Clase Práctica – Active DirectoryIntroducciónEn esta guía se explica cómo crear una infraestructura de red común, empezando por la instalación y configuración del sistema operativo Microsoft Windows Server 2003 como un controlador de dominio. Esta infraestructura común permite conocer y evaluar Windows Server 2003. Cuando implemente esta guía, tenga en cuenta cómo la va a utilizar en su organización.

En esta guía se explica cómo instalar un servidor como un controlador de dominio y cómo rellenar la estructura del servicio Active Directory, así como los pasos para instalar un cliente de Windows XP Professional y conectar ese cliente al controlador de dominio.

Requisitos de esta guíaLos requisitos de hardware para la infraestructura común son los siguientes.

Elemento Cantidad Comentarios

Servidores 1 Capaz de ejecutar Windows Server 2003

Estaciones de trabajo Cuantas sean necesarias Capaces de ejecutar Windows XP Professional

Concentradores de red Cuantos sean necesarios Se recomienda una red privada

Tarjetas de interfaz de red (NIC) Cuantas sean necesarias Tarjeta de 100 MB

Parámetros adicionales del servidorSi agrega servidores adicionales a la infraestructura común, utilice la siguiente convención de nomenclatura para los servidores.

Parámetro Valor

Nombres de equipo SRV-DC-01SRV-DC-nn

Configuración del servidor

IntroducciónEn la Figura 1 se muestra la configuración básica del servidor.Figura 1. La configuración del servidor

Antes de llevar a cabo los siguientes procedimientos debemos establecer el nombre del primer servidor del dominio a SRV-DC-01. Esto es en propiedades del sistema, en la ficha nombre de equipo.

Configurar las propiedades de TCP/IP en el servidor

1. En el escritorio hacer clic derecho sobre el icono Mis sitios de red luego del menú desplegable seleccionar Propiedades.2. Clic derecho sobre el nombre de la interfaz (NIC) a configurar, a continuación haga clic en Propiedades.3. En la sección Esta conexión utiliza los siguientes elementos, haga clic en Protocolo Internet (TCP/IP) y luego en Propiedades.4. Seleccione Usar la siguiente dirección IP y, a continuación, escriba 192.168.10.2 para Dirección IP. Presione dos veces la tecla Tab y, después, escriba 192.168.10.1 para Puerta de enlace predeterminada. Escriba 127.0.0.1 o 192.168.10.2 para Servidor DNS preferido y, a continuación, haga clic en Aceptar. Haga clic en Cerrar para continuar.

Configurar el servidor como servidor DHCP

El Protocolo de configuración dinámica de host (DHCP) se puede instalar manualmente o mediante el Asistente para administrar su servidor de Windows Server 2003. En esta sección se utiliza el asistente para realizar la instalación.

Para instalar DHCP mediante el Asistente para administrar su servidor de Windows Server 2003

Advertencia: en la siguiente sección se configurará el servidor como servidor DHCP. Si este servidor reside en una red de producción, puede distribuir información de direcciones IP que podría no ser válida en la red por lo que se recomienda que estos ejercicios se realicen en una red aislada.

Página 1 de 17

Clase Práctica – Active Directory

1. En la página Administre su servidor, haga clic en Agregar o quitar función.Nota: si ha cerrado la página Administre su servidor, puede iniciar el Asistente para configurar su servidor desde Herramientas administrativas. Si selecciona esta opción, los pasos siguientes puede sufrir ligeras modificaciones.

2. Cuando aparezca el Asistente para configurar su servidor, haga clic en Siguiente.3. Haga clic en Configuración personalizada y, después, haga clic en Siguiente. 4. En Función del servidor, haga clic en Servidor de DHCP y luego en Siguiente.5. Revise el Resumen de las selecciones y, a continuación, haga clic en Siguiente para iniciar la instalación.6. Cuando aparezca el Asistente para ámbito nuevo, haga clic en Siguiente para definir un ámbito de DHCP.7. Para Nombre, escriba el nombre del dominio asignado por su instructor. Deje en blanco la descripción y, después, haga clic en

Siguiente.8. Escriba 192.168.10.10 para Dirección IP inicial y 192.168.10.254 para Dirección IP final. Haga clic en Siguiente.9. En este punto no se definen las exclusiones. Haga clic en Siguiente para continuar la instalación.

10. Para aceptar el valor predeterminado de Duración de la concesión, haga clic en Siguiente.11. Para definir Opciones de DHCP, haga clic en Siguiente. 12. En la pantalla Enrutador (puerta de enlace predeterminada), escriba 192.168.10.1 para Dirección IP, haga clic en Agregar y

luego en Siguiente.13. Para Dominio primario en la pantalla Nombre de dominio y servidores DNS, escriba el DNS asignado por su instructor. Para

Dirección IP, escriba 192.168.10.2, haga clic en Agregar y después en Siguiente.14. Haga clic en Siguiente ya que no se van a utilizar Servidores WINS en este entorno.15. Haga clic en Siguiente para Activar ámbito.16. Haga clic dos veces en Finalizar.17. Cierre la pantalla Administrar su servidor.

Configurar el servidor como controlador de dominio

El Servicio de nombres de dominio (DNS) y DCPromo (la herramienta de la línea de comandos que crea DNS y Active Directory) pueden instalarse manualmente o mediante el Asistente para configurar su servidor de Windows Server 2003. En esta sección se utilizan las herramientas manuales para realizar la instalación.Para instalar DNS y Active Directory mediante las herramientas manuales

1. Haga clic en el botón Inicio y en Ejecutar, escriba DCPROMO y, a continuación, haga clic en Aceptar.2. Cuando aparezca el Asistente para instalación de Active Directory, haga clic en Siguiente para iniciar la instalación.3. Después de revisar la información de Compatibilidad de sistema operativo, haga clic en Siguiente.4. Seleccione Controlador de dominio para un dominio nuevo (opción predeterminada) y, a continuación, haga clic en Siguiente.5. Seleccione Dominio en un nuevo bosque (opción predeterminada) y, a continuación, haga clic en Siguiente.6. Para Nombre DNS completo, escriba elmecate.net y, después, haga clic en Siguiente. (Esta opción representa un nombre

completo FQDN.)7. Haga clic en Siguiente para aceptar la opción predeterminada Nombre NetBIOS del dominio ELMECATE. (El nombre NetBIOS

proporciona compatibilidad de bajo nivel.)8. En la pantalla Carpetas de la base de datos y del registro, establezca la Carpeta de registro de Active Directory de forma que

apunte a D:\Windows\NTDS y, a continuación, haga clic en Siguiente para continuar.9. Deje la ubicación de la carpeta predeterminada para Volumen del sistema compartido y, después, haga clic en Siguiente.

10. En la pantalla Diagnósticos de registro de DNS, haga clic en Instalar y configurar el servidor DNS en este equipo. Haga clic en Siguiente para continuar.

11. Seleccione Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 o Windows Server 2003 (opción predeterminada) y, a continuación, haga clic en Siguiente.

12. Escriba la contraseña para Contraseña de modo de restauración y Confirmar contraseña y, después, haga clic en Siguiente para continuar.Nota: los entornos de producción deben emplear contraseñas complejas para las contraseñas de restauración de servicios de directorio.

13. Vera un resumen de las opciones de instalación de Active Directory. Haga clic en Siguiente para iniciar la instalación de Active Directory. Si se le indica, inserte el CD de instalación de Windows Server 2003.

14. Haga clic en Finalizar cuando termine el Asistente para instalación de Active Directory.15. Haga clic en Reiniciar ahora para reiniciar el equipo.

Para autorizar el servidor DHCP1. Una vez reiniciado el equipo, presione Ctrl+Alt+Supr e inicie sesión en el servidor como

administrador@elmecate.net.2. Haga clic en el menú Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en DHCP.3. Haga clic con el botón secundario del mouse en srv-dc-01.elmecate.net y, después, haga clic en Autorizar.4. Cierre la consola de administración de DHCP.

Ejemplo de infraestructura de Active Directory

Página 2 de 17

Clase Práctica – Active DirectoryEsta infraestructura común se basa en una organización ficticia El Mecate, S. A.. El Mecate, S. A. posee el nombre DNS elmecate.net, que se configuró con el Asistente para instalación de Active Directory en la sección anterior. En la Figura 2 se ilustra la estructura de ejemplo de Active Directory.

Los aspectos más interesantes de esta estructura son el Dominio (elmecate.net) y las unidades organizativas Cuentas, Oficinas centrales, Producción, Mercadotecnia, Grupos, Recursos, Escritorios, Equipos portátiles y Servidores. Estas unidades organizativas se representan mediante carpetas (libros) en la Figura 2. Existen unidades organizativas para la delegación de la administración y para la aplicación de la Directiva de grupo, y no sólo como representación de una organización empresarial.

Rellenar Active DirectoryEn esta sección se explica cómo crear manualmente las unidades organizativas, los usuarios y los grupos de seguridad descritos en el Apéndice A.

Crear unidades organizativas y grupos

Figura 2. Estructura de ejemplo de Active Directory

Para crear unidades organizativas y grupos

1. Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

2. Haga clic en el signo + situado junto a elmecate.net para expandirlo. Haga clic en elmecate.net para ver su contenido en el panel de la derecha.

3. En el panel de la izquierda, haga clic con el botón secundario del mouse en elmecate.net, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.

4. Escriba Cuentas en el cuadro de texto y, después, haga clic en Aceptar.5. Repita los pasos 3 y 4 para crear las unidades organizativas Grupos y Recursos. 6. Haga clic en Cuentas en el panel de la izquierda. Su contenido se muestra en el panel de la derecha. (Está vacío al principio de

este procedimiento.)7. Haga clic con el botón secundario del mouse en Cuentas, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.8. Escriba Oficinas centrales y, después, haga clic en Aceptar.9. Repita los pasos 7 y 8 para crear las unidades organizativas Producción y Mercadotecnia en Cuentas. Cuando termine, la

estructura de unidades organizativas será similar al árbol mostrado en la Figura 2.10. De igual modo, cree Escritorios, Equipos portátiles y Servidores en la unidad organizativa Recursos.11. Cree dos grupos de seguridad haciendo clic con el botón secundario del mouse en Grupos, seleccionando Nuevo y haciendo

clic en Grupo. Los dos grupos que se agregarán son Administración y No administración. La configuración de cada grupo debe ser Global y Seguridad. Haga clic en Aceptar para crear cada grupo.

Crear cuentas de usuarioPara crear una cuenta de usuario

Página 3 de 17

Clase Práctica – Active Directory1. En el panel de la izquierda, haga clic en Oficinas centrales (en Cuentas). Su contenido se muestra en el panel de la derecha. (Está

vacío al principio de este procedimiento.)2. Haga clic con el botón secundario del mouse en Oficinas centrales, seleccione Nuevo y, a continuación, haga clic en Usuario.3. Escriba Christine para el nombre y Koch para el apellido. (Observe que el nombre completo aparece automáticamente en el cuadro

Nombre completo.)4. Escriba Christine para Nombre de inicio de sesión de usuario. Haga clic en Siguiente.5. Escriba pass#word1 para Contraseña y Confirmar contraseña y, a continuación, haga clic en Siguiente para continuar.

Nota: de forma predeterminada, Windows Server 2003 requiere contraseñas complejas para los usuarios recién creados. Los requisitos de complejidad de contraseña se pueden deshabilitar mediante la Directiva de grupo.

6. Haga clic en Finalizar. Christine Koch aparecerá ahora en el panel de la derecha como usuario bajo elmecate.net/Cuentas/Oficinas centrales.

7. Repita los pasos 2 a 7, agregando los nombres que aparecen en el Apéndice A para la unidad organizativa Oficinas centrales.8. Repita los pasos 1 a 8 para crear los usuarios de las unidades organizativas Producción y Mercadotecnia.

Agregar usuarios a grupos de seguridadPara agregar un usuario a un grupo de seguridad

1. En el panel de la izquierda, haga clic en Grupos.2. En el panel de la derecha, haga doble clic en el grupo Administración.3. Haga clic en la ficha Miembros y luego en Agregar.4. Haga clic en Opciones avanzadas y después en Buscar ahora.5. En la sección inferior, seleccione todos los usuarios que corresponda presionando la tecla Ctrl mientras hace clic en cada nombre.

Haga clic en Aceptar con todos los miembros resaltados. (Los usuarios que deben ser miembros de este grupo de seguridad se indican en el Apéndice A.) Haga clic de nuevo en Aceptar para agregar estos miembros al grupo de seguridad Administración. Haga clic en Aceptar para cerrar la hoja Propiedades del grupo de seguridad Administración.

6. Repita los pasos 3 a 5 para agregar miembros al grupo No administración.7. Cierre el complemento Usuarios y equipos de Active Directory.

Agregar una estación de trabajo al dominio

Necesitará un equipo que pueda ejecutar Windows XP Professional. Dicho equipo debe estar equipado con un adaptador de red.

Utilice las siguientes convenciones de nomenclatura para configurar cada estación de trabajo.

Parámetro Valor

Nombres de equipo MCT-WRK-01MCT-WRK-nn

Configuración de red: dirección IP DHCP

Agregar la estación de trabajo al dominio

1. Haga clic en el botón Inicio, en Panel de control y, después, haga doble clic en el icono Sistema. 2. Haga clic en la ficha Nombre de equipo y luego en Cambiar. 3. Compruebe que Nombre de equipo es MCT-WRK-01 y, a continuación, haga clic en el botón de opción Dominio.4. En Miembro de, escriba ELMECATE para Dominio y, a continuación, haga clic en Aceptar. 5. Aparecerá el cuadro de diálogo Nombre de usuario y contraseña de dominio. Deberá especificar una cuenta que tenga

privilegios para unirse al dominio. En el campo Nombre, escriba administrator@elmecate.net y haga clic en Aceptar. 6. Cuando reciba el mensaje Se ha unido al dominio elmecate, la estación de trabajo se habrá unido correctamente al dominio. Haga

clic en Aceptar. 7. Haga clic en Aceptar para reiniciar el equipo y, después, haga clic de nuevo en Aceptar para cerrar la ventana Propiedades del

sistema. 8. Cuando aparezca el cuadro de diálogo Cambio de configuración del sistema, haga clic en Sí para reiniciar la estación de trabajo.

Ver equipos en su red1. Una vez reiniciada la estación de trabajo, presione Ctrl+Alt+Supr e inicie sesión en christine@elmecate.net con la contraseña

pass#word1. Cuando se le indique, haga clic en Aceptar para cambiar la contraseña de Christine. Escriba pass#word2 para Contraseña nueva y Confirmar contraseña nueva. Haga clic en Aceptar para continuar y, después, haga clic de nuevo en Aceptar para confirmar el cambio de contraseña.

2. Haga clic en el botón Inicio y luego en Mi PC. 3. Haga doble clic en Mis sitios de red. Haga doble clic en el vínculo Toda la red. Haga doble clic en el icono Red de Microsoft

Página 4 de 17

Clase Práctica – Active DirectoryWindows.

4. Haga doble clic en el icono Elmecate para ver los equipos de esta red5. Cierre la ventana Elmecate.

Crear controladores de dominio adicionalesEn las siguientes secciones se muestran los procedimientos necesarios para configurar un equipo que ejecuta Windows Server 2003 como un controlador de dominio adicional dentro del dominio para que funcione como asociado de replicación.

La estructura de un servicio Active Directory está formada por uno o varios bosques, cada uno de los cuales tiene uno o varios dominios. Cuando se crea el controlador de dominio inicial en una red, se crea el primer dominio de un bosque (no puede haber un dominio sin que haya al menos un controlador de dominio). El primer dominio creado es el dominio raíz del primer bosque. Los dominios adicionales del mismo bosque de dominio pueden ser dominios secundarios o dominios raíz del árbol. Un dominio situado inmediatamente por encima de otro dominio en el mismo árbol se considera su principal.

Los dominios se utilizan para realizar tareas de administración de red, como estructurar la red, delimitar la seguridad, aplicar la Directiva de grupo y replicar información.

Active Directory permite que los controladores de dominio funcionen como iguales, de forma que los clientes puedan actualizar Active Directory en cualquier controlador de dominio de Windows Server 2003 del dominio. Esto representa un cambio importante con respecto a las funciones de lectura-escritura y sólo lectura que desempeñaban los controladores principales de dominio (PDC) y los controladores de reserva (BDC) de Windows NT® Server. El sistema de dominios de Windows NT Server admite replicación con un único maestro, que requiere que todos los cambios se realicen en el controlador principal de dominio.

El sistema operativo Windows Server 2003 admite la replicación con múltiples maestros: todos los controladores de un dominio pueden recibir los cambios efectuados en los objetos y pueden replicar esos cambios a todos los demás controladores de dicho dominio. De manera predeterminada, el primer controlador de dominio creado en un bosque es un servidor de catálogo global, que contiene una réplica completa de todos los objetos del directorio para su dominio y una réplica parcial de todos los objetos almacenados en el directorio de todos los demás dominios del bosque.

Replicar datos de Active Directory entre controladores de dominio proporciona ventajas en cuanto a disponibilidad de la información, tolerancia a errores, equilibrio de la carga y rendimiento. En esta guía detallada, puede aprovechar las ventajas de la mayor tolerancia a errores proporcionada en el modelo de múltiples maestros mediante la instalación de varios controladores de dominio. En caso de que un controlador de dominio deje de funcionar, la disponibilidad de Active Directory no resulta afectada.

Configurar direcciones IP estáticas1. Inicie sesión en el servidor que desee agregar como controlador de dominio adicional.2. Haga clic en el botón Inicio, haga clic con el botón secundario del mouse (ratón) en Mis sitios de red y, a continuación, haga clic

en Propiedades. 3. Haga clic con el botón secundario del mouse en Conexión de área local y, después, haga clic en Propiedades. 4. En el cuadro de diálogo Conexión de área local, haga doble clic en Protocolo Internet. 5. Seleccione Usar la siguiente dirección IP y escriba lo siguiente:

Parámetro Nombre del equipo Dirección IP Máscara de subred

Puerta de enlace predeterminada

Servidor DNS

Asociado de replicación

SRV-DC-02 192.168.10.3 255.255.255.0 192.168.10.3 192.168.10.2

Configurar un asociado de replicación

Papel que desempeñan los sitios en la replicación de Active DirectoryLos sitios permiten la replicación de los datos del directorio tanto dentro de los sitios como entre ellos. Active Directory replica la información dentro de un sitio con más frecuencia que entre sitios, lo que significa que los controladores de dominio mejor conectados reciben primero las actualizaciones. Los controladores de dominio de otros sitios reciben todas las actualizaciones efectuadas en el directorio, pero para reducir los requisitos de ancho de banda de las conexiones de red lentas, las actualizaciones están programadas para que se produzcan con menor frecuencia.

Un sitio está delimitado por una subred y, generalmente, está limitado geográficamente. El concepto de sitio difiere del concepto de dominio basado en Windows Server 2003 en que los sitios abarcan varios dominios y un dominio puede abarcar varios sitios. Los sitios no forman parte del espacio de nombres de un dominio, pero controlan la replicación de información del dominio y ayudan a determinar la proximidad de los recursos. Por ejemplo, una estación de trabajo seleccionará un controlador de dominio dentro de su sitio para realizar la autenticación.

Página 5 de 17

Clase Práctica – Active DirectoryLa información de directorio puede intercambiarse mediante los siguientes transportes de replicación: Llamada a procedimientos remotos (RPC) a través de Protocolo de control de transporte/Protocolo Internet (TCP/IP) y Protocolo simple de transferencia de correo (SMTP).

Para aprovechar las ventajas de la replicación con múltiples maestros, puede configurar otro controlador de dominio para que actúe de asociado de replicación del primer controlador de dominio principal en el dominio elmecate.net.

Configurar otro controlador de dominio adicional como asociado de replicación

1. En SRV-DC-02, haga clic en el botón Inicio, en Ejecutar, escriba DCPromo y, a continuación, haga clic en Aceptar. 2. Cuando aparezca el Asistente para instalación de Active Directory, haga clic en Siguiente para empezar a utilizarlo. 3. Consulte la información Compatibilidad de sistema operativo y, después, haga clic en Siguiente para continuar.4. En la página Tipo de controlador de dominio, seleccione Controlador de dominio adicional para un dominio existente y, a

continuación, haga clic en Siguiente para continuar con la instalación de Active Directory.5. En el cuadro Credenciales de red, escriba Administrador como nombre de usuario, no escriba ninguna contraseña, escriba el

nombre de dominio como elmecate.net y, después, haga clic en Siguiente. 6. En la página Controlador de dominio adicional, escriba elmecate.net como nombre de dominio y, después, haga clic en

Siguiente para continuar. 7. En el cuadro Nombre de dominio NetBIOS, acepte el valor predeterminado de ELMECATE y, a continuación, haga clic en

Siguiente. 8. En la página Ubicación de la base de datos, acepte los valores predeterminados y, a continuación, haga clic en Siguiente. 9. En la página Volumen del sistema compartido, acepte los valores predeterminados y, después, haga clic en Siguiente.

10. En la página Contraseña de administrador del Modo de restauración de servicios de directorio, escriba la contraseña para Contraseña de modo de restauración y confirme la contraseña. Haga clic en Siguiente para continuar.

11. Confirme las opciones seleccionadas en la página Resumen y, a continuación, haga clic en Siguiente para iniciar la configuración de Active Directory.

12. Cuando termine el Asistente para instalación de Active Directory, haga clic en Finalizar y, después, en Reiniciar ahora para reiniciar el sistema.

Página 6 de 17

Clase Práctica – Active DirectoryAdministración de Active Directory

Introducción

Esta guía es una introducción a la administración del servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administración del servicio de directorio. Puede utilizar las herramientas estándar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administración únicas. Puede combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas específicas.

Las herramientas administrativas de Active Directory sólo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory están disponibles en el menú Herramientas administrativas:

• Usuarios y equipos de Active Directory• Dominios y confianzas de Active Directory• Sitios y servicios de Active Directory

También puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administración de Windows Server 2003.

El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No está disponible de forma predeterminada en el menú Herramientas administrativas y debe agregarse manualmente.

Para los administradores avanzados y los especialistas de soporte técnico de redes, existen muchas herramientas de línea de comandos que pueden utilizar para configurar, administrar y solucionar problemas de Active Directory. También puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalación del sistema operativo se incluyen varias secuencias de comandos de ejemplo.

Requisitos de esta guía• Para realizar los procedimientos que se describen en este documento debe haber iniciado sesión como usuario con privilegios

administrativos.• Si trabaja en un controlador de dominio, es posible que el complemento Esquema de Active

Directory no esté instalado. Para instalarlo:• En el símbolo del sistema,

escribaregsvr32 schmmgmt.dll

El complemento Esquema de Active Directory ahora estará disponible en MMC.• En servidores independientes con Windows Server 2003 o estaciones de trabajo Windows XP Professional, las herramientas

administrativas de Active Directory son opcionales. Puede instalarlas desde Agregar o quitar programas en el Panel de control, con el Asistente para componentes de Windows o desde el ADMINPAK incluido el CD de Windows Server 2003.

Usar el complemento Dominios y confianzas de Active DirectoryEl complemento Dominios y confianzas de Active Directory proporciona una representación gráfica de todos los árboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque.

Iniciar el complemento Dominios y confianzas de Active DirectoryPara iniciar el complemento1. En SRV-DC-01, haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación,

haga clic en Dominios y confianzas de Active Directory. Aparece el complemento Dominios y confianzas de Active Directory.

El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fácil de usar para que los usuarios inicien sesión en Active Directory. El estilo del UPN se basa en el estándar RFC 822 de Internet, al que también se hace referencia como dirección de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer árbol del bosque. En ésta guía, el sufijo UPN predeterminado es elmecate.net.

Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesión. También puede simplificar los nombres de inicio de sesión de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN sólo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre válido de dominio DNS.

Para agregar sufijos UPN adicionales1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botón secundario del

mouse (ratón) en él y, a continuación, haga clic en Propiedades. Página 7 de 17

Clase Práctica – Active Directory2. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar. 3. Haga clic en Aceptar para cerrar la ventana.

Cambiar la funcionalidad de dominios y bosquesLa funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las características de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno.

Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional está establecido en Windows Server 2003, estarán disponibles todas las características para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT® 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, sólo está disponible un subconjunto de las características de Active Directory para todo el dominio y todo el bosque.

El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las características de grupos de seguridad universal, anidación de grupos ni historial de Id. de seguridad (SID). Cuando el dominio está establecido en modo nativo, se pueden utilizar las características de grupos de seguridad universal, anidación de grupos e historial de SID.

Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrán incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrán agregar a dicho dominio.

La funcionalidad de dominio habilita características que afectan a todo el dominio y sólo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opción predeterminada), Windows 2000 nativo, Windows Server 2003 versión provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto.

Para elevar la funcionalidad del dominio1. Haga clic con el botón secundario del mouse en el objeto de dominio (en el ejemplo, elmecat.net) y, a continuación, haga clic en

Elevar el nivel funcional del dominio. 2. En la lista desplegable Seleccione un nivel funcional del dominio disponible, seleccione Windows Server 2003 y, a

continuación, haga clic en Elevar. 3. Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de nuevo en Aceptar para

finalizar el proceso.4. Cierre la ventana Dominios y confianzas de Active Directory.

Usar el complemento Usuarios y equipos de Active DirectoryPara iniciar el complemento Usuarios y equipos de Active Directory1. Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en

Usuarios y equipos de Active Directory. 2. Expanda elmecate.net haciendo clic en el signo +.

Reconocer objetos de Active DirectoryLos objetos descritos en la tabla siguiente se crean durante la instalación de Active Directory.

Icono Carpeta Descripción

Dominio El nodo raíz del complemento representa el dominio que se va a administrar.

Equipos Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre éstos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versión anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos.

Sistema Contiene información de sistemas y servicios de Active Directory.

Usuarios Contiene todos los usuarios del dominio. En una actualización, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.

Se puede usar Active Directory para crear los siguientes objetos.

Página 8 de 17

Clase Práctica – Active Directory

Icono Objeto Descripción

Usuario Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesión en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso.

Contacto Un objeto de contacto es una cuenta que no tiene ningún permiso de seguridad. No se puede iniciar sesión como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrónico.

Equipo Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, ésta es la cuenta de equipo.

Unidad organizativa

Las unidades organizativas se utilizan como contenedores para organizar de manera lógica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro.

Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administración de cantidades grandes de objetos.

Carpeta compartida

Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio.

Impresora compartida

Una impresora compartida es una impresora de red que se ha publicado en el directorio.

Agregar una unidad organizativaEste procedimiento crea una unidad organizativa adicional en el dominio elmecate.net. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay límite de niveles de anidación.

Para agregar una unidad organizativa1. Haga clic en el signo + situado junto a Cuentas para expandirlo. 2. Haga clic con el botón secundario del mouse en Cuentas. 3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construcción como el nombre de la nueva unidad organizativa y, a

continuación, haga clic en Aceptar. Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes: • Unidad organizativa Ingeniería bajo Cuentas. • Unidad organizativa Fabricación bajo Cuentas. • Unidad organizativa Consumidor bajo la unidad organizativa Fabricación. (Para ello, haga clic con el botón secundario del mouse en

Fabricación, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.) • Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricación. Haga clic en Fabricación para que su

contenido se muestre en el panel de la derecha.

Crear una cuenta de usuarioEl siguiente procedimiento crea la cuenta de usuario Juan García en la unidad organizativa Construcción.Para crear una cuenta de usuario 1. Haga clic con el botón secundario del mouse en la unidad organizativa Construcción, seleccione Nuevo y, a continuación, haga

clic en Usuario o Usuario nuevo en la barra de herramientas del complemento. 2. Escriba la información del usuario

Nombre: JohnApellido: SmithNombre de inicio de sesión: John

3. Haga clic en Siguiente para continuar.4. Escriba pass#word1 en los cuadros Contraseña y Confirmar contraseña y, después, haga clic en Siguiente. 5. Haga clic en Finalizar para aceptar la confirmación en el siguiente cuadro de diálogo. Acaba de crear una cuenta para John Smith en la unidad organizativa Construcción.

Para agregar información adicional sobre este usuario 1. Seleccione Construcción en el panel de la izquierda, haga clic con el botón secundario del mouse en Juan García en el panel de

la derecha y, a continuación, haga clic en Propiedades.2. Agregue más información sobre el usuario en el cuadro de diálogo Propiedades en la ficha General, a continuación, haga clic en

Aceptar. Haga clic en cada ficha disponible y revise la información opcional del usuario que se puede definir.

Página 9 de 17

Clase Práctica – Active DirectoryMover una cuenta de usuarioLos usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto. Por ejemplo, en este procedimiento, John Smith se mueve de la división Construcción a la división Ingeniería. Para mover un usuario de una unidad organizativa a otra

1. Haga clic en la cuenta de usuario John Smith en el panel de la derecha, haga clic con el botón secundario del mouse en ella y, después, haga clic en Mover.

2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo.

3. Haga clic en la unidad organizativa Ingeniería y luego en Aceptar.

Crear un grupoPara crear un grupo1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, haga clic en Nuevo y después en Grupo. 2. En el cuadro de diálogo Nuevo objeto – Grupo, escriba Herramientas para el nombre. 3. Revise el tipo y el ámbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la

configuración predeterminada y, a continuación, haga clic en Aceptar para crear el grupo Herramientas.• El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e

impresoras. Tanto los grupos de seguridad como los de distribución se pueden utilizar para confeccionar listas de distribución de correo electrónico.

• El Ámbito de grupo determina la visibilidad del grupo y qué tipo de objetos puede contener el grupo.

Ámbito Visibilidad Puede contener

Dominio local Dominio Grupos Usuario, Dominio local, Global o Universal

Global Bosque Grupos Usuarios o Global

Universal Bosque Grupos Usuarios, Global o Universal

Agregar un usuario a un grupoPara agregar un usuario a un grupo1. Haga clic en la unidad organizativa Ingeniería en el panel de la izquierda. 2. Haga clic con el botón secundario del mouse en el grupo Herramientas en el panel de la derecha y, a continuación, haga clic en

Propiedades. 3. Haga clic en la ficha Miembros y luego en Agregar. 4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba John y, a continuación, haga clic en

Aceptar.5. En la pantalla Propiedades de herramientas, compruebe que John Smith es un miembro del grupo de seguridad Herramientas y,

después, haga clic en Aceptar.

Publicar una carpeta compartidaPara que los usuarios puedan encontrar más fácilmente las carpetas compartidas, puede publicar información sobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se comparte automáticamente. Éste es un proceso que consta de dos pasos: en primer lugar se debe compartir la carpeta y después publicarla en Active Directory.

Para compartir una carpeta1. Utilice el Explorador de Windows para crear una nueva carpeta llamada Especificaciones de ingeniería en uno de los volúmenes

del disco. 2. En el Explorador de Windows, haga clic con el botón secundario del mouse en la carpeta Especificaciones de ingeniería y, a

continuación, haga clic en Propiedades. Haga clic en Compartir y después en Compartir esta carpeta. 3. En la pantalla Propiedades de especificaciones de ingeniería, escriba ES en el cuadro Nombre del recurso y, a continuación,

haga clic en Aceptar. Cierre el Explorador de Windows cuando termine.Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el botón Permisos.

Publicar la carpeta compartida en el directorio Para publicar la carpeta compartida en el directorio1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en la unidad

Página 10 de 17

Clase Práctica – Active Directoryorganizativa Ingeniería, seleccione Nuevo y, a continuación, haga clic en Carpeta compartida.

2. En la pantalla Nuevo objeto – Carpeta compartida, escriba Especificaciones de ingeniería en el cuadro Nombre.3. En el cuadro Ruta de acceso de red, escriba \\SRV-DC-01.elmecate.net\ES y haga clic en Aceptar. 4. Haga clic con el botón secundario del mouse en Especificaciones de ingeniería y, después, haga clic en Propiedades.5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a continuación, haga clic en Agregar para continuar.

Haga clic dos veces en Aceptar para finalizar.Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido.

Buscar una carpeta compartidaPara buscar una carpeta compartida1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Elmecate

y, a continuación, haga clic en Buscar.2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba especificaciones en el cuadro de texto Palabras

clave y, después, haga clic en Buscar ahora. 3. En Resultados de la búsqueda, haga clic con el botón secundario del mouse en Especificaciones de ingeniería y, a

continuación, haga clic en Abrir.Nota: cuando se rellene la carpeta compartida ES, su contenido estará disponible a los usuarios finales mediante búsquedas en el directorio. Los usuarios pueden asignar también este recurso compartido como una unidad de red.

4. Cierre el cuadro de diálogo Buscar carpetas compartidas.

Crear un objeto de equipoUn objeto de equipo se crea de forma automática cuando un equipo se une a un dominio. Si no desea otorgar a todos los usuarios la capacidad de agregar equipos al dominio, puede crear objetos de equipo antes de que el equipo se una a un dominio de forma manual o mediante secuencias de comandos.Para agregar manualmente un equipo al dominio1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, seleccione Nuevo y, después, haga clic en

Equipo. 2. Para el nombre del equipo, escriba Heredado y, a continuación, haga clic en Siguiente.3. Si el equipo es un sistema administrado, puede especificar el GUID del sistema. En este ejemplo, deje el GUID del sistema en

blanco, haga clic en Siguiente y después en Finalizar.4. Para administrar este equipo desde el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario

del mouse en el objeto de equipo y, a continuación, haga clic en Administrar. De forma opcional, es posible seleccionar a qué usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio.

Cambiar el nombre, mover y eliminar objetosSe puede cambiar el nombre y eliminar todos los objetos del directorio, y se puede mover la mayor parte de los objetos a contenedores distintos. En el siguiente procedimiento se amplía el ejemplo para crear un objeto de equipo.Para mover el objeto de equipo Heredado a un contenedor diferente1. En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniería.2. Haga clic con el botón secundario del mouse en el objeto de equipo Heredado y, después, haga clic en Mover.3. Expanda la unidad organizativa Recursos y, a continuación, haga clic para resaltar Servidores. 4. Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidad organizativa Recursos.

Administrar objetos de equipoLos objetos de equipo de Active Directory se pueden administrar directamente desde el complemento Usuarios y equipos de Active Directory. Administración de equipos es un componente que sirve para ver y controlar numerosos aspectos de la configuración del equipo. Administración de equipos combina varias utilidades de administración en un único árbol de consola, lo que proporciona un fácil acceso a las propiedades administrativas y herramientas de los equipos locales o remotos.Nota: en el siguiente ejemplo se asume que trabaja desde la consola SRV-DC-01 y que SRV-DC-02 se está ejecutando.

Administrar un equipo remotoPara administrar un equipo remoto

1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en elmecate.net y, después, haga clic en Conectar con el controlador de dominio.

2. Haga clic en Examinar y luego en el signo + situado junto a elmecate.net Haga clic en Controladores de dominio.

4. Haga clic con el botón secundario del mouse en SRV-DC-02 y, después, haga clic en Administrar. El sistema se puede administrar ahora de forma remota.

5. Cierre la ventana Administración de equipos.

Página 11 de 17

Clase Práctica – Active DirectoryGrupos anidadosLos grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamento con un mantenimiento mínimo. Colocar cada grupo de cuentas de equipo en un único grupo de recursos de toda la empresa no es una solución eficaz, ya que para ello es necesario crear y mantener un gran número de vínculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de cuentas que representan las divisiones administrativas de la empresa.

Por ejemplo, el grupo de cuentas superior podría llamarse "Todos los empleados", y estaría asociado a un grupo de recursos que otorga acceso a los recursos y a los directorios compartidos. El siguiente nivel podría contener grupos de cuentas que representaran las principales divisiones de la empresa. Cada grupo de este nivel es miembro de Todos los empleados y está asociado a un grupo de recursos que otorga acceso a los recursos compartidos y a otros recursos pertinentes de la división que representa.

Dentro de una división, el siguiente nivel de grupos de cuentas podría representar los departamentos. Los recursos compartidos del departamento podrían incluir calendarios de proyectos, calendarios de reuniones, calendarios de vacaciones o cualquier otra información de red pertinente a todo el departamento. Los grupos de cuentas de departamento son todos miembros del grupo de cuentas de división.

Dentro de un departamento, la estructura de administración puede organizarse en grupos de seguridad en cualquier nivel necesario de especificidad. Éstos podrían ser grupos de cuentas de equipo que representaran nodos secundarios del árbol jerárquico de la organización.

Con esta jerarquía de grupos establecida, puede asignar a un nuevo empleado acceso inmediato a los recursos del equipo, del departamento, de la división y de la compañía en su totalidad colocando al empleado en un grupo de cuentas de equipo. Este sistema admite el principio de mínimo acceso, ya que el nuevo empleado no puede ver los recursos de los equipos contiguos, de otros departamentos o de otras divisiones.

Crear grupos anidadosPara crear un grupo anidado1. En el complemento Usuarios y equipos de Active Directory, Expanda elmecate.net y, después, expanda la unidad organizativa

Cuentas.4. Cree un nuevo grupo haciendo clic con el botón secundario del mouse en Ingeniería, seleccionando Nuevo y haciendo clic en

Grupo. Escriba Toda la ingeniería y, a continuación, haga clic en Aceptar.5. Haga clic con el botón secundario del mouse en el grupo Toda la ingeniería y, después, haga clic en Propiedades. 6. Haga clic en la ficha Miembros y luego en Agregar. 7. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Herramientas y, a continuación, haga clic en

Aceptar. 8. Haga clic de nuevo en Aceptar. Se crea un grupo anidado.

Buscar objetos específicosEn una implementación de directorios de gran tamaño sería absurdo examinar una gran lista de objetos en busca de un único objeto. Suele ser más eficaz buscar objetos específicos que satisfagan determinados criterios. En el ejemplo siguiente, buscará todos los usuarios con un nombre de inicio de sesión que empiece por “J” en el dominio Elmecate.

Para buscar usuarios con un nombre de inicio de sesión que empiece por J 1. Haga clic para seleccionar elmecate.net. Haga clic con el botón secundario del mouse en elmecate.net y, después, haga clic en

Buscar. 2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione Usuario y, a continuación, haga clic en

Nombre de inicio de sesión.3. Escriba J para Valor y, después, haga clic en Agregar. Haga clic en Buscar ahora.4. Cierre la ventana Buscar usuarios, contactos y grupos.

Filtrar una lista de objetosFiltrar la lista de objetos devueltos desde el directorio le permite administrar el directorio de forma más eficaz. La opción de filtrado permite restringir los tipos de objetos devueltos al complemento. Por ejemplo, puede elegir ver sólo usuarios y grupos, o es posible que desee crear un filtro más complejo. Si una unidad organizativa tiene más de un número especificado de objetos, la función de filtro permite restringir el número de objetos que se muestran en el panel de resultados. Se puede utilizar la función Filtrar para configurar esta opción.

Para crear un filtro diseñado de forma que sólo se muestren los usuarios 1. En el complemento Usuarios y equipos de Active Directory, haga clic en Ingeniería bajo la unidad organizativa Cuentas.2. Haga clic en el menú Ver y luego en Opciones de filtro. 3. Haga clic en el botón de opción Mostrar sólo los siguientes tipos de objetos, seleccione Usuarios y, después, haga clic en

Aceptar. 4. Expanda Cuentas y, a continuación, haga clic en Ingeniería para comprobar los resultados del filtro.5. Quite el filtro.

Página 12 de 17

Clase Práctica – Active DirectoryPerfiles móviles de usuariosLos perfiles móviles de usuarios permiten a los usuarios desplazarse de un equipo a otro dentro de la red corporativa. Los usuarios que disponen de un perfil móvil de usuario pueden iniciar sesión en un equipo, ejecutar aplicaciones y modificar documentos y cerrar la sesión. Al cerrar la sesión, su perfil de usuario se copia en un servidor. Cuando inicie la sesión en otro equipo, la información del perfil, incluidas las personalizaciones del menú Inicio y el contenido de la carpeta Mis documentos, se copia en dicho equipo.

Tareas administrativasHay varias tareas que debe llevar a cabo un usuario con permisos administrativos para establecer perfiles móviles de usuarios.

Para crear una carpeta compartida para almacenar los perfiles móviles de usuarios:

1.Inicie la sesión en SRV-DC-01 como administrador.

2.Haga clic con el botón secundario del mouse en el botón Inicio y, a continuación, haga clic en Explorar.

3.En el panel izquierdo, haga clic en Disco local (C:). En el panel derecho, haga clic con el botón secundario del mouse en un área en blanco. En el menú contextual, seleccione Nuevo y, a continuación, haga clic en Carpeta.

4.Escriba Perfiles y, a continuación, presione Entrar.

5.Haga clic con el botón secundario del mouse en la carpeta Perfiles y, a continuación, haga clic en Propiedades.

6.En el cuadro de diálogo Propiedadesde perfiles, haga clic en la ficha Compartir.

7.Haga clic en la ficha Compartir esta carpeta.

8.Haga clic en el botón Permisos, active la casilla de verificación Permitir situada al lado de Control total y, a continuación, haga clic en Aceptar.

9.Haga clic en la ficha Seguridad y, en Nombre de grupo o de usuario, haga clic en Usuarios (ELMECATE\Usuarios) para resaltarlo.

10.Active la casilla de verificación Permitir situada al lado de Escritura.

11.Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de perfiles y, a continuación, cierre el Explorador de Windows.

Para configurar un usuario móvil:

1.Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

2.Haga clic en el signo (+) situado junto a raízelmecate.net para expandir el árbol si no lo está.

3.Haga clic en el signo más (+) situado junto a Cuentas.

4.Haga clic en Producción.

5.Haga doble clic en Clair Hector.

Nota: El paso 6 sólo es necesario si desea que Clair inicie sesión en un controlador de dominio.

6.Haga clic en la ficha Miembro de, en Agregar, escriba Administradores y, finalmente, haga clic en Aceptar.

7.Haga clic en la ficha Perfil.

8.En Ruta de acceso al perfil, escriba \\SRV-DC-01\Perfiles\%username%.

Página 13 de 17

Clase Práctica – Active Directory

Nota: \\SRV-DC-01 es el nombre del servidor utilizado para este procedimiento. %username% es una variable de entorno. En este caso, %username% se asigna al nombre de usuario de Clair Hector, Clair. Cuando Clair Hector inicie sesión en un equipo, Windows creará el directorio "Clair" en el recurso compartido de los perfiles de SRV-DC-01.

9.Haga clic en Aceptar y, a continuación, cierre el complemento Usuarios y equipos de Active Directory.

Nota: Para ver una lista completa de las variables de entorno, favor refiérase al apéndice B

Página 14 de 17

Clase Práctica – Active DirectoryApéndice A: Población de Active DirectoryUsuarios

Unidad organizativa Nombre completo Nombre de inicio de sesión

Pertenencia a grupos

Oficinas centrales Koch, Christine Christine Administración

West, Paul Paul Administración

Clark, Molly Molly Administración

Sprenger, Christof Christof Administración

Schleger, Yvonne Yvonne Administración

Nash, Mike Mike Administración

Brink, Monica Monica No administración

Producción Ola, Preeda Preeda Administración

Grande, Jon Jon No administración

Hector, Clair Clair No administración

Kim, Jim Jim No administración

Nay, Lorraine Lorraine Administración

Randall, Cynthia Cynthia No administración

Browne, Kevin F. Kevin No administración

Mercadotecnia Fitzgerald, Charles Charles Administración

Mustafa, Ahmad Ahmad No administración

Narp, Sylvie Sylvie No administración

Página 15 de 17

Clase Práctica – Active Directory

Apéndice B: Utilizar variables de entorno con Cmd.exe

El entorno del shell de comandos Cmd.exe se define mediante variables que determinan el comportamiento del shell de comandos y del sistema operativo. Puede definir el comportamiento del entorno del shell de comandos o de todo el entorno del sistema operativo si utiliza dos tipos de variables de entorno, de sistema y locales. La variables de entorno de sistema definen el comportamiento del entorno global del sistema operativo. Las variables de entorno locales definen el comportamiento del entorno de la instancia actual de Cmd.exe.

Las variables de entorno del sistema están preestablecidas en el sistema operativo y se encuentran disponibles para todos los procesos del sistema operativo de servidor Windows. Solamente los usuarios con credenciales administrativas pueden cambiar variables del sistema. Estas variables se utilizan normalmente en secuencias de comandos de inicio de sesión.

Las variables de entorno locales sólo están disponibles cuando el usuario para el que se crearon ha iniciado sesión en el equipo. Las variables locales establecidas en la sección HKEY_CURRENT_USER sólo son válidas para el usuario actual, pero definen el comportamiento del entorno global del sistema operativo.

La lista siguiente describe los diversos tipos de variables en orden descendente de prioridad:

Variables de sistema integradas Variables del sistema de la sección HKEY_LOCAL_MACHINE Variables locales de la sección HKEY_CURRENT_USER Todas las variables de entorno y rutas de acceso establecidas en el archivo Autoexec.bat Todas las variables de entorno y rutas de acceso establecidas en una secuencia de comandos de inicio de sesión (si existe alguna) Variables utilizadas interactivamente en una secuencia de comandos o un archivo por lotes

En el shell de comandos, cada instancia de Cmd.exe hereda el entorno de su aplicación principal. Por lo tanto, puede cambiar las variables en el nuevo entorno de Cmd.exe sin que afecte al entorno de la aplicación principal.

La tabla siguiente enumera las variables de entorno locales y del sistema para el Windows server operating system.

Variable Tipo Descripción%ALLUSERSPROFILE% Local Devuelve la ubicación de perfil Todos los usuarios.

%APPDATA% Local Devuelve la ubicación en que las aplicaciones guardan los datos de forma predeterminada.

%CD% Local Devuelve la cadena del directorio actual.%CMDCMDLINE% Local Devuelve la línea de comandos exacta utilizada para iniciar el Cmd.exe actual.

%CMDEXTVERSION% Sistema Devuelve el número de versión de Extensiones del procesador de comandos actual.

%COMPUTERNAME% Sistema Devuelve el nombre del equipo.%COMSPEC% Sistema Devuelve la ruta de acceso exacta al ejecutable del shell de comandos.

%DATE% SistemaDevuelve la fecha actual. Utiliza el mismo formato que el comando date /t. Generado por Cdm.exe. Para obtener más información acerca del comando date,vea Date.

%ERRORLEVEL% Sistema Devuelve el código de error del último comando utilizado. Usualmente, los valores distintos de cero indican que se ha producido un error.

%HOMEDRIVE% Sistema

Devuelve la letra de unidad de la estación de trabajo local del usuario conectada al directorio particular del usuario. Se establece según el valor del directorio particular. El directorio particular del usuario se especifica en Usuarios y grupos locales.

%HOMEPATH% SistemaDevuelve la ruta de acceso completa del directorio particular del usuario. Se establece según el valor del directorio particular. El directorio particular del usuario se especifica en Usuarios y grupos locales.

%HOMESHARE% SistemaDevuelve la ruta de acceso de red del directorio particular compartido del usuario. Se establece según el valor del directorio particular. El directorio particular del usuario se especifica en Usuarios y grupos locales.

%LOGONSERVER% Local Devuelve el nombre del controlador de dominio que validó la sesión actual.%NUMBER_OF_PROCESSORS% Sistema Especifica el número de procesadores instalados en el equipo.

%OS% Sistema Devuelve el nombre del sistema operativo. Windows 2000 muestra el sistema operativo como Windows_NT.

%PATH% Sistema Especifica la ruta de acceso de búsqueda para los archivos ejecutables.

%PATHEXT% Sistema Devuelve una lista de extensiones de archivo que el sistema operativo considera como ejecutables.

%PROCESSOR_ARCHITECTURE% Sistema Devuelve la arquitectura de chip del procesador. Valores: x86 o IA64 (basado

en Itanium).%PROCESSOR_IDENTFIER% Sistema Devuelve una descripción del procesador.%PROCESSOR_LEVEL% Sistema Devuelve el número de modelo del procesador instalados en el equipo.%PROCESSOR_REVISION% Sistema Devuelve el número de revisión del procesador. %PROMPT% Local Devuelve la configuración del símbolo del sistema del intérprete actual.

Página 16 de 17

Clase Práctica – Active DirectoryGenerado por Cmd.exe.

%RANDOM% Sistema Devuelve un número decimal aleatorio entre 0 y 32767. Generado por Cmd.exe.

%SYSTEMDRIVE% Sistema Devuelve la unidad que contiene el directorio raíz del Windows server operating system (es decir, la raíz del sistema).

%SYSTEMROOT% Sistema Devuelve la ubicación del directorio raíz del Windows server operating system .

%TEMP% y %TMP% Sistema y usuario

Devuelve los directorios temporales predeterminados que utilizan las aplicaciones disponibles para los usuarios conectados actualmente. Algunas aplicaciones requieren TEMP y otras requieren TMP.

%TIME% SistemaDevuelve la hora actual. Utiliza el mismo formato que el comando time /t. Generado por Cdm.exe. Para obtener más información acerca del comando time, vea Time.

%USERDOMAIN% Local Devuelve el nombre del dominio que contiene la cuenta de usuario.%USERNAME% Local Devuelve el nombre del usuario que ha iniciado la sesión actual.%USERPROFILE% Local Devuelve la ubicación del perfil del usuario actual.%WINDIR% Sistema Devuelve la ubicación del directorio del sistema operativo.

Configurar las variables de entorno

Utilice el comando set para crear, cambiar, eliminar o mostrar variables de entorno. El comando set altera variables solamente en el entorno de shell actual.

Para ver una variable, escriba en el símbolo del sistema:

set nombreDeVariable

Para agregar una variable, escriba en el símbolo del sistema:

set variablename=valor

Para eliminar una variable, escriba en el símbolo del sistema:

set nombreDeVariable=

Puede usar la mayor parte de los caracteres como valores de variables, incluido el espacio en blanco. Si utiliza los caracteres especiales <, >, |, &, o ^, deberán ir precedidos del carácter de escape (^) o de comillas. Si utiliza comillas, se incluyen como parte del valor debido a que todo lo que sigue al signo igual se toma como un valor. Tenga en cuenta los siguientes ejemplos:

Para crear el valor de variable nuevo&nombre, escriba:

set nombreDeVariable=nuevo^&nombre

Para crear el valor de variable "nuevo&nombre", escriba:

set nombreVariable="nuevo&nombre"

Si escribe set nombreDeVariable=nuevo&nombre en el símbolo del sistema, aparecerá un mensaje de error similar al siguiente:

"'nombre' no se reconoce como comando interno o externo, un programa o un archivo por lotes ejecutable."

Los nombres de variables no distinguen entre mayúsculas y minúsculas. Sin embargo, set muestra la variable exactamente como se escribió. Puede combinar letras en mayúsculas y minúsculas en los nombres de variables para que el código sea más legible (por ejemplo, NombreUsuario).

Notas

El tamaño máximo de una variable de entorno individual es de 8192 bytes. El tamaño máximo total para todas las variables de entorno, incluidos los nombres de variable y el signo igual, es de 65.536

KB.

Página 17 de 17