AGDLP

De Wikipedia, la enciclopedia libre

Saltar a: navegacin , bsqueda AGDLP (una abreviatura de "cuenta, global, local de dominio, permiso") un breve resumen de Microsoft recomendaciones 's para implementar controles de acceso basado en roles (RBAC), utilizando los grupos anidados en un modo nativo de Active Directory (AD) de dominio: El usuario y el ordenador ccounts son miembros de grupos g lobal que representan papeles de negocios, que son miembros de los grupos d omain l ocal que describen ermissions recursos p o asignaciones de derechos de usuario. AGUDLP (por "cuenta global, universal, de dominio local, permiso") y AGLP ( para la "cuenta global, el permiso local") un resumen de planes similares de aplicacin de RBAC en los bosques de Active Directory y dominios de Windows NT , respectivamente.

Contenido
[hide]
y

y y

1 Detalles o 1.1 RBAC en un dominio de AD solo o 1.2 RBAC en los bosques de AD o 1.3 RBAC en no-AD Dominios Ejemplo 2 3 Referencias

[ editar ] Detalles
Control de acceso basado en rol simplificar las operaciones rutinarias de gestin de cuentas y facilitar las auditoras de seguridad . [1] Los administradores de sistemas no asignar permisos directamente a las cuentas de usuario . En cambio, los individuos adquieren el acceso a travs de sus roles dentro de una organizacin, lo que elimina la necesidad de editar una potencialmente grande (y que cambian con frecuencia) el nmero de permisos de recursos y las asignaciones de derechos de los usuarios al crear, modificar o eliminar cuentas de usuario. A diferencia de las listas de control de acceso y los permisos RBAC describen las operaciones significativas dentro de una aplicacin o sistema en vez de la base de bajo nivel los mtodos de acceso de datos de objetos. Roles y permisos de almacenar en un sistema centralizado de bases de datos o servicio de directorio simplifica el proceso de determinar y controlar la pertenencia a funciones y permisos de la funcin. [2] Los auditores pueden analizar las asignaciones de permisos de un solo lugar sin tener que entender el recurso de los detalles especficos de implementacin de un particular, el acceso de control.

[ editar ] RBAC en un dominio de AD solo

Implementacin de Microsoft de RBAC aprovecha los mbitos de seguridad diferente grupo aparece en Active Directory: [3][4] Los grupos globales de seguridad Los grupos de dominio de seguridad con mbito global representan los papeles de negocios o funciones de trabajo dentro del dominio. Estos grupos pueden contener cuentas y otros grupos globales del mismo dominio, y puede ser utilizado por los recursos en cualquier dominio del bosque. Se pueden cambiar con frecuencia sin causar replicacin de catlogo global. Grupos de seguridad local de dominio Los grupos de dominio de seguridad con mbito local de dominio describen los permisos de bajo nivel o derechos de los usuarios a los que estn asignados. Estos grupos slo pueden ser utilizados por los sistemas en el mismo dominio. Grupos locales de dominio pueden contener cuentas, grupos globales y grupos universales de cualquier dominio, as como grupos locales de dominio del mismo dominio. Los grupos globales que representan los papeles de empresa debe contener slo el usuario o cuentas de equipo. Del mismo modo, los grupos de dominio local que describen los permisos de recursos o derechos de usuario debe contener slo los grupos globales que representan las funciones de negocio. Cuentas o papeles de negocios no deben concederse los permisos o derechos directamente, ya que esto complica el anlisis posterior de los derechos.

[ editar ] RBAC en los bosques de AD

En entornos de varios dominios, los dominios diferentes dentro de un bosque de AD slo se puede conectar por costosos WAN enlaces o VPN conexiones, los controladores de dominio tan especial llamado mundial de servidores de catlogo cach de ciertas clases de objetos de directorio y los tipos de atributos con el fin de reducir los costosos o lentos inter- bsquedas de directorio de dominio. [5] Los objetos almacenados en cach por los servidores de catlogo global son los grupos universales, pero los grupos no mundial, por lo que miembros look-ups de los grupos universales mucho ms rpido que consultas similares de grupos globales. Sin embargo, cualquier cambio en un grupo universal activa (potencialmente costosos) de replicacin de catlogo global y los cambios en los grupos universales requieren de todo el bosque de los derechos de seguridad inadecuados en la mayora de las empresas grandes. Estas dos limitaciones impiden que los grupos de seguridad universal de sustituir completamente los grupos de seguridad global, los nicos representantes de los roles de negocio de una empresa. En cambio, las implementaciones de RBAC en estos entornos de utilizar grupos de seguridad universal para representar papeles en toda la empresa sin perder de dominio de grupos especficos de seguridad global, como lo demuestra el AGUDLP abreviatura.

[ editar ] RBAC en no-AD Dominios

Los dominios de Windows NT 4.0 y anteriores slo grupos globales (nivel de dominio) y locales (no de dominio) y no de grupos de apoyo que anidan en el nivel de dominio. [6] El AGLP abreviatura se refiere a las limitaciones que se aplican a las implementaciones de RBAC mayores dominios: G lobal grupos representan roles de negocio, mientras que los grupos l ocal (creada en los servidores miembro del dominio a s mismos) representan los permisos o derechos de los usuarios.

[ editar ] Ejemplo
Dada una carpeta compartida, \ \ nyc-ex-SVR-01 \ grupos \ BizDev , un grupo de desarrollo de negocio dentro de la organizacin de marketing del departamento, representada en el Directorio Activo como el (actual) del grupo de seguridad global "Miembro del Equipo de Desarrollo de Negocios", y un requisito de que todo el grupo de lectura-escritura a la carpeta compartida, un administrador de AGDLP siguientes podran llevar a cabo el control de acceso de la siguiente manera: Crear un nuevo grupo de dominio local de seguridad en Active Directory denominado "permiso de cambio en \ \ nyc-ex-SVR-01 \ grupos \ BizDev". 2. Haz que el grupo local de dominio NTFS "cambio", conjunto de permisos (lectura, escritura, ejecucin / modificar, borrar) en el "BizDev" carpeta. (Tenga en cuenta que los permisos NTFS son diferentes de los permisos de recurso compartido .) 3. Hacer que el "Desarrollo de Negocios Miembro del equipo" un grupo de miembros de la "permiso de cambio en \ \ nyc-ex-SVR-01 \ grupos \ BizDev" del grupo. 1. Para poner de relieve las ventajas de RBAC usar este ejemplo, si el equipo de desarrollo de negocios requiere de permisos adicionales en el "BizDev" carpeta, un administrador del sistema slo tendr que editar una entrada de control de acceso nico (ACE) en lugar de, en el peor de los casos, la edicin como ACE, ya que hay muchos usuarios con acceso a la carpeta.
En los controladores de dominio de Windows 2000 y Windows Server 2003, los contenedores predeterminados para usuarios, equipos y grupos que se crean utilizando la interfaz de programacin de aplicaciones (API) de la versin anterior utilizan la clase de objeto (objectclass) CN, en lugar del contenedor de clase de unidad organizativa, lo que sera preferible.

Microsoft recomienda que los administradores implementen la estructura de unidad organizativa en todos los dominios de Active Directory (vea la seccin "Ms informacin" para obtener ms detalles). Despus de actualizar o implementar controladores de dominio de Windows Server 2003 en el modo Dominio de Windows Server 2003, redirija a un contenedor de la unidad organizativa que especifique

el administrador los contenedores predeterminados que la API de la versin anterior utiliza para crear usuarios, equipos y grupos.

Importante: si est utilizando Microsoft Exchange Server, no se debe mover el grupo Servidores de dominio de Exchange o el grupo Servidores empresariales de Exchange a ninguna otra unidad organizativa. Para que Exchange funcione como debe, estos grupos deben permanecer en el contenedor Usuarios predeterminado. Volver al principio Ms informacin

De manera predeterminada, el contenedor para grupos de seguridad, cuentas de usuario y cuentas de equipo de las instalaciones nuevas y actualizadas de Windows 2000 y Windows Server 2003 es CN=Users y CN=Computers. No puede aplicar configuraciones de Directiva de grupo en contenedores de clase CN. Por consiguiente, aquellos administradores que deseen definir una directiva para almacenar usuarios y equipos en su contenedor predeterminado deben hacerlo en la raz del dominio. Para evitar que la configuracin de las directivas definidas en un contenedor superior (la raz del dominio) se aplique a los usuarios y equipos de los contenedores subordinados CN y de unidad organizativa, los administradores deben definir complejas listas de control de acceso (ACL) en la configuracin de la directiva de la raz del dominio.

La solucin para los dominios de Windows 2000 y Windows Server 2003 es implementar la estructura recomendada para las unidades organizativas, en la que cada cuenta de Usuarios, Equipos, Grupos, Cuentas de servicio y Administrador se encuentra en su propia unidad organizativa. La estructura recomendada para las unidades organizativas se discute en la seccin "Creating an Organizational Unit Design" de las notas del producto Best Practice Active Directory Design for Managing Windows Networks. Para ver ese documento, visite el siguiente sitio Web de Microsoft: http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/b paddsgn.mspx En la lista siguiente se describen los beneficios de utilizar la estructura de unidad organizativa recomendada:

Permite a los administradores aplicar la Directiva de grupo directamente en los contenedores que albergan usuarios y equipos.

Permite a los administradores asignar una Directiva de grupo a los objetos con una clase de objeto (objectclass) comn. Por ejemplo, es posible vincular la configuracin de la directiva Usuario o Equipo a las unidades organizativas que albergan cuentas de usuario o de equipo.

Permite a los usuarios delegados aplicar las directivas en los contenedores que no alojan usuarios con acceso de seguridad y grupos como Administradores de dominio, Administradores del esquema o Administradores de organizacin.

Puede minimizar el efecto si una unidad organizativa se elimina accidentalmente (suponiendo que el contenedor primario est correctamente protegido).

Permite restaurar de forma independiente usuarios y grupos en distintos escenarios de recuperacin. Las cuentas de usuario deben existir antes de restaurar el grupo. Ubicar a usuarios y grupos en contenedores diferentes permite restaurarlos y marcarlos como autoritarios de forma independiente.

Tenga en cuenta que los contenedores CN=USERS y CN=COMPUTERS son objetos protegidos por el equipo. No puede (y no debe) quitarlos para aumentar la compatibilidad con versiones anteriores, aunque puede cambiarles el nombre.

La estructura recomendada para las unidades organizativas funciona bien para almacenar en Active Directory usuarios, equipos y grupos ya existentes, porque dichos objetos pueden moverse al contenedor de unidad organizativa apropiado en los dominios de Windows 2000 y Windows Server 2003, independientemente del nivel funcional de bosque o de dominio. Las nuevas cuentas de usuario, las cuentas de equipo y los grupos de seguridad que se crean (en CN=users CN=computers) con las API de la versin anterior y que usan la GUI y las herramientas de administracin de la lnea de comandos no permiten que los administradores especifiquen una unidad organizativa de destino. Como resultado, estos objetos se crearn inicialmente en los contenedores CN=Users y CN=Computers, hasta que los mueva el administrador o una secuencia de comandos definida por l. La siguiente lista proporciona ejemplos de estas herramientas:

La interfaz de usuario para unirse al dominio en:

o o o o

Microsoft Windows NT 4.0 Microsoft Windows 2000 Microsoft Windows XP Professional Microsoft Windows Server 2003

Esta operacin une los dominios de Active Directory como equipos miembro.

El comando net user.

y y y y

El comando net computer. El comando net group. El comando netdom add all donde el comando /ou no se especifica o no se admite. Administrador de usuarios en equipos miembro basados en Windows NT 4.0

Adems, los usuarios que no son administradores no saben en qu contenedor deben crear los objetos, aunque se pueda especificar la unidad organizativa de destino.

Microsoft recomienda a los administradores actualizar los controladores de dominio Windows NT 4.0 y Windows 2000 a controladores de dominio de Windows Server 2003 y redirigir la ruta de acceso a CN=Users y CN=Computers, ya muy conocida, a una unidad organizativa especificada por el administrador. Al hacerlo, es posible aplicar la configuracin de Directiva de grupo a los contenedores que albergan las cuentas de usuarios y equipos recin creados o permanentes.

Si redirige las carpetas CN=Users y CN=Computers, tenga en cuenta los problemas siguientes:

El dominio de destino debe configurarse para ejecutarse en el dominio de Windows Server 2003 o en el nivel funcional del bosque. Para el nivel funcional de dominio, esto significa que todos los controladores de dominio del dominio deben ejecutar el sistema operativo Windows Server 2003.

Si ejecuta el comando setup /domainprep de Exchange 2000, recibir los mensajes de error enumerados en la seccin de este artculo "Mensajes de error que aparecen en el comando SETUP /DOMAINPREP de Exchange 2000 cuando CN=Users est redirigido". Este problema aparece si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange agregados por el comando setup /domainprep de Exchange 2000 no residen en el contenedor CN=USERS. Para evitar este problema, mueva los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange creados por el comando setup /domainprep de Exchange 2000 desde la unidad organizativa redirigida al contenedor CN=Users. Para obtener ms informacin acerca de la interoperabilidad de Exchange, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base:

260914La utilidad Domainprep no funciona si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange se han movido a un contenedor nuevo

Volver al principio

Redirigir CN=Users a una unidad organizativa especificada por el administrador

1. Inicie sesin con credenciales de administrador en el dominio z en el que el contenedor CN=Users est siendo redirigido. 2. Cambie el dominio al nivel funcional de dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener informacin adicional acerca cmo aumentar el nivel funcional de dominio, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base:

322692Cmo elevar los niveles funcionales de dominio y de bosque en Windows Server 2003

3.

Cree el contenedor de unidad organizativa donde desee que residan los usuarios que se crean con API de versiones anteriores (si el contenedor OU deseado an no existe).

4.

Ejecute Redirusr.exe desde el smbolo del sistema utilizando la sintaxis siguiente, donde contenedor-dn es el nombre distintivo de la unidad organizativa que se convertir en la ubicacin predeterminada para los objetos de usuario recin creados creada con las API de nivel inferior:

c:\windows\system32\redirusr contenedor-dn

Redirusr se instala en la carpeta %SystemRoot%\System32 en los equipos basados en Windows Server 2003 nuevos y actualizados. Por ejemplo, para cambiar la ubicacin predeterminada para los usuarios creados con las API de nivel inferior (como Net User) al contenedor de OU=Users OU en el dominio CORP.COM, utilice la sintaxis siguiente:

c:\windows\system32>redirusr ou=myusers,DC=company,dc=com

Para obtener informacin adicional acerca de cmo disear una infraestructura de directivas de grupo, visite el siguiente sitio Web de Microsoft: http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b20546c6e9ba76741033.mspx Volver al principio

Redirigir CN=Computers a una unidad organizativa especificada por el administrador

1.

Inicie sesin con credenciales de Administrador del dominio en el dominio donde se redirige el contenedor CN=computers.

2.

Cambie el dominio al dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener ms informacin acerca cmo aumentar el nivel funcional de dominio, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base:

322692Cmo elevar los niveles funcionales de dominio y de bosque en Windows Server 2003

3.

Cree el contenedor de unidad organizativa donde desee que residan los equipos que se crean con API de versiones anteriores (si el contenedor OU deseado an no existe).

4.

Ejecute Redircmp.exe desde el smbolo del sistema utilizando la sintaxis siguiente, donde contenedor-dn es el nombre distintivo de la unidad organizativa que se convertir en la ubicacin predeterminada para los objetos de equipo recin creados con las API de nivel inferior:

redircmpcontenedor-dn contenedor-dn

Redircmp.exe se instala en la carpeta %Systemroot%\System32 en los equipos basados en Windows Server 2003 nuevos y actualizados. Por ejemplo, para cambiar la ubicacin predeterminada de un equipo creado con las API de la versin anterior (como Net User) al contenedor de OU=misequipos en el dominio CORP.COM, utilice la sintaxis siguiente:

C:\windows\system32>redircmp ou=misequipos,DC=company,dc=com

Nota: cuando se ejecuta Redircmp.exe para redirigir el contenedor CN=Computers a una OU especificada por un administrador, el contenedor CN=Computers dejar de ser un objeto de equipo protegido. Esto significa que ahora es posible mover, eliminar y cambiar el nombre del contenedor Computers. Si utiliza ADSIEDIT para ver atributos del contenedor CN=Computers, ver que el atributo systemflags se ha modificado de -1946157056 a 0. Se trata de una caracterstica del diseo de la aplicacin.

Volver al principio

Descripcin de los mensajes de error

Mensajes de error que se producen si el PDC est sin conexin

Redircmp y Redirusr modifican el atributo wellKnownObjects en el controlador de dominio principal (PDC). Si el PDC del dominio modificado no tiene conexin o no est accesible, recibir los mensajes de error siguientes. Mensaje de error 1 D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc Error, could not locate the Primary Domain Controller for the current domain: The specified domain either does not exist or could not be contacted. Redirection was NOT successful. Mensaje de error 2 D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc Error, could not locate the Primary Domain Controller for the current domain: El dominio especificado no existe o no se pudo establecer conexin con l. La redireccin no se realiz.

Mensajes de error que se producen si el nivel funcional del dominio no es Windows Server 2003
Si intenta redirigir una unidad organizativa de usuarios o equipos a un dominio que no ha pasado al nivel funcional de dominio de Windows Server 2003, aparecern los siguientes mensajes de error. Mensaje de error 1 C:\>redirusr OU=usersou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Unwilling To Perform Redirection was NOT successful. Mensaje de error 2 C:\>REDIRCMP ou=computersou,dc=company,dc=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Unwilling To Perform

Mensajes de error que se producen si inicia sesin sin los permisos necesarios
Si intenta redirigir las unidades organizativas de usuarios o equipos utilizando credenciales incorrectas en el dominio de destino, puede recibir los mensajes de error siguientes. Mensaje de error 1 C:>REDIRCMP OU=computersou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.

Mensaje de error 2 :\>redirusr OU=usersou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.

Mensajes de error que se producen si redirige a una unidad organizativa que no existe
Si intenta redirigir las unidades organizativas de usuarios o equipos a una unidad organizativa que no existe, puede recibir los mensajes de error siguientes. Mensaje de error 1 C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful. Mensaje de error 2 C:\>redirusr OU=nonexistantou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful.

Mensajes de error que se producen en Exchange 2000 "setup /domainprep" cuando se redirige CN=Users
Si Exchange 2000 setup /domainprep no tiene xito, recibe el mensaje de error siguiente: Se produjo un error en el programa de instalacin al instalar el subcomponente Permisos de dominio, el cdigo de error es 0x80072030 (consulte el registro de instalacin para obtener una descripcin detallada). Puede cancelar la instalacin o volver a intentar el paso en el que se produjo el error. (Reintentar / Cancelar) En el registro de instalacin de Exchange 2000 analizado con el analizador de registros aparece la siguiente informacin: [HH:MM:SS] Starting Exchange 4417 setup on Windows 2000 5.0.2195.Service Pack 3 at 21:43:31 02/19/2003 [HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component [HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor.

[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] El programa de instalacin encontr un error durante Preparacin del dominio de Microsoft Exchange de las DomainPrep tareas del componente. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] Instalacin finalizada El atributo wellKnownObjects que los comandos redirusr y redircmp modifican define la ubicacin predeterminada en la que se crean los usuarios, equipos y grupos. Puede ver el atributo en la raz del encabezado NC de dominio con Ldp.exe o Adsiedit.msc. En este ejemplo, las unidades organizativas Usuarios y equipos se han redirigido a OU=UsersOU y OU=ComputersOU:

----------Expanding base 'DC=company,DC=com'... Result <0>: (null) Matched DNs: Getting 1 entries: >> Dn: DC=company,DC=com 3> objectClass: top; domain; domainDNS; 1> distinguishedName: DC=company,DC=com; ... 11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;

B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com; B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com;

B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com;

B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC =com; B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>

B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com;

B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com;

B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; -----------

Volver al principio Referencias

Para obtener ms informacin, haga clic en los nmeros siguientes para ver los artculos correspondientes en Microsoft Knowledge Base: 818470La instalacin de Exchange Server 2003 devuelve el cdigo de error 0x80072030 cuando ejecuta setup.exe /domainprep 260914La utilidad Domainprep no funciona si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange se han movido a un contenedor nuevo Volver al principio

En los controladores de dominio de Windows 2000 y Windows Server 2003, los contenedores predeterminados para usuarios, equipos y grupos que se crean utilizando la interfaz de programacin de aplicaciones (API) de la versin anterior utilizan la clase de objeto (objectclass) CN, en lugar del contenedor de clase de unidad organizativa, lo que sera preferible.

Microsoft recomienda que los administradores implementen la estructura de unidad organizativa en todos los dominios de Active Directory (vea la seccin "Ms informacin" para obtener ms detalles). Despus de actualizar o implementar controladores de dominio de Windows Server 2003 en el modo Dominio de Windows Server 2003, redirija a un contenedor de la unidad organizativa que especifique el administrador los contenedores predeterminados que la API de la versin anterior utiliza para crear usuarios, equipos y grupos.

Importante: si est utilizando Microsoft Exchange Server, no se debe mover el grupo Servidores de dominio de Exchange o el grupo Servidores empresariales de Exchange a ninguna otra unidad organizativa. Para que Exchange funcione como debe, estos grupos deben permanecer en el contenedor Usuarios predeterminado. Volver al principio Ms informacin

De manera predeterminada, el contenedor para grupos de seguridad, cuentas de usuario y cuentas de equipo de las instalaciones nuevas y actualizadas de Windows 2000 y Windows Server 2003 es CN=Users y CN=Computers. No puede aplicar configuraciones de Directiva de grupo en contenedores de clase CN. Por consiguiente, aquellos administradores que deseen definir una directiva para almacenar usuarios y equipos en su contenedor predeterminado deben hacerlo en la raz del dominio. Para evitar que la configuracin de las directivas definidas en un contenedor superior (la raz del dominio) se aplique a los usuarios y equipos de los contenedores subordinados CN y de unidad organizativa, los administradores deben definir complejas listas de control de acceso (ACL) en la configuracin de la directiva de la raz del dominio.

La solucin para los dominios de Windows 2000 y Windows Server 2003 es implementar la estructura recomendada para las unidades organizativas, en la que cada cuenta de Usuarios, Equipos, Grupos, Cuentas de servicio y Administrador se encuentra en su propia unidad organizativa. La estructura recomendada para las unidades organizativas se discute en la seccin "Creating an Organizational Unit Design" de las notas del producto Best Practice Active Directory Design for Managing Windows Networks. Para ver ese documento, visite el siguiente sitio Web de Microsoft:

http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/b paddsgn.mspx En la lista siguiente se describen los beneficios de utilizar la estructura de unidad organizativa recomendada:

Permite a los administradores aplicar la Directiva de grupo directamente en los contenedores que albergan usuarios y equipos.

Permite a los administradores asignar una Directiva de grupo a los objetos con una clase de objeto (objectclass) comn. Por ejemplo, es posible vincular la configuracin de la directiva Usuario o Equipo a las unidades organizativas que albergan cuentas de usuario o de equipo.

Permite a los usuarios delegados aplicar las directivas en los contenedores que no alojan usuarios con acceso de seguridad y grupos como Administradores de dominio, Administradores del esquema o Administradores de organizacin.

Puede minimizar el efecto si una unidad organizativa se elimina accidentalmente (suponiendo que el contenedor primario est correctamente protegido).

Permite restaurar de forma independiente usuarios y grupos en distintos escenarios de recuperacin. Las cuentas de usuario deben existir antes de restaurar el grupo. Ubicar a usuarios y grupos en contenedores diferentes permite restaurarlos y marcarlos como autoritarios de forma independiente.

Tenga en cuenta que los contenedores CN=USERS y CN=COMPUTERS son objetos protegidos por el equipo. No puede (y no debe) quitarlos para aumentar la compatibilidad con versiones anteriores, aunque puede cambiarles el nombre.

La estructura recomendada para las unidades organizativas funciona bien para almacenar en Active Directory usuarios, equipos y grupos ya existentes, porque dichos objetos pueden moverse al contenedor de unidad organizativa apropiado en los dominios de Windows 2000 y Windows Server 2003, independientemente del nivel funcional de bosque o de dominio. Las nuevas cuentas de usuario, las cuentas de equipo y los grupos de seguridad que se crean (en CN=users CN=computers) con las API de la versin anterior y que usan la GUI y las herramientas de administracin de la lnea de comandos no permiten que los administradores especifiquen una unidad organizativa de destino. Como resultado, estos objetos se crearn inicialmente en los contenedores CN=Users y CN=Computers, hasta que los mueva el administrador o una secuencia de comandos definida por l. La siguiente lista proporciona ejemplos de estas herramientas:

La interfaz de usuario para unirse al dominio en:

o o o o

Microsoft Windows NT 4.0 Microsoft Windows 2000 Microsoft Windows XP Professional Microsoft Windows Server 2003

Esta operacin une los dominios de Active Directory como equipos miembro.

y y y y y

El comando net user. El comando net computer. El comando net group. El comando netdom add all donde el comando /ou no se especifica o no se admite. Administrador de usuarios en equipos miembro basados en Windows NT 4.0

Adems, los usuarios que no son administradores no saben en qu contenedor deben crear los objetos, aunque se pueda especificar la unidad organizativa de destino.

Microsoft recomienda a los administradores actualizar los controladores de dominio Windows NT 4.0 y Windows 2000 a controladores de dominio de Windows Server 2003 y redirigir la ruta de acceso a CN=Users y CN=Computers, ya muy conocida, a una unidad organizativa especificada por el administrador. Al hacerlo, es posible aplicar la configuracin de Directiva de grupo a los contenedores que albergan las cuentas de usuarios y equipos recin creados o permanentes.

Si redirige las carpetas CN=Users y CN=Computers, tenga en cuenta los problemas siguientes:

El dominio de destino debe configurarse para ejecutarse en el dominio de Windows Server 2003 o en el nivel funcional del bosque. Para el nivel funcional de dominio, esto significa que todos los controladores de dominio del dominio deben ejecutar el sistema operativo Windows Server 2003.

Si ejecuta el comando setup /domainprep de Exchange 2000, recibir los mensajes de error enumerados en la seccin de este artculo "Mensajes de error que aparecen en el comando SETUP /DOMAINPREP de Exchange 2000 cuando CN=Users est redirigido". Este problema aparece si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange agregados por el comando setup /domainprep de Exchange 2000 no residen en el contenedor CN=USERS. Para evitar este problema, mueva los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange creados por el comando setup /domainprep de Exchange 2000 desde la unidad organizativa redirigida al contenedor

CN=Users. Para obtener ms informacin acerca de la interoperabilidad de Exchange, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base:

260914La utilidad Domainprep no funciona si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange se han movido a un contenedor nuevo

Volver al principio

Redirigir CN=Users a una unidad organizativa especificada por el administrador

1. Inicie sesin con credenciales de administrador en el dominio z en el que el contenedor CN=Users est siendo redirigido. 2. Cambie el dominio al nivel funcional de dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener informacin adicional acerca cmo aumentar el nivel funcional de dominio, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base:

322692Cmo elevar los niveles funcionales de dominio y de bosque en Windows Server 2003

3.

Cree el contenedor de unidad organizativa donde desee que residan los usuarios que se crean con API de versiones anteriores (si el contenedor OU deseado an no existe).

4.

Ejecute Redirusr.exe desde el smbolo del sistema utilizando la sintaxis siguiente, donde contenedor-dn es el nombre distintivo de la unidad organizativa que se convertir en la ubicacin predeterminada para los objetos de usuario recin creados creada con las API de nivel inferior:

c:\windows\system32\redirusr contenedor-dn

Redirusr se instala en la carpeta %SystemRoot%\System32 en los equipos basados en Windows Server 2003 nuevos y actualizados. Por ejemplo, para cambiar la ubicacin predeterminada para los usuarios creados con las API de nivel inferior (como Net User) al contenedor de OU=Users OU en el dominio CORP.COM, utilice la sintaxis siguiente:

c:\windows\system32>redirusr ou=myusers,DC=company,dc=com

Para obtener informacin adicional acerca de cmo disear una infraestructura de directivas de grupo, visite el siguiente sitio Web de Microsoft: http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b20546c6e9ba76741033.mspx Volver al principio

Redirigir CN=Computers a una unidad organizativa especificada por el administrador

1. Inicie sesin con credenciales de Administrador del dominio en el dominio donde se redirige el contenedor CN=computers. 2. Cambie el dominio al dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener ms informacin acerca cmo aumentar el nivel funcional de dominio, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base:

322692Cmo elevar los niveles funcionales de dominio y de bosque en Windows Server 2003

3.

Cree el contenedor de unidad organizativa donde desee que residan los equipos que se crean con API de versiones anteriores (si el contenedor OU deseado an no existe).

4.

Ejecute Redircmp.exe desde el smbolo del sistema utilizando la sintaxis siguiente, donde contenedor-dn es el nombre distintivo de la unidad organizativa que se convertir en la ubicacin predeterminada para los objetos de equipo recin creados con las API de nivel inferior:

redircmpcontenedor-dn contenedor-dn

Redircmp.exe se instala en la carpeta %Systemroot%\System32 en los equipos basados en Windows Server 2003 nuevos y actualizados. Por ejemplo, para cambiar la ubicacin predeterminada de un equipo creado con las API de la versin anterior (como Net User) al contenedor de OU=misequipos en el dominio CORP.COM, utilice la sintaxis siguiente:

C:\windows\system32>redircmp ou=misequipos,DC=company,dc=com

Nota: cuando se ejecuta Redircmp.exe para redirigir el contenedor CN=Computers a una OU especificada por un administrador, el contenedor CN=Computers dejar de ser un objeto de equipo protegido. Esto significa que ahora es posible mover, eliminar y cambiar el nombre del

contenedor Computers. Si utiliza ADSIEDIT para ver atributos del contenedor CN=Computers, ver que el atributo systemflags se ha modificado de -1946157056 a 0. Se trata de una caracterstica del diseo de la aplicacin.

Volver al principio

Descripcin de los mensajes de error

Mensajes de error que se producen si el PDC est sin conexin
Redircmp y Redirusr modifican el atributo wellKnownObjects en el controlador de dominio principal (PDC). Si el PDC del dominio modificado no tiene conexin o no est accesible, recibir los mensajes de error siguientes. Mensaje de error 1 D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc Error, could not locate the Primary Domain Controller for the current domain: The specified domain either does not exist or could not be contacted. Redirection was NOT successful. Mensaje de error 2 D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc Error, could not locate the Primary Domain Controller for the current domain: El dominio especificado no existe o no se pudo establecer conexin con l. La redireccin no se realiz.

Mensajes de error que se producen si el nivel funcional del dominio no es Windows Server 2003
Si intenta redirigir una unidad organizativa de usuarios o equipos a un dominio que no ha pasado al nivel funcional de dominio de Windows Server 2003, aparecern los siguientes mensajes de error. Mensaje de error 1 C:\>redirusr OU=usersou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Unwilling To Perform Redirection was NOT successful. Mensaje de error 2 C:\>REDIRCMP ou=computersou,dc=company,dc=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Unwilling To Perform

Mensajes de error que se producen si inicia sesin sin los permisos necesarios
Si intenta redirigir las unidades organizativas de usuarios o equipos utilizando credenciales incorrectas en el dominio de destino, puede recibir los mensajes de error siguientes. Mensaje de error 1 C:>REDIRCMP OU=computersou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful. Mensaje de error 2 :\>redirusr OU=usersou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.

Mensajes de error que se producen si redirige a una unidad organizativa que no existe
Si intenta redirigir las unidades organizativas de usuarios o equipos a una unidad organizativa que no existe, puede recibir los mensajes de error siguientes. Mensaje de error 1 C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful. Mensaje de error 2 C:\>redirusr OU=nonexistantou,DC=company,DC=com Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful.

Mensajes de error que se producen en Exchange 2000 "setup /domainprep" cuando se redirige CN=Users
Si Exchange 2000 setup /domainprep no tiene xito, recibe el mensaje de error siguiente: Se produjo un error en el programa de instalacin al instalar el subcomponente Permisos de dominio, el cdigo de error es 0x80072030 (consulte el registro de instalacin para obtener una descripcin detallada). Puede cancelar la instalacin o volver a intentar el paso en el que se produjo el error. (Reintentar / Cancelar)

En el registro de instalacin de Exchange 2000 analizado con el analizador de registros aparece la siguiente informacin: [HH:MM:SS] Starting Exchange 4417 setup on Windows 2000 5.0.2195.Service Pack 3 at 21:43:31 02/19/2003 [HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component [HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] El programa de instalacin encontr un error durante Preparacin del dominio de Microsoft Exchange de las DomainPrep tareas del componente. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Cdigo de error 0X80072030 (8240): No existe el objeto en el servidor. [HH:MM:SS] Instalacin finalizada El atributo wellKnownObjects que los comandos redirusr y redircmp modifican define la ubicacin predeterminada en la que se crean los usuarios, equipos y grupos. Puede ver el atributo en la raz del encabezado NC de dominio con Ldp.exe o Adsiedit.msc. En este ejemplo, las unidades organizativas Usuarios y equipos se han redirigido a OU=UsersOU y OU=ComputersOU:

----------Expanding base 'DC=company,DC=com'...

Result <0>: (null) Matched DNs: Getting 1 entries: >> Dn: DC=company,DC=com 3> objectClass: top; domain; domainDNS; 1> distinguishedName: DC=company,DC=com; ... 11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;

B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com; B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com;

B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com;

B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC =com; B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>

B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com;

B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com;

B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; -----------

Volver al principio Referencias

Para obtener ms informacin, haga clic en los nmeros siguientes para ver los artculos correspondientes en Microsoft Knowledge Base: 818470La instalacin de Exchange Server 2003 devuelve el cdigo de error 0x80072030 cuando ejecuta setup.exe /domainprep 260914La utilidad Domainprep no funciona si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange se han movido a un contenedor nuevo Volver al principio

La informacin de este artculo se refiere a:

Volver al principio

AGDLP principio

Figura 1 Los permisos de acceso en Windows

Zugriffsberechitungen galardonado como el mejor en slo para grupos. En Windows, en un dominio, por un lado, dos grupos de tipos de inters de los grupos, por otra parte, los permisos de acceso y Geltungsbreiche los grupos.

No est ejecutando Windows Active Directory 2 tipos de grupos:

y y

Mundial GUPP Grupos locales de dominio.

La diferencia en el modo de accin de los grupos es que los grupos globales de trabajo a travs de dominios.

Grupos locales de dominio, sin embargo, actuar slo en el dominio local en el que se crean. Debido a este hecho es otorgado por Microsoft de la AGDLP llamado principio cuando los permisos en Windows es recomendable. No se requiere pero se recomienda. El acuerdo, sin embargo.

La imagen de la figura 1 se ilustra la AGDLP principio. Se va a crear grupos de dominio local y global. Los grupos locales de dominio se asignan los permisos a travs de ACL. A continuacin, el dominio de los grupos locales se asignan a los grupos globales adecuadas. Slo los grupos globales se asignan a las cuentas de usuario. El sentido de trabajar con dos tipos de grupos es en el mbito de los grupos: Los grupos globales se encuentran en toda la zona del dominio. Grupos locales de dominio son slo a nivel local en el barrio de dominio existentes. Esto hace que sea posible, los permisos de hecho en la marcha de perdonar. Cuando estn definidos a nivel local en un dominio est en conformidad con los permisos existentes para los grupos de dominio local, y luego llega a un ya agregar un grupo local de dominio a un grupo global de Active Directory para dar los permisos apropiados para usuarios especficos. No hay permisos NTFS para ser cambiado. Tericamente, se podra decir que los grupos de dominio local no sirven para nada, ya que tambin puede alinearse permisos a grupos globales. Sin embargo, una continuacin, debe crear varios grupos globales, y en segundo lugar, deben todos los grupos globales en el catlogo global se replica. Que slo hara que el trfico innecesario en el contexto que la evaluacin de la ACL asociada slo se lleva a cabo en el controlador de dominio disponibles a nivel local. No es necesario trabajar en este momento con los grupos globales. Podra ser un agrupamiento de los mundiales con el grupo local. Otra ventaja es la documentacin apropiada en diretory activo. Si usted sigue la convencin:

Un grupo global es una etiqueta con un G_ <nombre_de_grupo>. Un grupo local de dominio se llama DL_ <Standordname> _> Nombre del grupo>.

As se puede ver en los grupos de Active Directory global en el que una mano es un usuario, y en segundo lugar que los grupos locales de dominio se asignan grupos lobal. As que ya pueden ver los permisos, incluso sin los permisos adecuados para el control de NTS.

Menu_oben_rechts Menu_unten_rechts

y y

Link1 Link2

Cuando se habilita Active Desktop, puede experimentar uno o varios de los sntomas siguientes:

Recibe el siguiente mensaje de error cuando intenta habilitar Active Desktop:

Internet Explorer no puede encontrar el archivo HTML de Active Desktop. Este archivo es necesario para su Active Desktop. Haga clic en Aceptar para desactivar Active Desktop.

Al hacer clic en el comando como pgina Web para seleccionarlo en el men Ver en el Explorador de Windows o en Mi PC, no sucede nada.

Cuando intenta ver una pgina Web, Internet Explorer le pide que abra o guarde el archivo en un disco en lugar de mostrar la pgina Web.

Cuando inicia Internet Explorer, puede ver un cuadro de dilogo Descarga de archivos que se indica:

Abriendo: /FROM .HTML de la homepage

No se realiza ningn progreso y, al hacer clic en Cancelar , el cuadro de dilogo e Internet Explorer se cierre ambos.

Tambin puede observar cuando vea las propiedades de Internet Explorer al hacer doble clic en Internet en el panel de control que no hay ninguna ficha General o contenido .

Volver al principio Causa

Este comportamiento puede ocurrir si el archivo Mshtml.dll falta o est daada, o si las entradas del registro para el archivo Mshtml.dll falta o est daado. Volver al principio Solucin

Para resolver este comportamiento, siga estos pasos:

1.

Haga clic en Inicio , seleccione Buscar y, a continuacin, haga clic en Archivos O carpetas .

2. 3.

En el cuadro Nombre, escriba mshtml.dll y, a continuacin, haga clic en Buscar ahora . Si se encuentra el archivo Mshtml.dll, haga clic con el botn secundario del mouse en l, haga clic en Cambiar nombre y, a continuacin, escriba un nombre nuevo para el archivo Mshtml.dll (por ejemplo, Mshtml.xxx).

Si no se encuentra el archivo Mshtml.dll, vaya al paso 4.

Para obtener ms informacin acerca de cmo cambiar el nombre de un archivo, haga clic en Inicio , haga clic en Ayuda , haga clic en la ficha ndice , escriba Cambiar nombre y, a continuacin, haga doble clic en el tema "Cambiar el nombre de archivo". 4. 5. Salga de la herramienta de bsqueda. Extraiga una copia nueva del archivo Mshtml.dll del CD-original ROM de Internet Explorer, la carpeta a la que descarg los archivos de instalacin de Internet Explorer, o los discos de Windows 98 originales o el CD-ROM a la carpeta Windows\System.

Nota: Pngase en si no tienen un CD-ROM de Internet Explorer o una carpeta en el disco duro que contiene los archivos de instalacin de Internet Explorer, con los Microsoft Servicios de soporte tcnico.

Nota: Si previamente ha aplicado una actualizacin en el archivo Mshtml.dll proporcionado por Microsoft, reinstalar la versin actualizada de la Mshtml.dll archivo en lugar de la versin incluida con Internet Explorer o Windows 98.

En Internet Explorer 4.0 4.01 para Windows 95, siga estos pasos para extraer el archivo Mshtml.dll:

a.

En un smbolo del sistema, escriba el comando siguiente y presione ENTRAR

extraer /l <path1><path2><ruta2> \ie4_s2.cab ie4_2.cab

donde <path1><path2> es la ruta de acceso la carpeta a la que desea extraer el archivo .cab Ie4_2.cab y <ruta2> es la ruta de la carpeta en la que se encuentran los archivos de instalacin de Internet Explorer.

Nota <path2>: si descarg Internet Explorer 4.0 4.01 desde Internet, <ruta2> es la ubicacin de archivos de los instalacin de Internet Explorer en el disco duro.

<path2>Si ha instalado Internet Explorer 4.0 4.01 desde un CD-ROM, <ruta2> es la ruta de acceso el programa de instalacin de Internet Explorer archivos en Internet Explorer 4.0 4.01 CD-ROM.

b.

En el smbolo del sistema, escriba el comando siguiente y presione ENTRAR

extraer /l <path1><path2><ruta2> \ie4_2.cab mshtml.dll

donde <path1><path2> es la ubicacin de la carpeta Windows\System y <ruta2> es la ruta de acceso a la carpeta en la que extrajo el archivo Ie4_2.cab.

6.

En Windows 98, utilice la herramienta para extraer el archivo Mshtml.dll. Para obtener informacin sobre cmo extraer archivos mediante la herramienta, consulte en contacto con el siguiente artculo en Microsoft Knowledge Base: 7. ARTICLE-ID: 129605 TITLE: Cmo extraer los archivos de Windows comprimidos originales

Si el comportamiento persiste, siga estos pasos:

1. 2.

Haga clic en Inicio y, a continuacin, haga clic en ejecutar. En el cuadro Abrir, escriba "regsvr32 /i mshtml.dll" (sin las comillas), haga clic en Aceptar y, a continuacin, vuelva a hacer clic en Aceptar.

3.

Reinicie el equipo.

Volver al principio

La informacin de este artculo se refiere a:

Volver al principio

Palabras clave: kbmt kbenv kberrmsg kbprb KB193110 KbMtes

Volver al principio Traduccin automtica IMPORTANTE: Este artculo ha sido traducido por un software de traduccin automtica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece

artculos traducidos por un traductor humano y artculos traducidos automticamente para que tenga acceso en su propio idioma a todos los artculos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artculos traducidos automticamente pueden contener errores en el vocabulario, la sintaxis o la gramtica, como los que un extranjero podra cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisin, error o dao ocasionado por una mala traduccin del contenido o como consecuencia de su utilizacin por nuestros clientes. Microsoft suele actualizar el software de traduccin frecuentemente. Haga clic aqu para ver el artculo original (en ingls): 193110