Administrando el Active Directory

Resumen Este procedimiento tcnico es una introduccin a la administracin del servicio de directorio Active Directory de Microsoft Windows 2000. Los procedimientos explicados en este documento demuestran cmo utilizar el complemento Usuarios y equipos de Active Directory para agregar, mover, eliminar y alterar las propiedades de objetos como usuarios, contactos, grupos, servidores, impresoras y carpetas compartidas. Introduccin Este documento es una introduccin a la administracin de Active Directory y del complemento de Usuarios y equipos de Active Directory de Microsoft Windows 2000. Este complemento permite agregar, mover, eliminar y modificar las propiedades de objetos como usuarios, contactos, grupos, servidores, impresoras y carpetas compartidas. Debe tener instalada la versin beta 3 de Windows 2000 Server (que incluya Active Directory) en un servidor de la red. Las herramientas de administracin se pueden ejecutar desde el servidor, o es posible ejecutar las herramientas desde una versin beta 3 de Windows 2000 Professional. Las herramientas de administracin se instalan de forma predeterminada en todos los controladores de dominio de Windows 2000. En los servidores o estaciones de trabajo independientes de Windows 2000, las herramientas administrativas de Active Directory son opcionales y se pueden instalar desde el paquete de componentes opcionales de Windows 2000. En este procedimiento tcnico se realizarn las siguientes tareas. Tareas administrativas comunes o o o Tareas administrativas avanzadas o Crear unidades organizativas Crear usuarios y contactos Crear grupos y agregar miembros a grupos Publicar recursos compartidos de red, tales como carpetas e impresoras compartidas en el directorio. Mover usuarios, grupos y unidades organizativas en el directorio Usar filtros y bsquedas para recuperar objetos del directorio

1-27

Usar el complemento Dominios y confianzas de Active Directory

El complemento Dominios y confianzas de Active Directory proporciona una representacin grfica de todos los rboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de operacin para cada dominio (Modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal de usuario (UPN) para el bosque. Para iniciar el complemento Dominios y confianzas de Active Directory 1. Inicie una sesin como administrador Si se inicia una sesin usando una cuenta que no tiene privilegios administrativos, es posible que no pueda administrar Active Directory. 2. Haga clic en el botn Inicio seleccione Programas y a continuacin haga clic en Herramientas administrativas. 3. Haga clic en Dominios y confianzas de Active Directory. Aparece una ventana parecida a la siguiente.

4. Agregar sufijos alternativos de Nombre principal de usuario. El Nombre principal

de usuario (UPN) proporciona un estilo de nomenclatura de fcil utilizacin para que los usuarios inicien una sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al que tambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer rbol del bosque. En este procedimiento tcnico, el sufijo UPN predeterminado es antipodas.com. 5. Seleccione el nodo raz de Dominios y confianzas de Active Directory , haga clic con el botn secundario del mouse (ratn) y seleccione Propiedades. 6. Agregue los siguientes sufijos UPN:

2-27

marsupiales.com bosquimanos.com

7. Es posible administrar cada uno de los dominios que aparecen en la vista de

rbol si se inicia el complemento Usuarios y equipos de Active Directory. Seleccione el nodo de dominio de antipodas.com, haga clic con el botn secundario del mouse y seleccione Administrar. Para continuar administrando objetos del directorio, consulte la seccin "Usar el complemento Usuarios y equipos de Active Directory", en este documento. Los dominios de Windows 2000 operan en uno de estos dos modos: o Modo mixto , el cual permite que coexistan en el dominio controladores de dominio que ejecutan tanto Windows 2000 como versiones anteriores de Windows NT Server. En modo mixto, siguen estando habilitadas las caractersticas de dominio de versiones anteriores de Windows NT Server, mientras que algunas caractersticas de Windows 2000 estn deshabilitadas. Modo nativo, en el cual todos los controladores de dominio tienen que ejecutar Windows 2000 Server. En Modo nativo, se pueden aprovechar caractersticas nuevas tales como los Grupos universales, la pertenencia a grupos anidados y la pertenencia a grupos en varios dominios.

3-27

Para cambiar a modo nativo 1. Asegrese que todos los controladores de dominio del dominio ejecutan Windows 2000 Server. 2. Haga clic con el botn secundario del mouse en el objeto dominio, y a continuacin haga clic en Propiedades . Aparece una ventana parecida a la siguiente:

3. Haga clic en el botn Cambiar modo.

4-27

4. Reinicie el controlador de dominio.

Uso del complemento Usuarios y equipos de Active Directory

Para iniciar el complemento Usuarios y equipos de Active Directory 1. Iniciar una sesin como administrador Si se inicia una sesin usando una cuenta que no tiene privilegios administrativos, es posible que no se pueda crear varios objetos de directorio. Inicie el complemento Usuarios y equipos de Active Directory. Existen varios mtodos para iniciar este complemento: o Se puede invocar el complemento Usuarios y equipos de Active Directory desde el complemento Dominios y confianzas de Active Directory (segn se describe en la seccin anterior), o o Se puede cargar el complemento desde el men Herramientas administrativas. Haga clic en el botn Inicio seleccione Programasy a continuacin haga clic en Herramientas administrativas. Haga clic en Usuarios y equipos de Active Directory para iniciar el complemento.

5-27

La siguiente ilustracin y tabla identifican los componentes clave del complemento Usuarios y equipos de Active Directory.

Objeto Panel de mbito Panel de resultados Barra de herramientas de la consola Barra de herramientas de complemento

Descripcin Muestra todos los objetos del contenedor. Muestra todos los objetos que contiene el objeto seleccionado en el panel de mbito. Barra de herramientas asociada a Management Console. Barra de herramientas asociada al complemento Usuarios y equipos de Active Directory

Indica si el complemento est funcionando en modo Avanzado o Normal, si se aplic un filtro y Barra descriptiva el nmero de objetos mostrados en el panel de resultados. Enumera las acciones que se pueden realizar Men contextual sobre el objeto o los objetos seleccionados Consiste en una serie de cuadros de dilogo que Asistente guan al usuario por una serie de pasos. Hojas de Cuadros de dilogo utilizados para presentar los propiedades atributos de un objeto. Los objetos que se describen en la siguiente tabla se crean durante la instalacin de Active Directory, ya sea una instalacin nueva o una actualizacin de un dominio de Windows NT 4.0. Icono Carpeta Descripcin

6-27

Dominio

Equipos

Sistema

Usuarios

El nodo raz del complemento representa el dominio administrado. Contiene todos los equipos Windows NT y Windows 2000 que se unen a un dominio. Esto incluye a equipos que ejecutan las versiones 3.51 y 4.0 de Windows NT, as como a aquellos con Windows 2000. Si actualiza a partir de una versin anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos. Contiene informacin de sistemas y servicios de Active Directory, tales como RPC, WinSock y otras informaciones. Contiene a todos los usuarios del dominio. En una actualizacin, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se puede mover los objetos usuario.

Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Descripcin Un objeto usuario es una entidad de seguridad en el directorio. Un usuario puede iniciar una sesin en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso. Un objeto contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar una sesin como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrnico. Un objeto que representa a un equipo en la red. Para las estaciones de trabajo y servidores Windows NT, esta es la cuenta de equipo. Las unidades organizativas se utilizan como contenedores para organizar de manera lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro.

Usuario

Contacto

Equipo

Unidad organizativa

7-27

Grupo

Carpeta compartida Impresora compartida

Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administracin de cantidades grandes de objetos. Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio. Una impresora compartida es una impresora de red que se ha publicado en el directorio

Con el siguiente procedimiento se crea una unidad organizativa en el dominio antipodes . Ntese que se pueden crear unidades organizativas anidadas, y no hay lmite de niveles de anidamiento. Para agregar una unidad organizativa (OU)

1. Haga clic con el botn secundario del mouse en un objeto del dominio. 2. Seleccione Nuevo, y haga clic en Unidad organizativa, o bien utilice el botn
de la barra de herramientas Nueva unidad organizativa. Escriba lo siguiente como nombre para la nueva unidad organizativa: Ventas

3. Haga clic en Aceptar.

Para el resto de los ejercicios de este procedimiento tcnico, repita los pasos 1 y 2 arriba indicados a fin de crear unidades organizativas adicionales, de la siguiente forma: o o o Cree otra unidad organizativa llamada Mercadotecnia en el dominio. Cree otra unidad organizativa llamada Fabricacin en el dominio. Cree otra unidad organizativa llamada Consumidor dentro de la unidad organizativa Mercadotecnia. (Para hacer esto, haga clic con el botn secundario del mouse en Mercadotecnia, haga clic en Nuevoy a continuacin haga clic en Unidad organizativa.) Cree dos unidades organizativas ms llamadas Empresa y Gobierno dentro de la unidad organizativa Fabricacin

8-27

Al terminar, debera quedar la siguiente jerarqua:

Con el siguiente procedimiento se crea la cuenta de usuario Juan Medina en la unidad organizativa Ventas. Para crear una cuenta de usuario nueva

1. Haga clic con el botn secundario del mouse en la unidad organizativa Ventas ,
haga clic en Nuevo y a continuacin haga clic en Usuario, o utilice el botn de la barra de herramientas Usuario nuevo . 2. Escriba la siguiente informacin: En este cuadro de texto Nombre Apellido Nombre y apellido Nombre de inicio de sesin Escriba Juan Medina Juan Medina jmedina

9-27

3.

4. Escriba una contrasea tanto en el cuadro de Contrasea como en el cuadro

Confirmar , y seleccione las opciones de cuenta apropiadas.

10-27

5. Acepte el cuadro de dilogo de confirmacin. Acaba de crear una cuenta para Juan Medina en la unidad organizativa Ventas. Para agregar informacin de usuario Haga clic con el botn secundario del mouse en el objeto usuario, y a continuacin haga clic en Propiedades

1. Haga clic con el botn secundario del mouse en el objeto usuario, y a 2.

continuacin haga clic en Propiedades Agregue ms informacin acerca del usuario (segn se muestra en la siguiente ilustracin) y haga clic en Aceptar.

A los usuarios se les puede mover de una unidad organizativa a otra dentro del mismo dominio o a otro dominio distinto. Por ejemplo, en este procedimiento, Juan Medina se mueve desde la divisin de Ventas a la divisin de Mercadotecnia. Para mover la cuenta de usuario 1. Seleccione la unidad organizativa Ventas.

11-27

2. Seleccione la cuenta de usuario de Juan Medina, haga clic con el botn

secundario del mouse y seleccione Mover. clic en Aceptar.

3. Haga clic en Examinar, seleccione la unidad organizativa Mercadotecnia y haga

Nota Esta versin beta no admite la administracin de usuarios mediante el procedimiento arrastrar y colocar. Si actualiza a partir de una versin anterior de Windows NT Server, es posible que se desee mover a los usuarios existentes desde la carpeta Usuarios a algunas de las unidades organizativas que cree. Para crear un grupo

1. Haga clic con el botn secundario del mouse en la unidad organizativa 2.

Mercadotecnia , haga clic en Nuevo y a continuacin haga clic en Grupo, o bien seleccione el botn Crear nuevo grupo . de la barra de herramientas. En el cuadro de texto Nombre del nuevo grupo, escriba

Enlace de prensa

12-27

Seleccione el Tipo de grupo y mbito de grupo apropiados: o El Tipo de grupo indica si se puede usar el grupo para asignar permisos a otros recursos de la red, tales como archivos e impresoras. Tanto los grupos de seguridad como los de distribucin se pueden utilizar para confeccionar listas de distribucin de correo electrnico. El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede contener el grupo. Ambito Dominio local Globales Universales Visibilidad Puede contener Grupos de usuarios, globales o Dominio universales Arbol Grupos de usuarios o globales Grupos de usuarios, globales o Bosque universales

Para agregar un usuario a un grupo

1. Haga clic con el botn secundario del mouse en el grupo Enlace de prensa y
haga clic en Propiedades.

2. En la ficha Miembros haga clic en Agregar.

13-27

3. Esto iniciar el cuadro de dilogo Buscar Se puede utilizar este cuadro de 4.

dilogo para establecer como mbito de la consulta el bosque, un dominio especfico o una unidad organizativa. Haga clic en Juan Medina y a continuacin haga clic en Agregar.

Nota Es posible seleccionar mltiples usuarios o grupos en este cuadro de dilogo si mantiene presionada la tecla CTRL mientras hace clic en cada uno de ellos. Tambin se puede escribir directamente el nombre. Si el nombre es ambiguo, se muestra otra lista para confirmar la seleccin.

Como alternativa, es posible seleccionar los usuarios desde el panel de resultados, y despus seleccionar Agregar a grupo en el men contextual o usar el botn correspondiente de la barra de herramientas. Esto puede resultar ms eficiente para agregar un gran nmero de miembros a un grupo.

14-27

Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en el directorio. Al crear un objeto carpeta compartida en el directorio no comparte la carpeta automticamente. Este es un proceso en dos pasos: En primer lugar se debe compartir la carpeta y despus publicarla en el directorio. Para compartir una carpeta

1. Utilice el Explorador de Windows NT o la lnea de comandos para crear una 2. 3.

nueva carpeta llamada Comunicados de prensa en uno de los volmenes del disco. En el Explorador de Windows NT, haga clic con el botn secundario del mouse en el nombre de la carpeta, haga clic en Propiedades, haga clic en la ficha Compartir y haga clic en Compartida como. En Nombre del recurso compartido, escriba CP

4. Haga clic en Aceptar.

5. Llene la carpeta con archivos, tales como documentos, hojas de clculo o presentaciones. Tambin se puede establecer un volumen Dfs. Para obtener ms informacin, vea el documento de procedimiento tcnico "Sistema de archivos distribuido". Para publicar la carpeta compartida en el directorio

15-27

1. En la herramienta de Administracin de directorio, haga clic con el botn 2.

secundario del mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y haga clic en Carpeta compartida. En el campo modificable Nombre, escriba Comunicados de prensa

3. En el campo modificable Ruta UNC, escriba

///CP por ejemplo, escriba //koala.antipodas.com/PR

La unidad organizativa Mercadotecnia aparece ahora como se muestra en la siguiente ilustracin.

16-27

Los usuarios pueden ver ahora este volumen al examinar el directorio. Para examinar el directorio

1. 2. 3. 4.

Desde el escritorio, abra Mis sitios de red. Haga clic en Directorio. Haga clic en el nombre del dominio y a continuacin en Mercadotecnia. Para ver los archivos del volumen, o bien haga clic con el botn secundario del mouse en el volumen Comunicados de prensa , y haga clic en Abrir, o bien haga doble clic en Comunicados de prensa.

Esta seccin describe los procesos para publicar impresoras en un directorio de Windows 2000. Impresoras de Windows 2000
Es posible publicar una impresora compartida por un equipo que ejecuta Windows 2000: para ello se utiliza la ficha Compartir del cuadro de dilogo de propiedades de la impresora. De manera predeterminada, est activada la opcin listada en <>directorio>. (Esto significa que la impresora compartida se publicar de manera predeterminada). La impresora se publica en el contenedor del equipo correspondiente, en el directorio. Se llamar -.

17-27

El subsistema de impresin propaga de forma automtica al directorio los cambios realizados a los atributos de la impresora (ubicacin, descripcin, carga de papel y otros) Para compartir y publicar una impresora

1. Cree una nueva impresora haga clic en Inicio, seleccione Configuracin, haga 2.

clic en Impresoras y a continuacin haga clic en Agregar Impresora. Siga las instrucciones proporcionadas en la pantalla para crear la impresora. Una vez creada la impresora, seleccione la casilla de verificacin Listada en directorio. Aparecer una ventana parecida a la siguiente:

El objeto impresora se publicar bajo el objeto equipo al que est conectada.

Impresoras no Windows 2000

Es posible publicar impresoras compartidas por sistemas que no sean Windows 2000 en el directorio. La forma ms sencilla de hacer esto es utilizando la secuencia de comandos pubprn . Esta secuencia de comandos publicar todas las impresoras

18-27

compartidas en un servidor dado. Se encuentra en el directorio system32. La sintaxis es: cscript pubprn.vbs server dspath [trace] Por ejemplo: Cscript pubprn.vbs prserv1 "LDAP://ou=mercadotecnia,dc=antipodas,dc=com" publicar todas las impresoras en el servidor //prservl, y las impresoras se publicarn en la unidad organizativa de Mercadotecnia. Esta secuencia de comandos copia slo el siguiente subconjunto de atributos de impresora: o o o o Ubicacin Modelo Comentario Ruta UNC

Es posible agregar otros atributos con el complemento de Administracin de directorios. Observe que es posible volver a ejecutar pubprn y actualizar en lugar de sobrescribir las impresoras existentes. Como alternativa, se puede utilizar el complemento DS MMC para publicar impresoras que se hallen en servidores que no tienen Windows 2000. Para utilizar el complemento DS MMC para publicar impresoras

1. Haga clic con el botn secundario del mouse en la unidad organizativa

Mercadotecnia, haga clic en Nuevo y haga clic en Impresora.

2. En el campo Nombre, escriba

Impresora de Comunicados de prensa

3. En el nombre de la Ruta UNC escriba la ruta a la impresora, tal como

//wombat/prprint.

19-27

Los usuarios finales pueden apreciar la ventaja de que las impresoras se publiquen en el directorio porque les permite buscar impresoras, enviar documentos a esas impresoras e incluso instalar los controladores de impresora directamente desde el servidor. Para examinar y utilizar impresoras en el directorio

1. Desde el escritorio, abra el Entorno de red. 2. Haga clic en Directorio. 3. Haga clic en el nombre de su dominio y a continuacin haga clic en
Mercadotecnia.

4. Haga clic con el botn secundario del mouse en HPColor, y a continuacin haga
clic en Instalar para instalar la impresora como una impresora local, o haga clic en Abrir para ver la cola de impresin actual.

20-27

Un objeto equipo se crea de forma automtica cuando un equipo se une a un dominio. Tambin se puede crear el objeto equipo antes de que el equipo se una al dominio. Para crear un objeto equipo

1. Haga clic con el botn secundario del mouse en la unidad organizativa

Mercadotecnia, haga clic en Nuevo y luego en Equipo. 2. Para el nombre de equipo, escriba canguro De forma opcional, es posible seleccionar a qu usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio. Ahora que se ha creado el objeto equipo, es posible que se quiera administrar este equipo de forma remota, diagnosticando los servicios que se ejecutan en este equipo, consultando el visor de sucesos, etc. Para iniciar el complemento Administracin de equipo

1. En la herramienta de Administracin de directorio, haga clic con el botn

secundario del mouse en el objeto equipo y haga clic en Administrar. seleccionado.

2. Se iniciar el complemento Administracin de equipos para el equipo

21-27

Se puede cambiar el nombre y eliminar cada objeto del directorio , y se puede mover la mayor parte de los objetos a contenedores distintos. Para mover un objeto

1. Haga clic con el botn secundario del mouse en el objeto, y a continuacin haga
clic en Mover

2. Haga clic en Examinar. Aparecer el Explorador de directorios, lo que le

permite seleccionar el contenedor de destino para el objeto que est moviendo.

22-27

Es posible utilizar grupos anidados siempre que se est ejecutando Active Directory en Modo nativo. Los grupos anidados son ms fciles de administrar, por lo que se reduce la carga de administracin. Para crear un grupo anidado

1. Cree un nuevo grupo Haga clic con el botn secundario del mouse en la carpeta
Mercadotecnia, haga clic en Nuevo y luego en Grupo. Escriba Todo mercadotecnia

como nombre para el nuevo grupo.

2. Haga clic con el botn secundario del mouse en la carpeta Grupo Todo
mercadotecnia y haga clic en Propiedades.

23-27

3. Incluya Enlace de prensa como miembro del grupo Todo mercadotecnia.

Para comprobar los grupos anidados

1. Haga clic con el botn secundario del mouse en Todo mercadotecnia, haga 2.

clic en Propiedades y, a continuacin, en Pertenencia. Ver que Enlace de prensa es miembro de Todo mercadotecnia. Haga doble clic en Enlace de prensa y a continuacin haga clic en Pertenencia. Ver que Enlace de prensa aparece enumerado como miembro del grupo Todo mercadotecnia.

Buscar objetos especficos

En lugar de examinar la lista de objetos en el panel de resultados, a menudo es ms eficiente buscar objetos especficos que se ajusten una serie de criterios. En este ejemplo, buscar a todos los usuarios que tengan el apellido "Medina" y estn en la unidad organizativa Mercadotecnia. Para buscar a estos usuarios

24-27

1. Seleccione la unidad organizativa Mercadotecnia. 2. Inicie el cuadro de dilogo Buscar; para ello, haga clic en el botn Buscar en 3.

la barra de herramientas o bien haga clic con el botn secundario del mouse y seleccione Buscar en el men contextual. En el campo Nombre, escriba Medina

4. Haga clic en el botn Buscar ahora.

Filtrar una lista de objetos

Filtrar la lista de objetos devueltos desde el directorio le permite administrar el directorio de forma ms eficiente. Esta opcin de filtrado permite restringir los tipos de objetos devueltos al complemento; por ejemplo, puede elegir ver slo usuarios y grupos, o es posible que desee crear un filtro ms complejo. Adems, si una unidad organizativa tiene ms de un nmero especificado de objetos, el cuadro de dilogo de filtro permite restringir el nmero de objetos que se muestran en el panel de resultados. Se puede utilizar el cuadro de dilogo Filtrar para configurar esta opcin. En este ejemplo, se crear un filtro diseado para recuperar usuarios solamente.

25-27

Para crear el filtro

1. Inicie el cuadro de dilogo del filtro; para ello haga clic en el botn Filtro de la 2. 3.
barra de herramientas o bien haga clic en el elemento Ver del men y seleccione Filtro. Seleccione la opcin Mostrar slo los siguientes tipos de objetos y a continuacin seleccione Usuarios y grupos. Haga clic en Aceptar.

Despus de hacer clic en Aceptar, siempre que vea un contenedor, ste recupera slo objetos usuario y equipo. Si tambin habilita la barra descriptiva, se produce una indicacin visual de que se aplic un filtro

26-27

27-27