. Todos
los datos del dominio se replican a cada controlador de dominio en ese dominio. Todos los objetos de cada dominio, as como un
subconjunto de las propiedades de todos los objetos de cada bosque, se replican en el catlogo global.
Un controlador de dominio almacena y replica:
La informacin del esquema en el rbol de dominio o bosque.
La informacin de configuracin para todos los dominios en el rbol de dominio 0 bosque.
Todos los objetos del directorio y las propiedades para su dominio. Estos datos se replican a los controladores de domino
adicionales en el dominio.
Cuando se crea un subdominio, automticamente se crea una replica del dominio padre. De esta forma cuando un dominio
posee dominios secundarios que dependen de el no es necesario realizar replicas. Estas replicas se mantienen de forma automatica
Relaciones de confianza
Una relacin de confianza en un vnculo entre dos dominios en el que el dominio que confa lleva a cabo la autenticacin en el inicio
de sesin del dominio en el que se confa. Active Directory permite dos formas de relacin de confianza:
Confianza bilateral transitiva implcita. Una relacin entre un dominio principal y secundario dentro de un rbol y entre los
dominios de alto nivel del bosque. Es la relacin de confianza predeterminada; las relaciones de confianza entre dominios en
un rbol se establecen y mantienen implcitamente (automticamente).
Por ejemplo, una confianza transitiva de Kerberos simplemente significa que si el Dominio A confa en el Dominio B, y el
Dominio B confa en el Dominio C, entonces el Dominio A confa en el dominio C. Como resultado de esto, un dominio que se une
a un rbol inmediatamente tiene relaciones de confianza con el resto de dominios en el rbol. Estas relaciones de confianza
hacen que todos los objetos de los dominios del rbol se encuentren disponibles a todos los dominios del rbol.
Confianza explcita unidireccional no transitiva. Una relacin entre dominios que no son parte de un mismo rbol. Una
confianza no transitiva se circunscribe por dos dominios que forman la relacin de confianza y no se transmite a otros
dominios en el bosque. En la mayora de los casos, se deben crear (de forma manual) explcitamente las confianzas no
transitivas.
3
Win2003
Instalacin de Controladores de Dominio

Instalacin de Active Directory
Las herramientas administrativas

El grupo de programa Herramientas administrativas del men Inicio proporcionan las funciones de administracin de Active Directory,
de las cuales las ms importantes son los siguientes:
El Asistente para instalacin de Active Directory: crea controladores de dominio, nuevos dominios, rboles y bosques.
Dominios y confianzas de Active Directory: gestiona las relaciones de confianza entre dominios y configura los sufijos del
nombre principal de usuario (UPN).
Usuarios y equipos de Active Directory: crea, gestiona y configura los objetos Active Directory.
Sitios y servicios de Active Directory: crea y configura sitios dominio y gestiona el proceso de replica del controlador de
dominio.
Esquema de Active Directory: modifica el esquema que define los objetos y propiedades de Active Directory.
Preparacin de la instalacin de A.D.

Para promover Windows 2003 Server a controlador de dominio, primero hay que completar todo el proceso de instalacin del S.O.
Despus del ultimo reinicio, hay que iniciar sesin en la maquina utilizando una cuenta de administrador.
Instalacin del Primer controlador de dominio

Para instalar el Primer controlador deberemos seguir los siguientes pasos:
Iniciar la Herramienta Configuracin del Servidor desde el men
de Herramientas Administrativas. Tambin puede iniciar el
asistente directamente ejecutando el archivo ejecutable Dcpromo
desde el cuadro de dialogo Ejecutar.
Tipo de Controlador de Dominios: el Asistente pregunta sobre la
accin que se va a realizar, basndose en el estado actual de
Active Directory en el sistema. Si el servidor ya es un controlador
de dominio, el asistente solo proporciona la opcin de degradar el
sistema de nuevo a servidor independiente o miembro. En un
equipo que no es un controlador de dominio, el asistente muestra la
pantalla Tipo de controlador de dominios, la cual pide que se
seleccione una de las siguientes opciones:
o Controlador de dominio para un nuevo dominio: Instala
Active Directory en el servidor y lo designa como el primer
controlador de dominio de un nuevo dominio.
o Controlador de dominio adicional para un dominio
existente: Instala Active Directory en el servidor y replica
la informacin del directorio desde un dominio existente.
Para instalar el primer servidor Active Directory en la red, se selecciona la opcin Controlador de dominio para un nuevo dominio. Esto
hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS.
Crear rbol o dominio secundario. Deberemos elegir el tipo de dominio que queremos configurar de las dos opciones que
se presentan en el siguiente cuadro
Crear rbol o dominio secundario:
o Crear un nuevo rbol de dominios: Configura el nuevo controlador de dominio pare que aloje el primer dominio de
un nuevo rbol.
o Crear un nuevo dominio secundario en un rbol de dominios existente: Configura el nuevo controlador de
dominio para que aloje un hijo de un dominio de un rbol que ya existe.
Crear o unir bosque: que permite especificar una de las siguientes opciones:
o Crear un nuevo bosque de rboles de dominios: Configura el controlador de dominio para que sea la raz de un
nuevo bosque de rboles.
o Situar este nuevo rbol de dominios en un bosque existente: Configura el controlador de dominio para que aloje
el primer dominio de un nuevo rbol en un bosque que ya contiene uno o ms rboles.
En este caso hay que seleccionar Crear un nuevo bosque de rboles de dominios, porque el primer controlador de dominio Windows
2003 de la red ser siempre un nuevo dominio, en un nuevo rbol, en un nuevo bosque. A medida que se instalen controladores de
dominio adicionales, se pueden utilizar estas mismas opciones para crear
otros bosques nuevos o para poblar el bosque existente con rboles y
dominios adicionales.
Nombre de nuevo Dominio: Para identificar el controlador de
dominio en la red se debe especificar un nombre DNS valido para
el dominio que se esta creando.
Nombre de dominio NetBIOS: Despus de introducir un nombre
DNS para el dominio, el sistema solicita un equivalente NetBIOS
para el nombre del dominio para que los utilicen los clientes que no
soporten Active Directory.
Despus de especificar los nombres de dominio, el asistente
solicita las ubicaciones de la base de datos, los archivos de
registro y el volumen del sistema de Active Directory. La base

de datos de Active Directory contendr los objetos Active Directory y sus propiedades, mientras qua los archivos de registro
registran las actividades del servicio de directorio.
La pantalla Volumen del sistema compartido permite especificar la ubicacin de lo qua se convertir en el recurso
compartido Sysvol del controlador de dominio. El volumen del
sistema es un recurso compartido que contiene informacin del
dominio que se replica al resto de controladores de dominio de la
red.
Instalacin de DNS: En este punto, el Asistente para instalacin de
Active Directory tiene toda la informacin de configuracin
necesaria para instalar Active Directory y promover el servidor a
controlador de dominio. El sistema comprueba que los nombres de
dominio suministrados no los utiliza ya en servidor DNS a otros
equipos de la red. Si, por ejemplo, el nombre NetBIOS
seleccionado ya lo esta utilizando un dominio Windows NT 4 en la
red, el asistente pide que se seleccione otro nombre.
El asistente tambin determina si el servidor DNS que alojara el
dominio soporta el protocolo de Actualizacin dinmica. Si el
sistema no puede contactar con el servidor DNS especificado en la
configuracin TCP/IP cliente del equipo, o si el servidor DNS
especificado no es capaz de dar soporte a un dominio Windows
2003, el asistente se ofrece a instalar Microsoft DNS Server y
configurarlo para que funcione como servidor autorizado para el dominio.
Finalizacin de la instalacin de Active Directory: luego de reiniciar el sistema, el asistente crea una cuenta de administrador
para el nuevo dominio utilizando la misma contrasea que tiene la cuenta de administrador local con la que se ha iniciado
sesin antes de iniciar la instalacin de Active Directory.
Creacin de un DC para un dominio secundario en un rbol existente

Se puede poblar el rbol a medida que se crean dominios adicionales
hacindolos secundarios de dominios existentes. Un dominio secundario es
uno que utiliza el mismo espacio de nombres que un dominio principal. Por
ejemplo, si se crea un dominio llamado Miempresa.com, un secundario de
ese dominio podra llamarse algo as como Investigacion.miempresa.com.
Para instalar Active Directory y crear un dominio secundario:
Unir el equipo en el que se desea crear el Dominio secundario al
dominio principal suministrando las credenciales administrativas o
creando manualmente un objeto equipo en el dominio por medio de
Usuarios y equipos de Active Directory.
Iniciar sesin en el sistema utilizando la cuenta de administrador
local
Ejecutar el Asistente para instalacin de Active Directory desde la
pgina Configurar el servidor o ejecutando Dcpromo.exe desde el
cuadro de dialogo Ejecutar.
Controladores de Dominio
Una vez instaladas las Herramientas de administracin de Windows 2003 en un equipo, el administrador puede abrir las herramientas
administrativas del servidor y comenzar a administrar un servidor remoto desde ese equipo.
Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a
continuacin, haga clic en Dominios y confianzas de Active Directory.
Administracin de Dominios
El complemento Usuarios y Equipos de Active
Directory es la principal herramienta de los
administradores de Active Directory, y es la herramienta
que se utilizar ms a menudo para el mantenimiento
diario del directorio. Usuarios y equipos de Active
Directory muestra todos los objetos de un dominio por
medio de una pantalla con un rbol expandible al estilo
del Explorador de Windows.
Tambin se utilizan Usuarios y equipos de Active
Directory para crear nuevos objetos y modelar la
jerarqua del rbol creando y poblando objetos
contenedores.
Para realizar estas las funciones es necesario iniciar
sesin en el dominio utilizando una cuenta que tenga
privilegios administrativos.

Objetos en Active Directory

Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades fsicas (equipos y usuarios), como las
entidades lgicas (grupos y unidades organizativas). Modificando el esquema que controla la estructura del servicio de directorio, se
pueden crear nuevos tipos de objetos en Active Directory y modificar los atributos de los tipos existentes.
Dominio: Objeto raz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio que est
administrando actualmente el administrador.
Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lgicas de objetos equipo, usuario
y grupo.
Usuario: Representa un usuario de la red y funciona como un almacn de informacin de identificacin y
autenticacin.
Equipo: Representa un equipo de la red y proporciona la cuenta de mquina necesaria para que el sistema
inicie sesin en el dominio.
Contacto: Representa un usuario externo al dominio para propsitos especficos como envo de correo
electrnico; no proporciona las credenciales necesarias para iniciar sesin en el dominio.
Grupo: Objeto contenedor que representa una agrupacin lgica de usuarios, equipos u otros grupos (o los
tres) que es independiente de la estructura del rbol de Active Directory. Los grupos pueden contener objetos
de diferentes unidades organizativas y dominios.
Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta compartida en un
sistema Windows 2003.
Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora compartida
en un sistema Windows 2003.
Bsqueda de objetos
Tambin se pueden buscar objetos especficos en todo Active
Directory sin modificar lo que muestra el administrador. Si se
selecciona el objeto dominio y se escoge Buscar en el men
Accin, se muestra el cuadro de dilogo Buscar Usuarios,
contactos y grupos, en el cual se puede especificar el tipo de objeto
que se desea localizar, un dominio especfico o todo el directorio y
el nombre y descripcin del objeto.
La pestaa Opciones avanzadas del cuadro de dialogo Buscar
Usuarios, contactos y grupos utiliza la misma interfaz que la
caracterstica Filtro personalizado. De la misma forma, se pueden
buscar objetos basndose en sus atributos.
Objetos predeterminados de Active

Directory
Un dominio Active Directory recin creado contiene objetos unidades organizativas, equipos, usuarios y grupos que crea de forma
predeterminada el Asistente para instalacin de Active Directory. Estos objetos proporcionan acceso al sistema a varios niveles e
incluyen grupos que permiten a los administradores delegar tareas de mantenimiento de la red especficas a otros. Incluso si no se
espera utilizar esos objetos en el futuro, hay que utilizarlos para crear otros objetos con los permisos apropiados para la red.

A continuacin una tabla con los principales objetos predeterminados
Nombre del objeto Funcin

En el Dominio Raz
Builtin Contenedor predeterminado para los grupos que proporcionan acceso a las funciones de
administracin del servidor.
Computers Contenedor predeterminado para cuentas de equipo actualizadas.
Users Contenedor predeterminado para cuentas de usuario actualizadas.
Domain controllers Contenedor predeterminado para los nuevos controladores de dominio Windows 2003.
Contenedor Builtin
Opers. de cuentas Sus miembros pueden administrar las cuentas de usuario y de grupo del dominio.
Administradores Sus miembros pueden administrar completamente el equipo/dominio.
Invitados Usuarios que tienen concedido acceso de invitado al equipo/dominio.
Opers. de impresin Sus miembros pueden administrar las impresoras del dominio.
Opers. de servidores Sus miembros pueden administrar servidores de dominio.
Usuarios Usuarios corrientes.
Contenedor Users
Usuarios DHCP Sus miembros slo tienen acceso de lectura al Servidor DHCP
DnsAdmins Administradores del DNS.
Servidores RAS e IAS Servidores Ras e IAS.
Publicadores de certificados Agentes de certificacin de la empresa y de renovacin.
Admins. del dominio Administradores designados del dominio.
Equipos del dominio Todas las estaciones de trabajo y servidores unidos al dominio.
Controladores de dominio Todos los controladores de dominio del dominio.
Invitados del dominio Todos los invitados del dominio.
Usuarios del dominio Todos los usuarios del dominio.
Administracin de empresas Administradores designados de la empresa.
Administradores de esquema Administradores designados del esquema.
Administrador Cuenta predefinida para administrar el equipo/dominio.
Invitado Cuenta predefinida para el acceso en calidad de invitado al equipo/dominio.
4
Win2003
Administracin de Usuarios
Como crear Unidades Organizativas
El esquema del servicio de directorio establece qu objetos se pueden crear en un
dominio Active Directory, dnde se pueden ubicar y qu atributos se permite que
tengan. Usuarios y equipos de Active Directory solo permite crear objetos en las
ubicaciones apropiadas para el tipo de objeto. Por ejemplo, no se puede crear un
objeto unidad organizativa (OU) subordinada a un objeto usuario, pero un objeto
usuario puede subordinarse a un objeto OU.
Sin embargo, las OU se pueden subordinar unas a otras y el nmero de capas de
OU que se pueden crear en el dominio Active Directory es ilimitado. Para crear una
OU hay que pulsar el objeto dominio u otra OU y escoger Nuevo en el men Accin
y seleccionar Unidad organizativa. Despus de especificar un nombre para el
nuevo objeto en el cuadro de dilogo Nuevo objeto, el administrador crea un icono
con el nombre apropiado y lo inserta en la pantalla de Usuarios y equipos de Active
Directory.
Una vez que se ha creado una OU es posible poblarla con otros objetos, como
usuarios, equipos, grupos y otras OU, o se pueden modificar sus atributos abriendo
la ventana Propiedades desde el men Accin.
Configuracin de los objetos OU

La ventana Propiedades de una OU consta de tres pestaas. La pestaa General y la pestaa Administrado por permiten especificar
informacin sobre la OU como una frase descriptiva y una direccin para la ubicacin del objeto, adems de la identidad de la persona
responsable de administrar la OU. La informacin que se incluye en estas pestaas depende del criterio utilizado para disear el
Active Directory. Una OU puede estar asociada a un departamento particular dentro de una organizacin, una ubicacin fsica como
una habitacin, una planta o un edificio, o incluso una sucursal en una ciudad o pas particular.
La pestaa Directiva de grupo es donde se crean y administran los vnculos a los objetos directiva de grupo de Active Directory. Los
objetos directiva de grupo son colecciones de parmetros del sistema que controlan la apariencia y la funcionalidad de los clientes de

la red. Cuando se aplican directivas de grupo a OU, dominios y sitios, todos los objetos contenidos en esas entidades heredan los
parmetros del sistema
Como crear cuentas de Usuarios

Cada persona que tenga acceso a la red requerir una cuenta de usuario (). Una cuenta de usuario hace posible:
Autentificar la identidad de la persona que se conecta a la red.
Controlar el acceso a los recursos del dominio.
Auditar las acciones realizadas utilizando la cuenta.
Windows 2003 slo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al usuario todos los derechos y permisos, y la
cuenta Invitado, que tiene derechos limitados. El resto de las cuentas las crea un administrador y son cuentas de dominio (vlidas a lo
largo de todo el dominio de forma predeterminada) o cuentas locales (utilizables slo en la mquina donde se crean).
Denominacin de las cuentas de usuario
En el Active Directory, cada cuenta de usuario tiene un nombre principal. El
nombre consta de dos partes, el nombre principal de seguridad y el sufijo de
nombre principal. Para las nuevas cuentas de usuario de Windows 2003, un
administrador asigna el nombre principal de seguridad, tomando la sigla de su
nombre y aadindole el apellido completo. El sufijo de nombre principal
predeterminado es el nombre DNS del dominio raz en el rbol de dominios. De
esta forma un usuario identificado como Eduardo Lopez en un dominio iac.com
deber logearse a la red como elopez@iac.com
Los administradores deberan tener dos cuentas en el sistema: una cuenta
administrativa y una cuenta de usuario normal. Se debera utilizar la cuenta de
usuario normal a menos que se estn realizando tareas administrativas. A causa
de los privilegios asociados a las cuentas administrativas, son un objetivo
primario para los intrusos.
Creacin de cuentas de usuario del dominio
Las cuentas de usuario del dominio se pueden crear en el contenedor Users o en
algn otro contenedor u OU creada para almacenar cuentas de usuario del
dominio. Para aadir una cuenta de usuario del dominio hay que seguir estos
pasos:
1. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas.
2. Resaltar el nombre del dominio y, en el men Accin, apuntar a Nuevo y escoger despus Usuario.
Nombre, Iniciales y Apellidos: Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo
que est administrando. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: " / [ ] : ; |
=,+*?<>
Nombre completo: se rellena automticamente. El nombre completo debe ser nico en la OU donde se crea el usuario.
Nombre de inicio de sesin de usuario: Hay que proporcionar el nombre de inicio de sesin de usuario basado en un
convenio de denominacin que previamente se ha tenido que establecer. Este nombre debe ser nico en el Active Directory.
Contrasea y Confirmar contrasea: como minimo 6 caracteres y deben contener caracteres numericos y letras.
Directivas de contraseas:
El usuario debe cambiar la contrasea en el siguiente inicio de sesin:
Normalmente se selecciona para que el usuario controle la contrasea y
no la conozca el Usuario que le ha dado de alta.
El usuario no puede cambiar la contrasea: Cuando por necesidades de
seguridad la contrasea debe ser controlada por el administrador.
La contrasea nunca caduca: Si seleccionamos esta casilla, no se
aplicarn las restricciones de caducidad de contrasea a esta cuenta.
Cuenta deshabilitada: Deshabilita cuentas que momentneamente no
se necesitan en la red. Tambin puede seleccionarse automticamente
debido a las restricciones de seguridad impuestas por el Administrador.
Pulsar Siguiente.
Se abre una pantalla de confirmacin, mostrando los detalles de la
cuenta que se va a crear. Si los detalles son correctos, hay que pulsar
Finalizar. En otro caso, se puede utilizar el botn Atrs para realizar
correcciones.
Opciones de las cuentas
La planificacin de las opciones de las cuentas de los usuarios simplificar el proceso de creacin de cuentas. Las opciones de las
cuentas a considerar incluyen las siguientes:
Horas de inicio de sesin: De forma predeterminada, un usuario puede iniciar sesin a cualquier hora del da o de la noche.
Por razones de seguridad, se podra restringir el acceso a algunos o a todos los usuarios a ciertas horas del da o a ciertos
das de la semana.
Iniciar sesin en: De forma predeterminada, los usuarios pueden iniciar sesin en todas las estaciones de trabajo. Por
razones de seguridad se puede limitar el acceso para iniciar sesin a una mquina o mquinas en particular si se dispone del

protocolo NetBIOS instalado en el dominio. Sin NetBIOS, Windows 2003 es incapaz de determinar la ubicacin de un inicio
de sesin especfico.
Caducidad de la cuenta: Se puede decidir si se desea establecer que las cuentas caduquen. Por razones obvias, tiene
sentido establecer una fecha de caducidad para empleados temporales de forma que coincida con el fin de sus contratos.
Las tres opciones que se han enumerado aqu son las que muy posiblemente se apliquen a un gran nmero de usuarios
Creacin de cuentas de usuario locales
Una cuenta local no puede acceder al dominio y, por lo tanto, solo tiene acceso a los recursos del equipo donde se crea y utiliza. Para
crear una cuenta de usuario local hay que seguir estos pasos:
Pulsar con el botn derecho del ratn en Mi PC y escoger administrar en el men contextual.
En el rbol de la consola, hay que pulsar Usuarios locales y grupos. Pulsar con el botn derecho del ratn en Usuarios y
escoger Usuario nuevo en el men contextual.
En el cuadro de dilogo Usuario nuevo hay que suministrar el nombre de usuario, el nombre completo y la descripcin.
Proporcionar una contrasea y definir las directivas de contraseas. Pulsar Crear. Las cuentas locales pueden pertenecer a
grupos creados localmente (en el equipo nico).
Administracin de las cuentas de usuario
Especialmente en una red grande y ocupada, la gestin de las cuentas de usuario es un proceso
continuo de adiciones, eliminaciones y cambios. Aunque estas tareas no son difciles, pueden
consumir tiempo y es necesario gestionarlas con cuidado.
Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. Abrir
el contenedor que almacena la cuenta de usuario. Seleccionar el Usuario que queremos
administrar y pulsar el men Accin. Aparecern las siguientes opciones:
1. Copiar:
Escriba el nombre del usuario en Nombre.
En Apellidos, escriba los apellidos.
Modifique Nombre para agregar iniciales o invertir el orden del nombre y los apellidos.
En Nombre de inicio de sesin de usuario, escriba el nombre con el que el usuario
iniciar una sesin.
Si el usuario va a utilizar un nombre diferente para iniciar una sesin en equipos donde
se ejecuta Windows NT, Windows 98 o Windows 95, cambie el nombre de inicio de
sesin de usuario que aparece en Nombre de inicio de sesin de usuario (anterior a
Windows 2003) por el otro nombre.
En Contrasea y Confirmar contrasea, escriba la contrasea del usuario.
Seleccione las opciones de contrasea que desee.
Si se ha deshabilitado la cuenta de usuario desde la que se copi la nueva cuenta de usuario, haga clic en Cuenta
deshabilitada para habilitar la cuenta nueva.
2. Agregar miembros a un grupo: Si queremos hacer miembro de otro grupo ms al usuario deberemos pulsar esta opcin y
seleccionar el grupo y despus Agregar.
3. Deshabilitar cuenta: Si es necesario desactivar una cuenta de usuario del dominio por algn periodo de tiempo, pero no eliminarla
permanentemente, se puede deshabilitar. Si crea cuentas deshabilitadas de usuario que pertenezcan a grupos comunes, puede
utilizarlas como plantillas para simplificar la creacin de cuentas de usuario. Para habilitar una cuenta previamente deshabilitada, hay
que realizar los mismos pasos, escogiendo Habilitar cuenta en el men contextual.
4. Restablecer contrasea: Para que las contraseas sean efectivas, no deben ser obvias o fciles de adivinar. Sin embargo, cuando
las contraseas no sean obvias o fciles de adivinar, se olvidaran inevitablemente. Cuando un usuario olvida su contrasea, se puede
restablecer. La mejor poltica es restablecerla a una clave sencilla y obligar al usuario a que la cambie la prxima vez que inicie sesin
en la red.
Hay que escribir y confirmar la contrasea.
Si desea que el usuario cambie esta contrasea en el siguiente proceso de inicio de sesin, active la casilla de verificacin El
usuario debe cambiar la contrasea en el siguiente inicio de sesin.
Si se cambia la contrasea de la cuenta de usuario de un servicio, deben restablecerse todos los servicios cuya autenticacin
se realice con esa cuenta de usuario.
5. Mover: Si un usuario pasa a pertenecer a otro grupo o Unidad Organizativa podemos moverlo pulsando esta opcin. En el cuadro
de dilogo Mover, hay que resaltar el contenedor destino y pulsar Aceptar.
6. Abrir la pgina principal: Accederemos a la pgina web del usuario si se le ha especificado en la ficha General de las propiedades
de dicho usuario.
7. Enviar mensaje de correo: Si se le ha especificado una direccin de correo, se abrir el cliente de correo predeterminado para
enviarle un correo electrnico.
8. Eliminar: Cada cuenta de usuario del dominio tiene un identificador de seguridad asociado que es nico y nunca se reutiliza, lo que
significa que una cuenta eliminada se elimina completamente. Si se elimina la cuenta de Jaime y ms tarde se cambia de opcin,
habr que volver a crear no slo la cuenta, sino los permisos, la configuracin, las pertenencias a grupos y el resto de propiedades
que posea la cuenta de usuario original. Por esta razn, si existe alguna duda sobre si una cuenta podra necesitarse en el futuro, es
mejor deshabilitarla y no realizar la eliminacin hasta que se este seguro de que no se necesitar de nuevo.

Despus de pulsar en eliminar, aparece un cuadro de dilogo Active Directory, pidiendo confirmacin de la eliminacin. Hay que pulsar
Si y se eliminar la cuenta.
9. Cambiar el nombre: En ocasiones, es necesario cambiar el nombre de una cuenta de usuario. Por ejemplo, si se tiene una cuenta
configurada con una coleccin de derechos, permisos y pertenencias a grupos para una posicin particular y una nueva persona se
hace cargo de esa posicin se puede cambiar el nombre, los apellidos y el nombre de inicio de sesin de usuario para la nueva
persona.
Para cambiar el nombre de una cuenta de usuario existente, despus de pulsar el cambiar el nombre se pulsa Aceptar. Se cambia el
nombre de la cuenta y todos los permisos y el resto de la configuracin permanecen intactos. Si queremos cambiar alguna informacin
ms, habr que entrar en la ficha de Propiedades del usuario.
10. Actualizar: Produce un refresco de la pantalla
11. Propiedades: La ventana Propiedades de un usuario del dominio puede tener hasta una docena de pestaas, dependiendo de la
configuracin del dominio. Toda la informacin introducida en la ventana Propiedades se puede utilizar como la base de una bsqueda
en el Active Directory.
5
Win2003
Directivas de Seguridad
Que son los Perfiles de usuario
Un perfil es un entorno personalizado especficamente para un usuario. El perfil contiene la configuracin de
escritorio y de los programas del usuario. Cada usuario tiene un perfil, tanto si el administrador lo configura
como si no, porque se crea un perfil automticamente para cada usuario cuando inicia sesin en un equipo
Los perfiles ofrecen numerosas ventajas:
Mltiples usuarios pueden utilizar el mismo equipo, con la configuracin de cada uno recuperada al iniciar la sesin al mismo
estado en que estaba cuando cerr la sesin.
Los cambios hechos por un usuario en el escritorio no afectan a otro usuario.
Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios a cualquier equipo de la red que ejecute
Windows 2003 o Windows NT 4.
Desde el punto de vista de un administrador, la informacin del perfil puede ser una valiosa herramienta para configurar perfiles de
usuario predeterminados para todos los usuarios de la red o para personalizar los perfiles predeterminados para diferentes
departamentos o clasificaciones del trabajo. Tambin se pueden configurar perfiles obligatorios que permitan a un usuario hacer
cambios en el escritorio mientras esta conectado, pero no guardar ninguno de los cambios. Un perfil obligatorio siempre se muestra
exactamente igual cada vez que un usuario inicia sesin. Los tipos de perfiles son los siguientes:
1. Perfiles locales: Perfiles creados en un equipo cuando un usuario inicia sesin. El perfil es especfico de un usuario, local al
equipo y se almacena en el disco duro del equipo local.
2. Perfiles mviles: Perfiles creados por un administrador y almacenados en un servidor. Estos perfiles siguen al usuario a
cualquier mquina Windows 2003 o Windows NT 4 de la red.
3. Perfiles obligatorios: Perfiles mviles que slo pueden ser modificados por un administrador.
Todos los perfiles comienzan como una copia del perfil Default User que esta instalado en cualquier equipo que ejecuta Windows
2003. La informacin del registro para Default User se encuentra en el archivo Ntuser.dat incluido en el perfil Default User. Dentro de
cada perfil se encuentran las siguientes carpetas:
Configuracin local: Datos de programa, Historial y Archivos temporales.
Cookies: Mensajes enviados a un navegador Web por un servidor Web y almacenados localmente para registrar informacin
y preferencias del usuario.
Datos de programa: Configuraciones especificas de programa determinadas por el fabricante del programa adems de
configuracin de seguridad especfica del usuario.
Entorno de red: Accesos directos a Mis sitios de red.
Escritorio: Archivos, carpetas, accesos directos del escritorio y su apariencia.
Favoritos: Accesos directos a ubicaciones favoritos, en particular sitios Web.
Impresoras: Accesos directos a elementos de la carpeta Impresoras.
Men Inicio: Elementos del men Inicio del usuario.
Mis documentos: Documentos del usuario y Mis imgenes, que contiene los archivos grficos del usuario.
Plantillas: Plantillas de programas.
Reciente: Accesos directos a las carpetas y archivos ms recientemente utilizados.
SendTo: Elementos del men Enviar a.
De forma predeterminada, solo Cookies, Escritorio, Favoritos, men Inicio y Mis documentos son visibles en el Explorador de
Windows. Las otras carpetas estn ocultas; para verlas es necesario seleccionar Opciones de carpeta, pulsar en la pestaa Ver y
seleccionar Mostrar todos los archivos y carpetas ocultos.

Perfiles locales
Los perfiles locales se crean en los equipos cuando los usuarios individuales inician sesin. En un equipo con una nueva instalacin
de Windows 2003, el perfil del usuario esta en la carpeta Documents and Settings. La primera vez que un usuario inicia sesin en un
equipo, se genera una carpeta de perfil para el usuario, y los contenidos de la carpeta Default User se copian en ella. Cualquier
cambio realizado por el usuario al escritorio se almacena en ese perfil de usuario cuando cierra la sesin.
Si un usuario tiene una cuenta local en el equipo adems de una cuenta de dominio a inicia sesin varias veces utilizando ambas
cuentas, el usuario tendr dos carpetas de perfil en el equipo local: una para cuando el usuario inicie sesin en el dominio utilizando la
cuenta de usuario del dominio y otra para cuando el usuario inicie sesin localmente en el equipo. El perfil local se mostrar con el
nombre de inicio de sesin. El perfil de dominio tambin se mostrara con el nombre de inicio de sesin, pero llevara aadido el
nombre del dominio.
Perfiles mviles
Los perfiles mviles son una gran ventaja para los usuarios que utilizan frecuentemente ms de un equipo. Un perfil mvil se
almacena en un servidor y, despus de que el inicio de sesin del usuario sea autentificado en el servicio de directorio, se copia al
equipo local. Esto permite al usuario tener el mismo escritorio, la configuracin de las aplicaciones y la configuracin local en cualquier
mquina que ejecute Windows 2003 o Windows NT 4.
El funcionamiento es: se asigna una ubicacin de un servidor para perfiles de usuario y se crea una carpeta compartida con los
usuarios que tengan perfiles mviles. Se introduce una ruta de acceso a esa carpeta en la ventana propiedades de los usuarios. La
siguiente vez que el usuario inicie sesin en un equipo, el perfil del servidor se descarga al equipo local. Cuando el usuario cierra la
sesin, el perfil se almacena tanto localmente como en la ubicacin de la ruta de acceso al perfil del usuario. La especificacin de la
ruta de acceso al perfil del usuario es todo lo que hace falta para convertir un perfil local en un perfil mvil, disponible en cualquier
parte del dominio.
Cuando el usuario inicia sesin de nuevo, el perfil del servidor se compara con la copia en el equipo local y se carga para el usuario la
ms reciente. Si el servidor no esta disponible, se utiliza la copia local. Si el servidor no esta disponible y es la primera vez que el
usuario ha iniciado sesin en el equipo, se crea un perfil de usuario localmente utilizando el perfil Default User. Cuando un perfil no es
descargado a un equipo local a causa de problemas con el servidor, el perfil mvil no se actualiza cuando el usuario cierra la sesin.
Configuracin de los perfiles mviles
Para configurar un perfil mvil simplemente hay que asignar una ubicacin en un servidor y completar los siguientes pasos:
1. Crear una carpeta compartida en el servidor para los perfiles.
2. En la pestaa Perfil de la ventana Propiedades de la cuenta de usuario hay que proporcionar una ruta de acceso a la carpeta
compartida, como \\nombre_del_servidor\carpeta_de_perfiles_compartida\%username%.
3. Una vez que se ha creado una carpeta de perfiles compartida en un servidor y se ha suministrado una ruta de acceso al perfil
en la cuenta del usuario, se ha habilitado un perfil mvil. La configuracin del usuario de su escritorio se copia y almacena en
el servidor y estar disponible para el usuario desde cualquier equipo.
Perfiles obligatorios
Si se va a realizar todo el trabajo de asignar perfiles personalizados, indudablemente se deseara hacer que esos perfiles sean
obligatorios. Un perfil obligatorio se puede asignar a mltiples usuarios. Cuando se modifica un perfil obligatorio, el cambio se realiza
en los entornos de todos los usuarios a los cuales se haya asignado el perfil obligatorio. Para convertir un perfil en un perfil obligatorio,
se debe renombrar el archivo oculto Ntuser.dat a Ntuser.man.
Como modificar las Directivas de Seguridad

Las polticas del sistema o Directivas de grupo, especifican los distintos componentes de
la configuracin del entorno de trabajo de un usuario. Un administrador del sistema podr
modificar los programas que se encuentran disponibles para los usuarios, lo que
aparecer en sus escritorios y las opciones del men Inicio. Adems mediante el uso de
las directivas se pueden ejecutar programas al inicio de una sesin, redirigir carpetas del
equipo local a ubicaciones de red, administrar aplicaciones (por ejemplo instalar
programas automticamente cuando un usuario inicia la sesin), especificar las opciones
de seguridad (que puede hacer o no un usuario sobre un equipo o equipos en particular),
y muchas cosas mas.
Como se crean las Directivas de seguridad?

Para crear una configuracin especfica para un grupo de usuarios en particular, se utiliza
la herramienta Directiva de grupo. Mediante esta herramienta se pueden generar
polticas personalizadas para grupos diferentes y controlar el entorno del usuario en los
equipos en los cuales inicie sesin. Esta tarea se realiza con la ayuda de plantillas, que
poseen en su interior grupos de configuraciones estndar, a partir de las cuales resulta
ms fcil trabajar y aplicar personalizaciones.
Existen dos tipos de directivas: directiva de usuario y de equipo.

La directiva de usuario se aplica cuando un usuario inicia sesin en cualquier equipo del dominio, la directiva de equipo se
aplica cuando inicia sesin sobre un equipo especfico.
Nos centraremos en las polticas de usuario y su configuracin sobre el servidor. Estas polticas llamadas Directivas de
Grupo en Windows 2003 se acceden desde el panel Usuarios y equipos de Active Directory . Seleccionando el icono de
nuestro dominio se debe hacer clic con el botn derecho del mouse y seleccionar propiedades
Una vez realizado esto veremos la pantalla de las propiedades de este dominio. A continuacin ser necesario ubicarse sobre la
lengeta directiva de grupo y dentro de esta solapa, encontraremos la lista de la o las directivas de grupo existentes en este dominio.
Si el servidor es nuevo y no fue previamente configurado, nos encontraremos solamente con la poltica asignada por defecto llamada
Default Domain Policy.
Volviendo sobre el concepto de administracin grupal,
como nuestra idea es agregar nuevas polticas adaptadas
a nuestras necesidades, lo ideal ser generar nuevas
directivas y una vez generadas estas, poder ir agregando
miembros a cada directiva en particular. De esta forma
podremos crear nuevas directivas de grupo con diferentes
niveles de restriccin adaptadas a diferentes grupos de
usuarios.
Para crearlas ser necesario presionar el botn Nueva...
Luego de presionar el botn aparecer una nueva entrada
en la lista al que debemos asignarle un nombre (que en lo
posible debe ser descriptivo de la directiva), para luego
confirmarlo con enter. Una vez realizado esto, y una vez
comprobado que el nuevo nombre figura en la lista,
seleccionamos la nueva entrada y presionamos el botn
modificar.
Seguidamente obtendremos la ventana de la directiva de
grupo correspondiente que acabamos de crear y, como
podemos observar en la siguiente figura, sobre la
izquierda tenemos la entrada correspondiente a la configuracin del equipo (directivas de equipo) y las que nos atae a nosotros,
configuracin de usuario (o sea directivas de usuario).
Posicionndonos sobre el objeto Plantillas administrativas del contenedor Configuracin de usuario, veremos una serie de
contenedores con grupos de configuraciones enfocadas a diferentes aspectos del entorno de un equipo (por Ej. Escritorio, Sistema,
etc.). Desde este lugar podemos personalizar y generar la poltica ms adecuada a las necesidades de un cliente. Es pertinente notar
que, si observamos detenidamente la lista de de directivas, vemos que existen algunas de ellas que abarcan a las siguientes (en el
orden de aparicin en la lista). Por ejemplo, vemos que existe una entrada Ocultar todos los conos del Escritorio y luego existe una
serie de entradas, que refieren a conos especficos del escritorio. De este modo, si la idea es quitar todos los conos del escritorio,
usaremos la primera opcin. En cambio si solo deseramos quitar algunos, usaramos las opciones que refieren a conos puntuales.
Si queremos aplicar una restriccin especfica, por ejemplo quitar el icono Mis sitios de red del escritorio, debemos hacer doble
clic sobre la directiva y, una vez abierta la ventana correspondiente, configurar el comportamiento de la directiva.
Existen tres tipos de declaracin diferente de directivas:
No configurada: opcin mediante la cual determinamos que el registro no ser modificado con respecto a esta directiva.
Habilitada: el registro ser modificado para que la directiva sea aplicada efectivamente a to-dos los usuarios afectados por la
directiva de grupo.
Deshabilitada: Especifica que no se realizar ningn cambio en el Registro en relacin con este parmetro.
Si queremos que los usuarios afectados por esta directiva, no tengan el icono Mis sitios de red sobre el escritorio, simplemente
debemos seleccionar la opcin habilitada y tal configuracin quedar establecida.
Una vez realizadas todas las configuraciones pertinentes dentro de nuestra Directiva de Grupo, es momento de configurar el campo
de accin de la misma. Es decir que ahora, debemos determinar que grupos de usuarios quedarn afectados por la misma. Para
realizar tal accin cerraremos la ventana de la nueva directiva, volveremos a la pantalla de las propiedades de nuestro dominio y,
previa seleccin de la directiva generada, presionaremos el botn Propiedades y luego el botn Seguridad.
Desde aqu se administran los grupos (o usuarios) que sern abarcados por la directiva. Es importante tener en cuenta ciertos detalles
para que a un grupo le sea aplicada la directiva. Luego de agregado un grupo de usuarios, en la lista de permisos correspondiente
deben estar tildadas dos opciones, el permiso leer y el de Aplicar directiva de grupo. Con esto permitiremos que el grupo tenga acceso
de lectura a la directiva y adems, que se aplique efectivamente.
Atencin: sin estas tildes la directiva no ser aplicada.
Jerarquia entre directivas de grupo

Las directivas ubicadas en la parte superior de la lista son de mayor nivel, por lo tanto pueden anular directivas procesadas con
anterioridad. En otras palabras, pueden volver a aplicar alguna directiva, que ya haya sido configurada por alguna otra directiva
anterior, y por lo tanto, dejarla sin efecto. Teniendo en cuenta esto se puede notar que la ubicacin dentro de la lista, dar la jerarqua
a las diferentes directivas, por lo tanto si existen incoherencias entre ellas, lo valido ser lo especificado por la directiva superior. No
obstante, si sobre un objeto determinado de una de Directiva de grupo se activa la opcin No reemplazar (haciendo clic con el botn

derecho del mouse sobre la directiva y eligiendo esa opcin), esa directiva no se puede volver a configurar . Por lo tanto no importar
lo que otras directivas de jerarqua superior especifiquen, lo declarado por esa directiva ser lo aplicado.
Finalmente y una vez realizado todo este procedimiento podemos decir que la directiva ha quedado utilizable. A partir de este
momento, los usuarios pertenecientes a los grupos elegidos que inicien sesin en el dominio, sern afectados por la directiva
asociada.
6
Win2003
Creacin de Grupos de Usuarios
Gestin y Directivas de Grupos
Por definicin, los grupos en Microsoft Windows 2003 son objetos del servicio de directorio Active Directory o del equipo local que
pueden contener usuarios, contactos, equipos a otros grupos. Sin embargo, en general, un grupo es normalmente una coleccin de
cuentas de usuario. El objetivo de los grupos es simplificar la administracin permitiendo al administrador de la red asignar derechos y
permisos por grupo en lugar de a usuarios individuales.
Tipos de Grupos
En Windows 2003 hay tres tipos de grupos:
Grupos locales: Los grupos locales se definen en un equipo local. Se utilizan solamente en el
equipo local.
Grupos de Seguridad: Los grupos pueden tener descriptores de
seguridad asociados con ellos.
Grupos de distribucin: Los grupos se utilizan para las listas de
distribucin de correo electrnico. No pueden tener descriptores de
seguridad asociados.
mbitos de grupo
Cuando se crea un grupo, se le asigna un mbito de grupo que define cmo se
asignaran los permisos. Las tres posibilidades de mbitos de grupo son:
global, local de dominio y universal.
Dominio Local: Se utilizan para garantizar permisos dentro de un
nico Dominio. Los miembros de los grupos de dominio local pueden
incluir solamente cuentas, tanto de usuarios como de grupos y grupos
del dominio en el que se definen.
Global: Se utilizan para otorgar permisos a objetos en cualquier
dominio en el rbol de dominio o en el bosque. Los miembros de los
grupos globales pueden incluir solamente cuentas y grupos del dominio en el que estn definidos.
Universal: Se utilizan para otorgar permisos a gran escala en el rbol de dominio o en el bosque. Los miembros de los
grupos globales son las cuentas y grupos de cualquier dominio en el rbol de dominio o en el bosque.
Grupos globales y locales de dominio

Ser necesario desarrollar una estrategia para utilizar los diferentes grupos y hacer que los usuarios con responsabilidades laborales
similares pertenezcan a un grupo global.
De este modo, se aadiran cuentas de usuario para todos los artistas grficos a un grupo global llamado Artistas grficos. Otros
usuarios con necesidades comunes deberan asignarse a otros grupos globales. Despus, se deben identificar los recursos a los
cuales necesitan acceder los usuarios y crear un grupo local de dominio para cada recurso. Si, por ejemplo, hay varias impresoras y
trazadores de color que se utilizan en departamentos especficos, se podra crear un grupo local de dominio llamado
ImpresorasDeColor.
Lo siguiente que se debera decidir es qu grupos globales necesitan acceder a los recursos identificados. Continuando con el
ejemplo, se debera aadir el grupo global Artistas grficos al grupo local de dominio ImpresorasDeColor, junto con el resto de grupos
globales que necesiten acceder a las impresoras y los trazadores. El permiso para utilizar los recursos de ImpresorasDeColor debera
asignarse al grupo local de dominio ImpresorasDeColor.
No se debe olvidar que los grupos globales pueden complicar la administracin en situaciones de mltiples dominios. Los grupos
globales de diferentes dominios han de tener sus permisos establecidos individualmente. Adems, la asignacin de usuarios a grupos
locales de dominio y la concesin de permisos al grupo no se darn a los miembros acceso a los recursos fuera del dominio.
Grupos universales
Los Grupos Universales slo se pueden utilizar cuando el dominio se ejecuta en modo nativo y hay que tener en cuenta las siguientes
directrices:

Evitar la adicin de cuentas individuales a los grupos universales, para mantener el trfico de rplica bajo.
Aadir grupos globales de mltiples dominios a grupos universales para proporcionar acceso a recursos a los miembros en
ms de un dominio.
Los grupos universales pueden ser miembros de grupos locales de dominio y otros grupos universales, pero no pueden ser
miembros de grupos globales.
Creacin de Grupos
Abrir Usuarios y equipos de Active Directory desde Herramientas Administrativas.
1. En el rbol de consola, pulsar una OU.
2. Pulsar el men Accin, ir a Nuevo, y entonces pulsar Grupo.

Aparece el cuadro de dialogo Nuevo objeto - grupo. En
Nombre del grupo: introducir un nombre representativo de la
funcin del grupo a crear.
3. En mbito de Grupo:
Dominio Local: Un grupo local de dominio se utiliza para
asignar permisos para acceder a los diferentes recursos de la
red. Debido a que se utiliza el grupo para asignar permisos, se
hace un grupo local de dominio.
Global: Se les pueden conceder permisos en cualquier
dominio del bosque.
Universal: El mbito del grupo universal estar disponible
cuando se estn ejecutando los servicios de Active Directory
en modo Nativo. Se les pueden conceder permisos en
cualquier dominio del rbol o el bosque de dominios
4. En Tipo de Grupo:
Seguridad: Se utilizan para recopilar usuarios, equipos y otros
grupos en unidades ms fciles de administrar. Los
administradores deben asignar los permisos para recursos
(archivos compartidos, impresoras, etc.) a un grupo de
seguridad, no a usuarios individuales. As los permisos se
asignan una vez al grupo en lugar de varias veces a cada usuario individual. Cada cuenta que se agrega al grupo recibe
automticamente los permisos y derechos definidos para ese grupo. Al trabajar con grupos en lugar de usuarios individuales
se simplifica el mantenimiento y la administracin de la red. Seleccionaremos el botn de radio Seguridad.
Distribucin: Los grupos de distribucin slo se pueden utilizar como listas de distribucin de correo electrnico. No pueden
utilizarse para filtrar configuraciones de Directiva de grupo. Los grupos de distribucin no tienen ninguna funcin relacionada
con la seguridad.
Eliminacin de grupos
Para eliminar un grupo, simplemente hay que pulsar con el botn derecho del ratn en su nombre en Usuarios y equipos de Active
Directory y escoger Eliminar en el men contextual. La eliminacin de un grupo solo elimina el grupo y los permisos asociados al
grupo. El nico efecto en las cuentas de los usuarios es que pierden los derechos inherentes al grupo eliminado.
Creacin de grupos locales

Un grupo local es una coleccin de cuentas de usuario en un nico equipo. Las cuentas de usuarios han de ser locales al equipo, y los
miembros de grupos locales solo pueden tener asignados permisos para recursos del equipo donde se cre el grupo local.
Los grupos locales se pueden crear en cualquier equipo Windows 2003 excepto en controladores de dominio. En general, no es
conveniente utilizar grupos locales en un equipo que es parte de un dominio o, al menos, es mejor hacerlo con moderacin. Los
grupos locales no aparecen en el Active Directory, por lo hay que administrarlos independientemente en cada equipo individual.
Gestin de grupos predefinidos y de los derechos de los usuarios

Windows 2003 crea cuatro tipos de grupos predefinidos: locales, locales de dominio, globales y de sistema. Cada tipo de grupo
predefinido tiene un conjunto predeterminado de derechos de usuario. Todo el que es asignado al grupo posee automticamente esos
derechos.
Grupos locales predefinidos

Los servidores miembro, los servidores independientes y los equipos que ejecutan Windows 2003 Profesional tienen grupos locales
predefinidos que otorgan derechos para realizar tareas en una nica maquina.

Grupos locales predefinidos:
Administradores: Sus miembros pueden
realizar todas las tareas administrativas en el
equipo. La cuenta predefinida Administrador
que se crea cuando se instala el sistema
operativo es un miembro del grupo. Cuando
un servidor independiente o un equipo que
ejecuta Windows 2003 Profesional se une a
un dominio, el grupo Admins. del dominio se
hace parte de este grupo.
Duplicadores: No se deben aadir cuentas
de usuario de usuarios reales a este grupo.
Si es necesario, se puede aadir una cuenta
de usuario "ficticia" a este grupo para permitir
iniciar sesin en los servicios Replicador de
un controlador de dominio para administrar la
rplica de archivos y directorios.
Invitados: Sus miembros slo pueden
realizar tareas para las cuales el
administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya
concedido permisos especficamente.
Operadores de copia: Sus miembros pueden iniciar sesin en el equipo, hacer copia de seguridad y recuperar la informacin del
equipo y apagar el equipo. Los miembros no pueden cambiar la configuracin de seguridad. No hay miembros predeterminados
en el grupo.
Usuarios: Los miembros de este grupo pueden iniciar sesin en el equipo, acceder a la red, almacenar documentos y apagar el
equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. Cuando un servidor miembro o una mquina
Windows 2003 Profesional se une a un dominio, el grupo Usuarios del dominio se aade a este grupo.
Usuarios avanzados: Sus miembros pueden crear y modificar cuentas de usuario e instalar programas en el equipo local pero no
pueden ver los archivos de otros usuarios.
Grupos globales predefinidos

Los grupos globales predefinidos se crean para englobar tipos de cuentas comunes. De forma predeterminada, estos grupos no tienen
derechos heredados; un administrador debe asignar todos los derechos del grupo. Sin embargo, algunos miembros se aaden
automticamente a estos grupos, y se pueden aadir como miembros basndose en los derechos y permisos asignados a los grupos.
Los derechos se pueden asignar directamente a los grupos o aadiendo los grupos globales predefinidos a grupos locales de dominio.
Grupos globales predefinidos usados ms frecuentemente

Administracin de empresas: Este grupo es para usuarios que tengan derechos administrativos en toda la red.
Administracin de empresas es automticamente un miembro del grupo local de dominio Administradores en el dominio en el
que se creo. Ser necesario aadirlo al grupo local de dominio Administradores de otros dominios.
Admins. del dominio: Este grupo es automticamente un miembro del grupo local de dominio Administradores, por lo que
los miembros de Admins. del dominio pueden realizar tareas administrativas en cualquier equipo del dominio. La cuenta
Administrador es un miembro de este grupo de forma predeterminada.
Controladores del dominio: Todos los controladores de dominio del dominio con miembros.
Equipos del dominio: Son miembros todos los controladores y estaciones de trabajo del dominio.
Invitados del dominio: La cuenta Invitado es un miembro de forma predeterminada. Este grupo es automticamente un
miembro del grupo local de dominio Invitados.
Propietarios del creador de directivas de grupo: Sus miembros pueden crear y modificar la directiva de grupo del dominio.
Usuarios del dominio: Todos los usuarios del dominio y la cuenta Administrador son miembros. El grupo Usuarios del
dominio es automticamente un miembro del grupo local de dominio usuarios.
Derechos de usuario
Derechos son aquellas acciones que los usuarios pueden o no realizar. Los derechos se aplican generalmente al sistema entero. La
capacidad de hacer copia de seguridad de archivos o de iniciar sesin en un servidor, por ejemplo, es un derecho que el administrador
concede o retira. Los derechos se pueden asignar de forma individual, pero la mayora de las veces son caractersticas de los grupos,
y un usuario se asigna a un grupo particular en base a los derechos que necesita.
Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos especficos como archivos, directorios a impresoras.
Los derechos, a su vez, estn divididos en dos tipos: privilegios y derechos de inicio de sesin.
Los privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o forzar el apagado desde un sistema
remoto; obviamente cosas que no hacen la mayora de los usuarios.
Los derechos de inicio de sesin implican la capacidad de conectarse a un equipo de forma especfica. Los derechos se
asignan automticamente a usuarios individuales adems de a grupos.
Es preferible la asignacin a grupos, por lo que, en la medida de lo posible, se deberan asignar los derechos por pertenencia a un
grupo para simplificar la administracin. Cuando la pertenencia de los grupos define derechos, se pueden eliminar los derechos de un
usuario eliminando simplemente al usuario del grupo.
Privilegios asignados de forma predeterminada a los grupos
Privilegio Descripcin Grupos con el privilegio

asignado de forma
predeterminada
Actuar como parte del Permite a un proceso autenticarse como cualquier usuario. Un Ninguno
sistema operativo proceso que requiere este privilegio debera utilizar la cuenta
LocalSystem, que ya incluye este privilegio.
Agregar estaciones de Permite a un usuario aadir nuevas estaciones de trabajo a un Administradores
trabajo a un dominio dominio existente.
Apagar el sistema Apaga Windows 2003. Administradores, Operadores
de copia, Todos, Usuarios,
Usuarios avanzados
Cambiar la hora del sistema Permite establecer la hora del reloj interno del equipo. Administradores, Usuarios
avanzados.
Cargar y descargar Instalar y desinstalar controladores de dispositivo. Administradores
controladores de dispositivo
Forzar el apagado desde un Permite apagar un equipo desde una ubicacin remota de la red. Administradores
sistema remoto
Habilitar la opcin de Permite a un usuario establecer la configuracin Confianza para la Administradores
confianza para la delegacin delegacin en un objeto.
en las cuentas de usuario y
de equipo
Omitir la comprobacin de Permite a un usuario recorrer los rboles del directorio (estructuras Todos
recorrido de carpetas) incluso si el usuario no tiene permiso para acceder a
los directorios por los que pasa.
Realizar copias de Permite hacer copias de seguridad del sistema, ignorando los Administradores, Operadores
seguridad de archivos y permisos especficos de archivos y carpetas. de copia
directorios
Restaurar archivos y Permite restaurar archivos y carpetas en un sistema; invalida los Administradores, Operadores
directorios permisos especficos de archivos y carpetas. de copia
Tomar posesin de archivos Permite a un usuario tomar posesin de cualquier objeto de Administradores
y otros objetos seguridad incluyendo archivos y carpetas, impresoras, claves de
registro y procesos. Invalida los permisos especficos.
Derechos de inicio de sesin asignados de forma predeterminada a los grupos

Nombre Descripcin Grupos con el derecho asignado
de forma predeterminada
Iniciar sesin como servicio Permite iniciar sesin como un servicio Ninguno
utilizando una cuenta de usuario y un
contexto de seguridad especficos.
Iniciar sesin como trabajo de Permite iniciar sesin utilizando una cola Administradores
procesamiento por lotes de procesamiento por lotes.
Iniciar sesin local Permite iniciar sesin desde el teclado Administradores, Operadores
del equipo. de copia; Operadores de
cuentas, Operadores de
impresin, Operadores de
servidores
Tener acceso a este equipo desde la red Permite la conexin al equipo a travs de Administradores, Todos,
la red. Usuarios avanzados.

7
Win2003
Archivos compartidos
Como compartir informacin en un entorno Active Directory
Bsqueda de objetos de usuario
Para buscar un cuenta de usuario en particular hay que abrir Usuarios y
equipos de Active Directory desde el men Herramientas administrativas
y, en la barra de herramientas, pulsar el icono Encontrar.
Esto abre el cuadro de dialogo Buscar Usuarios, contactos y grupos. Si se
abre la lista desplegable del cuadro Buscar se observar que se puede
utilizar esta herramienta para buscar equipos, impresoras, carpetas
compartidas, departamentos y mucho ms.
Para buscar un usuario especfico, hay que seleccionar el mbito de la
bsqueda en el cuadro En. Se puede escribir un nombre, parte de un
nombre o algn otro elemento descriptivo que sea parte del perfil del
usuario, y pulsar Buscar ahora. Una bsqueda con parte de un nombre
devuelve todos los usuarios con ese elemento en sus nombres.
Cuanto ms grande sea la red, ms especifica tendr que ser la bsqueda. En un entorno con una gran red, se puede limitar la
bsqueda a una unidad organizativa especifica. Hay que abrir Usuarios y equipos de Active Directory desde el men Herramientas
administrativas. Hay que pulsar con el botn derecho del ratn en la OU en la que se este interesado y seleccionar Buscar en el men
contextual.
Administracin de carpetas y archivos

En particiones con formato FAT se pueden restringir los archivos solo a nivel de carpeta, slo desde la red y slo si la carpeta esta
compartida. Para alguien que inicie sesin localmente, los recursos compartidos no tendrn efecto.
En un volumen NTFS, los directorios pueden ser compartidos y tambin restringidos ms profundamente a causa del significado de
los permisos. En un volumen NTFS, se deberan utilizar los permisos de carpetas y archivos para el control de la seguridad tanto
localmente como desde la red y permitir acceso de Control total a Todos en el recurso compartido.
Carpetas compartidas
La forma ms sencilla de crear carpetas compartidas es utilizar la herramienta
Configurar el servidor del men Herramientas administrativas. Para hacerlo, hay
que seguir estos pasos:
1. Abrir Configurar el servidor y pulsar Servidor de archivos en la columna
de la izquierda.
2. Pulsar el vinculo Iniciar el Asistente para carpetas compartidas para abrir
el cuadro de dialogo Crear carpeta compartida.
3. Introducir el nombre y ruta de acceso de la carpeta y un nombre del
recurso compartido.
4. Seleccionar los permisos de recurso compartido que se desean asignar a
la carpeta teniendo en cuenta que casi siempre es mejor controlar el
acceso por medio d e permisos en lugar que con recursos compartidos.
Pulsar Finalizar cuando se haya terminado.
Se pueden definir recursos compartidos directamente pulsando con el botn
derecho del ratn en una carpeta, escogiendo Propiedades en el men contextual
y pulsando despus en la pestaa Compartir.
Los nombres de los archivos o directorios pueden tener hasta 255 caracteres.
Windows 2003 convierte los nombres largos en nombres cortos utilizando las
siguientes reglas:
Los espacios se eliminan.
Los caracteres que no se permiten en los nombres MS-DOS son reemplazados por subrayados (_).
El nombre se reduce a sus primeros seis caracteres restantes y despus se aade una tilde y un digito. Por ejemplo, un
archivo llamado Presupuestos para marzo se reducir a PRESUP~1. Un segundo archivo, llamado Presupuestos para el
segundo trimestre, se reducir a PRESUP~2.
Creacin de un nuevo recurso compartido para una carpeta compartida

Una nica carpeta puede ser compartida ms de una vez. Por ejemplo, un recurso compartido podra incluir Control total para
Administradores y otro recurso compartido para usuarios podra ser ms restrictivo. Para aadir un nuevo recurso compartido, hay que
seguir estos pasos:

1. Buscar la carpeta compartida en el Explorador de Windows y pulsar con el botn derecho del ratn en ella. Hay que escoger
Compartir en el men contextual.
2. En el cuadro de dialogo que se abre, hay que pulsar el botn Nuevo recurso compartido.
3. En el cuadro de dialogo Nuevo recurso compartido hay que introducir un nuevo Nombre de recurso compartido. (Cada
recurso compartido debe tener un nombre nico.) Hay que establecer un limite de usuarios, si es necesario.
4. Pulsar Permisos para restringir el acceso. De nuevo, de forma predeterminada, la carpeta compartida otorga Control total a
todos los usuarios.
Desconexin de carpetas compartidas

Para que una carpeta deje de estar compartida, hay que abrir Administracin de equipos desde el men Herramientas administrativas.
Hay que expandir Herramientas del sistema, despus Carpetas compartidas y por ultimo Recursos compartidos. Hay que pulsar con el
botn derecho del ratn en la carpeta compartida en el panel de detalles y escoger Dejar de compartir en el men contextual.
Si se deja de compartir una carpeta a la que estn conectados usuarios, los usuarios son expulsados de la carpeta sin avisos y
pueden perder informacin.
Definicin de los permisos de recursos compartidos

Para establecer permisos de recursos compartidos, hay que pulsar con el botn derecho
del ratn en la carpeta y escoger Compartir en el men contextual. Hay que pulsar el botn
Permisos para abrir el cuadro de dialogo. El tipo de acceso se establece por medio de la
lista de la parte inferior. Se pueden utilizar los botones Agregar y Quitar para cambiar quien
accede. Los permisos de recursos compartidos se pueden asignar a usuarios individuales,
a grupos y a las entidades especiales Todos, SYSTEM, INTERACTIVE, NETWORK y
Usuarios autentificados.
Los tipos de permisos de recursos compartidos desde el menos al ms restrictivo son:
Leer: Permite ver los nombres de los archivos y subcarpetas, siempre se puede
revisar y borrar el registro de seguridad.
Modificar: Permite el acceso de Leer adems de permitir agregar archivos y
subdirectorios a la carpeta compartida, modificar la informacin de los archivos y
eliminar archivos y subdirectorios.
Control total: Permite todo el acceso de Modificar adems de permitir cambiar
permisos (solo en volmenes NTFS) y tomar posesin (solo en volmenes NTFS).
Asignacin de directorios y unidades compartidos

Despus de ir de ac para all entre varias ventanas de Mis sitios de red para buscar una carpeta compartida, los usuarios pueden
simplemente pulsar, dos veces con el ratn en la carpeta para abrirla y acceder a su contenido. Para facilitar el acceso, hay que pulsar
con el botn derecho del ratn en la carpeta compartida y arrastrarla al escritorio. Hay que seleccionar Crear iconos de acceso directo
aqu despus de soltar el botn.
Una conexin a unidad es incluso mejor que un acceso directo a un recurso importante: si se utilizan programas antiguos, no van a
reconocer los sitios de red y no sern capaces de abrir o guardar archivos en ninguna otra parte salvo en el propio equipo. Si se crea
una conexin a la unidad, el programa coopera porque la unidad del otro equipo parece (para el programa al menos) ser local.
Para configurar estas conexiones para los usuarios:
1. Abrir Mis sitios de red y buscar el recurso compartido al que se quiere conectar.
2. Pulsar con el botn derecho del ratn en el objeto y escoger Conectar a unidad de red en el men contextual. El cuadro de
dialogo que aparece tiene tres entradas configurables:
a. Unidad: Esta es la letra que se asignara a la nueva carpeta o unidad en el equipo local.
b. Conectar utilizando un nombre de usuario diferente: Si la conexin es para alguien distinto del usuario actual,
hay que pulsar este vnculo y suministrar el nombre y contrasea del usuario.
c. Conectar de nuevo al iniciar sesin: Se puede seleccionar este cuadro para que se realice automticamente la
conexin al iniciar sesin en el equipo donde reside fsicamente este recurso.
3. Pulsar Finalizar cuando se haya terminado.
Trabajo con carpetas compartidas
Se puede ver una lista de recursos compartidos, sesiones actuales y archivos abiertos abriendo Administracin de equipos desde el
men Herramientas administrativas y expandiendo despus Carpetas compartidas.
Se puede expandir Recursos compartidos para ver una lista de las carpetas compartidas adems de la siguiente informacin sobre
cada carpeta:
La ruta de acceso al recurso compartido.
El tipo de conexin (Windows, Macintosh, NetWare).
El nmero de usuarios conectados al recurso compartido.
Una descripcin del recurso compartido..
Se puede expandir Sesiones en el rbol de la consola para ver la siguiente informacin sobre los usuarios que estn actualmente
conectados:
El nombre del usuario y el nombre del equipo del usuario.
El tipo de conexin (Windows, Macintosh, NetWare).

El nmero de archivos abiertos por el usuario en este recurso compartido.
El tiempo transcurrido desde que se estableci la conexin.
El tiempo desde que el usuario inicio por ltima vez una accin.
Si el usuario esta conectado como invitado.
Se puede expandir Archivos abiertos en el rbol de la consola para obtener una lista de los archivos abiertos actualmente. En el panel
de detalles se puede ver el nombre del archivo, quien lo abri, el tipo de conexin, el nmero de bloqueos sobre el archivo (si los hay)
y los permisos de recurso compartido que se concedieron cuando se abri el archivo.
Si se comprueban habitualmente los recursos compartidos, puede ser ms eficiente crear una MMC que contenga el complemento
Carpetas compartidas. Se puede aadir un complemento Carpetas compartidas para cada servidor y cambiar entre ellos fcilmente.
Mantenimiento de los permisos para carpetas y archivos

En un volumen NTFS se pueden establecer permisos a nivel de archivo. Esto significa que cualquier archivo puede otorgar a los
usuarios diferentes tipos de acceso. Aunque se pueden establecer esos permisos tan detallados, esto sera una locura.
Siempre hay que tratar de trabajar con los permisos ms simples posibles. Hay que definir las menos restricciones posibles. Se deben
asignar permisos a grupos, no individualmente. No hay que establecer permisos archivo a archivo a menos que sea inevitable.
Gestionar las nimiedades de los permisos puede absorber fcil y rpidamente todo el tiempo.
Consideracin de la herencia
Existen dos tipos de permisos, explcitos y heredados. Los permisos explcitos son los que se establecen en las carpetas que se
crean. Los permisos heredados son aquellos que se derivan de un objeto primario a un objeto hijo. De forma predeterminada, cuando
se crea una subcarpeta, hereda los permisos de la carpeta superior.
Si no se desea que los objetos hijo hereden los permisos del primario, se puede bloquear la herencia a nivel primario o a nivel hijo.
Donde se bloquea la herencia es importante. Si se bloquea a nivel primario, ninguna subcarpeta heredar permisos. Si se bloquea
selectivamente a nivel hijo, algunas carpetas heredarn permisos y otras no.
Para bloquear la herencia a nivel primario, hay que escoger Solo esta carpeta cuando se asignan permisos especiales. Para evitar
que un cierto archivo o carpeta herede permisos, hay que pulsar con el botn derecho del ratn en la carpeta, seleccionar
Propiedades y pulsar despus en la pestaa Seguridad. Hay que desactivar la casilla de verificacin hacer posible que los permisos
heredables de un objeto primario se propaguen a este objeto.
Significado de los permisos

Windows 2003 Server posee un conjunto de permisos estndar que son combinaciones de clases de acceso especificas. Los
permisos individuales son Control Total, Modificar, Lectura y ejecucin, Listar el contenido de la carpeta, Leer y Escribir.
Los permisos de archivo incluyen Control total, Modificar, Lectura y ejecucin, Leer y Escribir. Al igual que con las carpetas, cada uno
de estos permisos controla un grupo de permisos especiales.
Permisos especiales para las carpetas

Permiso especial Control Modificar Lectura y Listar el contenido de la Leer Escribir
total ejecucin carpeta
Recorrer carpeta/Ejecutar archivo S S S S S No
Listar carpeta/Leer datos S S S S S No
Atributos de lectura S S S S S No
Atributos extendidos de lectura S S S S S No
Crear archivos/Escribir datos S S No No No S
Crear carpetas/Anexar datos S S No No No S
Atributos de escritura S S No No No S
Atributos extendidos de escritura S S No No No S
Eliminar subcarpetas y archivos S No No No No No
Eliminar S S No No No No
Permisos de lectura S S S S S S
Cambiar permisos S No No No No No
Tomar posesin S No No No No No
Cualquier usuario o grupo que tenga asignado Control total en una carpeta puede eliminar archivos y subcarpetas
independientemente de los permisos que tengan los archivos o subcarpetas individuales.
Las reglas importantes para los permisos se pueden resumir como sigue:
De forma predeterminada, una carpeta hereda permisos de su carpeta primaria. Los archivos heredan sus permisos de la
carpeta en la que residen.
Los usuarios pueden acceder a una carpeta o archivo si se les ha concedido permiso para hacerlo o si pertenecen a un grupo
que tiene permiso concedido. Los permisos son acumulativos, pero el permiso Denegar gana al resto. Por ejemplo, si el
grupo Escritores tcnicos tiene acceso Leer a una carpeta, el grupo Proyecto tiene permiso Modificar para la misma carpeta y
Alejandro es un miembro de ambos grupos, Alejandro tendr el nivel de permiso ms alto, que es Modificar. Sin embargo, si
el permiso del grupo Escritores tcnicos se cambia para Denegar explcitamente, Alejandro no podr utilizar la carpeta, a
pesar de su pertenencia y aparentemente mayor nivel de acceso al grupo Proyecto.

El usuario que crea un archivo o carpeta es el propietario de ese objeto y puede establecer permisos para controlar el
acceso.
Un administrador puede tomar posesin de cualquier archivo o carpeta, pero no puede ceder la propiedad a nadie ms.
Configuracin de los permisos de las carpetas

Antes de compartir una carpeta en un volumen NTFS, hay que establecer todos los permisos en la carpeta. Cuando se establecen
permisos de carpeta se estn estableciendo tambin permisos en todos los archivos y subcarpetas de la carpeta.
Para asignar permisos a una carpeta, hay que pulsar con el botn derecho del ratn en la carpeta en el Explorador de
Windows y escoger Propiedades. Despus hay que pulsar en la pestaa Seguridad y seleccionar los Permisos.
Para eliminar un individuo o grupo de la lista, basta con resaltar el nombre y pulsar Quitar.
Para aadir a la lista de aquellos con permisos, hay que pulsar el botn Agregar. Esto abre el cuadro de dialogo Seleccionar
Usuarios, Equipos y Grupos.
Hay que pulsar Aceptar cuando se haya terminado y se abrir el cuadro Permisos de carpeta con los nuevos nombres.
Asignacin de permisos a los archivos

Los permisos para archivos individuales se asignan de la misma forma que para las carpetas. Sin embargo, existen algunas
consideraciones especiales:
Hay que recordar el conceder permisos a grupos en lugar de a individuos.
Hay que crear grupos y asignarles permisos de archivos en lugar de asignar permisos directamente a grupos locales.
Configuracin de permisos especiales
En algunas circunstancias, puede ser necesario establecer, cambiar o eliminar permisos especiales bien en un archivo o bien en una
carpeta. (Los permisos especiales de una carpeta slo afectan a la carpeta.) Para acceder a los permisos especiales, hay que seguir
estos pasos:
1. En el Explorador, hay que pulsar con el botn derecho del ratn en el archivo o carpeta y escoger Propiedades en el men
contextual.
2. Pulsar en la pestaa Seguridad y pulsar despus el botn Avanzada.
o Para aadir un usuario o grupo, hay que pulsar el botn Agregar. Hay que pulsar dos veces con el ratn en el
nombre del usuario o grupo para abrir el cuadro de dilogo Entrada de permiso.
o Para ver o modificar los permisos especiales existentes, hay que resaltar el nombre del usuario o grupo y pulsar el
botn Ver o modificar.
o Para eliminar los permisos especiales, hay que resaltar el nombre del usuario o grupo y pulsar Quitar. Si el botn
Quitar est atenuado, hay que desactivar la casilla de verificacin Hacer posible que los permisos heredables de un
objeto primario se propaguen a este objeto y saltar al paso 6.
3. En el cuadro de dilogo Entrada, de permiso, hay que seleccionar dnde se desean aplicar los permisos en el cuadro Aplicar
en. Aplicar en slo est disponible para, carpetas.
4. En Permisos hay que pulsar Permitir o Denegar para cada permiso.
5. Para evitar que las subcarpetas y archivos hereden estos permisos hay que seleccionar Aplicar estos permisos a objetos y/o
contenedores slo dentro de este contenedor.
6. Pulsar Aceptar para cerrar los cuadros de dilogo.
En el cuadro, de dilogo Entrada de permiso de las carpetas se puede escoger cmo y dnde aplicar los permisos especiales.
Aplicacin de los permisos especiales cuando est seleccionado Aplicar estos permisos a objetos y/o
contenedores slo dentro de este contenedor
Seleccin en Se aplica a la Se aplica a Se aplica a Se aplica a las Se aplica a
Aplicar en carpeta subcarpetas de archivos de la carpetas archivos en las
actual? la carpeta carpeta actual? posteriores? carpe tas
actual? posteriores?
Slo esta carpeta S No No No No
Esta carpeta, S S S S S
subcarpeta y
archivos
Esta carpeta y S S No S No
subcarpeta
Esta carpeta y S No S No S
archivos
slo subcarpetas y No S S S S
archivos
slo subcarpetas No S No S No
Slo archivos No No S No S
Cuales son las funciones de un Servidor DFS

DFS facilita la construccin de una nica vista jerrquica de mltiples servidores de archivos. En
vez de ver una red fsica compuesta por decenas de servidores de ficheros, cada uno con una
estructura de directorios separada, los usuarios vern unos pocos directorios lgicos que

incluyen todos los servidores y carpetas compartidas. Cada carpeta compartida aparecer en el lugar lgico que le corresponde en el
directorio, sin importar en que servidor se encuentra.
DFS es, para los servidores y las carpetas compartidas, lo que los sistemas de ficheros es para los discos duros. Los sistemas de
ficheros proporcionan un acceso nominado uniforme al conjunto de sectores del disco; DFS proporciona una convencin de
nominacin uniforme para los servidores, carpetas compartidas y ficheros. De esta forma, DFS hace posible organizar los servidores
de archivos y sus recursos compartidos en una estructura jerrquica, haciendo ms fcil para una gran organizacin administrar y usar
sus recursos de informacin.
Mientras las redes continan creciendo en tamao y las organizaciones empiezan a usar el almacenamiento del que disponen, tanto
interna como externamente, para tales fines como son las intranets, la asignacin de una nica letra de unidad a medios de red
compartidos resulta eficaz. Adems, a pesar de poder usar directamente nombres UNC, los usuarios pueden verse desbordados por
el nmero creciente de lugares de donde deben obtener datos.
DFS soluciona estos problemas vinculando servidores de archivos y recursos compartidos a un espacio de nombres sencillo y
descriptivo. Dado que DFS asigna el almacenamiento fsico como una representacin lgica, la ventaja es que la ubicacin fsica de
los datos se hace transparente para los usuarios y las aplicaciones.
Tipos y caractersticas de DFS
Se pueden configurar dos tipos de DFS:
DFS independiente. Almacena la topologa de DFS en el
registro del equipo local donde se crea. Este tipo de DFS no
proporciona tolerancia a errores si se produce un error en el
equipo donde se almacenan las carpetas compartidas o la
topologa DFS, puesto que se almacena en una sola mquina.
Cada equipo puede alojar solo un rbol DFS como mximo.
DFS de dominio. Almacena la topologa de DFS en Active
Directory. Este tipo de DFS seala a varias carpetas
compartidas idnticas, lo que proporciona tolerancia a errores.
Adems, admite el Sistema de nombres de dominio, varios
niveles y la replicacin de archivos.
Como conclusin, podemos decir que para compartir los recursos de archivo en toda la red, DFS:
Organiza los recursos en una estructura de rbol. Un recurso compartido de DFS utiliza una estructura de rbol que contiene un nodo
raz y vnculos. Para crear un recurso compartido DFS, primero debe crear una raz DFS. Cada raz DFS puede tener varios vnculos
por debajo, cada uno de los cuales seala a una carpeta compartida. Los vnculos de la raz DFS representan carpetas compartidas
que pueden encontrarse fsicamente en diferentes servidores.
Facilita la exploracin de la red. Un usuario que recorre un rbol
administrado por DFS no necesita conocer el nombre del servidor
donde est compartida la carpeta. Esto simplifica el acceso a la red, ya
que los usuarios no necesitan encontrar el servidor donde se encuentra
un determinado recurso de red. Tras conectar con la raz DFS, los
usuarios podrn buscar y tener acceso a todos los recursos situados
por debajo de la raz, con independencia de la ubicacin o el nombre
del servidor.
Facilita la administracin de la red. DFS de dominio tambin simplifica
la administracin de la red. Si se produce un error en un servidor, un
administrador puede mover un vnculo de un servidor a otro sin que los
usuarios se den cuentan del cambio. Para mover un vnculo basta con
modificar la carpeta DFS para que haga referencia a la ubicacin de las
carpetas compartidas en el nuevo servidor. Los usuarios siguen
utilizando la misma ruta DFS que seala el vnculo.
Conserva los permisos de red. Un usuario puede tener acceso a una
carpeta compartida a travs de DFS, siempre y cuando tenga el permiso necesario de acceso a la carpeta compartida.
Slo los equipos cliente con software de cliente DFS pueden tener acceso a los recursos de DFS. Los equipos que corren bajo
Windows 98, Windows NT 4.0 o Windows 2003 incluyen software de cliente DFS. Debe descargar e instalar este software en los
equipos que ejecuten Microsoft Windows 95.
Configuracin de una Raz DFS de dominio

Una raz DFS de dominio debe estar alojada en un servidor miembro del dominio. Active Directory almacena la topologa de cada rbol
DFS y replica la topologa en todos los servidores raz DFS participantes. Como los cambios realizados en un rbol DFS se
sincronizan automticamente con Active Directory, siempre puede restaurar la topologa de un rbol DFS si la raz DFS est fuera de
conexin por cualquier motivo.
Se puede implementar la tolerancia a fallos los archivos contenidos en el rbol DFS mediante la asignacin de rplicas a un vnculo
DFS. Un conjunto de recursos replicados puede atender a cualquier nodo del rbol DFS. Si por cualquier motivo se produce un error
en la conexin de un cliente a una rplica, el cliente DFS intentar automticamente conectarse a otra rplica. El cliente DFS recorre
todas las rplicas hasta que encuentra una disponible.

Para crear una raz DFS de dominio, utilice la consola del Sistema de archivos distribuido y desde ah, inicie el Asistente para crear
nueva raz DFS. A continuacin se describen las opciones que se pueden configurar:
1. Seleccin del tipo de raz DFS: en este caso, raz DFS de dominio.
2. Seleccin del dominio husped para la raz DFS: el dominio host del rbol DFS. Un dominio puede alojar varias races DFS.
3. Especificar el servidor husped para la raz DFS: el punto de conexin inicial, o el servidor host, para todos los recursos
contenidos en el rbol DFS.
4. Especificar el recurso compartido de raz DFS: una carpeta compartida para albergar la raz DFS. Puede elegirse una carpeta
compartida existente o crearse una nueva.
5. Nombre de la raz DFS: un nombre descriptivo para la raz DFS.
Configuracin de los vnculos DFS

Se pueden agregar recursos compartidos DFS en la raz o en cualquier otro
nodo de rama del rbol. Si el recurso en cuestin no es de Windows 2003,
el recurso compartido se agregar como una hoja, que no puede tener un
vnculo por debajo de ella.
Una vez que haya creado una raz DFS, puede crear vnculos DFS que
sealen a las carpetas compartidas. Para crear un vnculo DFS, deben
seguirse los pasos citados a continuacin:
1. En la consola Sistema de archivos distribuido, hacer clic en la raz
DFS a la que agregar un vnculo.
2. En el men Accin, hacer clic en Nuevo vnculo DFS.
3. En el cuadro de dilogo Crear un nuevo vnculo DFS, se pueden
configurar las opciones:
a. Nombre de vnculo: el nombre que los usuarios vern
cuando se conecten a DFS.
b. Enviar el usuario a esta carpeta compartida: el nombre
UNC de la ubicacin real de la carpeta compartida a la que se refiere el vnculo.
4. Comentario.
Los clientes mantienen en cach esta referencia durante x segundos: es el intervalo de tiempo durante el que los clientes mantendrn
en cach una referencia a un vnculo DFS. Una vez caducada la referencia, el cliente tienen que volver a consultar al servidor DFS
para conocer la ubicacin del vnculo.
Una vez creado el vnculo, este aparecer bajo el volumen de la raz DFS en la consola del Sistema de archivos distribuidos.
7
Win2003
Creacin de Servidores de Intranet
Que es una intranet?
Es una red local de ordenadores en donde un ordenador est configurado como Servidor de Pginas Web de tal manera que los
dems pueden ver esas pginas del servidor como si estuviesen conectados a Internet, o sea, es una red similar a Internet, diseada
con su protocolo TCP/IP y con servicios semejantes a los de la Web, pero de uso interno en las empresas y, por lo tanto, sin conexin
necesaria a Internet.
Tambin podemos tener un Servidor FTP, que contiene archivos que los
dems pueden consultar o copiar, as como un Servidor de Correo para
mandar y recibir mensajes mediante el Outlook, por ejemplo.
Supongamos que tenemos una red local con 15 PC, uno de ellos se llama
Webserver o bien tiene la direccion IP 192.36.125.65 y est configurado
como servidor de pginas web, adems tiene alojado una serie de pgina
web de la empresa, entonces, cualquier PC de la intranet podran ver esas
pginas a travs del Internet Explorer poniendo una direccin de esta
forma http://Webserver/index.htm. o bien http://192.36.125.65
Internet Information Server
Instalacin de IIS

Normalmente es uno de los componentes de Windows 2003 que viene seleccionado por defecto. Si no fuera as, en la propia
instalacin de Windows 2003 se puede seleccionar bajo el epgrafe Componentes de Windows.
Si se desea instalar manualmente habra que ir al Panel de Control->Aadir o Quitar Programas y hacer clic sobre el icono Agregar o
Qitar componentes de Windows. Una vez lanzado el Asistente para Componentes de Windows, seleccionar de la lista Servicios de
Internet Information Server.
Presione en detalles si desea ver los elementos que se instalan en su totalidad tales como Servidor FTP y Servidor SMTP.
Administracin de sitios Web

En este punto, nos centraremos en las tareas de administracin del servidor Web y Ftp de IIS, aunque IIS puede realizar las funciones
de servidor SMTP (Send Mail Transfer Protocol) y de servidor NNTP ( o servidor de noticias ).
La herramienta recomendable de administracin del software IIS ser el snap-in de la MMC (Microsoft Management Console) o
Administrador de servicios de Internet.
Creacin de un sitio Web
Internet Information Server incluye un sitio web, un sitio FTP,
un sitio SMTP y un sitio NNTP configurados por defecto.
Esto no significa que deba limitarse a un nico sitio; se
pueden crear sitios virtuales en el mismo equipo
Los sitios web estn almacenados en directorios segn una
estructura lgica. Existen dos tipos de directorios: directorios
principales y directorios virtuales.
Directorio principal: En el caso del sitio web

predeterminado suele ser el directorio
c:\InetPub\wwwroot. En este directorio colgarn
nuestras pginas web.
Directorio virtual: se utiliza cuando el sitio web

est distribuido entre varios directorios, unidades o
equipos.
El primer paso para crear varios sitios web en su servidor consistir en configurar los directorios principales predeterminados. Estos
directorios pueden residir en el disco local o en una unidad de red. Bastar utilizar el explorador de Windows para crear una nueva
carpeta.
1. Se iniciar el Administrador de servicios de Internet. En el men Accin, seleccione Nuevo sitio web, para iniciar el Asistente
para crear un sitio web. Haga clic en Siguiente para pasar a la pantalla de introduccin de datos. El primer cuadro de dilogo
nos pedir una descripcin del sitio, la cual lo identificar en la MMC.
2. Aparecer el cuadro de dilogo Direccin IP y configuracin de puerto . En esta seccin, tambin podemos definir el nombre
de encabezado de host que nos permitir crear un sitio virtual. Eso si, habr que tener en cuenta que tendremos que aadir
esa informacin a un servidor DNS (normalmente con una directiva CNAME) o en nuestro caso aadiendo la correspondiente
entrada al fichero hosts.
3. El siguiente paso es definir el Directorio particular, donde escribiremos la ruta de acceso a la carpeta que hemos creado
anteriormente. Si queremos que todo el mundo (sin autenticacin previa) acceda a nuestro sitio web, dejaremos definido el
item Permitir accesos annimos a este sitio Web.
4. Una vez definido el Directorio particular, aparecer el cuadro de dilogo Permisos de acceso al sitio web.
Esta pestaa nos permitir definir los permisos adecuados para que los clientes tengan acceso a este sitio web:
Lectura. Permite que los clientes vean pginas de este sitio.
Ejecutar secuencias de comandos. Permite que los clientes soliciten
pginas con cdigo ASP y que se ejecute dicho cdigo.
Ejecutar. Esta opcin permite la ejecucin de aplicaciones CGI o
ISAPI en este sitio.
Escritura. Si se activa esta opcin, los clientes podrn cargar,
eliminar o transferir archivos a este directorio.
Examinar. Permite que los clientes examinen el contenido de los
directorios
Si hemos seguido los pasos anteriores en MMC tendremos una nueva entrada
cuyo nombre se corresponder con la descripcin del sitio y por tanto
habremos creado un nuevo sitio web.
Configuracin de un sitio Web

Cada sitio web tiene asociadas una serie de propiedades que definen su comportamiento. Por tanto, el administrador es libre de
cambiar este comportamiento modificando sus propiedades. Estas propiedades se pueden modificar a travs de las pginas de
propiedades, y pueden referirse al sitio, al directorio o a un fichero en cuestin.
La pgina de propiedades de un sitio web se obtiene en la MMC pulsando el botn derecho sobre el sitio web anteriormente definido y
eligiendo el menu propiedades.
Muchas de las propiedades que podemos definir aqu ya las hemos visto a la hora de definir el nuevo sitio web. Nos centraremos en
este momento en aquellas que creemos son importantes para un buen funcionamiento del servidor.
Sitio Web. En esta lengueta, adems de definir la identificacin del sitio web, podemos definir el nmero de conexiones que
aceptar nuestro servidor web.
Operadores. Los operadores del sitio web son usuarios definidos en Windows 2003 que poseen permisos para alterar la
configuracin y el funcionamiento del servidor Web. Aqu aadiremos aquellos usuarios que deseamos administren el sitio
web.
Rendimiento. En esta pestaa podremos ajustar una serie de parmetros que
influirn en el rendimiento del sitio web. Los parmetros que se configuran
para cada sitio, prevalecen sobre los definidos en el servidor
Documentos. Aqu definiremos el documento predeterminado que se
mostrar si se invoca este sitio directamente sin indicar un pgina concreta.
Establecer la pgina inicial y el registro de visitas
En Habilitar documento predeterminado especificamos en su ventana cual sera el
documento que el servidor abrir al ingresar un usuario en nuestra web. Este
documento es el de inicio de nuestra web, el que primero se abre y que no depende del
usuario. Esta archivo o pagina inicial generalmente debe recibir el nombre index.htm
Con esto hemos terminado lo configuracin basica para montar nuestro primer servidor
de paginas web.
Ver el archivo de registros de visitas para ver que secciones de nuestra web son las
mas visitadas y cuales no lo son y asi mejorarlas. Para ver este archivo es tan fcil
como abrir con un editor de texto lo que veamos en la siguiente direccin de nuestro
ordenador \WINDOWS\System32\LogFiles. Para que esto funcione tenemos que activarlo en la pestaa de "Sitio Web" ( en
propiedades de nuestro sitio web )
Servidor DCHP
DHCP (Dynamic Host Configuration Protocol) o Protocolo Dinmico de Configuracin de Equipos no es un protocolo especfico de
Windows 2003, sino que se trata de un estndar para cualquier tipo de sistema conectado a una red TCP/IP.
La funcin bsica de este protocolo es evitar que el administrador tenga que configurar manualmente las caractersticas propias del
protocolo TCP/IP en cada equipo. Para ello, existe en la red un sistema especial, denominado servidor DHCP, que es capaz de
asignar la configuracin TCP/IP al resto de mquinas presentes en la red, o clientes DHCP, cuando estos arrancan.
Entre los datos que ms habitualmente proporciona el servidor a los
clientes se incluyen:
Una direccin IP por cada tarjeta de red o NIC (Network
Interface Card) que posea el cliente.
La mscara de subred.
La puerta de enlace o gateway.
Otros parmetros adicionales, como el sufijo del dominio
DNS, o la direccin IP del servidor DNS.
En una red pueden convivir equipos que sean clientes DHCP con
otros cuya configuracin se haya establecido manualmente. Aquellos
que estn configurados como clientes DHCP necesitarn encontrar
en la red local un servidor DHCP para que les proporciones los
parmetros TCP/IP.
Cuando un cliente arranca por primera vez, solicita una direccin IP.
Si en la red existe un solo servidor DHCP, cuando este reciba el
mensaje contestar al cliente asocindole una direccin IP junto con el resto de parmetros de configuracin. En concreto, el servidor
DHCP puede estar configurado para asignar al cliente una direccin IP cualquiera de las que tenga disponibles, o bien para asignarle
una direccin en concreto (o direccin reservada), en funcin de la direccin fsica de la tarjeta ethernet del cliente. En ambos casos,
una vez el cliente recibe el mensaje del servidor, ya tiene una configuracin IP con la que poder acceder a la red de forma normal.
El protocolo DHCP es especialmente til cuando el parque de equipos de una organizacin se distribuye en varias subredes fsicas, y
adems los equipos cambian de ubicacin (de subred) con cierta frecuencia. En este caso, cambiar el equipo de sitio no supone
nunca reconfigurar manualmente sus parmetros de red, sino simplemente conectarlo a la nueva red e iniciarlo.
Concepto de Ambito

En el contexto de DHCP, un mbito (scope) se define como una agrupacin administrativa de direcciones IP que posee una serie de
parmetros de configuracin comunes y que se utiliza para asignar direcciones IP a clientes DHCP situados en una misma red fsica.
Es decir, para que un servidor DHCP pueda asignar direcciones IP a sus potenciales clientes, es necesario que defina al menos un
mbito en cada red fsica en la que haya clientes que atender. El administrador debe establecer para dicho mbito sus parmetros de
configuracin, tales como el rango de direcciones IP que puede asignar, las direcciones excluidas, la mscara de red, el lmite de
tiempo que los equipos pueden disfrutar de la concesin, etc.
En cada mbito slo se admite un rango consecutivo de direcciones IP.
Es necesario definir y activar al menos un mbito en el servidor para que los clientes DHCP puedan recibir la configuracin dinmica
de TCP/IP. Como hemos definido, un mbito es una coleccin administrativa de direcciones IP y de parmetros de configuracin
TCP/IP que se encuentran disponibles para la concesin a los clientes DHCP.
Un mbito tiene las siguientes propiedades:
Un nombre de mbito.
Rango de direcciones IP a ofertar.
Mscara de subred (nica para todo el mbito).
Valores de duracin de concesin.
Opcionalmente, otros datos de TCP/IP comunes para el mbito, tales como sufijo DNS, servidor(es) DNS, etc. Estos se
denominan genricamente "opciones DHCP".
Cada subred puede tener un nico mbito DHCP con un solo intervalo continuo de direcciones IP. Si se desea ofrecer varios grupos
de direcciones en el mismo mbito (o en una sola subred), es necesario definir primero el mbito y luego establecer intervalo(s) de
exclusin.
Intervalos de Exclusin
Cuando se crea un nuevo mbito, deberan excluirse del intervalo las direcciones de equipos configurados estticamente, de forma
que esas direcciones no puedan ofrecerse a los clientes. Como Windows 2003 Server necesita que el equipo que ejecuta el servicio
DHCP tenga configurada estticamente su direccin IP, hay que asegurarse que la direccin IP del equipo servidor est excluida de
las posibles ofertadas (y, lgicamente, que ste no sea cliente DHCP).
Reservas
Un administrador de red puede reservar direcciones IP para la asignacin de concesiones permanentes a equipos y dispositivos
especficos de la red. Las reservas se encargan de asegurar que un dispositivo hardware especfico siempre pueda usar la misma
direccin IP. Se recomienda hacer reservas para clientes DHCP que funciones como servidores de impresin, servidores web o
encaminadores (routers).
Servidor FTP
Un servidor FTP permite conectarse a un server de datos y poder trabajr con sus archivos de forma directa y rapida de manera que
permita bajar informacin o subirla. De esta manera, las intranet solo deben referirse a la direccion ip del servidor mediante el
protocolo FTP.
Supongamos que tenemos una red local con 15 PC, uno de ellos se llama ftpserver o bien tiene la direccion IP 192.36.125.65 y est
configurado como servidor de transferencia de archivos, entonces, cualquier PC de la intranet podran ver esas pginas a travs del
Internet Explorer poniendo una direccin de esta forma ftp://ftp.Webserver o bien ftp://192.36.125.65
Configurar el servidor FTP
El servidor FTP viene en el paquete de instalacion del IIS, por lo tanto el procedimiento de instalacion es igual que el de un Webserver.
Para configurar el servicio FTP para conexiones annimas (es decir, permitir que cualquier usuario se conecte a este recurso sin
necesidad de logearse mediante un nombre de usuario ni contrasea) deberemeos realizar los siguientes pasos:
Accedemos al Administrador de servicios de Internet Information Server o abrimos el complemento de IIS.
Expandimos el servidor.
Expandimos Sitios FTP.
Pulsando con el botn derecho del ratn en Sitio FTP predeterminado, seleccionamos Propiedades.
Accedemos a la pestaa Cuentas de seguridad.
Activamos la casilla de verificacin Permitir slo conexiones annimas si no est activada.
Establecemos la direccion IP del servidor.
Pulsamos en la pestaa Directorio Particular y seleccionamos el directorio raiz para el server de datos ftp.
Activamos las casillas de verificacin de derechos segn los que deseemos otorgar. En caso de usuarios anonimos no se
debera aplicar el derecho de escritura como medida de prevencion para evitar borrar archivos de otros usuarios. Habilitar
entonces Lectura y Registrar visitas (si no lo estn), y desactivamos la casilla de verificacin Escritura (si est activada).
Pulsamos Aceptar

Salimos del Administrador de servicios de Internet Information Server o cerramos el complemento IIS.
Ahora, el servidor FTP est configurado para aceptar las solicitudes de FTP entrantes. Copie o mueva a la carpeta de publicacin de
FTP los archivos para los que desee que est disponible el acceso. La carpeta predeterminada es unidad:\Inetpub\Ftproot, donde
unidad es la unidad en la que est instalado IIS.
Esta puede ser accedida desde un programa cliente FTP, el cliente de Internet Explorer o el Explorador de Windows mediante la
sentencia ftp://direccionIP

Manual Redes Modulo3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual Redes Modulo3

Transféré par

Droits d'auteur :

Formats disponibles

Carrera: Administracion de Redes

Docente: Fernando Luis Choque

Instituto Argentino de Computacin Tel 4215211 - Salta 1

Instituto Argentino de Computacin Tel 4215211 - Salta 2

Instituto Argentino de Computacin Tel 4215211 - Salta 3

Modulo III Configuracin de Servidores Administracin de Active Directory

Instituto Argentino de Computacin Tel 4215211 - Salta 4

Modulo III Configuracin de Servidores Tecnologa de Servidores

Instituto Argentino de Computacin Tel 4215211 - Salta 5

Modulo III Configuracin de Servidores Administracin de Active Directory

Instituto Argentino de Computacin Tel 4215211 - Salta 6

Historia de Servidores Microsoft

Instituto Argentino de Computacin Tel 4215211 - Salta 7

Edicin Centro de Datos

Tipos de Servidores en Windows 2003

Servidores Replica de dominio

Instituto Argentino de Computacin Tel 4215211 - Salta 8

Servidor de nombres DNS

Servidor de nombres WINS

Servidor de red privada virtual

Instituto Argentino de Computacin Tel 4215211 - Salta 9

Servidor de acceso remoto

Conexin compartida a Internet

Instituto Argentino de Computacin Tel 4215211 - Salta 10

Componentes de Active Directory

Instituto Argentino de Computacin Tel 4215211 - Salta 11

Conceptos de Active Directory

Instituto Argentino de Computacin Tel 4215211 - Salta 12

Instituto Argentino de Computacin Tel 4215211 - Salta 13

Instalacin de Active Directory

Las herramientas administrativas

Preparacin de la instalacin de A.D.

Instalacin del Primer controlador de dominio

Instituto Argentino de Computacin Tel 4215211 - Salta 14

Creacin de un DC para un dominio secundario en un rbol existente

Instituto Argentino de Computacin Tel 4215211 - Salta 15

Objetos en Active Directory

Objetos predeterminados de Active

Instituto Argentino de Computacin Tel 4215211 - Salta 16

Nombre del objeto Funcin

Configuracin de los objetos OU

Instituto Argentino de Computacin Tel 4215211 - Salta 17

Como crear cuentas de Usuarios

Instituto Argentino de Computacin Tel 4215211 - Salta 18

Instituto Argentino de Computacin Tel 4215211 - Salta 19

Instituto Argentino de Computacin Tel 4215211 - Salta 20

Como modificar las Directivas de Seguridad

Como se crean las Directivas de seguridad?

Instituto Argentino de Computacin Tel 4215211 - Salta 21

Jerarquia entre directivas de grupo

Instituto Argentino de Computacin Tel 4215211 - Salta 22

Grupos globales y locales de dominio

Instituto Argentino de Computacin Tel 4215211 - Salta 23

2. Pulsar el men Accin, ir a Nuevo, y entonces pulsar Grupo.

Creacin de grupos locales

Gestin de grupos predefinidos y de los derechos de los usuarios

Grupos locales predefinidos

Instituto Argentino de Computacin Tel 4215211 - Salta 24

Grupos globales predefinidos

Grupos globales predefinidos usados ms frecuentemente

Instituto Argentino de Computacin Tel 4215211 - Salta 25

Derechos de inicio de sesin asignados de forma predeterminada a los grupos

Instituto Argentino de Computacin Tel 4215211 - Salta 26