Servidores Windows

Configuracin y
administracin de
Windows Server 2003
Configuracin y administracin de Windows Server 2003
INTRODUCCIN
Este presente manual pretende mostrar las herramientas y procedimientos
fundamentales para la administracin de sistemas informticos basados en servidores
Windows 2003.
Se pretende suministrar unos conocimientos necesarios para llevar a cabo la
administracin de dichos sistemas, as como la instalacin y configuracin avanzada de
los diversos servicios del sistema. Adems de dichos aspectos se recogen algunos
conceptos de diseo previos que deben ser tenidos en cuenta antes de llevar a cabo la
instalacin y configuracin de los distintos servicios en el sistema.
Familia de sistemas operativos Windows

Desde la popularizacin de los sistemas Windows de Microsoft con la aparicin de la
interfaz de usuario Windows 3.1 y sobre todo posteriormente con la aparicin del
sistema operativo Windows 95 se han sucedido diferentes versiones de sistemas
operativos con la denominacin comn Windows.
Podemos decir que algunas de ellas son evoluciones unas de otras, sin embargo otras
proceden de un tronco distinto y pretenden objetivos diferentes. Este universo de
diferentes versiones ha llevado a veces a cierta confusin por parte del usuario, por lo
que en primer lugar intentaremos aclarar un poco el objetivo de las diferentes versiones
y situar los sistemas Windows Server 2003 dentro de ellas.
Obviando algunas versiones de propsito especfico, aparecidas la mayora de las veces
como especializacin de otras ya existentes, podramos decir que existen dos grandes
ramas en la familia de sistemas operativos Windows: las versiones de propsito
domstico u ofimtico y las versiones de ndole profesional.
Aunque anteriormente existieron otras, las versiones de propsito domestico comienzan
a popularizarse con la aparicin de Windows 3.0 y Windows 3.1, que eran solo una
interfaz de usuario que corra sobre MS-DOS. Con la aparicin de Windows 95 al que
podemos considerar ya un sistema operativo completo recibe el espaldarazo definitivo.
Posteriormente en esta misma lnea y como evolucin de la misma apareceran
Windows 98 y Windows Millenium. El objetivo de todas ellas era servir de sistema
operativo de propsito general para usuarios domsticos o estaciones de trabajo de
prestaciones bajas o medias.
La rama de versiones profesionales nace con Windows NT 3.1, evolucionando
posteriormente a Windows NT 3.5, Windows NT 3.51 y Windows NT 4.0. Adems a
partir de la versin de Windows NT 3.5 cada una de ellas se comercializan divididas a
su vez en dos versiones: Workstation y Server. La primera dirigida a estaciones de
trabajo profesionales o de altas prestaciones y la segunda a servidores de red.
A partir de la versin de Windows NT 4.0 y, como evolucin de la misma, aparecen la
familia de sistemas operativos Windows 2000 en sus distintas versiones de estaciones
de trabajos y servidores.
A su vez, como evolucin de Windows 2000 Profesional, la versin de estacin de
trabajo de Windows 2000, ha aparecido Windows XP en dos ediciones distintas, Home
y Professional. Y posteriormente se produce el lanzamiento de Windows Server 2003,
-2-
que es una evolucin de la familia Windows 2000 Server y la versin de servidores de

la misma generacin que Windows XP.
El siguiente grafico muestra la situacin y evolucin de la familia de sistemas
operativos Windows.
Propsito domstico Propsito profesional
Windows NT 3.1
Windows 3.x
Windows NT 3.5 Windows NT 3.5

Workstation Server
Windows 95
Windows NT 3.51 Windows NT 3.51

Workstation Server
Windows 98 Windows NT 4.0 Windows NT 4.0

Workstation Server
Windows 2000
Windows 2000 Server
Windows Millenium
Professional
Advanced Server y
Datacenter
Windows XP Windows Server

Windows XP Home
Professional 2003
Nuevas caractersticas de los servidores Windows

A riesgo de ser excesivamente sinceros podramos decir que Windows 2000 fue la
siguiente versin de Windows NT 4.0. De hecho durante mucho tiempo de la fase de
desarrollo se le conoca como Windows NT 5.0. Windows Server 2003 es el siguiente
paso de esta evolucin, aadiendo algunas funciones nuevas a las ya aportadas por
Windows 2000 y mejorando la seguridad y rendimiento general del sistema.
-3-
La estrategia de esta evolucin pretende bsicamente dos cosas: avanzar en la

convergencia de todos los sistemas operativos Windows (la convergencia completa de
versiones se produce con la salida de Windows Server 2003) y atacar el segmento de los
grandes servidores con mayores garantas contando a su vez con la versin de cliente
bajo la misma arquitectura de sistema operativo.
Son muchos los cambios y aadidos desde la versin de Windows NT 4.0 pero a
grandes rasgos podramos destacar:
Mejora de la interfaz de usuario, Windows 2000 aade caractersticas visuales
ya incluidas en Windows 98 y Milenium, Windows Server 2003 adopta la
interfaz grfica aparecida con Windows XP.
Mejora de la gestin del hardware y soporte de dispositivos Plug and Play,
aunque en algunas ocasiones podemos encontrarnos con problemas para
localizar los drivers adecuados de algunos dispositivos o la inexistencia de los
mismos, este problema tiende a minimizarse. Adems Windows Server 2003
aporta gestin para software ms potente, siendo compatible con plataformas de
64 bits.
Mejora de las herramientas de administracin en general tendiendo a la
centralizacin de todos los procesos de administracin y aadiendo un mayor
soporte para la administracin remota. Dentro de este apartado cabe destacar
aspectos como:
Directivas de grupo: El editor de directivas de grupo permite a los
administradores establecer polticas para usuarios individuales y grupos en
un sitio, dominio o unidad organizativa dentro del Directorio Activo. Esta
solucin permite hacer ms eficaces los perfiles de usuario y utilizacin del
sistema operativo que luego se puede controlar desde el Directorio activo.
En Windows Server 2003 se aade adems la herramienta del Conjunto
resultante de directivas que simplifica la administracin de estas.
Mejoras en las herramientas de administracin de linea de comandos: En
Windows Server 2003 se aaden nuevos comandos desde el smbolo del
sistema, es premisa de diseo que toda la administracin de un servidor se
pueda realizar a travs de lnea de comandos, de modo que todas las tareas
sean susceptibles de ser ejecutadas de forma programada mediante scripts.
Adems, desde Windows 2000 se da soporte directo a la ejecucin de scripts
de Visual Basic, Java scripts u otros a travs de WSH (Windows Scripting
Host) que permite la automatizacin de tareas tanto en el mbito de la
administracin de usuarios, la conexin o desconexin un servidor de red, la
creacin de accesos directos para aplicaciones y archivos estndar as como
muchas otras tareas comunes.
Escritorio remoto: Aparecido con Windows 2000 como servicios de
terminal, que permite el acceso remoto a un terminal para la administracin
completa del servidor como si estuviramos delante de la consola, con
Windows Server 2003 se permite incluso la captura de la consola del
servidor.
Asistencia remota: Aparecida con Windows XP permite el control remoto de
la consola de estaciones de trabajo Windows XP o servidores Windows
2003. Este control remoto puede ejercerse bajo peticin del usuario o
-4-
directamente sin la solicitud de este, segn la configuracin que se haya

establecido.
Mejora en al interconexin de redes: mayor y mejor soporte al protocolo
TCP/IP, que se convierte en el protocolo nativo de red desde Windows 2000 en
el intento de convertirse en el sistema operativo de servidor con todos los
servicios intranet Internet integrados.
DNS dinmico integrado en el Directorio Activo para la traduccin nombres
de red a direcciones IP de los clientes de la red.
NAT (Network Address Translator): traductor de direcciones de red, es un
servicio que oculta las direcciones IP procedentes de redes externas
traduciendo la direccin IP a una direccin externa pblica. Esta operacin
oculta la estructura IP interna y adems permite a una red local usar
direcciones IP sin registrar para las comunicaciones internas
ATM (Asynchronous Transfer Mode) Modo de transferencia asncrona es
una avanzada tecnologa de trasmisin WAN que ofrece conmutacin de
paquetes de trasmisiones de datos a alta velocidad de tamao de celda fijo.
ATM puede transferir voz, datos, vdeo, imgenes y otros productos
multimedia a cerca de 155 Mbps con un lmite terico de 1.2 Gbps.
Fibre Chanel: ofrece una transferencia de datos de 1 Gbps que combina
protocolos de trasporte comunes, como IP, junto a E/S de gran velocidad en
una solucin de conectividad.
QoS (Quality of Service): calidad de servicio Windows es un conjunto de
servicios diseados para ofrecer un sistema de envo garantizado a travs del
trfico IP. QoS ofrece un conjunto de requisitos de servicio que debe cumplir
la red mientras transfiere datos, como reservar cierto ancho de banda para
una aplicacin en concreto.
Mejoras en el almacenamiento de ficheros, funciones nuevas para administrar y
proteger archivos en caso de que se produzcan errores en el disco duro.
Servicio de proteccin de ficheros: este servicio protege los ficheros
sensibles del sistema operativo ante su modificacin o eliminacin
aumentando as la disponibilidad y confiabilidad del sistema
Capacidad de cifrado de archivos de usuario.
Capacidad de agregar espacio de disco a un volumen sin tener que volver a
arrancar el servidor.
DFS (Distributed File System): sistema de archivos distribuidos es un nuevo
componente de servidor que facilita la bsqueda de informacin y datos a los
usuarios. Con DFS, los usuarios pueden ver un sencillo rbol de directorios
que incluye ficheros de varios servidores o grupos de archivos
proporcionando servicios de replicacin de los mismos que aumentan la
disponibilidad de los mismos.
Seguimiento de vnculos distribuidos: este sistema soluciona problemas con
archivos que has cambiado de nombre o de ruta. El seguimiento de vnculos
distribuidos arregla los accesos directos y vnculos OLE para estos cambios
de nombre o ruta.
-5-
Cuotas de disco: permite administrar la cantidad de espacio dentro de

volmenes de disco NTFS. Usando cuotas de disco se puede limitar la
cantidad de espacio que se usa por usuario, o monitorizar la cantidad de
espacio usado en las particiones del disco.
En Windows Server 2003 se aaden las Instantneas de volumen, que son
copias de los datos en un momento determinado y que permiten volver a
estados anteriores de los mismos en caso de desastre, corrupcin o borrado
accidental de los mismos
Mejoras en disponibilidad y fiabilidad: herramientas que ayudan a mantener los
sistemas siempre disponibles y minimizan los tiempos de recuperacin en caso
de errores.
La utilidad de copia de seguridad permite desde Windows 2000 guardar
archivos en un amplio abanico de soportes, como discos Zip, CD-ROM
unidades de cinta y discos duros externos, unidades de red, etc.
Recuperacin automatizada del sistema: una herramienta basada en disquete
que arrancara el sistema y restaurara el conjunto de archivos necesarios
para iniciar Windows desde la copia de seguridad.
Organizacin por clsteres: La familia de servidores Windows tambin
soporta nuevos servicios de organizacin por clsteres, la organizacin por
clsteres permite la conexin de dos o ms servidores para formar un
sistema virtual nico. Esta operacin crea mayor disponibilidad y poder de
computacin, soportndose hasta sistemas de 32 nodos de hasta 32
procesadores cada uno.
Mejoras en los servicios de impresin mediante el Directorio Activo impresoras
se pueden organizar como objetos para que sean fciles de localizar usar, con
servicio de configuracin automtica en el cliente
Escalabilidad mejorada: La familia de servidores Windows permite acceder
ahora hasta 64 GB de memoria en plataformas Intel de 32 bits y hasta 128 GB
en plataformas de 64 bits. La arquitectura de memoria permite a las aplicaciones
mantener ms datos en memoria y, por consiguiente, mejorar el funcionamiento.
Por otro lado tambin se ha mejorado el rendimiento SMP soportndose
sistemas multiprocesador de hasta 32 microprocesadores.
Mejoras en la seguridad: Desde Windows 2000 se ofrecen varias herramientas y
mejoras para la cada vez mayor necesidad de seguridad en las redes avanzadas
de hoy en da.
Autenticacin Kerberos: es un protocolo de autenticacin estndar de
Internet y sustituye a NTLM como el protocolo de seguridad primario para
tener acceso a recursos dentro de un dominio o a travs de dominios.
Kerberos ofreces varias ventajas de seguridad, incluyendo autenticacin
tanto para el cliente como para el servidor, as como reduccin de la carga
del servidor para mantener la seguridad.
Servidor de certificados de clave pblica: desde Windows 2000 se incorpora
un servidor de certificados de clave pblica para cifrar datos. El servidor de
certificados de clave pblica permite a las organizaciones usar certificados
-6-
de clave pblica con un servidor de certificados en su propio web, en lugar

de apoyarse en otras compaas proveedoras de certificados de clave.
Tarjeta inteligente: Microsoft ha puesto en prctica tarjetas inteligentes, un
componente de la infraestructura de clave pblica. Las tarjetas inteligentes
aumentan la seguridad del acceso simple, del almacenamiento y otras
soluciones de software. Las tarjetas inteligentes permiten proteger claves
privadas, contraseas, informacin personal y otra informacin privada. Las
tarjetas inteligentes incluidas en Windows 2000 cumplen el estndar ISO y
contribuirn a reducir los problemas de incompatibilidad tan frecuentes en el
pasado.
Editor de configuracin de seguridad: permite a los administradores crear
una plantilla de seguridad aplicable a muchas computadoras. Esta
caracterstica de plantilla ahorra a los administradores tiempo y ofrece un
enfoque ms uniforme a las configuraciones de seguridad de una red.
IPSec: Protocolo de seguridad IP para el trfico TCP/IP cifrado. El protocolo
de seguridad IP se puede usar para transmisiones cifradas dentro de una
intranet, y tambin se puede usar el Protocolo de tnel punto a punto (PPTP,
Point to Point Tunneling Protocol) cuando se crean Redes privadas virtuales
a travs de Internet.
En Windows Server 2003 se da una vuelta de tuerca ms a la seguridad, adems
de soportar todas las funciones arriba sealadas se aportan herramientas
adicionales para la gestin de la misma y se desactivan por defecto todos los
servicios que pudieran resultar potencialmente peligrosos, de modo que sea el
administrador del sistema el que los active de modo consciente y por lo tanto se
haga cargo de su gestin y seguridad.
Directorio Activo, por supuesto el Active Directory, la funcin que ms
potencialidades ofrece desde el lanzamiento de Windows 2000 y un concepto
nuevo en Windows 2000 y totalmente integrado en Windows Server 2003 con el
que se recoge y da soporte al estndar de directorios LDAP posibilitndose la
sincronizacin con sistemas de metadirectorios y el tan deseado Single Sign-on
(autenticacin nica).
Versiones de Windows
Podramos decir que Windows Server ms que un sistema nico es una familia de
sistemas operativos. Actualmente, en su versin Windows 2003 est formado por cuatro
miembros: Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise
Edition, Windows Server 2003 Datacenter Server y Windows Server 2003 Web Edition.
As mismo su correspondiente sistema operativo de cliente o estacin de trabajo sera
Windows XP Professional Edition.
Veamos a grandes rasgos las diferencias entre ellos.
Windows XP Professional
Podramos decir que Windows XP Professional es donde realmente se realiza el trabajo
dentro de una red. Sera la versin correspondiente a Windows NT Workstation o
Windows 2000 Professional en la generacin de Windows 2003. Sus requerimientos de
instalacin y funcionamiento son:
-7-
Microprocesador: El mnimo admitido es Pentium o compatible a 233 Mhz.

Aunque estn recomendados 300 Mhz o superior. Con soporte de 2 procesadores
por equipo en el caso de la versin Professional.
Memoria RAM: Se recomienda al menos 128 MB de RAM dependiendo del
nmero y naturaleza de aplicaciones a ejecutar, 64 MB de es el mnimo
admitido.
Disco duro: se recomienda 1,5 GB con de espacio libre de disco duro para la
instalacin. Aunque realmente no es mala idea reservar una particin de 8 GB
para contener el sistema y los programas. Deberemos, adems, tener en cuenta
que si el sistema de archivos es FAT se requieren entre 200 y 400 MB
adicionales y que si se instala a travs de una red, se necesitar ms espacio libre
durante el proceso de instalacin.
Windows Server 2003 Standard Edition

Sera la versin correspondiente a Windows 2000 Server en Windows 2003. Sus
requisitos de instalacin y funcionamiento son:
Microprocesador: El mnimo admitido son procesadores con una velocidad de
133 Mhz. Aunque est recomendados un mnimo de 550 Mhz. Se soportan hasta
un mximo de 4 procesadores por equipo.
Memoria RAM: Se recomienda 256 MB de RAM como mnimo, 128 MB es el
mnimo admitido y 4 GB es el mximo.
Una particin de disco duro con suficiente espacio libre para alojar el proceso de
instalacin. El espacio mnimo necesario ser aproximadamente 1,25 a 2 GB, es
posible que necesite ms espacio dependiendo de los componentes que van a
instalarse y el tipo de instalacin que se realice. Tendremos tambin en cuenta,
aparte de las consideraciones ya realizadas para la versin XP Professional en
este aspecto, el tamao del archivo de paginacin (1,5 veces el tamao de la
RAM como mnimo), si es que este va ha alojarse en esta unidad. Adems a todo
esto debemos aadir el tamao de las aplicaciones a instalar... Reservar una
particin de 8 GB para el sistema en puede ser bastante razonable.
Por otro lado, una actualizacin puede requerir mucho ms espacio que una instalacin
nueva, ya que la base de datos de cuentas de usuario existentes puede expandirse hasta
multiplicarse por diez al agregar la funcionalidad de Active Directory.
Windows Server 2003 Enterprise Edition

Sera una versin para servidores ms grandes, incluye caractersticas adicionales como
soporte para clusters, mejora del sistema de memoria e incluye ordenamiento de alto
rendimiento (mejora el rendimiento de tareas comunes como prepararse para grabar
informacin en procesos por lotes, preparar impresoras, operaciones de procesos por
lotes para ese tipo de operaciones). Sus requisitos de instalacin y funcionamiento son:
Microprocesador: El mnimo admitido es 133 Mhz. Aunque estn recomendado
733 Mhz. MMX o ms y este es el mnimo admitido para sistemas de 64 bits.
Hasta un mximo de 8 procesadores por equipo en SMP (Multiproceso
simtrico). Se da soporte a procesadores de 64 bits.
-8-

mnimo admitido y 32 GB es el mximo para sistemas de 32 bits y 64 GB para
sistemas de 64 bits
Las consideraciones sobre disco duro son las mismas que para la versin
Standard.
Se proporciona soporte a clsteres de servidores, pudiendo gestionar hasta 8
nodos.
Windows 2003 Datacenter Edition

Es el sistema operativo ms potente de la familia de servidores Windows.
Dicho de manera sencilla, la versin Datacenter nace de la Enterprise para dar soporte a
aplicaciones crtica de negocio con los ms altos niveles de escalabilidad y
disponibilidad. Hay dos puntos clave que diferencian a Datacenter de Enterprise. Son la
escalabilidad SMP y la memoria fsica.
Escalabilidad SMP: Datacenter Edition admite entre 8 y 32 CPUs en
multiproceso en la versin de 32 bits y hasta 64 procesadores en la versin de 64
bits.
Memoria fsica: Datacenter Edition soporta hasta 64 GB de memoria RAM en
plataformas de 32 bits y hasta 512 GB en sistemas de 64 bits.
Windows 2003 Web Edition

Es un producto nuevo dentro de los sistemas operativos de Windows, est diseado
especficamente para el alojamiento de servidores Web tanto de pginas como de
aplicaciones mediante IIS 6.0. No puede emplearse para alojar otro tipo de servicios
como servicios de red, controladores de dominio de Active Directory, etc.
Microprocesador: El mnimo admitido es 133 Mhz. Aunque estn recomendado
550 MMX o ms. Hasta un mximo de 2 procesadores por equipo en SMP
(Multiproceso simtrico).
mnimo admitido y 2 GB es el mximo.
Las consideraciones sobre disco son las mismas que para la versin Standard.
-9-
CONFIGURACIN GENERAL DEL SISTEMA

Como puede imaginar, configurar la interfaz y el sistema es una de las tareas ms
sencillas que puede realizar con su servidor. La configuracin del sistema y de la
interfaz implica establecer una serie de configuraciones que afectan a la apariencia del
escritorio, de los iconos y de las carpetas, a cmo maneja el sistema las aplicaciones y
la memoria y a cmo el servidor accede y utiliza Internet. Aunque la configuracin de
la interfaz y del sistema es mucho ms fcil de establecer que los complejos servicios
de servidor y las opciones de interconexin que examinaremos en los siguientes
captulos, la configuracin del sistema afecta a su forma de funcionamiento y a cmo
se muestra la interfaz. En este captulo aprenderemos como utilizar el asistente para
configurar el servidor y a configurar el sistema y la interfaz para que funcionen segn
sus necesidades.
Asistente de administracin del servidor

Despus de instalar Windows Server 2003, cada vez que se inicia sesin en el equipo,
automticamente se abre la pgina Administre su servidor . Microsoft introdujo esta
herramienta en Windows 2000 y en Windows Server 2003 se encuentra una versin
mejorada de la misma. Tal como puede apreciarse en la imagen, esta ventana contiene
una gran cantidad de utilidades para configurar las funciones de nuestro servidor y para
administrar los servicios previstos para los usuarios de esas funciones.
Tambin podemos abrir esta pgina haciendo clic en el botn Inicio > Administre su
servidor .
Podemos utilizar los asistentes que nos ofrece la herramienta Administre su servidor
para configurar el servidor Windows Server 2003 para una funcin especfica o para
- 10 -
funciones mltiples (existe un asistente independiente para cada funcin). El asistente

nos conduce por los pasos de la instalacin de los componentes necesarios para los
servicios que se quieren prestar con el servidor. 1
Para iniciar el asistente deberemos hacer clic en Agregar o quitar funcin . La pgina
del asistente que se abre visualiza una lista de las tareas preliminares, la mayora de las
cuales probablemente las hemos llevado a cabo automticamente durante la instalacin
del sistema operativo.
Cuando hacemos clic en Siguiente , el asistente verifica el adaptador de red (NIC) para
comprobar que el equipo se puede comunicar con la red y despus visualiza la lista de
funciones que podemos asignar al servidor.
1
Los asistentes para configurar nuestro servidor no estn disponibles en la versin Web Edition de
Windows Server 2003.
- 11 -
En esta ventana nos informa de los servicios que tenemos configurados y cuales no.
Seleccionando una funcin concreta, podremos instalarla o administrar aquellas que ya
tengamos configuradas.
Funciones de los servidores Windows Server 2003

Dentro de una red de Windows un servidor puede estar dedicado a mltiples funciones,
cada una de las cuales suelen estar interrelacionadas entre s proporcionando a los
clientes de la red una serie de servicios integrados.
Entre las diferentes funciones que un servidor puede llevar a cabo caben destacar
algunas:
Controlador de Dominio (DC): Son los encargados de guardar la base de datos
de objetos del Active Directory. Se recomienda que existan al menos dos de
ellos en una red, de este modo se replicaran la informacin del Dominio entre
ellos proporcionando mayor rendimiento y tolerancia a fallos pudindose aadir
tantos como se desee(de todas maneras un DC puede atender a miles de clientes
en una red sin problemas de rendimiento). Los servidores que no realizan
funciones de DC se les conoce como servidores miembro o independientes.
Servidores de servicios de red: proporcionan diferentes funcionalidades dentro
de la propia red como servicio de DNS, WINS, DHCP, etc.
Servidores de ficheros: guardar ficheros que pueden ser accesibles desde el
resto de clientes de la red.
Servidores de impresin: prestan servicios de impresin al resto de clientes de
la red.
Servidores de aplicaciones de Internet (IIS): proporcionan servicios de
pginas Web, FTP, etc. ya sea en la propia intranet como en Internet
- 12 -
Servidores de Base de Datos. Almacenan grandes volmenes de datos de forma

estructurada y los suministran a clientes que ejecutan aplicaciones de acceso y
manipulacin de los mismos.
Servidores de Correo electrnico: proporcionan servicios de correo (POP3 y
SMTP) tanto en el mbito interno de la intranet como por Internet.
Adicionalmente tambin pueden proporcionar servicios de mensajera avanzados
a travs de aplicaciones adicionales como Exchange Server.
Servidores de aplicaciones (Terminal Server): ejecutan directamente en el
servidor aplicaciones en un entorno multiusuario, ofreciendo a los clientes un
terminal de visualizacin de su aplicacin (Windows Terminal), implementando
as un modelo de informtica centralizada.
Servidor de acceso remoto / VPN: proporciona acceso a la LAN a la cual el
servidor est conectado a usuarios remotos. Este acceso puede realizarse a travs
de marcado telefnico o a travs de Internet utilizando una conexin de datos
encriptada (VPN) pudiendo proporcionarse adems servicio de traduccin de
direcciones NAT.
Servidor multimedia: permite la distribucin de contenido multimedia (audio y
video por secuencias).
- 13 -
Panel de Control: Sistema

La hoja de propiedades Sistema, disponible en el Panel de control, es en esencia la misma
que en versiones anteriores con algunas novedades. Tambin se puede acceder a ella
haciendo clic con el botn derecho en Mi PC y seleccionando Propiedades. La siguiente
lista enumera las distintas opciones de cada hoja de propiedades:
General
La hoja de propiedades General muestra la versin del sistema operativo, el nombre de la
persona o compaa para la que est registrado el sistema operativo e informacin
bsica sobre el hardware del equipo. No podemos cambiar nada en esta ficha.
Nombre de equipo
Esta hoja de propiedades ofrece informacin para identificar el equipo en la red.
Podemos cambiar el nombre y descripcin del equipo desde esta ficha e introducirlo
o sacarlo de un dominio existente a travs de botn <Cambiar>.
- 14 -
Hardware
La hoja propiedades Hardware aparece con botones que ejecutan el Asistente para
agregar hardware, las opciones de Firma de Controladores, el Administrador de dispositivos o
Perfiles de hardware.
Opciones avanzadas
En la hoja de propiedades Opciones avanzadas tenemos la opcin de configurar el
Rendimiento del sistema, Perfiles de usuario, Inicio y recuperacin, Variables de entorno e
Informe de errores al hacer clic en el botn correspondiente.
- 15 -
La siguiente lista muestra cmo configurar cada uno de ellos:

Rendimiento: Si hace clic en el botn <Configuracin>, nos aparece a su vez, el
cuadro de dialogo de Opciones de rendimiento, con dos pestaas, Efectos visuales y
Opciones avanzadas.
En la pestaa de opciones visuales podemos ajustar el comportamiento de

Windows respecto a los efectos visuales de la interfaz grfica. Por defecto viene
configurado en la opcin Dejar a Windows elegir la configuracin ms adecuada, en
ella quedan desactivados la mayora de los efectos grficos, lo cual redunda en
- 16 -
un mejor rendimiento general del sistema, ya que pueden aprovecharse los

recursos no consumidos por la interfaz grfica en las tareas ms propias del
servidor.
En la pestaa de Opciones avanzadas podemos configurar tres aspectos que
influyen directamente en el rendimiento del servidor respecto a las tareas para las
cuales vaya a ser dedicado: Programacin del procesador, Uso de memoria y la
Memoria virtual.
En la primera podemos elegir entre optimizar el rendimiento de Programas o de los
Servicios en segundo plano haciendo clic en el botn de opcin apropiado. Por
defecto, aparece seleccionado el botn Servicios en segundo plano. En principio en el
caso de un servidor de red debemos usar la configuracin predeterminada, que
provoca que todos los programas reciban la misma cantidad de recursos de
procesador, a menos que tengamos una razn concreta para optimizar el
rendimiento de las aplicaciones, como podra ser el caso de estar configurando un
servidor de aplicaciones a travs de Servicios de Terminal.
En la parte de Uso de memoria, podemos elegir entre optimizar la memoria para
Programas o para Cach del Sistema. Con la primera de ellas se asigna un valor de
cach predeterminado por Windows a cada una de las aplicaciones, es el valor por
defecto y ms adecuado en el caso que se vaya a emplear el sistema como estacin
de trabajo, como en el caso de Windows XP, o que tengan se deban ejecutar
concurrentemente mltiples aplicaciones y servicios en el servidor. Con la segunda
opcin se reserva mayor cantidad de memoria como cach del sistema para las
aplicaciones, esta opcin es la recomendable en el caso de servidores dedicados a
una tarea especifica.
En la parte de abajo del cuadro de Opciones de rendimiento tenemos el apartado de
Memoria virtual. Recuerde que la memoria virtual permite al sistema usar una parte
del disco duro para almacenar memoria en caso de no haber suficiente RAM fsica.
Si hacemos clic en el botn <Cambiar>, aparece la hoja Memoria virtual. Esta hoja
ofrece informacin sobre la configuracin de memoria virtual, con la opcin de
cambiarla usando el botn <Establecer>.
- 17 -
Por defecto Windows configura la memoria virtual en el disco del sistema

estableciendo un tamao inicial de 1,5 veces la memoria fsica instalada y un
tamao mximo de 2,5 veces la memoria fsica. Podemos optimizar el rendimiento
general del sistema ubicando la memoria fsica en el disco ms rpido del que
dispongamos e incluso repartiendo esta entre varias unidades de disco fsicas
distintas, de modo que el acceso a la misma pueda darse a travs de varios
dispositivos de forma concurrente. Tambin puede ser conveniente configurar un
tamao fijo de memoria virtual impidiendo su crecimiento y por tanto evitando la
posibilidad de que se produzca fragmentacin en el archivo de paginacin
haciendo ms lento el acceso a la memoria virtual. En cuanto a su tamao
depender de la tarea a la que dediquemos el servidor, pero en principio y si no
tenemos otras consideraciones por parte de servicios o aplicaciones que instalemos
un buen valor puede ser duplicar la memoria fsica instalada.
En cualquier caso recuerde que si la memoria es un problema en su sistema, la
mejor solucin siempre es agregar ms RAM, duplicar la memoria fsica de un
sistema en que este parmetro se encuentre comprometido puede aumentar del
orden de un 30% el rendimiento general del sistema.
Otro punto importante de optimizacin del rendimiento del sistema se encuentra
en las Propiedades de la Conexin de red, haciendo clic en el botn de
<Propiedades> del servicio de Compartir impresoras y archivos para redes Microsoft de
una conexin en concreto.
- 18 -
Se nos abrir el cuadro de dialogo de opciones de Optimizacin del servidor. Este

cuadro regula las opciones de optimizacin de la memoria del equipo. La primera
de ella Minimiza la memoria utilizada, la siguiente realiza un Balance entre los servicios
de compartir archivos e impresoras y otros servicios como el uso como estacin de
trabajo interactiva. Estas dos primeras opciones estn pensadas para servidores de
pequeas redes, ya que en cualquier caso hacen un uso comedido de la memoria.
La opcin de Maximizar el rendimiento para compartir archivos optimiza el uso de
memoria aumentando el tamao disponible como cach de los servicios de
compartir archivos y servidor de impresin de red.
Por ltimo la opcin Maximizar el rendimiento para aplicaciones de red optimiza el uso
de memoria para aplicaciones de red distribuidas que realicen su propio
almacenamiento en cach, como servidores de bases de datos, servidores Web o
servidores de correo electrnico.
Perfiles de usuario: Esta hoja de propiedades enumera los perfiles en uso
actualmente y permite eliminar cualquier perfil, excepto el del usuario que estemos
empleando en ese momento. Tambin permite cambiar el tipo de perfil para cada
perfil local o mvil usando el botn <Cambiar tipo>, o usar el botn <Copiar a> para
copiar el perfil a una ubicacin distinta o a otro usuario.
- 19 -
Inicio y recuperacin: Al hacer clic en el botn <Inicio y recuperacin>, podemos hacer

algunos cambios en el inicio y recuperacin del sistema.
Primero, si tenemos arranque dual entre varias configuraciones o varios sistemas

operativos distintos, podemos usar el men desplegable para elegir el sistema
operativo predeterminado que debe cargarse y el tiempo de espera del men de
eleccin de sistema operativo. Tambin podemos elegir mostrar o no las opciones
de recuperacin del sistema y durante cuanto tiempo o Editar manualmente el
fichero de configuracin de inicio del sistema, cuya ubicacin predeterminada es
C:\BOOT.INI.
- 20 -
El resto de la ficha ofrece casillas de verificacin para modificar las acciones que
debera realizar Windows si el sistema se detuviera. Las opciones incluyen Grabar
un suceso en el registro del sistema, Enviar una alerta administrativa, Reiniciar
automticamente, Escribir informacin de depuracin (la ubicacin predeterminada es
C:\WINNT\MEMORY.DMP), sobrescribiendo el anterior archivo .DMP. Estas
opciones se pueden seleccionar haciendo clic en la casilla de verificacin
apropiada.
Variables de entorno: Al hacer clic en el botn <Variables de entorno> aparecen
tanto las variables de usuario como las del sistema. Las variables de entorno se
muestran como cadenas que contienen informacin, como el nombre de la unidad
o ruta. Las variables listadas controlan el comportamiento de los programas y
dnde se almacena la informacin. Podemos agregar, eliminar o modificar las
variables como queramos haciendo clic en el botn apropiado, pero slo podemos
cambiar variables de sistema si tenemos los privilegios de administrador. Las
variables de usuario son diferentes para cada usuario y se definen en la
configuracin del sistema y en las configuraciones adicionales que establece el
usuario. Windows desempea un buen papel controlando sus propias variables de
sistema, de modo que normalmente no ser necesario cambiarlas.
Informe de Errores: Al hacer clic en el botn <Informe de errores> aparece un

cuadro de dialogo que nos permite configurar el comportamiento de Windows
Server 2003 en cuanto a la generacin de informes de errores tanto frente a los
errores del Sistema operativo Windows como sobre los Apagados de equipo no planeados
o errores de los Programas en ejecucin.
Esta informacin es posteriormente accesible desde el complemento Informacin del
sistema en el apartado Entorno de software.
- 21 -
Actualizaciones automticas
En esta ficha podemos configurar las opciones de actualizaciones automticas del
sistema a nivel de parches y Service Packs que puedan ir apareciendo para Windows
Server 2003. Podemos configurar que el sistema se actualice automticamente o no y en
su caso la programacin ms adecuada para la actualizacin en nuestro caso. En el caso
de sistemas de produccin puede ser conveniente desactivar las actualizaciones
automticas para realizarlas manualmente tras haber realizado las pruebas oportunas en
un entorno de pruebas. Adems para el caso de grandes organizaciones existe la
posibilidad de instalar y configurar un servidor SUS (Software Update Services),
suministrado de forma gratuita desde el Web de Microsoft, que se encargue de
descargar las actualizaciones de Internet para luego repartirlas al resto de servidores y
clientes de la red de forma programada y controlada.
- 22 -
Acceso remoto
Desde esta hoja de propiedades podemos configurar las opciones de Asistencia remota y
Escritorio remoto.
A travs de la Asistencia remota podemos habilitar que terceras partes se conecten

remotamente a la consola del servidor para visualizar la pantalla o incluso con el
permiso del usuario tomar el control de la pantalla con el objetivo de suministrar
ayuda o soporte tcnico. Asistencia remota comienza normalmente con un usuario que
solicita ayuda, bien por correo electrnico, a travs de Windows Messenger o mediante
una invitacin guardada como un archivo. Sin embargo, un asistente puede ofrecer
tambin ayuda sin que se la pida un usuario. Asistencia remota requiere que ambos
equipos estn ejecutando Windows XP o un producto de la familia de Windows
Server 2003.
A travs del botn <Configuracin avanzada...> podemos configurar algunas opciones de
la asistencia remota como si permitimos el control remoto o slo la visualizacin o el
tiempo que son vlidas las invitaciones de Asistencia remota.
- 23 -
El Escritorio remoto es un servicio que aparece con Windows 2000 Server aunque
conocido como Servicios de terminal en modo de administracin remota. Permite el acceso
remoto a dos escritorios para la administracin adems de la propia consola del
servidor. Esta herramienta nos permite la administracin completa del servidor con
independencia de la ubicacin fsica a travs de la red. Tambin esta disponible para
Windows XP pero en este caso solo se permite una conexin de escritorio al sistema,
bloquendose la consola en caso de producirse el acceso remoto. Para el acceso al
escritorio remoto necesitaremos del cliente de Escritorio remoto, que viene configurado
de serie con Windows XP y Windows 2003, aunque puede ser instalado en cualquier
versin anterior de Windows.
Al activar este servicio se habilita la conexin al servidor a travs del puerto TCP
3389 con trfico cifrado, en principio slo queda habilitado para usuarios
administradores del equipo y que no tengan vaca la contrasea de su usuario, aunque
podremos habilitarlo para otro usuario a travs del botn <Seleccionar usuarios
remotos...>
- 24 -
INTERCONEXION DE REDES EN WINDOWS

Para llevar a cabo la comunicacin en redes de ordenadores se utilizan los protocolos de
red. Un protocolo es un conjunto de reglas que definen la comunicacin entre equipos
dentro de una red. Sin estas reglas de comunicacin, la comunicacin en red sera un
fracaso y los equipos no podran comunicarse unos con otros.
El crecimiento de Windows hasta llegar a ser un sistema operativo de redes de nivel
empresarial y la meterica popularidad de Internet son dos de los factores que han
hecho que el protocolo TCP/IP sea ahora el estndar de facto para las redes. Las redes
empresariales se han convertido en los ltimos aos en redes cada vez ms
heterogneas, por el aadido de nuevas tecnologas o por la consolidacin de otras ya
existentes, y uno de los problemas resultantes de este fenmeno ha sido el incremento
de la congestin de trfico en las redes debido a los diferentes protocolos utilizados por
las distintas plataformas.
Para superar esta congestin, muchos administradores de redes han buscado la
estandarizacin en un nico conjunto de protocolos de red, con la esperanza de
conseguir de esa manera que su trfico de red sea ms fcil de administrar. Por varias
razones, el conjunto elegido como protocolo ha sido TCP/IP. Entre estas razones se
pueden citar las siguientes:
Compatibilidad: La mayora de los sistemas operativos de red actualmente en
uso son capaces de utilizar TCP/IP como protocolo nativo. Aquellos que no lo
hacen ahora son vistos como carentes de soporte para los estndares de la industria.
Escalabilidad: TCP/IP fue diseado para ser utilizado en lo que ahora se conoce
como la red ms grande del mundo: Internet. Suministra protocolos adecuados para
casi cualquier tarea de comunicacin, con diferentes grados de velocidad, cargas de
trabajo y fiabilidad.
Heterogeneidad: TCP/IP es capaz de soportar prcticamente cualquier tipo de
hardware o plataforma de sistema operativo hoy en da en uso. S. estructura modular
permite soportar el aadido de nuevas plataformas sin tener que reestructurar los
protocolos principales.
Direccionabilidad: Cada equipo en una red TCP/IP est asignado a un identificador
nico, lo que lo hace directamente direccionable por cualquier otro equipo de la red.
Disponibilidad: Los protocolos TCP/IP est diseados para ser estndares
abiertos, libremente utilizables por todos y se desarrollan mediante el enfoque de foro
abierto en el que son bienvenidas las contribuciones de todas las partes interesadas.
TCP/IP es parcialmente responsable de la creciente popularidad que actualmente
disfruta Windows. Su predecesor NetBEUI (el protocolo nativo original en Windows
NT) resulta insuficiente como protocolo empresarial porque no tiene capa de red y por
ese motivo no es apto para el trabajo con segmentos de red.
Visin general del TCP/IP

TCP/IP (Transmisin Control Protocol / Internet Protocol) Es el protocolo de
comunicaciones nativo desde Windows 2000. Esto confiere una gran ventaja de
funcionamiento y confiabilidad. TCP/IP es un protocolo de red enrutable que se adapta
- 25 -
perfectamente a redes locales tanto de pequeo tomo de gran tamao a redes de rea
extensa (WAN) y es el estndar de facto para la comunicacin de Internet.
TCP/IP es bastante complejo y queda fuera del propsito del este manual explicar su
estructura y caractersticas, por los que ofreceremos solamente una visin general de
TCP/IP, sus componentes y caractersticas.
TCP/IP es un conjunto de protocolos, los que significa que se compone de muchos
protocolos individuales que funcionan juntos. Estos protocolos individuales permiten
una gran funcionalidad para muchos servicios y caractersticas. Hay mas de 100
protocolos en el conjunto de protocolos TCP/IP, mostraremos algunos de los ms
importantes:
TCP: (Transmission Control Protocol). Protocolo de control de transmisiones, se
ocupa de trasmisiones orientadas a conexiones. Garantiza la entrega de los
paquetes.
IP: (Internet Protocol). Protocolo de Internet, se ocupa de la entrega de paquetes
sin conexin. Define las reglas de direccionamiento de la red.
UDP (User Datagram Protocol). Protocolo de datagrama de usuario, se ocupa de
la comunicacin sin conexin y no garantiza la entrega de los paquetes.
SMPT (Simple Mail Transfer Protocol). Protocolo de trasferencia de correo
simple, se ocupa de los servicios de entrega de correo.
FTP (File Transfer Protocol). Protocolo de transferencia de archivos posibilita la
trasferencia de archivos y la administracin de directorios.
HTTP (Hypertext Transfer Protocol). Protocolo de transferencia de hipertexto,
es el responsable de la entrega de documentos HTML.
ICMP (Internet Control Message Protocol). Protocolo de mensajes de control de
Internet es utilizado por TCP/IP para solicitar ciertas contestaciones de
componentes de red.
Telnet. Ofrece servicios de emulacin de terminal.
Comprensin de los valores de configuracin TCP/IP

TCP/IP ha sido el protocolo preferido desde Windows NT 4 y se instala con el sistema
operativo. Sin embargo, con Windows Server 2003, TCP/IP es un prerrequisito para
iniciar la sesin, para utilizar Active Directory (AD), Domain Name System (DNS) y
muchas cosas ms. La pila TCP/IP en Windows Server 2003 incluye soporte para todos
los protocolos analizados anteriormente, as como tambin un gran conjunto de
servicios y utilidades que nos permiten la utilizacin, administracin y deteccin de
problemas en TCP/IP. Windows Server 2003 se distribuye con muchos servicios
basados en TCP/IP que facilitan la administracin de una gran cantidad de usuarios
TCP/IP en una red.
Opcionalmente, TCP/IP tambin se puede instalar despus del sistema operativo, haciendo clic
en el botn Agregar en la pgina de Propiedades de conexiones de rea local. Si hemos
dependido de otros protocolos, por ejemplo NetBEUI, para comunicarnos con otros equipos
Windows en nuestra red local recomiendo eliminarlos despus de haber configurado todas esas
mquinas para utilizar TCP/IP. En general es conveniente mantener la cantidad de protocolos
en uso en un mnimo.
- 26 -
Despus de instalar TCP/IP, con el programa de instalacin o desde la pgina de Propiedades

conexiones de rea local, debemos suministrar la configuracin necesaria para identificar
nuestra mquina para la interaccin con el resto de la red TCP/IP. Windows Server
2003 contina incluyendo el protocolo de configuracin de equipo host dinmico (DHCP,
Dynamic Host Configuration Protocol), que permite que un equipo Windows Server 2003
suministre automticamente a nuestros sistemas todos valores de configuracin necesarios
para TCP/IP. En otro captulo analizaremos el uso de DHCP, y por lo tanto se podra
omitir los detalles de configuracin que se tratan ms adelante. Sin embargo para
completar nuestro estudio acerca de TCP/IP analizaremos los valores requeridos para
una comunicacin efectiva en TCP/IP y cmo los equipos pueden utilizarlos para comunicarse
con la red.
Los valores requeridos para utilizar TCP/IP en Windows Server 2003 estn
configurados en la pgina de Propiedades del protocolo de Internet (TCP/IP) de cada
dispositivo de red:
Direccin IP
Mscara de subred
Puerta de enlace predeterminada
Servidores DNS preferidos y alternativos
Direccin IP
La direccin IP es el medio por el cual los equipos se identifican en una red TCP/IP.
Identifica tanto al equipo husped como a la red en donde reside. Cada equipo debe estar
asignado con una direccin unica en la red, para evitar que los datagramas se entreguen en un
sistema errneo.
En una red TCP/IP, el trmino husped no es necesariamente sinnimo a equipo Un
husped es una interfaz de red, de las cuales puede haber varias en un sistema. En tal
caso cada husped debe tener su propia direccin IP.
Las direcciones IP tradicionalmente tienen una longitud de 32 bits y estn expresadas
con cuatro valores decimales entre 0 y 255, representando cada uno de ellos 8 bits,
separados por puntos. Por ejemplo, la direccin IP 192.168.1.146 es equivalente al
siguiente valor binario:
11000000.10101000.00000001.10010010
Si nuestra red no est conectada a Internet, las direcciones IP pueden ser asignadas a los
equipos individuales por los administradores de la red. Las propias direcciones reales
pueden ser cualquier combinacin legal de nmeros, siempre y cuando cada una sea una
direccin nica. Esto se denomina como red no registrada porque mantiene una
organizacin totalmente privada dentro de los confines de nuestra empresa.
Sin embargo, si nuestra red est conectada a Internet tendremos que tener una o ms
mquinas con direcciones IP registradas. Para impedir la duplicacin de direcciones,
debemos registrar las direcciones IP de los huspedes Internet con una autoridad de
Internet. Una red privada puede elegir el uso de direcciones IP registradas para todos
sus equipos, o puede mantener una red no registrada para usuarios internos y registrar
slo los equipos que son accesibles directamente desde Internet, por ejemplo, los
servidores Web y ftp. En tal caso, los usuarios con direcciones IP no registradas acceden
normalmente a Internet mediante el uso de un servidor proxy o de un router
- 27 -
adecuadamente configurados que tramita sus peticiones con una direccin registrada e
impide el acceso no autorizado a la red local desde equipos externos a la red.
Cuando estamos configurando un equipo para utilizar TCP/IP, deberamos hacerlo con
un grupo planificado de direcciones o utilizar un servidor DHCP, que asigna direcciones
automticamente a partir de un conjunto que configuramos previamente.
Lo que no deberamos hacer nunca es seleccionar direcciones IP aleatorias simplemente
para ver si funcionan. Los conflictos de direcciones IP son uno de los problemas ms
comunes en las redes TCP/IP y uno de los problemas de ms difcil resolucin.
Debemos tener en cuenta que las direcciones IP que podemos pedir prestadas podran
pertenecer a otro sistema y las pilas IP se cierran en el evento de una duplicidad.
Mscara de subred
La mscara de subred es posiblemente el valor de configuracin menos entendido de
TCP/IP. Muchos usuarios observan los valores asignados a este campo, por ejemplo
255.255.255.0, y los confunden con direcciones IP reales.
La mscara de subred en realidad est basada en un concepto muy sencillo. Si
recordamos, en el apartado anterior dijimos que las direcciones IP identifican a la red y
tambin al husped de esa red. El nico fin de la mscara de subred es designar qu
parte de la direccin IP identifica a la red en la cual reside el husped y qu parte
identifica al propio husped.
Esto se comprende ms fcilmente si consideramos a la mscara de subred en trminos
binarios. Todas lis direcciones IP son valores binarios de 32 bits. Normalmente se
escriben en formato decimal slo por conveniencia. El valor de una mscara de subred
de 255.255.255.0, cuando se expresa en su forma binaria, aparece de la siguiente forma:
11111111.11111111.11111111.00000000
Este valor significa que, para las direcciones IP asociadas con esta mscara, todos los
dgitos con valor 1 identifican a la red, y todos los dgitos con valor 0 identifican al
equipo en esa red (es decir, la mscara de unos es el identificador de la red). De esta
manera, si la direccin IP del equipo es 123.45.67.89, 123.45.67 identifica entonces a la
red y 89 identifica al equipo.
Tipos de direcciones IP
Cuando ya se comprende para qu se utiliza la mscara de subred la siguiente pregunta
lgica es por qu diferentes redes requieren distintos nmeros de dgitos para ser
identificadas. La respuesta a esto, como la mayora de las preguntas sobre TCP/IP, se
encuentra en Internet. Los protocolos TCP/IP fueron diseados para ser utilizados en lo
que ahora se conoce como Internet. Aunque nadie poda haber predicho su enorme
crecimiento, Internet fue diseada para ser una red fcilmente escalable con mnimas
necesidades de administracin centralizada.
Los desarrolladores de TCP/IP comprendieron desde el principio que la idea de registrar
una direccin nica para cada equipo en la red con alguna cierta estructura
administrativa era algo poco prctico. El costo habra sido entonces muy alto. Por ese
motivo decidieron que slo estaran registradas las redes y que los administradores de
las redes seran responsables de mantener las asignaciones de direcciones IP para los
equipos individuales.
- 28 -
Se crearon entonces tres clases diferentes de redes, las que estaran registradas a redes
individuales basndose en la cantidad de equipos que conectaban a Internet. En la tabla
mostrada ms abajo se listan estas clases de redes, la mscara de subred de cada una de
ellas, la cantidad mxima de redes posibles de esa clase utilizando el sistema vigente y
la cantidad de direcciones de equipos disponibles para cada red de cada clase.
Existen dos clases de direcciones adicionales: D y E. Las direcciones de clase D se
utilizan normalmente para multidifusin, y las direcciones de clase E estn reservadas
para uso experimental.
A nivel prctico esto significa que si queremos registrar nuestra red para conectarla a
Internet podramos obtener una direccin de clase C de una autoridad de Internet. La
autoridad nos asigna una direccin de red que podemos usar para los primeros tres
octetos de todas nuestras direcciones IP, por ejemplo 199.45.67. Despus tenemos la
libertad de asignar los 254 valores posibles para el cuarto octeto de la forma que nos
interese, siempre y cuando no existan duplicaciones. La mscara de subred para todas
nuestras mquinas es 255.255.255.0, lo que indica que slo el ltimo octeto se utiliza
para identificar a equipos individuales
Si en nuestra red tenemos ms de 254 nodos, tendramos que obtener otra direccin de
clase C. Si tuvisemos una red muy grande, podramos obtener una direccin de clase
B, que nos dara soporte hasta 65.534 equipos. Entonces asignaramos los dos ltimos
octetos para nuestros equipos y utilizaramos mscara de subred 255.255.0.0
Si en nuestra red tenemos ms de 254 nodos, tendramos que obtener otra direccin de
clase C. tuvisemos una red muy grande, podramos obtener una direccin de clase B,
que nos dara soporte 65.534 equipos. Entonces asignaramos los dos ltimos octetos
para nuestros equipos y utilizaramos mscara de subred 255.255.0.0.
Clase de direccin de Mscara de subred Cantidad de N mximo de

equipos predeteminada redes equipos
A 255.0.0.0 126 16.777.214
B 255.255.0.0 16384 65.534
C 255255.255.0 2.097.152 254
Comprensin de una subred

Las mscaras de subredes ocasionalmente son ms complicadas que los ejemplos dados
aqu. Algunas veces la lnea divisoria entre las partes de la red y las partes de los
equipos de una direccin IP no est exactamente entre dos octetos.
Una subred es simplemente una subdivisin lgica impuesta en una direccin de red con
fines organizativos. Por ejemplo, una gran empresa que tiene registrada una direccin de
red de clase B probablemente no asigne las direcciones a sus nodos mediante una
numeracin consecutiva desde 0.0 hasta 255.255.
Una situacin ms prctica sera dividir la red en una serie de subredes, normalmente
basndose en un esquema que coincide con el diagrama de la distribucin de los cables.
Al crear subredes que se corresponden con las redes que componen toda la empresa, la
tarea de asignacin y mantenimiento de direcciones IP se puede delegar entre los
- 29 -
administradores responsables de cada red. De esa manera, en tal situacin, la direccin

de red de clase B dictara los valores de los primeros dos octetos de una direccin IP, y
la subred dictara el valor del tercer octeto, dejando el cuarto para identificar al equipo.
La mscara de subred en esta situacin sera 255.255.255.0 porque los primeros tres
octetos estn definiendo la direccin de red, independientemente de cmo est
registrada.
Sin embargo, supongamos que tenemos una direccin de clase C y que nos encontramos
en una situacin similar. Los primeros tres octetos de nuestras direcciones IP estn
determinados por la direccin de red registrada, pero queremos crear subredes porque
nuestras estaciones de trabajo estn en distintos segmentos de red. An podemos hacer
esto, si consideramos a la mscara de subred en trminos binarios. En lugar de utilizar la
mscara de subred tal como est, podemos asignar algunos de los bits del cuarto octeto
de la direccin de red, de esta manera:
11111111.11111111.11111111.11110000
La conversin de la direccin al formato decimal nos lleva a una mscara de red igual a
255.255.255.240. Este ordenamiento nos permite definir hasta 14 direcciones de red (no
16, porque los valores de todo ceros o de todo unos no son vlidos) compuesta cada una
por 14 equipos. Podemos alterar el ordenamiento de bits para favorecer, segn la
necesidad, una mayor cantidad de redes o una mayor cantidad de equipos. Para asignar
las direcciones de red y de equipos utilizando este mtodo es conveniente trabajar
primero con los valores binarios y despus convertirlos a los valores decimales para
evitar errores. Normalmente resulta difcil pensar en trminos binarios, la mayora de
nosotros necesita una calculadora para realizar esta tarea.
En la mayor parte de los casos, el valor para la mscara de subred de nuestro equipo se
suministra junto con la direccin IP, sea manualmente o mediante un servidor DHCP,
especialmente si se est utilizando una organizacin complicada de subredes. Aunque
debemos recordar que las subredes es un fenmeno local: un dispositivo del
administrador. Las aplicaciones TCP/IP tratan todas las direcciones IP de la misma
manera, independientemente de qu bits se estn utilizando para identificar la red.
Puerta de enlace predeterminada

En la pgina de Propiedades del protocolo de Internet (TCP/IP) se configura la puerta de
enlace predeterminada, y es la direccin del sistema de puerta de enlace en nuestro
segmento de red local, que permite el acceso al resto de la red de Internet. La puerta de
enlace puede ser un equipo, un intercambiador o un enrutador que rene dos o ms
segmentos de nuestra red. Podemos tener ms de una puerta de enlace en nuestro
segmento local, pero la puerta de enlace predeterminada es aquella que nuestro equipo
utiliza de manera predeterminada cuando intenta conectar a un equipo en otra red
(frecuentemente, a la propia Internet).
Si podemos conectar a otros sistemas en nuestra red local, pero no a aquellos que estn
en otras redes, entonces es muy probable que hayamos especificado un valor incorrecto
para la puerta de enlace predeterminada o que la propia puerta de enlace est
funcionando incorrectamente.
El uso de la puerta de enlace predeterminada para acceder a ciertos destinos puede ser
alterado automticamente en nuestra estacin de trabajo mediante la recepcin de un
mensaje de redireccionamiento ICMP, que contiene la direccin de otra puerta de enlace
que suministra un enrutamiento ms eficiente hacia el destino.
- 30 -
Direccionamiento IP avanzado
Un equipo puede tener ms de una interfaz de red, cada una de las cuales debe tener su
propia configuracin TCP/IP. La pgina de Propiedades del protocolo de Internet (TCP/IP)
de nuestra ventana de Propiedades de conexin de rea local contiene un selector que nos
permite realizar una seleccin de los adaptadores de red instalados en nuestro equipo, de
manera que podemos configurar cada uno de ellos de manera independiente.
Para los equipos de la familia de Windows Server 2003, podemos asignar ms de una
direccin IP a un nico adaptador de red. Cuando hacemos clic en el botn Avanzado en
la pgina de Propiedades de protocolos de Internet (TCP/IP), se nos presenta el cuadro de
dilogo para la configuracin TCP/IP avanzada. En la ficha Configuracin de IP, podemos
introducir direcciones IP adicionales para cada uno de los adaptadores de red instalados.
La situacin ms comn en la que se asignan direcciones mltiples a un nico adaptador
en un equipo Windows Server 2003 es en el caso de una mquina utilizada como
servidor en Internet. Por ejemplo, podemos procesar un servidor Web, utilizando IIS en
un equipo Windows Server 2003 directamente conectado a Internet y hospedar sitios
Webs para los diferentes clientes, suministrando a cada sitio su propia direccin IP. Los
usuarios de Internet podran entonces acceder a los distintos sitios asociados con cada
direccin IP, sin saber que en realidad todos ellos se estn ejecutando en una misma
mquina.
La ficha Configuracin de IP en el cuadro de dilogo Configuracin avanzada de TCP/IP
tambin nos permite especificar las direcciones de las puertas de enlace adicionales para
cada adaptador. A diferencia de lo que sucede con las direcciones IP adicionales, que
permanecen todas activas simultneamente, las puertas de enlace adicionales slo se
usan en el orden listado cuando la puerta de enlace predeterminada principal no se
encuentra disponible.
Servidores DNS preferidos y alternativos

Si estamos pasando a Windows Server 2003 desde Windows NT, no se ha tenido tanto
contacto con DNS como se tendr ahora. Quizs se est acostumbrado a utilizar DNS
principalmente para la resolucin externa, dependiendo de NetBIOS y WINS, no de
DNS, para la comunicacin con los otros equipos de la red.
DNS se ha hecho cargo de la responsabilidad de la resolucin de nombres dentro de
Windows Server 2003 (en realidad, esto comenz con Windows 2000). Cada vez que se
pide un contacto con otro equipo de nuestra red o en Internet, el servicio DNS
suministra la adecuada traduccin de nombre de equipo a direccin IP.
Como resultado de la dependencia de DNS por parte del sistema Windows Server 2003,
debemos configurar todos los equipos en nuestra red para que usen un servidor DNS
preferido. Tambin se recomienda utilizar un servidor DNS alternativo, pero esto es
opcional. Podemos introducir manualmente las direcciones IP de los servidores
preferido y secundario o permitir que DHCP pase la informacin a los clientes. En
capitulos posteriores se incluye informacin ms detallada sobre DNS en Windows
Server 2003.
- 31 -
Configuracin de TCP/IP
Cuando se configura cualquier equipo en una red TCP/IP, se debe suministrar al menos
la direccin IP y la mscara de subred. A partir de Windows 2000 se ofrecen tres formas
de realizar esta tarea:
Manual: Podemos asignar manualmente una direccin IP, mscara de subred y
puerta de enlace a cada equipo de la red. A este mtodo se le conoce como
direccionamiento esttico. Este mtodo tiene un elevado coste de mantenimiento
en redes grandes para todos los clientes de una comunidad, sin embargo tiene
una innegable ventaja, que es la identificacin inequvoca de cada cliente. En
cualquier caso es muy recomendable asignar una direccin IP esttica a nuestros
servidores, para que sus direcciones IP no cambien.
Dinmica: podemos usar DHCP (Dynamic Host Configuration Protocol), para
asignar dinmicamente una direccin IP a un equipo cliente de la red. Una vez
configurado un servidor DHCP en la red, este asigna una direccin IP y realiza
la configuracin automtica del protocolo de red de los clientes cada vez que
uno de ellos lo solicite.
Asignacin automtica de direcciones IP privadas: A partir de Windows
2000 incluye una nueva caracterstica que permite implementar una direccin IP
privada automtica a clientes de la red. Este mtodo es eficaz en pequeos
entornos de modo que no es necesaria la configuracin manual o el uso de un
servidor DHCP. La caracterstica de IP automtica privada asigna direcciones IP
a los clientes automticamente entre 169.254.0.0 y 169.254.255.255, que es un
intervalo de direcciones IP reservado establecido por el ICANN (Internet
Corporate for Assigned and Numbers), de esta forma, los clientes pueden utilizar
una direccin IP que no provocar conflictos con otras direcciones enrutables.
Para configurar TCP/IP seleccionamos el icono de Conexiones de red del Panel de
Control. Se nos desplegaran las conexiones de red que tenemos disponibles, pulsamos
con el botn derecho sobre la conexin que queramos configurar y elegimos
<Propiedades>.
Elegimos Protocolo Internet TCP/IP y pulsamos <Propiedades>.
- 32 -
De forma predeterminada, aparece seleccionada la opcin Obtener una direccin IP

automticamente. Con esta opcin el equipo trata de localizar un servidor DHCP que le
asigne una direccin IP. Si el equipo no puede localizar un servidor DHCP, entonces
utiliza AutoNet para asignarse as mismo una direccin IP privada entre 169.254.0.0 y
169.254.255.255 para poder comunicarse con la red. La funcin de asignacin
automtica de direcciones IP privadas est habilitada de forma predeterminada a partir
de Windows 2000, pero se puede deshabilitar usando el registro.
Si necesitamos configurar manualmente TCP/IP en nuestro equipo, lo que suele ser
necesario en el caso de servidores, entonces deberamos introducir una direccin IP
nica y tambin una mscara de subred adecuada, as como una puerta de enlace si fuera
necesario. Tambin podemos escribir manualmente la direccin IP del servidor DNS
preferido y alternativo si fuera el caso. Esto resultar necesario en el caso de que
queramos incluir el equipo en algn dominio de Windows Server 2003 ya existente.
- 33 -
En el caso de redes locales ser recomendable usar alguno de los rangos de direcciones
no enrutables:
10.0.0.0 10.255.255.255 : 1 red clase A.
172.16.0.0 172.31.255.255 : 16 redes Clase B contiguas.
192.168.0.0 192.168.255.255 : 256 redes Clase C contiguas.
Pulsando sobre el botn <Opciones avanzadas...> accedemos a las opciones del
direccionamiento IP avanzado donde podemos configurar varias direcciones IP o varias
puertas de enlace como se ha explicado en al apartado anterior.
Comprensin de la resolucin y registro de nombres

Los protocolos TCP/IP en las comunicaciones de red dependen totalmente de las
direcciones IP para la identificacin de los otros sistemas. Adems, los nombres de
equipo y los nombres NetBIOS se utilizan para identificar equipos conectados a la red
para simplificar el contacto entre los equipos. Sera extremamente difcil, si no
imposible, recordar todas las direcciones IP de todos los equipos o de cada sitio Web
cual queremos contactar.
Los sistemas operativos de Microsoft anteriores a Windows 2000 siempre han basado
sus comunicaciones de red en nombres NetBIOS. Windows Server 2003 an sigue
permitiendo NetBIOS por razones de compatibilidad, pero est diseado para trabajar
con nombres de equipo en lugar de nombres NetBIOS. De todas maneras, debe existir
un mtodo para igualar estos nombres con direcciones IP.
Se puede usar varios mecanismos, con distintos niveles de complejidad; pero todo se
puede reducir a que finalmente es una base de datos que contiene nombres y sus
direcciones equivalentes. Las diferencias de los mecanismos se centran en los mtodos
utilizados para obtener la informacin en la base datos (registro de nombres) y en las
formas en que se pueden recuperar (resolucin de nombres).
- 34 -
Si estamos utilizando una red Windows Server 2003 con clientes de bajo nivel, se
necesitan al menos dos mecanismos separados de resolucin de nombres. En este
aspecto, los nombres de equipo (hostname) y los nombres NetBIOS siempre se tratan de
manera independiente, incluso aunque el equipo utilice el mismo nombre para ambos.
Si nuestra red no tiene equipos de bajo nivel ni aplicaciones basadas en NetBIOS,
podemos omitir el uso de nombres NetBIOS.
Para nombres de equipos, los mecanismos disponibles son un archivo HOSTS y el
servicio de nombres de dominio (DNS).
Para nombres NetBIOS, los mecanismos disponibles son la difusin de red, WINS, y el
archivo LMHOSTS.
Todos los equipos basados en Windows utilizan al menos uno de estos mecanismos
durante cada intercambio TCP/IP que utiliza un nombre en lugar de una direccin IP. La
comprensin de cmo funcionan puede ayudarnos a maximizar la eficiencia de la red, a
mantener los niveles de trfico de red en un mnimo y a resolver los problemas de
comunicaciones.
Uso del archivo HOSTS

La manera ms simple de resolver nombres de equipos es mantener una tabla con esos
nombres y sus equivalentes en direcciones IP Eso es lo que es un archivo HOSTS: un
archivo ASCII, almacenado en una unidad de disco duro local, que lista direcciones IP
en la parte izquierda y nombres de equipo en la parte derecha. Cuando un usuario
suministra un nombre de equipo a una aplicacin, sta lo busca en el archivo HOSTS. Si
encuentra el nombre, se usa su equivalente de direccin IP para crear la conexin de
red. Si no lo encuentra, la operacin fracasa.
Hace no tanto tiempo, crase o no, los servicios de resolucin de nombres para todo
Internet se suministraban por medio de una nica tabla HOSTS que contenan miles de
entradas que tenan que ser recargadas regularmente por los usuarios de Internet para
actualizar sus sistemas. Los problemas de este mtodo resultan obvios. El mtodo del
registro de nombres, es decir, los medios por los cuales los nombres y las direcciones se
insertan en el archivo, es totalmente manual. Los usuarios o administradores deben
modificar o actualizar individualmente el archivo HOSTS de cada equipo de la red para
incluir el nombre y la direccin de cada equipo que se tiene que contactar por nombre.
Tambin, a medida que el nmero de entradas se incrementa, el archivo puede
transformarse en algo poco manejable y el rendimiento de la resolucin de nombres
comienza a sufrir las consecuencias. Podemos imaginarnos tratando de gestionar el
archivo HOSTS de nuestra compaa con cientos o miles de nombres de equipo y
direcciones IP correspondientes? Cada cambio al archivo requerira que se actualizasen
todos los equipos de la red, lo que significa que todo el archivo HOSTS necesitara ser
transferido a cada uno de ellos.
Uso del sistema de nombres de dominio

El sistema de nombres de dominio, DNS, es el mtodo ms comnmente utilizado para
la resolucin de nombres en Internet porque permite a los usuarios conectarse con
cualquier sitio de Internet utilizando el nombre. Esto podra parecer una proeza
increble, particularmente teniendo en cuenta el amplio crecimiento de Internet en los
ltimos aos, pero DNS se aprovecha de la estructura basada en dominios de los
nombres de equipo de Internet.
- 35 -
El sistema de nombres de dominio est compuesto de miles de servidores DNS ubicados

por todo Internet. Cuando registramos un nombre de dominio, es necesario especificar
un servidor DNS principal y uno alternativo. Estos se conocen como servidores
autorizados para nuestro dominio. Un servidor DNS es un subproceso UNIX o un
servicio Windows que es responsable del mantenimiento y publicacin de una base de
datos de nombres de equipo y direcciones en su propio dominio.
Los servidores DNS de un dominio no tienen que estar necesariamente ubicados en su
propia red local, y de hecho muchos proveedores de servicios Internet (ISP) ejecutan
servicios de hospedaje Web en los cuales suministran el uso de sus servidores DNS a
cambio de una cuota mensual. Lo importante es que una autoridad de Internet tiene un
registro de los servidores DNS responsable para esos equipos del dominio.
Los administradores de red son responsables de la asignacin de nombres de equipos
dentro de sus dominios, y tambin deben ser los responsables de mantener los registros
DNS para esos nombres. Sorprendentemente, el registro de los equipos en el dominio en
sus servidores DNS es una tarea tan manual como la del archivo HOSTS. Si agregamos
un nuevo servidor ftp a nuestra red, por ejemplo, debemos aadir o editar manualmente
un registro del recurso DNS, especificando el nombre y la direccin del nuevo equipo.
Sin embargo, el servicio DNS de Windows Server 2003 ha adoptado la nueva
tecnologa de registros dinmicos de equipos en lugar de la tediosa actualizacin manual
de registros de recurso. Los clientes pueden registrar automticamente su equipo y su
puntero a los registros de recursos con el servidor DNS. Tambin, DNS de Windows
Server 2003 puede estar integrado con el directorio activo, lo cual mejora la seguridad,
la replicacin de la base de datos DNS, su administracin, etc.
Nombres NetBIOS
Aunque NetBIOS ya no es necesario en una red Windows Server 2003, es esencial para
mantener una compatibilidad hacia atrs con los sistemas anteriores basados en
Windows, por ejemplo Windows 9x y Windows NT, que utilizan NetBIOS para
comunicarse y para las aplicaciones que utilizan NetBIOS. Por esas razones, Windows
Server 2003 an incluye soporte para NetBIOS.
NetBIOS es una interfaz de software que se ha utilizado desde hace tiempo para
suministrar capacidades de comunicacin de red a las aplicaciones. Algunas de las
arquitecturas de redes originales de Windows NT que han sido incorporadas en
Windows Server 2003 dependen nicamente de NetBIOS para resolver el sistema de
nombres para identificar otros equipos en la red.
Un nombre NetBIOS est compuesto de 16 caracteres, el ltimo de los cuales queda
reservado para Windows para identificar funciones especiales de ciertos equipos, por
ejemplo controladores de dominio o navegadores. Cuando se habilita NetBIOS, a cada
equipo el sistema operativo le asigna un nombre NetBIOS. El nombre podra
corresponderse o no con el nombre de inicio de sesin del usuario o con el nombre del
equipo. Se usa el nombre NetBIOS cada vez que tecleamos una ruta de acceso UNC que
se refiere a un nodo de la red. NetBIOS ya no es una necesidad salvo que se tengan en la
red clientes d bajo nivel o aplicaciones dependientes de NetBIOS, pero an sigue
formando parte integral de la red de Windows. Los servicios de estaciones de trabajo y
de servidor que se ejecutan en todos los equipos Windows Server 2003/2000 utilizan
NetBIOS y hosting directo para brindar los servicios de archivos compartido desde
cualquier sistema operativo de red. Hosting directo es un protocolo que utiliza DNS
para la resolucin de nombres, en lugar de NetBIOS. La configuracin predeterminada
- 36 -
habilita NetBIOS y hosting directo, que se utilizan simultneamente para resolver

nombres de nuevas conexiones con otras mquinas.
Al ejecutarse sobre la interfaz de dispositivo de transporte, NetBIOS puede
tericamente utilizar cualquier protocolo compatible para sus necesidades de
comunicaciones de bajo nivel. Originalmente, los sistemas operativos anteriores a
Windows 2000 utilizaban NetBEUI (NetBIOS Extended User Interface) para
transportar el trfico NetBIOS. Sin embargo, NetBEUI no es enrutable, por lo tanto
cuando se propuso TCP/IP como alternativa las organizaciones comenzaron a trabajar
sobre un estndar abierto (despus publicado como una RFC) para definir el modo en el
cual los servicios NetBIOS podan ser suministrados utilizando protocolos TCP/IP. Este
estndar se conoci como NetBIOS sobre TCP/IP, o NetBT.
Las peticiones del servicio de red generadas por la interfaz NetBIOS utilizan nombres
de equipo NetBIOS para referirse a los otros sistemas. Para que TCP/IP transporte las
peticiones por la red, los nombres NetBIOS, como los nombres de equipo, deben ser
primero convertidos a direcciones IP.
Los nombres NetBIOS se resuelven como direcciones IP antes de la transmisin, por lo
tanto podemos utilizarlos en lugar de los nombres de equipo en las redes internas. Para
conectarse a un servidor Web intranet, por ejemplo, un usuario puede especificar el
nombre NetBIOS del servidor en un navegador Web, en lugar del tradicional nombre
del equipo. De la misma manera, podemos utilizar un nombre de equipo en una ruta de
acceso UNC, en lugar del nombre NetBIOS.
Archivo LMHOSTS
Cuando fracasa un intento de resolucin de nombre NetBIOS utilizando emisiones, la
siguiente alternativa que se consulta es el archivo LMHOSTS en la unidad de disco
duro local. Los clientes no WINS hacen esto automticamente. Para un cliente WINS es
la alternativa que sigue a los mtodos fallidos del uso de WINS y del uso de emisiones,
en tal caso se debe marcar la casilla de verificacin para habilitar las bsquedas
LMHOSTS en la pgina de Direccin WINS del cuadro de dilogo Propiedades TCP/IP.
Un archivo LMHOSTS es similar al archivo HOSTS utilizado para la resolucin de
nombres de equipos salvo que lista los nombres NetBIOS. Est ubicado en el mismo
directorio que HOSTS, %SystemRoot%\System32\drivers\etc., y Windows suministra un
archivo de ejemplo denominado lmhosts.sam para nuestro uso como modelo y a partir
del cual podemos crear nuestro propio archivo (es un archivo de texto, por lo tanto
podemos visualizarlo utilizando el bloc de notas).
Para un sistema que no es un cliente WINS, LMHOSTS es el nico mtodo de
resolucin de nombres disponible para los equipos que se encuentran en otros
segmentos de red. Los nombres NetBIOS en LMHOSTS se registran manualmente
editando el archivo y aadiendo una entrada para cada sistema al que se quiere
contactar. Cada entrada debera contener la direccin IP del sistema en el margen
izquierdo seguido por el nombre NetBIOS asociado, en la misma lnea y separado por
un espacio.
A diferencia de lo que sucede con el archivo HOSTS, los archivos LMHOSTS pueden
contener opciones adicionales que ayudan en el proceso de resolucin de nombres, las
cuales encontramos explicadas en el archivo lmhost.sam de ejemplo antes mencionado.
- 37 -
Resolucin NetBIOS Pre-Windows 2000 vs. Windows 2000 o superiores

A continuacin se exponen los mtodos de resolucin de nombres en equipos anteriores
y posteriores a Windows 2000, como puede apreciarse partir de Windows 2000 las
resoluciones de nombres pasan a depender prioritariamente del DNS, optimizandose el
mtodo, lo que redunda en una mejor respuesta global en las peticiones de red.
Resolucin NetBIOS pre-Windows 2000 Resolucin a partir de Windows 2000
Cache de nombres Nombre equipo

NetBIOS local
3 consultas a Cache de nombres

servidores WINS NetBIOS
3 intentos 3 consultas a
broadcast servidores WINS
Consulta archivo 3 intentos

LHHOSTS broadcast
Consulta archivo Consulta archivo

HOSTS LHHOSTS
Consulta a Consulta archivo

servidor DNS HOSTS
Error
Consulta a
servidor DNS
Dir IP
Error
Dir IP
- 38 -
Cundo se deja de depender de NetBIOS

Microsoft est intentando obtener una implementacin TCP/IP ms pura en el entorno
de red Windows. Ya no requiere NetBIOS para superponer a TCP/IP en la resolucin de
nombres; DNS se hace cargo de esa tarea. NetBIOS slo se soporta por los sistemas y
aplicaciones heredadas.
DNS simplemente es mejor: es una solucin para la resolucin de nombres ms
escalable y ms fiable. Ha superado la prueba del tiempo e Internet es el mejor ejemplo
de este xito.
Tal como se puede imaginar, cuanto antes dejemos de utilizar NetBIOS, tanto mejor
ser para nuestro entorno Windows. El primer paso es actualizar todos los clientes de
bajo nivel a la versin vigente de Windows.
Desgraciadamente, la actualizacin no completa nuestra tarea. Tambin tenemos que
verificar si se estn ejecutando aplicaciones que son dependientes de NetBIOS. Si
tenemos realmente aplicaciones basadas en NetBIOS y an es necesario mantenerlas,
podemos verificar con el fabricante para comprobar si existe una versin actualizada
que no dependa de NetBIOS (consejo: verificar la versin de Microsoft Office).
Despus que se deshabilita NetBIOS, todas las aplicaciones que dependen de l no
trabajarn correctamente o directamente no funcionarn. El paso final es realmente
deshabilitar NetBIOS en todos los equipos Windows Server 2003/XP/2000. Para hacer
esto, sganse estos pasos:
1. Desde el men Inicio>Configuracin seleccionar Conexiones de red.
2. Hacer clic con el botn secundario en el icono Conexin de rea local y
seleccionar Propiedades.
3. Seleccionar Protocolo Internet (TCP/IP) y seleccionar Propiedades.
4. En el cuadro de dilogo Propiedades, hacer clic en el botn Opciones avanzadas
para visualizar el cuadro de dilogo Configuracin avanzada de TCP/ IP
5. Pasar a la ficha WINS y seleccionar la opcin Deshabilitar NetBIOS sobre TCP/IP.
6. Hacer clic dos veces en Aceptar y despus hacer clic en Cerrar.
- 39 -
GRUPOS DE TRABAJO vs. DOMINIOS

Un dominio es una agrupacin de cuentas y recursos de red bajo un mismo nombre de
dominio y lmite de seguridad. Un grupo de trabajo es un tipo de agrupacin ms
bsico, diseado nicamente para ayudar a los usuarios a encontrar objetos como
impresoras y carpetas compartidas en ese grupo. Los dominios son la opcin
recomendada para todas las redes excepto para las muy pequeas con pocos usuarios.
En un grupo de trabajo los servidores funcionan de modo independiente y por tanto son
los nicos responsables de la seguridad de los recursos almacenados en ellos, por lo
dems el nombre del grupo de trabajo no es ms que una denominacin bajo la que
agrupar diversas mquinas. Sera lo que se conoce como una red pair to pair o entre
iguales. Es un tipo de organizacin heredada de anteriores versiones de Windows y se
hace muy complicada de administrar y poco amigable a los usuarios ya que se deber
gestionar y proporcionar una autenticacin para cada servidor.
En la configuracin de grupo de trabajo a los servidores se les denomina servidores
independientes. Algunas veces esta organizacin puede resultar interesante desde el
punto de vista de la seguridad, y se emplea en zonas de alto riesgo como en
configuracin de zonas DMZ.
Desde Windows 2000 un dominio lleva inevitablemente asociado el concepto de
Directorio Activo, no puede existir este sin apoyarse al menos en un dominio ni puede
existir un Dominio sin Directorio Activo asociado. En un dominio de Windows 2000 o
Windows Server 2003 sern los controladores de dominio los encargados de velar por la
seguridad de todo el dominio posibilitando una administracin centralizada de todos los
recursos y el concepto de single sign-on (autenticacin nica). A los servidores que no
son controladores de dominio se les conoce como servidores miembro.
Configuracin del grupo de trabajo o Dominio

Para cambiar la configuracin de grupo de trabajo o dominio de Windows as como para
cambiar el nombre del equipo en la red debemos pulsar con el botn derecho del ratn
sobre el icono de Mi PC y elegir Propiedades, pulsando a continuacin sobre la pestaa de
Nombre de equipo en el cuadro de dialogo que nos aparece.
En esta pestaa podemos observar el nombre del equipo en la red as como si nos
encontramos en una configuracin de dominio o de grupo de trabajo y el nombre que le
ha sido asignado a dicho dominio o grupo de trabajo en el que nos encontremos. La
configuracin por defecto de Windows se establece como servidor independiente, por lo
que si no hemos alterado esta configuracin despus de la instalacin del sistema
operativo nos encontraremos en un grupo de trabajo denominado GRUPO_TRABAJO si el
sistema operativo esta configurado en castellano o WORKGROUP si est en ingls.
Para cambiar est configuracin pulsaremos el botn <Cambiar> que se encuentra en la
parte inferior de este cuadro de dialogo.
- 40 -
Nos aparece el cuadro de dialogo de Cambios de identificacin, donde podremos

establecer un nuevo nombre para el equipo en la red y seleccionar la configuracin de
Dominio o Grupo de trabajo, introduciendo el nombre de grupo de trabajo o del dominio al
cual nos queremos unir respectivamente.
Una vez realizados los cambios pulsaremos el botn de <Aceptar> para establecer la
configuracin definitiva.
- 41 -
En el caso de que nos estemos uniendo a un dominio nos ser requerido el nombre y
contrasea de un usuario con privilegios de unir equipos al dominio. En principio
cualquier usuario autentificado en el dominio puede aadir hasta 10 estaciones de
trabajo al dominio y los Administradores del dominio pueden aadir equipos de forma
ilimitada, pero posteriormente un administrador puede dar permiso a otros usuarios para
unir equipos al dominio sin limitacin de nmero.
- 42 -
DIRECTORIO ACTIVO
Uno de los principales problemas actuales de las redes es encontrar y administrar
recursos. Conforme las redes han ido creciendo en tamao y complejidad, los usuarios
se enfrentan con el reto de buscar el servidor adecuado con el recurso adecuado,
mientras los administradores tratan con la sobrecogedora tarea de asegurar que todos los
servidores y recursos estn disponibles para los usuarios de la red. Cuando las redes
eran ms pequeas, esto no era un problema, pero en las grandes redes de hoy da y en
los entornos de trabajo distribuido, los servicios de directorio se han convertido en un
problema muy complejo.
La familia de servidores Windows se enfrenta a este problema con su nuevo servicio de
directorio, Active Directory. Active Directory almacena todos los recursos de red, como
usuarios, archivos, impresoras y bases de datos, dentro de una localizacin estructurada,
de modo que son fciles de localizar y usar. Como las redes de Windows 2000 /
Windows 2003 contienen slo controladores de dominio y no PDC y BDCs como en
Windows NT, todos los servidores mantienen en todo momento una copia exacta de la
base de datos mediante la duplicacin. As, Active Directory es la respuesta de
Microsoft a los servicios de directorio en los complejos entornos de computacin
actuales.
Qu es Active Directory?
Funcionalidad
Funcionalidad del
del Administracin
Administracin centralizada
centralizada
servicio de directorio
servicio de directorio
Punto
Punto nico
nico de
de administracin
administracin
Organizar
Organizar
Los
Los usuarios
usuarios se
se registran
registran una
una vez
vez
Administrar
Administrar Recursos
Recursos
para
para tener
tener un
un acceso
acceso completo
completo aa los
los
Control
Control recursos
recursos en
en todo
todo el
el directorio
directorio
El servicio Active Directory es bsicamente una forma de publicar objetos de inters.

En este caso, la cuenta de su usuario podra ser interesante, la impresora que utiliza un
- 43 -
grupo, una carpeta de datos compartida e incluso el enrutador que acaba de instalar. Los
Objetos de inters pueden incluir el conmutador o la nueva aplicacin PeopleSoft.
De manera potencial a todos estos elementos se puede tener acceso y administrar a
travs de Active Directory. Conforme pasa el tiempo se vern ms y ms proveedores,
tanto de software como de hardware, desarrollando sus productos para aprovechar
Active Directory, porque su interfaz intuitiva y centralizada simplifica la organizacin,
administracin y control de los recursos de la red.
Con Active Directory, los usuarios se registran una vez y tienen acceso a cualquier cosa
en el bosque que el administrador elija otorgarles. Active Directory no debe haber
ninguna razn para que un solo usuario tenga ms de una cuenta.
Caractersticas del Directorio Activo

Active Directory contiene varias caractersticas importantes que facilitan su
administracin y uso. A continuacin se ofrece una breve descripcin de estas
caractersticas.
Escalabilidad
Active Directory es altamente escalable. Sus servicios de directorio funcionan en un
entorno reducido, igual que en una gran red distribuida. Como Active Directory es
escalable, puede crecer con nuestra organizacin y es capaz de soportar un nmero
prcticamente ilimitado de objetos.
Extensibilidad
Active Directory es "extensible", lo que significa que los administradores pueden
personalizar las clases y objetos que aparecen dentro de Active Directory para
satisfacer las necesidades de la organizacin. Esta accin se realiza usando el
complemento Esquema de Active Directory, o a travs de ADSI (Active Directory
Services Interface), Interfaz de servicios del Directorio Activo.
Seguridad
Active Directory incorpora completamente las caractersticas de seguridad de
Windows 2000 y Windows 2003 Server. Con este nuevo diseo se puede habilitar un
control de acceso en cada objeto e incluso en cada propiedad de ese objeto. Este
diseo permite controlar completamente quin puede tener acceso a Active Directory.
Integracin de DNS y estndares

Los nombres de dominio en Windows 2000 / Windows 2003 son nombres DNS
porque Active Directory utiliza DNS como servicio de nombres y de ubicacin. A
partir de Windows 2000 Server se soporta DNS dinmico, lo que implica que las
direcciones IP asignadas dinmicamente a clientes que se encuentren actualmente
conectados, se pueden registrar con el servicio DNS, de modo que la tabla DNS se
actualiza dinmicamente. Active Directory tambin soporta directamente HTTP y
LDAP. LDAP permite encontrar objetos con facilidad dentro de Active Directory
utilizando la bsqueda y HTTP permite ver objetos dentro de Active Directory como
pginas web. Active Directory tambin soporta nombres de correo electrnico, como
minombre@miorganizacion.com y la nomenclatura UNC. Debido a estos estndares
- 44 -
abiertos de Active Directory, es fcil usar y trabajar con servicios de directorios

externos.
Tecnologas admitidas de Active Directory
DNS
DNS
SNTP
SNTP
DHCP
DHCP
Tecnologas
Tecnologasestndar
estndarde
deInternet
Internet
LDAP
LDAP
TCP/IP
TCP/IP
LDIF
LDIF
X.509
X.509
Kerberos
Kerberos
Convenciones de nomenclatura de Active Directory

Nombre completo
Cada objeto necesita un nombre distinto para que todo elemento del bosque pueda
identificarse de manera nica. Un bosque es como una estructura de archivo: no puede
colocar dos archivos del mismo nombre en el mismo directorio ni tampoco puede colocar
dos personas con el mismo nombre exactamente en el mismo lugar en el bosque. Aunque
puede tener dos usuarios con el mismo nombre, deben existir en distintos lugares.
Para satisfacer la necesidad para que cada objeto tenga un solo identificador, Active
Directory utiliza el nombre completo. Este ejemplo muestra a un usuario con un nombre
tan comn como Pedro Gmez. Se ubica en una unidad organizativa que se llama
Usuarios, que existe en un dominio llamado Contoso.com. Esto es excelente si est
iniciando en la parte superior del rbol y est trabajando en forma descendente.
Nombre completo relativo

Sin embargo, si ya est en la misma unidad organizativa, no necesita definir toda la ruta
al objeto solicitado. La idea de un nombre completo relativo especifica que siempre que
se encuentre en un bosque o en la estructura de rbol, slo necesita identificar parte del
nombre para llegar a ese objeto. En este ejemplo, si ya se encuentra en la unidad
organizativa llamada Usuarios, slo tiene que decir: Quiero encontrar a Pedro Gmez.
- 45 -
Si ya est en el dominio llamado Contoso, dir: Buscar en Usuarios y encontrar a

Pedro Gmez. Est definiendo la ruta del objeto en relacin con su posicin.
Nombre principal de usuario

El nombre principal de usuario es generalmente el nombre con el cual se registra el
usuario. Sin embargo, el usuario an necesita saber en qu dominio existe la cuenta
porque algunos usuarios podran tener mltiples dominios o podra tener mltiples
dominios con confianzas instaladas. En sus sistemas, las cuentas de correo electrnico
que proporciona a sus clientes podran no reflejar la estructura de dominio de su bosque.
Por lo tanto, puede asignar a un cliente la direccin pgomez, cuando ese usuario existe
en su bosque como un objeto con un nombre completo completamente diferente.
Identificador nico de manera global

En la versin 4.0 del sistema operativo Windows NT, cada objeto en el dominio tiene
un solo identificador de seguridad (SID). En Windows 2000, este concepto an aplica,
pero adems cada objeto necesita ser identificado de manera nica en todo el bosque.
Por lo tanto, cuando crea un objeto obtiene el SID, que se adhiere en el dominio, as
como el GUID, o Identificador nico global.
El SID puede cambiar de manera inesperada. Por ejemplo, si mueve un objeto de
usuario del dominio X al dominio Y, obtendr un nuevo SID, ya que ste est unido al
dominio. Sin embargo, el GUID para ese objeto nunca debe cambiar. Siempre que el
objeto exista en cualquier lugar dentro de la estructura del bosque, su GUID nunca debe
cambiar, lo que significa que el GUID se puede utilizar para realizar un seguimiento del
movimiento de objetos.
Convenciones de nomenclatura de Active Directory
Nombre completo
DC=com,DC=contoso,CN=Usuarios,CN=Pedro Gmez
Nombre completo relativo
Nombre principal de usuario
Identificador nico de manera global
Unicidad de nombres
- 46 -
Active Directory y DNS

Resolucin de nombre
Debido a que se necesita contar con alguna forma para traducir el nombre del servidor X
a una direccin IP, o para llegar a un web en el servidor X, que tiene una direccin IP,
los mtodos de resolucin de nombre familiares an siguen ah. Tiene la opcin de
realizar una transmisin NetBIOS y tener acceso a WINS, sin embargo estos mtodos
son heredados de Windows NT. El mtodo de resolucin de nombres propio de Active
Directory es DNS, que a su vez se encuentra integrado dentro del propio Directorio
Activo.
Adems, el Protocolo de actualizacin DNS dinmico se puede utilizar para obtener no
slo la direccin IP de un servidor, sino tambin la direccin IP de un servicio. Para
ilustrar la diferencia, considerese lo siguiente: en lugar de ir a DNS para obtener una
direccin IP para el servidor X, tal vez slo necesite conectarse a la red. Hasta ese
punto, le interesa o necesita saber cul es el controlador de dominio que lo autentica o
cul es su nombre? Lo que s sabe es que tiene que conectarse a un cierto dominio, as
es que cuando va a DNS ahora, no est preguntando por el nombre concreto de un
servidor, sino que est preguntando por los controladores de dominio que le permitirn
conectarse al dominio X. WINS ya hacia esto. Por lo tanto, tenga en mente que la
resolucin de nombre no slo involucra el nombre del equipo para la direccin IP, sino
tambin el identificador de un servicio.
Ubicacin de los componentes fsicos de Active Directory

Ubicar los componentes fsicos de Active Directory tiene que ver con permitir a los
usuarios encontrar fcilmente los recursos de la red que necesitan para hacer su trabajo.
Una vez que los usuarios se conecten, tal vez necesiten encontrar una impresora, el
directorio compartido de datos o una lista de todos los usuarios que viven en Seattle.
Esto suceder a travs del almacn de Active Directory, que est almacenado en los
controladores de dominio con algunos subconjuntos de esos componentes en los
Catlogos globales, pero finalmente deber asociarse el nombre del servicio solicitado a
alguna direccin IP.
Espacio de nombres
empresa.com
prod.empresa.com ventas.empresa.com admin.miempresa.com
dpto1.prod.empresa.com local.ventas.empresa.com dir1.admin.empresa.com
Como los nombres de Active Directory son nombres DNS, se puede usar un formato
de nomenclatura estndar como miorganizacion.com. Por definicin, un espacio de
- 47 -
nombres es un rea mediante la que se pueden resolver los nombres. Todos los
objetos que pertenezcan al espacio de nombres dependen del mismo esquema de
nombres y se pueden resolver al objeto que representa el nombre. As es cmo
Active Directory sabe que servidor1.miorganizacion.com es en realidad un servidor
concreto en una ubicacin especfica. Un espacio de nombres contiguo existe si
todos los objetos secundarios heredan el espacio de nombres del objeto principal. Un
espacio de nombres inconexo no sigue el formato heredado. En la figura se ofrece un
ejemplo de un espacio de nombres contiguo.
- 48 -
Diseo y organizacin del Directorio Activo

El Directorio Activo permite disear una estructura de directorios que cubra las
necesidades de nuestra organizacin, debemos tener cuidado antes de disear una
estructura para que sta ofrezca una solucin organizada y lgica. Lo que no debemos
olvidar es que el Directorio Activo permite organizar nuestro directorio con criterios de
bsqueda fcil para que los usuarios puedan acceder a los recursos que necesitan sin
tener que conocer el diseo fsico de la red y la ubicacin de los distintos servidores.
Para conseguir esto, el Directorio Activo se organiza en una estructura de rbol que
contiene los recursos de forma lgica. Esta organizacin se explica en las siguientes
secciones.
Estructura lgica
Este diagrama muestra la estructura lgica de un bosque. Los dominios, que hasta ahora
se haban dibujado en crculos, ahora se muestran como tringulos. El bosque por lo
general se mostrar como un tipo de cuadrado o rectngulo que incluye los otros
componentes. Cada dominio individual, tal como las unidades organizativas, por lo
comn se mostrarn como crculos, aunque en algunas ocasiones estn dibujados como
una estructura de carpeta de archivo. Las siguientes pginas definen los dominios,
unidades organizativas, rboles y bosques.
Estructura lgica
Dominios
Dominio
Dominio
Unidades organizativas
rboles y bosques rboles
OU
OU
Dominio
Dominio Dominio
Dominio
OU
OU OU
OU
Bosques Dominio
Dominio
Dominio
Dominio
rboles
Dominio
Dominio Dominio
Dominio
- 49 -
Dominio
La estructura organizativa del Directorio Activo se basa en el dominio. Esta estructura
sigue la estructura de dominio de red, y cada dominio guarda slo la informacin sobre
sus objetos. Por motivos prcticos, cada dominio, en esencia, puede contener un nmero
ilimitado de recursos, con un lmite terico de aproximadamente 10 millones.
Dominios
Lmite de seguridad
Limite administrativo
Unidad de duplicacin
Modos de dominio
Modo combinado Modo nativo
Controlador
Controlador de
de dominio
dominio
(Windows
(Windows Server
Server 2003)
2003)
yy
Controladores
Controladores de
de dominio
dominio (slo
(slo
Controlador
Controlador de
de dominio
dominio en
en Windows
Windows Server
Server 2003)
2003)
(Windows
(Windows NT
NT 4.0)
4.0)
En Windows NT, un dominio era un lmite de seguridad, un lmite administrativo y una

unidad de replicacin. Si se trabajaba en un dominio Windows NT, se tenan tres cosas.
Si era el administrador del Dominio Uno, le perteneca. Si se tenan dos controladores
de dominio en este dominio, se comunicaban entre s y ambos tenan una copia
completa de cada objeto en ese dominio. Y, si en su dominio se haba definido una
longitud mnima para la contrasea de 10 caracteres, sta era una decisin para todo el
dominio.
En Windows 2000 y Windows 2003, estas tres funciones no han cambiado, el dominio
sigue siendo un lmite de seguridad, un limite administrativo y una unidad de
replicacin. El lmite de seguridad se logra mediante la ACL (Access Control List),
Listas de control de acceso. La ACL del dominio contiene todos los permisos para los
recursos del dominio, Adems, se puede ejecutar su dominio en alguno de los modos
combinados o nativo.
Cuando desarrolle su primer controlador de dominio, viene en modo combinado. No
tiene ninguna otra opcin durante la instalacin. De hecho, es lgico que no tenga
opcin: si est realizando una migracin, la diferencia entre el modo combinado y el
nativo es que si cuenta con controladores de dominio en arquitecturas anteriores tiene
que ejecutarlos en el modo combinado o de compatibilidad.
- 50 -
Imagine que ya est listo para iniciar la migracin del dominio Windows NT. Ejecutar
la actualizacin en el controlador de dominio principal y se convertir en un controlador
de dominio Windows 2003. Hasta ese punto, cada controlador de dominio en el dominio
an necesita ver este dominio recin actualizado como el controlador de dominio
principal. Por lo tanto, lo ejecutar en el modo combinado, lo que significa que los
elementos como SID se crean secuencialmente, algo que a los controladores de dominio
de reserva les gusta ver.
Tambin significa que siempre que se contacte al controlador de dominio de reserva
para realizar cambios, vendr aqu para obtener esos cambios. Conforme migre o
actualice otros controladores de dominio de reserva, estos se convertirn en
controladores de dominio Windows 2003; de esta manera, todo el concepto del
controlador de dominio principal/controlador de dominio de reserva (PDC/BDC)
realmente se est eliminando. Los controladores de dominio de Active Directory son en
esencia iguales y los cambios se pueden realizar en cualquiera de esos equipos.
Despus de que actualice todos los equipos BDC de NT a los controladores de dominio
Windows Server 2003, ya no tiene ninguna razn apremiante para ejecutar ms en el
modo combinado. Debido a que todos estos equipos ahora son controladores de dominio
de Active Directory, todas comprenden el concepto de transferir datos en una relacin
de igual a igual, en oposicin a la relacin PDC/BDC, que es bsicamente un
movimiento de informacin de una sola va.
Tomar la decisin de ejecutar en modo nativo cuando todos sus controladores de
dominio se hayan actualizado a Windows Server 2003. Pero, cuando actualice ese
primer controlador de dominio principal, aparecer en un modo combinado y continuar
contactando a los controladores de dominio de reserva hasta que decida cambiar al
modo nativo.
La transicin del modo combinado al modo nativo es para todos los propsitos prcticos
un viaje de un solo sentido. Para volver al modo combinado desde el nativo tendr que
restaurar desde las cintas de copia de seguridad. Por lo tanto, desear estar seguro que
ya est listo para cambiar al modo nativo antes de hacerlo.
Los recursos del dominio se organizan en OU (Organizational Units), Unidades
organizativas(mejor traducido por Departamentos en castellano). Podemos imaginar una
OU como una carpeta de archivos que contiene archivos adecuados. Las OU contienen
agrupaciones lgicas de recursos, como archivos, impresoras, bases de datos,
aplicaciones y otros recursos de dominio.
Imagine que tiene un dominio Windows NT 4.0 y desea que una persona sea el
administrador para la mitad de los usuarios y que otra persona administre la otra mitad.
En Windows NT esto es casi imposible. No puede dividir un dominio Windows NT 4.0
de manera administrativa; puede ser que administre todos los usuarios o que no
administre ninguno de ellos. No sera maravilloso que un solo dominio se pudiera
dividir para que Tom administre a todos en Los Angeles, y Mary administre todos en
Nueva York, y no se afecten entre s? Esto es lo que una estructura de una unidad
organizativa permite hacer.
Aunque existen otras razones para crear Unidades organizativas, esta habilidad es
ciertamente una de las principales. Existen varias filosofas sobre cmo crear este
modelo, puede dividir por aplicaciones, impresoras, ubicaciones, usuarios y dems, pero
- 51 -
una de las mejores es disear la estructura de la unidad organizativa despus de su

modelo administrativo en lugar de su modelo empresarial.
No existe una ventaja para que los usuarios diseen la Unidad organizativa en las
divisiones de negocios porque no necesitan saber su unidad organizativa para
conectarse, en realidad nunca utilizan su nombre de unidad organizativa. Adems,
modelar la estructura de la unidad organizativa despus de la del negocio podra ser una
gran desventaja para su personal administrativo. En lugar de eso, observe el modelo
administrativo que est utilizando ahora. Si su estructura de dominio se basa en la
geografa, esa podra ser una buena forma de disear su estructura de unidad
organizativa.
Disear Unidades organizativas de acuerdo con:
Estructura
Estructura organizacional
organizacional Modelo
Modelo administrativo
administrativo de
de red
red
Pars Ventas
Ventas Usuarios
Reparacin Computadoras
Delegar el control administrativo a nivel de la unidad

organizativa
Las unidades organizativas permiten el modelo de
dominio nico
Sin importar cul modelo elija para la estructura de unidad organizativa, el punto es
lograr que el sistema sea ms fcil de administrar.
Objetos
Las unidades organizativas contienen objetos o recursos. Un objeto puede ser cualquier
recurso de dominio, como archivos, aplicaciones o incluso usuarios. Los objetos pueden
organizarse en clases que agrupen ciertos tipos de objetos. Como vemos en la figura, los
objetos se incluyen en las OU y las OU se incluyen en un dominio.
rboles y bosques
Cuando desarrolla ese primer controlador de dominio, est desarrollando el dominio de
raz en el bosque. Este es un dominio muy especial en este bosque porque establece toda
la estructura del bosque. Todas las confianzas, todo el acceso a los objetos, se ejecutar
a travs de este dominio. Si este dominio fuera a desaparecer, tendra que reconstruir su
- 52 -
bosque. Por lo tanto, ser ciertamente interesante mantener al menos dos controladores
de domino replicndose este nivel.
rboles y bosques
(raz)
Confianzas
Confianzastransitivas
transitivasde
dedos
dosvas
vas
contoso.com
contoso.com
Bosques
china. rbol japan.
china. japan.
contoso.com
contoso.com contoso.com
contoso.com
nwtraders.com
nwtraders.com
rbol
china..
china japan ..
japan
nwtraders.com
nwtraders.com nwtraders.com
nwtraders.com Dominio
Dominio
Confianza
Windows
WindowsNT
NT4.0
4.0
Confianzaque
queno
noesestransitiva
transitivade
deuna
una
va
va
Durante la instalacin, se le solicitar que nombre el dominio. Cuando desarrolle el

dominio de raz, el bosque toma el nombre del dominio de raz. En este ejemplo, el
dominio de raz se llama contoso.com, por lo que el bosque recibir ese mismo nombre
tambin.
Conforme comience a agregar otros dominios, tendr dos opciones bsicas:
1. Puede incorporar los nuevos dominios en un rbol existente, que es exactamente lo
que sucede en este ejemplo. Observe que el espacio de nombre inicia a tomar los
nombres del dominio principal, en realidad no tiene opcin alguna. As, si incorpora
a China en el rbol existente, ste se llamar china.contoso.com. Si incluye otro
dominio en ese mismo, ser domain1.china.contoso.com, manteniendo el espacio de
nombre contiguo a travs de esa estructura de rbol.
2. Su otra opcin es permanecer en el mismo bosque pero teniendo un dominio o
espacio de nombre DNS diferente. Hasta ese punto, lo que est diciendo es: nete al
bosque contoso.com, pero no entres al rbol existente. Entra como tu propia raz de
rbol.
El diagrama muestra otra raz de rbol, pero no es otra raz de bosque. Como se
mencion arriba, si pierde contoso, perder el bosque. Pero ahora ha creado un nuevo
espacio de nombre DNS, en el cual puede comenzar a desarrollar un rbol debajo, con
el mismo requisito de continuar ese nombre DNS hacia abajo a travs de la estructura.
- 53 -
De forma predeterminada, obtendr confianzas transitivas de dos vas entre todos los
dominios en su bosque.
Esto significa que si un usuario en el dominio de China necesita utilizar una impresora
en Japn, puede ofrecerles esa habilidad. Debido a la relacin de confianza de dos vas,
puede llegar a cualquier recurso en el bosque fcilmente.
Adems, tal vez necesite desarrollar relaciones con otros dominios. Por ejemplo, puede
estar a la mitad del proceso de la migracin y tener algunos dominios en un bosque,
pero no todos. Si necesita que las confianzas estn en su lugar durante la migracin,
tiene la habilidad de desarrollar lo que es en esencia una confianza de Windows NT 4.0
porque es de una va y no es transitivo. Adems, cualquier confianza existente
permanecer en su lugar durante el proceso de actualizacin. Este diagrama muestra
confianzas transitivas de dos vas.
Lo que es ms, si as lo desea, puede crear confianzas adicionales dentro de su propio
bosque. Cuando el usuario en Japan.nwtraders intenta llegar a la impresora, esa solicitud
pasar del dominio del usuario hasta la raz y volver. Una vez que ese usuario recorre
esa ruta una vez, el sistema le ofrece un ticket para que la siguiente vez que necesite
llegar a ese recurso lo pueda hacer. Mientras tanto, si tiene un dominio grande, o un
bosque grande con una gran cantidad de dominios y rboles, y desea otorgar acceso de
un lugar a otro, puede crear una confianza, a modo de atajo, para que eso suceda.
El punto es que no est completamente bloqueado en la estructura que se le dio. Puede
crear confianzas adicionales incluso dentro de su propio bosque, si as lo requiere.
Finalmente, por qu la confianza transitiva es tan diferente de las confianzas en
Windows NT 4.0? Es de dos vas. En Windows NT 4.0, podra decir, si A confa en B y
B confa en C, eso no le dice absolutamente nada acerca de A y C. Una confianza
transitiva es exactamente lo opuesto a eso. En este caso, si A confa en B y B confa en
C, entonces pueden pasar de A a C a travs de B. Esto es una confianza transitiva.
Tambin significa que no terminar con una gran cantidad de dominios con una
cantidad increblemente grande de confianzas de dos vas pasando entre ellos; no pasar
mucho tiempo antes de que se d cuenta de que tiene algunos diagramas de confianzas
realmente horribles. Esto se encargar de ese problema.
Estructura fsica
Con el concepto del sitio y la estructura fsica, surgen preguntas en relacin con los
controladores de dominio, el trfico entre los controladores de dominio, y el concepto
de la creacin del sitio.
Si ha trabajado con Microsoft Exchange Server, el concepto de los sitios le debe resultar
de alguna forma familiar. Con el concepto de sitio a partir de Windows 2000 se evitan
una gran cantidad de limitaciones que existan con Windows NT 4.0.
Sitios
Un sitio hospeda la estructura fsica del Directorio Activo. Los usuarios del Directorio
Activo ven los objetos no en trminos de un sitio sino en trminos de rboles y
dominios. El sitio, sin embargo, se mantiene por motivos de administracin de red, en
primer lugar para la replicacin. Los sitios se conectan internamente a travs de enlaces
de alta velocidad para que pueda darse la replicacin del directorio intra-sitio. Active
Directory usa rplica multimaster, lo que significa que no hay un controlador de
- 54 -
dominio que sea el replicador maestro, sino que todos los controladores de dominio
funcionan a la par para replicar cambios en sus recursos de dominio a los otros
dominios.
Sitios
Seattle
New York
Chicago
Los Angeles
Subred IP
Sitio
Subred IP
Imagine que tiene un solo dominio que abarca California y tiene controladores de
dominio en Los ngeles con un controlador de dominio principal en San Francisco. La
Costa Oeste de Estados Unidos funciona bien porque puede obtener todo el ancho de
banda que necesite. Sin embargo, quiere cambiarse a Sudamrica que no cuenta con el
nivel de conectividad que est disponible en este pas.
En Windows NT, todos los cambios deben llevarse a cabo en el controlador de dominio
principal. Sin embargo, el controlador de dominio de reserva en Brasil necesita obtener
esos cambios tambin. Debido a que todo sucede en el controlador de dominio
principal, slo tiene que tratar con el trfico de replicacin. Si ese conector se desactiva
durante un periodo largo, cuando vuelva tal vez vea una sincronizacin de toda su base
de datos SAM (Administrador de cuentas de seguridad) teniendo lugar a travs de ese
conector WAN. Debido a la forma en que funciona la relacin PDC/BDC, cuando el
controlador de dominio de reserva se dirige al registro de cambio, busca optimizar su
propio consumo de tiempo. Si ve su consumo de tiempo, sabe cules son los cambios y
los baja. Si no ve el consumo de tiempo, BDC simplemente toma toda la base de datos.
Puede intentar arreglar esta situacin al utilizar la administracin de replicacin y la
administracin de sincronizacin para realizar cambios con menos frecuencia. Pero eso
realmente no hace nada por reducir el trfico, slo resulta en ms trfico menos
frecuente. Aun as, el trfico de replicacin o sincronizacin suceder de cualquier
forma, porque en caso de que suceda un cambio, el trfico ocurrir. As, lo que estos
mtodos realmente pueden hacer es administrar cundo ocurren los cambios.
- 55 -
En el escenario de California, cuenta con un controlador de dominio principal, uno de

reserva en la misma habitacin y posiblemente otro de reserva. Cuenta con uno de
reserva en Los ngeles y con otro de reserva en Brasil. Si cambia el tiempo de
replicacin en el principal, afectar a una gran cantidad de usuarios porque ese
controlador de dominio tan lejano no puede administrar una sincronizacin cada cinco
minutos (que es el tiempo predeterminado). Sin embargo, tener los dos equipos en la
misma habitacin replicando cada cinco minutos no sera ningn problema sino todo lo
contrario. Por desgracia, Windows NT 4.0 no tena forma de especificar cun a menudo
los dominios se replicaran.
Todo eso conlleva al concepto de sitios. Un sitio es una coleccin de subredes IP. Un
sitio puede tener tantas subredes en l como desee incluir, pero una subred no puede
abarcar sitios mltiples. Si imagina el sitio como un limite fsico, es lgico que no desee
una subred que cruce desde Brasil a Los ngeles. Por ejemplo, si tiene una gran
cantidad de usuarios en Los ngeles, podra ser perfectamente apropiado tener subredes
mltiples como parte del mismo sitio. Una vez que defina sus sitios, puede comenzar a
refinar la replicacin entre ellos. Puede especificar que los dos equipos en el mismo
sitio, llamadas San Francisco, se dupliquen entre s siempre que lo deseen. Sin embargo,
este equipo en Los ngeles es un conector un poco ms lento por lo que estos equipos
pueden duplicarse slo cada 30 minutos. Y el periodo de tiempo para ese en Brasil debe
ser de seis horas.
En otras palabras, aunque no pueda hacer mucho sobre la cantidad de trfico que tiene
que moverse, s tiene ms control.
- 56 -
ADMINISTRACIN DE USUARIOS
Como hemos visto la ubicacin de la informacin de seguridad difiere un tanto si
nuestra red esta organiza en grupos de trabajo o si en cambio hemos elegido una
configuracin de dominio con Active Directory.
En el primer caso la informacin referente a las cuentas de usuario y permisos se
almacenan en cada servidor independiente, por tanto ser en cada servidor donde
tengamos que crear las cuentas de usuario y grupos. Sin embargo si hemos instalado
Active Directory ser ah donde se guarde la informacin de todos los recursos de forma
centralizada y ser desde all desde donde realizaremos toda la administracin de los
recursos.
Usuarios y grupos locales de mquina

Tanto en los servidores independientes configurados en grupos de trabajo como en los
servidores miembros de dominio tenemos la posibilidad de crear usuarios y grupos a
nivel local. Los servidores miembros de dominio estarn sometidos a las polticas de
seguridad impuestas en Active Directory por los controladores del dominio, sin
embargo, como veremos, a veces tambin puede resultar interesante la creacin de
usuarios a nivel local para arrancar algunos servicios o grupos a nivel local para
establecer una ms potente y correcta organizacin del acceso a los recursos.
Los usuarios y grupos a nivel local de mquina es un concepto que no ha variado
respecto a la versin de Windows NT 4.0, si acaso a variado el interfaz y algunas de las
propiedades.
Con los usuarios locales de mquina podremos administrar el acceso a los recursos y
servicios de la propia mquina en que los hayamos creado, nunca de otras mquinas u
objetos de Active Directory, para eso deberemos emplear usuarios o grupos de dominio.
No podemos crear usuarios ni grupos locales de mquina en los controladores de
dominio, en su lugar se utilizarn usuarios de dominio y grupos locales de dominio en el
Active Directory.
Gestin de usuarios locales de mquina

Windows 2000 / Windows 2003 Server tiene dos cuentas de usuario locales
preconfiguradas Administrador e Invitado que no est permitido eliminar. La del
administrador es una cuenta especial con todos los privilegios del sistema, no debe
utilizarse como cuenta habitual de trabajo y es el ltimo recurso de acceso a la mquina
incluso en el caso de que no podamos iniciar sesin en un dominio, ante un problema de
red por ejemplo. Un aspecto este muy recomendable por motivos de seguridad es
cambiar de nombre a esta cuenta. La cuenta de invitado viene por defecto desactivada y
podremos activarla en caso necesario.
Para crear nuevas cuentas de usuarios a nivel local seguiremos el siguiente
procedimiento:
1. Hacemos clic en Inicio > Programas > Herramientas administrativas >
Administracin de equipos o con el botn derecho del ratn sobre Mi PC
seleccionamos Administrar.
- 57 -
2. Nos dirigimos a la carpeta Usuarios dentro de Usuario locales y Grupos y

hacemos clic con el botn derecho del ratn sobre ella seleccionando la opcin
crear nueva cuenta de usuario.
3. Nos aparece una ficha como la mostrada en la figura para que rellenemos los
campos correspondientes. Nombre de usuario ser el nombre de la cuenta que se
utilice para iniciar sesin. Los campos Nombre completo y Descripcin son
opcionales.
4. Establecemos la contrasea inicial del usuario si es que queremos que tenga
alguna y marcamos las opciones que deseemos utilizar de la parte inferior. El
usuario debe cambiar la contrasea en el siguiente inicio de sesin obligar al
usuario a establecer una contrasea nueva la prxima vez que inicie sesin. El
usuario no puede cambiar la contrasea impide el cambio de contraseas por
parte del usuario. La contrasea nunca caduca permite mantener la misma
contrasea en la cuenta indefinidamente, en caso contrario obligar a cambiarla
trascurrido el periodo marcado en las polticas de seguridad. Cuenta
deshabilitada impide el inicio de sesin con esa cuenta.
5. Pulsaremos el botn Crear para que se genere la nueva cuenta, tras lo cual nos
aparecer la ficha en blanco por si queremos generar ms cuentas. Pulsaremos
Cerrar si no queremos generar nuevas cuentas
Una vez generadas las cuentas haciendo doble clic sobre ellas veremos sus propiedades
y podremos gestionar otras caractersticas de las mismas a travs de las fichas que se
nos muestran.
General
En esta ficha podemos modificar las propiedades establecidas cuando se gener la
cuenta del usuario. Todas excepto el propio nombre de la cuenta para el inicio de sesin.
Este lo cambiaremos haciendo clic con el botn derecho del ratn sobre la cuenta de
usuario en la pantalla del Administrador de equipos y seleccionando cambiar nombre.
- 58 -
Adems podemos observar que nos aparece una opcin nueva, cuenta bloqueada, esta
la utilizaremos para habilitar manualmente la cuenta cuando haya sido automticamente
desactivada por sucesivos intentos de inicio de sesin errneos debido a una poltica de
seguridad habilitada en el sistema.
Miembro de
A travs de esta ficha veremos y gestionaremos la pertenencia del usuario a los grupos,
utilizando para ello los botones Agregar y Quitar
- 59 -
Perfil
En esta ficha podemos establecer la Ruta de acceso al perfil del usuario en caso de que
este sea mvil, el perfil es la configuracin personal del usuario a nivel de iconos de
escritorio personalizacin de vistas y datos de programas etc. Tambin podremos
indicar un Archivo de comandos de inicio de sesin, un script que se ejecutar cada vez
que inicie sesin el usuario con el fin de prepararle adecuadamente el entorno de
trabajo. La Carpeta particular es la carpeta de trabajo del usuario, puede ser una carpeta
a nivel local o una ubicacin de la red a la que el sistema automticamente conectara
una unidad de red en el inicio de sesin. Estas rutas tanto de perfil como de carpeta
particular son opcionales y en caso de no ser indicadas el sistema guardar los datos y
configuraciones de los usuarios en la carpeta Documents and Settings del disco del
sistema.
Entorno, Sesiones, Control remoto y Perfil de Servicios de Terminal

Las siguientes cuatro fichas muestras propiedades y aspectos de configuracin para
cuando el usuario inicio sesin en un servidor de aplicaciones desde un terminal remoto
a travs de los Servicios de Terminal. Un servidor de aplicaciones es un tipo de servidor
que ejecuta aplicaciones de forma centralizada para los usuarios enviando a estos una
imagen de los resultados a una sesin de terminal a la que se conectan.
Algunas de las propiedades no son aplicables directamente a Windows 2000 Server
configurado como servidor de aplicaciones, sino que estn preparadas para trabajar con
Citrix MetaFrame y su cliente de terminal ICA, un producto que se instala sobre un
servidor de aplicaciones de Windows 2000 y potencia sus capacidades y configuracin
como servidor de aplicaciones.
- 60 -
Ficha de Entorno de trabajo de terminales.
Ficha de propiedades de las sesiones de terminal
- 61 -
Ficha de control remoto de sesiones de terminal
Ficha de perfil de usuario para sesiones de terminal
- 62 -
Marcado
La pgina Marcado permite configurar el acceso remoto para el usuario, en caso que
fuera necesario. En la parte superior de la ventana podemos seleccionar Permitir acceso
para permitir al usuario tener acceso al servidor de acceso remoto a travs de acceso
telefnico o VPN. Tambin podemos permitir opciones de devolucin de llamada
activando el botn de opcin adecuado en medio de la ventana. Dependiendo de la
configuracin de acceso remoto tambin podemos asignar una direccin IP esttica al
usuario y asignarle una ruta esttica. De forma predeterminada, el acceso telefnico
se deniega al usuario hasta que lo habilitamos en su pgina de propiedades.
Gestin de grupos locales de Mquina

La creacin de grupos locales de mquina la realizaremos de forma anloga a como se
realiza la creacin de usuarios locales de mquina, slo que las propiedades a rellenar
son menos numerosas y ms sencillas.
A travs de la ficha de grupos locales de mquina podremos ver y gestionar los
miembros de los grupos locales, que pueden ser usuarios o otros grupos del Directorio
asociado al dominio del que la mquina sea miembro. Usando los botones <Agregar> y
<Quitar> gestionaremos la pertenencia a grupos.
As como los usuarios locales de mquina pierden importancia cuando la mquina es
miembro de algn dominio a favor de los usuarios de Active Directory no as los grupos
locales que tienen una importancia an mayor si cabe en la correcta gestin de los
permisos de acceso a los recursos de la mquina cuando esta es miembro de algn
domino como veremos ms adelante.
- 63 -
Ficha de propiedades de grupos locales
Unidades Organizativas de Active Directory

Las unidades Organizativas son los contenedores dentro de los cuales se organizan y
estructuran los distintos objetos de un dominio en el Directorio Activo. Adems Active
Directory permite crear unas unidades organizativas dentro de otras para representar
todo tipo de organizaciones
Por todo ello, antes de plantearnos la creacin de objetos dentro de Active Directory
debemos plantearnos el tipo de estructura y organizacin que queremos utilizar y para
llevarla a cabo crearemos las unidades organizativas correspondientes.
Creacin de unidades organizativas

Se puede agregar fcilmente una unidad organizativa a nuestro rbol de dominio
siguiendo los siguientes pasos:
1. En el rbol de la consola de Usuarios y equipos de Active Directory, expandimos el
nodo del dominio.
2. Hacemos clic con el botn derecho sobre el nodo de dominio o en una carpeta
dentro del nodo de dominio en el que se quiera agregar una OU.
3. Elegimos Nuevo y hacemos clic sobre Unidad organizativa.
4. Escribimos el nombre de la OU en la ventana que aparece y hacemos clic en
<Aceptar>.
- 64 -
Mover unidades organizativas

Podemos mover una unidad organizativa a otra unidad organizativa o a otro contenedor
en el rbol de dominio. Para mover una OU seguiremos los siguientes pasos:
1. En el rbol de la consola de Usuarios y equipos de Active Directory, expandimos el
nodo de dominio.
2. Hacemos clic con el botn derecho en la OU y elegimos Mover.
3. Aparece la ventana Mover. Expandimos el dominio y seleccionamos la carpeta a
la que queramos mover la unidad organizativa. Hacemos clic en <Aceptar>.
- 65 -
Eliminar unidades organizativas

Se puede eliminar fcilmente una unidad organizativa haciendo clic con el botn
derecho del ratn en la OU y seleccionando Eliminar. Deberemos confirmar la orden de
eliminacin haciendo clic en S o No.
Usuarios y grupos de Active Directory

La administracin de cuentas de usuario y de grupo es una tarea algo absorbente para
los administradores de red. Para la mayora de ellos, crear, configurar y administrar
cuentas de usuario y de grupo no es diferente a como era desde los tiempos de
Windows NT, hay ms opciones que configurar pero las tareas siguen siendo las
mismas. Como hemos visto a partir de Windows 2000 ya no disponemos del
Administrador de usuarios para dominios; las cuentas de usuario, equipo y grupos se
administran ahora con el complemento Usuarios y equipos de Active Directory. Este
- 66 -
captulo muestra cmo crear, configurar y administrar cuentas de usuario y grupo en

en servidores Windows con Active Directory.
Las cuentas de usuario y de equipo en Active Directory

Tanto las cuentas de Usuario como las de equipo deben estar habilitadas para ofrecer
derechos de acceso, as como restricciones tanto a usuarios de red como a equipos
que pertenezcan a la red. Windows con Active Directory ofrece dos modos diferentes
de cuentas de usuario: cuentas de usuario de dominio y cuentas de usuario local.
Cuando un usuario se conecta al dominio, la cuenta de usuario y su contrasea se
verifican con el SID (Security ID), Id. de seguridad para esa cuenta. Si la cuenta es
vlida, la cuenta se autentica por el controlador de dominio y el usuario recibe un
testigo de acceso. La informacin de la cuenta de usuario se replica a los otros
controladores de dominio para que el usuario pueda tener acceso a los recursos del
dominio. La cuenta de usuario local permite al usuario conectar con un equipo
concreto y tener acceso a los recursos que existan en la mquina. La cuenta del
equipo local se crea slo en la base de datos de seguridad del equipo y su informacin
de cuenta no se replica a los controladores de dominio. Los usuarios que acceden a un
equipo local usando una cuenta de equipo local no podrn usar los recursos que
existan en el dominio.
El Directorio Activo de Windows contiene dos cuentas incorporadas, la cuenta del
administrador y la cuenta de invitado. La cuenta de invitado se deshabilita de forma
predeterminada y se puede habilitar y asignarle una contrasea si hace falta. Podemos
volver a nombrar la cuenta de invitado pero no podemos eliminarla.
Es importante recordar al crear cuentas de usuario que los nombres de inicio de sesin
de usuario deben ser nicos, no pueden contener ms de 20 caracteres, y los siguientes
caracteres no son vlidos: "/\[];|=,+*?<>. Las maysculas no influyen en los nombres
de inicio de sesin de usuario, pero s en las contraseas.
Creacin de cuentas de usuario de dominio

Para crear una cuenta de usuario, podemos seguir estos pasos:
1. Hacemos clic en Inicio > Programas > Herramientas administrativas > Usuarios
y equipos de Active Directory.
2. Expandimos el dominio dentro de la consola.
3. Hacemos clic con el botn derecho en el contenedor Usuarios, o en la OU
donde quiera crear una cuenta de usuario, se selecciona Nuevo y hacemos clic
en Usuario, o simplemente seleccionamos el icono Nuevo usuario en la barra de
tareas. Aparece Crear nuevo objeto (Usuario), como se muestra en la figura.
Escribimos el nombre del usuario y el nombre de inicio de sesin. El nombre
de inicio de sesin a bajo nivel, que usar con servidores de Windows
anteriores, como NT, se muestra automticamente. A continuacin, hacemos
clic en <Siguiente>.
4. En la siguiente ventana, se debe escribir la contrasea para el usuario y activar
las casillas de verificacin adecuadas, como muestra la figura. Tenemos la
opcin de elegir El usuario debe cambiar la contrasea en el siguiente inicio de sesin,
El usuario no puede cambiar la contrasea, La contrasea nunca caduca o Cuenta
deshabilitada. Realizamos la seleccin y hacemos clic en <Siguiente>.
- 67 -
5. Aparece una pgina de resumen, como se muestra en la figura. Se revisa la

cuenta y hacemos clic en el botn <Finalizar> para crear la cuenta, o
seleccionamos el botn <Atrs> para realizar cambios.
Configuracin de las propiedades de cuenta

Una vez creada una cuenta de usuario, podemos configurar informacin adicional sobre
la cuenta para especificar ms detalles sobre el usuario y asignar al usuario ciertos
derechos y privilegios de acceso. Para configurar una cuenta de usuario, localice la
cuenta de usuario que quiera configurar, haga clic con el botn derecho sobre ella y
seleccione sus propiedades. La pgina de propiedades del usuario se abre mostrando
ocho fichas. Pueden aparecer ms fichas en funcin de la configuracin del sistema.
Las siguientes secciones muestran cmo podemos configurar cada pgina.
General
En la pgina General, que se muestra en la siguiente figura, podemos escribir
informacin adicional sobre el usuario, como una descripcin del usuario, informacin
del lugar de trabajo, telfono, correo electrnico y la pgina personal de usuario, si
dispone de ella. Podemos seleccionar el botn <Otros> para escribir informacin
adicional o pginas de acceso web adicionales si es necesario.
- 68 -
Direccin
En la hoja de propiedades Direccin, que se muestra en la figura, podemos escribir la
direccin del usuario escribiendo los datos en el cuadro correspondiente. Use el men
desplegable Pas / regin para seleccionar el pas o la regin apropiada.
Cuenta
La hoja de propiedades Cuenta, se presenta el nombre de inicio de sesin de usuario y el
nombre de inicio de sesin de bajo nivel. En esta pgina tenemos las siguientes opciones
de cuenta para el usuario:
El usuario debe cambiar de contrasea en el siguiente inicio de sesin.
El usuario no puede cambiar de contrasea.
La contrasea nunca caduca.
Almacenar contrasea como texto sencillo cifrado.
Cuenta deshabilitada.
El usuario debe iniciar sesin utilizando una tarjeta inteligente.
- 69 -
La cuenta debe estar aprobada por la delegacin.
La cuenta es importante y no se puede delegar.
Utilizar tipos de cifrado DES para esta cuenta (DES es un estndar de cifrado de datos
basado en algoritmos de cifrado que se usan para ofrecer confidencialidad).
No requerir autenticacin previa Kerberos (lo que cifra la contrasea en cuanto se
comienza a enviar al servidor de autenticacin).
En la parte inferior de la pantalla tambin podemos establecer una fecha de caducidad

para la cuenta si sta es temporal y queremos que desaparezca. Para establecer una fecha
de caducidad, active la opcin Final de y, a continuacin, utilice el men desplegable para
seleccionar la fecha de caducidad para la cuenta.
Al seleccionar el botn Horas de inicio de sesin, podemos restringir el acceso a ciertos das
y horas de la semana si es necesario. La pgina Horas de inicio de sesin, que se puede
ver en la figura, muestra una cuadrcula que representa cada da y cada hora de la semana.
Las cuadrculas azules permiten el inicio de sesin mientras que las cuadrculas blancas
lo deniegan. Para realizar cambios, seleccione en las secciones de cuadrcula los das y
horas y active los botones de opcin Inicio de sesin permitido o Inicio de sesin
denegado. En el ejemplo de la siguiente figura, el usuario puede iniciar sesin las 24
horas de lunes a sbado, pero no tiene acceso los domingos.
- 70 -
Al seleccionar el botn Iniciar sesin en, podemos restringir las estaciones de trabajo en
las que puede iniciar sesin el usuario. Esta ventana, que se muestra en la figura,
permite seleccionar el botn Este usuario puede iniciar sesin en: Los siguientes equipos. A
continuacin, agregue los nombres NetBIOS de las estaciones de trabajo. Una vez
hecho esto, el usuario no tendr acceso a las estaciones de trabajo de la lista. Incluso
si posteriormente se agregan estaciones de trabajo, el usuario todava seguir sin tener
acceso a las estaciones de trabajo especificadas en sus propiedades de cuenta hasta
que se cambien.
Perfil
En la pgina Perfil, podemos escribir la ruta del perfil, archivo de comandos de inicio
de sesin y ruta del directorio principal, si los perfiles estn habilitados para el
usuario. Tambin podemos escribir la ruta de red a una carpeta de documentos
compartida si es necesario.
- 71 -
Telfonos / notas
La pgina Telfonos / notas permite escribir nmeros de telfonos adicionales, como
el del domicilio, telfono mvil, fax, telfono IP y nmeros de localizador. Se incluye
una seccin de comentarios donde se pueden incluir comentarios relacionados con la
informacin de contacto del usuario.
Organizacin
La pgina Organizacin, que se muestra en la Figura, permite escribir informacin
sobre el lugar que ocupa en la organizacin, incluyendo el jefe del usuario y los
nombres de los empleados que supervisan al usuario.
Miembro de
La pagina Miembro de que se muestra en la figura, permite configurar los grupos a
los que pertenece el usuario. Si selecciona el botn <Agregar>, aparece una lista de
grupos de Active Directory. Seleccione un grupo al que quiera que pertenezca el
usuario, haga clic en <Agregar> y, a continuacin, haga clic en <Aceptar>. Los
nuevos grupos que seleccione van a aparecer en la lista Miembro de.
Marcado
La pgina Marcado, que se muestra en la siguiente figura, permite configurar el
acceso remoto para el usuario, en caso que fuera necesario En la parte superior de la
ventana podemos seleccionar Permitir acceso para permitir al usuario tener acceso al
servidor de acceso remoto a travs de acceso telefnico o VPN. Tambin podemos
permitir opciones de devolucin de llamada activando el botn de opcin adecuado
en medio de la ventana. Dependiendo de la configuracin de acceso remoto tambin
podemos asignar una direccin IP esttica al usuario y asignarle una ruta esttica. De
forma predeterminada, el acceso telefnico se deniega al usuario hasta que lo
habilitamos en su pgina de propiedades.
- 72 -
Administracin de cuentas de usuario

Podemos realizar fcilmente otras acciones relacionadas con las cuentas de usuario
haciendo clic con el botn derecho en el icono de la cuenta de usuario en el panel de
detalles. Esta opcin permite deshabilitar la cuenta rpidamente, cambiar la contrasea,
mover la cuenta a otra ubicacin dentro del directorio, abrir la pgina personal del
usuario (si la pgina personal se ha configurado en la pgina de propiedades), o enviar al
usuario un correo electrnico (si la direccin de correo electrnico se ha configurado en
la pgina de propiedades). Si deshabilitamos la cuenta, aparece una X roja sobre el
objeto cuenta dentro del directorio, como podemos ver en la figura. Tambin podemos
borrar o cambiar el nombre de una cuenta si es necesario. Si cambiamos el nombre de
una cuenta, estaremos cambiando el nombre del objeto de Active Directory, el usuario
puede seguir iniciando la sesin con el mismo nombre de usuario y contrasea que se
configuraron originalmente. Si tenemos que cambiar el nombre de inicio de sesin de un
usuario, abra la pgina de propiedades y cambie el nombre de inicio de sesin en la
pgina Cuenta.
- 73 -
Los grupos
Los grupos de Windows 2000 permiten administrar usuarios ms fcilmente. Podemos
conceder acceso a un grupo para un recurso concreto de una vez, en lugar de tener que
concederlo a cada usuario. Este mtodo organizativo ahorra tiempo de administracin
y reduce la posibilidad de errores. Adems, los miembros de un grupo concreto
tambin pueden ser miembros de otros grupos, y los grupos pueden ser miembros de
otros grupos (lo que se denominara anidamiento). Sin embargo, agregar grupos a
otros grupos deber hacerse cuidadosamente, ya que conceder permisos se hace ms
complicado.
Tipos de grupos
Windows 2000 soporta dos tipos de grupos, grupos de seguridad y grupos de
distribucin. Los dos tipos de grupos se guardan en Active Directory. Los grupos de
seguridad se usan para asignar permisos para los recursos a los grupos, mientras que los
grupos de distribucin se usan con fines distintos a la seguridad. Las aplicaciones usan
grupos de distribucin para funciones tales como enviar mensajes de correo electrnico,
si bien no se pueden usar para asignar permisos. Los programas diseados para
funcionar con Active Directory utilizan los grupos de distribucin. Adems, un grupo de
seguridad tiene todas las funciones de un grupo de distribucin y ms.
mbitos de grupo
Los mbitos de grupo definen cmo podemos usar el grupo para asignar permisos. El
mbito determina cmo podemos asignar permisos al grupo para tener acceso a
recursos. Hay tres mbitos de grupo disponibles en Windows 2000: grupos globales,
grupos locales y grupos universales. Cada uno de ellos se describe en la siguiente lista:
Grupos globales: Los miembros de grupos globales pertenecen a un dominio
pero tienen acceso a recursos en cualquier dominio para el que el grupo tenga
permiso.
Grupos locales: Los miembros pertenecen a cualquier dominio pero los
miembros slo tienen acceso a recursos en el dominio local. Los grupos locales
se usan para asignar permisos a recursos. A continuacin podemos colocar los
grupos globales dentro de grupos locales, de modo que a esos recursos puedan
tener acceso los miembros del grupo global.
Grupos universales: Los miembros pueden pertenecer a cualquier dominio y
pueden tener acceso a recursos en cualquier dominio. En Windows 2000, los
grupos universales estn disponibles slo en modo nativo y no en modo mixto.
Para cada grupo se aplican reglas de pertenencia de ese grupo. Las reglas definen qu
miembros pueden contener un grupo y de qu grupos puede ser miembro el grupo. La
siguiente lista muestra las reglas que rigen la pertenencia a un grupo en cada mbito:
Grupos globales: Pueden contener cuentas de usuario y grupos globales del
mismo dominio. El grupo global puede ser miembro de un grupo de dominio
universal y local de cualquier dominio.
Dominio local: Puede contener cuentas de usuario, grupos universales y grupos
globales de cualquier dominio. El grupo local de dominio puede ser miembro de
otros grupos locales de dominio en el mismo dominio.
- 74 -
Universal: Puede contener cuentas de usuario, grupos universales y grupos

globales de cualquier dominio. El grupo universal puede ser miembro de
cualquier grupo de dominio local o universal en cualquier dominio.
Los grupos incorporados

El Directorio Activo de Windows incluye varios grupos incorporados que se crean y se
configuran automticamente durante la instalacin. Los grupos integrados se crean en
Active Directory y podemos agregar o eliminar usuarios de estos grupos si es necesario.
Por defecto, los grupos carecen de derechos de acceso a recursos. Podemos asignar
estos derechos agregando los grupos incorporados a grupos globales o a grupos locales
de dominio. El Direcdtorio Activo de Windows incluye los siguientes grupos globales
incorporados:
Usuarios de dominio: El grupo Usuarios de dominio se agrega automticamente
al grupo local de dominio Usuarios. De forma predeterminada, el administrador
es un miembro, y cada nuevo miembro que se agrega a Active Directory se
convierte en un miembro de este grupo.
Admins. de dominio: El grupo Admins. de dominio se agrega
automticamente al grupo local de dominio Administradores para permitir a los
miembros del grupo realizar tareas administrativas.
Invitados de dominio: El grupo Invitados de dominio se agrega
automticamente al grupo local de dominio.
Administracin de empresas: El grupo Administracin de empresas se disea
para usuarios que necesitan tener control administrativo sobre el dominio. El
grupo Administracin de compaa se puede agregar al grupo local de
dominio Administradores en cada dominio de la compaa.
Windows tambin ofrece grupos locales de dominio incorporados para ofrecer
derechos de usuario y permisos para realizar tareas en controladores de dominio y
Active Directory. Hay varios grupos locales de dominio integrados. La lista siguiente
explica algunos de los ms comunes:
Usuarios: Pueden realizar tareas para las que les hayamos concedido derecho
a recursos.
Operadores de cuentas: Pueden crear, eliminar y modificar cuentas de usuario
y otros grupos, a excepcin del grupo Administradores.
Operadores de servidores: Pueden administrar los servidores de la red,
apagarlos, instalar o cambiar la configuracin de hardware, servicios etc.
Operadores de copia de seguridad: Pueden realizar copias de seguridad y
restaurar todos los controladores de dominio usando Copia de seguridad de
Windows.
Administradores: Pueden realizar todas las tareas administrativas en los

controladores de dominio.
Operadores de impresin: Pueden configurar y administrar impresoras de red
que existan en los controladores de dominio.
- 75 -
Creacin de grupos
Crear grupos puede complicarse un poco. Los universales pueden contener casi
cualquier cosa: usuarios, grupos globales, incluso otros universales. Y estos pueden
entrar en grupos locales.
Este diagrama muestra la antigua estrategia AGLP (cuentas > grupos globales > grupos
locales > permisos). Inicie con sus usuarios, cree sus propios grupos y despus
otrgueles los permisos que necesitan.
Crear grupos
Estrategia de creacin UU G
G LL PP
de grupos
Asignacin de usuarios UU a grupos globales G
G
Asignacin de grupos globales G
G a grupos locales LL
Y despus otorgar permisos PP
Name of new group:

Crear un grupo
en Active Directory Downlevel name of new group:
Group scope: Group type:

Domain local Security
Global Distribution
Universal
Para crear un nuevo grupo, se siguen estos pasos:

1. Haga clic en Inicio > Programas > Herramientas administrativas > Usuarios y
equipos de Active Directory.
2. Expanda el nombre del servidor y haga clic con el botn derecho en la OU
donde quiera agregar un nuevo grupo. Seleccione Nuevo y elija Grupo.
3. Aparece la ventana Crear nuevo objeto (Group), que se muestra en la siguiente
figura, escriba el nombre del nuevo grupo y, a continuacin, asigne el mbito de
grupo, ya sea de dominio local, global o universal. En Tipo de grupo, deje
activado el botn de opcin Seguridad. Haga clic en Aceptar. El nuevo grupo
aparecer en el panel de detalles de la consola.
- 76 -
Configuracin de las propiedades de grupo

Una vez creado el nuevo grupo, podemos hacer clic con el botn derecho en el icono
del objeto y elegir Propiedades. Se abre la pgina de propiedades del grupo, que
contiene cuatro fichas..
General
En la pgina General, que se muestra en la figura, podemos escribir una descripcin del
grupo y una direccin de correo electrnico. Por ejemplo, si el grupo tiene una
direccin de correo electrnico como contabilidad@empresa.com, cada miembro del
grupo recibir el correo electrnico enviado al grupo. La ficha General tambin
muestra el mbito y el tipo del grupo.
Miembros
La pgina Miembros, que se muestra en la Figura, muestra una lista de los miembros
actuales del grupo. Si es un grupo nuevo, necesitaremos usar esta ficha para agregar
miembros al grupo. Si hacemos clic en el botn <Agregar>, podremos seleccionar y
agregar miembros al grupo desde Active Directory.
- 77 -
Miembro de
La pgina Miembro de, se parece a la pgina Miembros, si bien en esta ficha agregamos
los grupos de los que es miembro este grupo. Por ejemplo, el grupo contabilidad
puede ser miembro del grupo organizacin. Esta accin, llamada anidamiento, aporta
a los miembros de un grupo derechos adicionales al asignarles derechos de otros
grupos a travs de un grupo primario. Esta funcin debe usarse con cuidado, ya que
mltiples grupos dentro de mltiples grupos pueden hacerse difciles de administrar.
Adems, pueden aparecer problemas de solucin de problemas y de conflictos de
derechos. Para agregar un grupo a otro grupo, simplemente seleccione el botn
<Agregar> y elija los grupos deseados de Active Directory.
Administrado por
En la pgina Administrado por, podemos usar el botn <Cambiar> para seleccionar el
usuario de Active Directory que administrar el grupo. Una vez hecho esto, el nombre
de usuario, direccin, telfono y fax se transfieren automticamente de la cuenta de
usuario a Active Directory, como muestra la figura.
- 78 -
Todas las tareas

El men Todas las tareas de cada grupo permite mover el grupo a una ubicacin
diferente, o bien enviar correo electrnico. Puede abrir Todas las tareas haciendo clic
con el botn derecho en el objeto de grupo dentro del panel derecho de la consola, y
seleccione Todas las tareas. A continuacin, elija Mover, o bien Enviar correo, como
muestra la Figura
Publicar contactos en Active Directory

Adems de los usuarios y grupos de la organizacin en Active Directory tambin
podemos publicar contactos. Esta opcin sirve para integrar en el Directorio Activo
informacin de usuarios que no pertenecen directamente a nuestra organizacin pero
- 79 -
con los que si se mantiene una relacin por lo que puede resultar de inters almacenar
cierta informacin. Es algo muy parecido a una libreta de direcciones de correo
electrnico.
Para publicar un contacto hacemos clic con el botn derecho en la OU donde queramos
agregar el contacto y elegimos Nuevo > Contacto. Aparece la ventana Crear nuevo objeto
(Contacto), donde podemos introducir el nombre de la persona.
Una vez hecho esto, abrimos la pagina de Propiedades haciendo doble clic sobre el
contacto o pulsando con el botn derecho sobre el contacto y seleccionando Propiedades,
podemos introducir informacin adicional como nmeros de telfono, direccin, correo
electrnico, organizacin, pgina personal y otras propiedades.
Una vez configuradas las entradas adicionales, podremos tener acceso al contacto a
travs de Active Directory o cualquier herramienta de consulta del mismo como Buscar
personas y, al hacer clic con el botn derecho sobre el contacto, podremos enviarle un
correo directamente o acceder a su pgina personal.
- 80 -
Resumen
Configurar y administrar cuentas de usuario, equipo y grupo dentro del complemento
Usuarios y equipos de Active Directory es fcil. Desde esta sencilla interfaz podemos
realizar varias acciones y configurar cuentas de usuario y de equipo para nuestro
dominio. Adicionalmente, podemos administrar equipos remotos y agregar usuarios y
equipos a grupos adecuados. Usando la organizacin de grupos podemos definir los
recursos de la red a los que pueden acceder los usuarios, a la vez que se reducen las
tareas y el tiempo administrativo.
- 81 -
ADMINISTRACIN DE RECURSOS COMPARTIDOS

La posibilidad de compartir recursos e informacin es una razn fundamental para
trabajar en red. Los usuarios pueden abrir cualquier archivo o carpeta de la red, lo que
implica aumentar la productividad mientras se ahorra tiempo. Esta sencilla idea, al igual
que la mayora de componentes de red, se ha complicado bastante con los aos. La
importancia de asegurar ciertos recursos y conseguir que ciertos usuarios no autorizados
no tengan acceso a esos recursos, o no puedan cambiarlos, ha sido un omnipresente
problema para la seguridad. La respuesta de Microsoft a este problema ha sido Permisos
de NTFS, que permite un control ms exhaustivo de los recursos compartidos dentro del
sistema de archivos. En este captulo explicaremos la administracin de carpetas y
archivos compartidos.
Permisos de NTFS
Los permisos de NTFS (NT File System) permiten controlar los recursos a los que
tienen acceso los usuarios y lo que pueden hacer con esos recursos una vez hayan
accedido. Con los permisos de NTFS, no slo podemos controlar una carpeta, sino
tambin los archivos que haya dentro de esa carpeta. De esta forma, un usuario puede
tener acceso a una carpeta y a algunos archivos dentro de la carpeta, pero no
necesariamente a todos los archivos. Los permisos NTFS slo estn disponibles en
volmenes con el formato NTFS; los volmenes FAT y FAT32 no admiten ninguno de
los permisos de NTFS, lo que es una razn bsica para elegir el sistema de archivos
NTFS.
Los permisos NTFS funcionan igual desde Windows NT. Podemos asignar los
siguientes permisos para los archivos individuales:
Leer, el usuario puede leer el archivo, ver sus atributos, permisos y
propietario.
Escribir, el usuario puede realizar cualquier funcin de lectura, pero tambin
puede modificar el archivo y cambiar sus atributos.
Lectura y ejecucin, el usuario puede realizar todas las acciones de la funcin
Leer y, adems, puede ejecutar aplicaciones.
Modificar, el usuario puede realizar todas las acciones de Leer y Lectura y

ejecucin y puede modificar o eliminar el archivo.
Control total, el usuario puede realizar cualquier accin permitida por el

resto de permisos y tambin puede cambiar permisos y tomar posesin de
ellos.
Podemos asignar los siguientes permisos para carpetas:
Leer, el usuario puede ver los archivos y subcarpetas dentro de la carpeta y ver
el propietario, los atributos y los permisos de la carpeta
Escribir, el usuario puede crear nuevos archivos y subcarpetas dentro de la
carpeta y cambiar los atributos de la carpeta. El usuario tambin puede ver el
propietario y los permisos de la carpeta.
- 82 -
Listar el contenido de la carpeta, el usuario puede ver los nombres de los

archivos y subcarpetas dentro de la carpeta.
Lectura y ejecucin, el usuario puede realizar todas las acciones de los
permisos de Leer y Listar el contenido de la carpeta y, adems, puede desplazarse
a travs de las carpetas hasta otros archivos y carpetas sin un permiso
especfico para cada carpeta.
Modificar, el usuario puede realizar todas las acciones de los permisos Escribir
y Lectura y ejecucin y tambin puede eliminar la carpeta.
Control total, el usuario puede realizar todas las acciones permitidas por los
dems permisos y, adems, puede cambiar los permisos de carpeta, tomar
posesin y eliminar cualquier subcarpeta y archivo.
Adems de todos estos permisos, tambin podemos denegar el acceso a un usuario a
un archivo o carpeta.
Para cada archivo y carpeta, NTFS mantiene una ACL (Access Control List), lista de
control de acceso que contiene una lista de usuarios y cuentas de grupo que tienen
derechos de acceso al archivo o carpeta. Cuando un usuario quiere tener acceso a un
archivo o carpeta, se comprueba la ACL para ver si el usuario tiene derechos de
acceso y, si es as, qu derechos de acceso tiene.
Podemos asignar permisos a cada usuario y a cada grupo al que pertenezca el usuario.
Una vez hecho esto, el usuario tendr lo que se conoce por "permisos efectivos" para
cada recurso, basados en los permisos combinados de NTFS. Los permisos NTFS son
acumulativos, es decir, si un usuario tiene asignado permiso de Leer para unos recursos,
pero tambin es miembro de un grupo que tiene permiso de Modificar para el recurso,
entonces los permisos efectivos del usuario son de Leer y de Modificar. La nica
excepcin a esta regla es Denegar. Si el usuario tiene acceso de Leer a un archivo pero es
miembro de un grupo con acceso denegado al mismo archivo, entonces el usuario no
tiene acceso; Denegar domina sobre cualquier otro permiso. Adems, los permisos de
archivo dominan sobre los permisos de carpeta. Si un usuario tiene acceso de Leer a una
carpeta, pero tiene Control total sobre un archivo de esa carpeta, entonces el usuario
mantiene el permiso de Control total para ese archivo y no se reducir a Leer porque el
archivo est dentro de la carpeta.
Otro aspecto de los permisos de NTFS que debemos recordar es la "herencia". De
forma predeterminada, las subcarpetas y archivos heredan los permisos NTFS de la
carpeta principal. Podemos evitar la herencia en subcarpetas si es necesario. Cuando
realizamos esta accin, la subcarpeta se convierte en una nueva carpeta principal para
todas las carpetas y archivos contenidos en esa carpeta. Por ejemplo, si una carpeta
tiene permiso de Escribir, pero hay una subcarpeta que queremos que tenga permiso de
Slo lectura, entonces tendremos que bloquear la herencia y asignar permiso de Leer a
esa subcarpeta. Esta subcarpeta se convierte entonces en una nueva carpeta principal y
todo lo que hay dentro de esta carpeta tendr permiso de Leer
Por ltimo, debemos comprender bien lo referente a mover y copiar archivos y
carpetas y el efecto de estas acciones sobre los permisos NTFS. Cuando copiamos un
archivo o carpeta a un volumen NTFS diferente, el archivo o carpeta recibe los
permisos de la carpeta destino. Por ejemplo, si tenemos un archivo llamado
Infopersonal que tiene permiso de Leer, y el archivo se copia a una carpeta que tiene
permiso de Modificar, el archivo recibir el permiso de Modificar. Windows 2000
considera el archivo copiado como un archivo "nuevo" y, por consiguiente, hereda los
- 83 -
permisos de la carpeta destino. Para copiar un archivo a otro volumen NTFS,

debemos tener permiso de Escribir en la carpeta destino, lo que nos convertir en el
propietario creador de ese archivo. Desde luego, si copiamos un archivo o carpeta a
un volumen FAT o FAT32, se pierden todos los permisos NTFS.
Si movemos un archivo o carpeta dentro del mismo volumen NTFS, el archivo o
carpeta conserva sus permisos NTFS. Debemos tener permiso de Escribir en la carpeta
de destino para mover un archivo o carpeta hacia ella, y debemos tener permiso de
Modificar para el archivo y para la carpeta que estamos moviendo. Si movemos un
archivo o carpeta a un volumen NTFS distinto, el archivo o carpeta heredar los
permisos de la carpeta de destino. Debemos tener permiso de Escribir en la carpeta
destino para copiar en ella el archivo o carpeta, y debemos tener permiso de Modificar
para el archivo o carpeta que estamos moviendo. Al igual que en la copia de
archivos, cualquier archivo o carpeta que se mueva a un volumen FAT o FAT32
pierde todos los permisos NTFS.
Asignacin de permisos NTFS

De forma predeterminada, cuando se da formato a un volumen con NTFS, el grupo
Todos tiene permiso de Control total. Debemos cambiar esta configuracin para poder
controlar los recursos a los que tienen acceso determinados usuarios o grupos y qu
derechos tienen esos usuarios o grupos sobre ese recurso. Como en la mayora de tareas
administrativas, la organizacin tiene una importancia clave. Los grupos estn ah para
poder asignar derechos de acceso a grupos en lugar de a usuarios individuales. Adems,
normalmente es mejor asignar permisos NTFS a una carpeta y despus agregar
documentos a esa carpeta. Esta accin facilitar nuestro trabajo. Para establecer
permisos NTFS a un archivo o carpeta, haga clic con el botn derecho en la carpeta
compartida y seleccione Propiedades. Seleccione la ficha Seguridad, que se muestra
en la figura.
- 84 -
En esta pgina podemos ver el nombre de la carpeta y el lmite de usuarios (si se ha

configurado alguno).
Esta ventana muestra los permisos que se han concedido al grupo Usuarios. Si quiere
denegar todos los permisos, active la casilla de verificacin Denegar el Control total, que
deniega todos los permisos NTFS para este grupo. Seleccione el botn <Agregar> para
agregar otros grupos. Aparece una ventana Usuarios y equipos de Active Directory que
permite seleccionar a qu grupos quiere agregar permisos. Seleccione el grupo, elija el
botn <Agregar> y repita el proceso hasta que haya incluido todos los grupos deseados.
Al terminar, haga clic en <Aceptar>. Ahora aparece el nuevo grupo en la pgina Permisos
del recurso compartido. Haga clic en las casillas de verificacin para asignar los
permisos que quiera y, despus, haga clic en <Aceptar>.
El grupo Administradores se incluyen de forma predeterminada con Control total.

Podemos agregar otros grupos y asignar derechos de acceso si fuera necesario. Esta
funcin nos permite hacer un ajuste fino de los derechos que queremos asignar a
grupos individuales. Adems, en la parte inferior de la ventana, podemos desactivar la
casilla de verificacin Hacer posible que los permisos heredables de un objeto primario se
propaguen a este objeto para bloquear la herencia. Si se desactiva la casilla de
verificacin, aparece un cuadro de seguridad que pregunta qu accin deseamos
realizar, como muestra la figura.
- 85 -
Permisos avanzados de acceso

Generalmente, los permisos NTFS que asignamos a usuarios o grupos para tener acceso
a recursos son suficientes para administrar de forma eficaz un recurso compartido. Sin
embargo, Windows 2000 ofrece permisos de acceso adicionales si es necesario un tipo
de permiso de acceso especfico. Estos permisos avanzados de acceso, que se
muestran en la figura estn disponibles haciendo clic en el botn <Avanzada> en la
ficha Seguridad de las propiedades del recurso.
Podemos seleccionar el botn <Agregar> para agregar otro usuario o grupo para el que
queramos definir derechos adicionales. Por ejemplo, si quisiramos definir derechos
avanzados para un usuario, Elessar, haramos clic en el botn <Agregar>,
seleccionaramos su cuenta de usuario y, despus haramos clic en <Aceptar>. A
continuacin, aparecer una lista de permisos para que podamos elegir los derechos que
queremos asignar a Elessar, como muestra la figura.
- 86 -
La descripcin de cada uno de los permisos es la siguiente:

Recorrer carpeta/Ejecutar archivo: Permite movernos a travs de subcarpetas y
ejecutar archivos dentro de dichas carpetas.
Listar carpeta/Leer datos: Permite listar el contenido de la carpeta y leer los
datos de la carpeta.
Atributos de lectura: Permite leer atributos.
Atributos extendidos de lectura: Permite leer los atributos de todas las carpetas.
Crear archivos/Escribir datos: Permite crear archivos dentro de la carpeta y

escribir datos en los archivos existentes.
Crear carpetas/Anexar datos: Permite crear subcarpetas adicionales y anexar
informacin a los datos existentes.
Atributos de escritura: Permite escribir atributos para la carpeta.
Atributos extendidos de escritura: Permite escribir atributos extendidos para la

carpeta.
Eliminar subcarpetas y archivos: Permite borrar cualquier archivo y subcarpeta
dentro de la carpeta principal.
Eliminar: Permite borrar cualquier informacin dentro de la carpeta en la misma
carpeta.
Permisos de lectura: Permite leer datos dentro de la carpeta y de las
subcarpetas.
Cambiar permisos: Permite cambiar el propietario de la carpeta.
Tomar posesin: Permite tomar posesin de la carpeta.

Podemos permitir o denegar cualquiera de estos permisos al usuario o grupo
elegido. Hay dos particularmente tiles que son Cambiar permisos y Tomar
posesin. Podemos dar a los usuarios o a otros administradores la capacidad de
cambiar los permisos de una carpeta compartida sin asignar a la persona el
permiso Control total. Esta accin permite al usuario asignar permisos para la
carpeta sin tener el poder de eliminar la carpeta o escribir en ella. Otro permiso
til es Tomar posesin. Podemos asignar este permiso a alguien para tomar
posesin de la carpeta si el propietario actual se indispone o abandona la
organizacin. Incluso se puede restringir al nuevo propietario para borrar la
carpeta.
Adems, podemos seleccionar la casilla de verificacin que aparece en la parte
inferior de la ventana para hacer efectivos los permisos para todos los archivos y
subcarpetas dentro de esa carpeta concreta. Una vez configurados los permisos
avanzados, la pgina Seguridad de la pgina de propiedades de carpeta muestra el
usuario y ofrece una nota informando que los permisos adicionales se han activado
para el usuario y sern visibles al presionar el botn <Avanzada>, como muestra la
siguiente figura.
- 87 -
Compartir recursos
Una vez establecida la seguridad de los accesos a los recursos a travs de los permisos
NTFS ya podemos compartir los recursos en la red, ya que hasta este momento solo
son accesibles desde la propia mquina en la que estn guardados.
Para compartir una carpeta y hacerla accesible para el resto de equipos de la red
hacemos clic con el botn derecho del ratn sobre ella y elegimos Compartir, nos
aparecer una ficha como la que se muestra en la figura.
- 88 -
En principio estar marcada la opcin No compartir esta carpeta, marcaremos la opcin

Compartir esta carpeta, se nos sugerir el mismo nombre de recurso compartido que el
nombre que tenga la carpeta, este nombre es con el que el recurso va a ser visible
desde la red, no tiene por qu ser igual al de la carpeta pero suele ser lo habitual. Solo
tendremos que pulsar <Aceptar> para que el recurso sea accesible desde la red.
Tambin en esta ficha vemos que existe un botn de Permisos, si pulsamos sobre l
veremos la ficha de permisos de acceso a nivel de red. Vemos que son unos permisos
mucho memos sofisticados que los de NTFS que son a nivel de fichero, estos permisos
estn pensados para regular los accesos desde la red en equipos formateados con
particiones FAT y FAT32 donde no contamos con permisos a nivel de fichero, en el
caso de particiones NTFS resulta innecesario su uso. Si utilizamos ambos, los
permisos resultantes seran la combinacin ms restrictiva de ambos.
Administracin de carpetas compartidas

Los permisos NTFS funcionan con recursos compartidos para ofrecer un conjunto
completo de opciones de seguridad. Al combinar los permisos de Carpeta compartida y
los permisos NTFS, tenemos un gran control sobre lo que pueden hacer los usuarios y
los grupos con la informacin existente dentro de las carpetas compartidas. Podemos
colocar una carpeta compartida en un volumen FAT o FAT32 y seguir controlando
los usuarios que pueden tener acceso al recurso compartido. El permiso
predeterminado de carpeta compartida es Control total asignado al grupo Todos, que es
una configuracin que deberamos cambiar. Sin embargo, existe un problema con los
permisos de Carpeta compartida y es que los permisos slo se aplican a la carpeta, no a
los archivos y subcarpetas que hay dentro de la carpeta. Obviamente, los permisos de
carpeta compartida ofrecen menos seguridad que los permisos NTFS.
- 89 -
Los permisos de carpeta compartida son Lectura, Modificar y Control total. Podemos
permitir o denegar estos permisos igual que los permisos NTFS.
Al igual que los permisos NTFS, los permisos de carpeta son acumulativos: si un
usuario tiene permisos de Lectura pero es miembro de un grupo que tiene permiso de
Control total, el usuario tiene Control total. La funcin Denegar permisos domina sobre el
resto de permisos. Si copiamos o movemos una carpeta compartida entre volmenes
FAT o FAT32, la carpeta no se compartir en la nueva ubicacin.
Las carpetas compartidas aparecen en nuestra unidad con un icono de una mano
debajo de ellas. Generalmente es una buena idea, al trabajar con permisos NTFS, dejar
los permisos predeterminados de red para la carpeta y definir los permisos de acceso a
travs de NTFS utilizando la ficha Seguridad. Tambin podemos hacer clic en el
botn Cach para configurar la cach cuando se trabaja sin conexin.
Para permitir guardar en la cach cuando se trabaje sin conexin para la informacin de
carpetas compartidas, haga clic en la casilla de verificacin Permitir almacenar en cach
archivos en esta carpeta compartida. En el men desplegable Configuracin, tenemos tres
opciones: Alojamiento automtico en cach de documentos, Alojamiento automtico en cach
para programas y Alojamiento manual en cach de documentos. El alojamiento automtico en
cach tanto para documentos como para programas, descarga automticamente archivos y
programas al usuario, de forma que el usuario tiene acceso a documentos y programas en
caso de que la carpeta compartida deje de estar disponible. La funcin de almacenamiento
manual en cach obliga al usuario a almacenar manualmente en cach los archivos
especificados cuando se trabaja sin conexin o cuando la carpeta compartida deja de estar
disponible. Esta funcin requiere ms trabajo por parte del usuario, pero menos por parte
del servidor.
- 90 -
Instalacin y configuracin de Impresoras

Para que Windows 2000 Server realice funciones de servidor de impresin y realice
funciones avanzadas de gestin de las mismas a travs de Active Directory, como
bsquedas e instalacin transparente de los drivers adecuados, ser necesario realizar
la instalacin de las impresoras en el servidor para posteriormente ponerlas a
disposicin de la red y publicarlas en el Directorio Activo.
Instalacin de una impresora local en un servidor

En primer lugar comprobamos que la impresora est correctamente conectada al puerto
correspondiente del ordenador y pulsamos el interruptor de encendido en caso de que
estuviera apagada.
A continuacin habr que ir a la carpeta de impresoras. Para ello ir a Inicio >
Configuracin > Impresoras y pulsar el icono Agregar Impresora. Nos aparecer la ventana
de bienvenida, pulsaremos el botn de <Siguiente> para continuar.
En la siguiente ventana comprobamos que est seleccionada la opcin Impresora Local y

Detectar e instalar mi impresora Plug and Play automticamente y pulsamos el botn
<Siguiente> para continuar.
- 91 -
A continuacin aparece una ventana que nos indica que Windows est buscando la
impresora para instalarla.
Si la impresora no es detectada tendremos que pulsar el botn <Siguiente> para instalar

la impresora manualmente.
Nos aparecer una ventana como la mostrada en la siguiente figura.
- 92 -
Dejamos la opcin que viene marcada, Usar el puerto siguiente:, y seleccionamos el

puerto al que tenemos conectada la impresora (normalmente LPT1), a continuacin
pulsamos el botn <Siguiente>.
En esta ventana seleccionamos primero la marca (en la columna de la izda.) y despus el

modelo (columna de la dcha.) de la impresora que estamos instalando, pulsando el
botn <Siguiente>para continuar.
A continuacin, en la ventana que nos aparece introducimos el nombre de la impresora
segn queramos que nos aparezca en el sistema operativo y pulsamos el botn
<Siguiente> para continuar.
En la siguiente ventana se nos pregunta si queremos que la impresora est compartida

para otros usuarios de la red, indicaremos la segunda opcin para que Windows
comparta la impresora e introduciremos el nombre de la impresora segn queremos que
la vean los usuarios desde la red (normalmente ser el mismo nombre que el introducido
en la ventana anterior) y pulsamos el botn <Siguiente> para continuar.
- 93 -
A continuacin, nos aparecer una ventana donde debemos introducir los campos
localizacin (location) y Comentario (Comments). En el campo localizacin
introducimos la ubicacin de la impresora dentro de la oficina (por ejemplo planta) y el
rea al cual pertenece. En el campo comentario podemos indicar el driver que utiliza la
impresora (marca y modelo de la misma) o caractersticas tcnicas interesantes que
incorpora (color o B/N, capacidades de imprimir a doble cara, etc.).
En la siguiente ventana se nos pregunta si deseamos imprimir una pgina de prueba para
comprobar la instalacin correcta de la impresora. Seleccionamos est opcin si la
deseamos y pulsamos el botn de <Siguiente>para continuar.
- 94 -
La siguiente ventana es la ltima de la configuracin, en ella se nos da un resumen con

las opciones de configuracin que hemos seleccionado. Para terminar la instalacin
pulsamos el botn de <Finalizar>.
Tras lo cual se copiarn los archivos de configuracin necesarios (cabe la posibilidad de

que se nos requieran los discos de instalacin si el sistema no tiene los archivos
necesarios para llevar a cabo la instalacin de la impresora, en cuyo caso deberemos
suministrrselos para terminar la instalacin).
Instalacin de una impresora de red en un servidor

En primer lugar habr que ir a la carpeta de impresoras. Para ello ir a Inicio >
Configuracin > Impresoras y pulsar <Agregar impresora>. Nos aparecer la ventana de
bienvenida, pulsaremos el botn de <Siguiente> para continuar.
Nos aparecer la ventana donde se nos pregunta si queremos instalar una impresora
directamente conectada al servidor o una impresora de red. Seleccionaremos la opcin
para instalar una impresora directamente conectada a nuestro ordenador Impresora
Local (Local printer) pero desactivaremos la opcin de Detectar e instalar mi impresora Plug
and Play automticamente (Automatically detect and install my Plug and Play printer), tal y
como se muestra en la siguiente figura.
- 95 -
Pulsaremos <Siguiente> para continuar y nos aparecer una ventana para seleccionar el
puerto donde tenemos conectada la impresora. Tendremos que cambiar la opcin por
defecto y seleccionar Crear nuevo puerto (Create a new port), con lo que se nos habilitar
el cuadro combinado para elegir el Tipo de puerto (Type), desplegamos el cuadro
combinado y seleccionamos Standard TCP/IP Port, pulsamos <Siguiente> para continuar.
En este momento arrancar el asistente para la configuracin del nuevo puerto de

impresora. Debemos comprobar que la impresora de red est encendida y accesible a
travs de la red, pulsando el botn <Siguiente> empezar a configurar el puerto.
- 96 -
En la siguiente ventana introduciremos la direccin IP correspondiente a la impresora de

red que estamos instalando en el campo Nombre de impresora o direccin IP (Printer Name
or IP Address) y dejamos el nombre propuesto por el sistema en Nombre de puerto (Port
Name), pulsando el botn <Siguiente> para continuar.
El sistema, si detecta la impresora en el puerto, mostrar un resumen con las opciones

elegidas, pulsaremos el botn de <Finalizar> para terminar de instalar el puerto.
Ahora instalaremos la impresora sobre el puerto recin configurado. Para ello, en la
ventana que nos aparece, seleccionamos primero la marca (columna izda.) y despus el
modelo (columna dcha.) de la impresora que estamos instalando y pulsamos <Siguiente>
para continuar.
A continuacin, en la ventana que nos aparece introducimos el nombre de la impresora

segn queramos que aparezca en el sistema operativo y pulsamos el botn <Siguiente>
para continuar.
- 97 -
En la siguiente ventana se nos pregunta si queremos que la impresora est compartida

para otros usuarios de la red, introduciremos el nombre de la impresora segn queremos
que la vean los usuarios desde la red (normalmente ser el mismo nombre que el
introducido en la ventana anterior) y pulsamos el botn <Siguiente> para continuar.
A continuacin, nos aparecer una ventana donde debemos introducir los campos
Localizacin (Location) y Comentarios (Comments).
- 98 -
En el campo localizacin introducimos la ubicacin de la impresora dentro de la oficina

(por ejemplo planta) y el rea al cual pertenece. En el campo comentarios indicamos el
driver que utiliza la impresora (marca y modelo de la misma) o caractersticas tcnicas
interesantes que incorpora (color o B/N, capacidades de imprimir a doble cara, etc.).
En la siguiente ventana se nos pregunta si deseamos imprimir una pgina de prueba para
comprobar la instalacin correcta de la impresora. Seleccionamos est opcin si la
deseamos y pulsamos el botn de <Siguiente> para continuar.
Esta es la ltima ventana de la configuracin, en ella se nos da un resumen con las

opciones de configuracin que hemos seleccionado. Para terminar la instalacin
pulsamos el botn de <Finalizar>, tras lo cual se copiarn los archivos de configuracin
necesarios (cabe la posibilidad de que se nos requieran los discos de instalacin si el
sistema no tiene los archivos necesarios para llevar a cabo la instalacin de la
impresora, en cuyo caso deberemos suministrrselos para terminar la instalacin).
Publicacin de las impresoras en el directorio activo

Todas las impresoras que se conecten al servidor se publicarn automticamente en el
Directorio Activo, dentro del servidor correspondiente, en la Unidad Organizativa en la
que este se encuentre. Por lo tanto para publicarlas slo habr que marcar la opcin de
Mostrada en Directorio dentro de la opcin Compartir de la impresora. Para marcar esta
- 99 -
opcin ir a Inicio > Configuracin > Impresoras y pulsar con el botn derecho del ratn
sobre la impresora que queramos publicar en el escritorio.
En las opciones que aparecen pulsar sobre Compartir... (Sharing) Aparecer una ventana
como la siguiente
Marcar la opcin Mostrada en Directorio (List in the Directory) y pulsar <Aceptar>.

Para comprobar que realmente la impresora est publicada en el Directorio Activo ir a
Usuario y Equipos de Active Directory y pulsando sobre la parte derecha de la ventana con
el botn derecho del ratn y seleccionar Ver > Usuarios, grupos y equipos como
Contenedores (View > Users, Groups and Computers as containers).
- 100 -
Ir a la unidad organizativa correspondiente y debajo de sta sobre el servidor

correspondiente. Se ver que en la parte derecha de la ventana aparece la impresora ya
publicada.
- 101 -
Tambin podemos mover la impresora para que cuelgue directamente de otra unidad
organizativa y no del servidor de impresin, para ello pulsamos con el botn derecho
del ratn sobre la impresora y seleccionamos la opcin Mover... (Move...) para
seleccionar a continuacin la unidad organizativa de la que queremos que dependa la
impresora.
Por ltimo debemos dejar de nuevo las vistas como estaban anteriormente pulsando de
nuevo con el botn derecho del ratn sobre la parte derecha de la ventana y quitando la
seleccin en Ver > Usuarios, grupos y equipos como contenedores (View->Users, Groups and
Computers as Containers).
Administracin de caractersticas avanzadas.

Una vez instalada la impresora, desde la carpeta de impresoras podemos configurar
algunas caractersticas de administracin avanzadas. Para ello pulsamos con el botn
derecho del ratn sobre la impresora en cuestin y elegimos Propiedades. Aparecen
varias pestaas donde podemos afinar ms aun la configuracin de la impresora. Estas
pestaas no siempre son las mismas, ya que algunas dependen de la impresora y las
caractersticas incluidas por el fabricante, sin embargo algunas son comunes y
pasaremos a describirlas a continuacin.
En la pestaa de General podemos cambiar opciones establecidas durante la instalacin
de la impresora como su nombre, la Ubicacin o Comentario. Deberemos tener en cuenta
que estas caractersticas son a travs de las cuales los usuarios podrn luego buscar las
impresoras en el Active Directory.
En la parte de abajo tenemos el botn <Imprimir pgina de prueba> podemos utilizar

para realizar una prueba de impresin.
Tambin tenemos el botn <Preferencias de impresin> a travs del cual y dependiendo
del modelo de impresora y las caractersticas incluidas por el fabricante en el driver
podremos establecer las caractersticas de la impresin por defecto (estas caractersticas
pueden ser alteradas posteriormente para cada trabajo de impresin por parte del
usuario), como orientacin del papel, orden de las pginas, nmero de paginas por hoja
o calidad de la impresin, como se muestra en las siguientes figuras.
- 102 -
En la pestaa de Compartir podemos indicar si queremos compartir la impresora para los

usuarios de la red y con qu nombre, adems de s la impresora debe publicarse en el
Directorio Activo.
Pulsando el botn de <Controladores adicionales> aparece un cuadro de dialogo donde

podemos indicar los drivers que deben instalarse para ser suministrados
automticamente a los clientes de red que lo requieran.
- 103 -
Marcaremos los sistemas operativos de los clientes que tengamos en la red y

pulsaremos el botn de <Aceptar>, tras lo cual se nos solicitara el CD-ROM de
instalacin para instalar los controladores adecuados en el servidor, de modo que
pueda posteriormente envirselos a los usuarios de la red que lo soliciten en funcin
del sistema operativo utilizado.
En la pestaa de Puertos encontramos la configuracin referente a los puertos
asociados con la impresora. En la parte de abajo nos encontramos con el botn de
Habilitar la cola de la impresora. Mediante esta opcin Windows 2000 Server es capaz
de manejar dos o ms impresoras idnticas como una agrupacin de impresoras a
travs de una sola cola de impresin, optimizando el rendimiento y aumentando la
disponibilidad para los usuarios de la red.
En la pestaa de Avanzadas podemos tenemos algunas caractersticas avanzadas del

servidor de impresin que se detallan a continuacin.
Disponibilidad: podemos indicar el horario en que la impresora est

disponible, fuera de ese horario la impresora no aceptara documentos en la
cola de impresin.
- 104 -
Prioridad: Indica la configuracin actual de prioridad. Los usuarios pueden

indicar un valor de prioridad a sus documentos de 1 (la ms baja) a 99 (la ms
alta). As se imprimen primero los documentos ms prioritarios.
Uso de la cola: se indica si se debe utilizar la cola de impresin o imprimir
directamente sobre la impresora, adems puede indicarse si se ha de esperar a
que todo el documento entre en la cola de impresin o se empieza a imprimir
inmediatamente de cuando se reciba.
Dejar pendientes documentos no coincidentes: deja retenidos en la cola de
impresin aquellos documentos que no coincidan con las caractersticas de
impresin por defecto de la impresora, pasando a imprimir nicamente los
coincidentes.
Imprimir primero los documentos de la cola de impresin: Especifica que la
cola de impresin debe favorecer a los documentos cuya puesta en cola se
haya completado a la hora de decidir qu documento se imprimir a
continuacin, incluso aunque los documentos completados tengan una
prioridad menor que los que todava estn en espera en la cola. Si no se ha
completado la puesta en cola de ningn documento, la cola de impresin
favorecer los documentos mayores con respecto a los menores. Se utiliza esta
opcin para aumentar al mximo la eficacia de la impresora. Cuando esta
opcin est deshabilitada, la cola de impresin elige los documentos
basndose exclusivamente en su prioridad.
Conservar los documentos despus de su impresin: Especifica que la cola
de impresin no debe eliminar los documentos una vez impresos. Esto permite
volver a enviar un documento a la impresora desde la cola, en lugar de hacerlo
desde el programa.
Habilitar caractersticas de impresin avanzadas: Especifica si la
caracterstica de impresin avanzada se encuentra habilitada. Cuando se
encuentre habilitada, se activa la cola de impresin de metarchivos y se
habilitarn opciones como Orden de pginas, Impresin en folleto y Pginas
por hoja, que dependen de la impresora.
<Opciones predeterminadas de impresin>: son las opciones
predeterminadas que queremos indicar para los documentos que se envan a la
impresora.
<Pagina de separacin>: se puede indicar una pagina de separacin que se
imprimir entre un trabajo de impresin y el siguiente, esto ayuda a los
usuarios a separar los trabajos de impresin y a encontrar los suyos entre los
de todos los usuarios en la impresora.
En la pestaa de Seguridad podemos indicar los permisos de uso de la impresora para
los distinto usuarios de la red. Los permisos disponibles para la administracin del
uso de las impresoras son:
Imprimir: Permite enviar documentos a la cola de impresin para que sean
impresos por la impresora.
Administrar Impresoras: permite cambiar la configuracin de la impresora y
las opciones predeterminadas de la impresin
- 105 -
Administracin documentos: Posibilita la administrar los documentos que se

encuentran en la cola de impresin permitiendo detener, pausar y reanudar la
impresin del documento as como eliminarlo definitivamente de la cola de
impresin.
La configuracin por defecto de Windows 2000 en cuando a la seguridad de la
impresora incluye permisos para la administracin completa de las impresoras tanto
para los Administradores como para los grupos Opers. de impresin y Opers. de
servidores, con todos los permisos habilitados para estos grupos. Adems se encuentra
habilita el permiso de Imprimir para el grupo Todos y el permiso administracin de
documentos para CREATOR OWNER, lo que permite a cada usuario la administracin de
los documentos que el mismo enve a la cola de impresin sin permitirle interferir en
los documentos de otros usuarios.
Si queremos restringir la impresin nicamente a los usuarios de nuestra red o a un

subconjunto de estos podramos sustituir el grupo Todos por Usuarios o por otro creado
especficamente para tal efecto. Esta configuracin es especifica de cada impresora,
lo que permite restringir el uso de cada impresora para grupos especficos de
usuarios.
- 106 -
ADMINISTRACIN DE DISCOS BSICA

La administracin de discos en Windows 2000 Server es muy diferente a Windows NT
Server 4.0. Veremos algunas funciones familiares y las funciones relativas al
mantenimiento general de discos. Tambin veremos algunas funciones y tecnologas
nuevas que hay que manejar correctamente en aras del buen funcionamiento de los
discos duros. Este captulo explica estas nuevas tecnologas y funciones adems de
mostrar cmo configurar los discos duros en Windows 2000 Server para conseguir un
rendimiento ptimo.
Sistemas de archivos
Windows 2000 Server soporta FAT, FAT32 y NTFS. El sistema de archivos NTFS
incluido en Windows 2000 Server es una versin mejorada que soporta las
caractersticas adicionales de seguridad de Kerberos. Cuando se instala Windows 2000
Server, el programa de instalacin conserva el sistema de archivos de Windows NT (si
la instalacin fue una actualizacin) o nos pregunta acerca del tipo de sistema de
archivos que queremos usar. A menos que tengamos una razn concreta para usar FAT
o FAT32, deberamos usar NTFS en todos nuestros discos duros. NTFS permite usar
una serie de funciones de almacenamiento de archivos y de seguridad dentro de
Windows 2000 Server y es la mejor opcin de cara al rendimiento.
Configuracin de volmenes
Administrar volmenes es relativamente fcil, y Windows 2000 Server ofrece varios
asistentes para ayudar a configurar los discos. Los siguientes apartados muestran cmo
realizar varias tareas relacionadas con discos.
Creacin de un nuevo volumen

Para crear un nuevo volumen, siga estos pasos:
1. Haga clic en Inicio > Programas > Herramientas administrativas > Administracin
de equipos o haga clic con el botn derecho sobre el icono de Mi PC y elija
Administrar Se abrir la ventana de la consola.
2. Expanda el rbol Almacenamiento y haga clic en Administracin de discos.
3. Haga clic en el disco en que quiera crear una nueva particin (no en uno de los
volmenes) o en al parte de espacio No asignado y elija Crear particin. Esta
accin inicia el Asistente para crear una nueva particin.
- 107 -
4. La ventana del asistente ofrece una breve introduccin. Haga clic en

<Siguiente>.
- 108 -
5. Aparece la ventana Seleccionar el tipo de particin. Haga clic en el botn de

opcin Particin primaria y despus haga clic en <Siguiente>.
6. Aparece la ventana Especificar el tamao de la particin. En esta ventana,

seleccione el tamao de la particin, como muestra la figura y haga clic en
<Siguiente>.
- 109 -
7. Aparece la ventana Asignar letra de unidad o ruta de acceso. En esta ventana

puede asignar una letra de unidad o ruta si lo desea. Elija lo que desee y haga
clic en <Siguiente>.
8. Aparece la ventana Formatear la particin. En esta ventana puede elegir entre

dar formato al volumen o no hacerlo. Si decide dar formato al volumen, puede
elegir el sistema de archivos, el tamao de la unidad de asignacin y la
etiqueta del volumen. Una vez hechas las elecciones, haga clic en
<Siguiente>.
- 110 -
9. El asistente finaliza con un resumen de las selecciones realizadas. Haga clic en

el botn <Finalizar> para crear la particin. Aparece la nueva particin en la
ventana Administracin de discos.
- 111 -
Formatear de discos
Podemos dar formato a cualquier particin (exceptuando la particin de arranque o de
sistema) usando la herramienta Administracin de discos de Windows 2000 Server.
Para dar formato o volver a formatear cualquier unidad, siga estos pasos:
1. Haga clic en Inicio > Programas > Herramientas administrativas > Administracin de
equipos o haga clic con el botn derecho sobre el icono de Mi PC y elija
2. Expanda el rbol Almacenamiento y haga clic en Administracin de discos. La
utilidad Administracin de discos aparece en el panel derecho.
3. Haga clic con el botn derecho en la particin a la que quiera dar formato, o
volver a dar formato, y elija Formato.
4. Aparece una ventana, como muestra la figura anterior, donde podr elegir el
sistema de archivos, el tamao de la unidad de asignacin y una etiqueta de
volumen. Para el sistema de archivos puede elegir FAT, FAT32 o NTFS. Una vez
seleccionado, haga clic en <Aceptar>.
5. Aparece un cuadro de dilogo indicando que el formato eliminar cualquier dato
de la particin. Haga clic en <Aceptar>para continuar o <Cancelar> para cerrar.
Cmo cambiar la letra de unidad y la ruta

Se puede cambiar la letra de unidad de un volumen simple siguiendo estos pasos:
3. Haga clic con el botn derecho sobre el volumen cuya letra de unidad quiere
cambiar y seleccione Cambiar la letra y ruta de acceso de unidad.
- 112 -
4. En un cuadro de dilogo aparece la letra de unidad actual y cualquier ruta, como

muestra la figura. Haga clic en el botn <Modificar>.
5. En el men desplegable Asignar letra de unidad, seleccione la nueva letra de unidad

y haga clic en <Aceptar>.
Podemos usar el mismo proceso para asignar una ruta montada o cambiar una ruta
montada existente; y nos permite montar una unidad local en una carpeta vaca en un
- 113 -
volumen local NTFS. Esta accin provoca que Windows 2000 asigne una ruta de
unidad a la unidad ms que la letra de unidad. No estamos limitados a 24 letras de
unidad (de la C a la Z). El uso de una ruta montada sobrepasa esa limitacin y asegura
que no se producirn fallos debidos a cambios realizados en la ruta de la unidad. Esta
accin permite varias posibilidades, incluyendo montar una unidad de CD-ROM slo
accesible a travs de C:\CD-ROM, o incluso mover la carpeta Archivos de programa a
otro volumen con ms espacio mientras se mantiene la ruta C:\Archivos de programa.
Para configurar una ruta montada, siga estos pasos:
Administrar.
3. Haga clic con el botn derecho sobre el volumen cuya letra de unidad quiere
cambiar y seleccione Cambiar la letra y ruta de acceso de unidad.
4. En el cuadro de dilogo aparece la letra de unidad actual y cualquier ruta. Haga
clic en el botn <Agregar>.
5. En el cuadro de dilogo elija la opcin Montar este volumen en una carpeta NTFS
vaca, que soporta rutas de acceso de unidad, escriba la ruta o desplcese hasta
ella con el botn de <Examinar>. A continuacin, haga clic en <Aceptar>.
La ruta montada de unidad aparece ahora como una unidad en lugar de como una
carpeta donde la habamos configurado para residir, como muestra la figura.
- 114 -
Propiedades del volumen

Podemos tener acceso a una hoja de propiedades de un volumen haciendo clic con el
botn derecho en el volumen dentro de Administracin de discos y seleccionando
Propiedades. La hoja Propiedades, ofrece informacin variada sobre el volumen y las
opciones de configuracin, como se describen en la siguiente lista:
General: La hoja de propiedades General contiene informacin sobre el disco,
como el sistema de archivos, espacio usado, espacio libre y un grfico circular
que muestra el espacio libre disponible. Tenemos la opcin de iniciar Liberar
espacio (que se describe en la seccin Herramientas de disco) y tambin las
opciones de comprimir la unidad o indexarla.
- 115 -
Herramientas: La hoja de propiedades Herramientas permite ejecutar

Comprobacin de errores, Copia de seguridad y Desfragmentacin. La Comprobacin
de errores y la Desfragmentacin se describen en la seccin Herramientas de
disco, de este captulo, y Copia de seguridad se explica en el captulo
correspondiente.
Hardware: La ficha Hardware contiene informacin estndar sobre el hardware

del disco, su estado y los botones para solucionar problemas de hardware o ver
sus propiedades.
- 116 -
Compartir: La ficha Compartir permite configurar las opciones estndar de

comparticin del volumen. Podemos compartir el volumen, limitar el nmero
de usuarios, establecer permisos y configurar las opciones de cach, para que
el volumen pueda consultarse desconectado. La opcin Cach se usa
normalmente para documentos y carpetas que los usuarios necesitan. La
opcin Cach permite a estos documentos estar disponibles incluso cuando el
disco est sin conexin.
Seguridad: La ficha Seguridad permite configurar las opciones de seguridad para

usuarios que acceden al volumen, o denegar estos permisos a grupos o
usuarios particulares.
- 117 -
Cuota: La cuota de disco es nueva en Windows 2000 Server, y ofrece una

forma de administrar el espacio de disco del que dispone cada usuario. Esta
funcin obliga a los usuarios a ser ms conservadores con el almacenamiento
y eliminar archivos y carpetas innecesarios. Una vez activada la gestin de
cuotas en la correspondiente casilla de verificacin, podemos restringir el
espacio de disco a los usuarios que excedan de la cuota lmite.
El cuadro Limitar espacio de disco a permite establecer la cuota, as como una

alerta para que los usuarios sepan cundo estn acercndose a su lmite. Las
opciones de registro de cuota estn disponibles en la parte inferior de la
- 118 -
ventana, y el botn Valores de cuota permite ver los eventos de cuota y su uso.
Aunque las restricciones de cuota son una buena manera de administrar el
espacio en disco, debemos asegurarnos que las restricciones de cuota son
suficientemente grandes como para cubrir las necesidades de los usuarios.
Haciendo doble clic sobre cada usuario de la lista podemos establecer valores
de cuota especficos para cada usuario del sistema.
Sin embargo debemos tener en cuenta que Windows 2000 solo permite
asignar valores de cuota a usuarios individuales, no a grupos de usuarios, y
slo a nivel de volmenes de disco en su conjunto, no a carpetas individuales.
Esta limitacin hace que, por ejemplo, que si un usuario guarda un archivo
correspondiente al un informe de ventas de su departamento el espacio
- 119 -
ocupado por dicho archivo sea asignado a su cuota de usuario y no haya

ninguna manera de asignarlo a una cuota correspondiente al conjunto de
usuarios del departamento en cuestin.
Uso compartido de Web: La ficha Uso compartido de Web permite compartir el
volumen en un sitio web. Podemos usar el cuadro Alias para crear un alias para
el volumen. Esta funcin se podra usar para compartir el volumen en una
intranet, de modo que los usuarios tengan acceso al volumen desde un
navegador de Internet al hacer clic sobre un enlace o escribiendo la url
correspondiente en la barra de direcciones del navegador.
Esta opcin sin embargo puede ser potencialmente peligrosa desde el punto de
vista de la seguridad y en todo caso debe llevarse a cabo tomando las debidas
precauciones, ya que se est compartiendo la informacin del volumen a
travs del puerto 80, puerto estndar del protocolo de comunicaciones Web
por lo que podramos estar posibilitando el acceso a travs de Internet sin ser
conscientes de ello.
- 120 -
Herramientas de disco
Windows 2000 Server incluye varias herramientas nuevas para ayuda a administrar y
solucionar problemas con los discos duros. Algunas de estas herramientas aparecieron
con Windows 98 y se consideran muy tiles. Podemos ejecutar las herramientas de
disco accediendo a las hojas de propiedades de cada disco desde la consola
Administracin de equipos, tambin podemos tener acceso a ellas haciendo clic en Inicio >
Programas > Accesorios > herramientas del sistema. Las secciones siguientes muestran
cmo usar las herramientas desde las hojas de propiedades de disco, as como una
visin global de cada herramienta y cmo usarla.
Cmo limpiar el disco

Con el tiempo, el disco recibe gran cantidad archivos y fragmentos que no son
necesarios. Estos archivos ocupan espacio de disco que se puede usar con otros fines;
por eso Windows 2000 incorpora una herramienta de limpieza de disco. Esta
herramienta permite especificar distintas opciones de limpieza en cada unidad e
incluso desinstalar programas innecesarios.
Se puede acceder a Limpiar disco a travs de la ficha General en la hoja Propiedades de
disco utilizando la opcin Limpiar disco. Si hacemos clic en ese botn, Limpiar disco
examina el disco y determina cunto espacio se puede liberar, como se muestra la
figura.
- 121 -
Una vez finalizado el examen, Limpiar disco muestra una lista de archivos que se pueden
eliminar. Normalmente, la utilidad ofrecer una lista de archivos de programas
descargados, archivos temporales de Internet, elementos de la Papelera de reciclaje y
una opcin para comprimir archivos antiguos de la unidad. Despus de elegir lo que
ms convenga, la utilidad eliminar o comprimir los elementos segn se desee.
Tambin podemos hacer clic en la ficha Ms opciones para limpiar los componentes de
Windows que no se usan o programas que no usaremos ms o ya no necesitamos.
Esta opcin inicia la interfaz de Agregar o quitar programas y el Asistente de componentes
de Windows, donde se pueden elegir los componentes que se quieren eliminar del
sistema.
- 122 -
Desfragmentador de discos
Windows 2000 Server incluye una utilidad para desfragmentar discos. La
fragmentacin se produce con el tiempo mientras los archivos cambian, se agregan y
se eliminan del sistema. En lugar de almacenar los datos de forma continua, stos se
van almacenando de forma independiente y particionada all donde hay espacio
disponible. Esto provoca que el sistema tenga que trabajar ms, lo que provoca ms
lentitud para obtener datos del disco duro.
- 123 -
Se puede utilizar el Desfragmentador de disco, que se encuentra en el men Herramientas

de la hoja Propiedades del disco. El Desfragmentador de disco analiza una unidad al
seleccionarla y hacer clic en el botn <Analizar>. Los archivos de sistema se muestran
en verde, los archivos continuos aparecen en azul y los archivos fragmentados
aparecen en rojo. Como puede ver en la figura, esta unidad necesita desfragmentacin.
Para desfragmentar una unidad, simplemente haga clic en el botn <Desfragmentar>.
Comprobacin de errores
La Comprobacin de errores comprueba que el disco est libre de errores y sectores
defectuosos. La herramienta Comprobacin de errores busca estos problemas y trata
automticamente de repararlos. Podemos utilizar la herramienta Comprobacin de errores
desde o desde la hoja de propiedades de Herramientas del disco, pulsando el botn
<Comprobar ahora>.
Si marcamos la opcin Reparar automticamente errores en el sistema de archivos,

Windows se encargara de corregir los errores que encuentre, de lo contrario slo nos
mostrar un informe de los errores encontrados. La opcin Examinar e intentar recuperar
los sectores defectuosos provoca un anlisis completo del disco incluyendo las zonas
que estn vacas en busca de sectores errneos. Pulsaremos el botn de <Iniciar>
para comenzar la exploracin del disco que constar de 3 fases.
La reparacin de errores de disco necesita acceso exclusivo a la unidad por lo que no
podr realizarse mientras existan programas o usuarios trabajando con la misma. El
sistema en este caso nos ofrece la posibilidad de dejar la reparacin programada para
la prxima vez que se reinicie el equipo, con lo que antes de arrancar completamente
el equipo y en un modo de acceso exclusivo por parte del sistema realizar las
comprobaciones y modificaciones correspondientes.
- 124 -
Tambin es posible llevar a cabo la comprobacin de las unidades de disco desde la

ventana de comandos de MS-DOS utilizando el comando chkdsk seguido de la
unidad que queremos comprobar y aadiendo el parmetro /F si queremos realizar la
reparacin automtica de los errores encontrados.
La ventana de comandos suministra una informacin mucho ms exhaustiva del

proceso de comprobacin y reparacin de discos
- 125 -
- 126 -
ARCHIVOS DE REGISTRO (LOGS) Y AUDITORIA

Como administradores, una vez Windows 2000 Server est instalado y funcionando
como queramos, dedicaremos mucho tiempo a supervisar el servidor, as como a los
clientes. Este proceso de supervisin, llamado auditora, permite hacer un seguimiento
de las actividades de los usuarios, adems de los sucesos que tienen lugar en el
servidor. Auditar puede ayudar a decidir sobre las necesidades de la red y a resolver
ciertos problemas que puede sufrir el entorno. Este captulo muestra cmo configurar
la auditora y los archivos de registro en Windows 2000 Server para que el proceso de
auditar el sistema sea eficaz y muestre un tipo de informacin que pueda resultar til.
Configuracin de archivos de registro

La auditora de sucesos, al igual que otros sucesos de Windows 2000, se guarda en
varios archivos de registro que podemos ver con el Visor de sucesos. Hay tres archivos de
registro principales: Aplicacin, Seguridad y Sistema. El archivo de registro de aplicacin
contiene alertas, errores e informacin general que generan los programas. El archivo de
registro de seguridad contiene informacin sobre sucesos de auditora, y el archivo de
registro de sistema contiene alertas, errores e informacin general que el servidor genera
sobre operaciones. Otros archivos de registro, como DNS y servicio de directorio pueden
existir dependiendo de la configuracin del servidor. En el Visor de sucesos podemos hacer
clic en cada archivo de registro para ver su contenido, y podemos hacer doble clic en una
entrada para saber ms sobre ella.
Existen tres tipos de segn su gravedad o repercusin en el sistema: sucesos de

Informacin, sucesos de Advertencia y sucesos de Error. Y dos ms respecto a la
auditoria de la seguridad: Auditoria de aciertos y Auditoria de Errores.
- 127 -
El Visor de sucesos muestra automticamente todos los sucesos del archivo de registro
seleccionado. Para facilitar la lectura del archivo de registro y poder encontrar la
informacin que buscamos, podemos filtrar el archivo de registro. Para filtrar un archivo
de registro, haga clic en Ver > Filtro. Con esta accin se abre la pgina de propiedades Filtro
para el archivo de registro, como muestra la figura. Tenemos varias formas de filtrar
sucesos. Podemos filtrar sucesos por las fechas usando los cuadros de dilogo
desplegables y cambiando las fechas del filtro De y A. Esto muestra todos los sucesos del
periodo de tiempo especificado. A continuacin, podemos usar las casillas de verificacin
Tipos de sucesos para filtrar los tipos de sucesos que queremos ver. Podemos elegir entre
Informacin, Advertencia, Error, Auditora de aciertos o Auditora de errores.
Tambin podemos buscar sucesos especficos haciendo clic en Ver > Buscar. La
ventana Buscar, permite especificar el tipo de suceso que queremos buscar. Igualmente
- 128 -
podemos ajustar los botones de opcin Hacia arriba o Hacia abajo para indicar al Visor de
sucesos la direccin de la lista de entradas hacia la que debe buscar.
Por ltimo podemos abrir la pgina de propiedades para cada archivo de registro
haciendo clic con el botn derecho sobre l. En la ficha General, que se muestra en la
figura, podemos ajustar el tamao mximo del archivo de registro y podemos elegir qu
hacer cuando el archivo de registro se llene. De forma predeterminada, el tamao
mximo es 512 K; use el cuadro de dilogo para cambiar la configuracin
predeterminada. En la seccin Tamao del registro, podemos elegir Sobrescribir sucesos
cuando sea necesario, Sobrescribir sucesos de hace ms de X das o No sobrescribir sucesos. Si
elegimos no sobrescribir sucesos, debemos limpiar el archivo de registro manualmente.
Windows 2000 deja de escribir sucesos una vez se llena el archivo de registro.
- 129 -
Auditora
Para que la auditora sea eficaz en Windows 2000, es necesario crear un plan de
auditora que recupere la informacin que necesitamos. La directiva de auditora
define el tipo de informacin que se incluye en el archivo de registro de seguridad de
Windows 2000, que permite ver los sucesos que nos interesan. Estos sucesos pueden ser
de muchos tipos, como intentos de inicio de sesin fallidos, cambios en la pertenencia a
grupos, cambios en la configuracin de seguridad e incluso las acciones que realizan
ciertos usuarios especficos. De forma predeterminada, la auditora est desactivada en
Windows 2000 y, una vez se activa, tendremos que decidir qu equipos de la red
tenemos que auditar y qu tipo de informacin respecto a dichos equipos se desea
obtener. Podemos auditar sucesos de forma independiente en cada equipo.
Antes de crear una directiva de auditora necesitaremos determinar los sucesos que
queremos auditar para equipos o usuarios particulares. Lo mejor es auditar sucesos
relacionados con informacin privilegiada y seguridad. Tambin es buena idea auditar
el acceso a recursos del grupo Todos para auditar a cualquiera que inicie una sesin en
la red.
Configuracin de Auditora
Los planes de auditora se basan en la funcin del equipo en la red. Para miembros o
servidores independientes o equipos funcionando con Windows 2000 Professional, es
necesario crear una directiva de auditora para cada equipo individual. Para
controladores de dominio, debe crearse una directiva de auditora para todos los
controladores de dominio dentro del dominio. A continuacin, tendremos que
configurar una directiva de grupo para el dominio que se aplique a todos los
controladores de dominio. Para instalar Auditora debemos tener derechos de usuario de
inicio de sesin como Administrar auditora y seguridad para el equipo donde vamos a
configurar una directiva de auditora o vamos a examinar el registro de auditora. El
grupo Administradores tiene estos derechos de forma predeterminada.
Configuracin de una directiva de auditora

Para establecer una directiva de auditora en un equipo que no es un controlador de
dominio, abra el complemento Agregar directiva de grupo de la MMC. Para ello pulse el
botn de <Inicio> > Ejecutar y escriba MMC. Aparece una consola MMC vaca que
deberemos configurar, para ello desde el men de Consola elija Agregar o quitar
complemento, nos aparecer el cuadro de dialogo de Agregar o quitar complementos donde
pulsaremos el botn de <Agregar> para configurarla. Nos aparecer el cuadro de dialogo
Agregar un complemento independiente, con la lista de todos los complementos de
administracin disponibles de Active Directory. Debemos que elegir el complemento
Directiva de Grupo y a continuacin pulsar el botn de <Agregar>. Nos aparecer el
cuadro de dialogo de Seleccionar un objeto de directiva de grupo, dejaremos seleccionado
el objeto Equipo local que nos aparece por defecto y pulsaremos el botn de <Finalizar>
para terminar de configurar la consola cerrando los cuadros de dialogo que nos quedan
abiertos.
- 130 -
Expandimos el rbol de la consola seleccionando Directiva Equipo local > Configuracin

del equipo > Configuracin de Windows > Configuracin de seguridad > Directivas locales >
Directiva de auditora.
Podemos ver en el panel de detalles los componentes de la directiva de auditora que
podemos elegir para auditar.
Inicio de sesin de cuenta: Registra intentos de inicio de sesin completados con
xito, o bien los fallidos (o ambos).
Administracin de cuentas: Registra cambios, creaciones o eliminaciones de
cuentas de usuario o de grupo. Adems registra cundo una cuenta cambia de
nombre, se desactiva, se activa o se vuelve a establecer su contrasea.
Acceso del servicio de directorio: Registra los accesos a objetos de Active
Directory. Los objetos que se deben auditar se configuran en Active Directory.
- 131 -
Sucesos de inicio de sesin: Registra los inicios de sesin de usuario o los cierres
de sesin.
Acceso a objetos: Registra si un usuario accede a un archivo, carpeta o
impresora. Podemos configurar los archivos, carpetas e impresoras que
queramos auditar.
Cambio de directivas: Registra cambios realizados en las opciones de seguridad de
un usuario, derechos de usuario y planes de auditora.
Uso de privilegios: Registra una accin por parte de un usuario en el sistema local,
como cambiar la fecha del sistema.
Seguimiento de procesos: Registra cundo un programa realiza una accin. Esta
funcin es til para programadores que quieran auditar los sucesos del
funcionamiento de un programa.
Sucesos del sistema: Registra cundo ocurre un suceso que afecta a la seguridad
de Windows 2000 o a la seguridad en general.
Para establecer la directiva de auditora, debemos hacer doble clic en cada atributo del
panel detalles del rbol de la consola. Como podemos ver en la figura, de forma
predeterminada, cada atributo esta sin configurar. Una vez hagamos doble clic en un
atributo aparece un cuadro de dilogo, que permite configurar el atributo para auditar. De
forma predeterminada, se activa la casilla de verificacin Error del cuadro Configuracin de
la directiva de seguridad local. As slo se auditan los intentos fallidos, de forma que no se
escriba en el registro de seguridad, cada vez que un usuario inicia una sesin en la red.
Se puede activar la casilla Correcto del cuadro Configuracin de la directiva de seguridad
local, si se desea lo contrario.
- 132 -
Una vez configurado cada atributo, el panel de detalles de la MMC muestra una
configuracin de la directiva de seguridad local para cada atributo segn se configura. La
configuracin puede ser "Sin auditora", "Errneo", "Correcto" o "Correcto, Errneo".
Una vez configurados los atributos segn se quiera, la directiva de auditora empezar a
funcionar cuando hayamos reiniciado el servidor. Para el mismo fin, tambin podemos
escribir secedt/RefreshPolcy/MACHINE_POLICY en la lnea de sistema y pulsar <Enter>. Si
no actualizamos manualmente la configuracin de la directiva usando uno de estos dos
mtodos, ste comenzar automticamente cuando se propague en nuestro servidor, lo
que ocurre cada ocho horas de forma predeterminada.
- 133 -
Auditora del acceso a archivos y carpetas

Podemos instalar auditora en las particiones NTFS para poder ver quin accede a cada
archivo o carpeta. Esto es til para determinar qu archivos y carpetas utilizan ms los
usuarios y para ayudar a determinar los fallos de seguridad que tenemos. Para poder
auditar el acceso a archivos y carpetas, debemos configurar el objeto de auditora en
nuestro plan de auditora.
Para configurar la auditora de un archivo o carpeta concreto, siga estos pasos:
1. Haga clic con el botn derecho en el archivo o carpeta que quiera auditar y
seleccione Propiedades.
2. Haga clic en la ficha Seguridad y despus seleccione el botn <Avanzada>. Aparece la
ventana Configuracin de control de acceso.
3. Haga clic en la ficha Auditora.
4. Haga clic en el botn <Agregar>. Despus seleccione el usuario cuyos archivos o

carpetas queremos auditar y haga clic en <Aceptar>.
5. Aparece el cuadro de dilogo Entrada de auditora. Active la casilla de verificacin
Correcto o Incorrecto para los sucesos que quiera auditar en el archivo o carpeta.
Tambin puede hacer clic en Aplicar estos valores de auditora slo a los objetos y/o
contenedores de este contenedor si desea restringir la auditora a una carpeta
especfica. Haga clic en <Aceptar> una vez lo haya hecho.
6. De forma predeterminada, los cambios de auditora realizados a una carpeta
principal se aplican a todas las carpetas secundarias y a todos los archivos de las
carpetas secundarias. Para cambiar esto, desactive la casilla de verificacin Hacer
posible que los valores de auditora heredables de un objeto primario se propaguen a ese
objeto y haga clic en <Aceptar>.
- 134 -
Auditora del acceso a objetos de Active Directory

De la misma forma que podemos auditar el acceso a archivos y carpetas, podemos
auditar objetos dentro de Active Directory. Esta informacin indica quin accede a qu
objeto de Active Directory. Al igual que con los archivos y carpetas, podemos establecer
una directiva de auditora para objetos determinados, como las OU, usuarios, equipos,
impresoras, etc. Para usar la auditora de objetos de Active Directory, debemos activar la
auditora del servicio de directorio en nuestro plan de auditora.
Para activar la auditora de objetos de Active Directory, siga estos pasos:
1. Hacer clic en Inicio > Programas > Herramientas administrativas > Usuarios y
equipos de Active Directory.
2. Haga clic con el botn derecho en el objeto que quiera auditar, seleccione
Propiedades y, a continuacin elija, la ficha Seguridad.
3. Haga clic en el botn <Avanzado> y, a continuacin, seleccione la ficha Auditora.
Haga clic en <Aceptar>.
4. Seleccione el usuario que quiera auditar para este objeto y haga clic en <Aceptar>.
5. En la ventana Entrada de auditora que aparece, elija lo que desee utilizando las
casillas de verificacin Correcto o Incorrecto para las entradas. Haga clic en
<Aceptar>.
Auditora del acceso a impresoras

Al igual que los archivos, carpetas y objetos de Active Directory, podemos auditar las
impresoras abriendo la pgina de propiedades de la impresora, seleccionando la ficha
Seguridad, haciendo clic en el botn <Avanzada>, eligiendo la ficha Auditora, y agregando
el usuario o grupo que auditar la impresora. A continuacin aparece un cuadro de dilogo
Entrada de permiso.
- 135 -
Haga clic en las casillas de verificacin Correcto o Incorrecto para configurar la auditora.
Haga clic en <Aceptar>.
- 136 -
MONITORIZACIN DEL SISTEMA

Una vez instalado y en funcionamiento un sistema con Windows 2000 Server, como
administradores nos interesar poder hacer un seguimiento del funcionamiento
rendimiento del mismo. Probablemente cuando se diseo e instalo el sistema todo fue
pensado y dimensionado para un funcionamiento optimo, pero como todo en la vida el
sistema va evolucionando y probablemente los requerimientos que se le exijan tambin.
Por ello ser muy importante llevar a cabo un seguimiento del funcionamiento del sistema
de modo que podamos prevenir los problemas que puedan producirse y detectar posibles
cuellos de botella antes de que estos sean realmente graves.
Para todo ello es fundamental contar con la informacin necesaria acerca del
funcionamiento del sistema que nos ayude a decidir las acciones correctoras ms
adecuadas para prevenir o corregir los problemas que pudieran darse. Se trata detectar
problemas como la falta de espacio en disco antes de que los usuarios dejen de poder
almacenar ms informacin en l o de ser capaces de responder a preguntas como es
necesario aumentar la potencia del procesador o es ms conveniente aumentar la memoria
del sistema? Esta saturada la red o es demasiado lenta la respuesta del subsistema de
disco?
Para recopilar la informacin necesaria que nos ayude en todas estas tareas Windows
2000 cuenta con varias herramientas de monitorizacin.
Administrador de tareas de Windows

El Administrador de tareas de Windows es una herramienta de monitorizacin muy bsica,
pero nos permite una primera monitorizacin on-line de un sistema, adems de la gestin
de los programas y procesos que estn ejecutndose en ese momentos en la mquina. Para
abrir el Administrador de tareas de Windows pulsamos con el botn derecho del ratn sobre
la barra de tareas y elegimos Administrador de tareas... o pulsamos la combinacin de teclas
<Control> + <Alt> + <Supr> y hacemos clic sobre el botn Administrador de tareas.
- 137 -
Nos aparece la ventana del Administrador de tareas con tres pestaas: Aplicaciones,
Procesos y Rendimiento.
En la pestaa de Aplicaciones podemos ver las aplicaciones que estn ejecutndose en ese
momento en la mquina, as como su estado. En la parte inferior de la ventana tenemos el
botn de <Finalizar tarea>, que matara la aplicacin incluso aunque esta hubiese dejado
de responder a las llamadas del sistema. Adems contamos con una barra de estado donde
se nos informa del n de procesos ejecutndose en el sistema, el consumo de CPU y de
memoria.
En la pestaa de Procesos podemos observar todos los procesos ejecutndose en el
sistema. Un proceso es un hilo de ejecucin, una aplicacin puede estar compuesta de
varios procesos, adems tenemos procesos del sistema operativo o de cada uno de los
servicios que pueda estar ofreciendo el servidor. De cada proceso se nos ofrece diversa
informacin como su nombre, el PID (Process Identifier) identificador del proceso, el
usuario al que pertenece, consumo de CPU y memoria que este produciendo, etc.
En la parte inferior de la ventana tenemos la opcin de Mostrar procesos de todos los
usuarios o nicamente del que esta en ese momento en la consola, as como el botn de
terminar la ejecucin de un proceso. Deberemos de poner especial cuidado a la hora de
matar procesos individuales, ya que si estos forman parte de una aplicacin con varios
procesos podramos poner en peligro la estabilidad de la misma, o incluso la de todo el
sistema operativo, si atentamos contra algn proceso vital para el funcionamiento de este.
La pestaa de Rendimiento es quizs la ms directamente relacionada con la

monitorizacin, desde ella se puede realizar una monitorizacin bsica del consumo de
CPU y memoria.
En la parte superior tenemos un grfico correspondiente al consumo de CPU mostrado a
travs de un diagrama de barras y mediante otro de lneas. Si estamos ante un sistema
multiprocesador podremos configurar el Administrador de tareas para que nos muestre un
grfico por cada CPU, como se muestra en la siguiente figura, o para que se muestre la
media del consumo.
- 138 -
En la parte central y con la misma distribucin de grficos de barras y lneas tenemos el

consumo de memoria RAM del sistema.
Y en la parte inferior tenemos diversos datos del uso de la memoria como memoria fsica
ocupada y libre, memoria ocupada por el ncleo, carga de transacciones, etc.
A travs de los mens podremos configurar ciertos aspectos del Administrador de tareas,
como el intervalo de refresco, la visualizacin de CPU por separado en sistemas
multiprocesador o la distincin de carga entre procesos del ncleo del sistema operativo o
del usuario.
Monitor de rendimiento
Como en Windows NT 4.0, el Monitor de rendimiento sigue siendo una parte importante
de Windows 2000. El Monitor de rendimiento se usa para comprobar el rendimiento del
sistema (o el rendimiento de otro sistema) examinando los componentes del sistema,
como el procesador, la RAM, etc. Podemos abrir el Monitor de rendimiento haciendo clic
en Inicio > Programas > Herramientas administrativas > Rendimiento. Se abre el
complemento de la MMC Monitor de rendimiento.
La interfaz del Monitor de rendimiento es ligeramente distinta en Windows 2000 Server a
como era en Windows NT Server, pero funciona igual. Las siguientes secciones
muestran cmo configurar y usar el Monitor de rendimiento.
- 139 -
Uso de contadores
Los contadores son componentes del Monitor de rendimiento que hacen un seguimiento
sobre componentes individuales del sistema y devuelven informacin sobre el rendimiento
del componente. Somos nosotros los que incluimos los contadores que realizan un
seguimiento y muestran la informacin que necesitamos. Para agregar un contador:
1. En Monitor de rendimiento, haga clic en el botn agregar contador del panel de
detalles , o simplemente haga clic con el botn secundario en el rea grfica y
seleccione Agregar contadores.
2. Aparece la ventana Agregar contadores. Puede seleccionar el contador que quiera
agregar a un equipo concreto haciendo clic en Usar contadores del equipo local o
Seleccionar contadores del equipo usando la lista desplegable. En el men
desplegable Objeto de rendimiento, haga clic en el tipo de objeto que quiera, como
el Procesador, Sistema, TCP, DiscoFsico, etc.
3. En el cuadro de dilogo Seleccionar contadores de la lista seleccione el contador que

desee y haga clic en <Agregar>. Repita este proceso para seleccionar los
contadores que desee. Cuando termine, haga clic en <Cerrar>. Para cada
contador, tambin puede pulsar en <Explicar> para saber ms sobre ese contador.
- 140 -
El Monitor de rendimiento muestra cada contador en un color diferente y comienza a hacer

el seguimiento del rendimiento del contador en la ventana grfica.
Una vez tenemos contadores funcionando en el Monitor de rendimiento, podemos

eliminar fcilmente cualquier contador seleccionando el contador en la parte inferior
del panel de detalles y pulsando el botn eliminar de la barra de herramientas.
Como hay muchos contadores para cada objeto, a menudo es difcil determinar qu
contador debera usarse para un problema concreto. A continuacin se muestran
algunos de los problemas ms importantes que podemos experimentar y nos indica qu
contadores podramos usar en el Monitor de rendimiento.
Problema Contadores recomendados

Carga del procesador Procesador\ Interrupciones/s, Procesador % Tiempo de
procesador, Proceso\ % Tiempo de procesador,
Sistema\ Longitud de la cola del procesador.
Problemas de memoria Memoria\ MBytes disponibles, Memoria\ Pginas/s.
Rendimiento de red bajo Interfaz de red\ Total de s, Interfaz de red\ Bytes
envia-dos/s, Interfaz de red\ Bytes recibidos/s,
Servidor\ Total de s., Servidor\ Bytes recibidos/s.,
Servido\ Bytes enviados/s., Segmento de red\ % Uso
de la red.
Problemas de impresin Cola de impresin\ Bytes imprimidos/s., Cola de
impresin\ Errores de trabajo.
Propiedades del Monitor de rendimiento

Podemos configurar las propiedades para un grfico del Monitor de rendimiento. Esta
funcin permite ver, guardar y usar el monitor de rendimiento de una forma ms
ventajosa. Podemos ver las propiedades del grfico haciendo clic con el botn derecho
en el grfico dentro del panel de detalles y seleccionando Propiedades. Las siguientes
secciones nos indican lo que podemos hacer en cada pgina.
- 141 -
General
En la ficha General, podemos configurar varias opciones. Primero podemos seleccionar el
tipo de pantalla que queremos ver, como Grfico, Histograma o Informe. En Apariencia,
podemos usar el men desplegable para seleccionar Plano o apariencia 3D, y tambin
podemos aplicar un Estilo de borde usando el men desplegable si lo deseamos. Podemos
cambiar los Tipos de valores de informe entre Predeterminado, Actual, Medio, Mnimo o
Mximo haciendo clic en el botn de opcin deseado y, por ltimo, podemos ajustar el
tiempo de actualizacin.
Origen
Podemos elegir la fuente de datos para el grfico del rendimiento si usarnos la ficha Origen.
Tenemos la opcin de usar la Actividad en curso o hacer clic en Actividad de registro para
ver un archivo de registro guardado. Si elegimos ver un archivo de registro, podemos usar la
seccin Intervalo de tiempo para seleccionar un periodo de tiempo que deseamos ver en el
archivo de registro.
- 142 -
Datos
La ficha Datos, ofrece una lista de los contadores que estn activos en ese momento.
Tambin podemos usar el botn <Agregar> para agregar ms contadores, o el botn
<Eliminar> para quitar contadores. Adems, podemos ajustar el color del contador y el
ancho de la barra de grficos usando las casillas desplegables.
Grfico
La ficha Grfico permite ajustar la forma en que vemos el grfico. Podemos incluir un
ttulo en el grfico, una etiqueta para el eje vertical o ver una cuadricula vertical u
horizontal. Asimismo, podemos ajustar la escala del grfico como deseemos.
Colores y fuentes
Las pginas de propiedades Colores y Fuentes permiten ajustar los colores y las fuentes
del grfico.
- 143 -
Configuracin de registros de contador

Para configurar un nuevo registro de contador, siga estos pasos:
1. En el Monitor de rendimiento, haga clic en Registros y alertas de rendimiento en el
panel izquierdo.
2. Haga clic en Registros de contador. Aparecen en el panel los registros existentes
si los hubiera. Un icono verde indica que el registro est funcionando, mientras
que un icono rojo indica que el registro est detenido.
3. En el panel de detalles, haga clic con el botn derecho en la ventana en blanco,
seleccione Nuevo y, a continuacin, haga clic en Nueva configuracin de registro.
Si quiere crear un registro de contador de datos guardados, elija Nueva
configuracin de registro de.
4. Aparece un cuadro de dilogo solicitando el nombre para la configuracin del
nuevo registro. Escriba un nombre y haga clic en <Aceptar>.
5. Aparece la ficha del registro. En la ficha General, haga clic en el botn
<Agregar> para agregar nuevos contadores al registro. De forma predeterminada,
los datos se muestrean cada 15 segundos, pero podemos cambiar este valor
predeterminado ajustando las casillas desplegables.
6. Haga clic en la ficha Archivos. Use el men desplegable para ajustar el tipo de
archivo de registro que quiera crear. Puede elegir entre Archivo de texto: CSV,
Archivo de texto: TSV, Archivo binario, o Archivo cclico binario. A continuacin,
puede usar los botones de opcin para permitir al archivo crecer hasta un tamao
mximo o determinar un tamao lmite para el registro. Por ltimo, puede
ajustar la nomenclatura del archivo de registro y su ubicacin de
almacenamiento predeterminada si es necesario.
- 144 -
7. Haga clic en la ficha Programacin. Puede ajustar los botones de opcin para
iniciar manualmente el registro o permitir al registro que empiece a una hora
concreta. Asimismo, puede utilizar los botones de opcin para detener el registro
si lo deseamos.
8. Haga clic en <Aceptar> cuando lo hayamos completado.
Configuracin de las alertas de rendimiento

Para crear una alerta de rendimiento, siga estos pasos:
1. En el Monitor de rendimiento, haga clic en Registros y alertas de rendimiento en
el panel izquierdo.
2. Haga clic en Alertas. Cualquier alerta existente aparece en el panel de
detalles. Un icono verde indica que la alerta est funcionando y un icono
rojo indica que la alerta est detenida.
- 145 -
3. En el panel detalles, haga clic con el botn derecho en la ventana en

blanco, seleccione Nueva alerta. Si quiere crear una alerta de datos
guardados, elija Nueva configuracin de alerta desde.
4. Aparece un cuadro de dilogo solicitando el nombre para la configuracin
de la nueva alerta. Escriba un nombre y haga clic en <Aceptar>.
5. Aparece la ficha Alerta. En la ficha General, puede agregar contadores para
los que quiera instalar una alerta. Despus de agregar el contador, use el
botn desplegable para cambiar el valor de la alerta como Inferior a o
Superior a y, a continuacin, escriba un nmero en el cuadro de dilogo.
Tambin puede ajustar el intervalo de muestreo de los datos si lo desea.
6. En la ficha Accin, seleccione cmo quiere que el sistema maneje la alerta.

Use las casillas de verificacin para seleccionar Registrar una entrada en el
registro de sucesos de aplicacin, Enviar un mensaje por la red a o Ejecutar el
archivo de comandos.
- 146 -
7. En la ficha Programacin, puede configurar la programacin para iniciar o

detener el registro. sta es la misma ventana que la de los registros de
contador.
8. Haga clic en <Aceptar>cuando lo haya hecho.
- 147 -
COPIAS DE SEGURIDAD
La finalidad de hacer copias de seguridad de datos e informacin del sistema, como el
registro, es poder restaurar los datos en caso de fallo del sistema o prdida de datos de
algn tipo. Si los datos estn guardados correctamente, se pueden restaurar
completamente sin tener en cuenta si los datos son un simple archivo o todo un disco.
Para realizar copias de seguridad fcilmente, Windows 2000 Server incluye una
herramienta para realizar copias de seguridad llamada Copia de seguridad, que
podemos iniciar desde Inicio > Programas > Accesorios > Herramientas del sistema >
Copia de seguridad.
Existe ms de una forma correcta de hacer copias de seguridad. El objetivo es poder

restaurar datos crticos en un momento dado, por lo que el tipo de copia de seguridad
que elijamos y la frecuencia con que realicemos las copias de seguridad dependern de
las necesidades de la organizacin. No es necesario hacer copia de seguridad de
archivos que rara vez cambian, pero hacer copias de seguridad de datos que cambian
todos los das es muy importante para restaurar la versin de los datos ms reciente.
Windows 2000 Server permite elegir el medio de la copia de seguridad, desde una
cinta hasta medios extrables como unidades Zip, CD-ROM, o discos duros en equipos
remotos.
Tipos de copias de seguridad

Copia de seguridad ofrece cinco tipos de copias de seguridad que nos permiten
administrar y planificar nuestras sesiones de copia de seguridad. Si ha utilizado Copia
de seguridad dentro de Windows NT (NTBackup), los reconocer fcilmente. La
siguiente lista enumera los cinco tipos de copia de seguridad:
- 148 -
Normal: En una copia de seguridad Normal, todos los archivos y carpetas

seleccionados se incluyen en la copia de seguridad. Una copia de seguridad
Normal no utiliza marcadores para determinar los archivos que se incluirn en
la copia de seguridad; los marcadores se quitan y el archivo se marca como
incluido en la copia de seguridad. Este tipo de copia de seguridad es rpida de
restaurar pero el tiempo de realizacin de la copia de seguridad vara
dependiendo de la cantidad de datos incluidos.
Copia: Una copia de seguridad Copia se parece a una Normal en que se copian
todos los archivos y carpetas seleccionadas. Una copia de seguridad Copia no mira
los marcadores y no quita ningn marcador existente. Podemos usar la copia de
seguridad Copia si no queremos quitar marcadores, ya que esto puede afectar a
otros tipos de copia de seguridad.
Diferencial: En una copia de seguridad Diferencial slo se incluyen los archivos y
carpetas seleccionadas que estn marcados desde la ultima copia de seguridad
completa. Una copia de seguridad Diferencial no quita los marcadores
existentes.
Incremental: Una copia de seguridad Incremental es como una Diferencial en la
que se incluyen los archivos y carpetas seleccionados que poseen un marcador
desde la ltima copia de seguridad completa, si bien una copia de seguridad
Incremental elimina los marcadores existentes.
Diaria: En una copia de seguridad Diaria, todos los archivos y carpetas

seleccionados que han cambiado ese da se incluyen en la copia de seguridad.
Una copia de seguridad Diaria no mira ni quita marcadores, pero es una manera
eficaz de incluir en la copia de seguridad los archivos y carpetas que han
cambiado ese da.
Determinar cmo hacer una copia de seguridad de los archivos es una parte importante
en la planificacin. Si tenemos suficiente tiempo disponible para realizar las copias la
mejor opcin es una copia Normal diaria, ahora bien las soluciones ms eficaces suelen
usar una combinacin global de tipos de copia de seguridad. Una copia de seguridad
Normal puede realizarse el lunes y una copia de seguridad diferencial durante los
restantes das de la semana. Si se produce un error el sbado, slo necesitamos la copia
del lunes y la del viernes para reconstruir los datos. Esta combinacin utiliza ms
tiempo para copiar, pero menos para restaurar. Tambin puede usar copias de seguridad
Normal e Incremental de la misma manera. En caso de error, cada copia de seguridad
Incremental debe restaurarse ya que elimina marcadores. Esta solucin requiere menos
tiempo para hacer la copia de seguridad, pero ms tiempo para restaurar los datos. La
clave es determinar la velocidad de restauracin que necesita para solucionar el error.
Normalmente, las soluciones que incluyen una restauracin ms rpida invierten ms
tiempo en la copia de seguridad Diaria.
Cmo usar Copia de seguridad de Windows

Puede acceder a Copia de seguridad de Windows haciendo clic en Inicio > Programas,
Accesorios > Herramientas del sistema > Copia de seguridad. Aparece Copia de seguridad
de Windows. Como era de esperar, las copias de seguridad dependen de los derechos
de cada usuario. Si es usted administrador u operador de copia de seguridad en un
grupo local, puede realizar una copia de seguridad de todos los archivos o carpetas
dentro del servidor local al que se aplica el grupo. Si es administrador u operador de
- 149 -
copia de seguridad en un controlador de dominio, puede realizar una copia de

seguridad de todos los archivos o carpetas del dominio, exceptuando los datos de
estado del sistema, que slo se pueden incluir en una copia de seguridad desde la
mquina local.
La ficha Bienvenido, ofrece tres botones de opcin. Asistente para copia de seguridad,
Asistente para restauracin y Disco de reparaciones de emergencia. Las siguientes
secciones analizan cada una de estas opciones.
Creacin de copias de seguridad

Puede utilizar el asistente para copia de seguridad para crear un plan de copia de
seguridad para proteger sus archivos y programas en caso de error catastrfico. Para
utilizar el asistente para copia de seguridad, hacer clic en el botn del asistente para
copia de seguridad para comenzar el proceso y seguir estos pasos:
1. Despus de hacer clic en el botn del Asistente para copia de seguridad, se inicia el
asistente. Haga clic en <Siguiente>.
2. La segunda pantalla le pregunta qu desea incluir en la copia de seguridad. Tiene las
siguientes opciones:
a. Hacer copia de seguridad de todo el contenido de mi equipo. Esta opcin realiza una
copia de seguridad de todos los archivos de la mquina local exceptuando
ciertos archivos de administracin de energa que no se incluyen en la copia de
forma predeterminada.
b. Hacer copia de seguridad de archivos, unidades o datos de red seleccionados. Esta
opcin slo realiza copia de seguridad de los archivos y programas seleccionados.
Puede usar esta opcin para hacer una copia de seguridad de cualquier recurso
compartido o disco de red.
c. Hacer copia de seguridad slo de los datos de estado del sistema. Esta opcin realiza
una copia de seguridad del registro, de los componentes de registro de la clase
COM+, la base de datos SAM, archivos de inicio del sistema y del Certifcate Server
del equipo local. Si el servidor es controlador de dominio, tambin se incluye en la
copia de seguridad Active Directory y el directorio SYSVOL. Si elige la opcin datos
de estado del sistema, se incluyen en la copia todos los datos importantes, es decir,
no se pueden elegir los componentes que se incluyen en la copia de seguridad.
- 150 -
3. Si elige realizar una copia de seguridad de archivos, unidades y datos de red

seleccionados, aparecer la ventana Elementos para hacer copia de seguridad. Esta
ventana de tipo explorador permite seleccionar archivos o discos, o incluso datos de
red, para la copia de seguridad usando las casillas de verificacin. Si expande Mis
sitios de red, podr elegir cualquier unidad de red o archivos individuales. Una vez
seleccionado todo, haga clic en <Siguiente>.
4. Si elige Hacer copia de seguridad de todo el contenido de mi equipo o Hacer copia de

seguridad slo de datos de estado del sistema, en su servidor aparecer la ventana
Dnde almacenar la copia de seguridad, use el botn <Examinar> para seleccionar el
medio de la copia de seguridad, a continuacin haga clic en <Siguiente>.
- 151 -
5. La ventana siguiente resume las selecciones realizadas. Si hace clic en el botn

<Avanzado> antes de hacer clic en <Finalizar>, puede especificar opciones de copia
de seguridad adicionales. Esta funcin permite especificar el tipo de copia de
seguridad. Si usamos el men desplegable, puede elegir Normal, Copia, Incrementa!,
Diferencial o Diaria. Elija la que desee y haga clic en <Siguiente>.
6. La ventana siguiente muestra dos casillas de verificacin, una para comprobar los
datos antes de la copia de seguridad y otra para usar compresin por hardware si
est disponible. Elija lo que desee y haga clic en <Siguiente>.
- 152 -
7. La ventana siguiente, Opciones de medio, permite seleccionar botones de opcin que

indican a Windows que agregue la copia de seguridad a otras copias de seguridad
existentes en el medio o sobrescriba el antiguo archivo de copia de seguridad por
uno nuevo. Elija lo que desee y haga clic en <Siguiente>.
8. Aparece la ventana Etiqueta de la copia. En esta pgina puede aceptar las etiquetas
predeterminadas o crear las suyas propias. El nombre de medio predeterminado es
Se ha creado el medio en fecha y hora. Haga clic en <Siguiente>.
- 153 -
9. La ventana Cundo hacer la copia de seguridad pregunta cundo desea ejecutar Copia
de seguridad. Puede seleccionar la opcin Ahora o Ms adelante y especificar la fecha
de inicio de la tarea. Haga clic en <Siguiente>.
10. Llegar a la pgina final de resumen del asistente. Revise las selecciones y haga clic
en <Finalizar>.
11. El Asistente para copia de seguridad calcula el tamao que ocupa la copia de
seguridad y comienza a trabajar con el medio seleccionado. Una vez realizada la
copia de seguridad, Copia de seguridad de Windows crea un archivo de resumen e
informacin de directorios en un conjunto de catlogos de copia de seguridad, que
se guarda en el medio de copia de seguridad.
Aparte de utilizar el Asistente para copia de seguridad, podemos hacer clic en la ficha
Copia de seguridad dentro de Copia de seguridad de Windows. Aparece una pantalla donde
podemos seleccionar unidades, archivos, carpetas y unidades de red y comenzar el
proceso de copia de seguridad inmediatamente sin el asistente
Desde esta vista, si hace clic en el botn <Iniciar>, ver una ventana en miniatura con
varias opciones disponibles en el asistente. En la ventana Informacin sobre el trabajo de
copia de seguridad, podemos especificar la etiqueta y anexo, o sustituir los trabajos de
copia de seguridad anteriores. Asimismo, podemos hacer clic en el botn <Avanzado>
para seleccionar el tipo de copia de seguridad que se va a realizar. Si hacemos clic en
el botn <Programacin>, se nos instar a que guardemos primero el trabajo de copia
de seguridad y establezcamos la contrasea de administrador para seguir adelante.
Una vez hecho esto, veremos la ventana Programar trabajo, donde podremos seleccionar
la hora y la fecha en que deseamos realizar la copia de seguridad.
- 154 -
Restauracin de las copias de seguridad

Una vez realizada la copia de seguridad, podemos restaurarla usando el Asistente para
restauracin. Podemos restaurar datos de volmenes FAT o NTFS, pero si hemos
realizado la copia en un volumen NTFS, deberemos restaurar a un volumen NTFS. Si la
restaurramos a un volumen FAT, podramos perder datos y algunas caractersticas, como
permisos de acceso, configuraciones del sistema de cifrado de archivos, informacin de
cuota de disco, informacin de unidades montadas y, posiblemente, cualquier otra
informacin especfica de NTFS.
Inicie el Asistente para restauracin haciendo clic en el botn <Asistente para
restauracin> de la ficha Bienvenido, luego siga estos pasos:
1. Una vez haga clic en el botn <Asistente para restauracin>, se iniciar el asistente.
Haga clic en <Siguiente>.
2. Aparece la ventana Elementos a restaurar, como muestra la figura. En el panel
Restauracin de, seleccione los elementos que quiera restaurar y haga clic en
<Siguiente>.
- 155 -
3. Aparece la ventana Resumen. Si hace clic en el botn <Avanzado>, podr especificar

acciones adicionales para la operacin de restauracin. La primera ventana pregunta
dnde quiere restaurar los archivos. Por defecto, se selecciona la ubicacin original,
pero puede utilizar el men desplegable para seleccionar una ubicacin alternativa o
una simple carpeta. Haga clic en <Siguiente>.
- 156 -
4. La ventana Cmo restaurar le pregunta si quiere restaurar los archivos ya existentes.

La seleccin predeterminada y recomendada es no sustituir los archivos de la copia
mientras el archivo todava exista en la ubicacin original. Esta accin evita que la
copia de seguridad sustituya archivos ms nuevos con archivos ms antiguos en esta
copia de seguridad. Haga clic en <Siguiente>.
5. Aparece la ventana Opciones de restauracin avanzadas. Aqu, puede elegir Restaurar

seguridad, Restaurar la base de datos de medios de almacenamiento extrables o Restaurar
los puntos de unin en lugar de los datos de archivos y carpetas a que hacen referencia.
Una vez realizadas las selecciones, haga clic en <Siguiente>.
- 157 -
6. Ahora regrese a la pgina de resumen. Revise las selecciones y haga clic en

<Finalizar>.
7. Deber confirmar la ruta del medio donde se encuentra el trabajo de copia de

seguridad. A continuacin, haga clic en <Aceptar>.
8. El proceso de restauracin da comienzo.
- 158 -
Al igual que con el proceso de copia de seguridad, tambin podemos acceder a la

ficha Restauracin de Copia de seguridad de Windows. Es la misma ventana que se vea
en el asistente, de modo que podemos elegir rpidamente el trabajo a restaurar. Si
hacemos clic en el botn <Iniciar>, podemos ver las opciones avanzadas del asistente,
o simplemente iniciar el proceso de restauracin. Una vez que nos familiaricemos
con el proceso de restauracin, podemos usar esta ficha en lugar del asistente.
Si estamos restaurando datos de estado del sistema, debemos conocer un proceso

llamado "restauracin autoritativa". Si tenemos ms de un controlador de dominio en
nuestra organizacin en el que se est replicando Active Directory hacia los otros
controladores de dominio, una restauracin autoritativa asegura que los datos
restaurados son una rplica de esos controladores de dominio. La restauracin
automtica actualiza el nmero de secuencia de Active Directory para que los datos
restaurados no aparezcan como "antiguos" para los otros controladores de dominio.
Si sucede esto, los datos no se duplicarn y los datos restaurados se actualizarn con
datos replicados de otros servidores. La restauracin autoritativa corrige ese aspecto
actualizando el nmero de secuencia para que los datos se actualicen. Para usar la
restauracin autoritativa, es necesario restaurar los datos del estado del sistema en una
- 159 -
operacin de restaurado normal, pero entonces necesitaremos ejecutar Ntdsutil, que

est disponible en el CD-ROM de Windows 2000 Server, para que se actualice el
nmero de secuencia. Debemos ejecutar esta utilidad antes de volver a iniciar el
servidor.
Disco de reparacin de emergencia

Tambin podemos utilizar Copia de seguridad de Windows para crear un ERD (Emergency
Repair Disk), Disco de reparacin de emergencia. El ERD guarda la configuracin y los
archivos que pueden ser de utilidad para iniciar Windows en caso de un error de
arranque del sistema. El ERD no es el sustituto de un plan de copia de seguridad y no
protege los datos en caso de error. Debemos guardar un ERD actualizado en todo
momento. Cada vez que realizamos un cambio en el sistema, como un nuevo paquete
de servicios, debemos volver a crear el ERD para que est actualizado. Para crear un
ERD, necesitamos al menos un disco flexible de 1.44 MB. Para crear el ERD, haga clic
en el botn <Disco de reparacin de emergencia> en la ficha Bienvenido. Introduzca el
disco flexible vaco en la unidad. Una vez introducido, haga clic en <Aceptar>. Se crea
el ERD.
Cmo cambiar las opciones predeterminadas de copia de seguridad

Windows ofrece varias configuraciones predeterminadas de copia de seguridad que se
pueden cambiar, si es necesario, utilizando Copia de seguridad de Windows. Si
accedemos al men Herramientas y seleccionamos Opciones, aparece una ventana con
varias fichas, como muestra la figura. La siguiente lista enumera las opciones
disponibles en cada ficha.
General: En la pestaa General tenemos varias casillas de verificacin que afectan a
la forma que tiene Windows de manejar las tareas de copia de seguridad y los
medios de almacenamiento:
Procesar la informacin de seleccin antes de las operaciones de copia de segundad y
restauracin.
Usar los catlogos en el medio para acelerar la construccin de catlogos de

restauracin en disco.
Comprobar datos despus de completar la copia de seguridad.

Mostrar mensaje de alerta cuando inicie Copia de seguridad y no se est ejecutando
Administracin de medios de almacenamiento extrables.
Mostrar mensaje de alerta cuando inicie Copia de seguridad y no haya medios de

importacin compatibles disponibles.
- 160 -
Mostrar mensaje de alerta cuando se inserten nuevos medios en Administracin de

medios de almacenamiento extrables.
Mover siempre nuevos medios de importacin a grupos de Copia de seguridad. Esta

caracterstica mueve automtica el nuevo medio detectado por Medios de
almacenamiento extrables a Medios de copia de seguridad.
Restaurar: La pestaa Restaurar muestra cmo elegir si una restauracin no debe

sustituir un archivo ya existente en el equipo, sustituir el archivo slo si es ms
antiguo, o sustituir siempre el archivo.
- 161 -
Tipo de copia de seguridad: La pestaa Tipo de copia de seguridad permite

nuevamente elegir entre Normal, Copia, Diferencial, Incremental o Diaria.
Registro de la copia de seguridad: La pestaa Registro de la copia de seguridad

permite seleccionar el tipo de archivo de registro que se genera. Por defecto, se
selecciona un Resumen de registro, pero podemos elegir un Registro detallado o
Ninguno.
- 162 -
Excluir archivos: La pestaa Excluir archivos permite seleccionar los archivos que
deseemos excluir del proceso de copia de seguridad. Esta opcin es til para
archivos que no se necesite guardar o puedan dar problemas a la copia de seguridad,
por estar abiertos en el momento de realizacin de la misma, como archivos
temporales o de registro (logs) Podemos configurar la exclusin de archivos para el
usuario que estamos empleando en el momento de realizar la copia o para todos los
usuarios del sistema.
Pulsaremos el botn <Agregar nuevo> correspondiente a la opcin que queramos

emplear e indicaremos una mascara de archivo y una ruta de aplicacin, pulsando el
botn de <Aceptar> para que quede configurada la nueva exclusin de archivos.
- 163 -
Copias de seguridad a travs de comandos

Podemos usar la lnea de comandos para realizar operaciones de copia de seguridad,
pero, la gran ventaja de los comandos es que permiten usar un archivo de proceso por
lotes para personalizar, automatizar y programar la realizacin de las copias de
seguridad. Esto se consigue utilizando el comando ntbackup. La sintaxis del comando
ntbackup se describe a continuacin y se ofrece una explicacin breve de cada
parmetro como consulta rpida:
Ntbackup backup [systemstate] "nombre del archivo bks" /J [{nombre de la
tarea}] [ / P { nombre del grupo}] [ / G { nombre simplificado}][ / T { nombre
de la cinta}][ / N { nombre del medio}] [ / F { nombre del archivo}][ / D
{descripcin del conjunto} /DS { nombre del servidor}][/IS { nombre del
servidor}][ / A ] [ / V { y e s n o } ] [ / R { y e s j no}][/ L : {fsn}][/M { tipo de copia
de seguridad}] [ / R S { y e s n o } ] [ / H C { o n | o f f } ]
Systemstate: Indica que se quiere una copia de seguridad de los datos
de estado del sistema.
Nombre del archivo bks: Indica el nombre del archivo de informacin
seleccionado a usar. El archivo de seleccin de copia de
seguridad contiene informacin de los archivos y carpetas
que haya seleccionado para la copia de seguridad. Tiene
que crear el archivo utilizando la versin de Copia de
seguridad con interfaz grfica de usuario (GUI). Puede
sustituirse por la indicacin concreta de las rutas de las
que se quiere realizar copia de seguridad.
/J Nombre de la tarea. Indica el nombre de la tarea para usar
en el archivo de registro.
/P Nombre del grupo. Indica el grupo de medios, nombre
del dispositivo fsico donde realizar la copia para el
sistema operativo (por ejemplo DDS 4mm en el caso de
una cinta de 4mm).
/G Nombre simplificado. Sobrescribe o anexa a esta cinta.
No usar con el parmetro /R
/T Nombre de la cinta. Sobrescribe o anexa a esta cinta. No
usar con el parmetro /P.
/N Nombre del medio. Se debe indicar el nuevo nombre de
la cinta. No usar con el parmetro /A.
/E Nombre del archivo. La ruta lgica al disco y el nombre
del archivo. No usar con los parmetros /P, /G o /T.
/D Descripcin del conjunto. Indica una etiqueta para cada
conjunto de copia de seguridad.
/DS Nombre del servidor. Hace una copia de seguridad del
archivo del servicio de directorios para el Servidor
Exchange especificado.
/IS Nombre del servidor. Hace una copia de seguridad del

archivo de informacin de almacenamiento para un
Servidor Exchange especificado.
- 164 -
/A Indica una operacin de anexacin que se usa con los

parmetros /G o /T. No usar /A con /P
/V Yes o No. Verifica que los datos estn completos despus
de la copia de seguridad.
/R Yes o No. Limita el acceso a la cinta al propietario o a los
administradores.
/L f, s o n. Especifica el tipo de archivo que se crea, f para
completa (full), s para resumen (summary), n para sin
registro (no-log).
/M Tipo de copia de seguridad. Indica el tipo de copia de
seguridad (normal, copia, Incremental, diferencial o diaria).
/RS Yes o No. Hace una copia de seguridad de la base de datos
de almacenamiento extrable.
/HC On u Off. Indica si usar o no usar compresin por
hardware, si est disponible.
/UM Busca el primer medio disponible, le da formato y lo
utiliza para la operacin de copia de seguridad actual.
Deber utilizar el modificador /P para designar un grupo
de medios de tipos de dispositivos cuando utilice el
modificador /UM de modo que Copia de seguridad busque
el tipo de medio apropiado (por ejemplo, DDS 4mm).
Cuando utilice el modificador /UM, Copia de seguridad
buscar los siguientes grupos de medios para los medios
disponibles: Grupo de medios libres, de importacin, no
reconocido y de copia de seguridad. Cuando se encuentran
los medios disponibles, se detiene la bsqueda, se da
formato y se utilizan los medios sin que deba especificar
nada. Este comando no se puede aplicar a cargadores de
cintas y slo se debe utilizar si dispone de un dispositivo
de cinta independiente.
- 165 -
ENLACES Y DIRECCIONES DE INTERES

Del autor:
e-mail: eduardo@perezdeluco.net
http://www.perezdeluco.net
Otros:
http://www.microsoft.com/windowsserver2003/proddoc/
http://www.microsoft.com/spain/technet/
http://www.eventid.net
- 166 -
- 167 -

Servidores Windows

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Servidores Windows

Hochgeladen von

Copyright:

Verfügbare Formate

Configuracin y

Familia de sistemas operativos Windows

que es una evolucin de la familia Windows 2000 Server y la versin de servidores de

Propsito domstico Propsito profesional

Windows NT 3.5 Windows NT 3.5

Windows NT 3.51 Windows NT 3.51

Windows 98 Windows NT 4.0 Windows NT 4.0

Windows XP Windows Server

Nuevas caractersticas de los servidores Windows

La estrategia de esta evolucin pretende bsicamente dos cosas: avanzar en la

directamente sin la solicitud de este, segn la configuracin que se haya

Cuotas de disco: permite administrar la cantidad de espacio dentro de

de clave pblica con un servidor de certificados en su propio web, en lugar

Microprocesador: El mnimo admitido es Pentium o compatible a 233 Mhz.

Windows Server 2003 Standard Edition

Windows Server 2003 Enterprise Edition

Memoria RAM: Se recomienda 256 MB de RAM como mnimo, 128 MB es el

Windows 2003 Datacenter Edition

Windows 2003 Web Edition

CONFIGURACIN GENERAL DEL SISTEMA

Asistente de administracin del servidor

funciones mltiples (existe un asistente independiente para cada funcin). El asistente

Funciones de los servidores Windows Server 2003

Servidores de Base de Datos. Almacenan grandes volmenes de datos de forma

Panel de Control: Sistema

La siguiente lista muestra cmo configurar cada uno de ellos:

En la pestaa de opciones visuales podemos ajustar el comportamiento de

un mejor rendimiento general del sistema, ya que pueden aprovecharse los

Por defecto Windows configura la memoria virtual en el disco del sistema

Se nos abrir el cuadro de dialogo de opciones de Optimizacin del servidor. Este

Inicio y recuperacin: Al hacer clic en el botn <Inicio y recuperacin>, podemos hacer

Primero, si tenemos arranque dual entre varias configuraciones o varios sistemas

Informe de Errores: Al hacer clic en el botn <Informe de errores> aparece un

A travs de la Asistencia remota podemos habilitar que terceras partes se conecten

INTERCONEXION DE REDES EN WINDOWS

Visin general del TCP/IP

Comprensin de los valores de configuracin TCP/IP

Despus de instalar TCP/IP, con el programa de instalacin o desde la pgina de Propiedades

Clase de direccin de Mscara de subred Cantidad de N mximo de

B 255.255.0.0 16384 65.534

C 255255.255.0 2.097.152 254

Comprensin de una subred

administradores responsables de cada red. De esa manera, en tal situacin, la direccin

Puerta de enlace predeterminada

Servidores DNS preferidos y alternativos

Elegimos Protocolo Internet TCP/IP y pulsamos <Propiedades>.

De forma predeterminada, aparece seleccionada la opcin Obtener una direccin IP

Comprensin de la resolucin y registro de nombres

Uso del archivo HOSTS

Uso del sistema de nombres de dominio

El sistema de nombres de dominio est compuesto de miles de servidores DNS ubicados

habilita NetBIOS y hosting directo, que se utilizan simultneamente para resolver

Resolucin NetBIOS Pre-Windows 2000 vs. Windows 2000 o superiores

Cache de nombres Nombre equipo

3 consultas a Cache de nombres

Consulta archivo 3 intentos

Consulta archivo Consulta archivo

Consulta a Consulta archivo

Cundo se deja de depender de NetBIOS

GRUPOS DE TRABAJO vs. DOMINIOS

Configuracin del grupo de trabajo o Dominio

Nos aparece el cuadro de dialogo de Cambios de identificacin, donde podremos

El servicio Active Directory es bsicamente una forma de publicar objetos de inters.

Caractersticas del Directorio Activo