VIII Seminario Iberoamericano de Seguridad

en Tecnologías de Información y
Comunicaciones

DISEÑO E IMPLANTACIÓN DEL DIRECTORIO

ACTIVO EN LA GERENCIA TERRITORIAL DE
ETECSA DE HOLGUÍN

Autor: MSc. Lic. Yannet Amarilis Díaz Mouriño

yannetdm@hlg.etecsa.cu
Coautor: MSc. Ing. Baudilio González Cuenca
bgcqenk@hlg.etecsa.cu

Grupo de Gestión y Administración de Aplicaciones

Filial de Tecnologías de Información y Software
Gerencia Territorial ETECSA Holguín
2006
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

RESUMEN

El Directorio Activo (DA), se ha convertido en la herramienta fundamental para lograr

consolidar dominios y demás entidades del sistema. Se considera que las áreas de

TICs consiguen simplificar en más de un 80% la problemática de control, administración

y auditoria del sistema, sólo con la implantación del DA y la revisión de las políticas de

uso del sistema y sus recursos.

De ahí que se decidiera compartir en este trabajo las experiencias del diseño e

implantación de este servicio en la red corporativa de la Gerencia Territorial de

ETECSA en Holguín, cuya aplicación ha sido muy conveniente pues ha facilitado la

administración, centralizando las directivas y cambiando la concepción anterior,

permitiendo una mejor organización de los recursos de la red y a su vez una mejor

administración de usuarios, equipos y aplicaciones. Han aumentado en gran medida

los niveles de seguridad con políticas de grupo, y disminuido considerablemente los

soportes técnicos en la gestión, alcanzando una escalabilidad y rendimiento superiores.

Con su implementación se ha ahorrado hasta la fecha en tiempo de instalación y

soporte 14,190.08 horas de trabajo y $31,860.77 pesos, con un ahorro anual estimado

en 5,923.51 horas de trabajo y $14191.73 pesos.

Se recomienda aumentar las herramientas que ayuden a su monitoreo y actualización,

garantizando la integridad y seguridad del mismo e implementar herramientas, scripts

y/o aplicaciones que faciliten la comunicación con el DA, tanto para los administradores

como para los usuarios finales, que apoyen y faciliten el trabajo de la administración.

2
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

INTRODUCCIÓN
Cada día es más difícil encontrar en el mundo empresarial una computadora como un

ente aislado, sino que se encuentran formando parte de una red de computadoras, de

forma tal que estas puedan intercambiar información y compartir recursos. Si a esto se

le añade que el tener una computadora ha dejado de ser un lujo para ser una necesidad

y que el número de estas en las empresas crece a pasos agigantados; el cómo

mantener y administrar las mismas así como los recursos, sistemas, usuarios, entre

otros es un problema que no se puede dejar a un lado y que necesita herramientas que

faciliten este trabajo y permitan mantener un control y una seguridad estable.

Desde el punto de vista de la administración de sistemas, la mejor forma de llevar a

acabo esta tarea es mediante la creación de un dominio de sistemas, de tal forma que

la información administrativa y de seguridad se encuentre centralizada en uno o varios

servidores, facilitando así la labor del administrador.

A partir de Microsoft Windows 2000 se utiliza el concepto de directorio para

implementar dominios de sistemas Windows. Los servicios de directorio pueden

soportar una gran variedad de posibilidades. Algunos servicios de directorio están

integrados con un sistema operativo, y otros son aplicaciones como por ejemplo

directorios de correo electrónico. Este estudio se limita solamente a los servicios de

directorio del sistema operativo, tales como Active Directory o Directorio Activo (DA),

que proporcionan al usuario el manejo de las computadoras y los recursos compartidos;

así como compartir las experiencias del diseño e implantación en la red corporativa de

la Gerencia Territorial de ETECSA en Holguín.

3
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

EL DIRECTORIO ACTIVO (DA)

El Directorio Activo, se ha convertido en la herramienta fundamental para lograr

consolidar dominios y demás entidades del sistema. Se considera que las áreas de

Tecnologías de la Información y las Comunicaciones (TIC), consiguen simplificar en

más de un 80% la problemática de control, administración y auditoria del sistema, sólo

con la implantación del Directorio Activo y la revisión de las políticas de uso del sistema

y sus recursos.

Se llama Directorio Activo o Active Directory al servicio de directorio del sistema

operativo Windows 2000 Server y Windows Server 2003, y el mismo se ejecuta sólo

sobre controladores de dominio, o sea, la instalación del Directorio Activo en una

computadora que ejecuta estos sistemas operativos es el acto que transforma al

servidor en un controlador de dominio. Luego el resto de los equipos de la red pueden

convertirse en los clientes de dicho servicio de directorio, con lo que reciben toda la

información almacenada en los controladores. Esta información incluye no sólo las

cuentas de usuario, grupo, equipo, etc., sino también los perfiles de usuario y equipo,

directivas de seguridad, servicios de red, etc. Esto hace que el Directorio Activo se

convierta en la herramienta fundamental de administración de toda la organización.

De igual manera el Directorio Activo, además de proporcionar un lugar para guardar

datos y los servicios para hacer que dichos datos estén disponibles, también protege

los objetos de la red de un acceso no autorizado y reproduce los objetos en toda la red

de tal manera que los datos no se pierdan si falla uno de los controladores de dominio.

En otras palabras, permite el acceso de los usuarios y las aplicaciones a dichos

recursos, de forma que se convierte en un medio de organizar, controlar y administrar

centralizadamente el acceso a los recursos de la red, los cuales se organizan por

4
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

conceptos tales como dominios, árboles, bosques, relaciones de confianza, unidades

organizativas (UOs) y sitios. Por otra parte el DA está fundamentado en protocolos de

acceso a directorio estándar, puede interoperar con otros servicios de directorio y

puede ser accedido por aplicaciones de otras empresas que actúan de acuerdo a estos

protocolos. Por otro lado el Directorio Activo separa la estructura lógica de la

organización (dominios) de la estructura física (topología de red), lo que permite

administrar la estructura física de forma independiente de la administración de los

dominios.

En realidad un servicio de directorio como el DA aumenta de forma significativa no sólo

la administración, sino también la complejidad de la red. Además lejos de ser una

simple ampliación de los dominios de NT 4.0, el DA incluye características como la

administración delegada y la administración de equipos mediante directivas de grupos,

y puede llegar, incluso, a constituir una plataforma empresarial verdaderamente

esencial para el desarrollo de aplicaciones que utilicen los servicios de directorios. Por

ello, la correcta planificación de

esta infraestructura no es sólo

relevante, sino necesaria.

Delegación
En definitiva puede decirse que la Interoperabilidad
Seguridad de la Información
introducción del DA desde el Replicación de la Información
Escalabilidad
Administración con base en políticas
sistema operativo Windows 2000 Capacidad de extensión
Petición flexible

ha proporcionado numerosas Integración con el DNS

ventajas (Figura 1).

Figura 1: Algunas ventajas del Directorio Activo

5
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

Las Unidades Organizativas

Dentro de los principales objetos que pueden crearse en el DA están los usuarios

globales o usuarios del dominio, las computadoras, los grupos y las unidades

organizativas u organizacionales (UOs) entre otros.

Las unidades organizativas son objetos contenedores del DA que a su vez pueden

contener otros objetos. Es decir, una UO es un objeto contenedor especial usado para

organizar de forma lógica otros objetos del dominio tales como computadoras, usuarios

e impresoras dentro de un dominio. Por tanto, el objetivo de las unidades organizativas

es estructurar u organizar el conjunto de los objetos del directorio, agrupándolos de

forma coherente.

Teniendo en cuentas las características de las UOs, se necesita considerar los

siguientes aspectos para diseñar una eficiente y efectiva estructura de las Unidades

Organizativas en el DA:

• Crear UOs que reflejen la estructura de la organización de la empresa.

• Crear UOs para delegar la administración.

• Crear UOs para aplicar grupos de políticas.

• Crear UOs para restringir el acceso.

IMPLEMENTACIÓN DEL DIRECTORIO ACTIVO EN LA GERENCIA DE

HOLGUÍN
Para el diseño del DA en la Gerencia Territorial de ETECSA de Holguín se tuvieron en

cuenta los aspectos antes mencionados y de forma general la bibliografía consultada al

respecto. A continuación se procederá a explicar cómo ha sido el proceso de la

implementación del DA y la utilización del mismo dentro de las tareas de

administración.

6
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

Disponibilidad Técnica

• Se cuenta con dos Servidores de Dominio o Domain Controllers (DC) en estos

momentos con Sistema Operativo (SO) Windows Server 2003. Aunque se viene

trabajando con el DA desde el Windows 2000 Advanced Server.

• Se tiene un dominio único.

Personalización

Unidades Organizativas

Si bien desde un inicio para el diseño básico del DA, con respecto a la UOs, se tuvieron

en cuenta las características de la estructura organizativa dentro de la Gerencia de

Holguín entre otros aspectos, el transcurso del tiempo ha permitido evaluar el diseño

inicial con el aumento de los recursos y el incremento de políticas de seguridad, lo que

ha llevado a modificar la estructura inicial de las mismas, manteniendo la estructura

organizacional pero con pequeñas modificaciones.

Este trabajo se limitará a presentar la estructura actual de las UOs, las cuales están

conformadas de acuerdo a:

• Unidades Organizativas en correspondencia con la estructura actual de la Empresa

para una mejor organización de los recursos, para ello se creo una UO para cada

Filial y dentro de cada una de ellas se crearon otras UOs, para agrupar

computadoras y usuarios.

Dentro de cada Filial también se creó otra UO para agrupar las computadoras con

acceso a Internet, esta UO se creó con el fin de fijar automáticamente el proxy de la

Habana (proxy.etecsa.cu) pues al resto de los usuarios de la Gerencia de Holguín

7
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

se les fija por política que use el proxy implementado en la Gerencia

(proxy.hlg.etecsa.cu).

También para cada filial, se creó una UO para las computadoras de los restantes

municipios, pues los miembros del grupo de administradores difieren en un usuario

con respecto al resto de las que están dentro del municipio cabecera. Como medida

previsora se creó otro usuario administrador, de tal forma que ante una interrupción

de la red, y no haya ningún informático presente este pueda resolver el problema de

forma remota con el auxilio de otra persona, para mayor seguridad se pretende

crear un programa que permita fijar una contraseña al usuario luego de resuelto el

problema.

Una experiencia que ha resultado XXXYYYZZZZ

Donde:
provechosa es el hecho de
XXX: Tres caracteres únicos que identifican la Filial.
nombrar las computadoras con YYY: Tres caracteres únicos que identifican el grupo.
ZZZZ: 3 ó 4 caracteres preferiblemente que
un nemotécnico, según la identifiquen la función o un número, el caso de
los números solo es aconsejable para las
sintaxis que se muestra en la
computadoras por ejemplo las de las
Figura 2. operadoras del Centro de Información donde

Figura 2. Sintaxis para nombrar las computadoras

• Una UO para los controladores de dominio.

• Una UO para el resto de los Servidores que contiene a su vez otras UOs según el

grupo a que pertenecen, por ejemplo: Antivirus, Aplicaciones, Facturación, Soporte,

TP entre otros. Esto ha permitido aplicar políticas distintivas entre cada uno de ellos,

por ejemplo cambiar el nombre del usuario administrador, que difiere entre cada

grupo, esto está dado porque los administradores de las aplicaciones difieren entre

8
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

cada grupo, de la misma manera se restringen los usuarios que pueden administrar

los mismos.

• Una UO para los Grupos de Usuarios. Aquí están los Grupos del Sistema dentro de

otra UO, y Grupos de Usuarios Globales que se han creado y se corresponden con

las funciones de los trabajadores y con la estructura de la empresa (la práctica ha

demostrado que esto es especialmente útil cuando se comparten recursos en la

red). Además de otros que se crearon de acuerdo al Acceso a distintas aplicaciones.

Ejemplo: Dentro de la Filial de Tecnologías de la Información y Software (TISW):

Nombre Grupo Descripción

TISW Usuarios de Filial, TISW
TISW Facturación Usuarios de Facturación, TISW
TISW Facturación Jefe Usuarios de Facturación Jefe, TISW
Usuarios del Grupo de Administración y
TISW GAA Aplicaciones, TISW
TISW GAA Jefe Usuarios de GAA Jefe, TISW
TISW GAA Red Usuarios Administradores de la Red, TISW
TISW Secretaria Subgerente Usuarios de Secretaria Subgerente, TISW
TISW Subgerencia Usuarios de la Subgerencia, TISW
TISW Subgerente Usuarios de Subgerente, TISW
TISW TSE Usuarios del TSE, TISW
TISW TSE Jefe Usuarios del TSE Jefe, TISW

Resulta muy conveniente crear un grupo aún cuando lo integre un solo usuario, por

ejemplo cuando se comparte un recurso al cual sólo la secretaria de TISW tiene

acceso, en caso de que la misma se ausente por dos meses y otro tenga que

sustituirla, solamente habría que incluir temporalmente al usuario que pasará a

desempeñar esta función en el Grupo de la Secretaria y no hay que ir a cada

carpeta o recurso compartido a adicionar al usuario.

9
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

También ha resultado muy cómodo el hecho de nombrar los Grupos de Usuarios

comenzando por el nombre de Filial y Grupo, dan una idea más exacta y luego al

ordenarse quedan todos de forma continua.

• Una UO para las PC que se están instalando. Hasta tanto no esté firmado el Modelo

donde el administrativo autoriza la conexión de la PC a la Red no se mueve a la UO

correspondiente y no se entrega la PC al usuario final, pero mientras se puede

seguir con la instalación de la computadora, así como la aplicación de las políticas

(ajuste del firewall, actualización de parches, entre otras).

• Una UO de Prueba. Esta UO se creó con un fin de laboratorio, cuando se va a

implementar una nueva política, NUNCA se aplica directamente a todo el dominio,

primero se aplica a este grupo y se prueba primero en las PC del Grupo de Gestión

y Administración de Aplicaciones (GAA) de la Filial de TISW, luego se hace una

muestra por SO, tipo de aplicaciones, etc y si se detectan problemas se buscan

soluciones y se resuelve. Luego de pasar esta etapa de prueba de fallos, entonces

se aplica la política a todo el dominio.

Recursos Compartidos

• Además de los recursos que publica por defecto el DA (los más comunes: usuarios y

computadoras) manualmente se publican tres directorios que están en los DC y a

los cuales se les asigna una letra en el script de inicio de sesión, a través de los

cuales se accede al Databank, Filiales, Users, entre otros.

Para este script se utiliza el Kix32, y entre otras cosas de las que él se encarga,

resulta muy conveniente un registro que se actualiza en cada inicio de sesión, con

fecha, hora, nombre de computadora, dirección MAC, usuario que inicia sesión y el

10
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

servidor que lo atiende; este archivo de trazas resulta muy útil y práctico.

Políticas de Grupo

En el Dominio se han creado varias Políticas de Grupo, agrupándolas de acuerdo a su

alcance o función en específico, a continuación se detallan las mismas, explicando de

forma general o detallada según su nivel de seguridad.

• Computer: Firewall XP SP2

Esta política se encarga de administrar el Windows Firewall para todas las

computadoras del Dominio, o sea, aquí se definen los parámetros de configuración

del Firewall, tanto para cuando las computadoras estén conectadas al dominio (perfil

de Dominio) como para cuando estén desconectadas de él (perfil Estándar). De esta

manera se permite el acceso a las aplicaciones ya sea abriendo los puertos como

permitiendo el acceso a las mismas.

En ambos casos (tanto en el perfil de Dominio como en el Estándar) se definen por

ejemplo: habilitar todas las conexiones de Red, permitir excepciones para compartir

ficheros impresoras definiendo las subredes correspondientes de la Gerencia de

Holguín, permitir excepciones para el tráfico ICMP (aquí solamente se permite las

entradas de PING), permitir las excepciones por puerto y por Programa, se definen

las correspondientes al KAV o al SAL respectivamente, se prohíben respuestas

unicast a pedidos multicast o broadcast, entre otras.

Como algo tal vez a destacar es que cuando la política se aplica a computadoras se

pone como prefijo al nombre de la misma Computer_ y cuando se aplica por usuarios

se le nombra Users_, esto resulta muy útil pues a simple vista da la idea de por dónde

se aplica.

11
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

• Computer_Restricted Groups Administrators Server Antivirus

Computer_Restricted Groups Administrators Servers Soporte

Computer_ Restricted Groups Administrators PC

Computer_ Restricted Groups Administrators Servers Soporte

Computer_ Restricted Groups Kaspersky

No resulta necesario citar todas las políticas asociadas a esta restricción, baste decir

que para cada UO que requiere administración diferenciada se creó una política

para restringir los miembros del grupo administradores.

Por medio de esta política se definen los miembros de grupos locales de las

computadoras. En esta Gerencia todos los usuarios son miembros del Grupo

USERS, con algunas excepciones (pocas) que por necesidad se les ha dado

permiso de administración o de usuarios avanzados. En un inicio esto no se hizo de

forma centralizada de ahí que se crearan estas políticas con este fin. Además se

crearon cuentas administrativas locales a las computadoras diferenciadas para los

Informáticos, para evitar el uso de una cuenta común y garantizar una mayor

seguridad entre otros aspectos.

• Computer_ Windows Updates (WSUS) - Workstations

Se crea una política para la configuración de las directivas relacionadas con las

actualizaciones del Windows Server Update Services (WSUS) en las estaciones de

trabajo, en la cual se define el Servidor donde está el servicio de Windows Updates.

En el caso de las estaciones de trabajo se tiene que una vez que los

administradores han aprobado las políticas, se instalen automáticamente en las

máquinas. Las actualizaciones se chequean diariamente. Para evitar que se

12
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

reinicien estas siempre se habilita que no se reinicie la computadora luego de

actualizarse, aunque la práctica ha demostrado que hay parches que sí obligan el

reinicio no importa cómo esté esto. Para esto se tiene instalado el WSUS en un

servidor.

• Computer_ Windows Updates (WSUS) - Servers

Esta política es similar a la anterior pero se aplica solamente a las UO que contienen

a los Servidores, y la distinción está determinada por la forma de actualización, en

este caso ni aún cuando hayan sido aprobadas por los administradores, se instalan

automáticamente, en el caso de lo servidores se determinó que ante nuevas

actualizaciones la acción sea notificar antes de descargar e incluso antes de instalar

y se deja que sea el administrador el encargado de bajar y luego ejecutar las

mismas de forma manual. Esto se hace con el fin de que el administrador tenga el

control total del proceso, e incluso se recomienda hacer salvas previas. Aquí ha

resultado muy útil el Norton Ghost.

• Default Domain Policy

Aquí se definen las políticas del Dominio, las cuales serán aplicadas a todos los

objetos del mismo (computadoras, usuarios, etc). Entre algunas de ellas por

ejemplo: se definen las políticas de las contraseñas de los usuarios (forzar a

recordar las últimas contaseñas, la edad máxima y mínima de un password, longitud

máxima), se exige la complejidad de las contraseñas, las directivas de bloqueo de

cuenta, se habilita Kerberos para inicio de sesión, se habilitan las auditorías. Se fijan

además derechos de usuarios (como por ejemplo, se creó un grupo que

normalmente está vacío, y cuando alguno de los informáticos está instalando una

13
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

máquina pide que lo pongan temporalmente (en esta directiva es donde se da

permiso a los miembros de este grupo a unir máquinas al dominio), este informático

asume la responsabilidad de exigir al administrativo del área el modelo que autoriza

que esa computadora esté conectada a la Red). Se define el mensaje que se le

mostrará al usuario al inicio de sesión, con el que se previene a cualquier usuario

que intente violar el Reglamento y se recuerdan algunas medidas a los usuarios.

• Default Domain Controllers Policy

Aquí se definen las políticas de los Controladores de Dominio, parecidas a las del

Dominio en general pero con algunas directivas diferentes, por ejemplo se definen

otros derechos de usuarios, entre otras.

• Users: Escritorio

Esta política existe desde antes que los usuarios pertenecieran solamente al grupo

USERS (con lo que se ha ganado más limpieza en las computadoras y control, pues

en teoría solamente los miembros del grupo de Gestión y Administración de

Aplicaciones pueden instalar, además de las pocas excepciones que antes se

mencionaron pero con la que no existe ninguna dificultad en cuanto a seguridad se

refiere). Con esta política se fija un fondo de pantalla así como un refrescador.

Como fondo de pantalla se escogió uno de los fondos corporativos del Manual de

Identidad Visual teniendo en cuenta función e imagen.

Por otro lado se hizo un estudio de todos los refrescadores que trae el Windows, y

se desecharon los que consumían muchos recursos (memoria y CPU), finalmente

de los 3 ó 4 resultantes se escogió uno que no molestara o molestara menos: se

escogió el ssbzier.scr .

14
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

• Users: Load and unload device drivers

Esta política surge a partir de limitar la pertenencia de los usuarios del dominio al

grupo USERS, al no tener derechos de instalar nada. Se aplica a las computadoras

que pertenecen al grupo de Facturación que es el que se ve afectado.

Cuando las operadoras iban a cambiar de impresora, no podían hacerlo

(Facturación imprime directamente al puerto LPT1), y al no tener derechos no

pueden liberar dispositivos. Se encontró una herramienta que tiene Microsoft que se

llama devcon.exe que permite liberar, asignar, actualizar y en general administrar

dispositivos. Usando la misma se les creó un script para cada una de las

impresoras, de modo que cuando quieran cambiar el dispositivo de impresión

solamente tienen que ejecutar este script.

• Users: Proxy ETECSA Holguin

En esta política entre otras se define la página Web inicial, el proxy de Holguín para

los usuarios del dominio, las excepciones, o sea, los bloques de direcciones para los

que no se usará el Proxy y se personaliza la barra de título del Internet Explorer.

• Users: Proxy ETECSA Habana

En esta política se fija el Proxy de la Habana para los usuarios con acceso a

Internet, es parecida a la anterior con el cambio del Proxy. De esta forma no se tiene

que evita un tráfico innecesario.

VALORACIÓN TÉCNICO - ECONÓMICA Y/O APORTE SOCIAL

La implementación del Directorio Activo con la plataforma Microsoft Windows Advanced

Server primero y luego con Microsoft Windows Server 2003 ha fortalecido la

infraestructura de los procesos de Tecnologías de la Información y Software en la

15
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

Gerencia Territorial de ETECSA de Holguín puesto que entre otros:

• Ha facilitado la administración de los sistemas, conectividad, seguridad.

• Ha disminuido en gran escala los soportes técnicos en la gestión o refuerzo de la

seguridad de acceso con políticas de grupo del DA.

• Se han disminuido las instalaciones manuales.

• Se ha alcanzado una escalabilidad y rendimiento superiores.

• Se ha reducido el tiempo de autentificación del usuario final.

• Se han reducido considerablemente los costos de administración y de Help Desk.

• Se han reducido los costos requeridos de capital futuro.

• Ha permitido la consolidación de la información de los recursos de la red en los

servidores.

• Ha disminuido considerablemente el esfuerzo de administración de los recursos de

la red con una implementación y administración más sencilla.

• Se ha aumentado la productividad de la administración y del usuario final.

• Ha aumentado en gran medida los niveles de seguridad, reduciendo los riesgos.

• Se ha mejorado en el rendimiento y confiabilidad.

• Se ha mejorado y facilitado la distribución de las actualizaciones de seguridad de

Microsoft, centralizando localmente el proceso y reduciendo costos de operación y

ancho de banda.

Para el cálculo del efecto económico se tuvieron en cuenta los datos correspondientes

al año 2004, 2005 y hasta agosto del 2006, pues aún cuando el DA se implementó

desde antes estos datos no se tuvieron en cuenta en el efecto final pues fueron

equiparados con el costo de implementación del servicio.

16
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

Con la implementación del DA, según las potencialidades implementadas hasta el

momento, se ha ahorrado un tiempo de instalación y soporte correspondiente a

14,190.08 horas de trabajo y un valor de $31,860.77 pesos.

Y según la configuración del DA actual se ha estimado que anualmente se ahorraría

aproximadamente un tiempo de 5,923.51 horas de trabajo y un valor de $14,191.73

pesos, aunque estos valores se incrementarán a medida que se desarrollen nuevas

políticas o se optimicen todas las potencialidades que brinda el DA.

El Directorio Activo desde la perspectiva del cliente

Desde el punto de vista del usuario final, el DA también brinda sus bondades, algunas

más perceptibles que otras, por ejemplo:

• Usando el buscador de MS Windows, de una búsqueda sobre información de

computadoras, personas e impresoras, y preguntando al Directorio Activo dentro de

la ficha de personas

que devuelva todo lo

que comience con la

palabra TISW,

devuelve todos los

grupos que se tienen

creados dentro de la

Filial, como se muestra

en la Figura 3:

Figura 3: Resultado de la Búsqueda de un Grupo de usuario

usando el Buscador de Windows.

17
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

• Cuando se crea un usuario se completa toda la información que se solicita en el

modelo de solicitud de cuenta de usuario. Esto resulta de mucha aplicación. Entre

otros se recoge el número telefónico donde se pude contactar al usuario, los datos

correspondientes a la Organización como Título (Cargo o Función), Departamento,

Compañía, el nombre de usuario, del administrativo a que se subordina (esto es

muy útil para seguir la cadena de mando). Tener esta información por cada usuario

ha resultado muy conveniente, un ejemplo de aplicación es que cuando se busca un

usuario en particular se devuelve una información más completa del mismo, esta

facilidad es utilizada por el Buscar trabajador en la primera página del Portal de la

Gerencia de Holguín, una muestra del resultado de una consulta por el estilo se

muestra en la Figura 4:

Figura 4: Resultado de la Búsqueda de una persona en el Portal de la

Gerencia Holguín.

18
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

CONCLUSIONES
El Directorio Activo es una parte integral de Windows 2000 Server y Windows Server

2003 que gestiona los servicios esenciales del SO para toda la red y su aplicación en la

Gerencia de Holguín ha sido muy conveniente pues ha facilitado la administración,

centralizando las directivas y cambiando la concepción anterior, permitiendo una mejor

organización de los recursos de la red y a su vez una mejor administración de usuarios,

equipos y aplicaciones. Permitiendo ahorrar hasta la fecha un tiempo de instalación y

soporte correspondiente a 14,190.08 horas de trabajo y un valor de $31,860.77 pesos,

con un ahorro anual estimado en 5,923.51 horas de trabajo y $14191.73 pesos.

Se puede decir además que entre otras ventajas la aplicación del Directorio Activo en

la Gerencia de ETECSA de Holguín ha resultado muy conveniente porque:

• Con el servicio de replica entre los controladores de dominio se ha garantizado que

cualquier cambio en los datos del Directorio Activo sea replicado a todos los

controladores de dominio del dominio.

• Se han diseñado y aplicado políticas de seguridad (tanto en servidores como en

equipos) con lo que se ha logrado disminuir los tiempos de soporte técnico y Help

Desk.

• Las unidades organizacionales son más fáciles de crear, eliminar, mover y

modificar que los dominios y por lo tanto están más adecuadas para el papel de la

delegación que en Windows NT 4.0, donde había que crear dominios múltiples

para tener conjuntos distintos de administradores de dominio si se quería delegar la

administración.

• Resulta un medio de organizar, controlar y administrar centralizadamente el acceso

19
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín

a los recursos de la red puesto que el Directorio Activo es un servicio de red que

almacena información acerca de los mismos y permite el acceso de los usuarios y

las aplicaciones a dichos recursos.

RECOMENDACIONES
1. Continuar trabajando en el Directorio Activo tanto en su diseño como en su

perfeccionamiento, y trabajar con vistas a aumentar las herramientas actuales que

ayudan a su monitoreo y actualización, con el fin de garantizar la integridad y

seguridad del mismo.

2. Implementar herramientas, scripts y/o aplicaciones que faciliten la comunicación

con el Directorio Activo, tanto para los administradores como para los usuarios

finales, con vistas a apoyar y facilitar el trabajo de la administración.

BIBLIOGRAFÍA
1. Administración de Dominios Windows 2000. http:// groucho.dsic.upv.es
2. Consolidación de entornos con Windows Server 2003. Microsoft.
3. Daily, Sean K. The Definitive Guide To Active Directory Troubleshooting. NETPRO
The Directory Experts. realtimepublishers.com, Marzo 2001
4. Darren Mar, Elía. La planificación del directorio activo. Windows 2000 Magazine.
Número 48. http://www.w2000mag.com. Diciembre 2000
5. Don Jones. Tips and Tricks Guide To Active Directory Troubleshooting. NETPRO
The Directory Experts. realtimepublishers.com. 2003
6. Don Jones. The Definitive Guide To Active Directory Troubleshooting And Auditing.
NETPRO The Directory Experts. realtimepublishers.com. 2003
7. Doménech, Martí. Mejoras de Seguridad. Winmat IT Security Services.
www.winmat.com. Microsoft.
8. Kearns, Dave; Sheresh, Beth. The Administrators Shortcut Guide To Active Directory
Security. realtimepublishers.com. 2004.
9. Kelly, Bob. The Definitive Guide To Windows Desktop Administration.
realtimepublishers.com. 2003.
10. Microsoft Corporation. Active Directory Benefits for Smaller Enterprises. Septiembre
2004
11. Microsoft Corporation. Arquitectura del Active Directory. Microsoft Windows 2000
Server. 1999.
12. Serrano, María José. Microsoft Windows 2000 Server Active Directory.

20