1

ADMINISTRACIN DE ACTIVE DIRECTORY

Cabrera Baculima Ana Cristina
Telecomunicaciones IV
Ingeniera Sistemas y Telemtica
Universidad del Azuay
Cuenca, Ecuador
acristina.1995@hotmail.com

Abstract En este documento se analizara todas las ventajas traves de, entradas de control de acceso (ACE) , las cuales estan
de Active Directory, ya que los beneficios del uso de Active contenidas en listas de control de acceso (ACL).
Directory se dividen en categoras que incluyen las mejoras en
El Sistema de Nombres de Dominio (DNS), es un sistema que
la escalabilidad, la organizacin y la replicacin. Este
esta encargado de agrupar informacion variada con nombres de
documento tambin muostrar cmo los usuarios se gestionan
dominios entregados a cada uno de los usuarios participantes. Una
en un entorno de Active Directory en contraposicin a los
de las funciones mas importantes que cumple el DNS, es la de
usuarios locales, ya que Active Directory es una herramienta
traducir nmbres en identificadores binarios integrados a los
muy til creada por Microsoft para que la relacin cliente /
equipos, con la finalidad de poner localizarnos y direccionarlos.
servidor resulte ms fcil de crear y mantener en todos los
Las consultas DNS se pueden resolver de difetenes maneras, una
sistemas basados en Windows, proporcionando servicios de
de ellas es que, a veces, un cliente responde a una consulta
autenticacin y autorizacin centralizados para los
localmente mediante la informacin almacenada en la cache
equipos. Adicionalmente se tratara la organizacin y gestion
obtenida de una consulta anterior.
de una red de dominio, ya que proporciona una estructura y
proporciona al administrador la capacidad para asignar II. REQUISITOS DEL SISTEMA
permisos para ayudar a proteger la red y tambin permite a
los usuarios utilizar los recursos especiales asignados a ellos En la actualidad, Windows Server ofrece una base segura para el
por el administrador. desarrollo de trabajo sobre servidores, de manera que su uso e
implementacin resultan ser de una forma mas sencilla.
Palabras clave.- Directorio Activo, Dominio, Servidor, Script Adicionalmente Windows Server presenta ductilidad a los
profesionales de TI, ya que simplifica la adminisracin del trabajo
I. INTRODUCCIN
en entornos virtualizados as como tambin acelera la
Active Directory (AD) o tambin denominado Directorio implementacin y mantenimiento de los sistemas.
Activo es una base de informacion acerca de usuarios,
TABLA 1.
computadoras o PCs, impresoras as como de otros equipos u
objetos que puedan estar dentro de una empresa u organizacin. REQUISITOS DEL SISTEMA
Active Directory ofrece distintos tipos de accesos a los usuarios de
una red mediante un inicio de sesin nico dependiendo del tipo Componente Requisito
Procesador Minimo: Procesador de 64 bits a 1,4 GHz
del usuario, lo cual da como resultado, la reduccin consideable en Memoria Minimo: 512 MB
cuanto a nmero de contraseas dentro de la empresa, de esta Espacio Disco Mnimo: 32 GB
forma se puede control de una mejor manera la administracin de Con este valor mnimo debera poder instalar Windows
los distinto tipos usuarios por parte de un usuario que este como Server 2012 R2
Unidad Unidad de DVD-ROM (si necesita instalar por medio de
administrador. DVD)
Pantalla y Monitor Super VGA(1024 x 768)
Cabe recalcar que los equipos u objetos que estan en la perifricos Teclado y mouse compatible
empresa solo pueden existir dentro de un dominio, ya que los
dominios se usan basicamente para realizar la agrupacin de estos
equipos, con la finalidad de manifestar la red de la organizacin.
Cada uno de los dominios que se crean, estan destinados al
almacenamiento de informacin acerca de los equipos u objetos
que estan dentro del mismo, adicionalmene, cada dominio viene a
representar un lmite de seguridad, ya que el acceso a los equipos u
objetos que estan dentro de un dominio tienden a ser controlados a
 2

III. CREAR UN DOMINIO TABLA 2.

Para poder hacer uso de los servicios que nos entrega Active TIPOS DE RELACIN DE CONFIANZA
Directory (AD), es fundamental realizar la creacin de un
Tipo de Transitividad Direccin Descripcin
controlador de dominio (DC), ya que este es un servidor, el cual
Confianza
contiene una copia directa de Active Directory. Cabe recalcar que Acceso transitiva unidireccional Principalmnete este
puede existir ms de un controlador de dominio en un mismo Directo tipo de confianza se
dominio, sin embargo todos los controlades de dominio vienen a usa para acelerar la
ser semejantes y mantienen versiones replicadas de Active autenticacin.
Externa No transitiva unidireccional Otorga acceso a los
Directory. Una de las funciones principales del controlador de recursos que se
dominio, es que, este autentifica a cada uno de los usuarios, asi encuentran en un
como tambien proporciona respuestas a consultas sobre los objetos dominio ubicado en
que forman parte de la red y finalmente, realizan una replicacion un bosque diferente.
Entre transitiva unidireccional Se realiza de forma
de los servicios que proporicona el directorio.
Bosques obligatoria
nicamente entre los
dominios races de
bosque.

IV. CREAR USUARIOS

Para comenzar a administracin de los usuarios de un dominio,

es necesaios la creacin de cuentas de usuario en los Servicios de
dominio de Active Directory (AD). Sin embargo, para tratar el tema
de administracin de usuarios especficos de un equipo, se debe
proceder a crear cuentas de usuario locales. Se debe tener en cuenta
que para completar este procedimiento, es necesario:

Se debe otorgar las credenciales correspondientes de la cuenta

del administrador en el equipo local solo si lo solicita, caso
contrario, la unica condicin a cumplirse, es que, debe ser
Fig1. El ejemplo de una creacin de dominio, en este caso Teleco4.com
parte del grupo de administrador del equipo.
A. Intercambio entre dominios El nombre de usuario que este por asignarse, no puede
conincidir con otro de los nombres se usuario o grupo del
Para autorizar que los miembros de un dominio puedan tener
equipo que se esta administrando.
acceso a los recursos de otro dominio, Active Directory hace uso
La contrasea puede contener hasta 127 caractres, cabe
de una relacion de confianza, ya que la relacion de confianza es
recalcar que el uso de contraseas seguras y adecuadas, pueden
generada de forma automtica cuando se crean nuevos dominios.
facilitar notablemente la proteccin del equipo en caso de un
Una de las cosas mas importantes a cerca de la ralacin de
ataque hacia el mismo.
confianza, es que los limites de la misma no son marcados por el
dominio, sino por el bosque al cual pertenecen..

Existe la posibilidad de que en algunos casos, se puedan hacer

relaciones bi-direccionales, o de otra frma unicamente se podria
crear dos relaciones de confanza, en donde el dominio A pueda
complir en el dominio B y viceversa.

B. Relacin de confianza

Para que se pueda establecer una relacin de confianza,

siempre deben existir mnimo dos dominios, lo cual permitir a los
usuarios de un dominio que puedan confiar en los usuarios del otro
dominio.
Fig2. El ejemplo de la creacin de un usuario
 3

V. GENERAR GRUPOS Independientemente del grupo al cual pertenezcan los usuarios,

ya sea se distribucin o de seguridad, los dos se caracterizan por
Dentro de Active Directory(AD), existen dos tipos de grupos,
tener un ambito que identifica el alcance de aplicacin del bosque.
estos son de distribucin y de seguridad respectivamente. Los
Existen tres ambitos de grupo:
grupos de distribucion uniamente pueden hacer uso de
aplicacines de como electroico, basicamente para enciar correos A. Grupos de mbito universal:
de un grupo de usuaros hacia otros. Este tipo de grupos no constan
En este tipo de grupos se puede integrar como miembros o
de ningun nivel de seguridad por lo tanto, no se podra realizar la
usuarios las cuentas de cualquier tipo de dominio del bsque, ya sea
implementacion de este tipo de grupos dentro de las listas de
de grupos globales o de grupos universales. Adicionalmente, a los
control de accedo. Sin embargo, en cuando a los grupos de
grupos de ambitos universales , tienen la posibilidad de poder
seguridad, cabe recalcar que estos asignan el aceso a los usuarios
asignarse permisos en cualquier dominio.
que estan dormando parte se la red, este tipo de equipos peromite
asignar derechos y permisos a los usuarios que forman parte de
este grupo de seguridad en AD.

B. Grupos de mbito global:

Para los grupos de ambito global, se pueden integrar coo

miembros o usuarios las cuentas del mismo deominio y
unicamente los grupos globales que pertenezcan al mismo
dominio, caso contrario no se podran incluir a los grupos de
ambito global. De manera adicional se puede otorgar permisos en
cualquier dominio.

C. Grupos de mbito de dominio local:

Con los grupos de ambito de dominio local , se pueden integrar

como miembros o usuarios las cuentas de cualquier tipo de
domini, grupos locales, grupos universales o grupos locales de
dominio, sin embargo, para que esto se pueda realizar se debe
complir con una condicion, de que unicamente deben pertener al
mismo dominio del grupo lcal de dominio principal.
Adicionalmente, los permisos de miembtos solo de pueden
otortgar en el mism dominio que el grupo lcal de domino principal.
VI. ASIGNACIN DE PERMISOS
Dentro de una empresa u organizacin es nesesario restringir
ciertos permisos o accesos a los usuarios, a distintas aplicaciones
o programas, esto se realiza con el objetivo de tener una mejor
seguridad de la misma. Si bien es cierto, la implementacion de un
firewall via GPO, resulta bastante eficiente, sin embargo una de las
principales funcionalidades que nos presenta Active Directory
(AD), es la de poder gestionar los permisos hacia distintos
usuarios o grupos de usuarios desde el AD, lo cual ayuda a la
empresa a tener un mejor control de las actvidades que pueden
realizar los usuarios o personas externas de la misma en los
equipos de la empresa.
Fig3. El ejemplo de bloqueo de la opcin de apagar el equipo.
VII. EJECUCIN DE SCRIPT EN UN DOMINIO
Las opciones que Active Directory (AD), nos proporciona en
cuanto a polticas de grupo, son muy importantes, ya que atraves
de las mismas se puede gestionar la ejecucion de distintos scripts
en todos los equipos que formen parte de un dominio de la
empresa, basicamente esta politica de grupo nos sirve para poder
ejecutar aaciones al inicio o finalizacon de la sesion de un usuario
o grupo de usuarios determinados mediante scripts. Cabe recalcar
que esta accin dentro de una empresa, va generar claramente una
optimizacin en cuanto a recursos, como el tiempo, ya que, al
generar un script que se ejecute al inicio de sesin en los equipos
correspondientes de un grupo de usuarios, se esta realizando una
accion al mismo tiempo en todos los equipos miembros de un
grupo de usuarios o a un usuario en especifico, evitando de esta
manera que se generen errores de usuario.
A. Consideracones adicinales

1) Para que la ejecucin de scripts en un dominio se pueda

realizar, es necesario, contar con el persmiso de configuracin para
los usuarios de los grupos GPO. Cabe recalcar que los mienbros
que esten dentro de grupos de seguridad de administradores de
dominio as como de administradores de organizacin o

propietarios del creador de directivas de grupo, deben disponer de
forma predeterminada el permiso de configuracin para la edicin
de grupos GPO.
2) Al configurar desde el Active Directory (AD) la ejecucin
simultnea de scripts correspondientes al inicio/finalizacin de
sesin, existe la posibilidad de que el proceso relacionado al
inicio/fnalizacin de sesin de un equipo se efectue lentamente.
3) Los scripts que se configuran para el inicio/finalizacin
de sesin de un equipo, por lo general se ejecutan como usuario y
no como administrador, esto se debe a que los derechos estn
limitados.
VIII. VENTAJAS DE ACTIVE DIRECTORY
El Directorio Activo o Active Directory de Micrsoft, es un
servicio como su nombre lo indica, de directorio, lo cual otorga a
los administradores una notable reduccin del costo y el esfuerzo
que conlleva la administracin de una red de dominio basado en
Windows. La aplicacin de Active Directory (AD), da como
resultado la facilidad de centralizacin de los recursos, as como la
verificacin y autorizacin de los miembros de una red. Una de las
cosas ms improtantes, es que Active Dirctory (AD), puede ser
utlizado en redes grandes y pequeas.
A. Bosque
A traves de esta opcin se puede conseguir tener un control de
la red desde un solo dominio que supervisa a otros, ya que Active
Directory (AD) da paso al administrador de un bosque para que
este pueda tener acceso a la administracin de multiples dominios,
de tal manera que se va reducir el costo y complejidad, mientras
que se esta proporcionando una mejor seguridad.
B. Manejo de usuario
Los miembros de un dominio por lo general son conocidos por
el controlador del dominio del bosuqe, ya que se esta forma se
mejora la flexiilidad de administracion de ls credeciales
pertenecientes a cada usuario.
C. Unidades de organizacin
Uno de los soportes que presenta Active Directory(AD), es el
soporte para unidades organizativas (OU), ya que estas representan
las unidades de un negocio dentro de la empresa. Las unidades de
organizacin son fundamentales dentro de una empresa, porque el
administrador de Active Directory puede autorizar los permisos
para establecer plantillas de control para los usuarios de la red, de
esta forma se librera al administrador de la red de tener que pasar
tiempo en tareas rutinarias.
D. Manejo de derechos
Este accion es una caracteristica importanate, orientado hacia
aquellas organizacines que requieren de un mayor nivel de
4
Fig4. El ejemplo de ejecutar script que lista dirtectorio al iniciar el equipo
seguridad, ya que Active Diretory(AD) ofrece distintos servicios
acerca de la gestin de derechos o permisos para la proteccin de
archivos y otros recursos de acceso en la organizacin.
IX. CONCLUSIONES
Active Directory es un de los servicios mas importantes que
nos entrega Microsoft, ya que mediante este servicio se puede
utilizar servicios compartidos en una red de forma eficaz y
eficiente, adicionalemente, a traves de Active Directory (AD) se
controla de una mejor manera la red, esto debido a la divisin que
se realiza en los dominos, lo cual facilita la administracin de los
recursos que se encuenran en la red as como tambin brinda una
factible ubicacin de dichos servicios. Cabe recalcar que al
implementar Active Directory en una organizacin, se consiguira
que la seguridad as como los permisos puedan ser claramente
implementados para los host de un dominio y para los miembros o
usuarios de dichos host.
Active Directory es una buena opcin a la hora de administrar
recursos en una red, ya que contiene herramientas para llevar
acabo las los objetivos que se desean efectuar sobre los miembros
de una red.permite una mecnica fcil de manejar para administrar
los perfil y entornos de los usuarios.
A medida que pasa el tiempo, cada vez una gran cantidad de
empresa en todo el mundo esta utilizando los servicos de Active
Directory dentro de la infraestrucura de la organizacin. El uso
adecuando de Active Directory permite abirir las puertas a grandes
posibilades de gestionar auditora asi como la organizacin y
autenticacin de las mismas, de esta forma las empresas estan en
mejores condiciones respecto al tiempo que normalmente se
perdera en problemas relacionados a contraseas y autentificacin
de identidad.
Las empresas en la actualidad, tienden a ser vulnerables a
distintos tipos de ataques, por esta razn es que han comenzado a
buscar servicos de correo locales que esten de acuerdo a su
entorno o que se encuentren en la nube, ante esta realidad, Active
Directory tiene una opcin que les ayudar a mejorar la seguridad
y servicio en la organizacin, con la finalidad de mejorar la calidad
de sevicio que genera la empresa para sus usuarios finales, por lo
tante, hacer uso del servicio de Active Directory es una de las

mejores maneras para poder aumentar la productibidad y
comodidad al tiempo que reduce su riesgo.
Cabe recalcar que no importa la poca en la que nos
encontremos, ya que la autentificacin sera un problema que
siempre las organizacines grandes o pequeas tedrn que
enfrentar, por lo tanto Active Directory(AD) ofrece una forma
lgica de poder dar paso a la gestin de identidad o autentificacin
en el mundo digital moderno, con el objetivo de no compremeter
la seguridad y facilidad de uso que ms importa.
Se ha dado a conocer que Active Directory es un gran
servicio, ya que otorga un punto de gestin central, es decir
permite una forma completa de almacenar informacin que se
necesita para detectar problemas con anticipacin, con la finalidad
de que se puedan evitar los mismos. Adicionalmente, se puede
superviar mltiples servidores desde un sitio de trabajo, sin
X. BIBLIOGRAFA
[1] Microsoft. Descripcion de tipos de confianza. [En lnea] Disponible en:
https://technet.microsoft.com/es-es/library/cc730798(v=ws.11).aspx
[2] IBM Knowledge Center. Caractersticas de Active Directory. [En Lnea]
Disponible en:
https://www.ibm.com/support/knowledgecenter/es/SSDKXQ_6.3.0/com.ibm.itcamm
s.doc_6.3/active%20directory/features_adagent.html
[3] Brian Desmond,Joe Richards,Robbie Allen,Alistair G. Lowe-Norris. Active
Directory: Designing, Deploying, and Running Active Directory
Estados Unidos de Amrica: 2009, 4ta Edicin.
[4] Sakari Kouti, Mika Seitsonen. Inside Active Directory: A System
Administrators Guide, Diciembre 13 del 2001
[5] nkSistemas. Ejecucion de Scripts en GPO. [En Lnea[ Disponible en:
http://nksistemas.com/ejecutar-un-script-por-gpo-en-un-dominio-con-windows-
server-2008-r2/
5
necesidad de ir a monitorear fisicamente cada lugar de la
organizacin, de esta forma se garantiza una informacin
constante y uniforme sobre todo el sistema que se esta
controlando.
Finalmente, se puede decir que el servicio de Agente de
Microsoft, Acive Directory(AD), es un servicio que resulta til al
momento de recopilar informacin sensible o importante de una
organizacin, lo cual permite analizar faclmente algunos tipos de
inromacion especifca, como:
Detalles de la seguridad local
Detalles sobre el estado de la red
Detalles sobre el Servicio de nombres (DNS)
Informacion acerca de directorios
Informacion sobre la autenticacion de inicio de sesion,
entre otras.
[6] Microsoft.Editor de directivas de grupo Local. [En Lnea] Disponible en:
https://msdn.microsoft.com/es-es/library/dn789190(v=ws.11).aspx
[7] Microsoft. Creacin de cuentas de usuario AD. [En Lnea] Disponible en:
https://technet.microsoft.com/es-es/library/cc732336(v=ws.11).aspx
[8] IT Knowledgebase. Active Directory Domain Controller. . [En Lnea]
Disponible en: https://www.petri.com/test-connectivity-to-an-active-directory-
domain-controller-from-pc
[9] Administracion de sistemas. Active Directory. [En Lnea] Disponibe en:
https://administracionsistemasoperativos201415.wordpress.com/2015/02/27/active
-directory/