CONFIGURACION DEL DIRECTORIO ACTIVO EN WINDOWS SERVER 2000/2003

Fuente: www.microsoft.com Asignatura: Sistemas Distribuidos Tutor: Ivn Snchez Nieves Semestre IX - Nocturno Fundacin Universitaria San Martn Programa de Ingeniera de Sistemas Montera, Crdoba, Colombia

Introduccin Esta gua es una introduccin a la administracin del servicio Active Directory (Directorio Activo) de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administracin del servicio de directorio. Se pueden utilizar las herramientas estndar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administracin nicas. Puede combinar varias herramientas en una nica consola. Tambin puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas especficas. Las herramientas administrativas de Active Directory slo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory estn disponibles en el men Herramientas administrativas: Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory Tambin puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administracin de Windows Server 2003. El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No est disponible de forma predeterminada en el men Herramientas administrativas y debe agregarse manualmente.
Configuracin Directorio Activo en Windows Server 2000/2003

Para los administradores avanzados y los especialistas de soporte tcnico de redes, existen muchas herramientas de lnea de comandos que pueden utilizar para configurar, administrar y solucionar problemas de Active Directory. Tambin puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalacin del sistema operativo se incluyen varias secuencias de comandos de ejemplo. Requisitos previos Parte 1: Instalar Windows Server 2003 como un controlador de dominio Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio Gua detallada de configuracin de controladores de dominio adicionales. Requisitos de esta gua Para realizar los procedimientos que se describen en este documento debe haber iniciado sesin como usuario con privilegios administrativos. Si trabaja en un controlador de dominio, es posible que el complemento Esquema de Active Directory no est instalado. Para instalarlo: En el smbolo del sistema, escriba regsvr32 schmmgmt.dll. El complemento Esquema de Active Directory ahora estar disponible en MMC. En servidores independientes con Windows Server 2003 o estaciones de trabajo Windows XP Professional, las herramientas administrativas de Active Directory son opcionales. Puede instalarlas desde Agregar o quitar programas en el Panel de control, con el Asistente para componentes de Windows o desde el ADMINPAK incluido el CD de Windows Server 2003. Usar el complemento Dominios y confianzas de Active Directory El complemento Dominios y confianzas de Active Directory proporciona una

representacin grfica de todos los rboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del
Configuracin Directorio Activo en Windows Server 2000/2003

bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque. Iniciar el complemento Dominios y confianzas de Active Directory Para iniciar el complemento En HQ-CON-DC-01, haga clic en el botn Inicio, seleccione Todos los programas,

11

Herramientas administrativas y, a continuacin, haga clic en Dominios y confianzas de Active Directory. Aparece el complemento Dominios y confianzas de Active Directory, como se muestra en la Figura:

El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fcil de usar para que los usuarios inicien sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al que tambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer rbol del bosque. En sta y en las dems guas detalladas de esta serie, el sufijo UPN predeterminado es contoso.com. Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesin. Tambin puede simplificar los nombres de inicio de sesin de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN slo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre vlido de dominio DNS.

Configuracin Directorio Activo en Windows Server 2000/2003

Para agregar sufijos UPN adicionales 1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botn secundario del mouse (ratn) en l y, a continuacin, haga clic en Propiedades. 2. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar. 3. Haga clic en Aceptar para cerrar la ventana. Cambiar la funcionalidad de dominios y bosques La funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las caractersticas de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno. Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional est establecido en Windows Server 2003, estarn disponibles todas las caractersticas para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, slo est disponible un subconjunto de las caractersticas de Active Directory para todo el dominio y todo el bosque. El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos ni historial de Id. de seguridad (SID). Cuando el dominio est establecido en modo nativo, se pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque.
Configuracin Directorio Activo en Windows Server 2000/2003

Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrn incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrn agregar a dicho dominio. La funcionalidad de dominio habilita caractersticas que afectan a todo el dominio y slo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opcin predeterminada) Windows 2000 nativo Windows Server 2003 versin provisional Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto. Para elevar la funcionalidad del dominio Haga clic con el botn secundario del mouse en el objeto de dominio (en el

11

ejemplo, contoso.com) y, a continuacin, haga clic en Elevar el nivel funcional del dominio. 11 En la lista desplegable Seleccione un nivel funcional del dominio disponible,

seleccione Windows Server 2003 y, a continuacin, haga clic en Elevar. 11 Haga clic en Aceptar en el mensaje de advertencia para elevar la

funcionalidad del dominio. Haga clic de nuevo en Aceptar para finalizar el proceso. 11 Cierre la ventana Dominios y confianzas de Active Directory.

Usar el complemento Usuarios y equipos de Active Directory Para iniciar el complemento Usuarios y equipos de Active Directory 1. Haga clic en el botn Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuacin, haga clic en Usuarios y equipos de Active Directory. 2. Expanda Contoso.com haciendo clic en el signo +.
Configuracin Directorio Activo en Windows Server 2000/2003

En la Figura se muestran los componentes clave del complemento Usuarios y equipos de Active Directory.

Reconocer objetos de Active Directory Los objetos descritos en la tabla siguiente se crean durante la instalacin de Active Directory.
Icono
Dominio Equipos

Descripcin
El nodo raz del complemento representa el dominio que se va a administrar. Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre stos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versin anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos. Contiene informacin de sistemas y servicios de Active Directory. Contiene todos los usuarios del dominio. En una actualizacin, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.

Sistema Usuarios

Se puede usar Active Directory para crear los siguientes objetos.

Icono
Usuario

Objeto

Descripcin

Un objeto de usuario es un objeto que Un usuario puede iniciar sesin en la red con es un principal de seguridad en el estas credenciales y a los usuarios se les puede directorio. conceder permisos de acceso. Un objeto de contacto es una cuenta No se puede iniciar sesin como contacto. Los que no tiene ningn permiso de contactos se suelen utilizar para representar a seguridad. usuarios externos con fines relacionados con el correo electrnico. Objeto que representa un equipo en la Para las estaciones de trabajo y servidores con red. Windows NT, sta es la cuenta de equipo.

Contacto

Equipo

Configuracin Directorio Activo en Windows Server 2000/2003

Unidad Las unidades organizativas se utilizan Organizan de manera lgica objetos de Organizativa como contenedores directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Grupo Carpeta Compartida Impresora Compartida Pueden contener otros grupos. usuarios, equipos y Los grupos simplifican la administracin de cantidades grandes de objetos. Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio. Una impresora compartida es una impresora de red que se ha publicado en el directorio.

Objeto compartido

Objeto compartido

Agregar una unidad organizativa Este procedimiento crea una unidad organizativa adicional en el dominio Contoso. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay lmite de niveles de anidacin. Estos pasos se basan en la estructura de Active Directory establecida en las guas detalladas de infraestructura comn. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo Contoso.com; es decir, donde se hace referencia a Cuentas en el procedimiento, sustituya Contoso.com. Para agregar una unidad organizativa 1. Haga clic en el signo + situado junto a Cuentas para expandirlo. 2. Haga clic con el botn secundario del mouse en Cuentas. 3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construccin como el nombre de la nueva unidad organizativa y, a continuacin, haga clic en Aceptar. Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes: Unidad organizativa Ingeniera bajo Cuentas. Unidad organizativa Fabricacin bajo Cuentas. Unidad organizativa Consumidor bajo la unidad organizativa Fabricacin. (Para ello, haga clic con el botn secundario del mouse en Fabricacin, seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.) Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricacin.

Configuracin Directorio Activo en Windows Server 2000/2003

Haga clic en Fabricacin para que su contenido se muestre en el panel de la derecha. Al terminar, debera tener la jerarqua que aparece a continuacin en la Figura:

Crear una cuenta de usuario El siguiente procedimiento crea la cuenta de usuario Juan Garca en la unidad organizativa Construccin. Para crear una cuenta de usuario 11 Haga clic con el botn secundario del mouse en la unidad organizativa Construccin, seleccione Nuevo y, a continuacin, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento. 11 Escriba la informacin del usuario que se muestra en la Figura:

Configuracin Directorio Activo en Windows Server 2000/2003

3. Haga clic en Siguiente para continuar. 4. Escriba pass#word1 en los cuadros Contrasea y Confirmar contrasea y, despus, haga clic en Siguiente. Nota: A menudo, el papel que desempean las contraseas en la proteccin de la red de una organizacin se subestima y no se tiene en cuenta. Las contraseas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organizacin. La familia Windows Server 2003 dispone de una nueva caracterstica que requiere contraseas complejas para todas las cuentas de usuario de nueva creacin. Para obtener informacin sobre esta caracterstica, consulte la gua detallada de configuracin de directivas de contrasea. Haga clic en Finalizar para aceptar la confirmacin en el siguiente cuadro de

11

dilogo. Acaba de crear una cuenta en la unidad organizativa construccin. Para agregar informacin adicional sobre este usuario 1. Seleccione Construccin en el panel de la izquierda, haga clic con el botn secundario del mouse en Juan Garca en el panel de la derecha y, a continuacin, haga clic en Propiedades. 2. Agregue ms informacin sobre el usuario en el cuadro de dilogo Propiedades en la ficha General como se muestra en la Figura 5 y, a continuacin, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la informacin opcional del usuario que se puede definir.

Configuracin Directorio Activo en Windows Server 2000/2003

Mover una cuenta de usuario Los usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto. Por ejemplo, en este procedimiento, Juan Garca se mueve de la divisin Construccin a la divisin Ingeniera. Para mover un usuario de una unidad organizativa a otra: 1. Haga clic en la cuenta de usuario Juan Garca en el panel de la derecha, haga clic con el botn secundario del mouse en ella y, despus, haga clic en Mover. 2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo, como se muestra en la Figura:

Configuracin Directorio Activo en Windows Server 2000/2003

3. Haga clic en la unidad organizativa Ingeniera y luego en Aceptar. Crear un grupo Para crear un grupo 1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, haga clic en Nuevo y despus en Grupo. 2. En el cuadro de dilogo Nuevo objeto Grupo, escriba Herramientas para el nombre. 3. Revise el tipo y el mbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuracin predeterminada y, a continuacin, haga clic en Aceptar Para crear el grupo Herramientas. El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribucin se pueden utilizar para confeccionar listas de distribucin de correo electrnico. El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede contener el grupo.
Configuracin Directorio Activo en Windows Server 2000/2003

Agregar un usuario a un grupo Para agregar un usuario a un grupo 11 11 Haga clic en la unidad organizativa Ingeniera en el panel de la izquierda. Haga clic con el botn secundario del mouse en el grupo Herramientas en el Haga clic en la ficha Miembros y luego en Agregar. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar,

panel de la derecha y, a continuacin, haga clic en Propiedades. 11 11

escriba Juan y, a continuacin, haga clic en Aceptar.

11

En la pantalla Propiedades de herramientas, compruebe que Juan Garca es un

miembro del grupo de seguridad Herramientas y, despus, haga clic en Aceptar.

Publicar una carpeta compartida Para que los usuarios puedan encontrar ms fcilmente las carpetas compartidas, puede publicar informacin sobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se comparte automticamente. ste es un proceso que consta de dos pasos: en primer lugar se debe compartir la carpeta y despus publicarla en Active Directory. Para compartir una carpeta:

Configuracin Directorio Activo en Windows Server 2000/2003

1. Utilice

el Explorador

de

Windows

para

crear

una

nueva

carpeta

llamada

Especificaciones de ingeniera en uno de los volmenes del disco. 2. En el Explorador de Windows, haga clic con el botn secundario del mouse en la carpeta Especificaciones de ingeniera y, a continuacin, haga clic en Propiedades. Haga clic en Compartir y despus en Compartir esta carpeta. 3. En la pantalla Propiedades de especificaciones de ingeniera, escriba ES en el cuadro Nombre del recurso y, a continuacin, haga clic en Aceptar. Cierre el Explorador de Windows cuando termine. Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el botn Permisos. Publicar la carpeta compartida en el directorio Para publicar la carpeta compartida en el directorio 1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, seleccione Nuevo y, a continuacin, haga clic en Carpeta compartida. 2. En la pantalla Nuevo objeto Carpeta compartida, escriba Especificaciones de ingeniera en el cuadro Nombre. 3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y haga clic en Aceptar. 4. Haga clic con el botn secundario del mouse en Especificaciones de ingeniera y, despus, haga clic en Propiedades. 5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a continuacin, haga clic en Agregar para continuar. Haga clic dos veces en Aceptar para finalizar. Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido.

Configuracin Directorio Activo en Windows Server 2000/2003

Buscar una carpeta compartida Para buscar una carpeta compartida 1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en Contoso y, a continuacin, haga clic en Buscar. 2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba especificaciones en el cuadro de texto Palabras clave y, despus, haga clic en Buscar ahora. 3. En Resultados de la bsqueda, haga clic con el botn secundario del mouse en Especificaciones de ingeniera y, a continuacin, haga clic en Abrir.

Nota: cuando se rellene la carpeta compartida ES, su contenido estar disponible a los usuarios finales mediante bsquedas en el directorio. Los usuarios pueden asignar tambin este recurso compartido como una unidad de red. 4. Cierre el cuadro de dilogo Buscar carpetas compartidas. Publicar una impresora Puede publicar tambin informacin sobre impresoras compartidas en Active Directory. La informacin de las impresoras compartidas de Windows NT debe
Configuracin Directorio Activo en Windows Server 2000/2003

publicarse manualmente. La informacin de las impresoras compartidas de la familia Windows Server 2003 o de la familia Windows 2000 Server se publica automticamente en el directorio cuando se crea una impresora compartida. Utilice Usuarios y equipo de Active Directory para publicar manualmente informacin sobre impresoras compartidas. El subsistema de impresin propaga de forma automtica al directorio los cambios realizados en los atributos de la impresora (ubicacin, descripcin, carga de papel. etc.). Nota: en esta seccin se describen los pasos para configurar y publicar una impresora que imprime directamente en un archivo. Si desea utilizar una impresora basada en IP, LPT o USB, debe modificar los pasos de estos procedimientos. Agregar una nueva impresora Para agregar una nueva impresora 1. Haga clic en el botn Inicio, en Impresoras y faxes y, despus, haga doble clic en Agregar impresora. Aparece el Asistente para agregar impresoras. Haga clic en Siguiente. 2. Haga clic en Impresora local conectada a este equipo, desactive la casilla de verificacin Detectar e instalar mi impresora Plug and Play automticamente y, a continuacin, haga clic en Siguiente. 3. En la lista desplegable Usar el puerto siguiente, haga clic en la opcin ARCHIVO: (Imprimir a archivo) y despus en Siguiente. 4. En el panel de resultados Fabricante, haga clic en Genrico. En el panel de resultados Impresoras, haga clic en Genrico / slo texto. Haga clic en Siguiente para continuar. 5. En la pgina Dar un nombre a su impresora, cambie el nombre de la impresora por Imprimir a archivo y, despus, haga clic en Siguiente. 6. En la pgina Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuacin, haga clic en Siguiente. 7. Para Ubicacin en la pgina Ubicacin y comentario, escriba Oficinas centrales Edificio 4 Oficina 2200. Haga clic en Siguiente para continuar. 8. Haga clic en Siguiente para imprimir una pgina de prueba y, despus, haga clic en Finalizar para completar la instalacin.
Configuracin Directorio Activo en Windows Server 2000/2003

9. Cuando se le indique, escriba Impresin de prueba como nombre del archivo para la pgina de prueba de la impresora. Cuando termine, haga clic en Aceptar. La impresora se publica automticamente en Active Directory. Buscar una impresora en Active Directory Para buscar una impresora en Active Directory 1. En la pantalla Impresoras y faxes, haga doble clic en el icono Agregar impresora. 2. Aparece el cuadro de dilogo Asistente para agregar impresoras. Haga clic en Siguiente para continuar. 3. Haga clic en Una impresora de red y luego en Siguiente. 4. Haga clic en Buscar una impresora en el directorio (opcin predeterminada) y, despus, haga clic en Siguiente. 5. Aparece el cuadro de dilogo Buscar impresoras. Haga clic en Buscar ahora para buscar todas las impresoras publicadas en Active Directory. Si define opciones de bsqueda adicionales, puede limitar los resultados a las caractersticas disponibles o a la ubicacin de la impresora. Seguimiento de la ubicacin de impresoras: Utilice el seguimiento de la ubicacin de impresoras para simplificar la bsqueda de impresoras. Cuando el seguimiento de la ubicacin de impresoras est habilitado y el usuario hace clic en Buscar ahora, Active Directory muestra todas las impresoras que coinciden con la consulta del usuario que se encuentran en la ubicacin del usuario. Los usuarios pueden cambiar el campo de ubicacin haciendo clic en Examinar para buscar impresoras en otras ubicaciones. Para obtener ms informacin sobre cmo configurar el seguimiento de la ubicacin de impresoras, consulte el Centro de ayuda y soporte tcnico de Windows Server 2003. 6. En Resultados de la bsqueda en la pgina Buscar impresoras, haga doble clic en

Imprimir a un archivo para instalar la impresora. Haga clic en S (opcin predeterminada) para definir esta impresora como la impresora predeterminada del sistema y, despus, haga clic en Siguiente.

Configuracin Directorio Activo en Windows Server 2000/2003

7. Haga clic en Finalizar para completar la instalacin de la impresora. 8. Cierre la ventana Impresoras y faxes. Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 o Windows XP en Active Directory. La manera ms sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque tambin se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandos publicar todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32. Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs Para publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs Haga clic en el botn Inicio y luego en Ejecutar. Escriba cmd en el cuadro de Escriba cd \ windows\ system32 y presione ENTRAR. Escriba cscriptpubprn.vbsprserv1

11

texto y, despus, haga clic en Aceptar. 11 11

"LDAP://ou=cuentas,dc=contoso,dc=com" y despus, presione ENTRAR. Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad organizativa Cuentas. La secuencia de comandos slo copia el subconjunto siguiente de
Configuracin Directorio Activo en Windows Server 2000/2003

atributos de impresora, que incluyen la ubicacin, el modelo, el comentario y la ruta de acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003; se proporciona como una herramienta manual para publicar impresoras en Active Directory nicamente desde servidores de impresin de bajo nivel. 11 Cierre la ventana.

Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active Directory 1. Haga clic con el botn secundario del mouse en la unidad organizativa

Mercadotecnia, haga clic en Nuevo y despus en Impresora. 2. Aparece el cuadro de dilogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido y, a continuacin, haga clic en Siguiente. Los usuarios finales podrn realizar operaciones perfectamente integradas desde las impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar los controladores de impresora directamente desde el servidor. Crear un objeto de equipo Un objeto de equipo se crea de forma automtica cuando un equipo se une a un dominio. Si no desea otorgar a todos los usuarios la capacidad de agregar equipos al dominio, puede crear objetos de equipo antes de que el equipo se una a un dominio de forma manual o mediante secuencias de comandos. Para agregar manualmente un equipo al dominio 1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, seleccione Nuevo y, despus, haga clic en Equipo. 2. Para el nombre del equipo, escriba Heredado y, a continuacin, haga clic en Siguiente. 3. Si el equipo es un sistema administrado, puede especificar el GUID del sistema. En este ejemplo, deje el GUID del sistema en blanco, haga clic en Siguiente y despus en Finalizar.

Configuracin Directorio Activo en Windows Server 2000/2003

4. Para administrar este equipo desde el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en el objeto de equipo y, a continuacin, haga clic en Administrar. De forma opcional, es posible seleccionar a qu usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio. Cambiar el nombre, mover y eliminar objetos Se puede cambiar el nombre y eliminar todos los objetos del directorio, y se puede mover la mayor parte de los objetos a contenedores distintos. En el siguiente procedimiento se ampla el ejemplo para crear un objeto de equipo. Para mover el objeto de equipo Heredado a un contenedor diferente 11 11 En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniera. Haga clic con el botn secundario del mouse en el objeto de equipo Heredado y, Expanda la unidad organizativa Recursos y, a continuacin, haga clic para

despus, haga clic en Mover. 11 resaltar Servidores como se muestra en la Figura:

11

Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor

dentro de la unidad organizativa Recursos.

Configuracin Directorio Activo en Windows Server 2000/2003

Administrar objetos de equipo Los objetos de equipo de Active Directory se pueden administrar directamente desde el complemento Usuarios y equipos de Active Directory. Administracin de equipos es un componente que sirve para ver y controlar numerosos aspectos de la configuracin del equipo. Administracin de equipos combina varias utilidades de administracin en un nico rbol de consola, lo que proporciona un fcil acceso a las propiedades administrativas y herramientas de los equipos locales o remotos. Nota: en el siguiente ejemplo se asume que trabaja desde la consola HQ-CON-DC-01 y que HQ-CON-DC-02 se est ejecutando. Administrar un equipo remoto Para administrar un equipo remoto 1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en contoso.com y, despus, haga clic en Conectar con el dominio. 2. Haga clic en Examinar y luego en el signo + situado junto a contoso.com. Haga doble clic en vancouver.contoso.com y, a continuacin, haga clic en Aceptar. 3. Expanda vancouver.contoso.com haciendo clic en el signo + y, despus, haga clic en Controladores de dominio. 4. Haga clic con el botn secundario del mouse en HQ-CON-DC-02 y, despus, haga clic en Administrar. El sistema se puede administrar ahora de forma remota, como se ilustra en la Figura:

Configuracin Directorio Activo en Windows Server 2000/2003

5. Cierre la ventana Administracin de equipos. Grupos anidados Los grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamento con un mantenimiento mnimo. Colocar cada grupo de cuentas de equipo en un nico grupo de recursos de toda la empresa no es una solucin eficaz, ya que para ello es necesario crear y mantener un gran nmero de vnculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de cuentas que representan las divisiones administrativas de la empresa. Por ejemplo, el grupo de cuentas superior podra llamarse "Todos los empleados", y estara asociado a un grupo de recursos que otorga acceso a los recursos y a los directorios compartidos. El siguiente nivel podra contener grupos de cuentas que representaran las principales divisiones de la empresa. Cada grupo de este nivel es miembro de Todos los empleados y est asociado a un grupo de recursos que otorga acceso a los recursos compartidos y a otros recursos pertinentes de la divisin que representa. Dentro de una divisin, el siguiente nivel de grupos de cuentas podra representar los departamentos. Los recursos compartidos del departamento podran incluir calendarios de proyectos, calendarios de reuniones, calendarios de vacaciones o cualquier otra informacin de red pertinente a todo el departamento. Los grupos de cuentas de departamento son todos miembros del grupo de cuentas de divisin. Dentro de un departamento, la estructura de administracin puede organizarse en grupos de seguridad en cualquier nivel necesario de especificidad. stos podran ser grupos de cuentas de equipo que representaran nodos secundarios del rbol jerrquico de la organizacin. Con esta jerarqua de grupos establecida, puede asignar a un nuevo empleado acceso inmediato a los recursos del equipo, del departamento, de la divisin y de la compaa en su totalidad colocando al empleado en un grupo de cuentas de equipo. Este sistema admite el principio de mnimo acceso, ya que el nuevo empleado no puede ver los recursos de los equipos contiguos, de otros departamentos o de otras divisiones.

Configuracin Directorio Activo en Windows Server 2000/2003

Crear grupos anidados Para crear un grupo anidado 1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en vancouver.contoso.com y, despus, haga clic en Conectar con el dominio. 2. Haga clic en Examinar y luego en contoso.com. Haga clic dos veces en Aceptar para finalizar. 3. Expanda contoso.com y, despus, expanda la unidad organizativa Cuentas. 4. Cree un nuevo grupo haciendo clic con el botn secundario del mouse en Ingeniera, seleccionando Nuevo y haciendo clic en Grupo. Escriba Toda la ingeniera y, a continuacin, haga clic en Aceptar. 5. Haga clic con el botn secundario del mouse en el grupo Toda la ingeniera y, despus, haga clic en Propiedades. 6. Haga clic en la ficha Miembros y luego en Agregar. 7. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Herramientas y, a continuacin, haga clic en Aceptar. 8. Haga clic de nuevo en Aceptar. Se crea un grupo anidado. Buscar objetos especficos En una implementacin de directorios de gran tamao sera absurdo examinar una gran lista de objetos en busca de un nico objeto. Suele ser ms eficaz buscar objetos especficos que satisfagan determinados criterios. En el ejemplo siguiente, buscar todos los usuarios con un nombre de inicio de sesin que empiece por J en el dominio Contoso. Para buscar usuarios con un nombre de inicio de sesin que empiece por J 1. Haga clic para seleccionar contoso.com. Haga clic con el botn secundario del mouse en contoso.com y, despus, haga clic en Buscar.

Configuracin Directorio Activo en Windows Server 2000/2003

2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione Usuario y, a continuacin, haga clic en Nombre de inicio de sesin. 3. Escriba J para Valor y, despus, haga clic en Agregar. Haga clic en Buscar ahora. Los resultados deben ser similares a los que se muestran en la Figura:

4. Cierre la ventana Buscar usuarios, contactos y grupos.

Filtrar una lista de objetos Filtrar la lista de objetos devueltos desde el directorio le permite administrar el directorio de forma ms eficaz. La opcin de filtrado permite restringir los tipos de objetos devueltos al complemento. Por ejemplo, puede elegir ver slo usuarios y grupos, o es posible que desee crear un filtro ms complejo. Si una unidad organizativa tiene ms de un nmero especificado de objetos, la funcin de filtro permite restringir el nmero de objetos que se muestran en el panel de resultados. Se puede utilizar la funcin Filtrar para configurar esta opcin. Para crear un filtro diseado de forma que slo se muestren los usuarios. 11 En el complemento Usuarios y equipos de Active Directory, haga clic en

Ingeniera bajo la unidad organizativa Cuentas.

Configuracin Directorio Activo en Windows Server 2000/2003

11 11

Haga clic en el men Ver y luego en Opciones de filtro. Haga clic en el botn de opcin Mostrar slo los siguientes tipos de objetos,

seleccione Usuarios y, despus, haga clic en Aceptar. 11 Expanda Cuentas y, a continuacin, haga clic en Ingeniera para comprobar los

resultados del filtro. 11 Quite el filtro.

Configuracin Directorio Activo en Windows Server 2000/2003