configuracion del directorio activo en...

Introducción

Esta guía es una introducción a la administración del servicio Active Directory

(Directorio Activo) de Windows Server 2003. Las herramientas administrativas de

Active Directory simplifican la administración del servicio de directorio.

Se pueden utilizar las herramientas estándar o Microsoft Management Console (MMC)

para crear herramientas personalizadas centradas en tareas de administración únicas.

Puede combinar varias herramientas en una única consola. También puede asignar

herramientas personalizadas a administradores individuales con responsabilidades

administrativas específicas. Las herramientas administrativas de Active Directory sólo

se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes

herramientas administrativas de Active Directory están disponibles en el menú

Herramientas administrativas:

• Usuarios y equipos de Active Directory

• Dominios y confianzas de Active Directory

• Sitios y servicios de Active Directory

También puede administrar Active Directory de forma remota desde un equipo que no

sea un controlador de dominio, como un equipo que ejecute Windows XP Professional.

Para ello, debe instalar el Paquete de herramientas de administración de Windows

Server 2003. El complemento Esquema de Active Directory es una herramienta

administrativa de Active Directory para administrar el esquema. No está disponible de

forma predeterminada en el menú Herramientas administrativas y debe agregarse

manualmente.

Configuración Directorio Activo en Windows Server 2000/2003

CONFIGURACION DEL DIRECTORIO ACTIVO EN WINDOWS SERVER 2000/2003

Fuente: www.microsoft.comAsignatura: Sistemas DistribuidosTutor: Iván Sánchez NievesSemestre IX - NocturnoFundación Universitaria San MartínPrograma de Ingeniería de SistemasMontería, Córdoba, Colombia

http://www.microsoft.com/

Para los administradores avanzados y los especialistas de soporte técnico de redes,

existen muchas herramientas de línea de comandos que pueden utilizar para

configurar, administrar y solucionar problemas de Active Directory. También puede

crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory

(ADSI). En los discos de instalación del sistema operativo se incluyen varias secuencias

de comandos de ejemplo.

Requisitos previos

• Parte 1: Instalar Windows Server 2003 como un controlador de dominio

• Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un

dominio

• Guía detallada de configuración de controladores de dominio adicionales.

Requisitos de esta guía

• Para realizar los procedimientos que se describen en este documento debe haber

iniciado sesión como usuario con privilegios administrativos.

• Si trabaja en un controlador de dominio, es posible que el complemento Esquema de

Active Directory no esté instalado. Para instalarlo:

• En el símbolo del sistema, escriba regsvr32 schmmgmt.dll.

El complemento Esquema de Active Directory ahora estará disponible en MMC.

• En servidores independientes con Windows Server 2003 o estaciones de trabajo

Windows XP Professional, las herramientas administrativas de Active Directory son

opcionales. Puede instalarlas desde Agregar o quitar programas en el Panel de control,

con el Asistente para componentes de Windows o desde el ADMINPAK incluido el CD de

Windows Server 2003.

Usar el complemento Dominios y confianzas de Active Directory

El complemento Dominios y confianzas de Active Directory proporciona una

representación gráfica de todos los árboles de dominios que hay en el bosque. Al usar

esta herramienta, un administrador puede administrar cada uno de los dominios del Configuración Directorio Activo en Windows Server 2000/2003

bosque, administrar relaciones de confianza entre dominios, configurar el modo de

funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos

alternativos de Nombre principal del usuario (UPN) para el bosque.

Iniciar el complemento Dominios y confianzas de Active Directory

Para iniciar el complemento

11 En HQ-CON-DC-01, haga clic en el botón Inicio, seleccione Todos los programas,

Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas

de Active Directory. Aparece el complemento Dominios y confianzas de Active

Directory, como se muestra en la Figura:

El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fácil de

usar para que los usuarios inicien sesión en Active Directory. El estilo del UPN se basa

en el estándar RFC 822 de Internet, al que también se hace referencia como dirección

de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el

nombre DNS del primer dominio del primer árbol del bosque. En ésta y en las demás

guías detalladas de esta serie, el sufijo UPN predeterminado es contoso.com.

Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de

sesión. También puede simplificar los nombres de inicio de sesión de usuario si utiliza

un solo sufijo UPN para todos los usuarios. El sufijo UPN sólo se utiliza dentro del

dominio de Windows Server 2003 y no es necesario que sea un nombre válido de

dominio DNS.


Para agregar sufijos UPN adicionales

1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo,

haga clic con el botón secundario del mouse (ratón) en él y, a continuación, haga clic

en Propiedades.

2. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y

haga clic en Agregar.

3. Haga clic en Aceptar para cerrar la ventana.

Cambiar la funcionalidad de dominios y bosques

La funcionalidad de dominios y bosques, incluida en Active Directory de Windows

Server 2003, proporciona un modo de habilitar las características de Active Directory

para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes

niveles de funcionalidad de dominios y de bosques, que dependen del entorno.

Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server

2003 y el nivel funcional está establecido en Windows Server 2003, estarán disponibles

todas las características para todo el dominio y para todo el bosque. Cuando se

incluyen controladores de dominio Windows NT® 4.0 o Windows 2000 en el dominio o

bosque con controladores de dominio que ejecutan Windows Server 2003, sólo está

disponible un subconjunto de las características de Active Directory para todo el

dominio y todo el bosque.

El concepto de habilitar funciones adicionales de Active Directory existe en Windows

2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener

controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las

características de grupos de seguridad universal, anidación de grupos ni historial de Id.

de seguridad (SID). Cuando el dominio está establecido en modo nativo, se pueden

utilizar las características de grupos de seguridad universal, anidación de grupos e

historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no

admiten la funcionalidad de dominio y bosque.


Advertencia: una vez elevado el nivel funcional del dominio, los controladores de

dominio que ejecutan sistemas operativos anteriores no podrán incluirse en el dominio.

Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los

controladores de dominio que ejecutan Windows 2000 Server no se podrán agregar a

dicho dominio.

La funcionalidad de dominio habilita características que afectan a todo el dominio y sólo

a ese dominio. Existen cuatro niveles funcionales de dominio:

Windows 2000 mixto (opción predeterminada)

Windows 2000 nativo

Windows Server 2003 versión provisional

Windows Server 2003. De forma predeterminada, los dominios operan en el nivel

funcional Windows 2000 mixto.

Para elevar la funcionalidad del dominio

11 Haga clic con el botón secundario del mouse en el objeto de dominio (en el

ejemplo, contoso.com) y, a continuación, haga clic en Elevar el nivel funcional del

dominio.

11 En la lista desplegable Seleccione un nivel funcional del dominio disponible,

seleccione Windows Server 2003 y, a continuación, haga clic en Elevar.

11 Haga clic en Aceptar en el mensaje de advertencia para elevar la

funcionalidad del dominio. Haga clic de nuevo en Aceptar para finalizar el proceso.

11 Cierre la ventana Dominios y confianzas de Active Directory.

Usar el complemento Usuarios y equipos de Active Directory

Para iniciar el complemento Usuarios y equipos de Active Directory

1. Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas

administrativas y, a continuación, haga clic en Usuarios y equipos de Active

Directory.

2. Expanda Contoso.com haciendo clic en el signo +.


En la Figura se muestran los componentes clave del complemento Usuarios y equipos

de Active Directory.

Reconocer objetos de Active Directory

Los objetos descritos en la tabla siguiente se crean durante la instalación de Active

Directory.

Icono Descripción

Dominio El nodo raíz del complemento representa el dominio que se va a administrar.

Equipos

Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre éstos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versión anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos.

Sistema Contiene información de sistemas y servicios de Active Directory.

Usuarios Contiene todos los usuarios del dominio. En una actualización, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.

Se puede usar Active Directory para crear los siguientes objetos.

Icono Objeto Descripción

Usuario Un objeto de usuario es un objeto que es un principal de seguridad en el directorio.

Un usuario puede iniciar sesión en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso.

Contacto Un objeto de contacto es una cuenta que no tiene ningún permiso de seguridad.

No se puede iniciar sesión como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrónico.

Equipo Objeto que representa un equipo en la red.

Para las estaciones de trabajo y servidores con Windows NT, ésta es la cuenta de equipo.


Unidad Organizativa

Las unidades organizativas se utilizan como contenedores

Organizan de manera lógica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro.

Grupo Pueden contener usuarios, equipos y otros grupos.

Los grupos simplifican la administración de cantidades grandes de objetos.

Carpeta Compartida

Objeto compartido Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio.

Impresora Compartida

Objeto compartido Una impresora compartida es una impresora de red que se ha publicado en el directorio.

Agregar una unidad organizativa

Este procedimiento crea una unidad organizativa adicional en el dominio Contoso.

Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay

límite de niveles de anidación.

Estos pasos se basan en la estructura de Active Directory establecida en las guías

detalladas de infraestructura común. Si no ha creado esa estructura, agregue las

unidades organizativas y los usuarios directamente bajo Contoso.com; es decir, donde

se hace referencia a Cuentas en el procedimiento, sustituya Contoso.com.

Para agregar una unidad organizativa

1. Haga clic en el signo + situado junto a Cuentas para expandirlo.

2. Haga clic con el botón secundario del mouse en Cuentas.

3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construcción como el

nombre de la nueva unidad organizativa y, a continuación, haga clic en Aceptar.

Repita los pasos anteriores para crear otras unidades organizativas, como las

siguientes:

• Unidad organizativa Ingeniería bajo Cuentas.

• Unidad organizativa Fabricación bajo Cuentas.

• Unidad organizativa Consumidor bajo la unidad organizativa Fabricación. (Para ello,

haga clic con el botón secundario del mouse en Fabricación, seleccione Nuevo y, a

continuación, haga clic en Unidad organizativa.)

• Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricación.


Haga clic en Fabricación para que su contenido se muestre en el panel de la derecha.

Al terminar, debería tener la jerarquía que aparece a continuación en la Figura:

Crear una cuenta de usuario

El siguiente procedimiento crea la cuenta de usuario Juan García en la unidad

organizativa Construcción.

Para crear una cuenta de usuario

11 Haga clic con el botón secundario del mouse en la unidad organizativa

Construcción, seleccione Nuevo y, a continuación, haga clic en Usuario o Usuario

nuevo en la barra de herramientas del complemento.

11 Escriba la información del usuario que se muestra en la Figura:


3. Haga clic en Siguiente para continuar.

4. Escriba pass#word1 en los cuadros Contraseña y Confirmar contraseña y, después,

haga clic en Siguiente.

Nota: A menudo, el papel que desempeñan las contraseñas en la protección de la red

de una organización se subestima y no se tiene en cuenta. Las contraseñas

proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la

organización. La familia Windows Server 2003 dispone de una nueva característica que

requiere contraseñas complejas para todas las cuentas de usuario de nueva creación.

Para obtener información sobre esta característica, consulte la guía detallada de

configuración de directivas de contraseña.

11 Haga clic en Finalizar para aceptar la confirmación en el siguiente cuadro de

diálogo.

Acaba de crear una cuenta en la unidad organizativa construcción.

Para agregar información adicional sobre este usuario

1. Seleccione Construcción en el panel de la izquierda, haga clic con el botón

secundario del mouse en Juan García en el panel de la derecha y, a continuación,

haga clic en Propiedades.

2. Agregue más información sobre el usuario en el cuadro de diálogo Propiedades en

la ficha General como se muestra en la Figura 5 y, a continuación, haga clic en

Aceptar. Haga clic en cada ficha disponible y revise la información opcional del

usuario que se puede definir.


Mover una cuenta de usuario

Los usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o

de un dominio distinto. Por ejemplo, en este procedimiento, Juan García se mueve de

la división Construcción a la división Ingeniería.

Para mover un usuario de una unidad organizativa a otra:

1. Haga clic en la cuenta de usuario Juan García en el panel de la derecha, haga clic

con el botón secundario del mouse en ella y, después, haga clic en Mover.

2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para

expandirlo, como se muestra en la Figura:


3. Haga clic en la unidad organizativa Ingeniería y luego en Aceptar.

Crear un grupo

Para crear un grupo

1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería,

haga clic en Nuevo y después en Grupo.

2. En el cuadro de diálogo Nuevo objeto – Grupo, escriba Herramientas para el

nombre.

3. Revise el tipo y el ámbito de los grupos disponibles en Windows Server 2003,

mostrados en la tabla siguiente. Mantenga la configuración predeterminada y, a

continuación, haga clic en Aceptar

Para crear el grupo Herramientas.

El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros

recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como

los de distribución se pueden utilizar para confeccionar listas de distribución de

correo electrónico.

El Ámbito de grupo determina la visibilidad del grupo y qué tipo de objetos puede

contener el grupo.


Agregar un usuario a un grupo

Para agregar un usuario a un grupo

11 Haga clic en la unidad organizativa Ingeniería en el panel de la izquierda.

11 Haga clic con el botón secundario del mouse en el grupo Herramientas en el

panel de la derecha y, a continuación, haga clic en Propiedades.

11 Haga clic en la ficha Miembros y luego en Agregar.

11 En el cuadro de texto Escriba los nombres de objeto que desea seleccionar,

escriba Juan y, a continuación, haga clic en Aceptar.

11 En la pantalla Propiedades de herramientas, compruebe que Juan García es un

miembro del grupo de seguridad Herramientas y, después, haga clic en Aceptar.

Publicar una carpeta compartida

Para que los usuarios puedan encontrar más fácilmente las carpetas compartidas,

puede publicar información sobre dichas carpetas en Active Directory. Cualquier

carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido

(DFS), se puede publicar en Active Directory.

Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se

comparte automáticamente. Éste es un proceso que consta de dos pasos: en primer

lugar se debe compartir la carpeta y después publicarla en Active Directory. Para

compartir una carpeta:


1. Utilice el Explorador de Windows para crear una nueva carpeta llamada

Especificaciones de ingeniería en uno de los volúmenes del disco.

2. En el Explorador de Windows, haga clic con el botón secundario del mouse en la

carpeta Especificaciones de ingeniería y, a continuación, haga clic en Propiedades.

Haga clic en Compartir y después en Compartir esta carpeta.

3. En la pantalla Propiedades de especificaciones de ingeniería, escriba ES en el

cuadro Nombre del recurso y, a continuación, haga clic en Aceptar. Cierre el

Explorador de Windows cuando termine.

Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta

carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el

botón Permisos.

Publicar la carpeta compartida en el directorio

Para publicar la carpeta compartida en el directorio

1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón

secundario del mouse en la unidad organizativa Ingeniería, seleccione Nuevo y, a

continuación, haga clic en Carpeta compartida.

2. En la pantalla Nuevo objeto – Carpeta compartida, escriba Especificaciones de

ingeniería en el cuadro Nombre.

3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y

haga clic en Aceptar.

4. Haga clic con el botón secundario del mouse en Especificaciones de

ingeniería y, después, haga clic en Propiedades.

5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a

continuación, haga clic en Agregar para continuar. Haga clic dos veces en Aceptar

para finalizar.

Los usuarios ahora pueden buscar en Active Directory por nombre de recurso

compartido o palabra clave para localizar este recurso compartido.


Buscar una carpeta compartida

Para buscar una carpeta compartida

1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el

botón secundario del mouse en Contoso y, a continuación, haga clic en Buscar.

2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba

especificaciones en el cuadro de texto Palabras clave y, después, haga clic en

Buscar ahora.

3. En Resultados de la búsqueda, haga clic con el botón secundario del mouse en

Especificaciones de ingeniería y, a continuación, haga clic en Abrir.

Nota: cuando se rellene la carpeta compartida ES, su contenido estará disponible a los

usuarios finales mediante búsquedas en el directorio. Los usuarios pueden asignar

también este recurso compartido como una unidad de red.

4. Cierre el cuadro de diálogo Buscar carpetas compartidas.

Publicar una impresora

Puede publicar también información sobre impresoras compartidas en Active

Directory. La información de las impresoras compartidas de Windows NT debe


publicarse manualmente. La información de las impresoras compartidas de la

familia Windows Server 2003 o de la familia Windows 2000 Server se publica

automáticamente en el directorio cuando se crea una impresora compartida.

Utilice Usuarios y equipo de Active Directory para publicar manualmente información

sobre impresoras compartidas. El subsistema de impresión propaga de forma

automática al directorio los cambios realizados en los atributos de la impresora

(ubicación, descripción, carga de papel. etc.).

Nota: en esta sección se describen los pasos para configurar y publicar una impresora

que imprime directamente en un archivo. Si desea utilizar una impresora basada en IP,

LPT o USB, debe modificar los pasos de estos procedimientos.

Agregar una nueva impresora

Para agregar una nueva impresora

1. Haga clic en el botón Inicio, en Impresoras y faxes y, después, haga doble clic en

Agregar impresora. Aparece el Asistente para agregar impresoras. Haga clic en

Siguiente.

2. Haga clic en Impresora local conectada a este equipo, desactive la casilla de

verificación Detectar e instalar mi impresora Plug and Play automáticamente y, a

continuación, haga clic en Siguiente.

3. En la lista desplegable Usar el puerto siguiente, haga clic en la opción ARCHIVO:

(Imprimir a archivo) y después en Siguiente.

4. En el panel de resultados Fabricante, haga clic en Genérico. En el panel de

resultados Impresoras, haga clic en Genérico / sólo texto. Haga clic en Siguiente

para continuar.

5. En la página Dar un nombre a su impresora, cambie el nombre de la impresora por

Imprimir a archivo y, después, haga clic en Siguiente.

6. En la página Compartir impresora, cambie el Nombre del recurso por

ImpresoraArchivo y, a continuación, haga clic en Siguiente.

7. Para Ubicación en la página Ubicación y comentario, escriba Oficinas centrales –

Edificio 4 – Oficina 2200. Haga clic en Siguiente para continuar.

8. Haga clic en Siguiente para imprimir una página de prueba y, después, haga clic en

Finalizar para completar la instalación.


9. Cuando se le indique, escriba Impresión de prueba como nombre del archivo para

la página de prueba de la impresora. Cuando termine, haga clic en Aceptar.

La impresora se publica automáticamente en Active Directory.

Buscar una impresora en Active Directory

Para buscar una impresora en Active Directory

1. En la pantalla Impresoras y faxes, haga doble clic en el icono Agregar impresora.

2. Aparece el cuadro de diálogo Asistente para agregar impresoras. Haga clic en Siguiente para continuar.

3. Haga clic en Una impresora de red y luego en Siguiente.

4. Haga clic en Buscar una impresora en el directorio (opción predeterminada) y, después, haga clic en Siguiente.

5. Aparece el cuadro de diálogo Buscar impresoras. Haga clic en Buscar ahora para buscar todas las impresoras publicadas en Active Directory. Si define opciones de búsqueda adicionales, puede limitar los resultados a las características disponibles o a la ubicación de la impresora.

Seguimiento de la ubicación de impresoras: Utilice el seguimiento de la

ubicación de impresoras para simplificar la búsqueda de impresoras. Cuando el

seguimiento de la ubicación de impresoras está habilitado y el usuario hace clic en

Buscar ahora, Active Directory muestra todas las impresoras que coinciden con la

consulta del usuario que se encuentran en la ubicación del usuario. Los usuarios

pueden cambiar el campo de ubicación haciendo clic en Examinar para buscar

impresoras en otras ubicaciones. Para obtener más información sobre cómo

configurar el seguimiento de la ubicación de impresoras, consulte el Centro de

ayuda y soporte técnico de Windows Server 2003.

6. En Resultados de la búsqueda en la página Buscar impresoras, haga doble clic en

Imprimir a un archivo para instalar la impresora. Haga clic en Sí (opción

predeterminada) para definir esta impresora como la impresora predeterminada del

sistema y, después, haga clic en Siguiente.


7. Haga clic en Finalizar para completar la instalación de la impresora.

8. Cierre la ventana Impresoras y faxes.

Puede publicar impresoras compartidas por sistemas operativos distintos de Windows

Server 2003, Windows 2000 o Windows XP en Active Directory. La manera más sencilla

de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque también se

puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de

comandos publicará todas las impresoras compartidas en un servidor dado. Se

encuentra en el directorio \winnt\system32.

Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs

Para publicar una impresora manualmente mediante la secuencia de comandos

pubprn.vbs

11 Haga clic en el botón Inicio y luego en Ejecutar. Escriba cmd en el cuadro de

texto y, después, haga clic en Aceptar.

11 Escriba cd \ windows\ system32 y presione ENTRAR.

11 Escriba cscriptpubprn.vbsprserv1

"LDAP://ou=cuentas,dc=contoso,dc=com" y después, presione ENTRAR.

Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad

organizativa Cuentas. La secuencia de comandos sólo copia el subconjunto siguiente de


atributos de impresora, que incluyen la ubicación, el modelo, el comentario y la ruta de

acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003;

se proporciona como una herramienta manual para publicar impresoras en Active

Directory únicamente desde servidores de impresión de bajo nivel.

11 Cierre la ventana.

Publicar una impresora manualmente mediante el complemento Usuarios y

equipos de Active Directory

1. Haga clic con el botón secundario del mouse en la unidad organizativa

Mercadotecnia, haga clic en Nuevo y después en Impresora.

2. Aparece el cuadro de diálogo Nuevo objeto - Impresora. En el cuadro de texto,

escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido

y, a continuación, haga clic en Siguiente.

Los usuarios finales podrán realizar operaciones perfectamente integradas desde las

impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar

trabajos a esas impresoras e instalar los controladores de impresora directamente

desde el servidor.

Crear un objeto de equipo

Un objeto de equipo se crea de forma automática cuando un equipo se une a un

dominio. Si no desea otorgar a todos los usuarios la capacidad de agregar equipos al

dominio, puede crear objetos de equipo antes de que el equipo se una a un dominio de

forma manual o mediante secuencias de comandos.

Para agregar manualmente un equipo al dominio

1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería,

seleccione Nuevo y, después, haga clic en Equipo.

2. Para el nombre del equipo, escriba Heredado y, a continuación, haga clic en

Siguiente.

3. Si el equipo es un sistema administrado, puede especificar el GUID del sistema. En

este ejemplo, deje el GUID del sistema en blanco, haga clic en Siguiente y después

en Finalizar.


4. Para administrar este equipo desde el complemento Usuarios y equipos de Active

Directory, haga clic con el botón secundario del mouse en el objeto de equipo y, a

continuación, haga clic en Administrar.

De forma opcional, es posible seleccionar a qué usuarios se les permite unir un equipo

al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra

persona con menos permisos instale el equipo y lo una al dominio. Cambiar el nombre,

mover y eliminar objetos Se puede cambiar el nombre y eliminar todos los objetos del

directorio, y se puede mover la mayor parte de los objetos a contenedores distintos. En

el siguiente procedimiento se amplía el ejemplo para crear un objeto de equipo.

Para mover el objeto de equipo Heredado a un contenedor diferente

11 En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniería.

11 Haga clic con el botón secundario del mouse en el objeto de equipo Heredado y,

después, haga clic en Mover.

11 Expanda la unidad organizativa Recursos y, a continuación, haga clic para

resaltar Servidores como se muestra en la Figura:

11 Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor

dentro de la unidad organizativa Recursos.


Administrar objetos de equipo

Los objetos de equipo de Active Directory se pueden administrar directamente desde el

complemento Usuarios y equipos de Active Directory. Administración de equipos es un

componente que sirve para ver y controlar numerosos aspectos de la configuración del

equipo. Administración de equipos combina varias utilidades de administración en un

único árbol de consola, lo que proporciona un fácil acceso a las propiedades

administrativas y herramientas de los equipos locales o remotos.

Nota: en el siguiente ejemplo se asume que trabaja desde la consola HQ-CON-DC-01 y

que HQ-CON-DC-02 se está ejecutando.

Administrar un equipo remoto

Para administrar un equipo remoto


secundario del mouse en contoso.com y, después, haga clic en Conectar con el

dominio.

2. Haga clic en Examinar y luego en el signo + situado junto a contoso.com. Haga

doble clic en vancouver.contoso.com y, a continuación, haga clic en Aceptar.

3. Expanda vancouver.contoso.com haciendo clic en el signo + y, después, haga clic

en Controladores de dominio.

4. Haga clic con el botón secundario del mouse en HQ-CON-DC-02 y, después, haga

clic en Administrar. El sistema se puede administrar ahora de forma remota, como

se ilustra en la Figura:


5. Cierre la ventana Administración de equipos.

Grupos anidados

Los grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a

todo el departamento con un mantenimiento mínimo. Colocar cada grupo de cuentas de

equipo en un único grupo de recursos de toda la empresa no es una solución eficaz, ya

que para ello es necesario crear y mantener un gran número de vínculos de

pertenencia. Para utilizar grupos anidados, los administradores crean una serie de

grupos de cuentas que representan las divisiones administrativas de la empresa.

Por ejemplo, el grupo de cuentas superior podría llamarse "Todos los empleados", y

estaría asociado a un grupo de recursos que otorga acceso a los recursos y a los

directorios compartidos. El siguiente nivel podría contener grupos de cuentas que

representaran las principales divisiones de la empresa. Cada grupo de este nivel es

miembro de Todos los empleados y está asociado a un grupo de recursos que otorga

acceso a los recursos compartidos y a otros recursos pertinentes de la división que

representa. Dentro de una división, el siguiente nivel de grupos de cuentas podría

representar los departamentos. Los recursos compartidos del departamento podrían

incluir calendarios de proyectos, calendarios de reuniones, calendarios de vacaciones o

cualquier otra información de red pertinente a todo el departamento.

Los grupos de cuentas de departamento son todos miembros del grupo de cuentas de

división. Dentro de un departamento, la estructura de administración puede

organizarse en grupos de seguridad en cualquier nivel necesario de especificidad. Éstos

podrían ser grupos de cuentas de equipo que representaran nodos secundarios del

árbol jerárquico de la organización. Con esta jerarquía de grupos establecida, puede

asignar a un nuevo empleado acceso inmediato a los recursos del equipo, del

departamento, de la división y de la compañía en su totalidad colocando al empleado

en un grupo de cuentas de equipo. Este sistema admite el principio de mínimo

acceso, ya que el nuevo empleado no puede ver los recursos de los equipos

contiguos, de otros departamentos o de otras divisiones.


Crear grupos anidados

Para crear un grupo anidado


secundario del mouse en vancouver.contoso.com y, después, haga clic en Conectar

con el dominio.

2. Haga clic en Examinar y luego en contoso.com. Haga clic dos veces en Aceptar para

finalizar.

3. Expanda contoso.com y, después, expanda la unidad organizativa Cuentas.

4. Cree un nuevo grupo haciendo clic con el botón secundario del mouse en

Ingeniería, seleccionando Nuevo y haciendo clic en Grupo. Escriba Toda la

ingeniería y, a continuación, haga clic en Aceptar.

5. Haga clic con el botón secundario del mouse en el grupo Toda la ingeniería y,

después, haga clic en Propiedades.

6. Haga clic en la ficha Miembros y luego en Agregar.

7. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba

Herramientas y, a continuación, haga clic en Aceptar.

8. Haga clic de nuevo en Aceptar. Se crea un grupo anidado.

Buscar objetos específicos

En una implementación de directorios de gran tamaño sería absurdo examinar una gran

lista de objetos en busca de un único objeto. Suele ser más eficaz buscar objetos

específicos que satisfagan determinados criterios.

En el ejemplo siguiente, buscará todos los usuarios con un nombre de inicio de sesión

que empiece por “J” en el dominio Contoso. Para buscar usuarios con un nombre de

inicio de sesión que empiece por J

1. Haga clic para seleccionar contoso.com. Haga clic con el botón secundario del

mouse en contoso.com y, después, haga clic en Buscar.


2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione

Usuario y, a continuación, haga clic en Nombre de inicio de sesión.

3. Escriba J para Valor y, después, haga clic en Agregar. Haga clic en Buscar ahora.

Los resultados deben ser similares a los que se muestran en la Figura:

4. Cierre la ventana Buscar usuarios, contactos y grupos.

Filtrar una lista de objetos

Filtrar la lista de objetos devueltos desde el directorio le permite administrar el

directorio de forma más eficaz. La opción de filtrado permite restringir los tipos de

objetos devueltos al complemento. Por ejemplo, puede elegir ver sólo usuarios y

grupos, o es posible que desee crear un filtro más complejo. Si una unidad organizativa

tiene más de un número especificado de objetos, la función de filtro permite restringir

el número de objetos que se muestran en el panel de resultados. Se puede utilizar la

función Filtrar para configurar esta opción.

Para crear un filtro diseñado de forma que sólo se muestren los usuarios.

11 En el complemento Usuarios y equipos de Active Directory, haga clic en

Ingeniería bajo la unidad organizativa Cuentas. Configuración Directorio Activo en Windows Server 2000/2003

11 Haga clic en el menú Ver y luego en Opciones de filtro.

11 Haga clic en el botón de opción Mostrar sólo los siguientes tipos de objetos,

seleccione Usuarios y, después, haga clic en Aceptar.

11 Expanda Cuentas y, a continuación, haga clic en Ingeniería para comprobar los

resultados del filtro.

11 Quite el filtro.


configuracion del directorio activo en...

Documents