REDES DE COMPUTADORAS, SESION 8.

ACTIVE DIRECTORY

INTRODUCCIÓN

En esta sesión se abordaran tópicos para la administración del Active Directory, luego los
cambios que Windows 2003 implementa en el esquema de Dominios con respecto a Windows
NT 4.0. Definiremos los objetos principales del Active Directory, entre ellos cabe destacar a los
usuarios ya que será en gran medida lo que estaremos administrando.

Entre las funciones que abordaremos en la gestión de usuarios están: creación, eliminación,
edición, definición de Directivas tanto para el acceso al dominio, como a los recursos que este
ofrece al usuario.

En la administración de usuarios existen diversas formas de simplificar la definición de

directivas a un conjunto de usuarios y una de estas es la implementación de Grupos de
usuarios, abordaremos los diferentes tipos de grupos que podemos crear así como su
administración, por ultimo comentaremos acerca de cómo podemos visualizar los recursos
compartidos en Windows 2003.

OBJETIVOS ESPECIFICOS:
Al finalizar la sesión usted será capaz de:

™ Definir las ventajas que ofrece la administración de un Dominio con Active Directory.
™ Definir las diferencias que existen entre Windows NT y 2003 con respecto a la
Implementación de Dominios.
™ Definir los Objetos principales de Active Directory.
™ Definir los aspectos más importantes en la gestión de usuarios (Creación, eliminación,
edición, Directivas)
™ Definir la importancia de los Grupos de Usuarios en la Administración de Usuarios.
™ Definir la herramienta Administración de Equipos, para visualizar los recursos
compartidos en Windows 2003.

INTRODUCCIÓN A LOS SERVICIOS DE DIRECTORIO (ACTIVE

DIRECTORY)

Un dominio Windows 2003 es una agrupación lógica de redes de equipos que comparten una
base de datos de un directorio central. Dicha base de datos de directorio contiene cuentas de
usuario, la información de seguridad del dominio. Esta base de datos de directorio se denomina
directorio y es la porción de la base de datos de Active Directory, que actúa como el servicio de
directorios de Windows 2003. Active Directory reemplaza todos los contenedores anteriores de
información de dominio, incluyendo los dominios múltiples. Active Directory contiene también
información sobre servicios y otros recursos, organizaciones y otros objetos.
En un dominio, el directorio está situado en el equipo que está configurado como controlador
de dominio. Un controlador de dominio es un servidor que gestiona todos los aspectos
relativos a la seguridad en las interacciones de los usuarios del dominio. La seguridad y la
1
administración están centralizadas. Sólo los equipos con Windows 2000 y 2003 Server pueden
ser designados como controladores de dominio.
Un dominio no alude a una localización concreta ni a un tipo específico de red. Los equipos de
un dominio pueden compartir proximidad física en una pequeña LAN o pueden estar ubicados
en esquinas diferentes del mundo, comunicándose a través de un determinado número de
conexiones físicas, incluyendo líneas telefónicas, líneas de la Red Digital de Servicios
Integrados (RDSI), líneas de fibra óptica, líneas Ethernet, conexiones token ring, conexiones
frame relay, conexiones por satélite y líneas dedicadas.

Los beneficios de un dominio Windows 2003 son los siguientes:

• Un dominio permite una administración centralizada porque toda la información de
usuario se almacena centralmente. Si un usuario cambia su contraseña, el cambio se
replica automáticamente en todo el dominio.
• Un dominio proporciona un proceso único de entrada al sistema para que los usuarios
puedan acceder a los recursos de red, como archivos, impresoras y recursos de
aplicaciones para los que tengan permiso. En otras palabras, un usuario puede entrar
en un equipo y utilizar los recursos de otro equipo en la red siempre que tenga los
privilegios adecuados para utilizar el recurso.
• Un dominio proporciona escalabilidad, de manera que el administrador puede crear
redes de grandes dimensiones.

Un dominio típico de Windows 2003 tiene las siguientes clases de equipos:

• Controladores de dominio con Windows 2003 Server: Cada controlador de

dominio almacena y mantiene una copia del directorio. En un dominio se crean las
cuentas de usuario una sola vez, y Windows 2003 las almacena en el directorio.
Cuando un usuario se registra en un equipo del dominio, un controlador de dominios
comprueba el nombre de usuario en el directorio, la contraseña y las restricciones de
registro para autenticar al usuario. Cuando hay varios controladores de dominio,
replican periódicamente su información de directorio.
• Servidores miembro con Windows 2003 Server: Un servidor miembro es un
servidor que no está configurado como controlador de dominio. Un servidor miembro
no almacena la información de directorio y no puede autenticar usuarios del dominio.
Los servidores miembro proporcionan recursos compartidos como carpetas o
impresoras.
• Equipos cliente con Windows 9X, 2000 Professional, XP Professional: Los
equipos cliente tienen un entorno de escritorio para el usuario que les permite acceder
a los recursos del dominio.

Active Directory proporciona un método para el diseño de la estructura de directorios que

responde a las necesidades de cualquier organización.
Active Directory posee numerosas ventajas, no sólo el poder manejar instalaciones de
cualquier tamaño, desde un único servidor con unos cientos de objetos, hasta miles de
servidores con millones de objetos. Active Directory también simplifica enormemente el
proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active

2
Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer
que sus aplicaciones soporten el directorio, proporcionando a los usuarios una única forma de
acceder a múltiples directorios, ya estén basados en LDAP, NDS o en los Servicios de directorio
de NT (NTDS, NT Directory Services).

Windows 2003, Active Directory integra el

concepto de espacio de nombres de Internet con
los servicios de directorio del sistema operativo.
Esta combinación permite la unificación de
múltiples espacios de nombres entre, por
ejemplo, la mezcla de entornos software y
hardware de las redes corporativas, incluso de un
lado a otro de las fronteras entre sistemas
operativos. La capacidad de subsumir directorios
empresariales individuales en un directorio de
propósito general implica que Active Directory
puede reducir notablemente los costes de la
administración de múltiples espacios de nombres. Figura 1 ( Administración con Active Directory)

Active Directory permite un punto único de administración para todos los recursos públicos,
entre los que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de
datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de
Internet como servicio de localización, organiza los objetos en dominios dentro de una
jerarquía de unidades organizativas (OU, Organizational Unit) y permite que varios dominios
se conecten en una estructura en árbol. Los conceptos de Controlador primario de dominio
(PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain
Controller) desaparecen. Active Directory sólo utiliza controladores de dominio, y las
actualizaciones se replicarán en el resto de controladores de dominio.

A diferencia de la versión 4 y anteriores de Microsoft Windows NT Server, Windows 2000 y

2003 Server no designa un sistema como controlador de dominio durante la instalación del
sistema operativo. Cada servidor de Windows 2000 y 2003 se instala como un sistema
independiente o un miembro de un dominio. Cuando la instalación esta completa se puede
promocionar al servidor al estado de controlador de dominio utilizando el Asistente para
instalación de Active Directory de Windows 2003. Esta herramienta proporciona una gran
flexibilidad adicional a los administradores de Active Directory porque los servidores se
pueden promover o degradar en cualquier
momento, mientras que los servidores Windows
NT 4 se designan irrevocablemente como
controladores de dominio durante el proceso de
instalación.
Algo que también ha desaparecido, desde
windows 2000 es la distinción entre
controladores principales de dominio y
controladores de dominio de reserva. Los

3
Figura 2 (Dominio de Windows NT 4.0)
controladores de dominio Windows 2003 son todos iguales en un sistema de réplica con
múltiples maestros. Esto significa que los administradores pueden modificar los contenidos del
árbol de Active Directory de cualquier servidor que funcione como controlador de dominio.
Esto es un avance muy importante desde el sistema de réplica de un solo maestro de Windows
NT 4, en el cual un administrador sólo puede cambiar el controlador principal de dominio (PDC,
Primary Domain Controller) para que después los cambios se repliquen a todos los
controladores de dominio de reserva (BDC, Backup Domain Controller).

ESTRUCTURA LOGICA DE ACTIVE DIRECTORY

La estructura lógica de Active Directory es flexible y proporciona un método de diseño de

jerárquico dentro de Active Directory que es fácil para usuarios como para administradores.

Los componentes lógicos de una estructura de Active Directory son los

siguientes:

Componente Descripción

La unidad principal de la estructura lógica de Active Directory es el

dominio. Un dominio es una colección de equipos definidos por un
administrador que comparten una base de datos de directorios común.
Domino
Tiene un nombre único y proporciona acceso a las cuentas de usuario
centralizadas y cuentas de grupo que mantiene el administrador del
dominio.

(OU) Es un objeto contenedor que se utiliza para organizar otros objetos

Unidad Organizacional dentro de un dominio. Puede contener cuentas de usuario, grupos,
equipos, impresoras y otras unidades organizacionales.

Es uno o más dominios que comparten una configuración, esquema o

Bosque
catálogo global común.

4
 Está compuesto por dominios de un bosque que comparten un espacio
de nombres DNS contiguo (FQDN). Ejemplo: [Link];
Árbol [Link]; [Link], donde todos los
elementos de este bosque tienen una contigüidad de nombres que es
“empresa”.

Otra ventaja de Windows 2003 es que se puede utilizar el Asistente para instalación de Active
Directory para degradar un controlador de dominio de nuevo a un servidor independiente o
miembro.

La función básica del Asistente para instalación de Active Directory es configurar un

servidor para que funcione como controlador de dominio, pero dependiendo del estado actual
de Active Directory en la red, esta tarea puede
DOMINIO DE WINDOWS 20033 tomar distintas formas. Si se instala el primer
(Controladores de Dominio)
Windows 2003 Server de la red, antes de la
promoción del sistema a controlador de dominio crea
un Active Directory completamente nuevo con esa
computadora alojando el primer dominio del primer
árbol del primer bosque.
DC
2

DC
1

FiguraDC3
3 (Dominio de Windows) 2000
2

OBJETOS DE ACTIVE DIRECTORY

La tabla 1 muestra una definición de los Objetos donde Active Directory almacena
información sobre los recursos de red, al igual que sobre todos los servicios que permiten que
la información se encuentre disponible y sea útil. Los recursos almacenados en el directorio,
como pueden ser datos de usuarios, impresoras, servidores, bases de datos, grupos, equipos y
directivas de seguridad, se denominan objetos.

Un objeto es un conjunto de atributos, diferenciado por un nombre, que representa un recurso

de red. Los atributos de los objetos son características de los objetos del directorio. Por
ejemplo, los atributos de una cuenta de usuario pueden incluir los nombres y apellidos del
usuario, departamento y dirección de correo electrónico.

5
 Dominio: Objeto raíz de la pantalla Usuarios y equipos de Active Directory;
identifica el dominio que está administrando actualmente el administrador.
Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones
lógicas de objetos equipo, usuario y grupo.
Usuario: Representa un usuario de la red y funciona como un almacén de
información de identificación y autenticación.
Equipo: Representa un equipo de la red y proporciona la cuenta de máquina
necesaria para que el sistema inicie sesión en el dominio.
Contacto: Representa un usuario externo al dominio para propósitos específicos
como envío de correo electrónico; no proporciona las credenciales necesarias para
iniciar sesión en el dominio.
Grupo: Objeto contenedor que representa una agrupación lógica de usuarios,
equipos u otros grupos (o los tres) que es independiente de la estructura del árbol
de Active Directory. Los grupos pueden contener objetos de diferentes unidades
organizativas y dominios.

Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a

una carpeta compartida en un sistema Windows 2000.

Impresora compartida: Proporciona acceso de red, basado en Active Directory,

a una impresora compartida en un sistema Windows 2000.
En Active
Directory, los objetos se pueden organizar en clases, que son agrupaciones lógicas de objetos.
Algunos ejemplos de clases de objetos son las cuentas de usuarios, grupos, equipos, dominios
y unidades organizativas (OU - Organizational Units).
Algunos objetos, conocidos como contenedores, pueden contener a otros objetos. Por ejemplo,
un dominio es un objeto contenedor que puede contener usuarios, equipos y otros objetos.

El cuadro de diálogo principal de Usuarios y equipos de Active Directory contiene muchos

de los elementos estándar de las pantallas del Microsoft Management Console. El árbol de
la consola (a la izquierda) muestra un
dominio Active Directory y los objetos
contenedor dentro de una pantalla
expandible.
El panel de resultados (a la derecha)
muestra los objetos del contenedor
resaltado. El administrador incluye una
barra de herramientas especializada que
proporciona acceso instantáneo a las
funciones más comúnmente utilizadas y
una barra de descripción que proporciona
información sobre el estado del
administrador o sobre el objeto resaltado
actualmente. El programa muestra las
acciones que se pueden realizar sobre Figura 4 (Pantalla de Active Directory)

6
cada objeto en el menú Acción una vez que se han pulsado los objetos. Los objetos de la
pantalla Usuarios y equipos de Active Directory representan tanto
entidades físicas (equipos y usuarios), como las entidades lógicas (grupos y unidades
organizativas).
Modificando el esquema que controla la estructura del servicio de directorio, se pueden crear
nuevos tipos de objetos en Active Directory y modificar los atributos de los tipos existentes.

Desde la herramienta Usuarios y equipos de Active Directory se puede consultar

información sobre los objetos del sistema y controlar el acceso a ellos modificando los permisos
asociados. Como el acceso a estos objetos no se requiere con frecuencia, se puede impedir
que aparezcan dejando el administrador en modo normal. Sin embargo, cuando haya que
modificar los permisos de los objetos estándar como unidades organizativas, usuarios y grupos,
habrá que activar las Características avanzadas para acceder a la pestaña Seguridad de la
ventana Propiedades de un objeto.

GESTION DE USUARIOS EN WINDOWS 2003

Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de
usuario hace posible:
• Autentificar la identidad de la persona que se conecta a la red.
• Controlar el acceso a los recursos del dominio.
• Auditar las acciones realizadas utilizando la cuenta.

Windows 2003 sólo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al
usuario todos los derechos y permisos, y la cuenta Invitado, que tiene derechos limitados. El
resto de las cuentas las crea un administrador y son cuentas de dominio (válidas a lo largo
de todo el dominio de forma predeterminada) o cuentas locales (utilizables sólo en la
máquina donde se crean).

DENOMINACIÓN DE LAS CUENTAS DE USUARIO

En el Active Directory, cada cuenta de usuario tiene un nombre principal. El nombre consta
de dos partes, el nombre principal de seguridad y el sufijo de nombre principal. Para las
cuentas de usuario de Windows NT existentes, el nombre principal de seguridad es de forma
predeterminada el mismo nombre utilizado para iniciar sesión en el dominio Windows NT. Para
las nuevas cuentas de usuario de Windows 2003, el administrador asigna el nombre principal
de seguridad. El sufijo de nombre principal predeterminado es el nombre DNS del dominio raíz
en el árbol de dominios. De esta forma un usuario identificado como User1 en un dominio
Windows NT tendría un nombre principal tal como user1@[Link].

OPCIONES DE LAS CUENTAS

La planificación de las opciones de las cuentas de los usuarios simplificará el proceso de

creación de cuentas. Las opciones de las cuentas a considerar incluyen las siguientes:

7
• Horas de inicio de sesión: De forma predeterminada, un usuario puede iniciar sesión a
cualquier hora del día o de la noche. Por razones de seguridad, se podría restringir el
acceso a algunos o a todos los usuarios a ciertas horas del día o a ciertos días de la
semana.
• Iniciar sesión en: De forma predeterminada, los usuarios pueden iniciar sesión en todas
las estaciones de trabajo. Por razones de seguridad se puede limitar el acceso para iniciar
sesión a una máquina o máquinas en particular si se dispone del protocolo NetBIOS
instalado en el dominio. Sin NetBIOS, Windows 2003 es incapaz de determinar la ubicación
de un inicio de sesión especifico.
• Caducidad de la cuenta: Se puede decidir si se desea establecer que las cuentas
caduquen. Por razones obvias, tiene sentido establecer una fecha de caducidad para
empleados temporales de forma que coincida con el fin de sus contratos.

Las tres opciones que se han enumerado aquí son las que muy posiblemente se apliquen a un
gran número de usuarios.

CONTRASEÑAS

Todos los usuarios deberían tener contraseñas bien escogidas y se les debería requerir que las
cambiaran periódicamente. Las cuentas deberían establecerse de forma que se bloquearan
cuando se introdujeran contraseñas incorrectas. (Se pueden permitir tres intentos, para dejar
margen a errores de digitación.)

Una buena contraseña tiene las siguientes características:

• No es una rotación de los caracteres de un nombre de inicio de sesión.

• Es una combinación de caracteres numéricos, alfanuméricos y caracteres
especiales.
• Tiene una longitud de al menos seis caracteres.
• No es el nombre o las iniciales del usuario, las iniciales de sus hijos, otro dato
significativo o cualquiera de esos elementos combinado con otra información
personal comúnmente disponible como la fecha de nacimiento, el número de
teléfono o el número de matricula.
• Se combinan mayúsculas y minúsculas.

Los administradores deberían tener dos cuentas en el sistema: una cuenta administrativa y una
cuenta de usuario normal. Se debería utilizar la cuenta de usuario normal y utilizar la
herramienta “run as” para tareas de administración. La cuenta administrativa no debe usarse
salvo para casos muy especiales, que lo tornen indispensable.

CREACIÓN DE CUENTAS DE USUARIO DEL DOMINIO

Las cuentas de usuario del dominio se pueden crear en el contenedor User o en algún otro
contenedor u OU creada para almacenar cuentas de usuario del dominio. Para añadir una
cuenta de usuario del dominio hay que seguir estos pasos:
8
1. Abrir Usuarios y equipos de Active
Directory desde el menú Herramientas
administrativas.
2. Resaltar el nombre del dominio y, en el menú
Acción, apuntar a Nuevo y escoger después
Usuario.
• Nombre, Iniciales y Apellidos: Un
nombre de usuario no puede coincidir
con otro nombre de usuario o de grupo
en el equipo que está administrando.
Puede contener hasta 20 caracteres,
en mayúsculas o minúsculas, excepto
los siguientes:" / [ ] : ; | = ,+ * ? < >.
Figura 5ª (Cuadro de Dialogo de Nuevo Usuario)
• Nombre completo: se rellena automáticamente. El nombre completo debe ser
único en el dominio donde se crea el usuario.
• Nombre de inicio de sesión de usuario: Hay que proporcionar el nombre de
inicio de sesión de usuario basado en un convenio de denominación que
previamente se ha tenido que establecer. Este nombre debe ser único en el
Active Directory. El nombre de inicio de sesión anterior a Windows 2003 se
rellena automáticamente. Este es el nombre utilizado para iniciar sesión desde
equipos que utilizan Sistemas Operativos como Windows NT.
3. Contraseña y Confirmar contraseña: Se puede escribir una contraseña que contenga
hasta 127 caracteres. Sin embargo, si utiliza Windows 2003 en una red que también
contiene equipos con Windows 95 o Windows 98, considere el uso de contraseñas con
menos de 14 caracteres. Windows 95 y Windows 98 admiten contraseñas de hasta 14
caracteres. Si la contraseña es más larga, es posible que no se puedan iniciar sesiones
en la red desde estos equipos.
4. Directivas de contraseñas:
• El usuario debe cambiar la
contraseña en el siguiente inicio
de sesión: Normalmente se
selecciona para que el usuario
controle la contraseña.
• El usuario no puede cambiar la
contraseña: Cuando por
necesidades de seguridad la
contraseña debe ser controlada por
el administrador.
• La contraseña nunca caduca: Si
seleccionamos esta casilla, no se
aplicarán las restricciones de
caducidad de contraseña a esta
cuenta. Figura 5b (Cuadro de Directivas de Contraseñas)

9
 • Cuenta deshabilitada: Deshabilita cuentas que momentáneamente no se
necesitan en la red. También puede seleccionarse automáticamente debido a las
restricciones de seguridad impuestas por el Administrador.
5. Se abre una pantalla de confirmación, mostrando los detalles de la cuenta que se va a
crear. Si los detalles son correctos, hay que pulsar Finalizar. En otro caso, se puede
utilizar el botón Atrás para realizar correcciones.

CREACIÓN DE CUENTAS DE USUARIO LOCALES

Una cuenta local no puede acceder al dominio y, por lo tanto, solo tiene acceso a los recursos
del equipo donde se crea y utiliza. Para crear una cuenta de usuario local hay que seguir estos
pasos:
1. Pulsar con el botón derecho del ratón en Mi PC y escoger administrar en el menú
contextual.
2. En el árbol de la consola, hay que pulsar Usuarios locales y grupos. Pulsar con el
botón derecho del ratón en Usuarios y escoger Usuario nuevo en el menú contextual.
3. En el cuadro de dialogo Usuario nuevo hay que suministrar el nombre de usuario, el
nombre completo y la descripción.
4. Proporcionar una contraseña y definir las directivas de contraseñas. Pulsar Crear. Las
cuentas locales pueden pertenecer a grupos creados localmente (en el equipo único).

ADMINISTRACIÓN DE LAS CUENTAS DE USUARIO

Especialmente en una red grande y ocupada, la gestión de las cuentas de usuario es un

proceso continuo de adiciones, eliminaciones y cambios. Aunque estas tareas no son difíciles,
pueden consumir tiempo y es necesario gestionarlas con cuidado.

Abrir Usuarios y equipos de Active Directory desde el menú Herramientas

administrativas. Abrir el contenedor que almacena la cuenta de usuario. Seleccionar el
Usuario que queremos administrar y pulsar el menú Acción. Aparecerán las siguientes
opciones:

1. Copiar:

• Escriba el nombre del usuario en Nombre.

• En Apellidos, escriba los apellidos.
• Modifique Nombre para agregar iniciales o
invertir el orden del nombre y los apellidos.
• En Nombre de inicio de sesión de usuario,
escriba el nombre con el que el usuario iniciará
una sesión y, en la lista, haga clic en el sufijo
UPN que se debe anexar al nombre de inicio
de sesión de usuario, seguido del símbolo
arroba (@). Figura 6 (Menú Acción)
• Si el usuario va a utilizar un nombre diferente para iniciar una sesión en equipos
donde se ejecuta Windows NT, Windows 98 o Windows 95, cambie el nombre de
10
 inicio de sesión de usuario que aparece en Nombre de inicio de sesión de usuario
(anterior a Windows 2000) por el otro nombre.
• En Contraseña y Confirmar contraseña, escriba la contraseña del usuario.
• Seleccione las opciones de contraseña que desee.
• Si se ha deshabilitado la cuenta de usuario desde la que se copió la nueva cuenta de
usuario, haga clic en Cuenta deshabilitada para habilitar la cuenta nueva.

2. Agregar miembros a un grupo: Si queremos hacer miembro de otro grupo más al

usuario deberemos pulsar esta opción y seleccionar el grupo y después Agregar.
3. Deshabilitar cuenta: Si es necesario desactivar una cuenta de usuario del dominio por
algún periodo de tiempo, pero no eliminarla permanentemente, se puede deshabilitar. Si
crea cuentas deshabilitadas de usuario que pertenezcan a grupos comunes, puede
utilizarlas como plantillas para simplificar la creación de cuentas de usuario. Para
habilitar una cuenta previamente deshabilitada, hay que realizar los mismos pasos,
escogiendo Habilitar cuenta en el menú contextual.
4. Restablecer contraseña: Para que las contraseñas sean efectivas, no deben ser
obvias o fáciles de adivinar. Sin embargo, cuando las contraseñas no sean obvias o
fáciles de adivinar, se olvidaran inevitablemente. Cuando un usuario olvida su
contraseña, se puede restablecer. La mejor política es restablecerla a una clave sencilla
y obligar al usuario a que la cambie la próxima vez que inicie sesión en la red.

• Hay que escribir y confirmar la contraseña.

• Si desea que el usuario cambie esta contraseña en el siguiente proceso de
inicio de sesión, active la casilla de verificación El usuario debe cambiar la
contraseña en el siguiente inicio de sesión.
• Si se cambia la contraseña de la cuenta de usuario de un servicio, deben
restablecerse todos los servicios cuya autenticación se realice con esa cuenta
de usuario.

5. Mover: Si un usuario pasa a pertenecer a otro grupo o Unidad Organizativa podemos

moverlo pulsando esta opción. En el cuadro de diálogo Mover, hay que resaltar el
contenedor destino y pulsar Aceptar.
6. Abrir la página principal: Accederemos a la página web del usuario si se le ha
especificado en la ficha General de las propiedades de dicho usuario.
7. Enviar mensaje de correo: Si se le ha especificado una dirección de correo, se abrirá
el cliente de correo predeterminado para enviarle un correo electrónico.
8. Eliminar: Cada cuenta de usuario del dominio tiene un identificador de seguridad
asociado que es único y nunca se reutiliza, lo que significa que una cuenta eliminada se
elimina completamente. Si se elimina la cuenta de Jaime y más tarde se cambia de
opción, habrá que volver a crear no sólo la cuenta, sino los permisos, la configuración,
las pertenencias a grupos y el resto de propiedades que poseía la cuenta de usuario
original. Por esta razón, si existe alguna duda sobre si una cuenta podría necesitarse en
el futuro, es mejor deshabilitarla y no realizar la eliminación hasta que se este seguro
de que no se necesitará de nuevo. Después de pulsar en eliminar, aparece un cuadro de

11
 diálogo Active Directory, pidiendo confirmación de la eliminación. Hay que pulsar Si y
se eliminará la cuenta.
9. Cambiar el nombre: En ocasiones, es necesario cambiar el nombre de una cuenta de
usuario. Por ejemplo, si se tiene una cuenta configurada con una colección de derechos,
permisos y pertenencias a grupos para una posición particular y una nueva persona se
hace cargo de esa posición se puede cambiar el nombre, los apellidos y el nombre de
inicio de sesión de usuario para la nueva persona. Para cambiar el nombre de una
cuenta de usuario existente, después de pulsar el cambiar el nombre se pulsa
Aceptar. Se cambia el nombre de la cuenta y todos los permisos y el resto de la
configuración permanecen intactos. Si queremos cambiar alguna información más,
habrá que entrar en la ficha de Propiedades del usuario.
10. Actualizar: Produce un refresco de la pantalla
11. Propiedades: La ventana Propiedades de un usuario del dominio puede tener hasta
una docena de pestañas, dependiendo de la configuración del dominio. Toda la
información introducida en la ventana Propiedades se puede utilizar como la base de
una búsqueda en el Active Directory.

ADMINISTRACIÓN DE LAS CUENTAS DE USUARIO

Las pestañas de la ventana

Propiedades de una cuenta de
Usuario del dominio, son:

Pestaña General: Documenta el

nombre, la descripción la ubicación
de la oficina, el número de
teléfono, la dirección de correo
electrónico y la dirección de la pagina Web del usuario. Figura 7 (Propiedades del
Usuario)

Pestaña Dirección: Documenta la dirección física del usuario.

Pestaña Cuenta: Documenta el nombre de inicio de sesión, las restricciones de inicio de

sesión, las opciones de la contraseña y si la cuenta caduca.

Pestaña Perfil: Muestra la ruta de acceso al perfil del usuario, la ruta de acceso de cualquier
archivo de comandos que se ejecuta en el inicio de sesión, la ruta de acceso al directorio
principal y cualquier conexión automática de unidades.

Pestaña Teléfonos: Enumera números de teléfono adicionales como el teléfono de un

localizador, de un móvil o de Internet.

Pestaña Organización: Documenta el título, el departamento, la organización, el

administrador y las supervisiones directas del usuario.

12
Pestaña Miembro de: Enumera las pertenencias a grupos del usuario.

Pestaña Marcado: Documenta el acceso telefónico del usuario.

Pestañas Entorno, Sesiones, Control remoto, Perfil de Servicios de Terminal Server:

Documenta el perfil de Servicios de Terminal Server del usuario.

GRUPOS DE USUARIOS EN WINDOWS 2003

Por definición, los grupos en Microsoft Windows 2003 son objetos del servicio de directorio
Active Directory o del equipo local que pueden contener usuarios, contactos, equipos a otros
grupos. Sin embargo, en general, un grupo es normalmente una colección de cuentas de
usuario. El objetivo de los grupos es simplificar la administración permitiendo al administrador
de la red asignar derechos y permisos por grupo en lugar de a usuarios individuales.
Windows 2003 permite dos tipos de grupos: de seguridad y de distribución. Los grupos de
seguridad son esencialmente los únicos grupos utilizados en Windows 2003 porque son los
únicos grupos por medio de los que se pueden asignar permisos. A cada grupo de seguridad se
asigna también un ámbito de grupo, el cual define cómo se asignan los permisos a los
miembros del grupo y los grupos de distribución que no tienen seguridad activada y a los que
no se pueden asignar permisos.

Tipos de Grupos
En Windows 2003 hay tres tipos de grupos:
• Grupos locales: Los grupos locales se definen en un
equipo local. Se utilizan solamente en el equipo local.
• Grupos de Seguridad: Los grupos pueden tener
descriptores de seguridad asociados con ellos.
• Grupos de distribución: Los grupos se utilizan para
las listas de distribución de correo electrónico. No
pueden tener descriptores de seguridad asociados.

Ámbitos de grupo
Cuando se crea un grupo, se le asigna un ámbito de grupo que define cómo se asignaran los
permisos. Las tres posibilidades de ámbitos de grupo son:
global, local de dominio y universal.
• Dominio Local: Se utilizan para garantizar permisos
dentro de un único Dominio. Los miembros de los
grupos de dominio local pueden incluir solamente
cuentas, tanto de usuarios como de grupos y grupos
del dominio en el que se definen.
• Global: Se utilizan para otorgar permisos a objetos en cualquier dominio en el árbol de
dominio o en el bosque. Los miembros de los grupos globales pueden incluir solamente
cuentas y grupos del dominio en el que están definidos.

13
 • Universal: Se utilizan para otorgar permisos a gran escala en el árbol de dominio o en
el bosque. Los miembros de los grupos Universales son las cuentas y grupos de
cualquier dominio en el árbol de dominio o en el bosque.

Creación de grupos

Se puede utilizar Usuarios y equipos de Active Directory

para crear y eliminar grupos. Los grupos deberían crearse
en el contenedor Users o en una unidad organizativa
(OU, Organizational Unit) que se haya creado con el
propósito de contener grupos.

Eliminación de grupos

Cuando ya no se necesita más un grupo hay que

asegurarse de eliminarlo del sistema cuanto antes. Los
grupos innecesarios son un riesgo para la seguridad
porque es muy fácil garantizar permisos de forma no
intencionada. Figura 8 (Gestión de Usuarios)
Cada grupo, como cada usuario, tiene un identificador de seguridad (SID) único. El SID se
utiliza para identificar al grupo y los permisos asignados al grupo. Cuando el grupo se elimina,
el SID se borra y no se utiliza de nuevo. Si se elimina un grupo y más tarde se decide volver a
crearlo, habrá que configurar los usuarios y los permisos al igual que para un nuevo grupo.
Para eliminar un grupo, simplemente hay que pulsar con el botón derecho del ratón en su
nombre en Usuarios y equipos de Active Directory y escoger Eliminar en el menú contextual.
La eliminación de un grupo solo elimina el grupo y los permisos asociados al grupo. El único
efecto en las cuentas de los usuarios es que pierden los derechos inherentes al grupo
eliminado.

Cambio del ámbito de un grupo

Con el tiempo se puede descubrir que es necesario cambiar el ámbito de un grupo particular.
Por ejemplo, podría ser necesario cambiar un grupo global a universal de forma que los
usuarios de otro dominio puedan ser parte del grupo. Sin embargo, los tipos de cambios que se
pueden hacer al ámbito de un grupo están realmente limitados, y puede ser necesario eliminar
el grupo y crear uno nuevo para obtener la configuración que se necesita.
Para cambiar el ámbito de un grupo, hay que pulsar con el botón derecho del ratón en el
nombre del grupo en Usuarios y equipos de Active Directory y escoger Propiedades en el
menú contextual. Hay que realizar los cambios necesarios en la pestaña General y pulsar
Aceptar cuando se haya terminado. Las reglas para cambiar un ámbito de un grupo son las
siguientes:
• En modo mixto, un grupo de seguridad no puede tener ámbito universal.
• Un grupo global se puede cambiar a universal si no es aun miembro de otro grupo
global.
14
 • Un grupo local de dominio se puede cambiar a universal si no contiene aún otro grupo
local de dominio.
• Un grupo universal no se puede cambiar.

Creación de grupos

Un grupo local es una colección de cuentas

de usuario en un único
equipo. Las cuentas de usuarios han de
ser locales al equipo, y los miembros de
grupos locales solo pueden tener
asignados permisos para recursos del
equipo donde se creó el grupo local. Los
grupos locales se pueden crear en

Figura 9 (Grupos de usuarios)

cualquier equipo Windows 2000 excepto en controladores de dominio. En general, no es

conveniente utilizar grupos locales en un equipo que es parte de un dominio o, al menos, es
mejor hacerlo con moderación. Los grupos locales no aparecen en el Active Directory, por lo
hay que administrarlos independientemente en cada equipo individual.

TRABAJO CON CARPETAS COMPARTIDAS

Se puede ver una lista de recursos compartidos,

sesiones actuales y archivos abiertos abriendo
Administración de equipos desde el menú
Herramientas administrativas y expandiendo después
Carpetas compartidas.
Se puede expandir Recursos compartidos para ver una
lista de las carpetas compartidas además de la siguiente
información sobre cada carpeta:
• La ruta de acceso al recurso compartido.
• El tipo de conexión (Windows, Macintosh,
Figura 10 (Recursos Compartidos)
NetWare).
• El número de usuarios conectados al recurso compartido.
• Una descripción del recurso compartido.

Se puede expandir Sesiones en el árbol de la consola para ver la siguiente información sobre
los usuarios que están actualmente conectados:
• El nombre del usuario y el nombre del equipo del usuario.
• El tipo de conexión (Windows, Macintosh, NetWare).
• El número de archivos abiertos por el usuario en este recurso compartido.
• El tiempo transcurrido desde que se estableció la conexión.
15
 • El tiempo desde que el usuario inicio por última vez una acción.
• Si el usuario esta conectado como invitado.

Se puede expandir Archivos abiertos en el árbol de la consola para obtener una lista de los
archivos abiertos actualmente. En el panel de detalles se puede ver el nombre del archivo,
quien lo abrió, el tipo de conexión, el número de bloqueos sobre el archivo (si los hay) y los
permisos de recurso compartido que se concedieron cuando se abrió el archivo.

RESUMEN

En esta sesión hemos profundizado en algunas características de Active Directory, hemos

definido los diferentes objetos y el modelo de dominios. También comparamos el modelo de
dominios del actual Windows 2003 con versiones anteriores como Windows NT

Otro punto tratado en esta sesión, es la gestión de usuarios. Aspectos tales como creación,
eliminación, definición de Directivas, así como la pertenencia de un grupo, son de vital
importancia en la administración de un dominio, ya que esto define como los usuarios podrán
acceder a los recursos, así como de las restricciones que tendrán al momento de ingresar a un
dominio, por ultimo hemos comentado acerca del Administrador de Equipo, para poder
visualizar los recursos compartidos en el equipo con Windows 2003.

16