lOMoARcPSD|49248642

Sistemas Operativos EN RED TEMA 3

Historia del Arte (Instituto de Educación Secundaria El Burgo - Ignacio Echeverría)

Escanea para abrir en Studocu

Studocu no está patrocinado ni avalado por ningún colegio o universidad.

Descargado por Ramon Vidal (ravire001@[Link])
 lOMoARcPSD|49248642

SISTEMAS OPERATIVOS EN RED TEMA 3

Gestión de usuarios, grupos y equipos.

Cuentas de usuario de Active Directory.

Antes de empezar a gestionar cuentas de usuario, es recomendable que adquieras unos
conocimientos sólidos sobre el tipo de objeto que estás manejando. En un entorno de
Active Directory, existen los siguientes tipos de cuentas de usuario.

Clasificación de los usuarios.

En Active Directory podrás crear diferentes tipos de cuentas de usuario. Puedes probar esto
abriendo la herramienta Usuarios y Equipos de Active Directory e intentando crear un usuario. No
obstante, un poco más adelante te enseñaremos a crear cuentas de usuario. De momento, fíjate en
la clasificación que aquí se hace.

1. Usuario: En AD (Active Directory – Directorio Activo) se manejan cuentas de

usuario localesy cuentas de usuario de dominio. Las locales son las que se utilizan en
equipos que no están incorporados a un dominio. Por ejemplo, si acabas de instalar
Windows 7 y aún no has hecho al equipo miembro de un dominio, al iniciar sesión en el
equipo estás utilizando un cuenta de usuario local. Las cuentas de usuario local residen en
el equipo al que pertenecen. No se puede iniciar sesión en el equipo PC-Laura con una
cuenta de usuario local perteneciente al equipo PC-Carmen.

Si el equipo pertenece a un dominio, sigue siendo posible utilizar sus cuentas de usuario
locales, pero aparece la posibilidad de iniciar sesión con las cuentas de usuario de dominio.
Las cuentas de usuario de dominio residen en la base de datos de AD y son comunes para
todos los equipos que pertenecen al dominio. Por ejemplo, si se crea la cuenta cmartinez en
AD, esta cuenta sirve para iniciar sesión en todos los equipos del dominio.

2. InetOrgPerson: Éste es un tipo de usuario introducido en Windows Server 2003. Se utiliza

para aportar compatibilidad con otros servicios de directorio diferentes a Active Directory
pero que soporten el protocolo LDAP (Lightweight Directory Access Protocol – Protocolo
Ligero de Acceso a Directorio). También sirve para iniciar sesión en el dominio y se le
pueden asignar permisos y privilegios, al igual que a las cuentas de tipo “usuario”. Si alguna
vez realizas una migración desde un servicio de directorio basado en LDAP a Active
Directory, tendrás que manejar cuentas de este tipo.
3. Contacto: A veces puede ser interesante crear un cuenta para utilizarla únicamente como
una cuenta de correo electrónico. Para ello, se crearía una cuenta de tipo “contacto”. Este
tipo de cuentas no se pueden utilizar para iniciar sesión en el dominio, ni se les pueden
asignar permisos ni derechos. Es decir, no tienen información de seguridad asociada. Sin
embargo, sí pueden pertenecer a grupos de distribución, como verás más adelante.
4. Usuarios predeterminados: Estas cuentas son creadas automáticamente cuando se
configura un dominio en Active Directory. Si quieres ver cuáles son, basta con que en un
controlador de dominio abras la herramienta “Usuarios y equipos de Active Directory” y
examines el contenedor “Users”. En el siguiente apartado profundizaremos en este tipo de
cuentas.

Usuarios predeterminados.
Como viste en anteriores apartados, las cuentas de usuario predeterminadas son aquellas que
vienen “de serie”, es decir, que se crean cuando instalas el sistema. Las más importantes son:

Administrador: Es la cuenta que tiene todos los privilegios sobre el dominio. Puede asignar
derechos y permisos a los usuarios del dominio. Debes utilizar esta cuenta únicamente para tareas

Página 1 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

que requieran privilegios administrativos. En otras palabras: cuando no te quede más remedio. Si te
acostumbras a utilizar la cuenta de Administrador para trabajos normales, no administrativos, corres
el riesgo de realizar alguna acción involuntaria que estropee algo. O peor aún, que un programa (o
virus), corriendo en tu sesión, provoque daños importantes. Si normalmente trabajas con una cuenta
no administrativa, no podrás causar daños graves, porque tu cuenta no tiene derechos o permisos
suficientes.

Por defecto, la cuenta de Administrador es miembro de los siguientes grupos: Administradores,

Admins. del dominio, Administradores de empresa (sólo si el dominio es el dominio raíz del bosque),
Creadores y propietarios de Políticas de Grupo, Administradores de esquema y Usuarios del
dominio. Todos estos son grupos predeterminados del dominio, de los que hablaremos en la
sección.

La cuenta Administrador es la primera que se crea cuando configuras un nuevo dominio.

Si la cuenta de Administrador se deshabilita, todavía se puede iniciar sesión con ella en Modo
Seguro.

Invitado: Está pensada para que la utilicen las personas que no tienen una cuenta de usuario en el
dominio. Está deshabilitada por defecto, ya que no es buena idea conceder acceso a personas
ajenas a la organización. Por ello, sólo debe habilitarse en casos justificados. Para utilizarla no es
necesario escribir una contraseña. A esta cuenta se le pueden conceder permisos y derechos como
a cualquier otra cuenta. Por defecto, esta cuenta pertenece a los grupos Invitados e Invitados del
Dominio.

Creación y eliminación de usuarios.

Crear un usuario es una operación muy sencilla. En un controlador de dominio, debes abrir la
herramienta "Usuarios y Equipos de Active Directory", que se encuentra en "Herramientas
Administrativas", dentro del "Panel de control".

 Debes elegir un contenedor en el que crear los usuarios. Un poco más adelante
aprenderás a crear tus propios contenedores, pero por ahora puedes elegir el contenedor
"Users".
 Una vez elegido el contenedor, en el menú "Acción" eliges "Nuevo" y en el desplegable
que aparece eliges "Usuario". En lugar del menú, también puedes utilizar el botón
correspondiente en la barra de herramientas.
 Debes completar los campos que pide: nombre de pila, apellidos y nombre de inicio de
sesión. El campo Iniciales sirve para indicar la inicial del segundo nombre. No es habitual
utilizarlo en idioma castellano. De toda esta información, el nombre de inicio de sesión es el
que identificará al usuario en el sistema. En la pantalla siguiente tendrás que especificar la
contraseña y las opciones de usuario que desees.

Cuando el número de usuarios que hay que crear es muy grande, este proceso puede hacerse muy
pesado. En esta unidad aprenderás una técnica para agilizar el trabajo: la utilización de plantillas.

Es conveniente que planifiques adecuadamente cómo vas a nombrar los usuarios. Las
organizaciones crecen y cambian, y conviene tener un "esquema de nomenclatura", para que los
nombres de usuario no se asignen aleatoriamente (lo que podría llevar a confusiones y
repeticiones).

En las organizaciones pequeñas se suele utilizar el nombre y la inicial del primer apellido. Por
ejemplo, Carmen Martínez sería carmenm. También se suele utilizar la inicial del nombre y el primer
apellido completo (cmartinez). En organizaciones más grandes, utilizarían el nombre completo
(carmenmartinez). Incluso, se pueden utilizar puntos como separadores ([Link]). Si
existen varias personas con el mismo nombre, puede incluirse números
([Link].01, [Link].02). Lo importante es que el esquema sea coherente y
adaptable.

Página 2 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

Otra recomendación sobre nomenclatura es identificar las cuentas de usuario pertenecientes a

trabajadores y trabajadoras temporales, mediante algún prefijo, por ejemplo, tmp_jose.gonzalez. De
este modo, cuando el trabajador o la trabajadora ya no pertenezca a la empresa, es sencillo localizar
la cuenta de usuario para inhabilitarla.

Para eliminar un usuario, lo único que debes hacer es seleccionar el usuario y pulsar “Supr”, o
elegir “eliminar” en el menú contextual.

Opciones de las cuentas de usuario.

A veces, necesitarás controlar el tipo de acceso al dominio que tendrá una cuenta de usuario. Para
ello, utilizarás las opciones de las cuentas de usuario. Con estas opciones puedes, por ejemplo,
configurar las horas en las que una persona puede iniciar sesión en el dominio, en qué equipos,
durante cuánto tiempo estará activa su cuenta, etc.

Para acceder a las opciones de una cuenta determinada, debes hacer doble clic sobre ella en
“Usuarios y Equipos de Active Directory”. En lugar de doble clic, también puedes abrir el menú
contextual (normalmente con el botón secundario del ratón) y elegir “Propiedades”. A continuación
puedes ver las opciones más relevantes y su significado.

Horas de inicio de sesión: Permite establecer los períodos de tiempo durante los cuales está
permitido iniciar sesión.

Iniciar sesión en: Permite establecer en qué equipos del dominio está permitido iniciar sesión.

La cuenta está bloqueada: A veces, un usuario introduce su contraseña de forma errónea en varios
intentos. Esto provoca el bloqueo de su cuenta. En este caso, esta casilla aparecerá habilitada. Para
desbloquear la cuenta, un Administrador debe desmarcar esta casilla.

El usuario debe cambiar la contraseña en el próximo inicio de sesión: Si esta casilla está
marcada, el sistema obligará al usuario a cambiar la contraseña la próxima vez que inicie sesión.
Esto es muy útil para obligar a los usuarios y usuarias a cambiar la contraseña de vez en cuando, o
a establecer una contraseña propia, desconocida para el administrador, la primera vez que utilizan el
sistema.

El usuario no puede cambiar la contraseña: Si se marca, el usuario no puede cambiar su propia

contraseña.

La contraseña nunca caduca: Hace que, para esta cuenta de usuario, no se tenga en cuenta el
tiempo de caducidad de la contraseña. Si no está marcada esta opción, el usuario o la usuaria
estará obligado a cambiar la contraseña cada cierto tiempo.

Almacenar la contraseña utilizando cifrado reversible: Algunos sistemas operativos, como por
ejemplo los de Apple, pueden almacenar las contraseñas en texto plano. En caso de tener ese tipo
de sistemas en nuestro dominio, activaríamos esta opción.

La cuenta expira: Si se establece una fecha de expiración, la cuenta se deshabilitará

automáticamente llegado ese día. Útil para limitar la duración de las cuentas de los empleados y
empleadas temporales.

Perfiles de usuario.
El perfil de un usuario contiene opciones globales e información de configuración, normalmente
referidos al escritorio, la barra de tareas y el menú inicio. Cuando un usuario cambia el aspecto,
comportamiento, etc. de alguno de estos elementos, esos cambios se almacenan en su perfil.

En los siguientes apartados aprenderás a establecer diferentes tipos de perfiles para los usuarios.

Página 3 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

Características de los perfiles.

Probablemente, hasta ahora no te lo habías planteado, pero cada vez que inicias sesión en tu
equipo con tu cuenta de usuario, se carga tu configuración, tu perfil, de forma que cada vez que
accedes al sistema, éste te ofrece un aspecto y comportamiento idéntico. El perfil se crea la primera
vez que un usuario inicia sesión (por eso, la primera vez que un usuario inicia sesión en un equipo,
el proceso es bastante lento).

Cada usuario tiene su propio perfil, de forma que el aspecto del escritorio, barra de tareas y menú
inicio es distinto para cada usuario. Existen tres tipos de perfiles:

 Por defecto, los perfiles se almacenan de forma local. Esto significa que el perfil se crea y
almacena en el equipo en el que el usuario inicia sesión. Los cambios que realice quedan
almacenados en dicho equipo y no estarán disponibles cuando se inicie sesión en un
equipo diferente. Es lo que les pasa a los integrantes de CARMINFO S. L. en el caso
práctico. Una clara desventaja es que los usuarios no tienen acceso a su configuración
habitual si cambian de equipo. Otra es que se crean varios perfiles para cada usuario: uno
en cada equipo en el que el usuario haya iniciado sesión. Esto ocupa espacio de
almacenamiento.
 Cuando se trabaja en un dominio, es muy habitual configurar perfiles móviles. Estos se
almacenan en una carpeta compartida en red, de forma que están disponibles desde
cualquier equipo del dominio. Esto presenta varias ventajas:
1. Sólo existe un perfil para cada usuario: el que está en la carpeta compartida.
2. Los cambios que el usuario realiza en su perfil están disponibles
independientemente del equipo en el que inicie sesión.
 Tanto el perfil local como el perfil móvil pueden convertirse en perfil obligatorio. Este perfil
no permite realizar cambios o, mejor dicho, no los almacena. Si un usuario con perfil
obligatorio cambia el fondo de escritorio, por ejemplo, este cambio no quedará guardado.
En el siguiente inicio de sesión, encontrará el mismo fondo de escritorio de siempre.

Cómo crear un perfil móvil y conectar con una

unidad de red
Para crear un perfil móvil lo primero que hay que hacer es crear una carpeta compartida en la que
ubicarlo. Lo normal es que en el dominio exista un servidor de archivos con al menos una carpeta
dedicada a almacenar los perfiles de todos los usuarios. La estructura sería como la reflejada en la
figura.

No es necesario crear cada carpeta individual. Windows Server las creará automáticamente. Sólo es
necesario crear la carpeta PERFILES (puede tener cualquier otro nombre) y compartirla en red. Ojo,
hay que dar permiso de Lectura y Escritura al grupo "Usuarios del dominio" y de control total a
Admins. del dominio.

Una vez hecho esto, accedemos a las propiedades del usuario y pulsamos en la pestaña "Perfil". En
ella, tenemos varios cuadros de texto. Para nuestro propósito, modificaremos los siguientes:

 Ruta de acceso al perfil: En este cuadro de texto pondremos la ruta de red de la carpeta
que compartirá el perfil. Supón que el equipo en el que se encuentra la carpeta PERFILES
se llama [Link]. Imagina también que el nombre compartido de la
carpeta PERFILES es su nombre compartido por defecto, es decir, PERFILES. Ahora,
imagina que establecemos la ruta de acceso al perfil para el usuario cmartinez. Entonces, la
ruta completa de acceso al perfil sería:

\\[Link]\PERFILES\cmartinez

Siendo, por lo tanto, una subcarpeta de la carpeta compartida PERFILES. Con esto, ya has
configurado un perfil móvil, ya que cada vez que este usuario inicie y cierre sesión, utilizará

Página 4 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

el perfil que se almacena en la carpeta de red, por lo que estará accesible desde cualquier
ordenador del dominio.

 Conectar... a: Esta característica es muy útil para que los usuarios puedan ubicar sus datos
cómodamente en un recurso de red. Lo que se suele hacer es lo siguiente: En un servidor
de ficheros, se crea una carpeta compartida para almacenar los archivos de los usuarios.
La estructura sería como la de la figura, en la que se ha creado una carpeta llamada
DATOS (puede tener cualquier nombre) y se ha compartido en red.

Una vez hecho esto, en el cuadro de texto "Conectar… a" se escribe la ruta de red de la
subcarpeta del usuario. Si se trata del usuario cmartinez, y el equipo se
llama [Link], tendrás que escribir:

\\[Link]\DATOS\cmartinez

Además, en el cuadro desplegable podrás seleccionar la letra de unidad que desees. Por
defecto, la Z: Con esta acción, lograrás que cuando el usuario inicie sesión en cualquier
equipo del dominio, en "Mi PC" o "Equipo" aparezca una unidad (Z: o la letra que hayas
elegido) que apunta directamente a la ruta de red especificada. Todo lo que el usuario
guarde en esa unidad se estará guardando en la ubicación de red, por lo que estará
disponible desde cualquier equipo del dominio.

Es aconsejable orientar a los usuarios del dominio para que guarden su información importante en
dicha unidad, de forma que resida en el servidor de ficheros y no en cada equipo localmente. Es
mucho más fácil programar copias de seguridad para un solo equipo (el servidor de ficheros) que
para todos los discos duros de todos los equipos del dominio.

Cómo convertir un perfil en obligatorio.

Esta configuración es útil en entornos controlados, en los que el usuario está muy limitado. Como
cualquier cosa, el uso de perfiles obligatorios tiene ventajas e inconvenientes.

Ventajas:

 Como el perfil obligatorio es de sólo-lectura, puedes utilizar el mismo perfil obligatorio para
un gran número de usuarios, con lo que ahorras espacio de almacenamiento y haces la
gestión del perfil mucho más simple.
 Los usuarios no pueden contaminar el entorno de escritorio. Al iniciar sesión, todo vuelve a
estar limpio y ordenado, como al principio.
 Como los perfiles obligatorios no contienen datos específicos de usuario, su tamaño es
reducido. Esto hace que el proceso de inicio de sesión, durante el que se trasmiten los
datos de perfil por la red, sea mucho más corto que si se trata de perfiles móviles con
muchos datos (por ejemplo, con archivos grandes en el Escritorio).

Desventajas:

 A todo el mundo le gusta personalizar su ambiente de trabajo de alguna forma: cambiando

el fondo de pantalla o el tema de Windows. Como ya hemos comentado, los perfiles
obligatorios eliminan esta posibilidad. Esto sólo es una desventaja si no es lo que se
pretende, claro está.
 Algunas aplicaciones (muy pocas, eso sí) no funcionan correctamente con perfiles
obligatorios, por lo que hay que probar todo el software que se va a utilizar.
 Si dejas algo "mal" en el perfil obligatorio (por ejemplo, si no pones un acceso directo en el
escritorio a un programa que los usuarios o usuarias utilizan mucho), te molestarán hasta
que lo arregles. Y eso te llevará tiempo y trabajo.

Por lo tanto, antes de establecer una política de perfiles obligatorios, tienes que valorar los pros y
los contras, y tomar la decisión más adecuada. Recuerda que no tienes que hacer cosas sólo
porque sepas hacerlas.

Página 5 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

Grupos en Active Directory.

Los grupos en Active Directory son objetos que pueden contener: otros grupos, usuarios, equipos y
otros recursos, como archivos, directorios y listas de distribución de correo electrónico, entre otros.
Para que puedas planificar correctamente los grupos de una red, tienes que comprender
adecuadamente sus dos características principales: el tipo y el ámbito.

Clasificación de los grupos.

Es importante que entiendas bien la clasificación de los grupos. ¿Por qué? Porque si comprendes
bien las características de cada grupo, sabrás elegir qué tipo o ámbito de grupo debes usar en cada
momento. Y saber hacer esa elección correctamente es propio de un buen administrador de Active
Directory.

En lo referente al tipo, existen dos posibilidades:

 Grupos de seguridad: se utilizan para controlar el acceso a los recursos. Es el tipo de

grupo que utilizarás habitualmente. Además, son "parecidos" a los grupos locales, que son
los que probablemente ya habrás utilizado en sistemas operativos monopuesto, como
Windows 7. Se llaman "de seguridad" porque se utilizan para controlar el acceso a los
recursos. Por ejemplo, puedes decidir que un grupo de seguridad de tu
red, recursoshumanos, pueda imprimir en la impresora laser, pero no administrar trabajos
de impresión.
 Grupos de distribución: este tipo de grupos nada tiene que ver con el control de acceso a
los recursos. Se trata de listas de distribución de correo electrónico. Son útiles para
integrarlos con un servidor de correo: por ejemplo, Microsoft Exchange.

En este módulo aprenderás a manejar los grupos de seguridad, por lo que en los próximos
apartados nos centraremos exclusivamente en ellos.

En lo relativo al ámbito, existen tres posibilidades:

 Grupos locales de dominio.

 Grupos globales.
 Grupos universales.

En los subsiguientes apartados profundizaremos en estos tres ámbitos de grupos. También

hablaremos de los grupos predeterminados, que son aquellos que "vienen de serie", es decir, que
se crean automáticamente al instalar el sistema. Estos grupos predeterminados que vas a conocer
son de seguridad, no de distribución, y los encontrarás de varios ámbitos diferentes.

Grupos locales de dominio.

Antes de decirte qué características tiene esta clase de grupos, debes aprender algo mucho más
importante:

Utiliza grupos locales de dominio para conceder permisos de acceso a los recursos del dominio en
el que estás creando dichos grupos.

Seguro que lo entiendes mejor con un ejemplo: piensa en la impresora láser de CARMINFO S. L.
Dicha impresora pertenece al dominio [Link], y su nombre es laser, por lo que
su FQDN (Fully Qualified Domain Name - Nombre cualificado completo de dominio)
es [Link].

Ahora supón que se desea que algunos usuarios de [Link] (aún no nos importa cuáles)
puedan imprimir y administrar trabajos de impresión y que otros sólo puedan imprimir. Aquí es donde
entran en juego los grupos locales de dominio. En un ejemplo como éste, lo primero que has de
hacer es crear dos grupos locales de dominio. A uno de ellos lo llamarás, por ejemplo, Impresores, y
al otro Adminslaser.

Página 6 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

Después, concederás permisos de impresión a ambos grupos y permisos para administrar los
trabajos de impresión exclusivamente a Adminslaser.
Más adelante, manejando la pertenencia a grupos, harás que las personas que deban administrar
trabajos pertenezcan a Adminslaser y las personas que sólo puedan imprimir pertenezcan
a Impresores.

El modo de asignar permisos correctamente lo aprenderás en la siguiente unidad, pero de momento,

debes saber que los grupos locales de dominio se utilizan para conceder permisos sobre los
recursos locales del dominio.

Ahora piensa una cosa: ¿qué pasa si queremos que a un recurso local puedan acceder usuarios de
otros dominios del bosque? Ningún problema: seguiremos la misma estrategia: los permisos se los
daremos solamentea los grupos locales de dominio. Lo bueno de estos grupos es que pueden
contener miembros de cualquier dominio del bosque.

Un grupo local de dominio puede contener miembros de cualquier dominio del bosque y se le
pueden asignar permisos sólo sobre recursos de su propio dominio.
Imagina el bosque formado por [Link] y [Link]. Si quieres que el
usuario pblanco@[Link] imprima sobre [Link], harás que pblanco pertenezca
al grupo Impresores de [Link]. Siendo estrictos, no debes hacer pertenecer directamente
a pblanco, sino a un grupo global al que pertenezca ese usuario. Te hablaremos de esto en el
siguiente apartado.

Por otro lado, sería imposible conceder al grupo local de dominio Impresores, perteneciente
a [Link], algún tipo de permiso sobre un recurso de [Link].

Grupos globales.
Para esta clase de grupos, también tenemos una frase importante:

Utiliza grupos globales para agrupar usuarios o recursos de forma similar a como están agrupados
en la organización.

Por ejemplo, si en la organización a la que pertenece el dominio existe un departamento de Ventas y

otro de Desarrollo, es muy recomendable que crees sendos grupos globales con esos
nombres: Ventas y Desarrollo, y hagas pertenecer a ellos a los usuarios del dominio pertenecientes
a cada departamento.

De esta manera, podrás administrar necesidades comunes que surgen en las organizaciones. Es
muy posible que los miembros del departamento de Ventas necesiten acceder a ciertas carpetas a
las que no deben tener acceso los de Desarrollo y viceversa. Por eso es lógico agrupar a la gente
que pertenece al Departamento de Ventas, por un lado, y por otro lado, a la gente que pertenece al
Departamento de Desarrollo.

Un grupo global puede contener usuarios y equipos que sean sólo de su propio dominio y se le
pueden asignar permisos sobre recursos de cualquier dominio del bosque.

¿Para qué utilizar los grupos globales? Los utilizarás en combinación con los grupos locales de
dominio. Piensa en el ejemplo del apartado anterior, con el árbol formado
por [Link] y [Link].

El objetivo final es que pblanco pueda imprimir en la impresora del dominio [Link]. Ahora
bien, lo más lógico es que en su propia organización, LAURINFO S. L., pblanco (Paloma Blanco)
pertenezca a una división o departamento, por ejemplo, al Departamento de Comercio. En ese caso,
lo más habitual es que no sólo Paloma Blanco, sino todo el departamento, pueda imprimir en la
impresora de [Link] (para enviar copias impresas a CARMINFO S. L.).

¿Cómo organizarías este supuesto? Lo has adivinado: utilizando grupos globales. Crearías un
grupo global en [Link] llamado DptoComercio, o algo parecido, en [Link]. Todos los
usuarios de los trabajadores de ese departamento serían miembros de ese grupo, incluida Paloma
Blanco, pblanco. Después, en el dominio [Link] editarías las propiedades del grupo local de

Página 7 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

dominio Impresores y harías miembro al grupo DptoComercio de [Link] del

grupo Impresores de [Link].

De esta forma, no sólo Paloma Blanco, sino todo el Departamento de Comercio, puede imprimir en
la impresora del dominio [Link].

Este es un esquema habitual para la utilización de grupos globales y grupos locales de dominio. En
la siguiente unidad, profundizaremos en la forma de utilizar los grupos para conceder permisos de
acceso a los recursos.

Grupos universales.
Con estos grupos debes tener “autocontrol”. ¿Por qué? Porque los grupos universales tienen muy
pocas restricciones. Eso puede resultar un “atajo” muy tentador para los administradores, porque se
pueden utilizar para todo en todos los dominios del bosque. Por ejemplo, se puede hacer miembro
de un grupo universal a cualquier usuario de cualquier dominio del bosque, independientemente del
dominio al que pertenezca.

Sin embargo, no es nada recomendable que utilices grupos universales como la principal forma de
agrupar usuarios, otros grupos y equipos. ¿Por qué? Porque tiene inconvenientes importantes. El
principal es que la información sobre los grupos universales se almacena en el catálogo global.
Bueno, y ¿qué es el catálogo global? Es una porción de la información de la base de datos de Active
Directory que es común a todos los dominios del bosque y que, por lo tanto, se replica por todos los
dominios. Para ello, algunos controladores de dominio funcionan también como servidores de
catálogo global.

Entonces, cada vez que se hace un cambio en las propiedades de un grupo universal, este cambio
tiene que replicarse por todo el bosque, es decir, este cambio tiene que ser almacenado en todos los
servidores de catálogo global. Si el bosque es grande y si abarca diferentes ubicaciones geográficas
(con el consecuente retardo en las comunicaciones), este puede ser un proceso muy lento.

En las últimas versiones de Windows Server (en la versión 2008 y en la versión 2008 R2), se ha
mejorado el sistema de replicación, por lo que la utilización de grupos universales no es tan
desaconsejable como antes. Pero de todos modos, es mejor utilizarlos solamente cuando
corresponde.

¿Y en qué casos sí es recomendable utilizarlos? En ejemplos como el de la figura. Se trata del árbol
de dominios llamado [Link]. Existen varios dominios que pertenecen a él y, en cada dominio,
existe un grupo global llamado DPTODesarrollo. Los trabajadores y trabajadoras de los
departamentos de desarrollo de las diferentes delegaciones (Santander, Sevilla, Valencia...)
pertenecen al grupo global DPTODesarrollo de su dominio.

Se desea que TODOS los trabajadores y trabajadoras que trabajen en algún departamento de
desarrollo de la corporación GARABATO puedan imprimir en la impresora del
dominio [Link]. ¿Cómo llevarías a cabo este esquema?

Lo lógico es, como ya hemos visto, crear un grupo local de dominio llamado Impresores y
concederle permisos de impresión. A continuación, podrías hacer miembros del grupo Impresores a
todos los grupos globales llamados DPTODesarrollo de las distintas delegaciones. Sin embargo, es
mucho más práctico crear un grupo universal llamado, por ejemplo, Desarrolladores y hacer
miembro de él a todos los grupos globales llamados DPTODesarrollo de todos los dominios.
Después, harías miembro a Desarrolladores de Impresores.

Grupos predeterminados.
Hemos incluido este apartado para que conozcas qué grupos están disponibles desde el momento
en el que se instala Active Directory. Es decir, los grupos predeterminados son aquellos que ya están
creados, sin necesidad de que lo hagas tú.

Como ya están creados, puedes verlos en la herramienta “Usuarios y equipos de Active Directory”,
en los contenedores “Users” y “Builtin”, tal y como se ve en la figura.

Página 8 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

Los grupos predeterminados más utilizados son:

 Usuarios del dominio: Es un grupo global. Sus miembros son, por defecto, todos los
usuarios que se van creando en el dominio. No tienen ningún tipo de privilegio
administrativo.
 Administradores: Es un grupo local de dominio. Los miembros de este grupo controlan por
completo todos los controladores del dominio. De forma predeterminada, los grupos
Administradores del dominio y Administradores de empresa son miembros del grupo
Administradores. La cuenta Administrador es miembro de este grupo de forma
predeterminada. Puesto que este grupo controla por completo el dominio, ten cuidado con
los usuarios a los que haces miembro de este grupo.
 Admins. del dominio: Es un grupo global. Sus miembros tienen máximos privilegios en
todo el dominio. Ojo: sobre el dominio, no sobre el árbol ni el bosque. Por defecto, el
usuario Administrador del dominio pertenece a este grupo. Ten en cuenta que el nombre de
este grupo es tal y como está escrito, con la abreviatura “Admins.” en lugar de
“Administradores”.
 Administradores de empresa: Es un grupo universal. Reside en el dominio raíz del
bosque. Sus miembros tienen los máximos privilegios sobre todos los dominios del bosque,
por lo que debes tener mucho cuidado al decidir quién pertenece a ese grupo. Ten en
cuenta que también se puede traducir por “Administradores de organización”, término que
se utiliza en muchos libros y manuales. Por defecto, el usuario Administrador del dominio
raíz del bosque pertenece a este grupo.

Creación y eliminación de grupos.

Ahora que ya sabes todo lo necesario sobre los tipos y ámbitos de los grupos, sólo queda que
aprendas a crearlos. En realidad, se trata de un proceso evidente e inmediato. El verdadero reto al
que te puedes enfrentar a la hora de organizar grupos en Active Directory es decidir cuántos grupos,
de qué ámbito, etc. vas a crear, así como establecer las membresías y los permisos.

En la siguiente presentación encontrarás los pasos necesarios para crear grupos, añadir y quitar
miembros y eliminar grupos.

Gestión de grupos en Active Directory.

Utilización de plantillas.
El caso de Alberto es común: tener que crear muchos usuarios puede convertirse en una pesadilla
si hay que modificar muchas de sus propiedades, como el nombre, los apellidos, la pertenencia a
grupos, las rutas de acceso al perfil y a la unidad de red, etc.

Creación de usuarios mediante plantillas.

Es probable que alguna vez te encuentres en la misma situación que Alberto: tener que crear un
montón de cuentas de usuario. Es más, la cosa podría ser aún peor. Podrías tener que crear cientos
de cuentas de usuario de golpe. Por ejemplo, si se está implantando un sistema nuevo en una
empresa. ¿Cómo lo abordarías?

Para cantidades realmente ingentes de usuarios, lo que un administrador de sistemas debe hacer es
utilizar algún lenguaje de script (guión) que le permita escribir un programa que tome los datos de
algún listado o base de datos y genere los comandos necesarios para crear los usuarios con las
propiedades adecuadas.

No obstante, si la cantidad de usuarios no es enorme, puedes abordar la creación de usuarios de

forma manual. La utilización de plantillas te ahorrará mucho trabajo si eliges este método. Una
plantilla es, en realidad, un usuario normal y corriente. Lo que harás es crear un usuario del modo
habitual y asignarle todas las propiedades que sean comunes a cierto número de usuarios: por
ejemplo, a qué grupos pertenece, las rutas de acceso a sus datos, etc.

Página 9 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

Una vez configurado este usuario, se copia, lo que crea automáticamente un usuario con las
mismas características, excepto el nombre de usuario y la contraseña.

Para personalizar las rutas de acceso a perfil y datos, es muy útil la utilización de la variable de
entorno %username%, que se sustituye por el nombre de usuario.

No olvides desactivar el usuario plantilla cuando hayas acabado. No conviene dejar usuarios
disponibles sin asignar a ninguna persona, pues puede representar un agujero de seguridad.

Organización de los elementos en un

dominio.
Unidades organizativas.
Cuando abres la herramienta “Usuarios y equipos de Active Directory”, puedes ver que en la parte
izquierda se despliega una estructura de árbol en la cual se encuentra, como raíz, el dominio. En
un nivel jerárquicamente inferior, dentro del dominio, puedes ver varios contenedores. Los más
importantes son:

 Builtin (en español: predeterminado): en este contenedor se encuentran los grupos

predeterminados locales de dominio.
 Computers (en español: computadoras): aquí encontrarás los equipos que hayas unido al
dominio.
 Domain controllers (en español: controladores de dominio): en este contenedor
encontrarás los equipos que hayas configurado como controladores de dominio.
 Users (En español: usuarios): aquí encontrarás los grupos predeterminados globales y
universales, así como los usuarios predeterminados, como por ejemplo, el Administrador.

Cuando se añades elementos al dominio, puedes elegir cualquiera de estos contenedores. Sin
embargo, suele ser preferible crear nuestros propios contenedores, porque tienen ventajas
añadidas. Estos contenedores que crearás tú se llaman Unidades Organizativas (UO). Para crear
una, sitúate en el contenedor que desees, o directamente sobre el dominio y utiliza el menú
contextual para seleccionar Nuevo → Unidad organizativa. También puedes utilizar el botón
correspondiente de la barra de herramientas. Decide un nombre para la misma, y ya está.

Dentro de una unidad organizativa podemos colocar: impresoras, carpetas compartidas,

computadoras, usuarios, grupos, otras unidades organizativas, etc. En la figura, tienes un ejemplo
de una unidad organizativa que contiene usuarios, grupos y una carpeta compartida.

Aparte de que las utilizarás para tener ordenados los recursos en el dominio, lo realmente bueno de
las unidades organizativas es que sirven para delegar la administración.

En la unidad de la figura, se puede conceder privilegios a un grupo o usuario sólo dentro de la

unidad organizativa. De esa forma, se puede controlar sobre qué partes del dominio puede un
usuario o un grupo tener algún tipo de control. Es decir, se puede hacer que un usuario pueda crear,
eliminar y editar usuarios, grupos, equipos, etc. dentro de una unidad organizativa y que, sin
embargo, no pueda hacer absolutamente nada fuera de ella.

Ejemplo completo de configuración de usuarios, grupos

y equipos.
Resolución del problema.
En este apartado te vamos a plantear una posible configuración del dominio que tienen que instalar
Carmen y Marisa. Habría que seguir estos pasos:

Página 10 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

1. Elegir un nombre para el dominio. A poder ser, que ese nombre corresponda con un nombre
DNS (Domain Name System – Sistema de nombres de dominio) adquirido por la
organización. Por ejemplo: [Link].
2. En un equipo con Windows Server 2008 R2, se ejecuta el asistente dcpromo para la
instalación de los servicios de Active Directory, instalando, por lo tanto, el
dominio [Link].
3. UNIDADES ORGANIZATIVAS: Para organizar mejor los recursos, conviene crear una
Unidad Organizativa para almacenar todo lo relacionado con este dominio. La llamarías
VILLAPEDRUSCO. Dentro de esta UO y previendo un posible crecimiento de la
infraestructura informática, convendría crear dos UOs: YUSO y SUSO.
4. GRUPOS: En la UO VILLAPEDRUSCO, también crearíamos los grupos
globales Concejales, AlcaldesPedaneos, Alcaldes y PAS. Este último grupo representa el
personal de administración y servicios (que actualmente se reduce al secretario, pero que
podría aumentar. Se hace al grupo AlcaldesPedaneos miembro del grupo Alcaldes.
5. USUARIOS: En la UO VILLAPEDRUSCO, se crearían los
usuarios [Link], [Link], [Link], [Link] y se les haría
miembros del grupo Concejales. También se crearía el usuario [Link], y se le
haría pertenecer al grupo Alcaldes. Por último, se crearía el usuario [Link], y se le
haría pertenecer al grupo PAS. En cada UO de cada pedanía se crearía el usuario
correspondiente a su alcalde pedáneo. Por ejemplo, en la UO YUSO se crearía el
usuario [Link]. Todos los usuarios correspondientes a los alcaldes pedáneos
pertenecerían al grupo AlcaldesPedaneos.
6. EQUIPOS: Se incorporarían al dominio los equipos pertenecientes al municipio. Al hacer
esto, aparecen en el contenedor Computers de la herramienta Usuarios y Equipos de Active
Directory. Deben moverse a las UOs correspondientes: los que se encuentren en las
pedanías a las UOs YUSO o SUSO y los que se encuentren en el Ayuntamiento, a la UO
VILLAPEDRUSCO.

Con esto se tendría una configuración básica de la estructura en Active Directory, preparada para la
asignación de permisos sobre recursos cuando se definan y escalable, es decir, apta para un
crecimiento de la organización.

Detalles de la tarea de esta unidad.

Enunciado.
INTRODUCCIÓN
La empresa CIDAYAS (Consultoría Informática para el Desarrollo de
Aplicaciones y Administración de Sistemas) te ha contratado como miembro

Página 11 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

de su departamento de Administración de Sistemas. Tu departamento está

implicado en la instalación de un dominio en Active Directory para la
empresa y en la adecuada configuración de sus usuarios, grupos, etc.

El jefe del departamento ha realizado el diseño del esquema de Active

Directory y te ha encargado a ti que lo lleves a cabo. El diseño es el
siguiente:

 En el controlador de dominio existirán dos carpetas, una llamada

PERFILES, que compartirás en red con nombre de recurso compartido
PERFILES$; y otra llamada DATOS, que compartirás en red con
nombre de recurso compartido DATOS$. Servirán para almacenar,
respectivamente, los perfiles móviles de los usuarios y los datos que
almacenarán en unidades de red que se conectarán
automáticamente al iniciar sesión. TODOS LOS USUARIOS tendrán
unidad de red y perfil móvil. En algún caso, que se indicará más
adelante, el perfil móvil será obligatorio.
 Llamarás al dominio [Link].

o Dentro del mismo crearás una UO (Unidad Organizativa)

llamada CIDAYAS. Dentro de ésta, crearás una UO para cada
departamento de la empresa.

 Para el departamento de Recursos Humanos, crearás

una UO llamada RRHH.

 Dentro de ella existirá un grupo global llamado

DptoRRHH.
 También crearás un usuario plantilla, llamado
_plantillaRRHH. Tendrá perfil móvil y pertenecerá
al grupo DptoRRHH.
 A partir de esta plantilla crearás un usuario
llamado psanchez (Pablo Sánchez) al que se le
asignará perfil obligatorio.
 Para el departamento de Gestión Administrativa, crearás
una UO llamada GESTIONADMIN.

 Dentro de ella existirá un grupo global llamado

DptoGestion.
 También crearás un usuario plantilla, llamado
_plantillaGestionAdmin. Tendrá perfil móvil y
pertenecerá al grupo DptoGestion.
 Para el departamento de Desarrollo de Aplicaciones,
crearás una UO llamada DESARROLLO.

 Dentro de ella existirá un grupo global llamado

DptoDesarrollo.
 Habrá un usuario plantilla, llamado
_plantillaDesarrollo. Tendrá perfil móvil y
pertenecerá al grupo DptoDesarrollo.
 También existirá un grupo universal llamado
Desarrolladores, pensado para una próxima
integración con subdominios de [Link]. El
grupo DptoDesarrollo será miembro de

Página 12 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

Desarrolladores.
 Para el departamento de Administración de Sistemas,
crearás una UO llamada ADMINSISTEMAS.

 Dentro de ella existirá un grupo global llamado

DptoAdminSistemas.
 Habrá un usuario plantilla, llamado
_plantillaAdminSistemas, que tendrá perfil móvil y
pertenecerá al grupo DptoAdminSistemas.
 A partir de esta plantilla crearás un usuario que se
llamará jgonzalez (José González García) y
pertenecerá, también, al grupo predeterminado
Administradores de Empresa.
 También crearás una UO llamada IMPRESORAS, que
contendrá los objetos de tipo impresora que se crearán
en el futuro.

 En su interior habrá un grupo local de dominio

llamado ImpresoresLaser. Harás miembros de este
grupo a: DptoRRHH, DptoGestion y
Desarrolladores.
 También crearás un grupo local de dominio
llamado AdminsLaser. Harás miembro de este
grupo al grupo global DptoAdminSistemas.
o Delegarás la administración de la UO CIDAYAS sobre el grupo
DptoAdminSistemas, concediéndole derechos para realizar
todas las tareas habituales.
o La contraseña de todos los usuarios creados debe ser
Cidayas21 y debes obligar a los usuarios a cambiarla cuando
inicien sesión por primera vez.

ACTIVIDAD 1
Crea la estructura de unidades organizativas, siguiendo las indicaciones de
tu jefe de departamento. Utiliza exactamente los nombres que se te indican
y la jerarquía que se propone.

ACTIVIDAD 2
Crea todos los grupos especificados en la introducción. Establece, también,
las membresías indicadas entre grupos. Por ejemplo, el grupo
DptoDesarrollo debe pertenecer al grupo Desarrolladores.

ACTIVIDAD 3
Crea y comparte en red, de la forma indicada, las carpetas PERFILES y
DATOS.

ACTIVIDAD 4
Crea los usuarios plantilla de cada departamento. Asigna cada plantilla a los
grupos que se indican y no olvides las rutas de acceso al perfil y la unidad
de red. Crea los usuarios que se te indican a partir de las plantillas
correspondientes. Asegúrate de que estos usuarios pertenecen a los grupos
indicados. Recuerda que uno de los usuarios debe tener perfil obligatorio.

Página 13 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

ACTIVIDAD 5
Delega la administración de la unidad organizativa principal al grupo
DptoAdminSistemas, tal y como te ha indicado tu jefe.

Criterios de puntuación. Total 10 puntos.

En todas las actividades se valorará el escrupuloso seguimiento de las
instrucciones en todo lo relativo a nombres (tanto de usuarios, como de
grupos y unidades organizativas) y jerarquías.
La claridad de la exposición y la concisión en la documentación entregada,
se valorarán positivamente.

Actividad 1 (1 punto)
Se valorará haber establecido un esquema de unidades organizativas
exactamente igual a la indicada por el jefe de departamento, tanto en lo
referente a los nombres, como en lo referente a la jerarquía de las mismas.

Actividad 2 (2,5 puntos)

Se valorará que los grupos creados pertenezcan exactamente a los grupos
indicados. También se tendrá muy en cuenta que el ámbito (y por supuesto,
tipo) de los grupos sea el que se dice en las indicaciones. Es imprescindible
que cada grupo sea creado dentro de la unidad organizativa
correspondiente.

Actividad 3 (1,5 puntos)

Se tendrá en cuenta que las carpetas se hayan compartido con los permisos
adecuados para que sea posible su acceso para la función que
desempeñará cada carpeta.

Actividad 4 (3 puntos)
Se tendrá en cuenta que los usuarios residan en la unidad organizativa que
les corresponde. La membresía con respecto a los grupos debe ser correcta
y las rutas de acceso a perfil y a la unidad de red deben estar
correctamente establecidas.

Actividad 5 (2 puntos)
Se valorará el correcto seguimiento de las instrucciones dadas.

Recursos necesarios para realizar la Tarea.

Como mínimo, necesitarás una máquina con Windows Server 2008 R2. Si,
además, quieres comprobar el correcto funcionamiento de los perfiles y de
la conexión a la unidad de red, necesitarás otra máquina para que funcione
como miembro del dominio. Esta máquina podrá tener cualquier sistema
operativo basado en Windows a partir de Windows XP.

Consejos y recomendaciones.
Intenta realizar esta tarea sólo después de haber leído los contenidos de la
unidad y de haber visto los vídeos y presentaciones.

Cuando crees el perfil obligatorio, sigue escrupulosamente los pasos

proporcionados en los contenidos de la unidad. Es un proceso muy delicado
y cualquier alteración puede dar al traste con el proceso. A veces, cuando
un intento de creación de un perfil obligatorio sale mal, se crea un perfil
local en el equipo cliente. Es recomendable que ese perfil local sea borrado

Página 14 de 15

Descargado por Ramon Vidal (ravire001@[Link])

 lOMoARcPSD|49248642

para volver a intentar utilizar el perfil obligatorio.

Ten en cuenta que estás siguiendo unas indicaciones explícitas, por lo que
debes poner especial cuidado en respetar los nombres que te dan para las
unidades organizativas, los grupos, los usuarios y las contraseñas.

En cuanto al documento que has de entregar: no es necesario extenderse

demasiado, ni repetirse, pero sí reflejar claramente las opciones elegidas y
los parámetros introducidos en cada punto. Cuando las tareas sean
repetitivas, detalla claramente un caso y luego indica que has realizado el
mismo procedimiento, pero cambiando algunos aspectos. Utiliza las
capturas de pantalla para ahorrarte explicaciones innecesarias y para
documentar bien el proceso. Ten en cuenta que una imagen vale más que
mil palabras.

Indicaciones de entrega.
Una vez realizada la tarea elaborarás un único documento donde figuren las
respuestas correspondientes. El envío se realizará a través de la plataforma
de la forma establecida para ello, y el archivo se nombrará siguiendo las
siguientes pautas:

apellido1_apellido2_nombre_SIGxx_Tarea

Asegúrate que el nombre no contenga la letra ñ, tildes ni caracteres

especiales extraños. Así por ejemplo la alumna Begoña Sánchez Mañas
para la tercera del MP de SOR, debería nombrar esta tarea como...

sanchez_manas_begona_SOR03_Tarea

Página 15 de 15

Descargado por Ramon Vidal (ravire001@[Link])