lopezatienza.com

CAPÍTULO 3 ACTIVE DIRECTORY

3.1 INTRODUCCIÓN A LOS SERVICIOS DE DIRECTORIO

Todo el mundo utiliza directorios, dentro o fuera de la computadora. Definidos como un listado que ayuda a localizar cosas, los directorios incluyen horarios de autobuses, índices de libros, guía telefónicas…..etc.

Los directorios son esenciales para el funcionamiento de una red informática. La falta de coherencia que puede ir unida a los directorios tiene grandes consecuencias en una red de cualquier tamaño.

Los servicios de directorio reales no existen en las redes Microsoft Windows NT (la versión 4 es la única que empezó a implementar servicios de directorio).

El servicio de directorio informático considerado como el mejor antes de Microsoft Windows 2000 era Servicios de directorio de Novell (NDS, Novell Directory Services), incorporado en NetWare 4.0 en 1993. Desafortunadamente para Novell, Netware 4.0 tenía sus propios problemas, lo que le impidió convertirse en dominante en el terreno de las redes.

Definición: El servicio de directorio es un lugar centralizado donde almacenar la información administrativa que se emplea para gestionar el sistema informático completo.

Al ser al mismo tiempo una herramienta de administración y una herramienta para el usuario final, los servicios de directorio necesitan completar  estas necesidades:

• Acceso a todos los servidores, aplicaciones y recursos por medio de un inicio de sesión único.
• Réplica multimaestro. Toda la información se distribuye por todo el sistema y se replica en varios servidores.
• Búsquedas en “páginas blancas” basadas en atributos, por ejemplo, por nombre o tipo de archivo.
• Búsquedas en “páginas amarillas” basadas en clasificaciones, por ejemplo, todas las impresoras de la tercera planta o todos los servidores de la oficina de Madrid.

3.2 ACTIVE DIRECTORY EN MICROSOFT W2000 SERVER

Active Directory es el servicio de directorio que acompaña a Windows 2000 Server. Básicamente Active Directory es una base de datos que almacena información acerca de los objetos de red. Estos objetos tienen asociadas una serie de propiedades o atributos por defecto, aunque el administrador puede optar por añadir en algún momento más atributos a un determinado tipo de objetos. Todas las definiciones de objetos vienen recogidas en el esquema de Active Directory, con el fin de controlar todo lo que está definido en él.

La especificación de Active directory aconseja usar varios controladores de dominio con el fin de mantener réplicas sincronizadas del directorio, de forma que el sistema sea tolerante a fallos en caso de que caigan algunos servidores.

            Existen muchas ventajas que hacen de Active Directory un atractivo servidor de directorio. De entre todas las ventajas que ofrece, estas son las más significativas:

• Integración con DNS: en la identificación y conexión con equipos y usuarios de las redes TCP/IP interviene el DNS, que convierte el nombre de un dominio a una dirección IP.
• Tolerancia a fallos: gracias a que se pueden multiplicar los controladores de dominio que replican su información cada cierto tiempo.
• Escalabilidad: consiste en que Active Directory se puede extender a través de múltiples dominios.
• Administración basada en directivas: el uso de las directivas de grupo simplifica la tarea administrativa, especificando un conjunto de reglas que deben cumplir los usuarios de un grupo.
  

Active Directory posee numerosas ventajas, no sólo el poder manejar instalaciones de cualquier tamaño, desde un único servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. AD también simplifica  enormemente el proceso de localizar recursos a lo largo de una gran red.

Active Directory permite un punto único de administración para todos los recursos públicos, entre los que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de datos, accesos Web, usuarios, , otros objetos arbitrarios, servicios,..etc. Utiliza el DNS de Internet como servicios de localización, organiza los objetos en dominios dentro de una jerarquía de unidades organizacionales (OU’s) y permite que varios dominios se conecten en una estructura en árbol.

3.3 TERMINOLOGÍA Y CONCEPTOS DE ACTIVE DIRECTORY

3.3.1 Espacio de nombres y resolución de nombres

Cada servicio de directorio es un espacio de nombres, un área en la cual un nombre se puede resolver. Un listado de programas televisivos constituye un espacio de nombres en el cual se puede traducir un programa de televisión al canal correspondiente. Un sistema de archivos informático constituye un espacio de nombres en el cual se puede relacionar un nombre de archivo con el propio archivo.

Active directory constituye un espacio de nombres en el cual se puede relacionar el nombre de un objeto del directorio con el propio objeto. La resolución de nombres es el proceso de relacionar un nombre con algún objeto o información que representa dicho nombre.

3.3.2 Objetos

Un objeto es un conjunto determinado de atributos que representa algo concreto, como un usuario, una impresora o un aplicación. Los atributos contienen la información que describe lo que se identifica por medio del objeto de directorio. Ente los atributos de un usuario se podrían incluir el nombre de usuario, los apellidos y la dirección de correo electrónico.

3.3.3 Contenedor

            Un contenedor se parece a un objeto en el hecho de que posee atributos y forma parte del espacio de nombres de Active Directory. Sin embargo, a diferencia de un objeto, un contenedor no representa algo concreto. Es un almacén de objetos y otros contenedores. Un ejemplo de contenedores son las unidades organizativas (se verán más adelante).

3.3.4 Arbol y subárbol

            Un árbol en Active Directory es simplemente una extensión de la idea de árbol de directorios. Es una jerarquía de objetos y contenedores que muestra cómo se relacionan los objetos, o el camino desde un objeto hasta otro. Los puntos finales del árbol son generalmente objetos.  Básicamente es un conjunto de dominios que confian entre sí y que pertencen a un espacio de nombres contiguo. El primer dominio de un árbol es el dominio raiz, y el resto de dominios que cuelgan de este se denominan secundarios o subdominios de forma más general.

            Un subárbol es cualquier camino sin interrupciones del árbol, incluyendo todos los miembros de cada contenedor de dicho camino.

3.3.5 Nombre distinguido

            Todo objeto en Active Directory tiene lo que se denomina un nombre distinguido (DN). Los nombres distinguidos identifican el dominio que contiene el objeto además del camino completo a través de la jerarquía del contenedor utilizado para alcanzar el objeto. Ej: Un DN podría ser CN = María Perez, OU = Investigación, DC scribes.local. Este DN identifica al objeto usuario “María Usuario” en el departamento de investigación, en el dominio scribes.com

Nota: CN se interpreta como nombre propio (Common Name), OU como unidad organizacional y DC significa controlador de dominio.

3.3.6 Esquema

En el contexto del Active Directory, el esquema son todos los fragmentos que componen un Active Directory: los objetos, atributos, contenedores, etc…. . Active Directory posee un esquema predeterminado que define la mayoría de la clases de objetos habituales, como usuarios, grupos, computadoras, departamentos, políticas de seguridad y dominios. El esquema se puede actualizar de forma dinámica.

3.3.7 Dominio

            Un dominio agrupa a todos los objetos de una red. Las listas de control de acceso (ACL) especifican el acceso a un dominio, esto es, quienes (usuarios) pueden acceder a un objeto y con qué permisos. Active Directory pueden contener uno o más dominios. Los dominios tienen asociados un nombre de dominio DNS y por lo menos un controlador de dominio.

3.3.8 Unidad Organizativa

            Una unidad organizativa (OU) es un contenedor de Active Directory que puede agrupar usuarios, grupos y otras unidades organizativas, pero no puede contener objetos de otro dominio. Su administración puede delegarse en un administrador individual o en un grupo. Se usan para representar las estructura lógicas y jerárquicas existentes en una organización, para configurar las cuentas y recursos en función de dicha estructura y con la unidad más pequeña a la que se puede asignar una configuración de Directiva de grupo o en la que se puede delegar la autoridad administrativa.

3.3.9 Grupos

Es un objeto de Active Directory que puede contener usuarios, equipos y otros grupos. Son útiles para administrar el acceso de equipos y usuarios a recursos compartidos.

3.3.10 Controlador de dominio

Es un servidor que almacena una copia del directorio de dominio. Todo dominio tiene por lo menos un controlador de dominio.

3.3.11 Bosque

            Es el agrupamiento de uno o más árboles, a través del uso de relaciones de confianza. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo. La confianza es una relación que permite que los usuarios de un dominio sean autenticados por el controlador del otro dominio, es decir que pueden acceder a los recursos que se encuentran en el otro dominio cuando lo necesiten.

3.3.12 Catálogo Global

            Almacena una réplica (copia) completa de todos los objetos del directorio de su dominio y una réplica parcial de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque.

3.4 INSTALACIÓN DEL ACTIVE DIRECTORY

La gestión del servicio de directorio Active Directory es una parte importante del proceso de administración de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas que se proporcionan para este propósito. Casi todas las herramientas utilizan complementos de Microsoft Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa Herramientas administrativas del menú Inicio incluye algunos complementos, pero para el funcionamiento diario se deberán añadir otros manualmente mediante la función Agregar complemento de la MMC.

Se descubrirá que algunas de las herramientas de administración de Active Directory son programas que se ejecutan cada día, mientras que otras solo son necesarias durante la instalación de Active Directory a ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de administración de Active Directory son los siguientes:

• Asistente para instalación de Active Directory crea controladores de dominio, nuevos dominios, árboles y bosques.
• Dominios y confianzas de Active Directory cambia el modo del dominio, gestiona las relaciones de confianza entre dominios y configura los sufijos del nombre principal de usuario (UPN).
• Usuarios y equipos de Active Directory crea, gestiona y configura los objetos Active Directory.
• Sitios y servicios de Active Directory crea y configura sitios dominio y gestiona el proceso de replica del controlador de dominio.
• Esquema de Active Directory modifica el esquema que define los objetos y propiedades de Active Directory.

Además de los complementos MMC, Microsoft Windows 2000 Server incluye utilidades independientes para importar y exportar información a y desde Active Directory.

3.4.1 Asistente para la instalación de Active Directory

A diferencia de la versión 4 y anteriores de Microsoft Windows NT Server, Windows 2000 Server no permite designar un sistema como controlador de dominio durante la instalación del sistema operativo. Cada servidor de Windows 2000 se instala como un sistema independiente o un miembro de un dominio. Cuando la instalación esta completa se puede promocionar al servidor al estado de controlador de dominio utilizando el Asistente para instalación de Active Directory de Windows 2000. Esta herramienta proporciona una gran flexibilidad adicional a los administradores de Active Directory porque los servidores se pueden promover o degradar en cualquier momento, mientras que los servidores Windows NT 4 se designan irrevocablemente como controladores de dominio durante el proceso de instalación.

Algo que también ha desaparecido es la distinción entre controladores principales de dominio y controladores de dominio de reserva. Los controladores de dominio Windows 2000 son todos parejos en un sistema de replica con múltiples maestros. Esto significa que los administradores pueden modificar los contenidos del árbol de Active Directory de cualquier servidor que funcione como controlador de dominio. Esto es un avance muy importante desde el sistema de replica de un solo maestro de Windows NT 4, en el cual un administrador sólo puede cambiar el controlador principal de dominio (PDC, Primary Domain Controller) para que después los cambios se repliquen a todos los controladores de dominio de reserva (BDC, Backup Domain Controller).

Otra ventaja de Windows 2000 es que se puede utilizar el Asistente para instalación de Active Directory para degradar un controlador de dominio de nuevo a un servidor independiente o miembro.

En Windows NT 4, una vez que se instala un servidor come controlador de dominio, es posible degradarlo de PDC a BDC, pero no se puede eliminar su estado de controlador de dominio completamente, excepto reinstalando el sistema operativo.

La función básica del Asistente para instalación de Active Directory es configurar un servidor para que funcione come controlador de dominio, pero dependiendo del estado actual de Active Directory en la red, esta tarea puede tomar distintas formas. Si se instala el primer Windows 2000 Server de la red, antes de la promoción del sistema a controlador de dominio crea un Active Directory completamente nuevo con esa computadora alojando el primer dominio del primer árbol del primer bosque.

Aunque es cierto que todos los controladores de dominio son iguales, algunos son más iguales que otros. Al primer controlador de dominio de Active Directory se le asigna automáticamente la función de servidor del Catálogo global. En cada dominio se necesita al menos un servidor de catálogo global. El catálogo global es una base de datos que contiene una réplica completa de todos los objetos de directorio en su host dominio además de una réplica parcial de todos los objetos de directorio en cada dominio del bosque. La función del catálogo global es permitir la búsqueda de información de directorio y proporcionar información universal de los miembros del grupo durante el inicio de sesión. Cuando se instalan los controladores adicionales, el papel del catálogo global puede ser reasignado, o puede designarse más de una máquina como servidor el catálogo global. Al primer controlador de dominio se le asignan también las funciones de maestro de operaciones. Un único controlador debe desempeñar cada una de esas funciones porque existen funciones que no se pueden ejecutar en diferentes sitios al mismo tiempo (por ejemplo la creación de identificadores de seguridad la debe hacer un único controlador para asegurarse de que cada identificador es único). Bajo muchas circunstancias no se tendrá que cambiar la ubicación de ninguna de las funciones del maestro de operaciones, pero convendría estar familiarizado con cada función y qué ocurre en caso de fallo.

3.4.2 Preparación de la instalación

Para promover Windows 2000 Server a controlador de dominio, primero hay que completar todo el proceso de instalación del sistema operativo. Después del ultimo reinicio, hay que iniciar sesión en la maquina utilizando una cuenta de administrador.

NTFS

Para alojar Active Directory, el servidor debe tener una partición NTFS. NTFS  es una versión actualizada del sistema de archives introducido en el primer lanzamiento de Windows NT. Cuando se crean nuevas particiones NTFS durante una instalación de Windows 2000 o se actualizan las particiones NTFS existentes creadas con versiones anteriores de Windows NT, el sistema utiliza NTFS. Si se opta por instalar Windows 2000 en un sistema con solo particiones FAT, se debe convertir al menos una partición a NTFS antes de poder utilizar el Asistente para instalación de Active Directory. Esto se puede hacer utilizando la utilidad Convert.exe desde el símbolo del sistema o la pantalla Administración de discos del complemento Administración de equipos de MMC.

Las particiones FAT Y FAT32 constituyen un grave agujero de seguridad. Hay que evitarlas en los equipos de Windows Server 2000, especialmente en los controladores de dominio.

3.4.3 Instalación del Primer controlador de dominio

Siguiendo el patrón de un asistente estándar, la instalación de Active Directory en un servidor es una cuestión de responder a las solicitudes en una secuencia de pantallas. Windows 2000 incorpora vínculos al asistente en la página de Active Directory de la página principal de Administre su servidor de Windows 2000. Esta página se muestra en el explorador Microsoft Internet Explorer automáticamente después de la instalación del SO. Esta página Web local esta diseñada para guiar al administrador a través de los procesos necesarios para configurar un nuevo servidor mediante preguntas al estilo de los asistentes y vínculos a las herramientas apropiadas para cada tarea.

Para los usuarios nuevos de Windows Server 2000 esta página funciona como una combinación de minitutorial y de lista de comprobación de los procedimientos de configuración del servidor. Para lanzar el Asistente para instalación de Active Directory desde aquí, hay que seleccionar Agregar o quitar función, reconocer que está dodo conectado, preparado y listo para funcionar, luego hay que seleccionar la función Controlador de dominio (Active Directory) para añadirla. Los usuarios más avanzados pueden eludir este paso y lanzar directamente el Asistente para instalación de Active Directory empleado Dcpromo.exe.

Una vez iniciado el Asistente para instalación de Active Directory, el administrador tendrá que realizar los siguientes pasos:

1.       Tipo de Controlador de Dominios: Después de una pantalla de bienvenida, el Asistente para instalación pregunta sobre la acción que se va a realizar, basándose en el estado actual de Active Directory en el sistema. Si el servidor ya es un controlador de dominio, el asistente solo proporciona la opción de degradar el sistema de nuevo a servidor independiente o miembro. En un equipo que no es un controlador de dominio, el asistente muestra la pantalla Tipo de controlador de dominios, la cual pide que se seleccione una de las siguientes opciones:

·         Controlador de dominio para un nuevo dominio: Instala Active Directory en el servidor y lo designa como el primer controlador de dominio de un nuevo dominio.

·         Controlador de dominio adicional para un dominio existente: Instala Active Directory en el servidor y replica la información del directorio desde un dominio existente.

Para instalar el primer servidor Active Directory en la red, se selecciona la opción Controlador de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS .

2.       Cuando se instala el primer servidor de Active Directory de la red hay que seleccionar la opción de Controlador de dominio para un dominio nuevo de la página Tipo de Controlador de dominio. Esto indica al asistente que debe instalar los archivos de soporte para Active Directory, crear el nuevo dominio y registrarlo en DNS. El nuevo dominio se configura también en una de las tres maneras siguentes:

·          Domino en nuevo bosque: Configura el nuevo controlador de dominio para que albergue el primer dominio de un nuevo árbol que no es parte de ningún bosque ya existente.

·          Dominio secundario en un árbol de dominios existentes: Configura el nuevo controlador de dominio para que albergue un dominio secundario de un dominio ya existente.

·          Árbol de dominios en un bosque existente : Configura el nuevo controlador de dominio para que albergue el primer dominio de un árbol nuevo que forma parte de un bosque ya existente.

Como se trata del primer servidor de Active Directory de la red, hay que seleccionar Dominio en un nuevo bosque. Cuando se instalen otros controladores de dominio se pueden utilizar estas mismas opciones crear bosques nuevos o para llenar el bosque ya existente con más árboles y más dominios.

3.       Nombre de nuevo Dominio: Para identificar el controlador de dominio en la red se debe especificar un nombre DNS valido para el dominio que se esta creando.
Este nombre no tiene por que ser el mismo que el del dominio que utiliza la empresa para su presencia en Internet (aunque puede serlo). El nombre tampoco tiene que estar registrado en el Centro de información de redes de Internet (InterNIC, Internet Network información), la organización responsable de mantener el registro de los nombres DNS en los dominios de nivel superior com, net, org y edu. Sin embargo, el use de un nombre de dominio registrado es una buena idea si los usuarios de la red van a acceder a los recursos de Internet al mismo tiempo que a los recursos de red locales, o si los usuarios externos a la organización accederán a los recursos de red locales vía Internet.
Cuando los usuarios acceden a los recursos de Internet al mismo tiempo que a los recursos de la red Windows 2000, existe la posibilidad de que un nombre de dominio no registrado entre en conflicto con un dominio de Internet registrado que utilice el mismo nombre. Cuando los usuarios de Internet tengan permiso para acceder a los recursos de la red utilizando protocolos estándar de la capa de aplicación como HTTP y FTP, puede surgir alguna confusión si los usuarios internos y los externos deben utilizar diferentes nombres de dominio.

Nota: Para utilizar un nombre de dominio registrado en Internet (como Microsoft.com) como raiz del nombre de dominio completo hay que introducir el nombre de dominio de Internet en el cuadro Nombre DNS completo del nuevo dominio, con extensión .com. O para especificar que el dominio es un dominio local que no forma parte de un dominio registrado en Internet, hay que escribir el nombre de dominio y la extensión .local.

4.       Nombre de dominio NetBIOS: Después de introducir un nombre DNS para el dominio, el sistema solicita un equivalente NetBIOS para el nombre del dominio para que los utilicen los clientes que no soporten Active Directory. Los sistemas Windows 2000 todavía utilizan el espacio de nombres NetBIOS para sus nombres de equipo, pero Active Directory utiliza la nomenclatura DNS para los dominios. Windows NT 4 y los sistemas Microsoft Windows 9x utilizan nombres NetBIOS para todos los recursos de la red, incluyendo los dominios.

Si se dispone de clientes de nivel inferior en la red (esto es, Windows NT 4, Windows 9x, Microsoft Windows para Trabajo en grupo o Cliente de red Microsoft para sistemas MS-DOS), estos solo serán capaces de ver el nuevo dominio por medio del nombre NetBIOS. La pantalla Nombre de dominio NetBIOS contendrá una sugerencia para el nombre, basándose en el nombre DNS especificado, qua se puede utilizar o bien se puede reemplazar con un nombre qua se elija qua tenga 15 caracteres o menos.

5.       Después de especificar los nombres de dominio, el asistente solicita las ubicaciones de la base de datos, los archivos de registro y el volumen del sistema de Active Directory. La base de datos de Active Directory contendrá los objetos Active Directory y sus propiedades, mientras qua los archivos de registro registran las actividades del servicio de directorio. Los directorios para estos archivos se especifican en la pantalla ubicación de la base de datos. La ubicación predeterminada tanto para la base de datos como para los registros es la carpeta %SystemRoot%\Ntds del volumen del sistema, pero se pueden modificar esas ubicaciones como sea necesario; de hecho, probablemente se debería, para no tener todos los directorios en la misma cesta.

 

6.       La pantalla Volumen del sistema compartido permite especificar la ubicación de lo qua se convertirá en el recurso compartido Sysvol del controlador de dominio. El volumen del sistema es un recurso compartido que contiene información del dominio que se replica al resto de controladores de dominio de la red. De forma predeterminada, el sistema crea este recurso compartido en la carpeta %SystemRoot%\Sysvol en la unidad de disco del sistema.
La base de datos, los registros y el volumen del sistema de Active Directory tiene que situarse en volúmenes que utilicen el sistema de archivos NTFS 5. Si el asistente detecta que alguno de los volúmenes escogidos no utiliza NTFS 5, habrá que convertirlos o seleccionar otro volumen antes de poder completar el proceso de instalación de Active Directory.

Como Active Directory escribe a menudo en la base de datos y en los registros al mismo tiempo, Microsoft recomienda no almacenarlos en el mismo disco duro. Esto no es una cuestión demasiado importante en un único controlador de dominio a otra red pequeña, pero en una red empresarial con frecuentes actualizaciones del servicio de directorio y muchos controladores de dominio replicando sus bases de datos, la carga del almacenamiento de información puede ser significativa, por lo que se recomienda encarecidamente la utilización de discos independientes.
La recomendación de situar los archivos de la base de datos y de registro indica la utilización de discos duros independientes, no distintos volúmenes de la misma unidad de disco. Esto se debe a que las restricciones físicas del mecanismo de desplazamiento de las cabezas del disco pueden ser responsables de la reducción del rendimiento del disco. Las cabezas de una única unidad de disco no pueden estar en dos posiciones al mismo tiempo, por lo que el dispositivo debe realizar escrituras en la base de datos o en los registros de forma consecutiva. Cuando los archivos se almacenan en discos independientes, las escrituras puede realizarse simultáneamente. también es preferible utilizar unidades SCSI para este propósito en lugar de las EIDE, porque SCSI es más adecuado para ejecutar comandos simultáneos en múltiples dispositivos.

7.       Instalación de DNS: En este punto, el Asistente para instalación de Active Directory tiene toda la información de configuración necesaria para instalar Active Directory y promover el servidor a controlador de dominio. El sistema comprueba que los nombres de dominio suministrados no los utiliza ya en servidor DNS a otros equipos de la red. Si, por ejemplo, el nombre NetBIOS seleccionado ya lo esta utilizando un dominio Windows NT 4 en la red, el asistente pide que se seleccione otro nombre.

8.       El asistente también determina si el servidor DNS que alojara el dominio soporta el protocolo de Actualización dinámica. Si el sistema no puede contactar con el servidor DNS especificado en la configuración TCP/IP cliente del equipo, o si el servidor DNS especificado no es capaz de dar soporte a un dominio Windows 2000, el asistente se ofrece a instalar Microsoft DNS Server y configurarlo para que funcione como servidor autorizado para el dominio. La pantalla Configurar DNS permite especificar si se desea instalar el servidor DNS o configurar uno personalmente. Si se opta por utilizar otra maquina para el servidor DNS, es preciso instalarlo y configurarlo antes de poder completar la instalación de Active Directory.  Una vez que el asistente ha entrado en contacto con el servidor de DNS que va a ofrecer servicio de localización para el nuevo dominio ( o se le ha indicado que instale DNS en el servidor), se pregunta si se desea configurar los permisos de usuario y de grupo que sean compatibles con servidores anteriores a Windows 2000 o con servidores de Windows Server 2000. En este punto hay que escoger la opción Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 y Windows Server 2000 (todo por motivos de seguridad).

9.       Finalización de la instalación de Active Directory: Después de que el asistente contacte con el servidor DNS que proporcionara el servicio localizador para el nuevo dominio, se completa la instalación y configuración de Active Directory sin mas introducción de datos por parte del usuario. El asistente registra todas las actividades que se producen durante el proceso de instalación en dos archivos llamados Dcpromo.log y Dcpromoui.log, localizados en la carpeta %SystemRoot%\debug. La instalación puede durar varios minutos, después de lo cual hay que reiniciar el sistema para que tengan efecto los cambios. El asistente crea una cuenta de administrador para el nuevo dominio utilizando la misma contraseña que tiene la cuenta de administrador local con la que se ha iniciado sesión antes de iniciar la instalación de Active Directory.

3.4.5 Instalación de un Controlador de dominio de Réplica

Las replicas proporcionan tolerancia a fallos en un dominio Active Directory, y pueden reducir el trafico entre redes permitiendo a los clientes de la red autenticarse utilizando un controlador de dominio en el segmento local. Cuando un controlador de dominio no funciona correctamente o no esta disponible por algún motivo, sus replicas asumen automáticamente sus funciones. Incluso un dominio pequeño necesita al menos dos controladores de dominio para mantener esta tolerancia a fallos.

Para crear una réplica de un dominio existente, hay que ejecutar el Asistente para instalación de Active Directory en un Windows 2000 Server recién instalado después de unirse al dominio que se trata de replicar. En el equipo que se une al dominio, se puede realizar la unión por primera vez y suministrar las credenciales administrativas que permiten al sistema crear un objeto equipo en el dominio, o bien se puede crear el objeto equipo manualmente por medio de Usuarios y equipos de Active Directory. Después de unirse al dominio, hay que iniciar sesión en el sistema utilizando la cuenta de administrador local y ejecutar el asistente desde la página Configurar el servidor o ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.

Cuando aparece la pantalla Tipo de controlador de dominios en el asistente, hay que seleccionar Controlador de dominio adicional para un dominio existente y especificar el nombre DNS del dominio que se va a replicar. Después hay que suministrar el nombre de usuario, la contraseña y el nombre de dominio de una cuenta con privilegios administrativos en el dominio.

El asistente instala Active Directory en el servidor, crea la base de datos, los registros y el volumen del sistema en las ubicaciones especificadas, registra el controlador de dominio en el servidor DNS y replica la información de un controlador de dominio para ese dominio existente.

Una vez que la replica del controlador de dominio esta en funcionamiento, no es distinguible del controlador de dominio existente, al menos en lo que concierne a la funcionalidad de los clientes. Las replicas funcionan como parejos, a diferencia de los servidores Windows NT, que están designados como controladores de dominio principales o de reserva. Los administradores pueden modificar el contenido de Active Directory (tanto los objetos como el esquema) de cualquier controlador de dominio, y los cambios se replicaran al resto de controladores de dominio de ese dominio.

Cuando se crea una replica, el Asistente para instalación de Active Directory configura automáticamente el proceso de replica entre los controladores de dominio. Se puede personalizar el proceso de replica utilizando Sitios y servicios de Active Directory, que se incluye en Windows 2000 Server.

Nota: Al primer controlador de dominio de cada dominio se le asignan determinadas funciones de Maestro de operaciones del dominio. Estas funciones no se duplican a los controladores de dominio adicionales o réplicas cuando se crean, sino que permanecen en el controlador de dominio original a menos que se trasladen de manera explícita.

3.4.6 Creación de un dominio secundario en un árbol existente

Cuando se crea el primer dominio Windows 2000 de la red, también se esta creando el primer árbol del bosque. Se puede poblar el árbol a medida que se crean dominios adicionales haciéndolos secundarios de dominios existentes. Un dominio secundario es uno que utiliza el mismo espacio de nombres que un dominio principal. Este espacio de nombres se establece por el nombre DNS del dominio principal, al cual el secundario añade un nombre precedente para el nuevo dominio. Por ejemplo, si se crea un dominio llamado Miempresa.com, un secundario de ese dominio podría llamarse algo así como Investigacion.miempresa.com. Por regla general, los dominios secundarios reflejan las divisiones geográficas, departamentales o política de una organización, pero se puede utilizar cualquier principio para el diseño del árbol que se desee. Un dominio principal puede tener cualquier numero de secundarios, y la estructura del árbol puede extenderse a través de cualquier numero de generaciones, lo que permite utilizar un único espacio de nombres para crear un árbol de dominios que refleje la estructura de toda la organización.

Para instalar Active Directory y crear un dominio secundario:

1.       Unir el Windows 2000 Server en el que se desea crear el Dominio secundario al dominio principal suministrando las credenciales administrativas o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory (meter el equipo en el dominio). 

2.       Iniciar sesión en el sistema utilizando la cuenta de administrador local

3.       Ejecutar el Asistente para instalación de Active Directory desde la página Configurar el servidor o ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.
Un dominio secundario no es una replica; es un dominio completamente independiente situado en el mismo árbol. Por lo tanto, cuando el asistente muestra la pantalla Tipo de controlador de dominios, hay que seleccionar Controlador de dominio para un nuevo dominio. En el cuadro de dialogo Crear árbol o dominio secundario, hay que seleccionar Crear un nuevo dominio secundario en un árbol de dominios existente. El asistente solicita a continuación el nombre DNS del dominio que ha de ser el principal del secundario. Después de suministrar esto, hay que especificar el nombre corto para el dominio secundario. El nombre corto es el nombre que se añadirá al nombre DNS del dominio principal para formar el nombre completo del dominio secundario. Por ejemplo, para crear un dominio secundario llamado Investigacion.miempresa.com, se especifica Miempresa.com como nombre del dominio principal a investigación como nombre corto del secundario.

4.       Al igual que durante la creación del primer dominio del árbol, hay que proporcionar un nombre NetBIOS para el nuevo dominio de no mas de 15 caracteres. En el ejemplo anterior, el dominio podría llamarse Investigación. también hay que suministrar las credenciales de una cuenta que tenga privilegios administrativos en el dominio principal. Después, el asistente completa la instalación de Active Directory y pide que se reinicie el sistema.

 3. 4. 7 Creación de un nuevo árbol en un bosque existente

Además de crear dominios secundarios en un árbol Active Directory, también se pueden crear árboles completamente nuevos, formando de este modo un bosque. Cada árbol de un bosque tiene su propio espacio de nombres independiente, pero todos los árboles comparten el mismo esquema y configuración.

Si, por ejemplo, se modifica el esquema para añadir atributos personalizados a un objeto particular de un árbol, estos atributos estarán presentes en el mismo tipo de objeto del resto de los árboles del bosque.

Antes de crear un nuevo árbol en un bosque existente, el nuevo Windows 2000 Server debe unirse al dominio raíz de ese bosque. El dominio raíz es el primer dominio creado en el bosque y el sistema se une a ese dominio iniciando sesión en el y especificando las credenciales de una cuenta administrativa en el dominio o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory.

Una vez que el equipo posee una cuenta en el dominio raíz del bosque, se puede ejecutar el Asistente para instalación de Active Directory desde la pantalla Configurar el servidor o ejecutar Dcpromo.exe desde el cuadro de dialogo Ejecutar. Cuando aparece el cuadro de dialogo Tipo de controlador de dominio hay que seleccionar Controlador de dominio para un nuevo dominio. Después hay que seleccionar Crear un nuevo árbol de dominios en el cuadro de dialogo Crear árbol o dominio secundario y seleccionar Situar este nuevo árbol de dominios en un bosque existente en el cuadro de dialogo Crear o unir bosque.

Para crear el nuevo árbol, primero hay que especificar el nombre DNS del dominio raíz del bosque y después el nombre DNS que se desea asignar al primer dominio del nuevo árbol. El segundo nombre DNS no debe ser parte de ningún espacio de nombres existente en el bosque. Es decir, si un árbol ya utiliza Miempresa.com como nombre DNS de su dominio raíz, no se puede utilizar el nombre Investigacion.miempresa.com para el dominio raíz del nuevo árbol, incluso si ese nombre de dominio exacto no existe en el árbol Miempresa.com.

Después de suministrar los nombres DNS se facilita un equivalente NetBIOS de la forma usual y se proporcionan las credenciales de una cuenta administrativa en el dominio raíz del árbol. El asistente completa entonces el proceso de instalación y pide que se reinicie el sistema.

3. 4. 8 Creación de un nuevo bosque

La diferencia fundamental entre la creación de un nuevo árbol y la creación de un nuevo bosque es que los bosques tienen cada uno sus propios esquema y configuración individuales. El escenario mas obvio en el que una red debería tener múltiples bosques es cuando dos empresas con instalaciones Active Directory existentes se fusionan, y las suficientes diferencias de esquema y configuración existentes entre las dos hace que la unión de ambas en un solo bosque sea impracticable.

El proceso de crear un nuevo bosque es el mismo que el de la creación del primer dominio de la red.

3. 4. 9 Degradación de controladores de dominios

Una diferencia fundamental entre los controladores de dominio Windows 2000 y los controladores de dominio Windows NT es que se puede degradar un controlador de dominio Windows 2000 a servidor independiente o miembro. Cuando se ejecuta el Asistente para instalación de Active Directory, el programa determina que el sistema ya esta funcionando como controlador de dominio y solo proporciona la opción de degradar el servidor.

La pantalla Configurar el servidor también detecta el estado del sistema y proporciona una única opción.

La degradación de un controlador de dominio elimina la base de datos de Active Directory de la máquina, borra todas las referencias a ella del servidor DNS y devuelve las cuentas de seguridad del sistema a un estado idéntico al de un servidor Windows 2000 recién instalado. Si el dominio al que pertenece el sistema tiene controladores de dominio de replica en la red, el servidor permanece como, miembro de ese dominio después de la degradación.

Si el servidor es el único controlador de dominio de un dominio particular, la degradación provoca que el dominio se elimine completamente de Active Directory, y que el sistema se convierta en un servidor independiente hasta que se una a otro dominio. Si el servidores el único controlador del dominio raíz de un bosque, hay que destruir el resto de dominios del bosque antes de que se pueda proceder con la degradación del controlador de dominio raíz. Para degradar el controlador hay que seguir estos pasos:

1.       Abrir el Asistente para instalación de Active Directory ejecutando Dcpromo.exe. Si se muestra un cuadro de mensaje, no se debe proceder con la degradación del servidor hasta que se este seguro de que existe al menos otro servidor de Catalogo global en el dominio.

2.       Pulsar Siguiente.

3.       Proporcionar una contraseña para la cuenta administrador del servidor. Después se mostrara un resumen que indica lo que se ha seleccionado y el resultado que se obtendrá si se sigue adelante.

Se abrirá la pantalla Configurando Active Directory que proporcionara una descripción sobre la marcha de los procesos que se estén realizando. Esto durara al menos unos minutos, y algunas veces realmente mucho mas, dependiendo de la maquina. Cuando la configuración termine, el servidor ya no será un controlador de dominio y se pedirá que se pulse Finalizar y, después, Reiniciar ahora.

3.4.10 Cambio de la identificación de un controlador de dominio

La modificación de la identidad de red de un controlador de dominio puede llevarse a cabo en un solo paso si el dominio es un dominio puro de Windows Server 2000. Si en el dominio sigue habiendo controladores de dominio de Windows NT4 o controladores de dominio de Windows 2000, sólo se puede cambiar el nombre del controlador de dominio degradándolo, cambiándole el nombre y volviendo a promoverlo.

Para modificar la identidad del controlador de dominio hay que hacer lo siguiente:

1.       Si el dominio contiene todavía controladores de dominio más antiguos hay que degradar el controlador de dominio.

2.       Hay que abrir la herramienta Sistema del Panel de control y pulsar la pestaña Identificación de red.

3.       Hay que pulsar en Propiedades para abrir el cuadro de diálogo Cambios de Identificación. Hay que escribir el nuevo nombre del equipo.

Hay que intentar utilizar un nombre de equipo que sea a la vez compatible con DNS y con NETBIOS para que todos los tipos de clientes vean el mismo nombre de equipo. Para ello hay que hacer que el nombre tenga menos de quince caracteres de longitud y no utilice asteriscos ni puntos. También es preferible evitar el empleo de espacios, caracteres de subrayado y guiones.

Después de realizar la modificación de la identidad de red del equipo, si hubo que degradar al principio el controlador de dominio, se puede volver a promover a controlador de dominio.

3.4.11 Establecimiento de un servidor de Catalogo global

El primer controlador de dominio Windows 2000 de un bosque es automáticamente un servidor de Catalogo global. El Catalogo global (CG) contiene una replica completa de todos los objetos de directorio del dominio en que se aloja además de una replica parcial de todos los objetos de directorio de cada dominio del bosque. El objetivo de un CG es proporcionar autenticación a los inicios de sesión. Además, como un CG contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios. Una única consulta al CG produce la información sobre donde se puede encontrar el objeto.

Mientras la empresa tenga controladores de dominio Windows NT, cada dominio debe tener al menos un servidor de Catalogo global.

De forma predeterminada, habrá un CG, pero cualquier controlador de dominio se puede configurar como servidor de Catalogo global. Si se necesitan servicios de inicio de sesión y búsqueda adicionales, se pueden tener múltiples servidores de Catalogo global en el dominio.

Para convertir un controlador de dominio en un servidor de Catalogo global, hay que seguir estos pasos:

1.       Escoger Sitios y servicios de Active Directory en el menú Herramientas administrativas.

2.       Abrir Sites y seleccionar el sitio correspondiente.

3.       Abrir Servers y seleccionar después el controlador de dominio que se desea convertir en servidor de Catalogo global.

4.       Seleccionar NTDS Settings en el panel derecho y escoger propiedades en el menú Acción.

5.       En la pestaña General, seleccionar la casilla de verificación Catalogo global.

Mientras la empresa opere en modo mixto (esto es, que haya otros controladores de dominio además de los controladores de dominio Windows 2000), hay que tener al menos un servidor de Catalogo global por dominio. Una vez que se hayan actualizado todos los controladores de dominio a Windows 2000, se puede cambiar el dominio a modo nativo.

3.5 USO DE LAS HERRAMIENTAS ADMINISTRE SU SERVIDOR Y CONFIGURAR SU SERVIDOR

Lo primero que se ve después de iniciar una sesión en un sistema Windows Server 2000 recién instalado o actualizado es el asistente. Administre su servidor o el asistente Configurar el servidor (si es el primer servidor de la red). El asistente Administre su servidor proporciona una interfaz sencilla para acceder a herramientas de administración importantes. El asistente Configurar el servidor proporciona una interfaz más potente para agregar y eliminar diversas funciones de servidor, tales como el controlador de dominios de Active Directory, el servidor DHCP, el servidor DNS y el servidor WINS. Aunque todas estas tareas se pueden realizar mediante el uso de consolas MMC, el asistente Configurar el servidor hace sencillo y rápido la instalación de cada servicio. También indica algunos pasos de configuración que no están incluidos en otros asistentes.

Para agregar o eliminar funciones del servidor hay que utilizar el asistente Configurar el servidor. Para realizar esto hay que pulsar el vínculo Agregar o quitar función en el asistente Administrar el servidor. Entonces hay que seguir los siguientes pasos:

1.       Pulsar siguiente en la primera página, verificar que el servidor está conectado a la red y está adecuadamente configurad y entonces pulsar Siguiente de nuevo. El asistente configurar el servidor analiza la configuración de red del servidor y entonces presenta una lista de las funciones del servidor que se pueden elegir.

2.       Si el asistente no puede encontrar otros servidores en la red aparece la página de opciones de configuración, que proporciona la posibilidad de configurar el servidor con funciones típicas del primer servidor en la red o elegir funciones individualmente.

3.       Elegir una función del servidor de la lista y que se describe acontinuación:

o         Servidor de archivos, guía por los parámetros predeterminados de cuotas de disco del servidor. También ayuda a instalar la nueva y manejable consola MMC con la administración de servidores de archivos. Después lanza el Asistente para compartir una carpeta, que ayuda a compartir carpetas en la red.

o         Servidor de impresión, lanza el asistente para agregar impresoras y el Asistente par agregar controladores de impresora, que se puede utilizar para instalar nuevas impresoras y unidades de impresoras para clientes.

o         Servidor de aplicaciones(IIS, ASP.NET) , instala software de Servicios de Internet Information Server.

o         Servidor de correo(POP3,SMTP), instala software del servidor ligero de correo POP3 de Windows .Net, así como el servicio SMTP de IIS.

o         Terminal Server, instala los servicios del terminal server, habilitando al servidor para que proporcione servicios de terminal a varios clientes (se puede realizar administración remota mediante la característica de Escritorio remoto sin instalar los Servicios de Terminal Server).

o         Servidor de Acceso remoto/VPN, inicia el Asistente para instalación de acceso remoto y enrutamiento.

o         Controlador de dominio (Active Directory), inicia el asistente para la instalación de Active Directory (dcpromo.exe) y de forma opcional instala y configura DNS.

o         Servidor DNS,  instala el software de servidor DNS e inicia el Asistente para configurar un servidor DNS.

o         Servidor DHCP, instala el software del servidor DHCP.

o         Servidor de multimedia de transmisión por secuencias, instala servicios de Windows Media.

o         Servidor WINS, instala el software de servidor WINS.

NOTA: ADMINISTRE SUS SERVIDOR TAMBIÉN NOS PERMITE INSTALAR ACTIVE DIRECTORY.

3.6 COFIGURACIÓN DE ACTIVE DIRECTORY

3.6.1 Dominios y confianzas de Active Directory

Dominios y confianzas de Active Directory de Windows 2003 es un complemento MMC que se puede utilizar para consultar un árbol que contiene todos los dominios del bosque. Con este complemento se pueden administrar las relaciones de confianza entre los dominios y cambiar el modo del dominio. Dominios y confianzas de Active Directory también proporciona acceso a Usuarios y equipos de Active Directory, que se puede utilizar para consultar y modificar las propiedades de los objetos individuales.

Inicio de Dominios y confianzas de Active Directory

Windows 2003 Server añade el complemento Administrador de Dominios y confianzas de Active Directory al menú Inicio de forma predeterminada, por lo que después de iniciar sesión utilizando una cuenta con privilegios administrativos se puede ejecutar la utilidad seleccionando Dominios y confianzas de Active Directory desde Herramientas administrativas en el grupo Programas del menú Inicio. El archivo del complemento MMC se llama Domain.msc, por lo que también se puede ejecutar el administrador desde el cuadro de dialogo Ejecutar ejecutando ese nombre de archivo.

Cuando se carga el Administrador de Dominios y confianzas de Active Directory, el árbol de la consola (a la izquierda) muestra todos los dominios del bosque como un árbol que se expande, partiendo de una raíz etiquetada como Dominios y confianza de Active Directory. El panel de resultados (a la derecha) muestra los secundarios del dominio seleccionado actualmente o, si se selecciona la raíz, los dominios raíz de todos los árboles del bosque. Las funciones que proporciona Dominios y confianzas de Active Directory están todas accesibles desde los menús Acción que se originan pulsando un nombre de dominio o el objeto raíz, además de dentro de la ventana Propiedades de un dominio.

3. 6. 2 Usuarios y equipos de Active Directory

El complemento Usuarios y equipos de Active Directory es la principal herramienta de los administradores de Active Directory, y es la herramienta que se utilizara mas a menudo para el mantenimiento diario del directorio. Usuarios y equipos de Active Directory muestra todos los objetos de un dominio por medio de una pantalla con un árbol expandible al estilo del Explorador de Windows.

Los cuadros de dialogo de cada objeto proporcionan acceso a las propiedades del objeto, que se pueden modificar para actualizar la información del usuario y las restricciones de la cuenta.

También se utiliza Usuarios y equipos de Active Directory para crear nuevos objetos y modelar la jerarquía del árbol creando y poblando objetos contenedores Como unidades organizativas (OU).

A) Inicio de Usuarios y equipos de Active Directory

Usuarios y equipos de Active Directory, como la mayoría de las herramientas de administración de Active Directory, es un complemento de la MMC. El archivo del complemento se llama Dsa.msc, y se puede ejecutar el administrador de una de tres formas.

·         Seleccionar Usuarios y equipos de Active Directory desde el grupo Herramientas administrativas en el grupo Programas del menú inicio.

·         Resaltar un dominio en el árbol de la consola del complemento Dominios y confianzas de Active Directory y escoger Administrar en el menú Acción. Esto abre un nuevo cuadro de dialogo de la MMC llamado Usuarios y equipos de Active Directory dejando la ventana Dominios y confianzas de Active Directory intacta.

·         Abrir el cuadro de dialogo Ejecutar desde el menú Inicio y ejecutar el archivo de complemento Dsa.msc.

Para realizar muchas de las funciones que proporciona el complemento Usuarios y equipos de Active Directory es necesario iniciar sesión en el dominio utilizando una cuenta que tenga privilegios administrativos. Se puede utilizar el Asistente para delegación de control para delegar tareas administrativas sobre objetos específicos a otros usuarios sin concederles acceso administrativo completo al dominio.

B) Tipos de objetos de Active Directory

Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades físicas, como equipos y usuarios, como las entidades lógicas, como grupos y unidades organizativas.

Modificando el esquema que controla la estructura del servicio de directorio, se pueden crear nuevos tipos de objetos en Active Directory y modificar los atributos de los tipos existentes. 

•  Dominio: Objeto raíz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio que está administrando actualmente el administrador.
• Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lógicas de objetos equipo, usuario y grupo.
• Usuario: Representa un usuario de la red y funciona como un almacén de información de identificación y autenticación.
• Equipo: Representa un equipo de la red y proporciona la cuenta de maquina necesaria para que el sistema inicie sesión en el dominio.
• Contacto: Representa un usuario externo al dominio para propósitos específicos como envío de correo electrónico; no proporciona las credenciales necesarias para iniciar sesión en el dominio.
• Grupo: Objeto contenedor que representa una agrupación lógica de usuarios, equipos a otros grupos (o los tres) que es independiente de la estructura del árbol de Active Directory. Los grupos pueden contener objetos de diferentes unidades organizativas y dominios.
• Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta compartida en un sistema Windows 2000.
• Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora compartida en un sistema Windows 2000.

C) Búsqueda de objetos

También se pueden buscar objetos específicos en todo Active Directory sin modificar lo que muestra el administrador. Si se selecciona el objeto dominio y se escoge Buscar en el menú Acción, se muestra el. cuadro de dialogo Buscar Usuarios, contactos y grupos, en el cual se puede especificar el tipo de objeto que se desea localizar, un dominio especifico o todo el directorio y el nombre y descripción del objeto.

El programa busca entonces en el CG que se creo automáticamente en el primer controlador del dominio para localizar el objeto deseado. El CG es un subconjunto de todo Active Directory que solo contiene los atributos mas comúnmente utilizados, lo que facilita la búsqueda de un objeto especifico. Sin el CG, la tarea de buscar en una instalación Active Directory que incluye controladores de dominio en ubicaciones remotas podría requerir un extenso trafico WAN que es tan lento como caro.

La pestaña Opciones avanzadas del cuadro de dialogo Buscar Usuarios, contactos y grupos utiliza la misma interfaz que la característica Filtro personalizado. De la misma forma, se pueden buscar objetos basándose en sus atributos. Si un atributo que se selecciona no es parte del CG, la búsqueda procederá inspeccionando el contenido real de los controladores de dominio de la red. En algunos casos, esto puede ralentizar considerablemente el proceso de búsqueda.

D) Creación de los objetos usuario

Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace posible:

·         Autentificar la identidad de la persona que se conecta a la red.

·         Controlar el acceso a los recursos del dominio.

·         Auditar las acciones realizadas utilizando la cuenta.

Para crear un usuario se abre la carpeta users del servidor à botón derecho à Nuevo usuario.

En el cuadro de dialogo Nuevo objeto, hay que especificar el nombre y apellidos del usuario y el nombre de inicio de sesión que proporcionara el usuario cuando se conecte a la red. El nombre de inicio de sesión de nivel inferior para el usuario (esto es, el nombre con el que iniciara sesión el usuario en las estaciones de trabajo Windows NT o Windows 9.x) aparece entonces automáticamente. El siguiente cuadro de dialogo proporciona un campo para la contraseña del objeto usuario y permite establecer opciones básicas para la contraseña y la cuenta para el usuario, como sigue:

·         El usuario debe cambiar la contraseña en el siguiente inicio de sesión.

·         El usuario no puede cambiar la contraseña.

·         La contraseña nunca caduca.

·         Cuenta deshabilitada.

Después de que una pantalla de resumen confirme la información introducida, Usuarios y equipos de Active Directory crea el objeto usuario en el contenedor seleccionado.

E) Configuración de los objetos usuario

Windows 2003 solo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al usuario todos los derechos y permisos, y la cuenta Invitado, que tiene derechos limitados. El resto de las cuentas las crea un administrador y son cuentas de dominio (validas a lo largo de todo el dominio de forma predeterminada) o cuentas locales (utilizables sólo en la máquina donde se crean).

Una instalación típica de Active Directory consiste normalmente en mas objetos usuario que de cualquier otro tipo, y la creación y gestión de los objetos usuario representa buena parte de la carga de administración de Active Directory. La tarea de crear manualmente un objeto usuario es idéntica a la de la creación de una unidad organizativa o cualquier otro objeto. después de seleccionar el contenedor en el que residirá el objeto usuario (normalmente, una OU), hay que seleccionar el contenedor y escoger Nuevo en el menú acción y seleccionar Usuario, o pulsar el botón Crear un nuevo usuario de la barra de herramientas de Usuarios y equipos de Active Directory, lo que produce el cuadro de dialogo.

Una vez que se ha creado un objeto usuario, se puede proceder con el proceso de configuración, en el cual se añade información sobre el usuario a la base de datos de Active Directory y se define el acceso a la red del usuario. El menú Acción que genera Usuarios y equipos de Active Directory cuando se pulsa sobre un objeto usuario contiene algunos de los comandos mas comúnmente utilizados por los administradores, además del acceso a la ventana Propiedades del usuario. Estos comandos son los siguientes:

• Agregar miembros a un grupo Genera un cuadro de dialogo desde el que se pueden seleccionar los grupos a los que pertenecerá el usuario.
• Asignaciones de nombres (Solo visible cuando están activas las Características avanzadas.) Permite a los administradores asignar certificados X.509 y nombres Kerberos al objeto usuario.
• Deshabilitar cuenta Impide que el usuario inicie sesión en la red utilizando la cuenta hasta que sea activada manualmente por un administrador.
• Restablecer contraseña Genera un cuadro de dialogo con el que se puede modificar la contraseña de inicio de sesión de la cuenta del usuario.
• Mover Permite a los administradores trasladar el objeto usuario a otro objeto contenedor (esto es, un dominio o una unidad organizativa) de Active Directory.
• Abrir la página principal Abre el navegador predeterminado del sistema y muestra el URL que aparece en el campo Página Web de la pestaña General de la ventana Propiedades del objeto usuario.
• Enviar mensaje de correo Abre el cliente de correo electrónico predeterminado del sistema y escribe la dirección de un mensaje utilizando la dirección de correo electrónico que aparece en el campo Correo electrónico de la pestaña General de la ventana Propiedades del objeto usuario.

Aunque Usuarios y equipos de Active Directory proporciona estas funciones en el menú Acción para que resulte mas cómodo, también se puede acceder a muchas de ellas a través de la ventana Propiedades del objeto usuario, que proporciona una interfaz completa para los atributos del objeto usuario.

Los atributos que aparecen en las pestañas de la ventana Propiedades son aquellos incluidos en el esquema predeterminado que utiliza Active Directory. Se puede modificar el esquema para crear atributos adicionales o cambiar los existentes utilizando el complemento Administrador del Esquema de Active Directory.

La pestaña General

La pestaña General contiene información básica sobre el usuario, incluyendo el nombre y apellidos que se especificaron al crear el objeto. Esta pestaña también posee campos para una frase descriptiva sobre el usuario, la ubicación de la oficina, el número de teléfono, la dirección de correo electrónico y el URL de la página Web del usuario. Aparte de los campos nombre, la información de esta pestaña es opcional y únicamente se utiliza como referencia. Los usuarios pueden buscar en Active Directory utilizando los valores de los atributos de esta (y otras) pestañas y la dirección de correo electrónico y el URL de la página Web del usuario se insertan automáticamente en las aplicaciones cliente apropiadas, pero estos campos no afectan al acceso a la red del usuario de ninguna forma palpable.

La pestaña dirección

En la pestaña dirección se encuentran los campos donde se puede insertar la información de la dirección de correo del usuario. Como en la pestaña General, estos son campos de referencia que no juegan un papel importante en la configuración del objeto.

La pestaña Cuenta

La pestaña Cuenta contiene el nombre de inicio de sesión de usuario que se especificó durante la creación del objeto además de su nombre de usuario de nivel inferior.

Los botones Horas de inicio de sesión a Iniciar sesión en proporcionan acceso a cuadros de dialogo que permiten restringir las horas y días de la semana a los que tiene permiso el usuario para iniciar sesión en la red y las estaciones de trabajo desde las que el usuario puede iniciar sesión en la red.

La casilla de verificación La cuenta esta bloqueada esta seleccionada si la cuenta del usuario ha sido desactivada, bien deliberadamente por un administrador o a causa de repetidos fallos al iniciar sesión. Desactivar esta casilla libera la cuenta y permite al usuario iniciar sesión de nuevo. El área Opciones de cuenta contiene numerosas opciones para la contraseña y la cuenta (algunas de las cuales están duplicadas en el cuadro de dialogo Nuevo objeto). Cuando se crean nuevas cuentas de usuario, las siguientes opciones deben ser seleccionadas o desactivadas:

·         El usuario debe cambiar la contraseña en el siguiente inicio de sesión Presenta al usuario un cuadro de dialogo en el siguiente inicio de sesión requiriéndole una nueva contraseña.

·         El usuario no puede cambiar la contraseña Impide que el usuario cambie su propia contraseña.

·         La contraseña nunca caduca Impide que la cuenta de usuario sea objeto de las directivas s de caducidad definidas en el cuadro La cuenta caduca.

·         La cuenta nunca caduca Impide que el usuario inicie sesión utilizando esta cuenta hasta que la casilla sea desactivada por un administrador.

La pestaña Miembro de

La pestaña Miembro de es donde se especifican los grupos de los que el usuario debería ser miembro. Si se pulsa el botón Agregar, se muestra una lista de objetos desde la que se pueden seleccionar los grupos apropiados. El botón Establecer grupo solo esta activo para usuarios de Macintosh. Los Servicios para Macintosh de Windows reconocen una afiliación de grupo única, normalmente el grupo con el que los usuarios de Macintosh comparten documentos en un servidor.

También se puede añadir un usuario a un grupo desde la pestaña Miembros de la ventana Propiedades de un objeto grupo.

Desbloqueo de cuentas de usuario

Si un usuario viola una directiva de grupo, como exceder el limite de intentos de inicio de sesión fallidos, directiva de grupo bloqueará la cuenta. Cuando una cuenta esta bloqueada, no se puede utilizar para iniciar sesión en el sistema. Para desbloquear una cuenta de usuario hay que seguir estos pesos:

1.       Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas.

2.       En el árbol de la consola hay que pulsar en la OU que contiene la cuenta bloqueada.

3.       Pulsar con el botón derecho del ratón en la cuenta de usuario en el panel de detalles y escoger Propiedades en el menú contextual.

4.       En la ventana Propiedades, hay que pulsar en la pestaña Cuenta.

5.       Desactivar la casilla de verificación junto a La cuenta esta bloqueada. Pulsar Aceptar.

De forma predeterminada, directiva de grupo no bloquea cuentas a causa de intentos de inicio de sesión fallidos. Se debería crear esta configuración por razones de seguridad

F) Mantenimiento de perfiles de usuario

Un perfil es un entorno personalizado específicamente para un usuario. El perfil contiene la configuración del escritorio y de los programas del usuario. Cada usuario tiene un perfil, tanto si el administrador lo configura como si no, porque se crea un perfil automáticamente para cada usuario cuando inicia sesión en un equipo. Los perfiles ofrecen numerosas ventajas:

·         Múltiples usuarios pueden utilizar el mismo equipo, con la configuración de cada uno recuperada al iniciar la sesión al mismo estado en que estaba cuando cerró la sesión.

·         Los cambios hechos por un usuario en el escritorio no afectan a otro usuario.

·         Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios a cualquier equipo de la red que ejecute Windows 2000 o Windows NT 4.

Desde el punto de vista de un administrador, la información del perfil puede ser una valiosa herramienta para configurar perfiles de usuario predeterminados para todos los usuarios de la red o para personalizar los perfiles predeterminados para diferentes departamentos o clasificaciones del trabajo. También se pueden configurar perfiles obligatorios que permitan a un usuario hacer cambios en el escritorio mientras esta conectado, pero no guardar ninguno de los cambios. Un perfil obligatorio siempre se muestra exactamente igual cada vez que un usuario inicia sesión. Los tipos de perfiles son los siguientes:

·         Perfiles locales: Perfiles creados en un equipo cuando un usuario inicia sesión. El perfil es especifico de un usuario, local al equipo y se almacena en el disco duro del equipo local.

·         Perfiles móviles: Perfiles creados por un administrador y almacenados en un servidor. Estos perfiles siguen al usuario a cualquier maquina Windows 2000 o Windows NT 4 de la red.

Perfiles locales

Los perfiles locales se crean en los equipos cuando los usuarios individuales inician sesión. En un equipo actualizado desde Windows NT 4, el perfil se almacena en la carpeta Perfiles de la partición raíz del sistema. En un equipo con una nueva instalación de Windows 2000, el perfil del usuario esta en la carpeta Documents and Settings.

La primera vez que un usuario inicia sesión en un equipo, se genera una carpeta de perfil para el usuario, y los contenidos de la carpeta Default User se copian en ella. Cualquier cambio realizado por el usuario al escritorio se almacena en ese perfil de usuario cuando  cierra la sesión.

Perfiles móviles

Los perfiles móviles son una gran ventaja para los usuarios que utilizan frecuentemente más de un equipo. Un perfil móvil se almacena en un servidor y, después de que el inicio de sesión del usuario sea autentificado en el servicio de directorio, se copia al equipo local. Esto permite al usuario tener el mismo escritorio, la configuración de las aplicaciones y la configuración local en cualquier maquina que ejecute Windows 2000 o Windows NT 4.

El funcionamiento es: se asigna una ubicación de un servidor para perfiles de usuario y se crea una carpeta compartida con los usuarios que tengan perfiles móviles. Se introduce una ruta de acceso a esa carpeta en la ventana propiedades de los usuarios. La siguiente vez que el usuario inicie sesión en un equipo, el perfil del servidor se descarga al equipo local. Cuando el usuario cierra la sesión, el perfil se almacena tanto localmente como en la ubicación de la ruta de acceso al perfil del usuario. La especificación de la ruta de acceso al perfil del usuario es todo lo que hace falta para convertir un perfil local en un perfil móvil, disponible en cualquier parte del dominio.

Cuando el usuario inicia sesión de nuevo, el perfil del servidor se compara con la copia en el equipo local y se carga para el usuario la más reciente. Si el servidor no esta disponible, se utiliza la copia local. Si el servidor no esta disponible y es la primera vez que el usuario ha iniciado sesión en el equipo, se crea un perfil de usuario localmente utilizando el perfil Default User. Cuando un perfil no es descargado a un equipo local a causa de problemas con el servidor, el perfil móvil no se actualiza cuando el usuario cierra la sesión.

Configuración de los perfiles móviles

Para configurar un perfil móvil simplemente hay que asignar una ubicación en un servidor y completar los siguientes pasos:

1.       Crear una carpeta compartida en el servidor para los perfiles.

2.      En la pestaña Perfil de la ventana Propiedades de la cuenta de usuario hay que proporcionar una ruta de acceso a la carpeta compartida, como \\nombre_del_servidor\carpeta_de_perfiles_compartida\%username%.

Una vez que se ha creado una carpeta de perfiles compartida en un servidor y se ha suministrado una ruta de acceso al perfil en la cuenta del usuario, se ha habilitado un perfil móvil. La configuración del usuario de su escritorio se copia y almacena en el servidor y estará disponible para el usuario desde cualquier equipo. Sin embargo, la mayor parte del tiempo no se deseará que los usuarios tengan que arreglárselas solos.

NOTA: El administrador debe darle todos los permisos sobre la carpeta compartida al usuario del perfil móvil (permisos en la pestaña compartir y en la de seguridad).

G) Creación de grupos

Los objetos grupo hacen posible la asignación de permisos y otros atributos de objeto a múltiples usuarios en una única operación, además de la distribución de correo electrónico a un gran número de direcciones. Puede haber objetos grupos en las unidades organizativas, en otros grupos (cuando el dominio esta operando en modo nativo) o directamente bajo el dominio raíz. Cuando se selecciona uno de estos objetos contenedor en Usuarios y equipos de Active Directory, se escoge Nuevo en el menú Acción y se selecciona Grupo, se muestra el cuadro de dialogo Nuevo objeto.

Para crear los grupos:

Seleccionar Usuarios y equipos de Active Directory desde el grupo Herramientas administrativas en el grupo Programas del menú inicio. Y dentro en la carpeta usuarios se pulsa botón derecho à Nuevo grupo

Como con otros objetos, primero hay que especificar un nombre (de hasta 64 caracteres) para el nuevo grupo y un nombre NetBIOS de nivel inferior equivalente (de hasta 15 caracteres). después hay que seleccionar una de las siguientes opciones de ámbito de grupo:

·         Dominio local: Un grupo Local de dominio puede contener objetos usuario, otros grupos Locales de dominio del mismo dominio, grupos Globales de cualquier dominio del bosque y grupos Universales.

·         Global: Un grupo Global puede contener objetos usuario y otros grupos Globales del mismo dominio

·         Universal: Un grupo Universal, el ámbito de grupo mas amplio, puede contener otros grupos Universales, grupos Globales y usuarios de cualquier dominio del bosque.

Después de seleccionar el ámbito del grupo hay que seleccionar uno de los tipos de grupos de la página siguiente.

·         Seguridad: Los grupos de seguridad están pensados para su inclusión en recursos de red como archivos a impresoras. La mayoría de los grupos son de seguridad.

·         Distribución: Los grupos de distribución están pensados únicamente para utilizarlos como listas de distribución de correo electrónico.

Cuando se pulsa Aceptar, el administrador crea el objeto grupo en el contenedor seleccionado

H) Configuración de los objetos grupo

La ventana Propiedades de un objeto grupo contiene hasta seis pestañas (dependiendo de si las Características avanzadas están activas).

La pestaña General

La pestaña General proporciona campos donde se puede insertar una descripción del objeto grupo, especifica el tipo y ámbito del grupo a incluye un campo de múltiples líneas para comentarios.

La pestaña Miembros

La pestaña Miembros es donde se especifican los objetos que van a ser los miembros del grupo. Pulsar el botón Agregar produce un cuadro de dialogo en el que se puede examinar Active Directory y seleccionar los objetos deseados.

La pestaña Miembro de

Cuando se opera en modo nativo, los objetos grupo de Active Directory pueden ser miembros de otros objetos. En la pestaña Miembro de se pueden seleccionar los grupos de los que el nuevo grupo va a ser miembro.

La pestaña Administrado por

La pestaña Administrado por permite especificar información sobre la persona responsable de administrar el objeto grupo.

NOTA: PARA LA ELIMINACIÓN DE UN GRUPO SE PULSA BOTÓN DERECHO SOBRE EL GRUPOà ELIMINAR. Y PARA CAMBIAR EL TIPO Y AMBITO DE UN GRUPO à BOTÓN DERECHO SOBRE EL GRUPO Y SELECCIONAR EL NUEVO ÁMBITO Y TIPO.

I) Creación de los objetos equipo

Además de objetos contenedor, objetos grupo y objetos usuario, Active Directory también tiene objetos que representan equipos. Para iniciar sesión en un dominio, un equipo Windows 2000 debe tener un objeto que lo represente en la jerarquía de Active Directory.

 

Para crear objetos equipo en el active directory tenemos dos formas:

1.       Cambiar la configuración del equipo cliente en las propiedades de MiPC. Aquí es donde se cambia un equipo de grupo de trabajo a dominio. Cuando se realiza este cambio, automáticamente se registra este equipo en el controlador de dominio.

2.       Mediante Usuarios y equipos de Active Directory se puede crear un objeto equipo. La diferencia con la forma anterior, es que el sólo hemos creado una referencia en el controlador de dominio. Pero hasta que el equipo no cambie de grupo de trabajo (configuración por defecto que tiene un equipo cuando se le instala el sistema operativo) a dominio, el equipo no queda totalmente registrado en el controlador de dominio.

J) Planificación de Unidades Organizativas

Las unidades organizativas (OU’s) son, como su nombre indica, herramientas para la organización de objetos en un dominio. Una OU puede contener cualquier colección de objetos de Active Directory como impresoras, equipos, grupos y otros.

 

En el pasado, un dominio que se hacía muy complicado se solucionaba dividiéndolo en varios. Las OU proporcionan una subestructura que es infinitamente más flexible. Se pueden organizar jerárquicamente en un dominio, y se puede delegar el control administrativo de funciones para una única OU o para un subárbol completo de OU (una OU es la menor entidad a la que se puede delegar control administrativo). Al mismo tiempo, las OU se pueden modificar, trasladar, renombrar e incluso borrar fácilmente. Otra venta es que a diferencia de los dominios, un subárbol de OU no requiere un controlador dominio.

Desafortunadamente, no hay ninguna regla prefijada que se puede aplicar en la decisión de si una red en expansión se debería dividir en dominios separados y cuándo se necesitan nuevas OUs.

Si se cumple alguno de los puntos siguientes, varios dominios podría ser la respuesta:

• Se necesita administración centralizada.
• La red abarca negocios competidores o empresas agrupadas.
• Partes de la red están separadas por enlaces muy lentos.
• Se necesitan diferentes directivas de cuentas. Dado que las directivas de cuenta se aplican en el nivel del dominio, directivas diferenciadoras deberían necesitar dominios separados.

La siguiente lista describe situaciones que demandan el uso de OUs:

• Se necesita administración localizada o muy controlada.
• La estructura de la organización necesita de la organización de los objetos de la red en contenedores separados.
• La estructura que se desea separar es probable que cambie en algún momento.

Así que, en general, cuando la situación demande una estructura flexible, incluso fluida, las OU’s son la respuesta.

Las OUs son sólo contenedores. No proporcionan pertenencia a grupos y no son objetos principales de seguridad. Los derechos y permisos se conceden a los usuarios mediante la pertenencia a grupos. Después de que se hayan construido los grupos hay que usar las OU’s para organizar los grupos de objetos y asignar valores de la directiva de grupos.

K) Creación de unidades organizativas

Las OU’s se crean fácilmente y aparecen como carpetas de una estructura de dominios. Los siguientes pasos describen cómo crear una OU:

 

• Elegir Usuarios y equipos de Active Directory del menú Herramientas administrativas.
• Pulsar con el botón derecho del ratón en el dominio y seleccionar Nuevo y después    Unidad Organizativa.
• En el cuadro de diálogo Unidad Organizativa escribir el nombre de la unidad y pulsar Aceptar

Traslado de unidades organizativas

Uno de los aspectos más útiles de las OU’s es que se pueden trasladar de un contenedor o incluso desde un dominio a otro. Los siguientes pasos describen cómo trasladar una OU:

• Elegir Usuarios y equipos de Active Directory del menú Herramientas administrativas.
• Pulsar con el botón derecho del ratón en la OU y seleccionar Mover en el menú de acceso directo..
• En el cuadro de diálogo Mover seleccionar la nueva ubicación de la OU y pulsar aceptar.
  

Eliminación de unidades organizativas

La eliminación de las unidades organizativas sigue los mismo pasos previos que en los casos descritos anteriormente. Hay que elegir en este caso la función Eliminar. Una OU se puede eliminar fácilmente, teniendo especial cuidado, ya que al eliminarlas también se elimina todo su contenido.

<< Volver al capitulo anterior  || >> Ir al capitulo siguiente

Autor: Antonio Lopez Atienza