Windows Server: Controlador de

dominio gestión de usuarios y directivas.

 Índice

•Windows Server. Active Directory.

•Usuarios y grupos en Windows Server

en un controlador de dominio.

• Directivas de grupo.
 GRUPOS DE TRABAJO.

También denominadas redes“punto a punto” o de “igual a igual”, se utiliza

generalmente para las redes de pequeño tamaño, inferiores a 10 equipos,
por ejemplo una pequeña empresa o una red doméstica. Los equipos
acceden y comparten sus recursos sin necesidad de un servidor.

Tiene como ventaja su fácil implementación, sin embargo tiene la

desventaja de que cada ordenador debe administrar los recursos que
comparte así como las cuentas de usuario. No se requiere ninguna
seguridad para unirse a un grupo de trabajo o crear uno nuevo.

Los grupos de trabajo utilizan la resolución de nombre NetBIOS para

comunicarse y el nombre predeterminado es WORKGROUP.

Suele funcionar en ordenadores con las siguientes versiones de Windows

XP. Windows 7, Windows 8, Windows 19…
 INTRODUCCIÓN A LOS DOMINIOS.

⚫ La noción de dominio aparecida en Windows NT utilizaba

los mecanismos de resolución de nombres de NetBIOS, al
igual que los grupos de trabajo Microsoft. En estos casos,
los equipos y el nombre del dominio, se identifican con un
nombre de 15 caracteres como máximo, sin espacios.
⚫ Este tipo de dominio contiene solamente objetos de tipo
usuario, grupo o equipo y sólo contiene un único nivel.
⚫ El dominio se mantiene por la presencia de un
controlador de dominio principal (PDC) y otros posibles
controladores de dominio de emergencia o secundarios
(BDC). La base de datos para estos dominios es de tipo
SAM y está limitada a 40.000 objetos.
 DIRECTORIO ACTIVO

El Directorio Activo (Active Directory o AD) es el

⚫
servicio de directorio incorporado en Windows Server
2000 que almacena objetos de la red y facilita la
búsqueda y utilización de esa información por parte de
usuarios y administradores.

Es un servicio de red que almacena información acerca

⚫
de los recursos existentes en la red, controla el acceso de
los usuarios y las aplicaciones a dichos recursos. De esta
forma, se convierte en un medio de organizar,
administrar y controlar centralizadamente el
acceso a los recursos de la red.
Dominio según el directorio activo.

⚫ Un conjunto de equipos que comparten una base

de datos de directorio común y que se identifica
mediante un nombre de dominio DNS.
⚫ En una red de sistemas Windows, un dominio
define:
− Límite de seguridad. El administrador de un dominio
posee los permisos y derechos necesarios para
administrar los recursos de ese dominio únicamente (a
menos que se le hayan concedido de forma explícita en
otros dominios). Es decir, el dominio marca los límites
de la administración (y de la seguridad).
− Unidad de replicación. Todos los controladores de
dominio (DCs) de un dominio poseen una copia
completa de la información de directorio de dicho
dominio. Para ello, las actualizaciones de dicha
información en cualquier controlador se replican de
forma automática al resto.
 BÚSQUEDAS DNS, NetBIOS
⚫ Windows incorpora el esquema de nombrado DNS para nombrar a los
dominios y para publicar los servicios que cada ordenador ofrece al resto
dentro del dominio..
⚫ En el caso de los clientes Windows , la resolución de los nombres de
dominio está asegurada por los servicios DNS. Por lo tanto, es
obligatorio mencionar un servidor DNS (que conozca el dominio Active
Directory) en la configuración TCP/IP del equipo.
⚫ Sino mencionamos ningún servidor DNS, o este no es apropiado (por
ejemplo si colocamos el de nuestro proveedor de servicios de Internet),
el equipo Windows cliente puede localizar los servicios de dominio
mediante la resolución NetBIOS, pero sufrirá lentitud y un
comportamiento deficiente.
⚫ Durante la fase de instalación del Active Directory, el proceso intenta
localizar un servidor DNS para contener la zona correspondiente al
dominio. Sino detecta ningún servidor DNS válido, nos va a proponer
instalar los servicios DNS en el controlador de dominio, para que
contenga su propia zona.
⚫ Para asegurar la compatibilidad con los clientes anteriores a Windows ,
Active Directory también soporta un nombre NetBIOS de dominio.
EJEMPLO Dominio DNS vs NetBIOS
 Múltiples dominios en una misma
organización.

⚫ Existen algunos casos en los que resulta

interesante disponer de varios dominios de
ordenadores Windows en la misma organización
(distribución geográfica o departamental,
distintas empresas, etc.). El Directorio Activo
permite almacenar y organizar la información de
directorio de varios dominios de forma que,
aunque la administración de cada uno sea
independiente, dicha información esté disponible
para todos los dominios.
⚫ unidades jerárquicas en Dominios Windows Server:

− Arboles. Un árbol es una jerarquía de dominios que comparten un

sufijo DNS. El dominio situado en la raíz del árbol se denomina
principal y los posibles subdominios que se creen por debajo se
denominan secundarios. Normalmente, al menos un controlador de
dominio de un dominio principal es un servidor DNS.
− Por ejemplo, si el iesvilladeaguimes se quisiera tener un dominio
Windows por cada departamento, debería existir un dominio
principal denominado iesvilladeaguimes.es (en este caso, la raíz del
árbol) y tantos dominios secundarios como departamentos. En este
caso, el dominio del departamento INFORMATICA debería
denominarse informatica.iesvilladeaguimes.es, ya que ese es el
dominio DNS correspondiente a las máquinas del departamento. Si
dentro del dominio del INFORMATICA se quisieran crear
subdominios Windows , tendrían que crearse necesariamente los
subdominios DNS correspondientes en el servidor DNS del instituto.
− Bosques. Pongámonos ahora en el caso de que no todos los
dominios de una organización compartan el mismo sufijo DNS.
En este caso, cada agrupación de dominios con el mismo sufijo
DNS formarían un árbol. Según la organización del Directorio
Activo, el conjunto de dichos árboles puede constituir una unidad
jerárquica superior que se denomina (lógicamente) bosque.
− La información del directorio es accesible para todo el bosque de
dominios. De hecho, la parte fundamental del directorio
(denominada esquema) que define los tipos de objetos y atributos
que se pueden crear en el directorio es única para todo el bosque.
Ello asegura que la información que se almacena en la parte del
directorio de cada dominio del bosque es homogénea.
 AL PROMOCIONAR UN SERVIDOR WINDOWS
SERVER.
⚫ En las versiones a partir de 2012 se utiliza el asistente, en este
tenemos que decidir una de las siguientes opciones de instalación:
⚫ Controlador de dominio adicional de un dominio existente o de un
dominio nuevo (creación de un dominio).
⚫ En el segundo caso, el dominio (nuevo) puede ser un dominio
secundario de otro dominio existente (es decir, un subdominio de un
árbol de dominios ya creado)
⚫ el dominio principal (raíz) de un nuevo árbol de dominios.
⚫ En el caso, el dominio raíz puede ser de un bosque existente o de un
nuevo bosque.
⚫ Por tanto, en una organización en donde aún no existen dominios, la
creación del primer dominio será en realidad la creación de un nuevo
bosque, con un solo árbol, cuya raíz es el dominio que queremos crear.
A partir de ahí podemos añadir nuevos dominios como subdominios
de la raíz dentro del mismo árbol (y así sucesivamente), o bien
anexionar una raíz de un árbol de dominios nuevo al bosque.
Principales tipos de objetos que pueden crearse en el
Directorio Activo.

⚫ Usuarios: los datos de una cuenta de usuario global se

almacenan en el Directorio Activo y son conocidos por
todos los ordenadores del dominio.
⚫ Existe una única cuenta (con un único SID) que es visible
en todos los ordenadores del dominio. En este caso,
cuando una persona se conecta a cualquiera de dichos
ordenadores utilizando para ello su cuenta de usuario
global, el ordenador en cuestión realiza una consulta al
Directorio Activo (a alguno de los DCs) para que se
validen las credenciales del usuario. El resultado de la
validación es enviado al ordenador miembro (y de éste al
usuario), concediendo o rechazando la conexión.
⚫ Grupos: permite agrupar de forma lógica a los
usuarios de un sistema, y establecer permisos
y restricciones a todo el grupo de una vez.
⚫ son almacenados en el Directorio Activo y que
por tanto son visibles desde todos los
ordenadores del dominio (y, en algunos casos,
también de otros dominios del bosque).
⚫ En el directorio pueden crearse dos tipos de
grupos: grupos de distribución y grupos de
seguridad.
⚫ Equipos: una cuenta de equipo por cada
uno de los ordenadores miembro de un
dominio. Entre otras informaciones, en
cada una de estas cuentas se almacena el
nombre del ordenador, así como un
identificador único y privado que lo
identifica unívocamente. Este identificador
es análogo al SID de cada cuenta de
usuario, y sólo lo conocen los DC s y el
propio ordenador miembro. Es por tanto,
un dato interno del sistema operativo, y ni
siquiera el administrador puede cambiarlo.
 Unidades Organizativas

⚫ Su objetivo es estructurar u organizar el conjunto

de los objetos del directorio, agrupándolos de
forma coherente. En el Directorio Activo, las
unidades organizativas permiten:
− Conseguir una estructuración lógica de los objetos del directorio,
de acuerdo con la organización de la empresa (por departamentos
o secciones, sedes, delegaciones geográficas, etc.).
− Delegar la administración. Cada unidad organizativa puede
administrarse de forma independiente. En concreto, se puede
otorgar la administración total o parcial de una unidad
organizativa a un usuario o grupo de usuarios cualquiera.
− Establecer de forma centralizada comportamientos distintos a
usuarios y equipos. A cada unidad organizativa pueden vincularse
políticas de grupo, que aplican comportamientos (generalmente en
forma de restricciones) a los usuarios y equipos cuyas cuentas se
ubican en dicha unidad. De esta forma, podemos aplicar restricciones
distintas a subconjuntos de usuarios y equipos del dominio, en
función exclusivamente de la unidad organizativa donde se ubican.
− Por ejemplo, podemos limitar a los usuarios del departamento de
administración para que sólo puedan utilizar ciertas aplicaciones,
pero que esto no se aplique a los usuarios del departamento de
informática.