Programa o conjunto de programas que permiten administrar los recursos de hardware y software de una computadora. > Un poco de historia: CP/M y D.O.S., el comienzo CP/M (Control Program for Microcomputers), desarrollado por Gary Kildall fue el primer sistema operativo que podía ejecutarse en PCs de diferentes fabricantes. Cuenta una anécdota que ejecutivos de IBM fueron a visitar a Kildall para ofrecerle un acuerdo para poner el CP/M en la IBM PC, pero Kildall al parecer estaba ocupado en una sesión de vuelo, y no los pudo atender. Resultado: IBM llegó a un acuerdo con un joven llamado Bill Gates para que desarrollara un sistema operativo, que se dio en llamar MS-DOS. Para muchos de los que hoy nos encontramos trabajando con una computadora el sistema operativo D.O.S (Disk Operating System) fue el primero que nos tocó utilizar. De la misma manera, fue también el comienzo para Bill Gates y su empresa Microsoft. En sus principios fue desarrollado junto con la empresa IBM, pero diferencias entre las partes hicieron que no fuera un lanzamiento en conjunto. Por el contrario, cada una de las empresas presentó "su" sistema operativo: PC-DOS (IBM) y MS-DOS (Microsoft). Un tercer competidor para estos sistemas operativos (y de muy buena calidad) fue el DR-D.O.S. de la empresa Digital Research que incluía comandos más prolijos y de mayor funcionalidad, pero que con el tiempo, y gracias a las campañas publicitarias de Microsoft fue quedando relegado a un segundo lugar compartido con el PC-DOS de IBM. Luego de unos años DR-D.O.S. fue adquirido por Novell que presentó una nueva versión conocida como Novell D.O.S. que realmente casi no tuvo cabida en el mercado, aunque era muy buena. D.O.S. era simplemente una pantalla de texto con una línea de comandos que nos indicaba en qué directorio nos encontrábamos como único dato orientativo. Uno tenía que "saber" que "cosas" había que escribir para que la máquina "hiciera algo". No había menúes contextuales, ni pantallas gráficas que nos guiaran. Carecía por completo de algún nivel intuitivo. D.O.S. todavía hoy utiliza antiguos comandos CP/M tales como DIR, REN y TYPE que aun hoy funcionan bajo la máquina virtual D.O.S. de Windows. Las versiones que lo hicieron famoso en el mundo entero fueron la 3.0 y la 3.3, mientras que la más utilizada fue la 5.0, que introdujo muchos cambios a sus antecesoras. La versión 4.0 de D.O.S. estuvo plagada de errores, por lo cual casi no se uso (los usuarios se mantuvieron con la versión 3.30). La última versión del producto como tal fue la 6.22, ya que luego apareció Windows 95 que en su corazón incluía la versión 7.0 > Windows, el inicio de una interfaz gráfica Las dos primeras versiones de este "Entorno Operativo" (nótese que no era un sistema operativo en sus principios) no tuvieron mucho éxito entre el público consumidor. Lo único que logró fue que Apple le iniciara un juicio a Microsoft por su semejanza con su sistema operativo MacOs. El boom de Windows se produjo con su versión 3.0 (y más aún con la 3.1) cuando comenzó a aprovechar las capacidades de los procesadores "386" y le dio un mejor manejo a la memoria hacia el año 1991 Fue simplemente un "shell" para DOS, ya que sin este no funcionaba. Y por esa razón no es un sistema operativo, sino un "entorno operativo". El atractivo que tuvo para con la gente fue su "casi real" facilidad de uso y su "cara" gráfica que hacía olvidar "las pantallas negras" de DOS. Un tiempo más tarde se le agregaron capacidades para trabajar con redes y pasó a la versión 3.11 (para grupos de trabajo). Esta fue la última versión comercial que salió al mercado antes de que Windows 95 hiciera su aparición. > Windows 95: El entorno operativo Desde el principio, Windows 95 se publicitó como un sistema operativo de 32 bits. Pero cuando salió a la luz se pudo ver que esto no era totalmente verdad: era un sistema operativo (ya no un entorno), porque no necesitaba de ningún otro programa para poder funcionar (aunque se incluía el DOS 7.0 "completo" y alguien dijo que "sí" lo necesitaba). Por otro lado, la promesa de los 32 bits (programas más rápidos y mejor aprovechamiento de la memoria) no se cumplió. Muchas de las "partes" de este sistema operativo fueron de 16 bits como sus antecesores. Esto se explicó diciendo que era así por la cantidad de programas "heredados" de las versiones anteriores (Windows 3.1). Casi en el mismo momento (un año antes) apareció en el mercado un verdadero sistema operativo de 32 bits que sería la competencia directa al tan publicitado Windows 95: OS/2 de IBM. En principio fue desarrollado en cooperación entre IBM y Microsoft (como años atrás con el DOS), y como años atrás surgieron diferencias que hicieron que cada empresa presentara su producto. OS/2 fue un sistema operativo totalmente de 32 bits que muchos expertos consideran mejor, más estable y con mayores prestaciones que Windows 95, pero que (nuevamente) las campañas publicitarias relegaron a un segundo lugar, ya que la gran mayoría de los desarrolladores decidieron hacer sus programas "compatibles" con Windows 95 y no con OS/2. > Windows 98/NT: Ya nada sería igual Windows 98 no representó para los usuarios comunes ningún cambio significativo. Sólo un poco de retoque gráfico y alguna que otra utilidad nueva o mejorada (como el "liberador de espacio" o el viejo "defrag"). Pero si trajo algunas cosas nuevas: el soporte completo para los 32 bits, y la “eliminación” del DOS como sistema independiente (ya que no incluyó una nueva versión, sino un emulador del mismo). En esta época no podemos dejar de mencionar Windows NT (Windows Nueva Tecnología). Windows NT fue un sistema operativo de 32 bits especializado en redes que utilizó otro sistema para el manejo de los archivos (NTFS), y por lo tanto "incompatible" con Windows 95/98. Versiones de Windows NT: 3.1, 3.5, 3.51, 4; está ultima versión tuvo estas variantes: Workstation, Server, Server Enterprise Edition, Terminal Server, Embedded. > Windows 2000/Windows ME, continua la saga Windows 2000 fue el sucesor de NT, por lo que estuvo orientado a empresas y heredó muchas de las características de este; hasta llegar a su última versión 2003 Server. Su gran estabilidad, su soporte para varios procesadores, su alto nivel de seguridad, además de sus impresionantes capacidades para desenvolverse como server lo hicieron la mejor opción para una empresa. Era rápido y lo suficientemente fácil de configurar casi para cualquier persona, pero hay que tener en cuenta que tiene poco soporte para el agregado de periféricos como tarjetas de video o de sonido. Es decir, este no fue un sistema operativo totalmente apto para la multimedia. Al ser de esta manera, es no fue aconsejable su uso en hogares, donde comunmente encontraremos juegos, música en la PC, enciclopedias multimedia y demás. Ahí es donde entró Windows Millennium Edition (ME), sucesor de Windows 98: Fue un sistema operativo donde primó la facilidad de uso, las mejoras en multimedia, comunicaciones e Internet. Aunque no contó con la estabilidad de Windows 2000 fue más seguro que Windows 98 y 98 SE (segunda edición) ya que se incorporaron una serie de utilidades para proteger el sistema operativo y hacerlo más resistente a las instalaciones de programas y drivers de terceros que, en definitiva, fueron las principales causas de cuelgues y pantallas azules en sus predecesores. Una de las cosas interesantes con que nos encontramos en Windows ME es que el modo DOS, tal como lo conocimos, había dejado de existir. Ya no era posible iniciar el sistema en "sólo símbolo del sistema" o apagar el sistema "reiniciando en modo MSDOS". Tanto es así, que los archivos AUTOEXEC.BAT y CONFIG.SYS ya no tuvieron ninguna función en ME (salvo durante la instalación). Lo que realmente se eliminó de Windows ME fue el soporte para aplicaciones DOS de 16 bits en modo real. En su momento, la elección de uno u otro sistema dependió del uso que deseaba hacer de la PC, siendo lo más lógico Windows 2000 para empresas y Windows ME para hogares. El tiempo también dijo que Windows Millennium Edition fue el mas inestable de los sistemas operativos post Windows 95. La línea Windows 2000 Server fué reemplazada por Windows Server 2003, y Windows 2000 Professional con Windows XP Professional. Versiones de Windows 2000: Professional, Server, Advanced Server y Datacenter Server. > Windows XP/Windows 2003 Server, la nueva generación del escritorio Windows XP fue la mejora mas importante técnicamente desde Windows 9x, y unificó en cierto modo las versiones separadas que hubo estos años: WINDOWS 9x/ME para usuarios hogareños y SOHO contra Windows NT/2000 para usuarios corporativos con requerimientos de trabajo en redes de alto nivel. Windows XP se distribuyó en 2 versiones principales: Windows XP Home Edition y Windows XP Profesional. La versión Home no tenía tanto soporte para redes, lo que si incluyó la versión Profesional. Esto S.O., además de constituirse en la unión de los entornos mencionados, es en realidad la continuación de Windows NT/2000. Se destacó en este producto su alto grado de integración con las redes e Internet, además de proveer una nueva interfase gráfica que se hizo notar ni bien se comienza a utilizar. Los cambios de interfaz fueron básicamente estéticos. La diferencia real con sus predecesores estuvo dada por el soporte LAN, soft de grabación de CDs, multimedia, escritorio remoto y manejo de usuarios. Algo muy importante es el hecho de que Microsoft con esta versión de su S.O. ha puso especial énfasis en los drivers. WXP fué muchísimo mas renuente que sus predecesores a instalar drivers no certificados para el mismo. Con esto Microsoft pretendió reducir al máximo las ya tan conocidas (y sufridas) "pantallas azules", aduciendo que la mayoría de las causas de inestabilidad de las versiones anteriores estaba dada por el uso de drivers no certificados, obsoletos o mal desarrollados. Debido a esto, se destaca la búsqueda inteligente de controladores que hace el S.O. al momento de instalar un dispositivo nuevo, escaneando unidades en busca de los drivers correctos. Windows XP contó con las actualizaciones más profundas a nivel seguridad que ningún otro sistema operativo Microsoft: prueba de ello fueron los Service Pack 1 y 2. También fue el primero en adoptar un sistema de verificación de autenticidad del S.O.: WGA (Windows Genuine Advantage) Windows 2003 Server estuvo basado en el núcleo de Windows XP, al que se le añadieron una serie de servicios, y se le han bloqueado algunas características. A grandes rasgos, Windows Server 2003 es un Windows XP simplificado, no con menos funciones, sino que estas están deshabilitadas por defecto para obtener un mejor rendimiento y para centrar el uso de procesador en las características de servidor. Versiones de Windows XP: Windows XP 64 Bits: Uso en procesadores de 64 bits. Windows XP Media Center Edition Windows XP Tablet PC Edition: Tablet PC Windows XP Embedded: ATM, terminales. Windows Fundamentals for Legacy PCs: Versión simplificada de XP para uso en hardware obsoleto. Windows XP Starter Edition: distribuida solo en determinados países, (una versión tan básica y limitada que por momentos se torna bastante impráctica al momento de utilizarla). Versiones de Windows 2003 Server: Web Edition, Standard Edition, Enterprise Edition, Datacenter Edition > Windows Vista, la era post XP de Microsoft Windows Vista requiere de hardware realmente potente para ejecutarse en toda su dimensión o con una performance aceptable; incluso para las versiones mas "básicas" de este S.O. Las versiones disponibles son varias: Enterprise, Business, Ultímate (para usuarios corporativos), Starter (solo comercializada en países emergentes, una versión reducida que si es similar a su homónima de Windows XP); y por último las versiones Home Basic y Home Premium (para usuarios domésticos). > Linux: el futuro alternativo? Cuando Linus Torvalds comenzó a trabajar sobre Mini para obtener su propio sistema operativo no tenía ni la más remota idea de lo que su trabajo llegaría a ser en todo el mundo. Este sistema operativo es totalmente distinto a los vistos anteriormente por un montón de razones. He aquí algunas de ellas: * No fue desarrollado por una gran empresa: Linus Torvalds desarrolló el kernel (el corazón) del sistema y luego liberó el código fuente del mismo en Internet para que cualquier programador que se animara pudiera modificarlo y agregarle lo que quisiera. Así, el Linux que hoy se conoce fue creado por cientos de programadores "libres" alrededor del mundo y no por una empresa. * Es gratis y abierto: Todo el sistema operativo es totalmente gratuito (al igual que muchísimos de sus programas), si posee una conexión a Internet es posible bajarlo a su máquina. Lo que algunas empresas hacen es "empacar" el sistema y algunos programas y grabarlos en CD’s, que junto con algún manual es lo que luego "venden". Esto se conoce como Distribuciones. Además, junto con el sistema vienen los códigos fuentes del mismo (y de algunos programas) para que pueda ser modificado a gusto del usuario (si este es un programador experimentado), es por esto que se dice que es "abierto". * Nació a partir de otro sistema operativo: Es una modificación del sistema Minix, que a su vez nació como una "reducción" de UNIX, "el único sistema operativo verdadero, a partir del cual se crearon los demás" (incluido DOS) según la opinión de muchos Hackers. Este sistema operativo es el elegido por las empresas que proveen acceso a Internet, debido a su gran estabilidad y eficiencia. Además, posee un muy buen manejo de redes y seguridad, lo que está haciendo que muchas empresas e instituciones (escolares sobre todo) lo tengan en cuenta para reemplazar sus sistemas actuales. En un principio, Linux también era una "pantalla negra" en modo texto y muy poco intuitivo (al igual que DOS, al igual que UNIX). Pero desde hace un tiempo se desarrollaron entornos gráficos (varios: KDE, Gnome, etc.) que no tienen nada que envidiarle a Windows 95/98 y que hacen que más usuarios (menos experimentados) se "animen" a usarlo. Por lo anterior y el gran auge de Internet este es el sistema operativo que más crecimiento ha tenido en los últimos años, y el que se perfila quizá como una alternativa válida para el futuro. Algunas distribuciones de Linux conocidas: Red Hat, Debian, Fedora, Gentoo, Mandriva, Rxart, Slackware, Suse, Ubuntu, Kubuntu > Conclusión Sin el sistema operativo nada funcionaria... por lo tanto no cabe mucho mas que acotar. Solo es de esperarse que la evolución se mantenga y quizás avizorar mas alternativas a nuestro nunca tan bien ponderado y muchas veces vilipendiado “Windows”. Guía detallada de administración de Active Directory Publicado: septiembre 17, aaaa Esta guía es una introducción a la administración del servicio Active Directory y del complemento Usuarios y equipos de Active Directory de Windows Server 2003. En esta página Introducción Introducción Usar el complemento Dominios y confianzas de Active Directory Usar el complemento Usuarios y equipos de Active Directory Recursos adicionales Introducción Guías detalladas Las guías detalladas de desarrollo de Microsoft Windows Server 2003 proporcionan experiencia práctica para muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de Active Directory, la instalación de una estación de trabajo Windows XP Professional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías. La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes. • • Parte I: Instalar Windows Server 2003 como un controlador de dominio Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se indicarán en la guía detallada específica. Microsoft Virtual PC Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores. En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas. La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa al alcance de este documento. Notas importantes Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe deducirse ninguna relación con compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales. Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en Internet. El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización. Principio de la página Introducción Esta guía es una introducción a la administración del servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administración del servicio de directorio. Puede utilizar las herramientas estándar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administración únicas. Puede combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas específicas. Las herramientas administrativas de Active Directory sólo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory están disponibles en el menú Herramientas administrativas: • • • Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory También puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administración de Windows Server 2003. El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No está disponible de forma predeterminada en el menú Herramientas administrativas y debe agregarse manualmente. Para los administradores avanzados y los especialistas de soporte técnico de redes, existen muchas herramientas de línea de comandos que pueden utilizar para configurar, administrar y solucionar problemas de Active Directory. También puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalación del sistema operativo se incluyen varias secuencias de comandos de ejemplo. Requisitos previos • • Parte 1: Instalar Windows Server 2003 como un controlador de dominio • Guía detallada de configuración de controladores de dominio adicionales Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio Requisitos de esta guía • Para realizar los procedimientos que se describen en este documento debe haber iniciado sesión • Si trabaja en un controlador de dominio, es posible que el complemento Esquema de Active como usuario con privilegios administrativos. Directory no esté instalado. Para instalarlo: • En el símbolo del sistema, escriba regsvr32 schmmgmt.dll El complemento Esquema de Active Directory ahora estará disponible en MMC. En servidores independientes con Windows Server 2003 o estaciones de trabajo Windows XP • Professional, las herramientas administrativas de Active Directory son opcionales. Puede instalarlas desde Agregar o quitar programas en el Panel de control, con el Asistente para componentes de Windows o desde el ADMINPAK incluido el CD de Windows Server 2003. Principio de la página Usar el complemento Dominios y confianzas de Active Directory El complemento Dominios y confianzas de Active Directory proporciona una representación gráfica de todos los árboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque. Iniciar el complemento Dominios y confianzas de Active Directory Para iniciar el complemento 1. En HQ-CON-DC-01, haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas de Active Directory. Aparece el complemento Dominios y confianzas de Active Directory, como se muestra en la Figura 1. Figura 1. Complemento Dominios y confianzas de Active Directory El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fácil de usar para que los usuarios inicien sesión en Active Directory. El estilo del UPN se basa en el estándar RFC 822 de Internet, al que también se hace referencia como dirección de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer árbol del bosque. En ésta y en las demás guías detalladas de esta serie, el sufijo UPN predeterminado es contoso.com. Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesión. También puede simplificar los nombres de inicio de sesión de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN sólo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre válido de dominio DNS. Para agregar sufijos UPN adicionales 1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botón secundario del mouse (ratón) en él y, a continuación, haga clic en Propiedades. 2. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar. 3. Haga clic en Aceptar para cerrar la ventana. Cambiar la funcionalidad de dominios y bosques La funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las características de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno. Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional está establecido en Windows Server 2003, estarán disponibles todas las características para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT® 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, sólo está disponible un subconjunto de las características de Active Directory para todo el dominio y todo el bosque. El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las características de grupos de seguridad universal, anidación de grupos ni historial de Id. de seguridad (SID). Cuando el dominio está establecido en modo nativo, se pueden utilizar las características de grupos de seguridad universal, anidación de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque. Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrán incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrán agregar a dicho dominio. La funcionalidad de dominio habilita características que afectan a todo el dominio y sólo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opción predeterminada), Windows 2000 nativo, Windows Server 2003 versión provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto. Para elevar la funcionalidad del dominio 1. Haga clic con el botón secundario del mouse en el objeto de dominio (en el ejemplo, contoso.com) y, a continuación, haga clic en Elevar el nivel funcional del dominio. 2. En la lista desplegable Seleccione un nivel funcional del dominio disponible, seleccione Windows Server 2003 y, a continuación, haga clic en Elevar. 3. Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de nuevo en Aceptar para finalizar el proceso. 4. Cierre la ventana Dominios y confianzas de Active Directory. Principio de la página Usar el complemento Usuarios y equipos de Active Directory Para iniciar el complemento Usuarios y equipos de Active Directory 1. Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. 2. Expanda Contoso.com haciendo clic en el signo +. En la Figura 2 se muestran los componentes clave del complemento Usuarios y equipos de Active Directory. Figura 2. Complemento Usuarios y equipos de Active Directory Reconocer objetos de Active Directory Los objetos descritos en la tabla siguiente se crean durante la instalación de Active Directory. Icono Carpeta Descripción Dominio El nodo raíz del complemento representa el dominio que se va a administrar. Equipos Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre éstos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versión anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos. Sistema Contiene información de sistemas y servicios de Active Directory. Usuarios Contiene todos los usuarios del dominio. En una actualización, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario. Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Usuario Descripción Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesión en la red con estas credenciales y a Icono Objeto Descripción los usuarios se les puede conceder permisos de acceso. Contacto Un objeto de contacto es una cuenta que no tiene ningún permiso de seguridad. No se puede iniciar sesión como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrónico. Equipo Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, ésta es la cuenta de equipo. Unidad Las unidades organizativas se utilizan como contenedores para organizar de organizativa manera lógica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administración de cantidades grandes de objetos. Carpeta Una carpeta compartida es un recurso compartido de red que se ha publicado compartida en el directorio. Impresora Una impresora compartida es una impresora de red que se ha publicado en el compartida directorio. Agregar una unidad organizativa Este procedimiento crea una unidad organizativa adicional en el dominio Contoso. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay límite de niveles de anidación. Estos pasos se basan en la estructura de Active Directory establecida en las guías detalladas de infraestructura común. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo Contoso.com; es decir, donde se hace referencia a Cuentas en el procedimiento, sustituya Contoso.com. Para agregar una unidad organizativa 1. Haga clic en el signo + situado junto a Cuentas para expandirlo. 2. Haga clic con el botón secundario del mouse en Cuentas. 3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construcción como el nombre de la nueva unidad organizativa y, a continuación, haga clic en Aceptar. Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes: • • • Unidad organizativa Ingeniería bajo Cuentas. Unidad organizativa Fabricación bajo Cuentas. Unidad organizativa Consumidor bajo la unidad organizativa Fabricación. (Para ello, haga clic con el botón secundario del mouse en Fabricación, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.) • Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricación. Haga clic en Fabricación para que su contenido se muestre en el panel de la derecha. Al terminar, debería tener la jerarquía que aparece a continuación en la Figura 3. Figura 3. Nuevas unidades organizativas Crear una cuenta de usuario El siguiente procedimiento crea la cuenta de usuario Juan García en la unidad organizativa Construcción. Para crear una cuenta de usuario 1. Haga clic con el botón secundario del mouse en la unidad organizativa Construcción, seleccione Nuevo y, a continuación, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento. 2. Escriba la información del usuario que se muestra en la Figura 4. Figura 4. Cuadro de diálogo Usuario nuevo 3. Haga clic en Siguiente para continuar. 4. Escriba pass#word1 en los cuadros Contraseña y Confirmar contraseña y, después, haga clic en Siguiente. Nota: a menudo, el papel que desempeñan las contraseñas en la protección de la red de una organización se subestima y no se tiene en cuenta. Las contraseñas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organización. La familia Windows Server 2003 dispone de una nueva característica que requiere contraseñas complejas para todas las cuentas de usuario de nueva creación. Para obtener información sobre esta característica, consulte la guía detallada de configuración de directivas de contraseña. 5. Haga clic en Finalizar para aceptar la confirmación en el siguiente cuadro de diálogo. Acaba de crear una cuenta para Juan García en la unidad organizativa Construcción. Para agregar información adicional sobre este usuario 1. Seleccione Construcción en el panel de la izquierda, haga clic con el botón secundario del mouse en Juan García en el panel de la derecha y, a continuación, haga clic en Propiedades. 2. Agregue más información sobre el usuario en el cuadro de diálogo Propiedades en la ficha General como se muestra en la Figura 5 y, a continuación, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la información opcional del usuario que se puede definir. Figura 5. Información adicional del usuario Mover una cuenta de usuario Los usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto. Por ejemplo, en este procedimiento, Juan García se mueve de la división Construcción a la división Ingeniería. Para mover un usuario de una unidad organizativa a otra 1. Haga clic en la cuenta de usuario Juan García en el panel de la derecha, haga clic con el botón secundario del mouse en ella y, después, haga clic en Mover. 2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo, como se muestra en la Figura 6. Figura 6. Lista de unidades organizativas disponibles 3. Haga clic en la unidad organizativa Ingeniería y luego en Aceptar. Crear un grupo Para crear un grupo 1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, haga clic en Nuevo y después en Grupo. 2. En el cuadro de diálogo Nuevo objeto – Grupo, escriba Herramientas para el nombre. 3. Revise el tipo y el ámbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuración predeterminada y, a continuación, haga clic en Aceptar para crear el grupo Herramientas. • El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribución se pueden utilizar para confeccionar listas de distribución de correo electrónico. • El Ámbito de grupo determina la visibilidad del grupo y qué tipo de objetos puede contener el grupo. Ámbito Visibilidad Puede contener Dominio local Dominio Grupos Usuario, Dominio local, Global o Universal Global Bosque Grupos Usuarios o Global Universal Bosque Grupos Usuarios, Global o Universal Agregar un usuario a un grupo Para agregar un usuario a un grupo 1. Haga clic en la unidad organizativa Ingeniería en el panel de la izquierda. 2. Haga clic con el botón secundario del mouse en el grupo Herramientas en el panel de la derecha y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Miembros y luego en Agregar. 4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba Juan y, a continuación, haga clic en Aceptar. Figura 7. Agregar Juan García al grupo de seguridad Herramientas 5. En la pantalla Propiedades de herramientas, compruebe que Juan García es un miembro del grupo de seguridad Herramientas y, después, haga clic en Aceptar. Publicar una carpeta compartida Para que los usuarios puedan encontrar más fácilmente las carpetas compartidas, puede publicar información sobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se comparte automáticamente. Éste es un proceso que consta de dos pasos: en primer lugar se debe compartir la carpeta y después publicarla en Active Directory. Para compartir una carpeta 1. Utilice el Explorador de Windows para crear una nueva carpeta llamada Especificaciones de ingeniería en uno de los volúmenes del disco. 2. En el Explorador de Windows, haga clic con el botón secundario del mouse en la carpeta Especificaciones de ingeniería y, a continuación, haga clic en Propiedades. Haga clic en Compartir y después en Compartir esta carpeta. 3. En la pantalla Propiedades de especificaciones de ingeniería, escriba ES en el cuadro Nombre del recurso y, a continuación, haga clic en Aceptar. Cierre el Explorador de Windows cuando termine. Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el botón Permisos. Publicar la carpeta compartida en el directorio Para publicar la carpeta compartida en el directorio 1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, seleccione Nuevo y, a continuación, haga clic en Carpeta compartida. 2. En la pantalla Nuevo objeto – Carpeta compartida, escriba Especificaciones de ingeniería en el cuadro Nombre. 3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y haga clic en Aceptar. 4. Haga clic con el botón secundario del mouse en Especificaciones de ingeniería y, después, haga clic en Propiedades. 5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a continuación, haga clic en Agregar para continuar. Haga clic dos veces en Aceptar para finalizar. Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido. Buscar una carpeta compartida Para buscar una carpeta compartida 1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Contoso y, a continuación, haga clic en Buscar. 2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba especificaciones en el cuadro de texto Palabras clave y, después, haga clic en Buscar ahora. 3. En Resultados de la búsqueda, haga clic con el botón secundario del mouse en Especificaciones de ingeniería y, a continuación, haga clic en Abrir. Figura 8. Buscar carpetas compartidas en Active Directory Nota: cuando se rellene la carpeta compartida ES, su contenido estará disponible a los usuarios finales mediante búsquedas en el directorio. Los usuarios pueden asignar también este recurso compartido como una unidad de red. 4. Cierre el cuadro de diálogo Buscar carpetas compartidas. Publicar una impresora Puede publicar también información sobre impresoras compartidas en Active Directory. La información de las impresoras compartidas de Windows NT debe publicarse manualmente. La información de las impresoras compartidas de la familia Windows Server 2003 o de la familia Windows 2000 Server se publica automáticamente en el directorio cuando se crea una impresora compartida. Utilice Usuarios y equipo de Active Directory para publicar manualmente información sobre impresoras compartidas. El subsistema de impresión propaga de forma automática al directorio los cambios realizados en los atributos de la impresora (ubicación, descripción, carga de papel. etc.). Nota: en esta sección se describen los pasos para configurar y publicar una impresora que imprime directamente en un archivo. Si desea utilizar una impresora basada en IP, LPT o USB, debe modificar los pasos de estos procedimientos. Agregar una nueva impresora Para agregar una nueva impresora 1. Haga clic en el botón Inicio, en Impresoras y faxes y, después, haga doble clic en Agregar impresora. Aparece el Asistente para agregar impresoras. Haga clic en Siguiente. 2. Haga clic en Impresora local conectada a este equipo, desactive la casilla de verificación Detectar e instalar mi impresora Plug and Play automáticamente y, a continuación, haga clic en Siguiente. 3. En la lista desplegable Usar el puerto siguiente, haga clic en la opción ARCHIVO: (Imprimir a archivo) y después en Siguiente. 4. En el panel de resultados Fabricante, haga clic en Genérico. En el panel de resultados Impresoras, haga clic en Genérico / sólo texto. Haga clic en Siguiente para continuar. 5. En la página Dar un nombre a su impresora, cambie el nombre de la impresora por Imprimir a archivo y, después, haga clic en Siguiente. 6. En la página Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuación, haga clic en Siguiente. 7. Para Ubicación en la página Ubicación y comentario, escriba Oficinas centrales – Edificio 4 – Oficina 2200. Haga clic en Siguiente para continuar. 8. Haga clic en Siguiente para imprimir una página de prueba y, después, haga clic en Finalizar para completar la instalación. 9. Cuando se le indique, escriba Impresión de prueba como nombre del archivo para la página de prueba de la impresora. Cuando termine, haga clic en Aceptar. La impresora se publica automáticamente en Active Directory. Buscar una impresora en Active Directory Para buscar una impresora en Active Directory 1. En la pantalla Impresoras y faxes, haga doble clic en el icono Agregar impresora. 2. Aparece el cuadro de diálogo Asistente para agregar impresoras. Haga clic en Siguiente para continuar. 3. Haga clic en Una impresora de red y luego en Siguiente. 4. Haga clic en Buscar una impresora en el directorio (opción predeterminada) y, después, haga clic en Siguiente. 5. Aparece el cuadro de diálogo Buscar impresoras. Haga clic en Buscar ahora para buscar todas las impresoras publicadas en Active Directory. Si define opciones de búsqueda adicionales, puede limitar los resultados a las características disponibles o a la ubicación de la impresora. Seguimiento de la ubicación de impresoras: utilice el seguimiento de la ubicación de impresoras para simplificar la búsqueda de impresoras. Cuando el seguimiento de la ubicación de impresoras está habilitado y el usuario hace clic en Buscar ahora, Active Directory muestra todas las impresoras que coinciden con la consulta del usuario que se encuentran en la ubicación del usuario. Los usuarios pueden cambiar el campo de ubicación haciendo clic en Examinar para buscar impresoras en otras ubicaciones. Para obtener más información sobre cómo configurar el seguimiento de la ubicación de impresoras, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. 6. En Resultados de la búsqueda en la página Buscar impresoras, haga doble clic en Imprimir a un archivo para instalar la impresora. Haga clic en Sí (opción predeterminada) para definir esta impresora como la impresora predeterminada del sistema y, después, haga clic en Siguiente. Figura 9. Buscar impresoras compartidas en Active Directory 7. Haga clic en Finalizar para completar la instalación de la impresora. 8. Cierre la ventana Impresoras y faxes. Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 o Windows XP en Active Directory. La manera más sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque también se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandos publicará todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32. Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs Para publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs 1. Haga clic en el botón Inicio y luego en Ejecutar. Escriba cmd en el cuadro de texto y, después, haga clic en Aceptar. 2. Escriba cd \ windows\ system32 y presione ENTRAR. 3. Escriba cscript pubprn.vbs prserv1 "LDAP://ou=cuentas,dc=contoso,dc=com" y, después, presione ENTRAR. Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad organizativa Cuentas. La secuencia de comandos sólo copia el subconjunto siguiente de atributos de impresora, que incluyen la ubicación, el modelo, el comentario y la ruta de acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003; se proporciona como una herramienta manual para publicar impresoras en Active Directory únicamente desde servidores de impresión de bajo nivel. 4. Cierre la ventana. Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active Directory 1. Haga clic con el botón secundario del mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y después en Impresora. 2. Aparece el cuadro de diálogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido y, a continuación, haga clic en Siguiente. Los usuarios finales podrán realizar operaciones perfectamente integradas desde las impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar los controladores de impresora directamente desde el servidor. Crear un objeto de equipo Un objeto de equipo se crea de forma automática cuando un equipo se une a un dominio. Si no desea otorgar a todos los usuarios la capacidad de agregar equipos al dominio, puede crear objetos de equipo antes de que el equipo se una a un dominio de forma manual o mediante secuencias de comandos. Para agregar manualmente un equipo al dominio 1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, seleccione Nuevo y, después, haga clic en Equipo. 2. Para el nombre del equipo, escriba Heredado y, a continuación, haga clic en Siguiente. 3. Si el equipo es un sistema administrado, puede especificar el GUID del sistema. En este ejemplo, deje el GUID del sistema en blanco, haga clic en Siguiente y después en Finalizar. 4. Para administrar este equipo desde el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en el objeto de equipo y, a continuación, haga clic en Administrar. De forma opcional, es posible seleccionar a qué usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio. Cambiar el nombre, mover y eliminar objetos Se puede cambiar el nombre y eliminar todos los objetos del directorio, y se puede mover la mayor parte de los objetos a contenedores distintos. En el siguiente procedimiento se amplía el ejemplo para crear un objeto de equipo. Para mover el objeto de equipo Heredado a un contenedor diferente 1. En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniería. 2. Haga clic con el botón secundario del mouse en el objeto de equipo Heredado y, después, haga clic en Mover. 3. Expanda la unidad organizativa Recursos y, a continuación, haga clic para resaltar Servidores como se muestra en la Figura 10. Figura 10. Mover un objeto de equipo 4. Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidad organizativa Recursos. Administrar objetos de equipo Los objetos de equipo de Active Directory se pueden administrar directamente desde el complemento Usuarios y equipos de Active Directory. Administración de equipos es un componente que sirve para ver y controlar numerosos aspectos de la configuración del equipo. Administración de equipos combina varias utilidades de administración en un único árbol de consola, lo que proporciona un fácil acceso a las propiedades administrativas y herramientas de los equipos locales o remotos. Nota: en el siguiente ejemplo se asume que trabaja desde la consola HQ-CON-DC-01 y que HQ-CONDC-02 se está ejecutando. Administrar un equipo remoto Para administrar un equipo remoto 1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en contoso.com y, después, haga clic en Conectar con el dominio. 2. Haga clic en Examinar y luego en el signo + situado junto a contoso.com. Haga doble clic en vancouver.contoso.com y, a continuación, haga clic en Aceptar. 3. Expanda vancouver.contoso.com haciendo clic en el signo + y, después, haga clic en Controladores de dominio. 4. Haga clic con el botón secundario del mouse en HQ-CON-DC-02 y, después, haga clic en Administrar. El sistema se puede administrar ahora de forma remota, como se ilustra en la Figura 11. Figura 11. Administrar un equipo de forma remota Ver la imagen a tamaño completo 5. Cierre la ventana Administración de equipos. Grupos anidados Los grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamento con un mantenimiento mínimo. Colocar cada grupo de cuentas de equipo en un único grupo de recursos de toda la empresa no es una solución eficaz, ya que para ello es necesario crear y mantener un gran número de vínculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de cuentas que representan las divisiones administrativas de la empresa. Por ejemplo, el grupo de cuentas superior podría llamarse "Todos los empleados", y estaría asociado a un grupo de recursos que otorga acceso a los recursos y a los directorios compartidos. El siguiente nivel podría contener grupos de cuentas que representaran las principales divisiones de la empresa. Cada grupo de este nivel es miembro de Todos los empleados y está asociado a un grupo de recursos que otorga acceso a los recursos compartidos y a otros recursos pertinentes de la división que representa. Dentro de una división, el siguiente nivel de grupos de cuentas podría representar los departamentos. Los recursos compartidos del departamento podrían incluir calendarios de proyectos, calendarios de reuniones, calendarios de vacaciones o cualquier otra información de red pertinente a todo el departamento. Los grupos de cuentas de departamento son todos miembros del grupo de cuentas de división. Dentro de un departamento, la estructura de administración puede organizarse en grupos de seguridad en cualquier nivel necesario de especificidad. Éstos podrían ser grupos de cuentas de equipo que representaran nodos secundarios del árbol jerárquico de la organización. Con esta jerarquía de grupos establecida, puede asignar a un nuevo empleado acceso inmediato a los recursos del equipo, del departamento, de la división y de la compañía en su totalidad colocando al empleado en un grupo de cuentas de equipo. Este sistema admite el principio de mínimo acceso, ya que el nuevo empleado no puede ver los recursos de los equipos contiguos, de otros departamentos o de otras divisiones. Crear grupos anidados Para crear un grupo anidado 1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en vancouver.contoso.com y, después, haga clic en Conectar con el dominio. 2. Haga clic en Examinar y luego en contoso.com. Haga clic dos veces en Aceptar para finalizar. 3. Expanda contoso.com y, después, expanda la unidad organizativa Cuentas. 4. Cree un nuevo grupo haciendo clic con el botón secundario del mouse en Ingeniería, seleccionando Nuevo y haciendo clic en Grupo. Escriba Toda la ingeniería y, a continuación, haga clic en Aceptar. 5. Haga clic con el botón secundario del mouse en el grupo Toda la ingeniería y, después, haga clic en Propiedades. 6. Haga clic en la ficha Miembros y luego en Agregar. 7. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Herramientas y, a continuación, haga clic en Aceptar. 8. Haga clic de nuevo en Aceptar. Se crea un grupo anidado. Buscar objetos específicos En una implementación de directorios de gran tamaño sería absurdo examinar una gran lista de objetos en busca de un único objeto. Suele ser más eficaz buscar objetos específicos que satisfagan determinados criterios. En el ejemplo siguiente, buscará todos los usuarios con un nombre de inicio de sesión que empiece por “J” en el dominio Contoso. Para buscar usuarios con un nombre de inicio de sesión que empiece por J 1. Haga clic para seleccionar contoso.com. Haga clic con el botón secundario del mouse en contoso.com y, después, haga clic en Buscar. 2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione Usuario y, a continuación, haga clic en Nombre de inicio de sesión. 3. Escriba J para Valor y, después, haga clic en Agregar. Haga clic en Buscar ahora. Los resultados deben ser similares a los que se muestran en la Figura 12. Figura 12. Uso de técnicas avanzadas de búsqueda en directorios 4. Cierre la ventana Buscar usuarios, contactos y grupos. Filtrar una lista de objetos Filtrar la lista de objetos devueltos desde el directorio le permite administrar el directorio de forma más eficaz. La opción de filtrado permite restringir los tipos de objetos devueltos al complemento. Por ejemplo, puede elegir ver sólo usuarios y grupos, o es posible que desee crear un filtro más complejo. Si una unidad organizativa tiene más de un número especificado de objetos, la función de filtro permite restringir el número de objetos que se muestran en el panel de resultados. Se puede utilizar la función Filtrar para configurar esta opción. Para crear un filtro diseñado de forma que sólo se muestren los usuarios 1. En el complemento Usuarios y equipos de Active Directory, haga clic en Ingeniería bajo la unidad organizativa Cuentas. 2. Haga clic en el menú Ver y luego en Opciones de filtro. 3. Haga clic en el botón de opción Mostrar sólo los siguientes tipos de objetos, seleccione Usuarios y, después, haga clic en Aceptar. 4. Expanda Cuentas y, a continuación, haga clic en Ingeniería para comprobar los resultados del filtro. 5. Quite el filtro. El concepto de usuario Windows NT es un sistema operativo que administra sesiones. Esto significa que cuando se inicia un sistema, es necesario registrarse con un nombre de usuario y una contraseña. Cuando se instala Windows NT, la cuenta de administrador se crea de forma predeterminada, así como también una cuenta denominada invitado. Es posible (y se recomienda) modificar los permisos de los usuarios (qué acciones pueden realizar) y también agregar usuarios mediante el Administrador de usuarios. Una cuenta de usuario es una identificación asignada de manera única al usuario para permitirle: iniciar sesión en un dominio para acceder a los recursos de red iniciar sesión en un equipo local para acceder a los recursos locales Por lo tanto, todos los usuarios que utilizan habitualmente la red deben tener una cuenta. Administración de usuarios El Administrador de usuarios es la utilidad estándar que ofrece Windows NT. Como su nombre indica, se encarga de la administración de los usuarios. Se encuentra en el Menú Inicio (Programas/Herramientas de administración). Para crear una cuenta nueva, haga clic en Nuevo usuario en el menú de usuarios. Aparecerá un cuadro de diálogo para especificar la información acerca del nuevo usuario: Usuario: Nombre de inicio de sesión del usuario Nombre completo: Información opcional del usuario Descripción: Campo opcional Los campos para la Contraseña son opcionales. Aún así, se recomienda rellenarlos y marcar la casilla con la etiqueta "El usuario debe cambiar la contraseña" por razones de seguridad. Convenciones para el nombre de usuario El administrador identifica a los usuarios por medio de convenciones para el nombre del usuario. Debe tener en cuenta la siguiente información: Los nombres de usuario deben ser únicos (dentro de un dominio o en un equipo local) Los nombres de usuario pueden contener cualquier letra mayúscula o minúscula, pero no debe contener los siguientes caracteres: / \ [ ] : . | = , + * ? < > Evite crear nombres de usuario similares. Cuentas y seguridad de usuario Hay dos tipos de cuentas en NT. Las cuentas incorporadas son las cuentas que usted crea. Luego de su instalación, Windows NT se configura con cuentas incorporadas (las cuentas predeterminadas de administrador e invitado), que solo brindan una seguridad mínima. Los diferentes tipos de cuentas son: Las cuentas que usted crea: Cuentas de usuarios para iniciar sesión en una red y acceder a sus recursos. Estas cuentas poseen información acerca del usuario, en particular su nombre y contraseña. Invitado: Permite que, en ocasiones, los usuarios inicien sesión y tengan acceso al equipo local. Esta opción está desactivada de forma predeterminada. Administrador: Se utiliza para administrar la configuración global de equipos y dominios. Esta cuenta puede llevar a cabo cualquier tarea. Es fundamental: en primer lugar, desactivar la cuenta de invitado, que permitiría que cualquier usuario inicie sesión en el sistema. y en segundo lugar, cambiar el nombre de la cuenta de administrador para reducir el riesgo de intrusión mediante esta cuenta. Debido a que la cuenta de administrador posee todos los permisos, es un objetivo prioritario de los posibles intrusos. Ubicación de las cuentas de usuarios Las cuentas de usuarios del dominio se crean en el Administrador de Usuarios. Cuando se crea una cuenta, se graba automáticamente en la memoria de acceso secuencial (SAM) del controlador principal de dominio (PDC) y luego se sincroniza con el resto del dominio. Tan pronto como se crea una cuenta en la SAM del PDC, el usuario puede iniciar sesión en un dominio desde cualquier estación de trabajo del dominio. A veces, la sincronización del dominio puede llevar varios minutos. Existen dos métodos: escribir net accounts /sync en el símbolo del sistema, o elegir Sincronizar el dominio completo en el Administrador de servidor, que se encuentra en el menú Equipo. Las cuentas de usuarios locales se crean en un servidor miembro o en un equipo con Windows NT Workstation. La cuenta se crea únicamente en la SAM del equipo local. Por esta razón, el usuario sólo puede iniciar sesión en ese equipo. Planificación de nuevas cuentas de usuarios El proceso de creación de cuentas se puede simplificar planificando y organizando la información acerca de las personas que necesitan una cuenta de usuario. La carpeta particular es la carpeta privada en la que el usuario puede almacenar sus archivos. Se usa como el archivo predeterminado para ejecutar comandos como "Guardar". Puede almacenarse en el equipo local del usuario o en un servidor de red. Para crearlas, se deben tomar en cuenta los siguientes puntos: Es mucho más fácil asegurar las copias de seguridad y la restauración de datos que pertenecen a usuarios distintos si se almacenan las carpetas particulares en un servidor. De lo contrario, se tendrían que hacer copias de seguridad periódicas de los datos en los distintos equipos de red donde se almacenan las carpetas particulares. Preste atención al espacio en disco de los controladores de dominio: Windows NT no tiene utilidades para administrar el espacio en disco (Windows 2000 sí). Debido a esto, si no tiene cuidado en evitar que las carpetas particulares se llenen de archivos de gran tamaño, es posible que el espacio de almacenamiento se agote rápidamente. No obstante, hay herramientas de terceros para esta tarea, por ejemplo, "QUOTA MANAGER". Si un usuario trabaja en un equipo sin disco duro, su carpeta particular debe estar en el servidor de red Si las carpetas particulares se ubican en equipo locales, aumentará el rendimiento de la red, ya que habrá menos tráfico y el servidor no estará atendiendo órdenes constantemente. Definir las opciones para las estaciones de trabajo y las cuentas También se pueden configurar las estaciones de trabajo desde las cuales un usuario inicia sesión en la red. Puede permitir al usuario que inicie sesión desde cualquier estación de trabajo, o especificar una o más estaciones de trabajo. Una opción de alta seguridad para la red, es usar una estación exclusiva para cada usuario. De hecho, un usuario que se registre en una estación de trabajo que no sea la suya, lo hará en forma local y, por lo tanto, tendrá acceso a todos los recursos locales del equipo. Además, especificar una o más estaciones de trabajo desde las que el usuario puede iniciar sesión permite al administrador de red supervisar al usuario. Asimismo, es posible configurar la fecha de vencimiento de una cuenta de usuario. Esta opción puede ser útil para dar una cuenta a un empleado de forma temporal. La fecha de caducidad de la cuenta se establecería en el momento en que su contrato finaliza. Permisos en conexiones de acceso telefónico Si se instala RAS (Remote Access Service) se pueden configurar permisos en conexiones de acceso telefónico. Este servicio ofrece a un usuario, con los permisos apropiados, obtener acceso a los recursos de una red remota a través de una conexión por línea telefónica (o X.25). Resulta útil para los usuarios que necesitar tener acceso desde sus hogares o desde cualquier otro lugar. Se pueden configurar muchos permisos de llamada: No contestar: El usuario paga por el coste de la comunicación. El servidor no devuelve la llamada al usuario. Establecido por quien llama: Esta opción permite que el servidor devuelva la llamada al número especificado por el usuario. En este caso, la empresa se hace cargo de los costes de comunicación. Preestablecer a: Permite que el administrador controle la devolución de llamadas. Decidirá desde qué número debe llamar un usuario al servidor. Esta opción se puede utilizar para reducir costes, aunque también para incrementar la seguridad, ya que el usuario se debe ubicar en un número de teléfono específico. Nota: En los últimos dos casos, el usuario primero debe iniciar sesión en el servidor para que éste le pueda devolver la llamada. Eliminar y cambiar el nombres a las cuentas de usuario Cuando una cuenta ya no es necesaria, se puede eliminar o se le puede dar otro nombre para que la pueda usar otro usuario. Tenga en cuenta que al eliminar una cuenta también se elimina la identificación de seguridad (SID, Security IDentification). Aunque NT ofrece hasta 15000 identificaciones de seguridad diferentes, no tiene sentido eliminar una cuenta si se le puede cambiar el nombre para otro empleado. Administración del entorno de trabajo del usuario Cuando un usuario inicia sesión por primera vez desde un cliente que ejecuta Windows NT, se crea un perfil de usuario predeterminado para ese usuario. Este perfil configura elementos como, por ejemplo, el entorno de trabajo del usuario, y las conexiones de red y de impresoras. Este perfil se puede personalizar para restringir ciertos elementos en el escritorio o ocultar algunas herramientas del equipo. Estos perfiles contienen configuraciones que el usuario puede definir para configurar un entorno de trabajo en un equipo que ejecuta Windows NT. Estas configuraciones se guardan automáticamente en la carpeta de perfiles (C:\Winnt\Profiles). Para los usuarios que inician sesión desde clientes que no ejecutan Windows NT, se puede utilizar un script para iniciar sesión para configurar las conexiones de red y de impresora del usuario, o establecer la configuración del entorno de trabajo o del hardware. En realidad, es un archivo de comandos (.bat o .cmd) o un archivo ejecutable que se ejecuta automáticamente cuando el usuario inicia sesión en la red. También es posible utilizar perfiles móviles de usuarios. Estos perfiles proporcionan al usuario el mismo entorno de trabajo, independientemente de la estación de trabajo con la que se conecta a la red. Estos perfiles se guardan en el servidor. Existen dos opciones para los perfiles móviles: Perfil móvil obligatorio: Se puede aplicar a uno o varios usuarios y éstos no pueden modificarlo. Solo el administrador decide qué opciones se le dan a los usuarios (herramientas, configuración, etc.). Si el usuario cambia la configuración, estas modificaciones no se guardarán una vez que el usuario se desconecte. Perfil móvil personal: Es posible aplicarlo a un solo usuario y éste lo puede modificar. Cada vez que el usuario se desconecta, se guardan los cambios en la configuración. Nota: Estas opciones de perfil móvil funcionan correctamente en equipos con Windows NT. Los equipos con Windows 95 u otro sistema operativo pueden tener algunos problemas. A continuación, se debe utilizar el editor de directivas (POLEDIT) para crear perfiles móviles de usuarios. Una vez que se ha creado la cuenta de usuario y éste ha iniciado sesión por primera vez, se crea automáticamente un perfil de usuario en la carpeta de perfiles. El usuario o administrador puede editar todas las configuraciones necesarias para asegurarse de que los cambios se guarden después de finalizar la sesión y se almacenen en esta carpeta. A continuación, el administrador debe crear una carpeta, por ejemplo, \\servernt\Profiles\nombre_usuario. En el panel de configuración, haga doble clic en el icono Sistema, y luego haga clic en la ficha Perfiles de Usuario. Haga clic en el perfil deseado y presione el botón Copiar a. En el campo correcto, escriba la ruta UNC (Universal Names Convention) que lleva a la carpeta. En Está permitido usar, haga clic en Cambiar. Elegir usuario. Nota: En la carpeta en la que se almacenan los diferentes perfiles, debe cambiar el nombre al archivo de usuario ntuser.dat a ntuser.man para que este perfil sea obligatorio. En el Administrador de usuarios de dominio, haga doble clic en la cuenta de usuario en cuestión y haga clic en Perfiles>. En el área Ruta de acceso del perfil de usuario, escriba la ruta UNC que indica donde se ubica la carpeta del perfil de red. Definir un entorno de usuario El cuadro de diálogo Perfil de entorno del usuario se puede utilizar para especificar las rutas de acceso al perfil, un script de inicio de sesión y el directorio principal. Se pueden configurar varias opciones, en particular las que indican qué rutas conducen a qué elementos: Ruta de acceso del perfil de usuario: Indica la ruta de acceso que lleva a la carpeta del perfil de usuario. Para obtener la ubicación de los perfiles personales del usuario, escriba \\nombre_equipo\share\%username%. Para el perfil obligatorio, reemplace %username% por nombre_perfil Archivo de comandos de inicio de sesión: Es posible usar una ruta que conduzca al equipo local del usuario, o una ruta UNC que lleve a una carpeta compartida en un servidor de red. Directorio particular: Para especificar una ruta de red, seleccione Conectar y la unidad de disco. Luego, escriba la ruta UNC. Antes de especificar la ranura de red, se debe crear una carpeta en el servidor y compartirla a través de la red. Nota: Use la variable %username% cada vez que cree una carpeta particular o un perfil personal de usuario. Se sustituirá automáticamente por la cuenta del usuario Administración de grupos Windows NT también permite que la administración de usuario mediante grupo. Esto significa que puede definir grupos de usuarios con el mismo tipo de permisos, organizándolos en categorías. Un grupo es un conjunto de cuentas de usuario. Un usuario que se agrega a un grupo obtiene todos los permisos y derechos de ese grupo. Los grupos de usuarios hacen más sencilla la administración, ya que es posible otorgar permisos a varios usuarios a la vez. Hay dos tipos diferentes de grupos: Grupos locales: Otorga a los usuarios permisos para que accedan a un recurso de red. También sirven para conceder a los usuarios privilegios para abrir tareas de sistema (como cambiar la hora, hacer copias de seguridad, recuperar archivos, etc.). Existen grupos locales preconfigurados. Grupos globales: Se usan para organizar las cuentas de usuario de dominio. También se usan en redes de varios dominios, cuando los usuarios de un dominio necesitan tener acceso a recursos de otro dominio. Cuando se inicia Windows NT por primera vez, se crean seis grupos de forma predeterminada: Administradores Operadores de copia Duplicadores Usuarios Avanzados Usuarios Invitados Estos grupos predeterminados se pueden eliminar, y se pueden añadir grupos personalizados de usuarios con permisos especiales, de acuerdo con las operaciones que vayan a realizar en el sistema. Para añadir un grupo, haga clic en Grupo local nuevo en el menú de usuario. A continuación, para agregar usuarios a los grupos haga clic en un usuario y luego en Agregar. Al realizar esta acción aparecerá el siguiente cuadro de diálogo: Esto permite seleccionar a qué grupos debe pertenecer un usuario. Implementación de grupos incorporados Los grupos incorporados son aquellos que tienen privilegios de usuario predeterminados. Los privilegios de usuario determinan qué tareas puede ejecutar un usuario o miembro de un grupo incorporado. Estos son los tres grupos incorporados en Windows NT: Grupos locales incorporados: Otorgan a los usuarios privilegios que les permiten ejecutar tareas de sistema como realizar copias de seguridad y restaurar datos, cambiar la hora y administrar los recursos del sistema. Se encuentran en todas los equipos que ejecutan Windows NT Grupos globales incorporados: Proporcionan a los administradores una forma sencilla de controlar a todos los usuarios del dominio. Los grupos globales se encuentran únicamente en los controladores de dominio. Los grupos de sistema organizan a los usuarios automáticamente en función del uso del sistema. Los administradores no agregan usuarios a estos grupos. Los usuarios pueden ser miembros de estos grupos de forma predeterminada, o pueden convertirse en miembros a través de su actividad en la red. Se encuentran en todos los equipos que ejecutan Windows NT No se puede cambiar el nombre ni eliminar ninguno de los grupos incorporados. Los grupos locales incorporados son los siguientes: Usuarios: Pueden ejecutar las tareas para las que tienen privilegios de acceso, y pueden tener acceso a recursos para los que han obtenido permiso. El grupo local Usuarios avanzados reside únicamente en servidores miembro y equipos que ejecutan NT Workstation. Los miembros de este grupo pueden crear y modificar cuentas, y también compartir recursos. Administradores: Pueden ejecutar todas las tareas administrativas en el equipo local. Si el equipo es un controlador de dominio, los miembros también pueden administrar el dominio entero. Invitados: Pueden ejecutar cualquier tarea para la que tienen privilegios de acceso, y pueden obtener acceso a recursos por los que han obtenido permiso. Sus miembros no pueden modificar permanentemente sus entornos locales. Operadores de copia: Pueden utilizar el programa de seguridad de Windows NT para hacer copias de seguridad y restaurar los equipos que ejecutan Windows NT² Duplicadores: Utilizados por el servicio Duplicador de directorio. Este grupo no se utiliza para la administración. Los siguientes grupos solo se definen en controladores de dominio: Operadores de cuentas: Pueden crear, eliminar y modificar usuarios, grupos locales y grupos globales. No pueden modificar Administradores ni Operadores de servidores Operadores de servidores Pueden compartir recursos de disco, hacer copias de seguridad de los datos que están en los servidores y restaurarlos Operadores de impresión: Pueden configurar y administrar impresoras de red Cuando se instala Windows NT Server como controlador de dominio, se crean tres grupos globales en la SAM. De forma predeterminada, estos grupos no tienen ningún privilegio inherente. Adquieren privilegios cuando se agregan a grupos locales o cuando se les concede privilegios o permisos de usuario. o o o Usuarios del dominio se agrega automáticamente al grupo local Usuarios. De forma predeterminada, una cuenta de Administrador es miembro de este grupo. Administrador del dominio se agrega automáticamente al grupo local Usuarios. Estos miembros pueden ejecutar tareas administrativas en el equipo local. De forma predeterminada, una cuenta de Administrador es miembro de este grupo. Invitados de dominio se agrega automáticamente al grupo local Usuarios. De forma predeterminada, una cuenta de Invitado es miembro de este grupo. Por último, los grupos incorporados del sistema residen en todas los equipos que ejecutan Windows NT. Los usuarios se vuelven miembros de estos grupos de forma predeterminada a medida que la red está en funcionamiento. El estado de los miembros no se puede modificar. o o o o Todos incluye a todos los usuarios remotos y locales con acceso al equipo. También contiene todas las cuentas, excepto las que el Administrador del dominio ha creado. Creado por/Propietario incluye al usuario que creado o ha obtenido la propiedad de un recurso. Este grupo se puede utilizar para administrar el acceso a los archivos y las carpetas sólo en volúmenes NTFS. Red incluye a cualquier usuario que esté conectado a un recurso compartido en su equipo desde otro equipo de la red Interactivo incluye automáticamente a cualquier usuario que esté conectado localmente al equipo. Los miembros interactivos pueden acceder a recursos en el equipo al que están conectados.