LA ADMINISTRACIÓN

DE DOMINIOS

Objetivos del capítulo:

 Conocer lo que es un dominio
y sus funciones.
 Conocer los componentes de
un dominio.
 Instalar un controlador de
dominio.
 Utilizar distintas herramientas
para gestión del dominio.
 Conocer lo que son las
cuentas de usuario, grupos y
equipos.
 Distinguir entre usuario local y
global.
 Conocer los distintos tipos de
grupos.
 Crear cuentas de usuario,
grupos y equipos.
 Conocer lo que es un perfil.
 Distinguir entre perfil local y
perfil móvil.
1  Conocer lo que es un script del
sistema.
8.1. CONCEPTOS PREVIOS:

8.1.1. LA ESTRUCTURA DE TRABAJO EN GRUPO:

Los grupos de trabajo son conceptualmente contrarios a los servicios de directorio.

Los servicios de directorio se administran de forma centralizada y los grupos de trabajo son dirigidos por los
usuarios cuando reúnen los recursos de sus ordenadores. Con una conexión en red, los usuarios comparten
los recursos de sus ordenadores con otros usuarios.

Los usuarios individuales administran los recursos de sus ordenadores, indicando qué recursos pueden ser
compartidos y cuáles van a tener un uso restringido.

Este tipo de redes puede tener dos problemas en grandes organizaciones:

 Algunos recursos compartidos son difíciles de localizar para los usuarios.

 Los recursos se comparten con un grupo limitado de colaboradores.

Microsoft introdujo el concepto de trabajo en grupo con Windows 3.11 para Trabajo en grupo y
permitía establecer grupos que podían fácilmente ver y compartir sus recursos. Para localizar recursos
en la red se utilizaban servicios de exploración.

Posteriormente, se suministraron tres utilidades (Entorno de red, Mis sitios de red y Red), que
permitían explorar la red e identificar recursos a los que conectarse.

8.1.2. LA ESTRUCTURA CLIENTE-SERVIDOR:

Al principio de la utilización de las redes, se conectaban los ordenadores entre sí para compartir los
recursos de todos los ordenadores que estaban conectados.

Con el paso del tiempo, los usuarios fueron necesitando acceder a mayor cantidad de información y de
forma más rápida, por lo que fue sugiriendo la necesidad de un nuevo tipo de ordenador: el servidor.

Un servidor es un ordenador que permite compartir sus recursos con otros ordenadores que están
conectados a él. Los servidores pueden ser de varios tipos y entre ellos se encuentran los siguientes:

 Servidor de archivos. Mantiene los archivos en subdirectorios privados y compartidos para los
usuarios de la red.

 Servidor de impresión. Tiene conectadas una o más impresoras que comparte con los demás usuarios.

 Servidor de comunicaciones. Permite enlazar diferentes redes locales o una red local con grandes
ordenadores o miniordenadores.

 Servidor de correo electrónico. Proporciona servicios de correo electrónico para la red.

 Servidor web. Proporciona un lugar para guardar y administrar los documentos HTML que pueden ser
accesibles por los usuarios de la red a través de los navegadores.

2
  Servidor FTP. Se utiliza para guardar los archivos que pueden ser descargados por los usuarios de la
red.

 Servidor proxy. Se utiliza para monitorizar y controlar el acceso entre las redes. Cambia la dirección IP
de los paquetes de los usuarios para ocultar los datos de la red interna a Internet y cuando recibe
contestación externa, la devuelve al usuario que la ha solicitado. Su uso reduce la amenaza de piratas
que visualicen el tráfico de la red para conseguir información sobre los ordenadores de la red interna.

Según el sistema operativo de red que se utilice y las necesidades de la empresa, puede ocurrir que los
distintos tipos de servidores residan en el mismo ordenador o se encuentren distribuidos entre aquellos
que forman parte de la red.

Así mismo, los servidores de archivos pueden establecerse como dedicados o no dedicados, según se
dediquen sólo a la gestión de la red o, además, se puedan utilizar como estación de trabajo. La
conveniencia de utilizar uno u otro va a estar indicada por la cantidad de estaciones de trabajo de que se
vaya a disponer: cuanto mayor sea el número de ellas, más conveniente será disponer de un servidor
dedicado.

No es recomendable utilizar un servidor no dedicado como estación de trabajo, ya que, en caso de que ese
ordenador tenga algún problema, la totalidad del sistema puede dejar de funcionar, con los consiguientes
inconvenientes y pérdidas irreparables que se pueden producir.

El resto de los ordenadores de la red se denominan estaciones de trabajo o clientes, y desde ellos se facilita
a los usuarios el acceso a los servidores y periféricos de la red.

Cada estación de trabajo es, por lo general, un ordenador que funciona con su propio sistema operativo. A
diferencia de un ordenador aislado, la estación de trabajo tiene una tarjeta de red y está físicamente
conectada por medio de cables con el servidor.

8.1.3. EL PROTOCOLO LDAP:

LDAP (Lightweight Directory Access Protocol, Protocolo Ligero de Acceso a Directorios) es un protocolo a
nivel de aplicación que permite acceder a un servicio de directorio ordenado y distribuido para buscar
diversa información en un entorno de red. También es considerado una base de datos en la que pueden
realizarse consultas.

Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la
red y un servicio de directorio proporciona métodos para almacenar los datos del directorio y ponerlos a
disposición de los administradores y los usuarios de la red.

8.1.4. LOS DOMINIOS:

El dominio fue introducido por Microsoft para Windows NT y toma prestados conceptos de los grupos de
trabajo y de los servicios de directorio.

Los dominios son un sistema que posibilita dividir redes extensas en redes parciales reducidas que
simplifican el trabajo de administración. Comprenden un grupo de ordenadores, usuarios y recursos de la
red que cuentan con una base de datos de seguridad común.

3
 De la misma manera que los grupos de trabajo, los dominios pueden ser administrados usando una mezcla
de controles locales y centrales. Los dominios pueden ser desarrollados fácilmente y con menos
planificación que un servicio de directorio.

Igual que los servicios de directorio, coloca los recursos de varios servidores en una única estructura
organizativa. Así, a los usuarios se les conceden privilegios de conectarse a un dominio en lugar de
conectarse a servidores independientes.

Los servidores que forma parte de un dominio muestran sus servicios a los usuarios y éstos pueden
conectarse a aquellos a los que se les ha concedido permiso.

Se pueden ver los recursos de un dominio mucho mejor que se verían en un grupo de trabajo y con un nivel
de seguridad mayor.

Cuando sea necesario configurar varios dominios, los administradores pueden establecer relaciones de
confianza entre los dominios. Dichas relaciones de confianza simplifican la administración de la red ya que
un usuario necesitará tener únicamente una cuenta.

El acceso de un usuario a los recursos de un dominio es supervisado por un controlador de dominio.

8.1.5. EL DIRECTORIO ACTIVO:

El Directorio Activo es el servicio de directorio incorporado en Windows Server 2003/2008, ya que

almacena información acerca de objetos de la red y facilita la búsqueda y utilización de esa información por
parte de usuarios y administradores.

Cuenta con las siguientes características:

 Incorpora un directorio que es un almacén de datos para guardar información acerca de los objetos.
Estos objetos incluyen normalmente recursos compartidos como servidores, archivos, impresoras y las
cuentas de usuario y de equipo de red.

 Su estructura se basa en los siguientes conceptos:

o Dominio. Es la estructura fundamental. Permite agrupar todos los objetos que se administrarán
de forma estructurada y jerárquica.

o Unidad organizativa. Es una unidad jerárquica inferior del dominio, puede estar compuesta por
una serie de objetos, por otras unidades organizativas, o por ambas.

o Grupos. Son conjuntos de objetos del mismo tipo. Se utilizan, fundamentalmente, para la
asignación de los derechos de acceso a los recursos.

o Objetos. Son representaciones de los recursos de red: usuarios, ordenadores, impresoras, etc.

 Se denomina árbol de dominios del Directorio Activo a una estructura jerárquica de dominios que
comparten un espacio de nomenclatura contiguo, un esquema común y un catálogo global común.

4
 Un bosque es una colección de árboles de directorio que, aunque no comparten un espacio de
nomenclatura contiguo, tienen un esquema común y un catálogo global.

5
  En Windows Server 2003/2008, los servidores dentro del dominio pueden tener uno de los siguientes
papeles:

o Controladores de dominio. Pertenecen al dominio y contienen una copia de las cuentas de

usuario y de otros datos del Directorio Activo. Es obligatorio que haya, al menos, un controlador
de dominio en cada uno de ellos.

Un controlador de dominio de sólo lectura (RODC) es un nuevo tipo de controlador de dominio

disponible en Windows Server 2008, diseñado para implementarse principalmente en entornos
en donde no se puede garantizar la seguridad física del servidor.

Excepto por las contraseñas de cuentas, un RODC dispone de todos los objetos y atributos de los
Servicios de dominio de Active Directory de Microsoft (AD DS) que dispone de un controlador de
dominio de escritura. No obstante, los clientes no pueden escribir cambios directamente en un
RODC.

Como los cambios no se escriben directamente al RODC y, por tanto, no se originan de forma
local, los controladores de dominio de escritura que son asociados de replicación no tienen que
extraer cambios del RODC.

La separación de funciones del administrador especifica que a cualquier usuario del dominio se le
puede delegar la administración local de un RODC sin concederle ningún derecho de usuario del
dominio propiamente dicho ni de otros controladores de dominio.

o Servidores miembro. Pertenecen al dominio y no contienen una copia de las cuentas de usuario y
de otros datos del Directorio Activo. Se utilizan para almacenar los archivos y otros recursos de
red.

o Servidores independientes. Se encuentran fuera de un dominio y pertenecen a un grupo de

trabajo.

 Para establecer una tolerancia a los fallos, proporciona un servicio de replicación que distribuye los
datos del directorio por toda la red. Para ello, todos los controladores de dominio de escritura
participan en la replicación y contienen una copia completa de toda la información del directorio de
sus dominios y cualquier cambio en los datos del directorio se replica en todos los controladores del
dominio.

 El Directorio Activo utiliza los nombres DNS para:

o Resolver los nombres de equipos en direcciones IP.

o Asignar nombre a los dominios.

Por ello, es necesario que en cada bosque haya, al menos, un servidor de DNS.

8.1.6. CÓMO CAMBIAR EL NOMBRE AL EQUIPO:

Antes de configurar el servidor para hacerlo controlador de un dominio, es posible cambiar el nombre que
se indicó para el equipo durante el proceso de la instalación. Para ello, siga los siguientes pasos:

6
  Seleccione Propiedades del menú contextual de Equipo o Mi PC.

 A. En Windows Server 2008 verá el nombre del equipo y del grupo de trabajo al que pertenece.

Pulse en Cambiar la configuración, seleccione Cambiar, modifique el nombre del equipo y pulse en
Aceptar.

Al cabo de un momento, le indicará que debe reiniciar el equipo. Pulse en Aceptar, en Cerrar y reinicie
el equipo.

 B. En Windows Server 2003 pulse en la ficha Nombre de equipo y verá una pantalla donde se
encuentra el nombre completo del equipo y el grupo de trabajo al que pertenece.

Pulse en Cambiar, indique el nombre que desea dar al equipo y pulse en Aceptar.

Le mostrará una pantalla en donde le indica que debe reiniciar el equipo para que los cambios tengan
efecto. Pulse en Aceptar dos veces y reinicie el equipo.

8.2. CÓMO INSTALAR EL DIRECTORIO ACTIVO:

Una vez acabada la instalación de Windows Server, si dicho servidor va a ser un controlador de dominio, ha de
configurarse el servidor y lo primero que hay que hacer es instalar el Directorio Activo. Pero se pueden dar dos
posibilidades:

 Que el servidor que está configurando sea el único de la red.

 Que en la red del servidor que se está configurando haya otros controladores de dominio funcionando.

8.2.1. EN WINDOWS SERVER 2003:

Para instalar el Directorio Activo en el único servidor de la red y configurarlo como el controlador principal
de un dominio, siga los pasos siguientes:

 Inicie una sesión en el servidor como administrador y verá la pantalla Administre su servidor de
Herramientas administrativas del Panel de control.

 Pulse sobre Agregar o quitar función.

 Le muestra una pantalla explicativa de los pasos preliminares necesarios para poder realizar el
proceso. Cuando la haya leído y comprobado que todo está preparado, pulse en Siguiente y
comenzará a detectar la configuración del servidor.

 Active la casilla Configuración típica para un servidor principal, pulse en Siguiente.

 Indique el nombre que desea dar a su dominio. Cuando haya finalizado, pulse en Siguiente.

 En esta pantalla puede cambiar el nombre de NetBIOS del dominio. Cuando la haya leído, pulse en
Siguiente y verá una nueva pantalla.

7
  En ella deberá indicar el servidor DNS de fuera de su red al que enviará las consultas DNS que no
pueda resolver al servidor que está configurando. Cuando lo haya realizado, pulse en Siguiente.

 Le mostrará una pantalla resumen de las selecciones realizadas. Cuando la haya leído, pulse en
Siguiente y comenzará el proceso.

 Le pedirá que inserte el CD de Windows Server 2003. Cuando lo haya realizado, continuará el proceso.

 Al cabo de unos minutos se reiniciará el equipo y continuará con la instalación del Directorio Activo.
Cuando haya finalizado, le mostrará la pantalla para que vuelva a iniciar la sesión.

 Iníciela y realizará los ajustes finales mostrándole la pantalla de progreso de configuración del servidor
en la que le indica las operaciones realizadas. Cuando haya finalizado, pulse en Siguiente y, después,
en Finalizar.

 Le mostrará la pantalla Administre su servidor en la que le indica las funciones configuradas del
servidor. Active la casilla No mostrar esta pantalla al iniciar sesión, ciérrela y ya estará instalado el
Directorio Activo (además de instalar el Directorio Activo, se ha instalado un servidor DHCP y un
servidor DNS).

8.2.1.1. CÓMO DEGRADAR UN CONTROLADOR DE DOMINIO:

Una vez que está instalado el Directorio Activo, se puede desinstalar y quitar el servidor de red,
dejándolo como un servidor miembro, un servidor independiente o una estación de trabajo. Para
disminuir el nivel de un servidor, siga los siguientes pasos:

 Seleccione Ejecutar del menú Inicio, escriba DCPROMO, pulse [Intro] y verá la pantalla del
asistente para instalación del Directorio Activo.

 Pulse en Siguiente y le mostrará una pantalla de aviso para decirle que debe haber otros catálogos
globales accesibles para los usuarios. Pulse en Aceptar.

 En la pantalla que se muestra, le indica que si elimina el Directorio Activo de este controlador de
dominio, se convertirá en un servidor miembro al que podrá accederse para utilizar sus recursos
compartidos.

 Cuando haya terminado, pulse en Siguiente y le mostrará una pantalla en la que le indica las
particiones de directorio de aplicaciones existentes en el servidor. Pulse en Siguiente para
quitarlas.

 Active la casilla Eliminar todas las particiones…, pulse en Siguiente y le mostrará una nueva
pantalla para que indique la contraseña que se va a asignar al administrador del servidor.

Esta contraseña deberá cumplir con distintos requisitos establecidos en las directivas del
controlador de dominio que se acaba de degradar pero que han quedado establecidas en el
equipo. Cuando la haya escrito, pulse en Siguiente y le mostrará la pantalla resumen en donde le
indica lo que ha elegido.

 Cuando la haya leído, pulse en Siguiente y empezará a realizar el proceso.

8
  Cuando termine, pulse en Finalizar y reinicie el equipo.

 Cuando se haya reiniciado, ya no existirá el Directorio Activo en dicho equipo.

8.2.2. EN WINDOWS SERVER 2008:

Para instalar el Directorio Activo en el único servidor de la red y configurarlo como el controlador principal
de un dominio, siga los pasos siguientes:

 Inicie una sesión en el servidor como administrador y verá la pantalla Administrador del servidor de
Herramientas administrativas del Panel de control.

 Pulse sobre Funciones del panel izquierdo, después, en Agregar funciones y verá la pantalla inicial del
asistente.

 Es una pantalla explicativa de los pasos preliminares necesarios para poder realizar el proceso. Cuando
la haya leído y comprobado que todo está preparado, pulse en Siguiente y verá una pantalla con las
funciones disponibles.

 Seleccione Servicios de dominio de Active Directory, pulse en Siguiente y le mostrará una nueva
pantalla explicativa.

 Cuando la haya leído, pulse en Siguiente y le mostrará una nueva pantalla en donde le indica unos
mensajes de aviso. El más importante es que, después de finalizar la instalación, deberá utilizar el
Asistente para la instalación de los Servicios de dominio (dcpromo.exe) para convertir el servidor en
un controlador de dominio completamente funcional.

 Cuando la haya leído, pulse en Instalar y comenzará el proceso.

 Cuando haya finalizado, le mostrará una pantalla en donde le indica si ha habido algún problema
durante la instalación. Cuando la haya leído, pulse en Cerrar.

 Vaya a Ejecutar del menú Inicio, escriba dcpromo, pulse [Intro] y entrará en el Asistente para la
instalación de los Servicios de dominio.

 No active la casilla Usar la instalación en modo avanzado, pulse en Siguiente y le mostrará una
pantalla de aviso.

 Cuando la haya leído, pulse en Siguiente y le mostrará una pantalla de aviso.

 Cuando la haya leído, pulse en Siguiente.

 Como es el único servidor de la red, seleccione Crear un dominio nuevo en un bosque nuevo, pulse en
Siguiente y le mostrará una nueva pantalla en la que deberá indicar el nombre del dominio. En caso de
no tener registrado ninguno en Internet, es conveniente finalizarlo con local.

 Cuando haya finalizado, pulse en Siguiente y verá una pantalla en la que deberá indicar el nivel
funcional del bosque. Cuando lo haya hecho, pulse en Siguiente.

9
 Es recomendable que instale el servidor DNS en el primer controlador del dominio. Por ello, se
aceptará lo que indica por defecto y se pulsará en Siguiente.

Si el equipo no tiene asignada una direccion IP estática, le mostrará un aviso indicándoselo. Es

conveniente que seleccione No, asignaré direcciones IP estáticas… para retroceder a la pantalla
anterior y dejarla en espera. A continuación, seleccione Propiedades del menú contextual de Red,
seleccione Propiedades del menú contextual de Conexión de área local, acceda al protocolo TCP que
desee utilizar, indique la dirección estática correspondiente y el resto de valores de dicho protocolo y
pulse en Aceptar dos veces.

 Le mostrará una pantalla de aviso y, cuando la haya leído, pulse en Sí para continuar.

 Le mostrará una pantalla.

 En ella puede modificar el lugar donde se va a ubicar la base de datos, los archivos de registro y
SYSVOL.

 Le mostrará una nueva pantalla para que indique y confirme la contraseña del administrador que se
utilizará cuando el controlador de dominio se inicie en el modo de restauración de servicios de
directorio. Cuando la haya escrito, pulse en Siguiente.

 Le mostrará una pantalla con el resumen de las selecciones realizadas. Cuando le parezca, pulse en
Siguiente y comenzará el proceso.

 Cuando haya acabado, pulse en Finalizar y reinicie el equipo.

 Al cabo de un momento, se reiniciará el equipo y le mostrará la pantalla para que vuelva a iniciar
sesion.

 Iníciela y vaya a Funciones del Administrador del servidor para ver si se ha instalado correctamente.

8.2.2.1. CÓMO DEGRADAR UN CONTROLADOR DE DOMINIO:

10