El siguiente trabajo est basado en la Gua detallada de administracin de Active Directory de
Microsoft. Esa Gua explica en forma clara las tareas que se deben realizar mediante Active Directory para administrar la seguridad de Usuarios, Grupos y Equipos de un servidor Microsoft 2003. Las diferencias entre el funcionamiento de Active Directory 2003 y 2008 son menores, por lo que lo mostrado en el trabajo no difiere a lo que se realizara en Server 2008. Adems para poder dar un mayor entendimiento al trabajo, se ha agregado los conceptos bsicos que se deben manejar al momento de trabajar en un ambiente Cliente Servidor Microsoft, es decir, la definicin de Dominios de Microsoft, importancia de Active Directory al momento de ordenar una estructura de red y por ltimo la Unidades Organizativas de Microsoft.
Que es el concepto de Dominio de Microsoft
El concepto de Dominio de Microsoft nace con la versin NT 4.0 de Microsoft por el ao 1995. Bsicamente una estructura de red puede ser del tipo de Grupo de Trabajo (Workgroup) o de Dominio.
Una arquitectura de grupo de trabajo est enfocada principalmente a una cantidad pequea de equipos, Las principales caractersticas son: Todos los equipos se encuentran en el mismo nivel, ninguno tiene el control sobre otro. Cada equipo dispone de un conjunto de cuentas de usuario. Para iniciar sesin en cualquier equipo del grupo de trabajo, debe disponer de una cuenta en equipo. Normalmente, no hay ms de veinte equipos. Un grupo de trabajo no est protegido con contrasea. Todos los equipos deben encontrarse en la misma red local o subred. Por lo general no existe un servidor que comparte archivos, es decir cada computador puede o no dar acceso a carpetas propias.
Una arquitectura de Dominio significa que existe a lo menos un servidor que cumple el rol de Autentificar a cada usuario de computador para ingresar dentro del dominio de computadores que atiende. Adems esos computadores deben estar creados en un listado de Computadores vlidos, es decir, el servidor mantiene un listado de Usuarios y Computadores y dependiendo del perfil asignado a cada uno, tiene ms o menos privilegios dentro de ese Dominio
Las principales caractersticas son: Uno o ms equipos son servidores. Los administradores de red utilizan los servidores para controlar la seguridad y los permisos de todos los equipos del dominio. As resulta ms sencillo efectuar cambios, ya que stos se aplican automticamente a todos los equipos. Los usuarios de dominio deben proporcionar una contrasea o algn otro tipo de credencial cada vez que accedan al dominio. Si dispone de una cuenta de usuario en el dominio, puede iniciar sesin en cualquier equipo del dominio sin necesidad de disponer de una cuenta en dicho equipo. Probablemente solo podr hacer cambios limitados a la configuracin de un equipo porque los administradores de red con frecuencia desean garantizan un nivel de homogeneidad entre los equipos. Un dominio puede incluir miles de equipos. Los equipos pueden encontrarse en diferentes redes locales. Originalmente Windows NT server 4.0 soportaba 1 dominio, pero con la versin Server 2003, Microsoft crea el concepto de Bosque, que viene a significar la coexistencia de varios Dominios por servidor.
Qu es Active Directory
Active Directory permite organizar la estructura de red en forma ms amigable para los administradores, ya que representa en forma visual los componentes de la red.
Su definicin exacta dice que Active Directory permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory almacena informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequea hasta directorios con millones de objetos
Administracin Bajo Server NT 4.0.
La administracin de NT 4.0 Server se basaba en una Interfaz en donde se podan crear tanto usuarios como grupos. Sin embargo su visualizacin era la de un listado alfabtico, lo que dificultaba entendimiento cuando la cantidad de usuarios y Grupos aumentaba. Por otra parte los recursos de la red (Carpetas compartidas, impresoras) se administraban directamente sobre el servidor, por lo que no exista una interfaz que permitiera una administracin centralizada de todos los recursos.
Con Windows 2000 se inicia el uso de Active Directory. Este entrega una visin ms clara de la estructura de red que se est administrando. En ella es posible organizar la infraestructura computacional incluso de acuerdo a la estructura Organizacional de la Empresa.
Que son la Unidades Organizativas de Microsoft. Las Unidades organizativas de MicrosoftUna OU es, un tipo particular y til objeto de Active Directory contenido en un dominio. Las OUs son tiles porque pueden usarse para organizar cientos de objetos en el directorio dentro de unidades administrables. Usaremos las OUs para agrupar y organizar objetos con propsitos administrativos, como delegar derechos administrativos y asignar polticas para una coleccin de objetos como una unidad simple. Lo que se gana con las OU: - Permiten organizar objetos en un dominio - Nos permiten delegar control administrativo - Simplifican la administracin de los recursos comnmente agrupados.
Usar el complemento Usuarios y equipos de Active Directory Para iniciar el complemento Usuarios y equipos de Active Directory 1. Haga clic en el botn Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuacin, haga clic en Usuarios y equipos de Active Directory. 2. Expanda Contoso.com haciendo clic en el signo +. En la Figura 2 se muestran los componentes clave del complemento Usuarios y equipos de Active Directory.
Figura 2. Complemento Usuarios y equipos de Active Directory Reconocer objetos de Active Directory Los objetos descritos en la tabla siguiente se crean durante la instalacin de Active Directory. Icono Carpeta Descripcin
Dominio El nodo raz del complemento representa el dominio que se va a administrar.
Equipos Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre stos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versin anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos.
Sistema Contiene informacin de sistemas y servicios de Active Directory.
Usuarios Contiene todos los usuarios del dominio. En una actualizacin, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario. Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Descripcin
Usuario Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso. Icono Objeto Descripcin
Contacto Un objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar sesin como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrnico.
Equipo Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, sta es la cuenta de equipo.
Unidad organizativa Las unidades organizativas se utilizan como contenedores para organizar de manera lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro.
Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administracin de cantidades grandes de objetos.
Carpeta compartida Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio.
Impresora compartida Una impresora compartida es una impresora de red que se ha publicado en el directorio. Agregar una unidad organizativa Este procedimiento crea una unidad organizativa adicional en el dominio Contoso. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay lmite de niveles de anidacin. Estos pasos se basan en la estructura de Active Directory establecida en las guas detalladas de infraestructura comn. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo Contoso.com; es decir, donde se hace referencia a Cuentas en el procedimiento, sustituya Contoso.com. Para agregar una unidad organizativa 1. Haga clic en el signo + situado junto a Cuentas para expandirlo. 2. Haga clic con el botn secundario del mouse en Cuentas. 3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construccin como el nombre de la nueva unidad organizativa y, a continuacin, haga clic en Aceptar. Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes:
Unidad organizativa Ingeniera bajo Cuentas.
Unidad organizativa Fabricacin bajo Cuentas.
Unidad organizativa Consumidor bajo la unidad organizativa Fabricacin. (Para ello, haga clic con el botn secundario del mouse en Fabricacin, seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.)
Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricacin. Haga clic en Fabricacin para que su contenido se muestre en el panel de la derecha. Al terminar, debera tener la jerarqua que aparece a continuacin en la Figura 3.
Figura 3. Nuevas unidades organizativas
Crear una cuenta de usuario El siguiente procedimiento crea la cuenta de usuario Juan Garca en la unidad organizativa Construccin. Para crear una cuenta de usuario 1. Haga clic con el botn secundario del mouse en la unidad organizativa Construccin, seleccione Nuevo y, a continuacin, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento. 2. Escriba la informacin del usuario que se muestra en la Figura 4.
Figura 4. Cuadro de dilogo Usuario nuevo 3. Haga clic en Siguiente para continuar. 4. Escriba pass#word1 en los cuadros Contrasea y Confirmar contrasea y, despus, haga clic en Siguiente. Nota: a menudo, el papel que desempean las contraseas en la proteccin de la red de una organizacin se subestima y no se tiene en cuenta. Las contraseas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organizacin. La familia Windows Server 2003 dispone de una nueva caracterstica que requiere contraseas complejas para todas las cuentas de usuario de nueva creacin. Para obtener informacin sobre esta caracterstica, consulte la gua detallada de 5. Haga clic en Finalizar para aceptar la confirmacin en el siguiente cuadro de dilogo. Acaba de crear una cuenta para Juan Garca en la unidad organizativa Construccin. Para agregar informacin adicional sobre este usuario 1. Seleccione Construccin en el panel de la izquierda, haga clic con el botn secundario del mouse en Juan Garca en el panel de la derecha y, a continuacin, haga clic en Propiedades. 2. Agregue ms informacin sobre el usuario en el cuadro de dilogo Propiedades en la ficha General como se muestra en la Figura 5 y, a continuacin, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la informacin opcional del usuario que se puede definir.
Figura 5. Informacin adicional del usuario
Mover una cuenta de usuario Los usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto. Por ejemplo, en este procedimiento, Juan Garca se mueve de la divisin Construccin a la divisin Ingeniera. Para mover un usuario de una unidad organizativa a otra 1. Haga clic en la cuenta de usuario Juan Garca en el panel de la derecha, haga clic con el botn secundario del mouse en ella y, despus, haga clic en Mover. 2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo, como se muestra en la Figura 6.
Figura 6. Lista de unidades organizativas disponibles 3. Haga clic en la unidad organizativa Ingeniera y luego en Aceptar. Crear un grupo Para crear un grupo 1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, haga clic en Nuevo y despus en Grupo. 2. En el cuadro de dilogo Nuevo objeto Grupo, escriba Herramientas para el nombre. 3. Revise el tipo y el mbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuracin predeterminada y, a continuacin, haga clic en Aceptar para crear el grupo Herramientas.
El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribucin se pueden utilizar para confeccionar listas de distribucin de correo electrnico.
El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede contener el grupo. mbito Visibilidad Puede contener Dominio local Dominio Grupos Usuario, Dominio local, Global o Universal Global Bosque Grupos Usuarios o Global Universal Bosque Grupos Usuarios, Global o Universal
Agregar un usuario a un grupo Para agregar un usuario a un grupo 1. Haga clic en la unidad organizativa Ingeniera en el panel de la izquierda. 2. Haga clic con el botn secundario del mouse en el grupo Herramientas en el panel de la derecha y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha Miembros y luego en Agregar. 4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba Juan y, a continuacin, haga clic en Aceptar.
Figura 7. Agregar Juan Garca al grupo de seguridad Herramientas 5. En la pantalla Propiedades de herramientas, compruebe que Juan Garca es un miembro del grupo de seguridad Herramientas y, despus, haga clic en Aceptar. Publicar una carpeta compartida Para que los usuarios puedan encontrar ms fcilmente las carpetas compartidas, puede publicar informacin sobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se comparte automticamente. ste es un proceso que consta de dos pasos: en primer lugar se debe compartir la carpeta y despus publicarla en Active Directory. Para compartir una carpeta 1. Utilice el Explorador de Windows para crear una nueva carpeta llamada Especificaciones de ingeniera en uno de los volmenes del disco. 2. En el Explorador de Windows, haga clic con el botn secundario del mouse en la carpeta Especificaciones de ingeniera y, a continuacin, haga clic en Propiedades. Haga clic en Compartir y despus en Compartir esta carpeta. 3. En la pantalla Propiedades de especificaciones de ingeniera, escriba ES en el cuadro Nombre del recurso y, a continuacin, haga clic en Aceptar. Cierre el Explorador de Windows cuando termine. Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el botn Permisos. Publicar la carpeta compartida en el directorio Para publicar la carpeta compartida en el directorio 1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, seleccione Nuevo y, a continuacin, haga clic en Carpeta compartida. 2. En la pantalla Nuevo objeto Carpeta compartida, escriba Especificaciones de ingeniera en el cuadro Nombre. 3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y haga clic en Aceptar. 4. Haga clic con el botn secundario del mouse en Especificaciones de ingeniera y, despus, haga clic en Propiedades. 5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a continuacin, haga clic en Agregar para continuar. Haga clic dos veces en Aceptar para finalizar. Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido. Buscar una carpeta compartida Para buscar una carpeta compartida 1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en Contoso y, a continuacin, haga clic en Buscar. 2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba especificaciones en el cuadro de texto Palabras clave y, despus, haga clic en Buscar ahora. 3. En Resultados de la bsqueda, haga clic con el botn secundario del mouse en Especificaciones de ingeniera y, a continuacin, haga clic en Abrir.
Figura 8. Buscar carpetas compartidas en Active Directory Nota: cuando se rellene la carpeta compartida ES, su contenido estar disponible a los usuarios finales mediante bsquedas en el directorio. Los usuarios pueden asignar tambin este recurso compartido como una unidad de red. 4. Cierre el cuadro de dilogo Buscar carpetas compartidas. Publicar una impresora Puede publicar tambin informacin sobre impresoras compartidas en Active Directory. La informacin de las impresoras compartidas de Windows NT debe publicarse manualmente. La informacin de las impresoras compartidas de la familia Windows Server 2003 o de la familia Windows 2000 Server se publica automticamente en el directorio cuando se crea una impresora compartida. Utilice Usuarios y equipo de Active Directory para publicar manualmente informacin sobre impresoras compartidas. El subsistema de impresin propaga de forma automtica al directorio los cambios realizados en los atributos de la impresora (ubicacin, descripcin, carga de papel. etc.). Nota: en esta seccin se describen los pasos para configurar y publicar una impresora que imprime directamente en un archivo. Si desea utilizar una impresora basada en IP, LPT o USB, debe modificar los pasos de estos procedimientos. Agregar una nueva impresora Para agregar una nueva impresora 1. Haga clic en el botn Inicio, en Impresoras y faxes y, despus, haga doble clic en Agregar impresora. Aparece el Asistente para agregar impresoras. Haga clic en Siguiente. 2. Haga clic en Impresora local conectada a este equipo, desactive la casilla de verificacin Detectar e instalar mi impresora Plug and Play automticamente y, a continuacin, haga clic en Siguiente. 3. En la lista desplegable Usar el puerto siguiente, haga clic en la opcin ARCHIVO: (Imprimir a archivo) y despus en Siguiente. 4. En el panel de resultados Fabricante, haga clic en Genrico. En el panel de resultados Impresoras, haga clic en Genrico / slo texto. Haga clic en Siguiente para continuar. 5. En la pgina Dar un nombre a su impresora, cambie el nombre de la impresora por Imprimir a archivo y, despus, haga clic en Siguiente. 6. En la pgina Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuacin, haga clic en Siguiente. 7. Para Ubicacin en la pgina Ubicacin y comentario, escriba Oficinas centrales Edificio 4 Oficina 2200. Haga clic en Siguiente para continuar. 8. Haga clic en Siguiente para imprimir una pgina de prueba y, despus, haga clic en Finalizar para completar la instalacin. 9. Cuando se le indique, escriba Impresin de prueba como nombre del archivo para la pgina de prueba de la impresora. Cuando termine, haga clic en Aceptar. La impresora se publica automticamente en Active Directory. Buscar una impresora en Active Directory Para buscar una impresora en Active Directory 1. En la pantalla Impresoras y faxes, haga doble clic en el icono Agregar impresora. 2. Aparece el cuadro de dilogo Asistente para agregar impresoras. Haga clic en Siguiente para continuar. 3. Haga clic en Una impresora de red y luego en Siguiente. 4. Haga clic en Buscar una impresora en el directorio (opcin predeterminada) y, despus, haga clic en Siguiente. 5. Aparece el cuadro de dilogo Buscar impresoras. Haga clic en Buscar ahora para buscar todas las impresoras publicadas en Active Directory. Si define opciones de bsqueda adicionales, puede limitar los resultados a las caractersticas disponibles o a la ubicacin de la impresora. Seguimiento de la ubicacin de impresoras: utilice el seguimiento de la ubicacin de impresoras para simplificar la bsqueda de impresoras. Cuando el seguimiento de la ubicacin de impresoras est habilitado y el usuario hace clic en Buscar ahora, Active Directory muestra todas las impresoras que coinciden con la consulta del usuario que se encuentran en la ubicacin del usuario. Los usuarios pueden cambiar el campo de ubicacin haciendo clic en Examinar para buscar impresoras en otras ubicaciones. Para obtener ms informacin sobre cmo configurar el seguimiento de la ubicacin de impresoras, consulte el Centro de ayuda y soporte tcnico de Windows Server 2003. 6. En Resultados de la bsqueda en la pgina Buscar impresoras, haga doble clic en Imprimir a un archivo para instalar la impresora. Haga clic en S (opcin predeterminada) para definir esta impresora como la impresora predeterminada del sistema y, despus, haga clic en Siguiente.
Figura 9. Buscar impresoras compartidas en Active Directory 7. Haga clic en Finalizar para completar la instalacin de la impresora. 8. Cierre la ventana Impresoras y faxes. Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 o Windows XP en Active Directory. La manera ms sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque tambin se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandos publicar todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32. Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs Para publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs 1. Haga clic en el botn Inicio y luego en Ejecutar. Escriba cmd en el cuadro de texto y, despus, haga clic en Aceptar. 2. Escriba cd \ windows\ system32 y presione ENTRAR. 3. Escriba cscript pubprn.vbs prserv1 "LDAP://ou=cuentas,dc=contoso,dc=com" y, despus, presione ENTRAR. Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad organizativa Cuentas. La secuencia de comandos slo copia el subconjunto siguiente de atributos de impresora, que incluyen la ubicacin, el modelo, el comentario y la ruta de acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003; se proporciona como una herramienta manual para publicar impresoras en Active Directory nicamente desde servidores de impresin de bajo nivel. 4. Cierre la ventana. Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active Directory 1. Haga clic con el botn secundario del mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y despus en Impresora. 2. Aparece el cuadro de dilogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido y, a continuacin, haga clic en Siguiente. Los usuarios finales podrn realizar operaciones perfectamente integradas desde las impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar los controladores de impresora directamente desde el servidor. Crear un objeto de equipo Un objeto de equipo se crea de forma automtica cuando un equipo se une a un dominio. Si no desea otorgar a todos los usuarios la capacidad de agregar equipos al dominio, puede crear objetos de equipo antes de que el equipo se una a un dominio de forma manual o mediante secuencias de comandos. Para agregar manualmente un equipo al dominio 1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, seleccione Nuevo y, despus, haga clic en Equipo. 2. Para el nombre del equipo, escriba Heredado y, a continuacin, haga clic en Siguiente. 3. Si el equipo es un sistema administrado, puede especificar el GUID del sistema. En este ejemplo, deje el GUID del sistema en blanco, haga clic en Siguiente y despus en Finalizar. 4. Para administrar este equipo desde el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en el objeto de equipo y, a continuacin, haga clic en Administrar. De forma opcional, es posible seleccionar a qu usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio. Cambiar el nombre, mover y eliminar objetos Se puede cambiar el nombre y eliminar todos los objetos del directorio, y se puede mover la mayor parte de los objetos a contenedores distintos. En el siguiente procedimiento se ampla el ejemplo para crear un objeto de equipo. Para mover el objeto de equipo Heredado a un contenedor diferente 1. En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniera. 2. Haga clic con el botn secundario del mouse en el objeto de equipo Heredado y, despus, haga clic en Mover. 3. Expanda la unidad organizativa Recursos y, a continuacin, haga clic para resaltar Servidores como se muestra en la Figura 10.
Figura 10. Mover un objeto de equipo 4. Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidad organizativa Recursos.