El material presentado en este documento es una recopilación de información para el curso

de servidores y almacenamiento. Todas las fuentes se encuentran debidamente citadas en los

sílabos de las asignaturas, así como en las diferentes notas al pie en este documento. La
institución no se atribute los derechos de autor de las fuentes consultadas.
El material presentado en este documento es una recopilación de información para el curso
de servidores y almacenamiento del instituto. Todas las fuentes se encuentran debidamente
citadas en los sílabos de las asignaturas, así como en las diferentes notas al pie en este
documento. La institución no se atribute los derechos de autor de las fuentes consultadas.
CAPÍTULO 4 – ADMINISTRACIÓN DE OBJETOS DE ACTIVE
DIRECTORY

INTRODUCCCION

En esta sesión veremos las diferencias entre las cuentas locales y las cuentas de dominio.

• Aprenderemos sobre los principales objetos de Active Directory

• Reconoceremos las consolas de administración de Active Directory.
• Aprenderemos las principales operaciones cotidianas que se realizan en un
entorno de dominio Active Directory: unión de equipos al dominio, políticas de
nombres, creación de usuarios Active Directory, inicio de sesión y sus tipos.
• Finalmente veremos los perfiles de Active Directory y sus tipos de perfil.
CUENTAS DE USUARIO Y GRUPOS EN WINDOWS

Cuentas de Usuario

Las cuentas de usuario de Active Directory representan entidades físicas, como

personas. Las cuentas de usuario también se pueden usar como cuentas de servicio
dedicadas para algunas aplicaciones.

A veces, las cuentas de usuario también se denominan entidades de seguridad. Las

entidades de seguridad son objetos de directorio a los que se asignan automáticamente
identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos
del dominio. Principalmente, una cuenta de usuario:

Autentica la identidad de un usuario.

Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con
una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red
debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la
seguridad, evite que varios usuarios compartan una misma cuenta.

Autoriza o deniega el acceso a los recursos del dominio.

Después de que un usuario se autentica, se le concede o se le deniega el acceso a los

recursos del dominio en función de los permisos explícitos que se le hayan asignado en
el recurso.

Denominación de cuentas de usuario

El contenedor de usuarios de Usuarios y equipos de Active Directory muestra tres

cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas
cuentas de usuario integradas se crean automáticamente al crear el dominio.

Puede crear un nombre de usuario basado en ciertas consideraciones:

• El nombre de cuenta puede seguir un patrón en común: La primera letra del

nombre seguido del apellido paterno, y si hay duplicación puede agregarse una
letra del segundo apellido o quizá el segundo nombre, o en todo caso el año de
nacimiento expresado en 2 dígitos
• Las contraseñas deben ser del llamado tipo complejas quiere decir que deben
incluir mayúsculas y minúsculas, números, Símbolos y algún carácter especial.
Se recomienda que sea de una longitud de al menos 12 caracteres."

Tipos de cuentas

Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La

cuenta Administrador es la que tiene más derechos y permisos en el dominio, mientras
que la cuenta Invitado tiene derechos y permisos limitados.

En la tabla siguiente se describen las cuentas de usuario predeterminadas de los

controladores de dominio en los que se ejecuta el sistema operativo Windows Server
Cuenta
Descripcion
Predeterminada
Administrador La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y
permisos de control de acceso a los usuarios del dominio según sea necesario. Esta cuenta sólo
se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que
configure esta cuenta con una contraseña segura.
La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Active
Directory: Administradores, Administradores del dominio, Administradores de organización,
Propietarios del creador de directivas de grupo y Administradores de esquema. La cuenta
Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible
cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en
muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella
a usuarios malintencionados."
La cuenta Administrador es la primera cuenta que se crea cuando se configura un nuevo dominio
con el Asistente para la instalación de los Servicios de dominio de Active Directory.
importante
Aunque la cuenta Administrador esté deshabilitada, puede seguir usándose para obtener acceso
a un controlador de dominio con el modo seguro.
Invitado Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario
cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado.
La cuenta Invitado no requiere ninguna contraseña.
Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier
cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo
integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar
sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada y
recomendamos que permanezca así.
Asistente de ayuda Es la cuenta principal para establecer una sesión de Asistencia remota. Esta cuenta se crea
(se instala con una automáticamente al solicitar una sesión de Asistencia remota. Tiene acceso limitado al equipo.
sesión La cuenta Asistente de ayuda se administra mediante el servicio Administrador de sesión de
de Asistencia remota) Ayuda de escritorio remoto. La cuenta se elimina automáticamente si no hay solicitudes de
Asistencia remota pendientes.

Consideraciones sobre las cuentas de usuario y de sistema:

1. Cuentas creadas por el usuario.

a. Permite a los usuarios registrarse en la Red
b. Permite acceder a los recursos y realizar determinadas tareas si se tienen
los permisos y derechos apropiados
c. Contienen nombre de usuario, contraseña y una descripción
d. Se clasifican en dos:
i. Cuentas de usuario del dominio: Permite registrarse en un dominio y
obtener acceso a los recursos de la red. Deben ser creadas en Unidades
Organizativas.
ii. Cuentas de usuario Locales: Permite a los usuarios registrarse y obtener
acceso a los recursos sólo en la computadora donde se creó la cuenta de
usuario local.

2. Cuentas del sistema.

a. Invitado
i. Usada para usuarios ocasionales
ii. Permite acceder a los recursos de la computadora local
iii. Está deshabilitada por defecto
iv. Se recomienda cambiarle el nombre y descripción
b. Administrador
 i. Usada para administrar el dominio
ii. Permite el mantenimiento de usuarios, grupos y cuentas; la
administración de políticas de seguridad y de los recursos de la red."
iii. Asignar derechos y permisos a las cuentas de usuario
iv. La persona encargada de instalar el Directorio Activo en el equipo crea la
contraseña de esta cuenta durante la instalación.
v. Se recomienda cambiarle el nombre y descripción
vi. Crea otra cuenta llamada Administrador con privilegios mínimos que sirva
de señuelo a otros atacantes.
vii. Asigna una contraseña larga y compleja
viii. Cambia la contraseña periódicamente

Crear una cuenta de usuario local – en Windows 10

Este procedimiento crea una cuenta local para una persona que no tenga cuenta de
Microsoft. Además, si es necesario, puedes conceder privilegios de administrador a esa
cuenta. "Cuenta sin conexión" es simplemente otra manera de decir "cuenta local".

A medida que vayas creando una cuenta, elegir una contraseña y mantenerla segura son
pasos esenciales. Puesto que no sabemos tu contraseña, si la olvidas o la pierdes, no
podemos recuperarla para ti.

Este procedimiento es para Windows 10 o posteriores, puedes agregar preguntas de

seguridad, como podrás ver en el paso 4, en Crear una cuenta de usuario local. Con las
respuestas a tus preguntas de seguridad podrás restablecer la contraseña de tu cuenta
local de Windows 10.

1. Selecciona el botón Inicio y, a continuación, Configuración > Cuentas y, finalmente,

Familia y otros usuarios. (En algunas ediciones de Windows aparecerá Otros
usuarios).
2. Selecciona Agregar a otra persona a este PC.
3. Selecciona No tengo la información de inicio de sesión de esta persona y, en la
página siguiente, elige Agregar un usuario sin cuenta de Microsoft.
4. Escribe un nombre de usuario, una contraseña, un indicio de contraseña o elige
preguntas de seguridad, y luego selecciona Siguiente.

Cambiar una cuenta de usuario local a cuenta de administrador

1. En Configuración > Cuentas > Familia y otros usuarios, selecciona el nombre del
propietario de la cuenta y luego Cambiar el tipo de cuenta.
2. En Tipo de cuenta, selecciona Administrador y Aceptar.
3. Inicia sesión con la nueva cuenta de administrador.
 Referencia – crear cuenta - Microsoft Docs :

https://www.microsoft.com/en-us/videoplayer/embed/RWtYN7

Creación de cuentas de usuario de dominio

Las cuentas de usuario de dominio se crean en el Active Directory y se pueden utilizar

para iniciar sesión en cualquier equipo que esté unido al dominio.

Sin embargo, en caso se encuentre en un dominio diferente o en un Grupo de trabajo, y

desee conectarse a un recurso compartido en un dominio diferente se le solicitará que
ingrese las credenciales de un usuario existente en el dominio.

Para crear una cuenta siga los siguientes pasos:

1. Inicie sesión en su controlador de dominio con un usuario de nivel de administrador

de dominio, menú Herramientas y seleccione la herramienta de usuarios y equipos
del directorio activo

2. Haga clic derecho en la Unidad organizativa donde la creará, seleccione Nuevo y haga
clic en Usuario.
3. Aparecerá el siguiente cuadro de dialogo. Llene los datos del usuario.

4. Escriba la contraseña dos veces y configure algunas opciones. Haga clic en siguiente

5. Confirme los datos y haga clic en finalizar

Recuerda, las cuentas de usuario tiene diferentes Opciones y diversas propiedades,
entre ellas:

1. Nombre la persona que usar la cuenta, así como su apellido.

2. Nombre para mostrar
3. Descripción
4. Oficina
5. Número de teléfono
6. Nombre de inicio de sesión de usuario
7. Horas de inicio de sesión
8. Inicio de sesión en...

OBJETOS DE ACTIVE DIRECTORY

Un controlador de dominio es cualquier servidor Windows que cuente con la función de

controlador de dominio instalada. Cada controlador de dominio almacena una copia de
la base de datos de Active Directory, que contiene información sobre todos los objetos
dentro del mismo dominio.

El bloque de construcción básico de Active Directory es el objeto, un conjunto de

atributos diferenciado y con nombre que representa un recurso de la red. Los atributos
del objeto son características de objetos del directorio. Los objetos se pueden organizar
en clases, que son agrupaciones lógicas de objetos

El Active Directory almacena información sobre recursos y servicios de red. Los recursos
como cuentas de usuario, impresoras, recursos compartidos, directivas, etc. constituyen
objetos. Cada objeto posee una serie de atributos y tiene un nombre jerárquico que lo
representa, por ejemplo: CN=guimi, OU=Administradores, DC=MiEmpresa, DC=Local.

Los objetos se organizan en clases que son agrupaciones lógicas de objetos del mismo
tipo, como usuarios o equipos, y que comparten los mismos atributos.
Unidades Organizativas (OU):

Una Unidad Organizativa es un objeto de Active Directory (Directorio Activo), dentro de

un dominio. Las Unidades Organizativas pueden usarse para organizar cientos de
objetos en el directorio dentro de unidades administrables. ... La jerarquía de
contenedores se puede extender tanto como sea necesario dentro de un dominio.

Gestión de unidad organizativa de Active Directory (OU) Las unidades organizativas (OU)
son las entidades de Active Directory más fundamentales a las que se pueden vincular
las políticas de grupo y delegar privilegios administrativos.

Su fin es crear una estructura de "carpetas" que administrativamente organice nuestra

empresa. Por ejemplo, podemos crear una estructura de unidad organizativa que
represente cada sección o departamento de mi empresa. Además, todos los usuarios y
cuentas de equipo las crearé o moveré a este nuevo sitio. De esta forma, cuando
abramos la administración del directorio activo veremos una estructura mucho más
organizada que la predeterminada.

Utilizaremos las unidades organizativas para agrupar y organizar objetos para delegar
derechos administrativos y asignar directivas a una colección de objetos como una
unidad única. Es decir, podemos delegar la administración de una unidad organizativa
"Finanzas" a una persona de ese departamento para que administre y gestione los
recursos de su departamento. Utilizaremos unidades organizativas para

• Organizar objetos en un dominio. Las unidades organizativas contienen objetos

de dominio, como grupos y cuentas de usuario y de equipo. Los archivos e
impresoras compartidos que están publicados también se encuentran en
unidades organizativas.
• Delegar el control administrativo. Podemos asignar control administrativo
completo de todos los objetos de una unidad organizativa. Por ejemplo, para
establecer control total o control administrativo limitado de los objetos de
usuario en la unidad organizativa (modificar la información del correo
electrónico). Para delegar el control administrativo, podemos asignar permisos
específicos a uno o más usuarios y grupos en una unidad organizativa y a los
objetos que esta unidad contenga.
• Simplificar la administración de los recursos agrupados más utilizados. Podemos
delegar la autoridad administrativa de atributos determinados en objetos
específicos, pero normalmente utilizaremos las unidades organizativas para
delegar la autoridad administrativa. Un usuario puede tener autoridad
administrativa para todas las unidades organizativas de un dominio o para una
única unidad.

Diseño de las unidades organizativas

diseñar la estructura de las unidades organizativas es importante para poder gestionar

y organizar nuestros recursos de la mejor manera. Lo ideal es partir de una idea global
de organización y mantenerla. En este caso no sucede como con otros objetos, donde
una vez creados, luego es muy problemático su eliminación o movimiento. En este caso
podemos crearlas, borrar, cambiar de nombre, moverlas sin ningún tipo de coste de
tiempo ni de cambio de configuración.
La grafica siguiente muestran distintos criterios para crear las unidades organizativas.
Por ejemplo, podemos crear una por cada departamento (Administración, Personal,
Calidad, ...) y luego como tenemos dos pequeñas fábricas conectadas creamos una
unidad organizativa para cada una de ellas (Barcelona, Logroño, ...) Que es una
combinación de los modelos de función y de ubicación que aparece en el gráfico

Jerarquía basada en función

La jerarquía basada en la función se basa solamente en las funciones empresariales de

la empresa sin tener en cuenta la situación geográfica ni la distinción entre divisiones y
departamentos. Si decidimos organizarlo así, debemos tener en cuenta las
características de este tipo de diseños que se enumeran a continuación:

• No le afectan las reorganizaciones. Una jerarquía basada en la función no se ve

afectada por las reorganizaciones empresariales ni corporativas.
• Podría necesitar capas adicionales. Al utilizar esta estructura, puede ser
necesaria la creación de capas adicionales en la jerarquía de la unidad
organizativa para adaptar la administración de usuarios, impresoras, servidores
y recursos de red compartidos.
• Podría afectarle la duplicación. Las estructuras utilizadas para crear dominios no
proporcionan un uso eficaz de la red, porque el contexto de nombres de
dominio podría duplicarse en una o más zonas de ancho de banda bajo.

Esta estructura sólo es adecuada para empresas pequeñas puesto que los
departamentos funcionales de las pequeñas y medianas empresas suelen estar bastante
diversificados, y no pueden agruparse de forma efectiva en categorías más amplias.

Jerarquía basada en organización

La jerarquía basada en la organización se centra en los departamentos o divisiones de

una empresa. Si la estructura se organiza de forma que refleje la estructura organizativa,
sería difícil delegar la autoridad administrativa, puesto que los objetos, como las
impresoras y archivos compartidos, no se agruparían de forma que facilite esta
delegación. Ya que los usuarios nunca ven la estructura y el diseño debe adaptarse al
administrador y no al usuario.

Jerarquía basada en ubicación

Si la empresa está centralizada y la administración de la red tiene una distribución

geográfica, se recomienda una jerarquía basada en la ubicación. Por ejemplo, podemos
crear unidades organizativas para Lima , Arequipa y Cuzco en el mismo dominio, como
partes de MiEmpresa.Local. Las unidades organizativas basadas en la ubicación y los
dominios jerárquicos tienen las mismas características:

• No le afectan las reorganizaciones. Aunque las divisiones y los departamentos

pueden cambiar frecuentemente, la ubicación no suele cambiar en la mayoría
de las empresas.
• Se adapta a fusiones y expansiones. Si una empresa se fusiona o compra otra,
es muy sencillo integrar una estructura jerárquica de dominio y las nuevas
ubicaciones en las unidades organizativas existentes.
• Obtiene ventajas de la mayor solidez de la red. Generalmente, la topología de
una red física de una empresa se asemeja a la jerarquía basada en la ubicación.
Si creamos dominios con este tipo de jerarquía, disfrutaremos de las áreas
donde la red tiene un ancho de banda alto, limitando la cantidad de datos
duplicados en zonas de ancho de banda bajo.
• Podría poner en peligro la seguridad. Si una ubicación incluye varias divisiones
o departamentos, una persona o más con autoridad administrativa sobre ese
dominio o unidad organizativa pueden tener también autoridad sobre dominios
y unidades organizativas secundarias.

Jerarquía híbrida

Se llama jerarquía híbrida a aquella que está basada en la ubicación y, además, por
empresa o cualquier otro tipo de estructura combinada. Esta jerarquía combina las
ventajas de diferentes zonas para cubrir las necesidades de la empresa. Además, cuenta
con las siguientes características:

• Se adapta al crecimiento geográfico de departamentos o divisiones.

• Crea distintos límites de administración según el departamento o división.
• Necesita de la cooperación entre administradores para garantizar la realización
de las tareas administrativas si se encuentran en la misma ubicación, pero en
departamentos o divisiones diferentes.

En la realidad no hace falta seguir un esquema, elegiremos lo que no sea más cómodo
de administrar. Con la suficiente previsión de que, si nuestra empresa crece tanto en
departamentos como en sitios, tengamos posibilidad de hacerlo de una forma fácil y
coherente con el formato definido inicialmente.

Procedimiento - Crear unidades organizativas

Para crear una unidad organizativa haremos lo siguiente

1. dentro de la consola de administración de usuarios y equipos:

2. Hacemos clic en el nombre de nuestro dominio "miempresa.com" y con el botón
derecho seleccionamos "Nuevo" y luego "Unidad Organizativa":

3. Aparecerá esta pantalla:

4. Introducimos el nombre de "Informática" (por ejemplo) y pulsamos "Aceptar".

5. Repetimos la operación creando varias unidades organizativas más: Compras,
Persona, Administración y Calidad. Para que quede de esta forma...

Procedimiento - Mover objetos dentro del dominio

Podemos mover objetos entre unidades organizativas cuando haya cambios en las
funciones administrativas o empresariales. Por ejemplo, cuando un empleado se
traslada a otro departamento. Como administrador de sistemas, nuestra tarea es la de
mantener la estructura a medida que cambien las necesidades u organización de nuestra
empresa.

Los elementos que podemos mover dentro de la estructura del Directorio Activo son:

• Cuentas de usuario
• Cuentas de contacto
• Grupos
• Carpetas compartidas
• Impresoras
• Equipos
• Controladores de dominio
• Unidades organizativas

En nuestro ejemplo simplemente vamos a organizar los equipos registrados. Ahora que
ya tenemos nuestras unidades organizativas creadas, debemos mover los equipos que
hemos ido registrando para ir organizando nuestros recursos.

Ejemplo – Procedimiento para mover cuentas de Computador que es van creando

automáticamente dentro de la unidad organizativa ("Computers") hacia la unidad
Organizativa ("CALIDAD")

1. En esa carpeta tenemos uno o varios equipos que queremos mover. Lo

marcamos, pulsamos el botón derecho y seleccionamos la opción "Mover":
 2. Indicamos el destino, por ejemplo, la unidad organizativa "Calidad":

3. Pulsamos "Aceptar" y vamos a comprobarlo:

Procedimiento - Eliminar o mover unidades organizativas

1. Si necesitamos mover o eliminar unidades organizativas, sólo tendremos que
seleccionarla y pulsar el botón de suprimir. También podemos utilizar la opción
"suprimir/mover" con el botón derecho del ratón:

2. Vamos a mover esta unidad organizativa de sitio. Por ejemplo, dentro de la de

Informática, para probar este proceso:

Nota: no podemos moverla ni tampoco eliminarla. Esto es por seguridad. Si

eliminamos de forma accidental una unidad organizativa que tenga dentro las
cuentas de 20 equipos de nuestra red, sería una catástrofe para los usuarios. Sin sus
cuentas de equipo, no tendrían acceso a los recursos de red y estarían
incomunicados. Puesto que es una operación grave, desde Windows 2003 Server, al
crear la unidad organizativa, se activa por defecto una protección ante borrados o
movimientos accidentales.

3. Recordemos la pantalla cuando hemos creado las unidades organizativas:

 Por defecto tenemos la opción de protección activada. Así que antes de mover o
eliminar una unidad organizativa debemos quitar esta protección.

4. Para esto, mostramos las propiedades de la unidad organizativa con el botón

derecho:

NOTA, ¡por mucho que buscamos no aparece esta opción! Esto es porque se
encuentra dentro de las propiedades avanzadas, que por defecto no se muestran.

5. Vamos a activarlas desde el menú:

El árbol del directorio activo estará ahora más poblado porque aparecen objetos
ocultos que forman parte de su configuración y que deben permanecer así por
seguridad.

Ahora sí que encontramos la opción.

Si desmarcamos esta casilla, ya podremos eliminar y mover las unidades

organizativas.
 IMPORTANTE : Si eliminamos una unidad organizativa, debemos asegurarnos que
está vacía. Podemos eliminar cuentas de usuario, equipos, impresoras u otros
objetos y en este entorno no existe papelera para recuperarlos.

Cuentas de Grupos (Groups):

Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos

que se pueden administrar como una sola unidad. Los usuarios y los equipos que
pertenecen a un grupo determinado se denominan miembros del grupo.

Los grupos de los Servicios de dominio de Active Directory (AD OS) son objetos de
directorio que residen en un dominio y en objetos contenedores Unidad organizativa
(OU).AD OS proporciona un conjunto de grupos predeterminados cuando se instala y
también incluye una opción para crearlos.

Los grupos de AD OS se pueden usar para:

• Simplificar la administración al asignar los permisos para un recurso compartido

a un grupo en lugar de a usuarios individuales. Cuando se asignan permisos a un
grupo, se concede el mismo acceso al recurso a todos los miembros de dicho
grupo."
• Delegar la administración al asignar derechos de usuario a un grupo una sola vez
mediante la directiva de grupo. Después, a ese grupo le puede agregar
miembros que desee que tengan los mismos derechos que el grupo."
• Crear listas de distribución de correo electrónico.

Los grupos se caracterizan por su ámbito y su tipo. El ámbito de un grupo determina el

alcance del grupo dentro de un dominio o bosque. El tipo de grupo determina si se
puede usar un grupo para asignar permisos desde un recurso compartido (para grupos
de seguridad) o si se puede usar un grupo sólo para las listas de distribución de correo
electrónico (para grupos de distribución).

"También existen grupos cuyas pertenencias a grupos no se pueden ver ni modificar.

Estos grupos se conocen con el nombre de identidades especiales. Representan a
distintos usuarios en distintas ocasiones, en función de las circunstancias. Por ejemplo,
el grupo Todos es una identidad especial que representa a todos los usuarios actuales
de la red, incluidos invitados y usuarios de otros dominios."

Grupos predeterminados

"Los grupos predeterminados, como es el caso del grupo Administradores del dominio,
son grupos de seguridad que se crean automáticamente cuando se crea un dominio de
Active Directory. Estos grupos predefinidos pueden usarse para ayudar a controlar el
acceso a los recursos compartidos y para delegar funciones administrativas específicas
en todo el dominio.

A muchos grupos predeterminados se les asigna automáticamente un conjunto de

derechos de usuario que autorizan a los miembros del grupo a realizar acciones
específicas en un dominio, como iniciar sesión en un sistema local o realizar copias de
seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de
copia de seguridad puede realizar operaciones de copia de seguridad para todos los
controladores de dominio del dominio."

Cuando se agrega un usuario a un grupo, ese usuario recibe:

• Todos los derechos de usuario asignados al grupo

• Todos los permisos asignados al grupo para los recursos compartidos

Los grupos predeterminados se encuentran en el contenedor Builtin y en el contenedor

Users. Los grupos predeterminados del contenedor Builtin tienen el ámbito de grupo
Integrado local. Su ámbito de grupo y tipo de grupo no se pueden cambiar. El
contenedor Users incluye grupos definidos con ámbito Global y grupos definidos con
ámbito Local de dominio. Los grupos ubicados en estos contenedores se pueden mover
a otros grupos o unidades organizativas del dominio, pero no se pueden mover a otros
dominios.

Ámbito de grupo

Los grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol
de dominios. Existen tres ámbitos de grupo: local de dominio, global y universal.

Grupos locales de dominio

Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas
de dominios de versiones anteriores de Windows Server desde NT hasta 2016. A los
miembros de estos grupos sólo se les pueden asignar permisos dentro de un dominio.

Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los
recursos dentro de un dominio único. Estos grupos pueden tener los siguientes
miembros:

• Grupos con ámbito Global

• Grupos con ámbito Universal
• Cuentas
• Otros grupos con ámbito Local de dominio
• Una combinación de los anteriores

Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios,
puede agregar las cinco cuentas de usuario a la lista de permisos de la impresora. Sin
embargo, si posteriormente desea que esos cinco usuarios tengan acceso a otra
impresora, deberá volver a especificar las cinco cuentas en la lista de permisos para la
nueva impresora.

Con un poco de previsión, puede simplificar esta tarea administrativa rutinaria al crear
un grupo con ámbito Local de dominio y asignarle permisos de acceso a la impresora.
Coloque las cinco cuentas de usuario en un grupo con ámbito Global y agregue este
grupo al grupo que tiene ámbito Local de dominio. Cuando desee que los cinco usuarios
tengan acceso a una nueva impresora, asigne permisos de acceso a la nueva impresora
al grupo con ámbito Local de dominio. Todos los miembros del grupo con ámbito Global
recibirán automáticamente el acceso a la nueva impresora.
Los miembros de los grupos globales pueden incluir sólo otros grupos y cuentas del
dominio en el que se encuentra definido el grupo. A los miembros de estos grupos se les
pueden asignar permisos en cualquier dominio del bosque.

Use los grupos con ámbito Global para administrar objetos de directorio que requieran
un mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos
con ámbito Global no se replican fuera de su propio dominio, las cuentas de un grupo
con ámbito Global se pueden cambiar frecuentemente sin generar tráfico de replicación
en el catálogo global.

Aunque las asignaciones de derechos y permisos sólo son válidas en el dominio en el

que se asignan, al aplicar grupos con ámbito Global de manera uniforme entre los
dominios apropiados, es posible consolidar las referencias a cuentas con fines similares.
De esta manera se simplifica y se racionaliza la administración de grupos entre dominios.
Por ejemplo, en una red que tenga dos dominios, Europe y UnitedStates, si hay un grupo
con ámbito Global denominado GLAccounting en el dominio UnitedStates ,debería
haber también un grupo denominado GLAccounting en el dominio Europe (a menos que
esa función de contabilidad (Accounting) no exista en el dominio Europe).

Importante : Recomendamos encarecidamente que use grupos globales o universales

en lugar de grupos locales de dominio cuando especifique permisos para objetos de
directorio de dominio que se repliquen en el catálogo global.

Grupos universales

Los miembros de los grupos universales pueden incluir otros grupos y cuentas de
cualquier dominio del bosque o del árbol de dominios. A los miembros de estos grupos
se les pueden asignar permisos en cualquier dominio del bosque o del árbol de
dominios.

Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios
dominios. Para ello agregue las cuentas a los grupos con ámbito Global y anide estos
grupos dentro de los grupos que tienen ámbito Universal. Si usa esta estrategia, los
cambios de pertenencias en los grupos que tienen ámbito Global no afectan a los grupos
con ámbito Universal.

Por ejemplo, si una red tiene dos dominios, Europe y UnitedStates, y hay un grupo con
ámbito Global denominado GLAccounting en cada dominio, cree un grupo con ámbito
Universal denominado UAccounting que tenga como miembros los dos grupos
GLAccounting, UnitedStates\GLAccounting y Europe\GLAccounting. Después, podrá
usar el grupo UAccounting en cualquier lugar de la organización . Los cambios de
pertenencia de los grupos GLAccounting individuales no producirá la replicación del
grupo UAccounting.

No cambie la pertenencia de un grupo con ámbito Universal frecuentemente. Los

cambios de pertenencia de este tipo de grupo hacen que se replique toda la pertenencia
del grupo en cada catálogo global del bosque.

Tipos de grupo

Hay dos tipos de grupos en AD OS:

• Grupos de distribución y
 • Grupos de seguridad.

Los grupos de distribución se usan para crear listas de distribución de correo electrónico
y los grupos de seguridad se usan para asignar permisos para los recursos compartidos.

Los grupos de distribución sólo se pueden usar con aplicaciones de correo electrónico
(como Microsoft Exchange Server) para enviar mensajes a conjuntos de usuarios. Los
grupos de distribución no tienen seguridad habilitada, lo que significa que no pueden
aparecer en las listas de control de acceso discrecional (DACL). Si necesita un grupo para
controlar el acceso a los recursos compartidos, cree un grupo de seguridad.

Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los
recursos de la red. Con los grupos de seguridad se puede:

• Asignar derechos de usuario a los grupos de seguridad de AD DS

Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden

hacer los miembros de ese grupo en el ámbito de un dominio (o bosque). A algunos
grupos de seguridad se les asignan derechos de usuario automáticamente cuando se
instala AD OS para ayudar a los administradores a definir la función administrativa de
una persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de
copia de seguridad de Active Directory, éste puede realizar operaciones de copia de
seguridad y restauración de archivos y directorios en cada controlador de dominio del
dominio.

• Asignar permisos para recursos a los grupos de seguridad Los permisos y los
derechos de usuario no son lo mismo.

Los permisos determinan quién puede obtener acceso a un recurso compartido y el

nivel de acceso, como Control total. Los grupos de seguridad se pueden usar para
administrar el acceso y los permisos en un recurso compartido. Algunos permisos que
se establecen en objetos de dominio se asignan automáticamente para proporcionar
varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo
Operadores de cuentas o el grupo Administradores del dominio.

Como sucede con los grupos de distribución, los grupos de seguridad también se
pueden usar como entidades de correo electrónico. Al enviar un mensaje de correo
electrónico al grupo, se envía a todos sus miembros.

Identidades especiales

Además de los grupos de los contenedores Users y Builtin,los servidores en los que se
ejecuta Windows Server 2008 o Windows Server 2003 incluyen varias identidades
especiales.

Por comodidad se las suele llamar grupos. Estos grupos especiales no tienen
pertenencias específicas que se puedan modificar.

Sin embargo, pueden representar a distintos usuarios en distintas ocasiones, en función

de las circunstancias. Los grupos siguientes son identidades especiales:
Aunque a las identidades especiales se les puede conceder derechos y permisos para los
recursos, sus pertenencias no se pueden ver ni modificar. Las identidades especiales no
tienen ámbitos de grupo. Los usuarios son asignados automáticamente

a ellas cuando inician sesión u obtienen acceso a un recurso concreto.

Información sobre creación de grupos

En AD OS, los grupos se crean en los dominios. Para crear grupos se utiliza Usuarios y
equipos de Active Directory . Con los permisos necesarios, se pueden crear grupos en el
dominio raíz del bosque, en cualquier otro dominio del bosque o en una unidad
organizativa.

Además de por el dominio en el que se crea, un grupo también se caracteriza por su

ámbito. El ámbito de un grupo determina lo siguiente:

• El dominio desde el que se pueden agregar miembros

• El dominio en el que son válidos los derechos y permisos asignados al grupo

Elija el dominio o la unidad organizativa donde va a crear un grupo en función de las

tareas de administración que requiera el grupo. Por ejemplo, si un directorio tiene varias
unidades organizativas y cada una tiene un administrador diferente, puede crear grupos
con ámbito Global dentro de esas unidades organizativas para que los administradores
administren la pertenencia a grupos de los usuarios de las unidades organizativas que
les correspondan. Si se necesitan grupos para controlar el acceso fuera de la unidad
organizativa, puede anidar los grupos de la unidad organizativa dentro de grupos con
ámbito Universal (u otros grupos con ámbito Global) que puede utilizar en otros lugares
del bosque.

Nota : Es posible mover grupos dentro de un dominio, pero sólo los grupos con ámbito
Global se pueden mover entre dominios diferentes. Los derechos y permisos que se
asignan a un grupo con ámbito Universal se pierden cuando el grupo se mueve a otro
dominio y deben realizarse nuevas asignaciones.

Niveles de Funcionamiento

El nivel funcional determina cómo se comportarán los grupos dentro del bosque y a la
vez determina qué clase de características estarán disponibles, como por ejemplo la
capacidad de unir bosques.

Si el nivel funcional del dominio se encuentra definido como nativo de Windows 20008
o superior, el dominio contiene una jerarquía de unidades organizativas y la
administración se delega a los administradores de cada unidad organizativa, puede que
sea más eficaz anidar los grupos con ámbito Global. Por ejemplo, si OU1 contiene a
OU2 y OU3, un grupo con ámbito Global en OU1 puede tener como miembros a los
grupos con ámbito Global en OU2 y OU3. En OU1, el administrador puede agregar o
quitar miembros de grupo de OU1 y los administradores de OU2 y OU3 pueden agregar
o quitar miembros de grupo para las cuentas de sus propias OU

sin tener derechos administrativos para el grupo con ámbito Global en OU1.

Procedimiento - Cambiar el nivel funcional del dominio

• En la herramienta Usuarios y equipos de Active Directory, haga clic derecho en

el dominio y seleccione Elevar el nivel funcional del dominio.

Se observará el siguiente cuadro de dialogo, con el cual podrá observar el nivel

funcional actual y además cambiar a un nivel superior
Planificación de estrategias de grupo

En Active Directory, se crearán un gran número de grupos de distribución y seguridad.

Las siguientes convenciones de nomenclatura pueden ayudar a administrar estos
grupos. Las organizaciones establecen sus propias convenciones de nomenclatura para
los grupos de distribución y de seguridad.

Un nombre de grupo debería identificar su ámbito, tipo, la finalidad de su creación y los

permisos que puede tener.

Determinación de los nombres de grupo

Grupos de Seguridad

Tenga en cuenta los siguientes puntos al definir una convención de nomenclatura para
los grupos de seguridad:

Ámbito de los grupos de seguridad

Aunque el tipo y ámbito de grupo se muestra como tipo de grupo en Usuarios y equipos
de Active Directory, las organizaciones suelen incorporar el ámbito en la convención de
nomenclatura del nombre de grupo.

Por ejemplo,para identificar el ámbito de los grupos de seguridad,Northwind Traders

añade una letra al principio del nombre de grupo:

• G IT Admins

G para grupos globales

• U All IT Admins

U para grupos universales

• DL IT Admins Full Control

DL para grupos locales de dominio

Posesión del grupo de seguridad

El nombre de un grupo de seguridad de dominio, ya sea universal, global o local de

dominio, debe identificar de forma clara al propietario del grupo e incluir el nombre del
departamento o equipo al que pertenece.
A continuación, se muestra un ejemplo de convención de nomenclatura que podría
utilizar Northwind Traders para identificar alpropietario del grupo:

• G Marketing Managers
• DL IT Admins Full Control

Nombre de dominio

El nombre de dominio o su abreviatura se coloca al principio del nombre de grupo a

petición del cliente.Por ejemplo:

• G NWTraders Marketing
• DL S.N.MSFT IT Admins Read

Finalidad del grupo de seguridad

Por último, se pude incluir en el nombre la finalidad empresarial del grupo y los
permisos máximos que debería tener el grupo en la red. Esta convención de
nomenclatura se suele aplicar a los grupos locales o grupos locales de dominio.

A continuación, se muestra un ejemplo de convención de nomenclatura que podría

utilizar Northwind Traders para identificar la finalidad del grupo de seguridad:
Northwind Traders utiliza un descriptor para identificar los permisos máximos que
debería tener el grupo en la red.Por ejemplo:

• DL IT London OU Admins
• DL IT Admins Full Control

Grupos de distribución

Como los grupos de seguridad se utilizan sobre todo para la administración de la red,
sólo el personal encargado de esta tarea debe utilizar la convención de nomenclatura.
Los usuarios finales utilizan grupos de distribución; por lo tanto, debe interesarles la
convención de nomenclatura que sigue.

Al definir una convención de nomenclatura para los grupos de distribución, tenga en

cuenta los siguientes puntos:

Nombres de correo electrónico

• Longitud. Utilice un alias corto. Para respetar las normas actuales de datos
descendentes, la longitud mínima de este campo es de tres caracteres y la
longitud máxima de ocho.
• Palabras ofensivas. No cree grupos de distribución con palabras que puedan
considerarse ofensivas. Si no está seguro, no utilice la palabra.
• Permitidos. Puede utilizar cualquier carácter ASCII. Los únicos caracteres
especiales permitidos son el guion (-) y el carácter de subrayado ( _ ).
• Designaciones especiales. No utilice las siguientes combinaciones de caracteres
para los grupos de distribución:
o Un carácter de subrayado ( _ ) al principio del nombre de grupo del alias.
o Un nombre o una combinación de nombre y apellidos que pueda
confundirse fácilmente con un nombre de cuenta de usuario.

Nombres para mostrar

 • Alias de usuario. Con el fin de estandarizar los nombres, no incluya un alias como
parte del nombre para mostrar (por ejemplo, Informes directos de Sfeli). Incluya
el nombre completo (por ejemplo, Informes directos de Susana Félix).
• Palabras ofensivas. No cree grupos de distribución con palabras que puedan
considerarse ofensivas.
• Discusiones sociales. No debería permitirse la utilización de grupos de
distribución para discusiones sociales, porque el área de carpetas públicas es un
medio más eficaz para transmitir y almacenar un gran número de
comunicaciones relacionadas con discusiones sociales. Ya que un mensaje
puede ser visto por varios usuarios, se minimiza el tráfico de red y el
almacenamiento de datos si se utilizan las carpetas públicas en lugar de los
grupos de distribución.
• Longitud. La longitud máxima de este campo es de 40 caracteres. Se aceptan
abreviaturas, siempre que su significado no sea confuso.
• Estilo. No ponga en mayúsculas toda la descripción, pero sí la primera letra del
nombre para mostrar. Utilice ortografía y puntuación correctas.
• Parte superior de la libreta de direcciones. No utilice la palabra Un/a, números,
caracteres especiales (sobre todo, comillas) o un espacio en blanco al inicio de
la descripción. Esto hace que aparezca en la parte superior de la libreta de
direcciones. La libreta de direcciones debería comenzar por nombres de usuario
individuales que empiecen por A.
• Caracteres especiales.Las barras diagonales (/) se aceptan en los nombres para
mostrar, pero no al inicio de los nombres de servidor. No utilice más de un
apóstrofe (') y ninguno de los siguientes caracteres especiales: * ' @ # $ % l [ J
;< > ="

Posesión

Un único grupo de distribución puede tener un máximo de cinco copropietarios.

Procedimiento - creación de grupos

1. Haga clic derecho en una unidad organizativa o en una zona libre del área de
trabajo.

2. Luego señale Nuevo y haga clic en Grupo.

 3. Escriba el nombre del grupo y haga clic en Aceptar .

Puede realizar otros tipos de acción sobre un grupo, tales como:

1. Eliminación de grupos.
2. Adición de usuarios a un grupo. (Describiremos este proceso)
a. Haga clic derecho en el grupo.
b. Haga clic en Agregar a un grupo.
c. Seleccione la ficha Miembros.

d. Se mostrará el siguiente cuadro de diálogo, haga clic en el botón Avanzadas....

 4. En el cuadro de diálogo siguiente, si desea puede escribir el nombre de usuario
que busca o en todo caso haga clic en el botón Buscar ahora.

5. Seleccione los usuarios que necesita agregar y haga clic en Aceptar.

6. Aparecerán los usuarios seleccionados y comprobados. En esta ventana

también puede escribir el nombre de usuario y utilizar el botón Comprobar
nombres para verificar su existencia. Haga clic en Aceptar.

7. La lista se agregará a las propiedades del grupo. Haga clic en Aceptar.

Cuentas de Equipos:
Las cuentas de equipo identifican a un equipo físico (computador o servidor) en un
dominio. Proporciona un medio para la autenticación y auditoría de acceso del equipo
a la red y a los recursos del dominio.
Por defecto, un equipo pertenece a un grupo de trabajo. Para poder iniciar una sesión
en el dominio, el equipo debe pertenecer al dominio. Como con la cuenta de usuario, el
equipo posee un nombre de inicio de sesión (atributo sAMAccountName), una
contraseña y un SID. Esta información de identificación permite autenticar sobre el
dominio a la cuenta de equipo. Si la autenticación se produce con éxito, se establece
una relación de seguridad entre el controlador de dominio y el puesto. Es interesante
destacar que el cambio de contraseña de una cuenta de equipo se realiza cada 30 días
por defecto.

Atributo fecha de cambio de contraseña

Unidad contenedora Computers

Cuando se une el equipo al dominio, si no existe la cuenta, se crea automáticamente
una cuenta de equipo en el contenedor Computers. Este último es una carpeta de
sistema, y no es posible asociarle ninguna directiva de grupo (además de la herencia,
claro). Es, por tanto, necesario desplazar la cuenta de equipo a la unidad organizativa
deseada.
CONSOLAS DE ADMINISTRACIÓN DE ACTIVE DIRECTORY

Herramienta: Usuarios y Equipos del Active Directory

La consola de administración de Active Directory permite la gestión de cuentas de

usuario, equipos y grupos.

Desde esta consola es posible efectuar todas las operaciones en los diferentes objetos
(creación, eliminación, bloqueo, desactivación, etc…)

Herramienta: Dominios y confianzas de Active Directory

La consola de Dominios y Confianzas de Active Directory permite por su parte gestionar

las relaciones de confianza o los niveles funcionales del bosque y del dominio.

Herramienta: Sitios y servicios de Active Directory

La consola de Sitios y servicios de Active Directory tiene como objetivo administrar la

topología de Active Directory, es así posible realizar operaciones (agregar un sitio,
agregar una conexión…) sobre los sitios de Active Directory con el objetivo de gestionar
las replicaciones inter-sitio.
Operaciones, tareas y configuraciones en Active Directory

Integrar equipos al Dominio Active Directory

Una operación básica en un gobierno de Dominio es integrar los clientes, esta acción
puede ser realizada a través de: Propiedades del sistema /Nombre de equipo /Cambiar
/ingresar el dominio.

Para unir un equipo a un dominio

Consideraciones, deberá haber configurado las propiedades TCP/IP del PC, indicando
una dirección IP única en la red , indicar el servidor DNS local al dominio creado y asignar
el sufijo DNS del dominio.

Habiendo iniciado en una sesión del PC – Se recomienda un usuario con nivel de

administrador realice los siguiente:

4. En la pantalla Inicio, escriba Panel de control y, a continuación, presione Entrar.

5. Vaya a sistema y seguridad y, a continuación, haga clic en sistema.
6. En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic
en Cambiar configuración.
7. En la pestaña Nombre de equipo, haz clic en Cambiar.
8. En miembro de, haga clic en dominio, escriba el nombre del dominio al que
desea unir este equipo y, a continuación, haga clic en Aceptar.
9. Haz clic en Aceptar y reinicia el equipo.
Tipos de inicio de sesión:

Los tipos de inicio de sesión son tres:

• Inicio de sesión local: Es el que se realiza desde el propio servidor.

• Inicio de sesión a través de la red: Es el que se realiza desde un equipo cliente
en la red local.
• Inicio de sesión remoto: Es el que se realiza desde una ubicación remota a través
de Internet.

Perfil de Usuario:

Dentro de “Perfiles de usuario” encontraremos los usuarios de dominio y usuarios

locales que han iniciado sesión en el equipo.

En un Dominio cada usuario de Active Directory que ha iniciado sesión desde un

equipo a través de la red, el sistema le crea un perfil en el equipo local donde se ha
autenticado.

El perfil de un usuario dentro de Active Directory puede configurarse para tener algún
tipo de funcionalidad o comportamiento dentro de la red de dominio, esto se puede
trabajar como:

• Ruta de Acceso al Perfil

• Script de inicio de sesión.
• Carpeta Particular
Ubicación local o de red donde se almacena las preferencias del usuario y la configuración de
su escritorio.

Hay tres tipos de perfiles:

1. Local
2. Móvil
3. Obligatorio

Procedimiento - crear PERFILES MÓVILES

Para crear los perfiles móviles, tenemos que haber iniciado sesión anteriormente con los
usuarios. Después tenemos que ir al ADMINISTRADOR DEL SERVIDOR → USUARIOS Y EQUIPOS
DE ACTIVE DIRECTORY. Seleccionamos los usuarios que a los que queramos poner el perfil movil
y vamos a sus PROPIEDADES. En la pestaña PERFIL tenemos que poner la ruta de la carpeta
llamada perfiles (que hemos creado antes) y será ahí donde se guarde el perfil de dichos
usuarios, así aunque cambie de equipo siempre lo va a tener porque lo cargará desde el servidor.

La sintaxis de la ruta es la siguiente:

\\NOMBRE_SERVIDOR\CARPETA_PERFILES\NOMBRE_USUARIO (se puede poner %username%

para que coja automáticamente el nombre del usuario)

Al iniciar sesión con los usuarios, vemos que en la carpeta PERFILES se ha creado la carpeta con
el perfil de cada usuario,

Y así se habrán creado los perfiles móviles. Para comprobarlo, iniciamos sesión con ellos en un
cliente y vamos a PANEL DE CONTROL → SISTEMA Y SEGURIDAD → SISTEMA → CONFIGURACIÓN
AVANZADA DEL SISTEMA.
Tendremos que identificarnos como Administrador.

Se abrirá una ventana, y en la pestaña OPCIONES AVANZADAS, vamos a la sección PERFILES DE

USUARIO y pulsamos CONFIGURACIÓN...

Una vez allí aparecerá una lista con los usuarios que se han conectado a ese equipo y vemos que
Prado y Consoli tienen el perfil móvil.
Procedimiento - Crear PERFILES OBLIGATORIOS

Tenemos que seguir los mismos pasos que para el perfil móvil, cambiar la ruta en las
propiedades de los usuarios e iniciar sesión con ellos para que se cree la carpeta de perfil en la
carpeta PERFILES.

Una vez está creada la carpeta del perfil, tenemos que darle permisos al administrador para
poder entrar en ella. Vamos a PROPIEDADES → SEGURIDAD → OPCIONES AVANZADAS. Una vez
ahí pulsamos CAMBIAR. Seleccionamos los usuarios a los que queramos darle permiso
(Administrador).
Una vez dentro de la carpeta del usuario, tenemos que permitir que se van los archivos ocultos
de esa carpeta.
Una vez hemos permitido que se vean los archivos ocultos, encontramos un fichero que se llama
NTUSER.DAT a este fichero le tendremos que dar permisos para que el administrador pueda
modificarlo.
Cuando ya le hemos dado permisos al administrador sobre el fichero NTUSER.DAT, tenemos que
cambiarle la extensión por .MAN.

Así ya estará hecho el perfil obligatorio.

Carpeta particular:

Es una carpeta particular , es una carpeta que existe en el servidor dentro de un repositor de
carpetas compartidas donde solo puede acceder el propio usuario y en el puede almacenar su
información de manera confidencial y segura.

- Se crea en una unidad NTFS diferente a la del sistemas.

- Usa la ruta: \\servidor\USUARIOS\%USERNAME%

Crear una carpeta particular para un usuario de dominio

para especificar una ruta de red para la carpeta principal, primero debe crear el recurso
compartido de red y establecer permisos que permitan el acceso del usuario. Puede hacerlo con
carpetas compartidas en administración de equipos en el equipo servidor.

Para asignar una carpeta particular a un usuario de dominio:

1. Haga clic en Inicio, seleccione programas, seleccione Herramientas administrativas y, a

continuación, haga clic en Active Directory Users and Computers.
2. En el árbol de consola, haga clic en usuarios.
3. En el panel de Detalles, haga clic en la cuenta de usuario y, a continuación, haga clic en
Propiedades.
4. En el cuadro de diálogo Propiedades, haga clic en el perfil.
5. En la carpeta de Inicio, escriba la información de carpeta. Para ello, siga estos pasos:
a. Para asignar una carpeta particular en un servidor de red, haga clic en
Conectary, a continuación, especifique una letra de unidad.
b. En el cuadro para, escriba una ruta de acceso. Esta ruta de acceso puede ser
cualquiera de los siguientes tipos:
• Ruta de acceso de red – carpeta compartida, por ejemplo:

\\server\users\ (Asignar para este laboratorio Permisos de control total para

todos los usuarios del dominio)
 • Nombre de usuario puede sustituir por la última subcarpeta de la ruta,
por ejemplo:

\\server\users\%username%

Nota: En estos ejemplos, servidor es el nombre del servidor de archivos que aloja las carpetas
particulares y los usuarios es la carpeta compartida.

6. Haga clic en Aceptar.