X09 8484704 PDF

Contenido Introduccin Leccin: Introduccin a las cuentas Leccin: Creacin y administracin de varias cuentas Leccin: Implementacin de los sufijos
de nombre principal de usuario Leccin: Movimiento de objetos en Active Directory Leccin: Planeamiento de una estrategia de cuentas de usuario, grupo y equipo Leccin: Planeamiento de una estrategia de auditora de Active Directory Prctica A: Implementacin de una estrategia de cuentas y de auditora
Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

1 2 9 22 33 44 57 62
La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint, Visio, Visual Basis, Visual C++ y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas comerciales de sus respectivos propietarios.
iii
Notas para el instructor

Presentacin: 120 minutos Prctica: 60 minutos Este mdulo proporciona a los alumnos los conocimientos y capacidades necesarios para planear e implementar cuentas de usuario, grupo y equipo en el servicio de directorio Active Directory de Microsoft Windows Server 2003. Adems, explica cmo crear varias cuentas de usuario y equipo mediante las herramientas de lnea de comandos, tales como Csvde y Ldifde, y administrar cuentas mediante Microsoft Windows Script Host. El presente mdulo tambin expone la forma de implementar los sufijos de nombre principal de usuario (UPN, User Principle Name). Despus de completar este mdulo, los alumnos podrn:

Describir los tipos de cuentas y grupos de Active Directory. Crear varias cuentas de usuario y equipo. Implementar sufijos UPN. Mover objetos dentro de un dominio y entre dominios en un bosque. Planear una estrategia para cuentas de usuario, equipo y grupo. Planear una estrategia de auditora de Active Directory.
Material necesario
Para impartir este mdulo, necesitar el material siguiente:
Archivo 2196A_04.ppt de Microsoft PowerPoint
Tareas de preparacin
Para preparar este mdulo, debe:
Leer todo el material del mismo. A lo largo del mdulo, prever las preguntas que puedan formular los alumnos y preparar las respuestas para cada una de ellas. Realizar la prctica. Examinar los ejercicios, las preguntas de evaluacin y las respuestas que se proporcionan. Prever, cuando sea posible, respuestas alternativas que puedan sugerir los alumnos y preparar las rplicas para dichas respuestas.
Configuracin del aula
En esta seccin se proporcionan las instrucciones de necesarias con el fin de preparar la configuracin del aula o del equipo del instructor para una prctica.
Preparacin para la prctica

Ejecute el archivo UpnSuffixes.vbs de Windows Script Host que se encuentra en el servidor London antes de que los alumnos comiencen la prctica de este mdulo. El archivo se encuentra en la carpeta Setup del disco compacto Material del instructor.
iv
Recomendaciones para impartir este mdulo

En esta seccin se incluye informacin para ayudarle a impartir este mdulo. Importante Este mdulo contiene evaluaciones de cada leccin que se encuentran en el disco compacto Material del alumno. Puede utilizarlas como valoraciones previas para ayudar a los alumnos a identificar reas de dificultad, o bien como valoraciones posteriores para validar el aprendizaje. Considere la posibilidad de utilizarlas para reforzar la leccin al final del da. Tambin puede usarlas al principio del da como revisin del contenido impartido el da anterior. D 10 minutos a los alumnos para preparar las respuestas a las preguntas de evaluacin. Puede optar por debatir las preguntas y respuestas todos juntos o pedir a los alumnos que preparen las respuestas ellos solos. Nota En algunos temas se hace referencia a informacin adicional que encontrar en los apndices. Los alumnos no necesitan esta informacin complementaria para realizar las tareas de este mdulo. Antes de impartir la clase, revise esta informacin en la pgina de los apndices del disco compacto Material del alumno. Durante la clase, sugiera a los alumnos que consulten la pgina de los apndices para obtener informacin adicional. Pginas de instrucciones, ejercicios y prcticas Explique a los alumnos el diseo para este curso de las pginas de instrucciones, los ejercicios y las prcticas. Un mdulo incluye dos lecciones o ms. La mayor parte de las lecciones contienen pginas de instrucciones y un ejercicio. Una vez que los alumnos completen las lecciones, el mdulo finaliza con una prctica.
Pginas de instrucciones
Las pginas de instrucciones estn diseadas para que el instructor demuestre cmo llevar a cabo una tarea. Los alumnos no tienen que realizar con el instructor las tareas de la pgina de instrucciones. Seguirn los pasos que se indiquen para efectuar el ejercicio al final de cada leccin.
Ejercicios
Despus de introducir un tema y de realizar las demostraciones de los procedimientos de la leccin, explique que los ejercicios proporcionan a los alumnos la oportunidad de llevar a cabo las tareas tratadas en la leccin.
Prcticas
Al final de cada mdulo, los alumnos utilizan la prctica para realizar las tareas que se explican en el mdulo. Cada prctica presenta una situacin de ejemplo que tiene que ver con la funcin de trabajo y un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo, crear un grupo). La columna de la derecha contiene instrucciones especficas para realizar la tarea (por ejemplo: En Usuarios y equipos de Active Directory, haga doble clic en el nodo de dominio). En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada prctica, por si los alumnos necesitan instrucciones paso a paso para completarla. Tambin pueden remitirse a los ejercicios y a las pginas de instrucciones del mdulo.
Leccin: Introduccin a las cuentas

En esta seccin, se describen los mtodos didcticos para impartir cada tema de esta leccin. El conocimiento de la informacin de esta leccin es requisito para este curso. Utilice la informacin del tema Tipos de cuentas como revisin. Al presentar el tema Tipos de grupos, cntrese en los grupos de seguridad. Basta con que los alumnos comprendan slo la intencin de los grupos de distribucin. Al introducir los temas Qu son los grupos locales de dominio, Qu son los grupos globales y Qu son los grupos universales, asegrese de que los alumnos comprenden cundo deben utilizar estos distintos tipos de grupos. Ejercicio En esta leccin no se realiza ningn ejercicio.
Leccin: Creacin y administracin de varias cuentas

Al presentar el tema Herramientas para crear y administrar varias cuentas, asegrese de que los alumnos son conscientes de que al utilizar Csvde para crear cuentas, stas tendrn las contraseas en blanco. Demuestre los procedimientos para crear cuentas utilizando las herramientas de lnea de comandos Csvde y Ldifde. Remita a los alumnos a los apndices para obtener una lista de opciones comunes que se utilizan con Csvde. Cree una secuencia de comandos de Windows Script Host que agregue una cuenta de usuario a Active Directory. Remita a los alumnos a los apndices para obtener una secuencia de comandos de ejemplo que cree una cuenta de usuario. Ejercicio Tras completar esta leccin, los alumnos crearn un archivo de secuencia de comandos para crear tres cuentas de usuario. A continuacin, ejecutarn el archivo de secuencia de comandos y utilizarn Usuarios y equipos de Active Directory para comprobar que se han creado los usuarios.
Leccin: Implementacin de los sufijos de nombre principal de usuario

Cuando presente el tema Qu es un nombre principal de usuario, asegrese de que los alumnos comprenden las ventajas de utilizar nombres principales de usuario (UPN, User Principal Name) y las reglas sobre exclusividad de los nombres de inicio de sesin de usuario. Tras ofrecer la presentacin multimedia Funcionamiento del enrutamiento de los sufijos de nombre, resuma los puntos clave. Demuestre cmo crear y quitar un sufijo UPN. Asimismo, demuestre cmo habilitar y deshabilitar el enrutamiento de los sufijos de nombre en las confianzas. Ejercicio Al final de esta leccin, los alumnos crearn un sufijo de nombre para un dominio de segundo nivel y habilitarn el enrutamiento de los sufijos de nombre en dos bosques.
vi
Leccin: Movimiento de objetos en Active Directory

El proceso de traslado de objetos de Active Directory, como una cuenta de usuario, tiene distintas ramificaciones. Por ejemplo, cuando se traslade una cuenta de usuario, el usuario puede perder todos sus mensajes de correo electrnico. Al presentar el tema Consecuencias del traslado de objetos, asegrese de que los alumnos comprenden dichas consecuencias. Al presentar los temas Cmo trasladar objetos dentro de un dominio y Cmo trasladar objetos entre dominios, demuestre cmo se trasladan los objetos dentro de un dominio y entre dominios. Demuestre tambin cmo utilizar LDP.exe para ver las propiedades de los objetos trasladados. Ejercicio Al final de esta leccin, los alumnos trasladarn una cuenta de usuario de un dominio a otro y, a continuacin, vern las propiedades del identificador de seguridad (SID, Security Identifier), el historial de SID y el identificador nico global (GUID, Globally Unique Identifier) para comprobar que dichas propiedades han cambiado.
Leccin: Planeamiento de una estrategia de cuentas de usuario, grupo y equipo

En esta leccin se presentan directrices para nombrar cuentas, crear una directiva de contraseas y desarrollar estrategias para grupos y para la autenticacin, autorizacin y administracin de cuentas. Fomente los debates en grupo sobre estos temas. Facilite estos debates con moderacin de forma que se mantenga la atencin de los alumnos y que se evite invertir mucho tiempo en este tema. Ejercicio Al final de esta leccin, los alumnos planearn una estrategia de nombres de cuentas, de directiva de contraseas, de autenticacin, autorizacin y administracin, as como de grupo para un bosque basndose en una situacin ficticia.
Leccin: Planeamiento de una estrategia de auditora de Active Directory

En esta leccin se presentan las directrices para los cambios de auditora en Active Directory. Al presentar los temas de esta leccin, utilice cualquier experiencia personal que tenga sobre el planeamiento de una estrategia de auditora para ayudar a reforzar la informacin de los temas. Ejercicio Al final de esta leccin, los alumnos planearn una estrategia de auditora basndose en una situacin determinada.
vii
Prctica A: Implementacin de una estrategia de cuentas y de auditora

En esta prctica, los alumnos planearn e implementarn una estrategia de cuentas. Crearn varias cuentas de usuario utilizando la herramienta de lnea de comandos Csvde. Los alumnos tambin crearn un sufijo UPN y, a continuacin, solucionarn un conflicto de enrutamiento de sufijo UPN entre dos bosques. Por ltimo, trabajando en parejas, los alumnos trasladarn un grupo de usuarios entre sus dominios respectivos y visualizarn los cambios en las propiedades del SID y el historial SID de las cuentas trasladadas.
Informacin de personalizacin
En esta seccin se muestran los requisitos de instalacin de la prctica de un mdulo y los cambios de configuracin que se producen en los equipos de los alumnos durante las prcticas. Esta informacin se incluye para ayudarle a replicar o personalizar el material del curso Microsoft Official Curriculum (MOC). Importante La prctica de este mdulo depende tambin de la configuracin del aula que se especifique en la seccin Informacin de personalizacin al final de la Gua de configuracin automatizada del aula para el curso 2196A: Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.
Configuracin de la prctica
En la lista que aparece a continuacin se indican los requisitos de configuracin para la prctica en este mdulo. Requisito de configuracin 1 Para las prcticas de este mdulo hay que configurar el equipo de cada alumno como un controlador de dominio en su propio bosque. Para preparar los equipos de los alumnos para que renan estos requisitos, complete la instalacin manual o automatizada de este curso y, a continuacin, complete las prcticas del mdulo 2, Implementacin de una estructura de dominios y bosques de Active Directory, del curso 2196A, Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.
viii
Resultados de la prctica
Al realizar la prctica en este mdulo, se introducen los siguientes cambios en la configuracin.
Se crean las siguientes unidades organizativas en cada dominio de alumno: IT Admin IT Users IT Groups NWTraders Groups Domain Local Global Universal IT Test IT Test Move Se crea un grupo global G IT Admins en cada dominio de alumno. Se crean 26 grupos locales de dominio denominados DL NombreDeEquipo OU Administrators. Se crea un grupo local de dominio denominado DL IT OU Administrators. Se crean 26 usuarios denominados NombreDeEquipoAdmin. Se agregan dos sufijos UPN NombreDeEquipo a cada bosque de alumno, uno por cada equipo de alumno del bosque.
Introduccin
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En este mdulo aprender acerca del planeamiento e implementacin de cuentas de usuario, grupo y equipo en el servicio de directorio Active Directory. Tambin aprender cmo crear varias cuentas de usuario y equipo y cmo implementar los sufijos de nombre principal de usuario (UPN, User Principle Name). Despus de finalizar este mdulo, podr:

Objetivos de la leccin
Describir los tipos de cuentas y grupos de Active Directory. Crear varias cuentas de usuario y equipo. Implementar sufijos UPN. Mover objetos dentro de un dominio y entre dominios en un bosque. Planear una estrategia para cuentas de usuario, equipo y grupo. Planear una estrategia de auditora de Active Directory.
Leccin: Introduccin a las cuentas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se describen los tipos de cuentas y grupos que puede crear en Microsoft Windows Server 2003. Tambin se describe el comportamiento de los grupos globales, locales de dominio y universales. Despus de finalizar esta leccin, podr:

Habilitacin de objetivos
Describir los tipos de cuentas que se pueden crear en Windows Server 2003. Describir los tipos de grupos que se pueden crear en Windows Server 2003. Describir el comportamiento de los grupos locales de dominio. Describir el comportamiento de los grupos globales. Describir el comportamiento de los grupos universales.
Tipos de cuentas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede crear tres tipos de cuentas en Active Directory: cuentas de usuario, grupo y equipo. Las cuentas de usuario y equipo de Active Directory representan una entidad fsica, como un equipo o una persona. Tambin puede utilizar cuentas de usuario como cuentas de servicio dedicadas para algunas aplicaciones. Una cuenta de usuario es un objeto almacenado en Active Directory que habilita un inicio de sesin nico, es decir, un usuario introduce su nombre y contrasea slo una vez cuando inicia sesin en una estacin de trabajo para obtener acceso autenticado a los recursos de la red. Hay tres tipos de cuentas de usuario, cada una con una funcin especfica.
Cuentas de usuario
Una cuenta de usuario local habilita a un usuario para que inicie sesin en un equipo especfico para tener acceso a los recursos de dicho equipo. Una cuenta de usuario de dominio habilita a un usuario para que inicie sesin en el dominio para tener acceso a los recursos de la red o que inicie sesin en un equipo individual para tener acceso a los recursos de dicho equipo. Una cuenta de usuario integrada habilita a un usuario para que realice tareas administrativas u obtenga acceso temporal a los recursos de la red.
Cuentas de equipo
Todo equipo con Microsoft Windows NT, Windows 2000 o Windows XP, o un servidor que ejecute Windows Server 2003 que se una a un dominio tiene una cuenta de equipo. Al igual que las cuentas de usuario, las cuentas de equipo proporcionan un modo de autenticar y auditar el acceso de los equipos a la red y a los recursos de dominio. Las cuentas de equipo deben ser nicas. Una cuenta de grupo es un conjunto de usuarios, equipos u otros grupos. Puede utilizar los grupos para administrar de un modo eficaz los recursos de dominio, lo que ayuda a simplificar la administracin. Cuando se utilizan grupos, se asignan permisos para recursos compartidos, tales como carpetas e impresoras, a usuarios individuales slo una vez en lugar de varias veces.
Cuentas de grupo
Tipos de grupos
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Hay dos tipos de grupos en Active Directory, grupos de distribucin y grupos de seguridad. Ambos tienen un atributo de mbito que determina quin puede ser miembro del grupo y dnde se puede utilizar dicho grupo en una red. Puede convertir un grupo de un grupo de seguridad a un grupo de distribucin y viceversa en cualquier momento, pero slo si el nivel funcional de dominio est establecido como Windows 2000 nativo o posterior. Puede utilizar grupos de distribucin slo con aplicaciones de correo electrnico, como Microsoft Exchange, para enviar mensajes a conjuntos de usuarios. Los grupos de distribucin no estn habilitados para seguridad, es decir, no se pueden enumerar en Listas de control de acceso discrecional (DACL, Discretionary Access Control List). Para controlar el acceso a los recursos compartidos, cree un grupo de seguridad. Los grupos de seguridad se utilizan para asignar derechos y permisos a los grupos de usuarios y equipos. Los derechos determinan los miembros de funciones de un grupo de seguridad que pueden trabajar en un dominio o bosque. Los permisos determinan los recursos a los que un miembro de un grupo puede tener acceso en la red. Un modo de utilizar grupos de seguridad de un modo eficaz es mediante anidamiento, es decir, agregando un grupo a otro. El grupo anidado hereda los permisos del grupo del que es miembro, lo que simplifica la asignacin de permisos a varios grupos al mismo tiempo y reduce el trfico que ocasiona la replicacin de los cambios de pertenencia a grupo. En un modo de dominio mixto, no se pueden anidar grupos que tengan el mismo mbito. Tanto los grupos de distribucin como los de seguridad admiten uno de los tres mbitos de grupo: local de dominio, global o universal. El nivel funcional de dominio determina el tipo de grupo que puede crear. En el modo Windows 2000 mixto no se pueden crear grupos de seguridad universales.
Grupos de distribucin
Grupos de seguridad
Qu son los grupos locales de dominio
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un grupo local de dominio es un grupo de seguridad o distribucin que puede contener grupos universales, globales, otros grupos locales de dominio de su propio dominio y cuentas de cualquier dominio del bosque. En los grupos de seguridad locales de dominio se pueden conceder derechos y permisos sobre recursos que residen slo en el mismo dominio en el que se encuentra el grupo local de dominio. Por ejemplo, podra crear un grupo de seguridad local de dominio denominado Setup y conceder los permisos del grupo a un recurso compartido denominado Configuracin en uno de los servidores miembro del dominio. Podra agregar grupos globales y universales como miembros del grupo local de dominio de configuracin. Los miembros podran tener permisos de acceso a la carpeta compartida de configuracin. Pertenencia, mbito y permisos de grupos locales de dominio Las siguientes reglas se aplican a la pertenencia, el mbito y los permisos de los grupos locales de dominio:
Pertenencia. En el modo Windows 2000 mixto, los grupos locales de dominio pueden contener cuentas de usuario y grupos globales de cualquier dominio. En el modo Windows 2000 nativo, los grupos locales de dominio pueden contener cuentas de usuario, grupos globales, grupos universales de cualquier dominio de confianza y grupos locales de dominio del mismo dominio. Puede ser miembro. En el modo Windows 2000 mixto, un grupo local de dominio no puede ser miembro de ningn grupo. En el modo Windows 2000 nativo, un grupo local de dominio puede ser miembro de grupos locales de dominio del mismo dominio. mbito. Un grupo local de dominio se puede ver slo en su propio dominio. Permiso. Puede asignar un permiso que se aplique al dominio en el que existe el grupo local de dominio.
Cundo utilizar grupos locales de dominio
Utilice un grupo local de dominio cuando desee asignar permisos de acceso a recursos que se encuentren en el mismo dominio en el que se cre el grupo local de dominio. Puede agregar todos los grupos globales que deban compartir los mismos recursos al grupo local de dominio adecuado.
Qu son los grupos globales
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un grupo global es un grupo de seguridad o distribucin que puede contener usuarios, grupos y equipos como miembros de su propio dominio. Puede conceder derechos y permisos a los grupos de seguridad globales para los recursos de cualquier dominio del bosque. Utilice un grupo global para organizar a los usuarios que comparten las mismas tareas y tienen requisitos de acceso de red parecidos, como, por ejemplo, todos los contables del departamento de contabilidad de una organizacin. Pertenencia, mbito y permisos de grupos globales Las siguientes reglas se aplican a la pertenencia, el mbito y los permisos de los grupos globales:
Pertenencia. En el modo Windows 2000 mixto, un grupo global puede incluir cuentas de usuario del mismo dominio. En el modo Windows 2000 nativo y en el modo de Windows Server 2003, los grupos globales pueden contener cuentas de usuario y grupos globales del mismo dominio. Puede ser miembro. En el modo Windows 2000 mixto, un grupo global puede ser un miembro de los grupos locales de dominio en cualquier dominio de confianza. En el modo Windows 2000 nativo y en el modo de Windows Server 2003, un grupo global puede ser miembro de grupos universales y locales de dominio de cualquier dominio y tambin puede ser miembro de grupos globales del mismo dominio. mbito. Un grupo global se puede ver en su dominio y en todos los dominios de confianza, que incluyen todos los dominios del bosque. Permisos. Puede asignar un permiso a un grupo global que se aplique a todos los dominios de confianza.
Cundo utilizar grupos globales
Debido a que los grupos globales se pueden ver en el bosque, no los cree para conceder a los usuarios acceso a recursos especficos de dominio. Utilice grupos globales para organizar usuarios o grupos de usuarios. Un grupo local de dominio es ms adecuado para controlar el acceso de usuario a los recursos dentro de un nico dominio.
Qu son los grupos universales
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un grupo universal es un grupo de seguridad o distribucin que puede contener usuarios, grupos y equipos como miembros de cualquier dominio de su bosque. Se pueden conceder derechos y permisos a los grupos de seguridad universales sobre los recursos de cualquier dominio del bosque. Las siguientes reglas se aplican a la pertenencia, el mbito y los permisos de los grupos universales:
Pertenencia, mbito y permisos de grupos universales
Pertenencia. No se pueden crear grupos de seguridad universales en el modo Windows 2000 mixto. Tanto en el modo Windows 2000 nativo como en el modo de Windows Server 2003, los grupos universales pueden contener cuentas de usuario, grupos globales y otros grupos universales de cualquier dominio del bosque. Puede ser miembro. El grupo universal no se puede aplicar en el modo Windows 2000 mixto. En el modo Windows 2000 nativo, un grupo universal puede ser miembro de grupos locales de dominio y universales de cualquier dominio. mbito. Los grupos universales se pueden ver en todos los dominios del bosque. Permisos. Puede asignar un permiso a un grupo universal que se aplique a todos los dominios del bosque.
Cundo utilizar grupos universales
Utilice grupos universales cuando desee anidar grupos globales. De este modo, puede asignar permisos a los recursos relacionados de varios dominios. Un dominio de Windows Server 2003 debe estar en modo Windows 2000 nativo o en modo de Windows Server 2003 para utilizar grupos de seguridad universales. Puede utilizar grupos de distribucin universales en un dominio de Windows Server 2003 que est en modo Windows 2000 mixto o posterior.
Leccin: Creacin y administracin de varias cuentas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivos de la leccin En esta leccin se describen las distintas herramientas de lnea de comandos que puede utilizar para crear y administrar varias cuentas de usuario. Despus de finalizar esta leccin, podr:

Describir las herramientas para crear y administrar varias cuentas. Utilizar la herramienta de lnea de comandos Csvde para crear cuentas. Utilizar la herramienta de lnea de comandos Ldifde para crear y administrar cuentas. Crear y administrar cuentas utilizando Windows Script Host.
10
Herramientas para crear y administrar varias cuentas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Windows Server 2003 proporciona varios complementos Microsoft Management Console (MMC) y herramientas para crear varias cuentas de usuario automticamente en Active Directory. Algunas de estas herramientas requieren el uso de un archivo de texto que contenga informacin sobre las cuentas de usuario que desee crear. Tambin puede crear secuencias de comandos para agregar objetos o realizar cambios en objetos de Active Directory. Usuarios y equipos de Active Directory es un complemento MMC que puede utilizar para administrar cuentas de usuario, equipo y grupo. Utilice este complemento cuando el nmero de cuentas que administre sea pequeo. Tambin puede utilizar las herramientas de lnea de comandos Dsadd, Dsmod y Dsrm para administrar cuentas de usuario, equipo y grupo en Active Directory. Debe especificar el tipo de objeto que desee crear, modificar o eliminar. Por ejemplo, utilice el comando dsadd user para crear una cuenta de usuario. Utilice el comando dsrm group para eliminar una cuenta de grupo. Aunque puede utilizar las herramientas del servicio de directorio para crear slo un objeto de Active Directory cada vez, puede utilizar las herramientas en los archivos por lotes y las secuencias de comandos.
Usuarios y equipos de Active Directory Herramientas del servicio de directorio
11
Herramienta Csvde
La herramienta de lnea de comandos Csvde utiliza un archivo de texto separado por comas, tambin denominado formato de valores separados por comas (formato Csvde) como entrada para crear varias cuentas en Active Directory. Se utiliza el formato Csvde para agregar objetos de usuario y otros tipos de objetos a Active Directory. No puede utilizar el formato Csvde para eliminar o modificar objetos en Active Directory. Antes de importar un archivo Csvde, asegrese de que el archivo tiene el formato adecuado. El archivo de entrada:
Debe incluir la ruta a la cuenta de usuario en Active Directory, el tipo de objeto, que es la cuenta de usuario, y el nombre de inicio de sesin de usuario (para Windows NT 4.0 y anterior). Debe incluir el nombre principal de usuario (UPN) y si la cuenta de usuario est habilitada o deshabilitada. Si no especifica un valor, la cuenta se deshabilita. Puede incluir informacin personal, por ejemplo, los nmeros de telfono o el domicilio. Incluya toda la informacin de cuenta de usuario posible para que los usuarios puedan buscar en Active Directory correctamente. No puede incluir contraseas. La importacin masiva deja la contrasea en blanco para las cuentas de usuario. Puesto que una contrasea en blanco permite que una persona no autorizada tenga acceso a la red slo con el nombre de inicio de sesin de usuario, deshabilite las cuentas de usuario hasta que los usuarios comiencen a iniciar sesin.
Para editar y dar formato al archivo de texto de entrada, utilice una aplicacin que tenga una buena capacidad de edicin, como Microsoft Excel o Microsoft Word. A continuacin, guarde el archivo como archivo de texto separado por comas. Puede exportar datos de Active Directory a una hoja de clculo de Excel o importar datos de una hoja de clculo a Active Directory. Herramienta Ldifde La herramienta de lnea de comandos Ldifde utiliza un formato de valor separado por lneas para crear, modificar y eliminar objetos en Active Directory. Un archivo de entrada Ldifde consta de una serie de registros separados por una lnea en blanco. Un registro describe un objeto nico o un conjunto de modificaciones a los atributos de un objeto existente y consta de una o ms lneas del archivo. La mayora de las aplicaciones de base de datos pueden crear archivos de texto que puede importar en uno de estos formatos. Los requisitos para el archivo de entrada son parecidos a los de la herramienta de lnea de comandos Csvde. Puede crear secuencias de comandos de Windows Script Host que utilicen Active Directory Service Interface (ADSI) para crear, modificar y eliminar objetos de Active Directory. Utilice secuencias de comandos cuando desee cambiar los valores de atributos para varios objetos de Active Directory o cuando los criterios de seleccin de estos objetos sean complejos.
Windows Script Host
12
Cmo crear cuentas con la herramienta Csvde
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede utilizar la herramienta de lnea de comandos Csvde para crear varias cuentas en Active Directory. Slo puede utilizar la herramienta Csvde para crear cuentas, no para cambiarlas. Para crear cuentas con la herramienta de lnea de comandos Csvde, realice los siguientes pasos: 1. Cree el archivo Csvde de importacin. Aplique formato al archivo para que contenga la informacin siguiente: Lnea de atributos. Se trata de la primera lnea del archivo. Especifica el nombre de cada atributo que desee definir para las nuevas cuentas de usuario. Puede colocar los atributos en cualquier orden, pero debe separar los atributos con comas. El siguiente cdigo de muestra es un ejemplo de una lnea de atributos:
DN,objectClass,sAMAccountName,userPrincipalName, displayName,userAccountControl
Procedimiento
Lnea de cuenta de usuario. Para cada cuenta de usuario que cree, el archivo de importacin contiene una lnea que especifica el valor de cada atributo de la lnea de atributos. Las siguientes reglas se aplican a los valores en una lnea de cuenta usuario: Los valores de atributo deben seguir la secuencia de la lnea de atributos. Si falta un valor para un atributo, djelo en blanco, pero incluya todas las comas. Si un valor contiene comas, incluya el valor entre comillas.
13
El siguiente cdigo de muestra es un ejemplo de una lnea de cuenta de usuario:

"cn=Cristina Martnez,ou=Human Resources,dc=asia,dc=contoso, dc=msft",user,cristinam,cristinam@contoso.msft,Cristina Martnez,514
Esta tabla proporciona los atributos y valores del ejemplo anterior.

Atributo DN (nombre completo) objectClass sAMAccountName userPrincipalName displayName userAccountControl Valor cn=Cristina Martnez,ou=Human Resources, dc=asia,dc=contoso,dc=msft (Especifica la ruta a la unidad organizativa que contiene la cuenta de usuario.) User cristinam cristinam@contoso.msft Cristina Martnez 514 (El valor 514 deshabilita la cuenta de usuario y el 512 la habilita.)
Los atributos de esta tabla son los atributos mnimos necesarios para ejecutar csvde. Importante No puede utilizar Csvde para crear cuentas de usuario habilitadas si la poltica de contraseas de dominio requiere una longitud de contrasea mnima o contraseas complejas. En este caso, utilice un valor userAccountControl de 514, que deshabilita la cuenta de usuario y, a continuacin, habilite la cuenta utilizando Windows Script Host o Usuarios y equipos de Active Directory. 2. Ejecute el comando csvde escribiendo el siguiente comando en el smbolo del sistema:
csvde i f nombreArchivo b NombreUsuario Dominio Contrasea
Donde: -i indica que est importando un archivo a Active Directory -f indica que el siguiente parmetro es el nombre del archivo que est importando b establece el comando para que se ejecute como nombre de usuario, dominio y contrasea.
14
El comando csvde proporciona informacin de estado sobre el xito o el fallo del proceso. Tambin enumera el nombre del archivo que se va a ver para proporcionar informacin de error detallada. Aunque la informacin de estado indique que el proceso ha sido correcto, utilice Usuarios y equipos de Active Directory para comprobar algunas de las cuentas de usuario creadas para garantizar que contienen toda la informacin proporcionada. Nota Para obtener ms informacin acerca de las opciones comunes utilizadas con la herramienta de lnea de comandos Csvde, consulte Cmo crear cuentas con la herramienta Csvde del mdulo 4 en la pgina de los apndices del disco compacto Material del alumno. Asimismo, consulte los temas del Centro de ayuda y soporte tcnico de Windows Server 2003.
15
Cmo crear y administrar cuentas con la herramienta Ldifde
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Procedimiento Puede utilizar la herramienta de lnea de comandos Ldifde para crear y realizar cambios en varias cuentas. Para crear cuentas con la herramienta de lnea de comandos Ldifde, realice los siguientes pasos: 1. Prepare el archivo Ldifde de importacin. Aplique formato al archivo Ldifde para que contenga un registro que conste de una secuencia de lneas que describa una entrada para una cuenta de usuario o un conjunto de cambios para una cuenta de usuario de Active Directory. La entrada de cuenta de usuario especifica el nombre de cada atributo que desee definir para la nueva cuenta de usuario. El esquema de Active Directory define los nombres de atributos. Para cada cuenta de usuario que cree, el archivo contiene una lnea que especifica el valor de cada atributo de la lnea de atributos. Las siguientes reglas se aplican a los valores para cada atributo: Las lneas que comiencen con un signo de almohadilla (#) son lneas de comentario y se ignoran al ejecutar el archivo Ldifde. Si falta un valor para un atributo, se debe representar como AttributeDescription ":" FILL SEP. El siguiente cdigo de muestra es un ejemplo de una entrada en un archivo de importacin Ldifde:
# Crear Cristina Martnez dn: cn=Crsitina Martnez,ou=Human Resources,dc=asia,dc=contoso,dc=msft Changetype: Add objectClass: user sAMAccountName: cristinam userPrincipalName: cristinam@contoso.msft displayName: Cristina Martnez userAccountControl: 514
16
La tabla siguiente proporciona los atributos y valores del ejemplo anterior.

Atributo # DN Changetype objectClass sAMAccountName userPrincipalName displayName userAccountControl Valor de atributo Crear Cristina Martnez (El carcter # indica que esta lnea es un comentario.) cn=Cristina Martnez, ou=Human Resources, dc=asia,dc=contoso,dc=msft (Este valor especifica la ruta al contenedor del objeto.) Add user cristinam cristinam@contoso.msft Cristina Martnez 512
2. Ejecute el comando ldifde para importar el archivo y crear varias cuentas de usuario en Active Directory. Escriba el siguiente comando en el smbolo del sistema:
ldifde i k f nombreArchivo Contrasea b NombreUsuario Dominio
Donde: -i indica el modo de importacin. Si no se especifica, el modo por defecto es de exportacin. -k ignora fallos durante una operacin de importacin y continua con el procesamiento. -f indica el nombre del archivo de importacin o exportacin. -b indica el nombre de usuario, nombre de dominio y contrasea para lacuenta de usuario que se va a utilizar para realizar la operacin de importacin o exportacin.
17
Cmo crear y administrar cuentas utilizando Windows Script Host
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede crear objetos de Active Directory a partir de secuencias de comandos de Windows Script Host utilizando ADSI. La creacin de un objeto de Active Directory es un proceso de cuatro pasos, como se muestra en el procedimiento siguiente. Para crear un objeto de Active Directory, como una cuenta de usuario en un dominio, realice los pasos siguientes: 1. Utilice el Bloc de notas para crear un archivo de texto con extensin .vbs. Introduzca los siguientes comandos en el archivo y, a continuacin, guarde el archivo. a. Conctese al contenedor en el que desee crear el objeto de Active Directory especificando la consulta de Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol).
Set objOU = GetObject("LDAP://ou=management,dc=fabrikam,dc=com")
Procedimiento para crear un objeto de Active Directory
Importante En el ejemplo anterior, LDAP debe tener todas las letras en mayscula o el comando no se ejecutar. b. Cree el objeto de Active Directory y especifique la clase de objeto y el nombre del objeto.
Set objUser = objOU.Create("User", "cn=AlzagaGuillermo")
c. Establezca las propiedades del objeto de Active Directory.

objUser.Put "sAMAccountName", "alzagaguillermo"
18
d. Escriba la informacin en la base de datos de Active Directory.

objUser.SetInfo
Las propiedades de determinados objetos de Active Directory no se pueden definir al crearlas. Por ejemplo, cuando se crea una cuenta de usuario, no puede habilitar la cuenta o enviar su contrasea. Slo puede establecer estas propiedades tras crear el objeto, como se muestra en el cdigo de muestra siguiente:
objUser.AccountDisabled = FALSE objUser.ChangePassword "", "jl3R86df" objUser.SetInfo
e. Guarde el archivo con extensin .vbs. 2. Ejecute la secuencia de comandos del siguiente comando en un smbolo del sistema:
Wscript.exe nombreArchivo
donde nombreArchivo es el nombre del archivo de secuencia de comandos creado en el paso anterior. Nota Para que una secuencia de comandos de ejemplo cree una cuenta de usuario, consulte Cmo crear y administrar cuentas utilizando Windows Script Host del mdulo 4 en la pgina de los apndices del disco compacto Material del alumno. Procedimiento para cambiar el valor de una propiedad Para cambiar el valor de una propiedad de un objeto de Active Directory, como el nmero de telfono de un usuario, abra el Bloc de notas para crear un archivo de texto, agregue los siguientes comandos al archivo y, a continuacin, ejecute el archivo de secuencia de comandos inicindolo desde un smbolo del sistema: 1. Conctese al objeto al que se cambiar la propiedad.
Set objUser = GetObject _ ("LDAP://cn=alzagaguillermo,ou=OUPrueba,dc=nwtraders, dc=msft")
2. Establezca el nuevo valor de la propiedad, por ejemplo, el nmero de despacho de un empleado que se haya trasladado a una nueva oficina.
objUser.Put "physicalDeliveryOfficeName", "Despacho 4358"
3. Escriba el cambio en Active Directory.

objUser.SetInfo
19
4. Guarde el archivo con extensin .vbs. 5. Ejecute la secuencia de comandos del siguiente comando en un smbolo del sistema:
wscript.exe nombreArchivo
donde nombreArchivo es el nombre del archivo de secuencia de comandos creado en el paso anterior. Nota Para obtener ms informacin acerca de la creacin de secuencias de comandos administrativas con Windows Script Host, consulte el centro Microsoft TechNet Script Center en www.microsoft.com/technet/treeview/ default.asp?url=/technet/scriptcenter/default.asp. Consulte tambin el curso 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows Script Host Essentials (en ingls).
20
Ejercicio: Creacin de cuentas de usuario
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos En este ejercicio crear y ejecutar un archivo de secuencia de comandos para crear una cuenta de usuario y, a continuacin, verificar que dicha cuenta est creada. Northwind Traders ha contratado a un nuevo comercial, Delia Ceballos. Debe crear su nombre de inicio de sesin de usuario. La convencin actual en Northwind Traders es utilizar el nombre del usuario y las tres primeras letras de su apellido. Utilizar Windows Script Host para crear esta cuenta de usuario en la unidad organizativa NombreDeEquipo\Sales. Para crear una cuenta de usuario, realice los siguientes pasos: 1. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd 2. Utilice el Bloc de notas para crear un archivo de secuencia de comandos para crear la nueva cuenta de usuario. a. Abra el Bloc de notas. b. Escriba la secuencia para crear la cuenta de usuario. c. En el men Archivo, haga clic en Guardar como. d. En el cuadro Nombre, escriba createusers.vbs e. En el cuadro Tipo, seleccione Todos los archivos. f. Haga clic en Guardar.
Situacin de ejemplo
Ejercicio
21
3. Ejecute el archivo de secuencia de comandos. a. Haga clic en Inicio, haga clic con el botn secundario del mouse (ratn) en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como. b. En el cuadro de dilogo Ejecutar como, haga clic en El siguiente usuario, escriba SuDominio\Administrador como nombre de usuario con la contrasea P@ssw0rd y haga clic en Aceptar. c. Cambie el directorio a la carpeta en la que se guard el archivo createusers.vbs. d. En el smbolo del sistema, escriba wscript.exe createusers.vbs 4. Utilice Usuarios y equipos de Active Directory para comprobar que el usuario se ha creado. a. Abra Usuarios y equipos de Active Directory. b. En el rbol de la consola, haga clic en Sales. c. En el panel de detalles, examine las cuentas de usuario enumeradas. El siguiente es un archivo de respuestas de ejemplo.
Set objOU = GetObject("LDAP://OU=Sales,OU=Vancouver,dc=nwtraders1,dc=msft") Set objUser = objOU.Create("User", "cn=DeliaCeb") objUser.Put "sAMAccountName", "DeliaCeb" objUser.SetInfo objUser.AccountDisabled = FALSE objUser.ChangePassword "", "P@ssw0rd" objUser.Put "userPrincipalName", "DeliaCeb@nwtraders1.msft" objUser.SetInfo
22
Leccin: Implementacin de los sufijos de nombre principal de usuario
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En este tema se describe el objetivo de los UPN. Explica cmo se enruta un sufijo UPN en un entorno de confianza y cmo se crean, eliminan, habilitan, deshabilitan y excluyen enrutamientos de los sufijos de nombre en las confianzas entre bosques. Despus de finalizar esta leccin, podr:

Describir la finalidad de un UPN. Explicar cmo se enruta un sufijo UPN en un entorno de confianza. Describir cmo se detectan y resuelven los conflictos de sufijos de nombre. Crear y quitar un sufijo UPN. Habilitar, deshabilitar y excluir enrutamientos de los sufijos de nombre en confianzas entre bosques.
23
Qu es un nombre principal de usuario
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En una red de Windows Server 2003, un usuario puede iniciar sesin mediante un nombre principal de usuario o un nombre de inicio de sesin de usuario (Windows NT 4.0 y anterior). Los controladores de dominio pueden utilizar el nombre principal de usuario o el nombre de inicio de sesin de usuario para autenticar la solicitud de inicio de sesin. Un nombre principal de usuario es un nombre de inicio de sesin que slo se utiliza para conectarse a una red de Windows Server 2003. Este nombre tambin se denomina nombre de inicio de sesin de usuario. Existen dos partes en un nombre principal de usuario, separadas por el signo @, por ejemplo cristinam@contoso.msft:

Qu es un nombre principal de usuario
El prefijo de nombre principal de usuario, que en este ejemplo es cristinam. El sufijo de nombre principal de usuario, que en este ejemplo es contoso.msft. De forma predeterminada, el sufijo es el nombre del dominio en el que se cre la cuenta de usuario. Puede utilizar los dems dominios de la red, o sufijos adicionales que cree, para configurar otros sufijos de usuarios. Por ejemplo, puede configurar un sufijo para crear nombres de inicio de sesin de usuario que coincidan con las direcciones de correo electrnico de los usuarios.
24
Ventajas de utilizar nombres principales de usuario
El uso de nombres principales de usuario tiene las ventajas siguientes:
No se cambian al trasladar una cuenta de usuario a un dominio distinto porque el nombre es nico en el bosque de Active Directory. Pueden coincidir con el nombre de la direccin de correo electrnico de un usuario porque tiene el mismo formato que una direccin de correo electrnico estndar.
Reglas de exclusividad para nombres de inicio de sesin de usuario
Los nombres de inicio de sesin de usuario para cuentas de usuario de dominio deben cumplir las siguientes reglas de exclusividad en Active Directory:
El nombre completo debe ser nico en el contenedor en el que se crea la cuenta de usuario. El nombre completo se utiliza como nombre completo relativo. El nombre principal de usuario debe ser nico en el bosque.
25
Presentacin multimedia: Funcionamiento del enrutamiento de los sufijos de nombres
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Ubicacin de los archivos Para ver la presentacin multimedia Funcionamiento del enrutamiento de los sufijos de nombres, abra la pgina Web del disco compacto Material del alumno, haga clic en Multimedia y, a continuacin, haga clic en el ttulo de la presentacin. No abra esta presentacin a menos que el instructor lo indique. Al final de esta presentacin, podr explicar el funcionamiento del enrutamiento de los sufijos de nombre en Active Directory. El enrutamiento de los sufijos de nombre es un mecanismo que proporciona la resolucin de nombres entre bosques. Los bosques pueden contener varios sufijos de nombre. Cuando dos bosques de Windows Server 2003 se conectan mediante una confianza de bosque, los sufijos de nombre de dominio que existan en ambos bosques enrutan solicitudes de autenticacin. Por lo tanto, cualquier solicitud de autenticacin realizada desde el bosque A a un sufijo que resida en el bosque B se enruta correctamente a su recurso de destino. Los sufijos de nombre que slo existen en un bosque se pueden enrutar a un segundo bosque. Cuando se agrega un nuevo dominio secundario (por ejemplo, child.contoso.com) a un sufijo de nombre de dominio de segundo nivel (por ejemplo, contoso.com), el dominio secundario hereda la configuracin del enrutamiento del dominio de segundo nivel al que pertenece. Los nuevos sufijos de nombre de segundo nivel creados tras haber establecido una confianza de bosque se pueden ver en el cuadro de dilogo Propiedades de esa confianza de bosque. Sin embargo, el enrutamiento de sufijos para los rboles de dominios creados despus de establecer la confianza est deshabilitado de forma predeterminada. Debe habilitarse manualmente el enrutamiento de estos sufijos. Cuando Active Directory detecta un sufijo de nombre duplicado, el enrutamiento del sufijo de nombre ms reciente se deshabilita de forma predeterminada. Se puede utilizar el cuadro de dilogo Propiedades para habilitar o deshabilitar manualmente el enrutamiento para sufijos de nombre individuales.
Objetivos Puntos clave
26
Cmo se detectan y resuelven los conflictos de sufijos de nombre
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Cuando dos bosques de Windows Server 2003 estn vinculados mediante una confianza de bosque, el sufijo de nombre de dominio de segundo nivel o un sufijo UPN que exista en un bosque pueden entrar en conflicto con un sufijo de nombre parecido del segundo bosque. Al detectar conflictos, el Asistente para nueva confianza garantiza que slo un bosque est autorizado para un sufijo de nombre determinado. El Asistente para nueva confianza detecta conflictos de sufijos de nombre cuando se produce alguna de las situaciones siguientes:
Deteccin de conflictos
Ya se est utilizando el mismo nombre del Sistema de nombres de dominio (DNS, Domain Name System). Ya se est utilizando el mismo nombre NetBIOS. El identificador de seguridad (SID, security ID) del dominio entra en conflicto con otro SID de sufijo de nombre.
Por ejemplo, suponga que desea establecer una confianza de bosque bidireccional entre los bosques contoso.com y fabrikam.com. Tanto contoso.com como fabrikam.com tienen el mismo sufijo UPN: nwtraders.msft. Al crear la confianza de bosque bidireccional, el Asistente para nueva confianza detecta y muestra el conflicto entre los dos sufijos UPN.
27
Cmo se resuelven los conflictos
El Asistente para nueva confianza deshabilita automticamente un sufijo de nombre de dominio de segundo nivel si existe este mismo sufijo en un segundo bosque. Por ejemplo, se produce un conflicto si un bosque se denomina fabrikam.com y el segundo bosque se denomina sales.fabrikam.com. Cuando el Asistente para nueva confianza detecta un conflicto de sufijo de nombre, deniega el acceso a ese dominio desde el exterior del bosque. Sin embargo, el acceso al dominio desde dentro del bosque funciona con normalidad. Por ejemplo, si el dominio fabrikam.com existe en los bosques contoso.com y nwtraders.msft, los usuarios del bosque contoso.com pueden obtener acceso a los recursos del dominio fabrikam.com que reside en el bosque contoso.com. Sin embargo, a los usuarios del bosque contoso.com se les deniega el acceso a los recursos del dominio fabrikam.com que se encuentra en el bosque nwtraders.msft. Cuando el Asistente para nueva confianza detecta un conflicto de sufijo de nombre, solicitar que guarde un archivo de registro de los conflictos. A continuacin, enumera los conflictos en el cuadro de dilogo Propiedades de Nombre de confianza de bosque en la ficha Enrutamiento de sufijo de nombre de la columna Enrutamiento.
28
Cmo crear y quitar un sufijo UPN
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Al utilizar un sufijo de nombre principal de usuario, debe simplificar los procesos de inicio de sesin de usuario y de administracin proporcionando un nico sufijo de nombre principal de usuario para todos los usuarios. Al crear una cuenta de usuario, puede seleccionar un sufijo UPN. Si el sufijo no existe, puede agregarlo mediante Dominios y confianzas de Active Directory, siempre que sea miembro del grupo predefinido Administradores de organizacin. Para agregar un sufijo UPN, realice los siguientes pasos: 1. Abra Dominios y confianzas de Active Directory. 2. En el rbol de la consola, haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y, a continuacin, haga clic en Propiedades. 3. En la ficha Sufijos UPN, escriba un sufijo UPN alternativo y, a continuacin, haga clic en Agregar. Nota Si crea una cuenta de usuario mediante Windows Script Host o otra opcin distinta de Usuarios y equipos de Active Directory, no estar limitado por los sufijos de nombre principal de usuario que se almacenan en Active Directory. Puede asignar un sufijo al crear la cuenta. Sin embargo, los sufijos creados de este modo no se enrutan automticamente por las confianzas de bosque. Procedimiento para quitar un sufijo UPN Para quitar un sufijo UPN, realice los siguientes pasos: 1. En Dominios y confianzas de Active Directory, en el rbol de la consola, haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y, a continuacin, haga clic en Propiedades. 2. En la ficha Sufijos UPN, seleccione el nombre del sufijo UPN que desee quitar y, a continuacin, haga clic en Quitar.
Procedimiento para agregar un sufijo UPN
29
Cmo habilitar y deshabilitar el enrutamiento de los sufijos de nombre en las confianzas de bosque
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Procedimiento Dominios y confianzas de Active Directory permite habilitar y deshabilitar el enrutamiento para un sufijo de nombre. Para habilitar o deshabilitar el enrutamiento para un sufijo de nombre de segundo nivel, realice los siguientes pasos: 1. En el rbol de la consola, haga clic con el botn secundario en el nodo del dominio que desee administrar y, a continuacin, haga clic en Propiedades. 2. En la ficha Confa, en Dominios de confianza para este dominio (confianzas de salida) o Dominios que confan en este dominio (confianzas de entrada), haga clic en la confianza que desee administrar y, a continuacin, haga clic en Propiedades. 3. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre en el bosque <nombre de bosque>, haga clic en el sufijo para el que desee habilitar o deshabilitar el enrutamiento y, a continuacin, haga clic en Habilitar o Desactivar. Importante Al deshabilitar el enrutamiento para un sufijo de dominio de segundo nivel, tambin desactiva el enrutamiento de sufijos para todos sus sufijos de dominio secundario.
30
Para cambiar el estado de enrutamiento de un sufijo de nombre de tercer nivel o superior, realice los siguientes pasos: 1. En el rbol de la consola, haga clic con el botn secundario en el nodo del dominio que desee administrar y, a continuacin, haga clic en Propiedades. 2. En la ficha Confa, en Dominios de confianza para este dominio (confianzas de salida) o Dominios que confan en este dominio (confianzas de entrada), haga clic en la confianza que desee administrar y, a continuacin, haga clic en Propiedades. 3. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre en el bosque <nombre de bosque>, haga clic en el sufijo principal del sufijo para el que desea modificar el estado de enrutamiento y, a continuacin, haga clic en Modificar. 4. En Sufijos de nombre existentes en <nombre de bosque>, haga clic en el sufijo que desee modificar y, a continuacin, haga clic en Habilitar o Desactivar.
31
Ejercicio: Creacin de sufijos UPN
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos En este ejercicio, crear un sufijo de nombre para un dominio de segundo nivel y, a continuacin, habilitar el enrutamiento de sufijos de nombre entre dos bosques. Northwind Traders dispone de varios bosques de dominios. La compaa ha seleccionado un nuevo nombre de dominio, que se utilizar como nombre del sitio Web y como direccin de correo electrnico de la compaa. Debe agregar un nuevo sufijo y, a continuacin, habilitar el enrutamiento para l.
Situacin de ejemplo
Ejercicio
Crear un sufijo de nombre y habilitar el enrutamiento del sufijo

de nombre 1. Cree un nuevo sufijo de nombre para un dominio de segundo nivel denominado SuNombre.msft. a. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd b. Utilice Ejecutar como para iniciar Dominios y confianzas de Active Directory como SuDominio\Administrador con la contrasea P@ssw0rd c. En el rbol de la consola, haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y, a continuacin, haga clic en Propiedades. d. En la ficha Sufijos UPN, escriba el sufijo UPN SuNombre.msft, haga clic en Agregar y, a continuacin, en Aceptar.
32
2. Habilite el enrutamiento de los nuevos sufijos de nombre recin creados al bosque nwtraders.msft. a. En el rbol de la consola, haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y, a continuacin, haga clic en Conectar con el controlador de dominio. b. En el cuadro de dilogo Conectar con el controlador de dominio, en el cuadro Dominio, escriba nwtraders.msft c. Haga clic en Aceptar y, a continuacin, en S. d. En el rbol de la consola, haga clic con el botn secundario del mouse en nwtraders.msft y, a continuacin, haga clic en Propiedades. e. En la ficha Confa, en Dominios que confan en este dominio (confianzas de entrada), haga clic en nwtradersx.msft, en Propiedades y, a continuacin, en la ficha Enrutamiento de sufijo de nombre. f. En el cuadro de dilogo Active Directory, escriba el nombre de usuario Administrador y la contrasea P@ssw0rd y, a continuacin, haga clic en Aceptar. g. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre en el bosque nwtradersx, haga clic en SuNombre.msft, en Habilitar y, a continuacin, en Aceptar dos veces.
33
Leccin: Movimiento de objetos en Active Directory
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se trata el historial SID y las consecuencias de trasladar objetos de Active Directory. Tambin se explica cmo trasladar un objeto de Active Directory entre contenedores del mismo dominio y entre dominios del mismo bosque. Despus de finalizar esta leccin, podr:

Describir la finalidad del historial SID. Explicar las consecuencias de trasladar objetos en Active Directory. Trasladar objetos en un dominio. Trasladar objetos entre dominios. Ver las propiedades de los objetos trasladados.
34
Qu es el historial SID
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Al trasladar un objeto de Active Directory, como una cuenta de usuario, las entidades principales de seguridad asociadas al objeto tambin se trasladan. Active Directory realiza un seguimiento de estas entidades principales de seguridad en una lista denominada historial SID. El historial SID proporciona a un usuario migrado continuidad de acceso a los recursos. Cuando una cuenta de usuario migra a otro dominio, Active Directory le asigna un nuevo SID. El historial SID mantiene el SID anterior de la cuenta de usuario migrada. Cuando una cuenta de usuario migra varias veces, el historial SID almacena una lista de todos los SID que se asignaron al usuario. A continuacin, actualiza los grupos y ACL necesarios con el nuevo SID de la cuenta. La pertenencia al grupo se base en el antiguo SID, que ya no existe.
Finalidad del historial SID
35
Consecuencias del traslado de objetos
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Para que se habilite el historial SID, el nivel funcional del dominio debe configurarse en modo Windows 2000 nativo o Windows Server 2003. El historial SID est desactivado si el nivel funcional se configura en modo Windows 2000 mixto. Cuando se traslada un objeto dentro de un dominio, no se produce ningn cambio en su SID ni en su identificador nico global (GUID, Globally Unique Identifier). Cuando se traslada un objeto entre dominios del mismo bosque, Active Directory asigna al objeto un SID nuevo pero conserva su GUID. El historial SID permite que los usuarios migrados continen teniendo acceso a los recursos de sus antiguos dominios. Sin embargo, tambin permite a los usuarios simular el acceso a otros dominios, es decir, realizar una transmisin que parezca provenir de un usuario autorizado, mediante la colocacin de SID de otros dominios en el historial SID de sus cuentas de usuario. Se puede proteger de esta simulacin mediante la aplicacin del filtrado de SID a relaciones de confianza. Precaucin El filtrado de SID est diseado para utilizarse en confianzas entre bosques o en confianzas externas. La aplicacin de filtrado de SID a dominios de un mismo bosque constituye un uso incorrecto de dicho filtrado. Si pone en cuarentena un dominio del mismo bosque, el filtrado de SID quitar los SID necesarios para la replicacin de Active Directory y har que la autenticacin falle a usuarios de dominios en los que se confa de forma transitiva en el dominio en cuarentena.
Consecuencias de seguridad del historial SID
36
Para evitar que una cuenta de usuario que ha sido trasladada entre dominios obtenga acceso a los recursos con permisos asociados al atributo del historial SID de la cuenta, elimine la informacin del historial SID de la cuenta de usuario. Nota Para obtener ms informacin acerca de la eliminacin del historial SID, lea el artculo 295798, How to Use Visual Basic Script to Clear SidHistory (en ingls) en Microsoft Knowledge Base en http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B295758. Otras consecuencias del traslado de objetos Tenga en cuenta las siguientes consecuencias adicionales de trasladar objetos en Active Directory:
Las cuentas de usuario que disponen de privilegios administrativos para la unidad organizativa a la que se traslada dicha cuenta pueden administrar las propiedades de la cuenta de usuario trasladada. Las restricciones de las directivas de grupo de la unidad organizativa, dominio o sitio desde la que se traslad la cuenta de usuario ya no se aplican a sta. La configuracin de directivas de grupo en la nueva ubicacin se aplica a la cuenta de usuario.
37
Cmo trasladar objetos dentro de un dominio
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Procedimiento Usuarios y equipos de Active Directory permite trasladar objetos en un dominio. Para mover un objeto en un dominio, realice los siguientes pasos:
En Usuarios y equipos de Active Directory, en el panel de detalles, arrastre el objeto al nuevo contenedor.
38
Cmo trasladar objetos entre dominios
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La Herramienta de migracin para Active Directory en Windows Server 2003 permite trasladar objetos de un dominio a otro o de un domino de un bosque a un dominio de otro bosque. Para migrar usuarios o grupos de un dominio a otro, realice los siguientes pasos: 1. Ejecute la Herramienta de migracin para Active Directory. Nota La Herramienta de migracin para Active Directory no est instalada de forma predeterminada. Se puede instalar desde la carpeta \i386\ADMT del disco compacto Windows Server 2003. 2. Haga clic con el botn secundario en Herramienta de migracin para Active Directory y, a continuacin, seleccione el asistente para el objeto que desee migrar. Por ejemplo, para trasladar una cuenta de usuario, haga clic en Asistente para migracin de cuentas de usuario. 3. En la pgina de bienvenida, haga clic en Siguiente. 4. Realice una migracin de prueba mediante estos pasos: a. En la pgina Probar o hacer cambios, haga clic en Probar la configuracin de migracin y migrar ms tarde y, a continuacin, haga clic en Siguiente. b. En la pgina Seleccin de dominio, seleccione el dominio de origen y de destino y, a continuacin, haga clic en Siguiente. c. En la pgina Seleccin de usuario, haga clic en Agregar, escriba el nombre del objeto, haga clic en Aceptar y, a continuacin, en Siguiente.
Procedimiento
39
d. En la pgina Seleccin de Unidad organizativa, haga clic en Examinar, seleccione el contenedor de destino, haga clic en Aceptar y, a continuacin, en Siguiente. e. En la pgina Opciones de usuario, establezca las opciones de usuario y, a continuacin, haga clic en Siguiente. Estas opciones determinan si se migrarn la pertenencia al grupo, los perfiles y la configuracin de seguridad. f. Si aparece el cuadro de dilogo Advertencia, haga clic en Aceptar. g. En la pgina Conflictos de nombre, seleccione las opciones adecuadas para especificar lo que se har en caso de un conflicto de nombre y, a continuacin, haga clic en Siguiente. h. En la pgina Finalizacin del Asistente para migracin de cuentas de usuario, haga clic en Finalizar. i. En el cuadro de dilogo Progreso de la migracin, haga clic en Ver registro para ver el registro de errores. 5. Realice una migracin real mediante la repeticin de los pasos del 2 al 4.a. En el paso 4.a, seleccione Migrar ahora en lugar de Probar la configuracin de migracin y migrar ms tarde.
40
Cmo utilizar LDP para ver las propiedades de los objetos trasladados
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Despus de trasladar un usuario, grupo u otro objeto, compruebe que las propiedades del objeto se han actualizado correctamente. Por ejemplo, compruebe las propiedades del SID y el historial SID del objeto. Para ver esta informacin, utilice Ldp.exe. Debe instalar las herramientas de soporte de Windows desde la carpeta \Support\Tools del disco compacto Windows Server 2003 para poder utilizar Ldp.exe. Para ver las propiedades de un objeto trasladado, realice los siguientes pasos: 1. Haga clic en Inicio y en Ejecutar, escriba ldp y, a continuacin, haga clic en Aceptar. 2. En el cuadro de dilogo LDP, en el men Connection (Conexin), haga clic en Connect (Conectar). 3. En el cuadro de dilogo Connect (Conectar), en el cuadro Server (Servidor), escriba el nombre del servidor y, a continuacin, haga clic en OK (Aceptar). 4. En el cuadro de dilogo LDP, en el men Connection (Conexin), haga clic en Bind (Enlazar). 5. En el cuadro de dilogo Bind (Enlazar), escriba el nombre de usuario Administrador, la contrasea del administrador y el nombre del dominio que desee examinar y, a continuacin, haga clic en OK (Aceptar). 6. En el men View (Ver), haga clic en Tree (rbol). 7. En el cuadro de dilogo Tree View (Vista de rbol), en la lista BaseDN, seleccione el nombre de dominio adecuado y, a continuacin, haga clic en OK (Aceptar). 8. En el rbol de la consola, haga doble clic en el objeto cuyas propiedades desee ver. 9. En el panel de detalles, examine las propiedades del objeto.
Procedimiento
41
Ejercicio: Movimiento de objetos
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos En este ejercicio, realizar las siguientes tareas:
Utilizar Ldp.exe para examinar el SID, el historial SID y el GUID de un objeto de usuario. Trasladar un objeto de usuario a otra unidad organizativa del mismo dominio. Utilizar Ldp.exe para ver los cambios realizados en el SID, el historial SID y el GUID del objeto de usuario.
Situacin de ejemplo
La organizacin cuenta con 2.000 usuarios. Delia Ceballos, un usuario del dominio, ha conseguido un nuevo puesto en la compaa. Debe trasladar su objeto de cuenta de usuario para que se corresponda con su nueva funcin.
Ejercicio
Trasladar una cuenta de usuario y ver los cambios que el traslado

produce en la cuenta 1. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd 2. Utilice Ldp.exe para examinar el SID, el historial SID y el GUID del objeto de cuenta de usuario de Delia Ceballos en la unidad organizativa NombreDeEquipo\Sales del dominio que aloja su equipo de alumno. a. Haga clic en Inicio, en Smbolo del sistema, escriba ldp y, a continuacin, presione ENTRAR. b. En el cuadro de dilogo LDP, en el men Connection (Connexin), haga clic en Connect (Conectar). c. En el cuadro de dilogo Connect (Conectar), en el cuadro de texto Server (Servidor), escriba el nombre del servidor y, a continuacin, haga clic en OK (Aceptar).
42
d. En el cuadro de dilogo LDP, en el men Connection (Connexin), haga clic en Bind (Enlazar). e. En el cuadro de dilogo Bind (Enlazar), escriba el nombre de usuario Administrador, la contrasea P@ssw0rd y el nombre del dominio que alberga su servidor y, a continuacin, haga clic en OK (Aceptar). f. En el men View (Ver), haga clic en Tree (rbol). g. En el cuadro de dilogo Tree View (Vista de rbol), en la lista BaseDN, seleccione el nombre de dominio y, a continuacin, haga clic en OK (Aceptar). h. En el rbol de la consola, expanda el dominio, haga doble clic en NombreDeEquipo, de nuevo doble clic en el objeto de la unidad organizativa Sales y, a continuacin, doble clic en el objeto de usuario para Delia Ceballos. i. En el panel de detalles, examine las propiedades del objeto. i. Cul es el objectGUID de esta cuenta? La respuesta variar. _______________________________________________________ ii. Cul es el objectSid de esta cuenta? La respuesta variar. _______________________________________________________ iii. Existe una entrada de sIDHistory para esta cuenta de usuario? Si la respuesta es afirmativa, qu SID aparecen en la lista? No existe entrada del historial SID para esta cuenta. _______________________________________________________ 3. Traslade el objeto de usuario de Delia Ceballos a la unidad organizativa NombreDeEquipo\HR del dominio. a. Utilice Ejecutar como para iniciar Usuarios y equipos de Active Directory como SuDominio\Administrador con la contrasea P@ssw0rd b. En el panel de detalles, arrastre el objeto de usuario DeliaCeb de la unidad organizativa NombreDeEquipo\Sales a la unidad organizativa NombreDeEquipo\HR.
43
4. Utilice Ldp.exe para ver si se ha realizado algn cambio en el SID, el historial SID o el GUID del objeto de usuario para Delia Ceballos. a. En el rbol de la consola, haga doble clic en HR y, a continuacin, de nuevo doble clic en el objeto de usuario para Delia Ceballos. b. En el panel de detalles, examine las propiedades del objeto. Se ha realizado algn cambio en el SID, el historial SID o el GUID de esta cuenta? Si la respuesta es afirmativa, qu ha cambiado? No se han realizado cambios en el SID, el historial SID ni el GUID de la cuenta de usuario como resultado de este traslado. __________________________________________________________ __________________________________________________________
44
Leccin: Planeamiento de una estrategia de cuentas de usuario, grupo y equipo
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se describen las directrices para planear una estrategia de cuentas de usuario y equipo. Una estrategia de cuentas bien planeada facilita la prevencin de infracciones de seguridad en la red. Despus de finalizar esta leccin, podr:
Explicar las directrices para definir una convencin de nomenclatura de cuentas. Explicar las directrices para configurar una directiva de contraseas. Explicar las directrices para autenticar, autorizar y administrar cuentas de usuario. Explicar las directrices para planear una estrategia de cuentas de grupo.
45
Directrices para nombrar cuentas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Directrices Al crear una estrategia de cuentas para los bosques y dominios de la red de la organizacin, debe configurar convenciones para nombrar cuentas. Se aplican las siguientes directrices para nombrar cuentas de usuario, equipo y grupo en una red de Windows Server 2003.
Defina una convencin de nomenclatura de cuentas de usuario para la organizacin, lo que facilitar la identificacin de los nombres de usuario por parte de otros usuario y permitir administrar conflictos de nombres de usuario para aquellos que tienen nombres muy similares. La convencin de nomenclatura debe incluir lo siguiente: El nombre del usuario, los primeros tres caracteres del mismo o la primera inicial del usuario. Por ejemplo, utilice Delia para el usuario Delia Ceballos. La primera inicial, las primeras letras del apellido o el apellido completo del usuario. Por ejemplo, utilice DeliaCeballos para el usuario Delia Ceballos. Caracteres adicionales del nombre o el apellido o la inicial central para resolver conflictos de nombres.
46
Considere la posibilidad de utilizar lo siguiente: Prefijos o sufijos para identificar tipos especiales de cuentas de usuario, como contratistas, personal a tiempo parcial y cuentas de servicio. Un dominio alternativo para que el sufijo UPN aumente la seguridad de inicio de sesin y simplifique los nombres de inicio de sesin. Por ejemplo, si la organizacin dispone de un rbol de dominios con muchos niveles organizado por departamento y regin, los nombres de dominio pueden ser bastante largos. El sufijo UPN predeterminado para un usuario de ese dominio puede ser sales.example.nwtraders.msft. El nombre de inicio de sesin para un usuario llamado Delia Ceballos en ese dominio puede ser DCeballos@sales.example.nwtraders.msft. Sin embargo, si crea el sufijo nwtraders o nwtraders.msft, un usuario puede iniciar sesin con un nombre de inicio de sesin mucho ms simple, como DCeballos@nwtraders o DCeballos@nwtraders.msft. No es necesario que estos sufijos UPN alternativos sean nombres DNS vlidos.
Defina una convencin de nomenclatura de cuentas de equipo que identifique al propietario, la ubicacin y el tipo de equipo. Incluya la siguiente informacin en la convencin de nomenclatura.
Convencin de nomenclatura Nombre de usuario del propietario Ubicacin o una abreviatura Tipo de equipo o una abreviatura Ejemplo DeliaC1 RED o Redmond SVR o server
Defina una convencin de nomenclatura de grupo que identifique el tipo de grupo, su ubicacin y el propsito del mismo. Incluya la siguiente informacin en la convencin de nomenclatura.
Convencin de nomenclatura Tipo de grupo Ejemplo G para el grupo global, UN para el grupo universal y DL para el grupo local de dominio Red para Redmond Admins para administradores
Ubicacin del grupo Propsito del grupo
47
Directrices para configurar una directiva de contraseas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La funcin de las contraseas en la seguridad de la red de una organizacin a menudo se subestima y se pasa por alto. Las contraseas proporcionan la primera lnea de defensa contra accesos no autorizados a la organizacin. La familia de Windows Server 2003 incluye una nueva caracterstica que comprueba la complejidad de la contrasea de la cuenta Administrador. Si la contrasea est en blanco o no cumple los requisitos de complejidad, aparece el cuadro de dilogo Programa de instalacin de Windows, que advierte de los peligros de no utilizar una contrasea de alta seguridad para la cuenta Administrador. Si deja la contrasea en blanco, no podr obtener acceso a la cuenta en la red. Directrices Una directiva de contraseas garantiza que todos los usuarios sigan las directrices de contraseas que determine como adecuadas para la organizacin. Defina los siguientes elementos de una directiva de contraseas:
Defina el parmetro de directivas Forzar el historial de contraseas para recordar al menos 24 contraseas anteriores. De este modo, los usuarios no pueden utilizar la misma contrasea cuando sta caduca. Defina el parmetro de directivas Duracin mxima de la contrasea de modo que las contraseas caduquen tan a menudo como sea necesario para el entorno y el nivel de acceso de los usuarios. Este parmetro impide que un atacante que decodifique una contrasea obtenga acceso a la red hasta que la contrasea caduque. Para los usuarios que disponen de acceso de administrador de dominio, establezca la duracin mxima de la contrasea en un valor inferior a la de los usuarios normales. Defina el parmetro de directivas Duracin mnima de la contrasea para que los usuarios no puedan cambiar sus contraseas hasta despus de un determinado nmero de das. Al definir una duracin mnima de la contrasea, los usuarios no pueden cambiar repetidamente sus contraseas para evitar el parmetro Forzar el historial de contraseas y, a continuacin, utilizar la contrasea original.
48
Defina un parmetro de directivas Longitud mnima de la contrasea para que las contraseas deban constar de un nmero mnimo de caracteres. Las contraseas largas, de ocho caracteres como mnimo, generalmente son ms seguras que las cortas. Este parmetro tambin impide que los usuarios utilicen contraseas en blanco. Habilite el parmetro de directivas Las contraseas deben cumplir los requerimientos de complejidad. Este parmetro comprueba todas las contraseas nuevas para garantizar que cumplen los requisitos de seguridad bsicos de las contraseas de alta seguridad. Una contrasea de alta seguridad tiene las caractersticas siguientes: Tiene ocho caracteres de longitud como mnimo. No contiene ningn nombre de usuario, nombre real o nombre de compaa. No contiene ninguna palabra completa del diccionario. Es muy distinta de las contraseas anteriores. Las contraseas incrementales (Contrasea1, Contrasea2, Contrasea3) son poco seguras. Contiene caracteres en mayscula y minscula, numerales y smbolos. Contiene caracteres ASCII extendidos. Estos caracteres incluyen tildes y smbolos especiales utilizados para crear imgenes. Ejemplos de contraseas de alta seguridad son H!elZl2o y J*p2leO4>F. Precaucin Cualquier atacante potencial puede encontrar los caracteres ASCII extendidos en el Mapa de caracteres. No utilice un carcter extendido si no se tiene definida una tecla en la esquina inferior derecha del Mapa de caracteres. Antes de utilizar caracteres ASCII extendidos en la contrasea, comprubelos detenidamente para asegurarse de que las contraseas que contienen caracteres ASCII extendidos son compatibles con las aplicaciones que utiliza la organizacin. Sea especialmente cauto en cuanto al uso de caracteres ASCII extendidos en las contraseas si la organizacin utiliza varios sistemas operativos.
49
En la siguiente tabla se muestra la configuracin de directivas de contraseas mnima recomendada para proteger entornos de red.
Parmetro Forzar el historial de contraseas Duracin mxima de la contrasea Duracin mnima de la contrasea Longitud mnima de la contrasea Las contraseas deben cumplir los requerimientos de complejidad Almacenar contrasea utilizando cifrado reversible Valor 24 contraseas recordadas 42 das 2 das 8 caracteres Habilitado Deshabilitado
Sugerencia Si crea un dominio raz en el bosque con el propsito de colocar cuentas administrativas, considere la posibilidad de utilizar una configuracin de directivas de contraseas ms estricta que la del dominio de cuentas. Por ejemplo, considere el requerimiento de una duracin mxima de la contrasea de 30 das, una duracin mnima de siete das y una longitud mnima de 14 caracteres.
50
Directrices para autenticar, autorizar y administrar cuentas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El planeamiento de la estrategia de autenticacin, autorizacin y administracin de cuentas facilitar la proteccin de la red de la organizacin. Por ejemplo, implemente una directiva de bloqueo de cuenta para ayudarle a evitar un ataque en la organizacin. No obstante, tenga cuidado al crear una directiva de bloqueo de cuenta para evitar el bloqueo involuntario de usuarios autorizados. Utilice las siguientes directrices para autenticar, autorizar y administrar cuentas en la organizacin:
Directrices
Establezca el parmetro de directivas Umbral de bloqueos de la cuenta en un valor alto. De este modo, los usuarios autorizados no quedan bloqueados en sus cuentas de usuario si escriben mal la contrasea. Windows puede bloquear a usuarios autorizados si cambian las contraseas en un equipo pero no en otro. El equipo que utiliza la contrasea antigua intenta continuamente autenticar al usuario con una contrasea incorrecta. Finalmente, el equipo impide el acceso a la cuenta de usuario hasta que sta se restaura. Este problema no existe en organizaciones que utilizan slo controladores de dominio que son miembros de la familia de Windows Server 2003.
Evite el uso de cuentas administrativas para llevar a cabo las necesidades informticas rutinarias. Asimismo, minimice el nmero de administradores y evite dar acceso administrativo a los usuarios. Solicite a los administradores que inicien sesin mediante una cuenta de usuario normal y utilicen el comando runas para realizar todas las tareas administrativas. Utilice la autenticacin con varios factores. Por ejemplo, solicite tarjetas inteligentes para cuentas administrativas y acceso remoto para facilitar la validacin de que el usuario es quien dice ser.
51
Utilice grupos de seguridad basados en la estrategia A-G-U-DL-P. Esta estrategia proporciona la mayor flexibilidad al tiempo que reduce la complejidad de la asignacin de permisos de acceso a la red. Asimismo, implemente un modelo de seguridad basado en funciones para conceder permisos. En el dominio de la estrategia A-G-U-DL-P: Las cuentas de usuario (A) se agregan a grupos globales (G). Los grupos globales se agregan a grupos universales (U). Los grupos universales se agregan a grupos locales de dominio (DL). Los permisos de recursos (P) se asignan a los grupos locales de dominio. Deshabilite la cuenta Administrador y asigne a los usuarios y administradores los privilegios mnimos necesarios para realizar sus tareas. No puede borrar ni eliminar la cuenta Administrador del grupo integrado Administradores. Sin embargo, resulta recomendable deshabilitar la cuenta. Incluso cuando una cuenta Administrador est deshabilitada, un atacante o un usuario no autorizado puede utilizar el modo a prueba de fallos para obtener acceso a un controlador de dominio. La nica forma de impedir esto es asegurarse de que los servidores son seguros fsicamente.
52
Directrices para planear una estrategia de grupo
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El planeamiento de una estrategia de grupo supone el planeamiento del modo en que se utilizarn los grupos globales, los grupos locales de dominio y los grupos universales para simplificar tareas administrativas. Utilice las siguientes directrices para planear una estrategia de grupo:
Directrices
Asigne usuarios con responsabilidades comunes a grupos globales. Identifique grupos basados en tareas que los miembros realizan. Cree grupos globales para estos usuarios y agregue usuarios que tengan responsabilidades comunes a estos grupos. Cree un grupo local de dominio para compartir recursos. Identifique los recursos compartidos, como impresoras, archivos y carpetas. A continuacin, cree un grupo local de dominio para cada uno de los recursos y agregue usuarios que necesiten acceso a estos recursos. Agregue a los grupos locales de dominio grupos globales que necesiten acceso a los recursos. Cuando desee compartir un recurso de un dominio en varios grupos globales, agregue estos grupos globales al grupo local de dominio que concede el acceso al recurso compartido. Utilice grupos universales para conceder acceso a los recursos en varios dominios. Si las cuentas de usuario necesitan acceso a archivos compartidos que se encuentran en un dominio distinto de las cuentas de usuario, cree un grupo universal para estos usuario y conceda acceso al grupo universal para los archivos compartidos. Utilice grupos universales cuando la pertenencia al grupo sea esttica. Los grupos universales funcionan mejor cuando se agregan usuarios que es poco probable que se eliminen con frecuencia del grupo universal. Active Directory replica cualquier cambio en la pertenencia a un grupo universal, lo que aumenta el trfico de red.
53
Nota Si el nivel funcional del bosque se establece en Windows 2000 nativo y se produce un cambio en la pertenencia al grupo universal, Active Directory replica la lista completa de pertenencia al grupo en todos los servidores de catlogo global. Si el nivel funcional del bosque se establece en Windows Server 2003, slo se replican los cambios en los dems servidores de catlogo global. En otras palabras, los cambios ms frecuentes en la pertenencia al grupo universal tienen menos efecto en la red que en un nivel funcional de bosque de Windows 2000. Planeamiento de cuentas de grupo Utilice la siguiente tabla para planear cuentas de grupo. Contiene informacin de ejemplo para un grupo universal denominado U RedAccts, que se cre en el dominio Redmond. Sus miembros incluyen grupos globales de los dominios London, Vancouver y Denver.
Grupo U RedAccts Descripcin Contables Ubicacin Dominio Redmond Tipo Grupo universal Miembros G LonAccts G VanAccts G DenAccts
54
Ejercicio: Planeamiento de una estrategia de cuentas de usuario, grupo y equipo
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos En este ejercicio, se ocupar de:

Determinar la estrategia para nombrar cuentas. Determinar la directiva de contraseas. Determinar la estrategia de autenticacin, autorizacin y administracin. Determinar la estrategia de grupo para el bosque.
Situacin de ejemplo
La compaa se encuentra en un entorno corporativo altamente competitivo. El mantenimiento de la seguridad de la informacin y los secretos comerciales de la compaa es fundamental. La organizacin tiene 1.000 usuarios en un bosque de Active Directory. El bosque consta de un dominio raz vaco denominado nwtraders.msft, un dominio secundario denominado corp.nwtraders.msft que contiene todas las cuentas de usuario y grupo. Todos los controladores de dominio del bosque ejecutan Windows Server 2003. El dominio raz contiene slo cuentas administrativas, que se utilizan para realizar tareas administrativas en todo el bosque.
55
Ejercicio
Plan y estrategia de cuentas

1. Qu directiva de nombres de cuentas utilizar para los usuarios del dominio corp? La respuesta variar. Una estrategia de nombres posible es utilizar el nombre y la ltima inicial del usuario. Cuando se produzcan conflictos de nombres, resulvalos mediante al menos dos caracteres del apellido del usuario para crear un nombre de usuario nico. ____________________________________________________________ ____________________________________________________________ 2. Qu configuracin de directivas de contraseas utilizar para el dominio corp? La configuracin de directivas incluir al menos lo siguiente: Forzar el historial de contraseas Duracin mxima de la contrasea Duracin mnima de la contrasea Longitud mnima de la contrasea Las contraseas deben cumplir los requerimientos de complejidad Almacenar contrasea utilizando cifrado reversible 24 contraseas recordadas 42 das 2 das 8 caracteres Habilitado Deshabilitado
____________________________________________________________ ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ 3. Qu configuracin de directivas de contraseas utilizar para el dominio raz? La configuracin de directivas incluir al menos lo siguiente: Forzar el historial de contraseas Duracin mxima de la contrasea Duracin mnima de la contrasea Longitud mnima de la contrasea Las contraseas deben cumplir los requerimientos de complejidad Almacenar contrasea utilizando cifrado reversible 24 contraseas recordadas 30 das 7 das 14 caracteres Habilitado Deshabilitado
____________________________________________________________ ____________________________________________________________ ____________________________________________________________ ____________________________________________________________
56
4. Qu incluir su estrategia de autenticacin, autorizacin y administracin? La estrategia debe incluir los siguientes pasos: Establecer una directiva de bloqueo de cuenta que bloquee cuentas de usuario durante 30 minutos tras siete intentos fallidos de iniciar una sesin. Solicitar a los administradores que inicien sesin mediante una cuenta de usuario normal y que realicen todas las tareas administrativas mediante el comando runas. Solicitar la autenticacin mediante tarjetas inteligentes para todos los accesos remotos a la red. Cambiar el nombre y deshabilitar la cuenta Administrador en cada dominio. Implementar un modelo de seguridad basado en funciones al planear grupos. _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ 5. Qu incluir la estrategia de grupo? La estrategia debe incluir los siguientes pasos: Asignar usuarios con responsabilidades comunes a grupos globales. Crear un grupo local de dominio para recursos compartidos. Agregar a los grupos locales de dominio grupos globales que necesiten acceso a los recursos. No utilizar grupos universales (excepto para los grupos Administradores de organizacin y Administradores de esquema en el dominio raz) ya que todas las cuentas de usuario no administrativas, cuentas de grupo y recursos se encontrarn en el dominio corp. _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________
57
Leccin: Planeamiento de una estrategia de auditora de Active Directory
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivos de la leccin Tras finalizar esta leccin, comprender por qu es importante auditar el acceso a Active Directory y poder planear una estrategia de auditora de Active Directory. Despus de finalizar esta leccin, podr:

Explicar la necesidad de auditar el acceso a Active Directory. Explicar las directrices para supervisar las modificaciones en Active Directory.
58
Por qu auditar el acceso a Active Directory
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Debe utilizar la auditora para realizar un seguimiento de las actividades relacionadas con la seguridad en un sistema. Como Active Directory almacena informacin acerca de todos los objetos que existen en una red de Windows Server 2003, debe realizar un seguimiento de los cambios en estos objetos y sus atributos. Por ejemplo, es posible que desee auditar cambios en la pertenencia al grupo o en los componentes de la infraestructura de Active Directory, como objetos de sitio o el esquema de Active Directory. Al auditar Active Directory, registre los cambios en Active Directory que se han realizado correctamente y los intentos fallidos al realizar cambios en Active Directory para llevar a cabo lo siguiente:
Finalidad de la auditora de Active Directory
Registrar todos los cambios realizados correctamente en Active Directory. El registro de todos los cambios realizados correctamente facilita garantizar que el personal autorizado no est realizando cambios no autorizados en los objetos de Active Directory. Tambin es til para fijar los cambios incorrectos en Active Directory. Por ejemplo, si se aplicaron permisos al grupo incorrecto, proporcionando as acceso a recursos al conjunto de usuarios incorrecto, se puede utilizar la pista de auditora para identificar cundo se realiz el cambio y quin lo hizo. Realizar un seguimiento del acceso a un recurso o mediante una cuenta especfica. Realizar un seguimiento del acceso facilita la comprensin de los sucesos que se producen en la red. Por ejemplo, si una aplicacin utiliza una cuenta de servicio para tener acceso a los recursos y la aplicacin funciona mal, la pista de auditora puede facilitar la identificacin de lo que fall. Detectar y registrar intentos fallidos de acceso. El registro de los intentos fallidos al obtener acceso a los recursos o al realizar cambios en Active Directory facilita la identificacin de las amenazas de seguridad internas y externas.
Para auditar cambios correctos o fallidos en objetos o atributos de Active Directory, debe habilitar la auditora de servicios de directorio en todos los controladores de dominio y configurar la lista de control de acceso del sistema (SACL, System Access Control List) para cada objeto o atributo que desee auditar.
59
Directrices para supervisar cambios en Active Directory
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Las auditoras realizadas correctamente generan una entrada de auditora cuando se produce un suceso de administracin de cuentas. Aunque los sucesos de administracin de cuentas correctos son por lo general inofensivos, proporcionan un registro inestimable de actividades que puede comprometer la seguridad de una red. Utilice las siguientes directrices al crear una estrategia de auditora:
Directrices
Habilitar la auditora de sucesos de administracin de cuentas. Audite los siguientes cambios correctos: Creacin, modificacin o eliminacin de cuentas de usuario o grupo Activacin, desactivacin o cambio de nombre de cuentas de usuario Cambio de contraseas o la directiva de seguridad del equipo Habilitar la auditora de acciones correctas de los cambios de directivas. Si no se habilita la auditora de estos cambios y los cambios de directivas de administracin de cuentas, un atacante puede potencialmente daar la seguridad de una red sin una pista de auditora. Por ejemplo, si un administrador convierte la cuenta de usuario Mara en miembro del grupo Operadores de copia de seguridad, la auditora registra un suceso de administracin de cuentas. Sin embargo, si el mismo administrador concede a la cuenta de Mara el derecho de usuario avanzado Carpetas y archivos de copia de seguridad, la auditora no registra ningn suceso de administracin de cuentas.
60
Habilitar la auditora de errores de sucesos del sistema. Este parmetro de seguridad genera un suceso cuando un usuario intenta sin xito reiniciar o apagar un equipo o modificar la seguridad del sistema o el registro de seguridad. Habilite este parmetro de directivas de auditora para el dominio completo. Los sucesos de error en la categora de sucesos del sistema pueden detectar actividades anormales, como un intruso que intenta obtener acceso al equipo o la red. El nmero de auditoras que se generan cuando se habilita este parmetro suele ser bastante bajo y la calidad de la informacin que se obtiene de los sucesos suele ser relativamente alta.
Habilitar la auditora de errores de los sucesos de cambio de directiva y los sucesos de administracin de cuentas slo cuando sea necesario. El nmero de auditoras que se generan cuando se habilita esta configuracin puede ser muy alto, por lo que debe habilitarlo slo cuando sea necesario.
Precaucin La habilitacin de auditoras de errores para estos sucesos puede representar un riesgo para la organizacin. Si los usuarios intentan obtener acceso a un recurso para el que no estn autorizados, pueden crear tantas auditoras de errores que el registro de seguridad se llene y el equipo no pueda recopilar ms auditoras. Si el parmetro de directivas Auditora: apagar el sistema de inmediato si no puede registrar auditoras de seguridad est habilitado, los servidores se apagarn cuando el registro se llene. Los intrusos pueden iniciar un ataque de denegacin de servicio mediante la directiva de auditora si ste es el caso. Nota Para obtener ms informacin acerca de cmo habilitar la auditora, consulte el mdulo 10, Implementar plantillas administrativas y directivas de auditora del curso 2146A: Administracin de un entorno Microsoft Windows Server 2003.
61
Ejercicio: Planeamiento de una estrategia de auditora
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos Situacin de ejemplo En este ejercicio, determinar las directivas de auditora que debe habilitar para Active Directory. Debe planear una directiva de auditora para Northwind Traders, que dispone de 1.000 usuarios en un bosque de Active Directory. El bosque consta de un dominio raz vaco denominado nwtraders.msft y un dominio secundario denominado corp.nwtraders.msft que contiene todas las cuentas de usuario y grupo.
Ejercicio
Planear una estrategia de auditora

Para qu sucesos habilitar la auditora? ____________________________________________________________ ____________________________________________________________ La respuesta puede variar. La estrategia recomendada es habilitar la auditora de acciones correctas para el sistema, el cambio de directivas y la administracin de cuentas, y habilitar la auditora de errores para los sucesos del sistema. No se recomienda que habilite la auditora de errores para otros sucesos a menos que est auditando especficamente con el propsito de detectar una intrusin.
62
Prctica A: Implementacin de una estrategia de cuentas y de auditora
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos Despus de finalizar esta prctica, podr:

Planear una estrategia para cuentas de usuario, grupo y equipo. Planear una estrategia de auditora de Active Directory. Crear varias cuentas de usuario y equipo. Implementar sufijos UPN. Mover objetos dentro de un dominio y entre dominios en un bosque.
Requisitos previos
Antes de trabajar en esta prctica, debe:

Conocer las directrices para planear una estrategia de cuentas. Conocer las directrices para planear una estrategia de auditora.
Situacin de ejemplo
Northwind Traders estn implementando Windows Server 2003 en su red. Planea utilizar un bosque con dos dominios: un dominio raz vaco y un dominio corporativo. El dominio corporativo contendr las cuentas de usuario, grupo y equipo.
Tiempo previsto para completar esta prctica: 60 minutos
63
Ejercicio 1 Planeamiento de una estrategia de cuentas y de auditora

En este ejercicio, planear una estrategia para nombrar cuentas para el nuevo bosque de Northwind Traders. Utilice las directrices proporcionadas por el equipo de ingeniera y diseo.
Situacin de ejemplo
El nuevo bosque constar de un dominio raz vaco denominado nwtraders.msft y un dominio secundario denominado corp.nwtraders.msft, que contendr todas las cuentas de usuario. Northwind Traders cuenta con oficinas en siete ciudades. La estrategia de cuentas y de auditora debe tener en cuenta los siguientes requisitos:
La estrategia para nombrar cuentas de usuario debe facilitar la determinacin de la direccin de correo electrnico de un usuario a los empleados que slo conocen el nombre y el apellido de dicho usuario. La estrategia para nombrar cuentas de equipo debe facilitar a los empleados la identificacin de la ubicacin y el propsito de un equipo. Todos los empleados deben tener una direccin de correo electrnico NombreUsuario@nwtraders.msft. La estrategia de auditora debe poder detectar los intentos de modificaciones no autorizadas en Active Directory.
Tareas
1.
Planear una estrategia para nombrar cuentas de usuario para el bosque nwtraders.msft. De qu constarn los nombres de cuentas de usuario?
Qu estrategia utilizar para resolver los conflictos de nombres de cuentas de usuario?
Qu utilizar para un sufijo UPN para cuentas de usuario?
2.
Planear una estrategia para nombrar cuentas de equipo para el bosque nwtraders.msft. Qu convencin de nomenclatura utilizar para los equipos servidor?
64
Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo (continuacin)
Tareas Qu convencin de nomenclatura utilizar para los equipos cliente?
3.
Planear una directiva de contraseas para el bosque nwtraders.msft. Qu configuracin de directivas de contraseas aplicar al dominio nwtraders.msft?
Qu configuracin de directivas de contraseas aplicar al dominio corp.nwtraders.msft?
4.
Planear una estrategia de auditora para el bosque nwtraders.msft. Qu configuracin de auditora de acciones correctas incluir en el plan?
Qu configuracin de auditora de errores incluir en el plan?
65
Ejercicio 2 Creacin de cuentas con la herramienta Csvde

En este ejercicio, utilizar la herramienta de lnea de comandos Csvde para importar varias cuentas a Active Directory desde un archivo de importacin .csv, que se ha creado con Microsoft Excel.
Situacin de ejemplo
Como uno de los administradores de Northwind Traders, usted recibe a diario solicitudes de nuevas cuentas de usuario. Un miembro del equipo introduce las solicitudes en una hoja de clculo, que se guarda con formato de valores separados por comas (.csv). Al comienzo de cada da hbil, usted es responsable de importar este archivo a Active Directory para crear las cuentas de usuario.
Tareas
1.
Instrucciones especficas
Utilizar la herramienta de lnea de comandos Csvde para importar el archivo .csv a Active Directory. Utilizar Usuarios y equipos de Active Directory para determinar las unidades organizativas, usuarios y grupos nuevos que se han creado.
El nombre del archivo .csv es el mismo que el del dominio que est alojado en el equipo. Este archivo se encuentra en la carpeta <carpeta de instalacin>MOC\2196\Labfiles\Lab4 del equipo.
2.
Qu unidades organizativas nuevas se han creado?
Cules de las unidades organizativas contienen cuentas de usuario y grupo?
66
Ejercicio 3 Creacin de un sufijo UPN

En este ejercicio, crear un sufijo UPN y, a continuacin, solucionar un conflicto de enrutamiento de sufijo UPN entre dos bosques.
Situacin de ejemplo
Los usuarios del dominio han solicitado poder iniciar sesin en su dominio mediante un sufijo UPN que conste slo del nombre de la ciudad en la que se encuentran. Usted crear el sufijo UPN en el bosque de su ciudad.
Tareas
1.
a.
Crear un nuevo sufijo UPN en el bosque denominado SuNombreDeCiudad.
Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd Active Directory como SuDominio\Administrador con la contrasea P@ssw0rd
b. Utilice Ejecutar como para iniciar Dominios y confianzas de
2.
Habilitar el enrutamiento del nuevo sufijo UPN al bosque nwtraders.msft. Cul es el estado del sufijo UPN SuNombreDeCiudad despus de habilitarlo?
Qu puede hacer para resolver este conflicto de enrutamiento de sufijo UPN?
67
Ejercicio 4 Traslado de un grupo de usuarios

En este ejercicio, conceder permisos de grupo global a una carpeta compartida en el servidor. A continuacin, trasladar el grupo y sus miembros a una unidad organizativa del otro dominio del bosque. Finalmente, comprobar que el grupo trasladado an dispone de permisos en la carpeta compartida del servidor.
Situacin de ejemplo
Como resultado de una reciente reorganizacin en Northwind Traders, se debe trasladar un grupo de usuarios a una nueva ubicacin. Este traslado tambin afecta a Active Directory porque el grupo y sus cuentas de usuario se deben trasladar a otra ubicacin del bosque. Pasarn varios meses antes de que se puedan trasladar los servidores que contienen los datos del usuario. Usted debe asegurarse de que los usuarios an pueden tener acceso a sus archivos despus de que sus cuentas se hayan trasladado.
Tareas
1.
a.
Crear y compartir una carpeta en el servidor denominado ITAdmin y, a continuacin, conceder al grupo global G IT Admins permisos de NTFS Control total para la carpeta y Control total para el recurso compartido. Utilizar Ldp.exe para examinar el SID, el historial SID y el GUID del objeto de grupo global G IT Admins en la unidad organizativa IT Admin\IT Groups del dominio que aloja su equipo de alumno.
Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd SuDominio\Administrador con la contrasea P@ssw0rd
b. Utilice Ejecutar como para iniciar Administracin de equipos como
2.
Qu se muestra en la lista de entradas de objectGUID, objectSID y sIDHistory para el grupo global G IT Admins?
3.
Instalar la Herramienta de migracin para Active Directory en el equipo.
a.
Utilice Ejecutar como para iniciar el smbolo del sistema como SuDominio\Administrador con la contrasea P@ssw0rd introduccin de \\London\OS\ADMT\ADMIGRATION.MSI y, a continuacin, presione ENTRAR para iniciar la instalacin.
b. En el smbolo del sistema, inicie la instalacin mediante la
68
Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo (continuacin)
Tareas
4.
Utilizar la Herramienta de migracin para Active Directory para trasladar el grupo global G IT Admins y sus miembros a la unidad organizativa IT Test\IT Test Move en el otro domino del bosque. Utilizar Ldp.exe para examinar el SID, SIDHistory y GUID del objeto de grupo global G IT Admins en la unidad organizativa IT Test\IT Test Move del dominio al que se traslad.
Utilice Ejecutar como para abrir la Herramienta de migracin para Active Directory como nwtradersx\Administrador con la contrasea P@ssw0rd Nota: El cuadro de dilogo Progreso de la migracin puede indicar que existen errores. Los errores se generaron al cambiar el nombre de los usuarios y el grupo con la extensin trasladada. Pase por alto estos mensajes de error. Nota: Es posible que se haya cambiado el nombre del grupo G IT Admins por G IT Adminsmoved como parte del proceso de traslado.
5.
Tras responder a la siguiente pregunta, en el men Conexin, haga clic en Salir.
Qu se muestra en la lista de entradas de objectGUID, objectSID y sIDHistory para el grupo global G IT Admins?
Se produjeron cambios en las entradas de objectGUID, ObjectSID o sIDHistory como resultado del traslado?
6.
Utilizar el Explorador de Windows para ver los permisos asignados a la carpeta ITAdmin que cre y comparti en el paso 1. Dispone an el grupo al que asign permisos para esta carpeta en el paso 1 de permisos de control total para la carpeta? Razone la respuesta.

X09 8484704 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

X09 8484704 PDF

Uploaded by

Copyright:

Available Formats

Contenido Introduccin Leccin: Introduccin a las cuentas Leccin: Creacin y administracin de varias cuentas Leccin: Implementacin de los sufijos

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Notas para el instructor

Para impartir este mdulo, necesitar el material siguiente:

Archivo 2196A_04.ppt de Microsoft PowerPoint

Para preparar este mdulo, debe:

Configuracin del aula

Preparacin para la prctica

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Recomendaciones para impartir este mdulo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Leccin: Introduccin a las cuentas

Leccin: Creacin y administracin de varias cuentas

Leccin: Implementacin de los sufijos de nombre principal de usuario

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Leccin: Movimiento de objetos en Active Directory

Leccin: Planeamiento de una estrategia de cuentas de usuario, grupo y equipo

Leccin: Planeamiento de una estrategia de auditora de Active Directory

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Prctica A: Implementacin de una estrategia de cuentas y de auditora

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Leccin: Introduccin a las cuentas

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Qu son los grupos locales de dominio

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Cundo utilizar grupos locales de dominio

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Qu son los grupos globales

Cundo utilizar grupos globales

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Qu son los grupos universales

Pertenencia, mbito y permisos de grupos universales

Cundo utilizar grupos universales

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Leccin: Creacin y administracin de varias cuentas

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Herramientas para crear y administrar varias cuentas

Usuarios y equipos de Active Directory Herramientas del servicio de directorio

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Windows Script Host

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Cmo crear cuentas con la herramienta Csvde

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

El siguiente cdigo de muestra es un ejemplo de una lnea de cuenta de usuario:

Esta tabla proporciona los atributos y valores del ejemplo anterior.

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Cmo crear y administrar cuentas con la herramienta Ldifde

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

La tabla siguiente proporciona los atributos y valores del ejemplo anterior.

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Cmo crear y administrar cuentas utilizando Windows Script Host

Procedimiento para crear un objeto de Active Directory

c. Establezca las propiedades del objeto de Active Directory.

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

d. Escriba la informacin en la base de datos de Active Directory.

3. Escriba el cambio en Active Directory.

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo