Las guías detalladas de desarrollo de Microsoft Windows Server 2003 proporcionan experiencia práctica para muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de Active Directory, la instalación de una estación de trabajo Windows XP Professional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías.
La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.
• Parte I: Instalar Windows Server 2003 como un controlador de dominio
• Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio
Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se indicarán en la guía detallada específica.
Microsoft Virtual PC
Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores.
En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe deducirse ninguna relación con compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales.
Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización.
Introducción
Esta guía es una introducción a la administración del servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administración del servicio de directorio. Puede utilizar las herramientas estándar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administración únicas. Puede combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas específicas.
Las herramientas administrativas de Active Directory sólo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory están disponibles en el menú Herramientas administrativas:
• Usuarios y equipos de Active Directory
• Dominios y confianzas de Active Directory
• Sitios y servicios de Active Directory
También puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administración de Windows Server 2003.
El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No está disponible de forma predeterminada en el menú Herramientas administrativas y debe agregarse manualmente.
Para los administradores avanzados y los especialistas de soporte técnico de redes, existen muchas herramientas de línea de comandos que pueden utilizar para configurar, administrar y solucionar problemas de Active Directory. También puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalación del sistema operativo se incluyen varias secuencias de comandos de ejemplo.
Requisitos previos
• Parte 1: Instalar Windows Server 2003 como un controlador de dominio
• Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio
• Guía detallada de configuración de controladores de dominio adicionales
Requisitos de esta guía
• Para realizar los procedimientos que se describen en este documento debe haber iniciado sesión como usuario con privilegios administrativos.
• Si trabaja en un controlador de dominio, es posible que el complemento Esquema de Active Directory no esté instalado. Para instalarlo:
• En el símbolo del sistema, escriba
regsvr32 schmmgmt.dll
•El complemento Esquema de Active Directory ahora estará disponible en MMC.
• En servidores independientes con Windows Server 2003 o estaciones de trabajo Windows XP Professional, las herramientas administrativas de Active Directory son opcionales. Puede instalarlas desde Agregar o quitar programas en el Panel de control, con el Asistente para componentes de Windows o desde el ADMINPAK incluido el CD de Windows Server 2003.
Usar el complemento Dominios y confianzas de Active Directory
El complemento Dominios y confianzas de Active Directory proporciona una representación gráfica de todos los árboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque.
Iniciar el complemento Dominios y confianzas de Active Directory
Para iniciar el complemento
Para agregar sufijos UPN adicionales
1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botón secundario del mouse (ratón) en él y, a continuación, haga clic en Propiedades.
2. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar.
3. Haga clic en Aceptar para cerrar la ventana.
Cambiar la funcionalidad de dominios y bosques
La funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las características de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno.
Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional está establecido en Windows Server 2003, estarán disponibles todas las características para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT® 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, sólo está disponible un subconjunto de las características de Active Directory para todo el dominio y todo el bosque.
El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las características de grupos de seguridad universal, anidación de grupos ni historial de Id. de seguridad (SID). Cuando el dominio está establecido en modo nativo, se pueden utilizar las características de grupos de seguridad universal, anidación de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque.
Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrán incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrán agregar a dicho dominio.
La funcionalidad de dominio habilita características que afectan a todo el dominio y sólo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opción predeterminada), Windows 2000 nativo, Windows Server 2003 versión provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto.
Para elevar la funcionalidad del dominio
1. Haga clic con el botón secundario del mouse en el objeto de dominio (en el ejemplo, contoso.com) y, a continuación, haga clic en Elevar el nivel funcional del dominio.
2. En la lista desplegable Seleccione un nivel funcional del dominio disponible, seleccione Windows Server 2003 y, a continuación, haga clic en Elevar.
3. Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de nuevo en Aceptar para finalizar el proceso.
4. Cierre la ventana Dominios y confianzas de Active Directory.
Usar el complemento Usuarios y equipos de Active Directory
Para iniciar el complemento Usuarios y equipos de Active Directory
1. Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
2. Expanda Contoso.com haciendo clic en el signo +.
3. Reconocer objetos de Active Directory
Los objetos descritos en la tabla siguiente se crean durante la instalación de Active Directory.
Icono Carpeta Descripción
Dominio El nodo raíz del complemento representa el dominio que se va a administrar.
Equipos Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre éstos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versión anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos.
Sistema Contiene información de sistemas y servicios de Active Directory.
Usuarios Contiene todos los usuarios del dominio. En una actualización, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.
Se puede usar Active Directory para crear los siguientes objetos.
Icono Objeto Descripción
Usuario Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesión en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso.
Contacto Un objeto de contacto es una cuenta que no tiene ningún permiso de seguridad. No se puede iniciar sesión como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrónico.
Equipo Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, ésta es la cuenta de equipo.
Unidad organizativa Las unidades organizativas se utilizan como contenedores para organizar de manera lógica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro.
Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administración de cantidades grandes de objetos.
Carpeta compartida Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio.
Impresora compartida Una impresora compartida es una impresora de red que se ha publicado en el directorio.
Agregar una unidad organizativa
Este procedimiento crea una unidad organizativa adicional en el dominio Contoso. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay límite de niveles de anidación.
Estos pasos se basan en la estructura de Active Directory establecida en las guías detalladas de infraestructura común. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo Contoso.com; es decir, donde se hace referencia a Cuentas en el procedimiento, sustituya Contoso.com.
Para agregar una unidad organizativa
1. Haga clic en el signo + situado junto a Cuentas para expandirlo.
2. Haga clic con el botón secundario del mouse en Cuentas.
3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construcción como el nombre de la nueva unidad organizativa y, a continuación, haga clic en Aceptar.
Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes:
• Unidad organizativa Ingeniería bajo Cuentas.
• Unidad organizativa Fabricación bajo Cuentas.
• Unidad organizativa Consumidor bajo la unidad organizativa Fabricación. (Para ello, haga clic con el botón secundario del mouse en Fabricación, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.)
• Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricación. Haga clic en Fabricación para que su contenido se muestre en el panel de la derecha.
Al terminar, debería tener la jerarquía.
Crear una cuenta de usuario
El siguiente procedimiento crea la cuenta de usuario Juan García en la unidad organizativa Construcción.
Para crear una cuenta de usuario
1. Haga clic con el botón secundario del mouse en la unidad organizativa Construcción, seleccione Nuevo y, a continuación, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento.
Haga clic en Siguiente para continuar.
2. Escriba pass#word1 en los cuadros Contraseña y Confirmar contraseña y, después, haga clic en Siguiente.
Nota: a menudo, el papel que desempeñan las contraseñas en la protección de la red de una organización se subestima y no se tiene en cuenta. Las contraseñas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organización. La familia Windows Server 2003 dispone de una nueva característica que requiere contraseñas complejas para todas las cuentas de usuario de nueva creación. Para obtener información sobre esta característica, consulte la guía detallada deconfiguración de directivas de contraseña.
3. Haga clic en Finalizar para aceptar la confirmación en el siguiente cuadro de diálogo.
Acaba de crear una cuenta para Juan García en la unidad organizativa Construcción.
Para agregar información adicional sobre este usuario
1. Seleccione Construcción en el panel de la izquierda, haga clic con el botón secundario del mouse en Juan García en el panel de la derecha y, a continuación, haga clic enPropiedades.
2. Agregue más información sobre el usuario en el cuadro de diálogo Propiedades en la ficha General como se muestra en la Figura 5 y, a continuación, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la información opcional del usuario que se puede definir.
Mover una cuenta de usuario
Los usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto. Por ejemplo, en este procedimiento, Juan García se mueve de la división Construcción a la división Ingeniería.
Para mover un usuario de una unidad organizativa a otra
1. Haga clic en la cuenta de usuario Juan García en el panel de la derecha, haga clic con el botón secundario del mouse en ella y, después, haga clic en Mover.
2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo.
3. Haga clic en la unidad organizativa Ingeniería y luego en Aceptar.
Crear un grupo
Para crear un grupo:
1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, haga clic en Nuevo y después en Grupo.
2. En el cuadro de diálogo Nuevo objeto – Grupo, escriba Herramientas para el nombre.
3. Revise el tipo y el ámbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuración predeterminada y, a continuación, haga clic en Aceptar para crear el grupo Herramientas.
• El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribución se pueden utilizar para confeccionar listas de distribución de correo electrónico.
• El Ámbito de grupo determina la visibilidad del grupo y qué tipo de objetos puede contener el grupo.
Ámbito Visibilidad Puede contener
Dominio local Dominio Grupos Usuario, Dominio local, Global o Universal
Global Bosque Grupos Usuarios o Global
Universal Bosque Grupos Usuarios, Global o Universal
Agregar un usuario a un grupo
Para agregar un usuario a un grupo
1. Haga clic en la unidad organizativa Ingeniería en el panel de la izquierda.
2. Haga clic con el botón secundario del mouse en el grupo Herramientas en el panel de la derecha y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Miembros y luego en Agregar.
4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba Juan y, a continuación, haga clic en Aceptar.
5. En la pantalla Propiedades de herramientas, compruebe que Juan García es un miembro del grupo de seguridad Herramientas y, después, haga clic en Aceptar.
Publicar una carpeta compartida
Para que los usuarios puedan encontrar más fácilmente las carpetas compartidas, puede publicar información sobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se comparte automáticamente. Éste es un proceso que consta de dos pasos: en primer lugar se debe compartir la carpeta y después publicarla en Active Directory.
Para compartir una carpeta.
1. Utilice el Explorador de Windows para crear una nueva carpeta llamada Especificaciones de ingeniería en uno de los volúmenes del disco.
2. En el Explorador de Windows, haga clic con el botón secundario del mouse en la carpeta Especificaciones de ingeniería y, a continuación, haga clic en Propiedades. Haga clic en Compartir y después en Compartir esta carpeta.
3. En la pantalla Propiedades de especificaciones de ingeniería, escriba ES en el cuadro Nombre del recurso y, a continuación, haga clic en Aceptar. Cierre elExplorador de Windows cuando termine.
Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el botónPermisos.
Publicar la carpeta compartida en el directorio
Para publicar la carpeta compartida en el directorio:
1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, seleccione Nuevo y, a continuación, haga clic en Carpeta compartida.
2. En la pantalla Nuevo objeto – Carpeta compartida, escriba Especificaciones de ingeniería en el cuadro Nombre.
3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y haga clic en Aceptar.
4. Haga clic con el botón secundario del mouse en Especificaciones de ingeniería y, después, haga clic en Propiedades.
5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a continuación, haga clic en Agregar para continuar. Haga clic dos veces en Aceptar para finalizar.
Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido.
Buscar una carpeta compartida
Para buscar una carpeta compartida
1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Contoso y, a continuación, haga clic en Buscar.
2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba especificaciones en el cuadro de texto Palabras clave y, después, haga clic enBuscar ahora.
