TEMA 4 IMSO

a. ADMINISTRACIÓN DEL DOMINIO

ESTRUCTURAS BÁSICAS DE RED Se pueden distinguir dos tipos de estructuras
Grupo de Trabajo
Está constituido por un conjunto de equipos que comparten recursos entre sí. Se caracterizan
por: Carecen de equipos servidores que controlen los recursos de la red. Los usuarios locales
determinan qué recursos se comparten. ESTRUCT
Cliente-Servidor
Se caracterizan por: Está constituido por un conjunto de equipos clientes y uno o varios
equipos servidores. Un equipo servidor es un ordenador que comparte sus recursos con el
resto de equipos de la red. Los servidores más comunes son:
- Servidor de archivos: permite estructurar los archivos en carpetas y compartirlos en la red.
- Servidor DNS: proporciona un servicio de traducción de direcciones IPs a nombres y
viceversa.
- Servidor DHCP: proporciona los parámetros de red a los equipos clientes de nuestra red.
- Servidor de impresión: proporciona soporte para compartir una o varias impresoras en los
equipos de la red.
- Servidor de archivos: permite estructurar los archivos en carpetas y compartirlos en la red.
- Servidor de comunicaciones: permite enlazar diferentes redes entre sí.
- Servidor de correo electrónico: proporciona un servicio de correo electrónico para la red.
- Servidor Web: permite almacenar y administrar documentos HTML, que posteriormente
será accesibles mediante un navegador desde los equipos clientes.
- Servidor FTP: permite almacenar archivos que posteriormente serán descargados por los
equipos clientes.
- Servidor proxy: permite monitorizar y controlar el acceso a Internet de los equipos clientes,
y oculta el tráfico interno de la red a los equipos externos a ella.
- Los servicios pueden o no estar instalados en el mismo equipo. Los equipos servidores
suelen ser equipos dedicados a tal fin, por cual no son utilizados como equipos clientes. Las
estaciones de trabajo suelen funcionar con su propio sistema operativo.
PROTOCOLO LDAP El Protocolo Ligero de Acceso a Directorios (LDAP) permite el
acceso de aplicaciones a un servicio de directorio ordenado y distribuido, que facilita la
búsqueda de diversa información en un entorno de red. Un servicio de directorio permite
almacenar datos y ponerlos a disposición de los usuarios de la red
DOMINIOS Un dominio es una estructura de red cliente-servidor, que está constituido por
un grupo de ordenadores, usuarios y recursos de red que comparten una base de datos de

1
 TEMA 4 IMSO

seguridad común. Dicha estructura permite simplificar el trabajo de administración en las

redes, para lo cual integra las prestaciones de los grupos de trabajo con las prestaciones
ofrecidas por los servicios de directorios. Todo dominio dispone de un equipo controlador de
dominio que se encarga de gestionar la base de seguridad común. La estructura de dominio
proporciona a los usuarios un mejor acceso a los recursos del sistema.
DIRECTORIO ACTIVO (ACTIVE DIRECTORY) Es un servicio de directorio que
incorpora los sistemas Windows Server a partir de la versión 2003, el cual almacena
información sobre los objetos de la red para facilitar su búsqueda a los usuarios y gestión a
los administradores.
COMPONENTES DEL DIRECTORIO ACTIVO El directorio activo cuenta con:
- Un directorio que actúa como un almacén que guarda información sobre los objetos del
dominio (usuarios, equipos, archivos, carpetas, impresoras, servidores, etc…).
- Una estructura basada en los siguientes conceptos:
- Dominio: es la estructura fundamental sobre la que se base el directorio activo, la cual
permite agrupar todos los objetos para administrarlos de forma estructurada y jerárquica.
- Unidad Organizativa: es una unidad jerárquica inferior al dominio, que puede estar
compuesta por objetos u otras unidades organizativas.
- Grupos: son un conjunto de objetos del mismo tipo, que se usan fundamentalmente para la
asignación de permisos de acceso a los recursos.
- Objetos: son los elementos que componen nuestro sistema de red: usuarios, equipos,
impresoras, etc…
CONCEPTOS RELACIONADOS
Espacio de nomenclatura: es el conjunto de nombres que representa a un dominio. Un espacio
de nomenclatura contiguo significa que dos dominios comparten la misma raíz del nombre
del dominio (local.es – sp.local.es) .
El esquema de Active Directory se almacena en el controlador de dominio, y consiste en una
lista de definiciones de las clase de objetos y atributos que se pueden crear en nuestro
dominio o bosque.
Catálogo Global: es el conjunto de todos los objetos de un bosque de dominios. Un servidor
de catálogo global es un controlador de dominio que almacena una copia completa de todos
los objetos del directorio de su dominio y una copia parcial de sólo lectura de los objetos del
resto de dominios del bosque.

2
 TEMA 4 IMSO

Árbol de dominio: es una estructura jerárquica de dominios que comparten un espacio de

nomenclatura contiguo, un esquema común y un catálogo global común. (ver figura
siguiente)
Un bosque es una colección de árboles de dominio que no comparten el mismo espacio de
nomenclatura contiguo, pero sí tienen un esquema y catálogo comunes. (ver figura siguiente)
b. ADMINISTRACIÓN DEL DOMINIO
SERVIDORES DEL DOMINIO Dentro de una red con un dominio, un servidor puede
desempeñar una de las siguientes funciones:
Servidores Controladores de dominio. pertenecen al dominio y contienen una copia de las
bases de datos del directorio activo. Un tipo de controlador especial es el tipo RODC (solo
lectura), que está diseñado para sitios donde no se puede garantizar la seguridad física del
servidor. Este tipo de servidores se caracterizan por que los clientes no pueden escribir
cambios sobre él, y no dispone de la función de gestión de contraseñas de las cuentas.
Servidores miembros. son equipos servidores que pertenecen al dominio, pero no son
controladores de dominio.
Servidores independientes. son equipos servidores que pertenecen a nuestra red local, pero no
al dominio.
MODO NATIVO – MODO MIXTO Los conceptos de modo mixto y modo nativo fueron
introducidos con Ms. Windows 2000 Server y aplicados también a Ms. Windows Server
2003. El funcionamiento en modo mixto permite a este sistema coexistir con los servidores
Windows NT (más antiguos), mientras que el funcionamiento en modo nativo exige que en el
bosque todos los servidores sean Ms. Windows 2000 o superior. El funcionamiento en modo
nativo, proporciona la posibilidad de activar nuevas características de Active Directory.
A partir de Ms. Windows Server 2008, se utiliza el concepto de nivel funcional, que
reemplaza a los conceptos ya mencionados. Para activar las características más recientes de
Active Directory, todos los equipos controladores de dominio tienen que operar con la última
versión existente, hecho que permite al administrador establecer el nivel funcional más
elevado, ya sea a nivel de dominio o de bosque
REPLICACIÓN DE DATOS Los controladores de dominio participan en la replicación de
los datos, lo cual garantiza que todos ellos dispondrán de una copia completa de la base de
datos, proporcionando de esta forma una tolerancia a fallos.
UNIDAD ORGANIZATIVA Una unidad organizativa es la estructura mínima a la cual se
les puede aplicar directivas de seguridad. Las unidades organizativas se utilizan para

3
 TEMA 4 IMSO

representar la estructura de una organización. Pueden contener otras unidades organizativas,

usuarios, equipos y grupos de éstos.
Se recomienda utilizar una Unidad Organizativa en los siguientes casos.
- Cuando se quiera reflejar la estructura de una organización.
- Cuando se quiera delegar el control administrativo en pequeños grupos de usuarios, grupos
equipos y recursos.
- Cuando la estructura de una empresa puede sufrir modificaciones.
Se recomienda utilizar Dominios independientes y no Unidades Organizativas en los
siguientes casos:
- Organización descentralizada, en la que usuarios y recursos están administrados por
diferentes personas.
- Dos o más partes de la red están unidas por un vínculo lento que imposibilita una
replicación adecuada
CUENTAS DE USUARIOS Las cuentas de usuarios representan a personas y se denominan
principales de seguridad, ya que son objetos del directorio activo sobre los que se les aplican
identificadores de seguridad, que permiten iniciar sesión y tener acceso a los recursos.
Las funciones principales de una cuenta de usuario son:
- Autentificar la identidad del usuario.
- Autorizar o denegar el acceso a los recursos del dominio.
- Auditar las acciones realizadas.
Tipos de Usuarios:
- Usuarios globales o del dominio: se crean en el Directorio Activo y se guardan en los
controladores de dominio. Permiten conectarse al dominio y a otros dominios de
confianza.
- Usuarios locales: se crean y guardan en un equipo concreto y no sirven para acceder
al dominio.
Al instalar Active Directory se crean dos cuentas por defecto: Administrador e Invitado.
PERFILES Un perfil contiene la configuración personal del usuario, así como sus datos
personales. En un entorno de Red podemos distinguir dos tipos de perfiles:
Perfil Móvil: es creado por el administrador del dominio y permite al usuario guardar su
configuración y datos personales, de forma que estarán disponibles desde cualquier equipo
del dominio. Los datos del registro del usuario se almacenan en el archivo ntuser.dat, situado
en la carpeta que contiene el perfil dentro del servidor.

4
 TEMA 4 IMSO

Perfil Obligatorio: es creado por el administrador del dominio, de forma que establece una
configuración preestablecida para los usuarios, así como los datos disponibles. Las
modificaciones realizadas por el usuario no se guardan. Los datos del registro del usuario se
almacenan en el archivo ntuser.man, situado en la carpeta que contiene el perfil dentro del
servidor.
FICHA PERFIL Contiene los siguientes apartados:
Ruta de acceso al perfil: se utiliza para indicar la ruta de red que da acceso al perfil del
usuario, ya sea móvil o obligatorio. La ruta de acceso tendrá que ser del tipo:
\\nombre_servidor\carpeta_perfiles\carpeta_usuario
Script de inicio de sesión: se indica el nombre de un archivo que se ejecutará al inicio de
sesión. Este archivo suele ser de procesos por lotes con extensión .bat, o un archivo
ejecutable. Dicho archivo tiene que guardarse en la ruta
\windows\sysvol\nombre_dominio\script del equipo servidor
Ruta de acceso local: permite indicar un directorio local privado para cada usuario en el
servidor. Dicho directorio hay que crearlo antes de especificar su ruta. La ruta a especificar en
este apartado es local, por ejemplo: c:\nombre_directorio\nombre_usuario La utilización de
este recurso facilita la realización de copias de seguridad o la eliminación de los datos.
Conectar a unidad de red: permite conectar con directorio local privado del usuario en el
servidor o con una carpeta compartida de red, a través de una letra de unidad. La ruta a
indicar seguirá el formato: \\nombre_servidor\carpeta_compartida_\nombre_usuario
c. ADMINISTRACIÓN DEL DOMINIO
GRUPOS Se definen como un conjunto de objetos del mismo tipo y pueden ser de usuarios,
de equipos, o de otros grupos. Son principales de seguridad, pues al igual que las cuentas de
usuario, se le asignan automáticamente identificadores de seguridad.
TIPOS DE GRUPOS Hay dos tipos de grupos:
Grupos de Seguridad: se utilizan para asignar derechos y permisos. Este tipo de grupos se
agregan a la lista de control de acceso discrecional (DACL), en las cuales están definidos los
permisos sobre los recursos y objetos.
Grupos de Distribución: se utilizan sólo en aplicaciones de correo electrónico, por lo tanto no
están incluidos en las listas de control de acceso discrecional.
ÁMBITO DE UN GRUPO Establece el alcance de aplicación de dicho grupo, ya sea de
seguridad o de distribución. Se pueden distinguir los siguientes tipos: ▪ Universales. ▪
Globales. ▪ Local de Dominio. ▪ Locales.
TIPOS DE ÁMBITOS

5
 TEMA 4 IMSO

Universales: se usan para consolidar grupos que abarquen varios dominios. Se recomienda
agregar las cuentas a grupos globales y a su vez anidar estos dentro de los grupos universales.
Globales: se utilizan para administrar objetos que requieran un mantenimiento constante,
como las cuentas de usuario y equipos. Estos grupos no se replican fueran de su propio
dominio Local de Dominio: define y administra el acceso a los recursos dentro de un
dominio local.
Locales: se definen en un equipo concreto para administrar los recursos de dicho equipo.
CAMBIO DE ÁMBITOS Cuando se crea un grupo, se configura por defecto como grupo
de seguridad de ámbito global, independientemente del nivel de funcionamiento del dominio
(o modo). No se pueden realizar cambios de ámbitos si el dominio está en modo mixto, es
decir no están todos los controladores de dominio en el mayor nivel funcional.
Los cambios de ámbitos que se pueden realizar en modo nativo son:
Global a Universal: si el grupo global no es miembro de otro grupo global.
Dominio Local a Universal: si el grupo no tiene como miembro a otro grupo de dominio
local.
Universal a Global: si el grupo universal no tiene como miembro a otro grupo universal.
Universal a Dominio Local: es caso presenta mayores restricciones.
GRUPOS PREDEFINIDOS Cuando se instala el directorio activo, se crean una serie de
grupos por defecto, que se recogen en las siguientes carpetas:
Builtin: pertenecen al tipo de grupos del dominio, y podemos ver su utilidad accediendo a
ellos y seleccionando el apartado Descripción
Users: Pertenecen al tipo de dominio local, global o universal. También hay disponible una
descripción para ellos.
CUENTAS DE EQUIPOS Las cuentas de equipos representan a los equipos de nuestro
dominio, y son principales de seguridad dentro de Active Directory, por lo cual se le asignan
automáticamente identificadores de seguridad para iniciar sesión en la red y tener acceso a los
recursos del dominio.
CUENTAS DE EQUIPOS PREDETERMINADAS Durante el proceso de instalación en el
Directorio Activo se crean dos carpetas para contener las cuentas de los equipos del dominio.
Domain Controllers: almacena las cuentas relacionadas con los equipos controladores de
dominio.
Computers: almacena las cuentas de los equipos no controladores de dominio.