Directorio Activo

Centralizar
información en
Servidores
mediante
dominios
ÍNDICE
1. ¿Qué es el Active Directory?
2. Pasos previos para instalar el Active Directory
3. Instalación del Active Directory
4. Verificar la instalación del Active Directory
5. Modificación de las Directivas de seguridad la gestión de contraseñas
6. Modificación de las Directivas de seguridad la gestión de bloqueos de cuentas
7. ¿Qué es una Unidad Organizativa?
8. Crear, mover y organizar la Unidad Organizativa
9. Crear Usuarios
10. Opciones de Usuarios
11. Plantillas de usuarios
12. Agregación de un equipo cliente al dominio (Windows7)
13. ¿Qué son los Perfiles Móviles?
14. Perfiles Móviles
15. Delegar el control de las unidades organizativas
16. Analizar los permisos de los objetos de A.D
17. Gestión de cuentas de equipo
18. Modificación de propiedades de equipos
19. ¿Qué es un Grupo?
20. Grupos predeterminados y sus funciones
21. Ámbitos y tipos de grupos
22. Creación de grupos
23. Propiedades de los grupos y Adminstrador de grupo
24. Asignación de permisos
25. Búsqueda de objetos en AD
26. Resumen
1. ¿QUÉ ES EL ACTIVE
DIRECTORY?
Active Directory (AD) es el término que usa Microsoft para referirse a su
implementación de servicio de directorio en una red distribuida de
computadores. Utiliza distintos protocolos (principalmente LDAP, DNS,
DHCP, Kerberos...).
Su estructura jerárquica permite mantener una serie de objetos

relacionados con componentes de una red, como usuarios, grupos de
usuarios, permisos y asignación de recursos y políticas de acceso.
Active Directory permite a los administradores establecer políticas a nivel de

empresa, desplegar programas en muchos ordenadores y aplicar
actualizaciones críticas a una organización entera.
Un Active Directory almacena información de una organización en una base de

datos central, organizada y accesible. Pueden encontrarse desde directorios
con cientos de objetos para una red pequeña hasta directorios con millones de
objetos.
2. PASOS PREVIOS PARA
INSTALAR EL ACTIVE DIRECTORY
Antes de instalar A.D debemos configurar de forma estática, tanto la
dirección IP como el DNS.
Para ello, nos vamos a ->Al botón de Windows ->Botón derecho->

Conexiones de red, o al centro de redes y recursos compartidos ->
B.derecho->Propiedades->versión ipv4
3. INSTALACIÓN DEL ACTIVE
DIRECTORY
Para instalar Active Directory podemos hacerlo de diferentes formas:
 La primera forma es mediante “Administración del servidor”,

añadiendo un nuevo rol, el rol se llama Servicios de dominio de
Active Directory.
 La segunda forma es mediante el comando dcpromo.

DIRECTORY
 Durante el proceso de instalación, hace una comprobación de

las direcciones IP y aunque, anteriormente, hemos configurado
dichas direcciones como estáticas, nos aparece un mensaje
advirtiéndonos que las direcciones están puestas
automáticamente, le decimos que si deseamos continuar.
 Este mensaje se debe a las direcciones ipv6

DIRECTORY
Nos vamos a al botón de Windows/Administrador del servidor
DIRECTORY
Una vez ahí, agregamos roles y características
DIRECTORY
Se nos abre un asistente y simplemente deberemos marcar los roles que
nos interesen, en nuestro caso A.D.
DIRECTORY
Le damos a siguiente.
DIRECTORY
Yo lo he instalado por este paso, otra posibilidad es por
comandos que lo veremos ahora
Si lo vas a
instalar por aquí
seleccionas la
casilla de
reiniciar o
reiniciar tú por tu
cuenta
Una vez aquí, simplemente le damos a instalar

DIRECTORY
Otra opción es mediante el comando dcpromo.exe
Nos vamos al botón de Windows y escribimos dcpromo.
Se haría los mismos pasos anteriores, simplemente utilizariamos el
Dcpromo para descargar el Active Directory.
DIRECTORY
Le debemos dar posteriormente a-> Promover este servidor a
controlador de dominio para seguir con la instalación.
DIRECTORY
Una vez hecho eso se nos abre el asistente de A.D
El nombre de dominio
deber ser fácil de
escribir puesto que a
veces se deberá de
escribir para varias
acciones y también
hay que tener en
cuenta que ese
nombre se quedará
para siempre. No se
puede modificar
porque dará
problemas.
Debemos ponerle
un nombre al
dominio.
DIRECTORY
En el nivel funcional del bosque y del dominio, se debe
elegir otro servidor más antiguo, si vamos a usar varios
servidores pero en este caso vamos usar un solo servidor
con lo cual ponemos el servidor que instalamos en su
momento.
La contraseña es
para que se pueda
restaurar los
servicios debería
ser distinta, por
tema de seguridad
a la del
administrador.
DIRECTORY
Se debe crear la delegación de DNS pero, a mí no me deja y le doy
a siguiente.
DIRECTORY
El nombre NETBIOS nos lo ingresa por defecto, pero podemos
cambiarlo, en mi caso, he puesto «javib».
DIRECTORY
Donde irá la carpeta de dato del A.Directory
DIRECTORY
Aparece información que hemos rellenado antes y le damos a -> siguiente.
4. VERIFICAR LA INSTALACIÓN
DEL ACTIVE DIRECTOY
Una vez finalizada la instalación de

Active Directory, podemos comprobar
como automáticamente ha cambiado
la configuración del DNS poniendo la
dirección de localhost 127.0.0.1, esto,
se debe a la instalación del DNS, que
nuestro servidor será el que realice la
resolución de nombres.
4. VERIFICAR LA INSTALACIÓN
DEL ACTIVE DIRECTOY
Para ver las herramientas que nos
aparece nuevas por la instalación del
Active Diretory.
Nos vamos a ->Adminsitrador del
Servidor-> en la parte superior de la
derecha en Heramientas->cliqueamos
y nos sale las herramientas que
tenemos en la imagen.
Un ejemplo, nos aparece Usuarios y

equipos de Active Directory.
4. VERIFICAR LA INSTALACIÓN DEL
ACTIVE DIRECTOY
Otra forma:
Una vez completada la instalación, nos vamos al botón de Windows y
escribimos-> Active Directory ->después seleccionamos -> Usuarios y
equipos de Active Directory.
ACTIVE DIRECTOY
Carga el entorno para trabajar con A.D y nos aparece
nuestro dominio.
ACTIVE DIRECTOY
Nos vamos a ->Adminsitrador del Servidor-> en la parte superior de la
derecha en Heramientas->Pinchamos y nos sale las herramientas,
buscamos Dns y pulsamos.
Nos aparece
una carpeta
con el nombre
de nuestro
dominio, en mi
caso es
javi.local.
ACTIVE DIRECTOY
Otra manera de cargar A.D es, escribiendo el comando dsa.msc en
la pantalla que sale después de darle el botón Windows.
5. MODIFICACIÓN DE LAS DIRECTIVAS DE
SEGURIDAD LA GESTIÓN DE
CONTRASEÑAS
En Adminsitración de directivas de grupo, nos encontramos 2 directivas: (1)
Default Domain Policy, que es para configurar opciones que afecta a todo
el domino y (2) Default Domian Controllers Policy es la otra directiva, que
afecta al objeto, usuario que lo configures.
En este caso
1 he elegido
Default
Domain
Policy, en
2
configuración
nos muestra
todo lo que
tiene
configurado.
5. MODIFICACIÓN DE LAS DIRECTIVAS
DE SEGURIDAD LA GESTIÓN DE
CONTRASEÑAS
En Administración de directivas de grupo, vamos a
Default Domain Policy lo editamos en el dominio.
La editamos y vamos
a: /configuración del
equipo/ Directivas/ conf. de windows/
Conf. de seguridad/
Directiva de cuenta/
Directiva de contraseñas
SEGURIDAD LA GESTIÓN DE CONTRASEÑAS
Una vez que estemos en la Directiva de Contraseñas múltiples opciones
aparecerán para poder modificar.
Seleccionamos la que queramos y la configuramos a nuestro gusto,

en mi caso, la he configurado de esta forma.
SEGURIDAD LA GESTIÓN DE CONTRASEÑAS
Un ejemplo de modificar la configuración de contraseñas.
Esto lo hacemos para que los usuarios puedan escribir una

contraseña sencilla, es una idea para que en una empresa, los
empleados no tarden mucho en poner la contraseña.
SEGURIDAD LA GESTIÓN DE BLOQUEOS DE
CUENTAS
También en configuración de seguridad pero, en esta ocasión en Directiva de
bloqueo de cuenta.
En la directiva, podremos modificar el tiempo que estará bloqueado, el

número de intentos que tendremos hasta que ésta se bloquee, restablecer el
bloqueo de cuenta.
SEGURIDAD LA GESTIÓN DE BLOQUEOS DE
CUENTAS
En este ejemplo, hemos cambiado la duración del bloqueo de

cuenta a 0 minutos.
6. MODIFICACIÓN DE LAS DIRECTIVAS
DE SEGURIDAD
Cualquier modificación que hagamos en la Administración de
directivas de grupo, debemos escribir el comando gpupdate, para
que se guarden los cambios.
Lo podemos hacer en
seleccionar el botón de
Windows -> escribir
gpupdate.exe
Otra forma, es
abriendo el cmd o
consola y escribimos
el comando
gpupdate.
7. ¿QUÉ ES UNA UNIDAD
ORGANIZATIVA?
La unidad organizativa (OU) es un tipo de objeto de directorio muy útil incluido

en los dominios. Son contenedores de Active Directory en los
que puede colocar usuarios, grupos, equipos y otras unidades organizativas.
Una unidad organizativa es el ámbito o unidad más pequeña a la que se

pueden asignar configuraciones de Directiva de grupo o en la que se puede
delegar la autoridad administrativa. Con las unidades organizativas, puede
crear contenedores dentro de un dominio que representan las estructuras
existentes dentro de una organización.
8. CREAR, MOVER Y ORGANIZAR LA
UNIDAD ORGANIZATIVA
Gráficamente, se pueden crear las Unidades Organizativas.
UNIDAD ORGANIZATIVA
Le ponemos el nombre.
Si señalamos el
cuadrado, la U.
Organizativa se
encuentra protegida
contra la
eliminación.
8. CREAR, MOVER Y ORGANIZAR LA UNIDAD
ORGANIZATIVA
Y ya nos aparecerá en nuestro Active Directory .
UNIDAD ORGANIZATIVA
También podemos crear Unidades Organizativas por comandos, para ello
damos clic en el botón de Windows, y escribimos cmd, en la consola
escribiremos el siguiente comando:
dsadd ou “ou=NombreOU, [Direccion]”
Hemos creado comercio, en nuestro servidor.

UNIDAD ORGANIZATIVA
En Active Directory comprobamos la creación de dicha OU. La cmd
nos mostrará si se creó bien, con el mensaje dsadd correcto:
direccion de la OU
Ahí nos aparece comercio.

UNIDAD ORGANIZATIVA
Una vez creados usuarios, unidades organizativas, etc. O cualquier objeto en
Active Directory podemos moverlo al lugar que creamos conveniente. Esto
puede ser porque un trabajador cambió de puesto o cualquier cosa
Para cambiar objetos, nosotros

vamos a la OU ->Mover. En este
caso, cambiaremos la unidad
organizativa comercio.
UNIDAD ORGANIZATIVA
Nos saldrá la estructura de nuestro Active Directory para ver el lugar al
que queremos desplazar el objeto.
Moveremos comercio
dentro de Algebra.
UNIDAD ORGANIZATIVA
Viendo Algebra veremos que compras cambió su ubicación y está
dentro de ella.
UNIDAD ORGANIZATIVA
También, podemos mover objetos mediante comando dsmove:

dsmove “origen” –newparent “destino”
En este caso, administracion se mueve a la carpeta direccion.
9. CREAR USUARIOS
Al igual que las OU, se puede hacer gráficamente o por comandos.
9. CREAR USUARIOS
Nos sale las propiedades del usuario y comenzaremos a completarlo.
9. CREAR USUARIOS
Le estableceremos una contraseña…
…y finalizamos.
9. CREAR USUARIOS
Por comandos también podemos crear usuarios, desde la consola. El comando

más básico es:
dsadd user “cn=nombre_usu, [dirección]” Crearemos a Antonio en compras.
9. CREAR USUARIOS
Dsadd tiene muchas mas opciones en dsadd /?, para añadirle teléfonos,
email, contraseña…
Por comandos crea el usuario deshabilitado.
9. CREAR USUARIOS
Para habilitar y deshabilitar cuentas de usuario.
Si creamos el usuario gráficamente lo crea habilitado, en cambio, si lo creamos
por comandos, a no ser que lo especifiquemos lo crea deshabilitado.
Botón derecho en el usuario, deshabilitar cuenta
Esta cuenta está habilitada.
Esta cuenta se
encuentra
Esta cuenta está deshabilitada.
deshabilitada.
Demo de cómo habilitar / deshabilitar cuentas.

10. OPCIONES DE USUARIOS
Creando un usuario gráficamente, nos aparecerán cantidad de opciones
tales como:
En la Pestaña General:
-Nombre
-Apellidos
-Nombre para mostrar
-Descripción
-Oficina
-Números de Teléfono
-Correo electrónico
-Página Web
En la pestaña Dirección:
-Calle
-Apartado postal
-Ciudad
-Provincia
-País…
En la pestaña Cuenta:
-El nombre de inicio de

sesión
-Horas en las que podrá
iniciar sesión el usuario,
donde la iniciara…
-Desbloqueos
-Otras opciones de cuenta
-Caducidad
Para ir modificando usuario por usuario, en Active Directory en
Cuenta nos trae algunas opciones.
Los bloqueos se hacen cuando

intentamos acceder a una cuenta
varias veces sin saber la contraseña,
por lo que esta cuenta se bloqueara
durante “x” tiempo.
Para desbloquear una cuenta
entraremos al usuario en Active
Directory y le daremos a desbloquear
cuenta.
En la pestaña Perfil:
-Ruta de acceso al perfil

-Carpeta local.
En la pestaña Teléfonos:
Puedo añadir todo tipo de

teléfonos como del domicilio,
móvil, fax…
En la pestaña Organización:
Podremos escoger el puesto,

departamento…
En la pestaña Miembro de:
Escogeremos los grupos a los

que pertenecerá el usuario. Por
defecto, siempre será usuario
del dominio.
En la pestaña Entorno:
Para iniciar programas con el

inicio de sesión. Por terminal
server.
En la pestaña Sesiones:
Podremos modificar la sesión

que ese usuario tendrá activada,
como el tiempo que la tendrá
operativa, el tiempo que la
podrá tener inactiva…
En la pestaña
Control Remoto:
Configuraremos las
opciones de control
remoto. Podremos
habilitarlo o
deshabilitarlo.
En la pestaña de Perfil de
Servicios de Escritorio remoto:
Aquí configuraremos el perfil del
usuario poniendo la ruta de
acceso al perfil, denegar el
permiso…
11. PLANTILLAS DE USUARIOS
Las plantillas de usuario: cuando tenemos un usuario en una Unidad
Organizativa, en cierto modo tendrá las mismas características que los
demás usuarios.
Por lo que algunos campos serán iguales, para ver como funcionan las
plantillas de usuario, completo toda la información de un usuario, y le
hago la plantilla para ver que campos conserva.
Para crear una plantilla, basta con tener un usuario, darle a copiar.
Para realizarlo, el usuario debe estar deshabilitado.

Teniendo a Paco Urbano con todos los campos me pongo a realizar la copia.
Pasaremos a ver las opciones que conserva la plantilla de usuario

Al pegar, nos pedirá el Nombre y Contraseña
Aquí, vemos lo que almacena de la ficha General.
Vemos lo que almacena de la pestaña Dirección.
Vemos lo que copia en la plantilla Cuenta.
Horas de Inicio de Sesión
De teléfonos no almacena nada.

De la pestaña Organización, copia el departamento

Vemos que también copia a donde pertenece el usuario.
12. AGREGACIÓN DE UN EQUIPO CLIENTE
AL DOMINIO (WINDOWS7)
Para ello, debemos configurar también las direcciones IP de
forma estática y la dirección DNS deberá ser la dirección de
nuestro servidor
Nos vamos a Inicio, botón derecho sobre Equipo y le damos a

Propiedades, y nos aparece:
Seguidamente, le damos a Cambiar configuración, se nos abre
una ventana y le damos a cambiar
Escribimos el
nombre de
nuestro dominio
Cuando aceptamos, nos pedirá un usuario con privilegios del servidor

para agregar el equipo, escribimos el usuario y contraseña.
Después si todo sale correctamente nos aparecerá un mensaje de

bienvenida al dominio y posteriormente nos pedirá el reinicio del
equipo para completar la operación.
13. ¿QUÉ SON LOS PERFILES MÓVILES?
Los perfiles móviles, es para cambiar donde se crearán las carpetas de

inicio de sesión de un usuario…
14. PERFILES MÓVILES
1.- Para ello, creamos una carpeta en el 2012 server.
2.- Compartimos la carpeta para el usuario con control total.
En la ficha de Seguridad, quitamos la herencia y agregamos al usuario.
Le damos permisos mínimo modificar.
Nos vamos a Active Directory y damos propiedades en el usuario, nos vamos
a perfil y ponemos la ruta de la carpeta compartida.
Iniciamos sesión con el usuario.
Tras esto, al mirar la carpeta debe

tener las carpetas de haber iniciado
Sesión creadas.
En el Cliente nos metemos con la sesión de Paco y en equipo, en la barra de
arriba -> escribimos \\javi y nos sales esta serie de carpetas.
Nos metemos en la carpeta

perfil -> en esta carpeta nos
sale otra con el nombre de
paco.
Creamos en Documentos un fichero o cualquier cosa y cerramos o reiniciamos

sesión y de nuevo iniciamos con Paco, posteriormente, en la primera o varias
veces que se reinicie encontraremos el perfil de usuario como se observa en
esta imagen.
15. DELEGAR EL CONTROL DE LAS
UNIDADES ORGANIZATIVAS
¿Qué es la delegación del control de una OU ?
Es la asignación de la responsabilidad de administrar una unidad

organizativa a otro usuario o grupo.
Es aconsejable para evitar tener varias cuentas administrativas, haciendo

esta tarea mas liviana.
Para esta tarea, nos creamos una OU que se va a llamar “Delegación” y
añadimos 3 usuarios, supervisor, uno y dos.
Hacemos clic con el botón derecho sobre la OU y clic en Delegar el
control.
Nos aparecerá un asistente
Clic
Podemos agregar uno o mas usuarios o bien uno o varios grupos,
siempre se hace de la misma forma tanto para un usuario como para un
grupo.
Nosotros agregamos el usuario “supervisor”

Una vez agregado, le damos a siguiente y nos preguntará que tareas

queremos delegar en él.
Podemos elegir entre tareas comunes o crear una tarea personalizada,
nosotros elegiremos la primera opción y marcaremos crear, eliminar y
administrar cuentas de usuario
Una vez hecho todo esto, le damos a siguiente y finalizara el asistente.
16. ANALIZAR LOS PERMISOS DE
LOS OBJETOS DE A.D
¿Cuáles son los permisos de objeto de A.D?
LOS OBJETOS DE A.D
Los permisos de objeto de Active Directory pueden ser:

▫ Permitidos o denegados
▫ Denegados de forma implícita o explícita
▫ Definidos como permisos estándar o especiales
Los permisos estándar son los que se asignan con mayor frecuencia
Los permisos especiales ofrecen un grado de control más preciso para

asignar acceso a objetos
▫ Definidos a nivel de objeto o heredados de su objeto principal
16. ANALIZAR LOS PERMISOS DE LOS
OBJETOS DE A.D
Herencia de permisos en los objetos de A.D
Los contenedores secundarios y sus objetos heredan los permisos establecidos

en un contenedor principal
Los permisos heredados se propagan desde un objeto principal a un objeto

secundario cuando:
▫ Se crea un objeto secundario
▫ Se modifican los permisos del objeto principal
OBJETOS DE A.D
Para ver los permisos hacemos clic con el botón derecho sobre un
contenedor y clic en propiedades.
OBJETOS DE A.D
Si hacemos clic en opciones avanzadas y le damos a la casilla
Deshabilitar herencia de permisos
OBJETOS DE A.D
Nos aparece este mensaje y podemos convertir los permisos en

explícitos de este objeto o directamente quitarlos
OBJETOS DE A.D
Existe unos permisos especiales, que no se pueden modificar desde esta
ventana, a diferencia del resto de permisos.
LOS OBJETOS DE A.D
Para ello, debemos hacer clic en opciones avanzadas y sobre el
usuario deseado clic en editar
LOS OBJETOS DE A.D
Permisos efectivos
Los permisos efectivos sirven para ver los permisos que un usuario o
grupo tienen sobre un objeto
En seleccionar
un usuario, se le
debe de dar para
ver o cambiar los
permisos
efectivos del
usuario
LOS OBJETOS DE A.D
En las opciones avanzadas

de la pestaña seguridad del
contenedor, nos aparece
una pestaña en la que
aparece “Acceso efectivo”,
aquí agregamos un usuario
y veremos que permisos
tiene dicho usuario sobre
ese objeto.
17. GESTIÓN DE CUENTAS DE EQUIPO
Para crear una cuenta de equipo podemos hacerlo de dos formas:
 Mediante comando: “dsadd computer”

 Mediante “Usuarios y Equipos de Active Directory”
Mediante comando:
Nosotros hemos creado un equipo que se llama “equipoporcomandos” en el

contenedor “Computers” y en nuestro dominio, pero podemos crear el equipo
en cualquier contenedor u OU.
Mediante Usuarios y Equipo de A.D:
Hacemos clic con el botón

derecho sobre un
contenedor y le damos a
Nuevo/Equipo
Para agregar a un grupo el equipo hacemos clic con el botón derecho
sobre el equipo y le damos a “Agregar a un grupo”
Y agregamos el grupo que queramos

18. MODIFICACIÓN DE PROPIEDADES DE
EQUIPOS
En la pestaña propiedades del equipo, podemos modificar los valores

como si de otro objeto mas se tratara:
EQUIPOS
EQUIPOS
EQUIPOS
18. MODIFICACIÓN DE PROPIEDADES
DE EQUIPOS
EQUIPOS
Otras acciones que podemos realizar con los equipos son:
Las más utilizadas son Deshabilitar la cuenta y Restablecerla

19. ¿QUÉ ES UN GRUPO?
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros

grupos que se pueden administrar como una unidad. Los usuarios y los
equipos que pertenecen a un grupo determinado se designan miembros del
grupo.
La utilización de grupos permite simplificar las tareas de administración, ya que
se asigna un conjunto común de permisos y derechos a varias cuentas, en vez
de tener que asignarlos a cada cuenta de manera individual.
20. GRUPOS PREDETERMINADOS
Y SUS FUNCIONES
Administradores
Los miembros de este grupo tienen control total del servidor y pueden asignar
derechos de usuario y permisos de control de acceso a los usuarios según sea
necesario.
Operadores de copia de seguridad
Los miembros de este grupo pueden realizar copias de seguridad y restaurar
archivos del servidor, independientemente de los permisos que protejan dichos
archivos. Es así porque el derecho a realizar una copia de seguridad tiene
preferencia sobre todos los permisos de archivo. No pueden cambiar la
configuración de seguridad.
20. GRUPOS PREDETERMINADOS
Y SUS FUNCIONES
Invitados
Los miembros de este grupo disponen de un perfil temporal que se crea al

iniciar la sesión y que se elimina cuando el miembro la cierra.
HelpServicesGroup
Este grupo permite que los administradores establezcan permisos comunes

para todas las aplicaciones de soporte técnico
El único miembro es la cuenta asociada a las aplicaciones de soporte
técnico de Microsoft
20. GRUPOS PREDETERMINADOS Y SUS
FUNCIONES
Administradores de DHCP
Los miembros de este grupo tienen acceso como administradores al servicio

Servidor de Protocolo de configuración dinámica de host. El grupo proporciona
una forma de conceder acceso administrativo limitado solamente al servidor
DHCP, sin proporcionar acceso completo al equipo Servidor.
Usuarios de DHCP
Los miembros de este grupo tienen acceso de solo lectura al servicio Servidor
DHCP. De este modo, los miembros pueden ver la información y las
propiedades almacenadas en un servidor DHCP especificado.
FUNCIONES
Usuarios del monitor de sistema
Los miembros de este grupo pueden supervisar los contadores de rendimiento

del servidor, tanto de forma local como de forma remota, sin ser administradores
o usuarios del registro de rendimiento.
Operadores de configuración de red.
Los miembros de este grupo pueden modificar la configuración TCP/IP y renovar

y liberar las direcciones TCP/IP.
FUNCIONES
Usuarios del registro de rendimiento
Los miembros de este grupo pueden administrar los contadores de rendimiento,

registros y alertas del servidor, sin tener que ser Administradores.
Usuarios avanzados
Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario y
modificar y eliminar las cuentas que crean. Pueden crear grupos locales y quitar
o agregar usuarios a los grupos locales que hayan creado. También pueden
agregar o quitar usuarios de los grupos Usuarios avanzados, Usuarios e
Invitados. Los miembros de este grupo pueden crear recursos compartidos y
administrar los que han creado.
FUNCIONES
Operadores de impresión
Los miembros de estegrupo pueden administrar las impresoras y las

colas de impresión
Usuarios de escritorio remoto
Los miembros de estegrupo pueden iniciar sesión en un servidor

de forma remota.
Replicador
El grupo Replicador admite funciones de replicación. El único miembro del grupo

Replicador debe ser una cuenta de usuario de dominio.
FUNCIONES
Usuarios de Terminal Server
Este grupo contiene todos los usuarios que iniciaron sesion en el equipo que
utiliza Servicios de Terminal Server actualmente.
Usuarios
Los miembros del grupo Usuarios pueden realizar las tareas mas habituales,
como ejecutar aplicaciones, utilizar impresoras locales y de red. Por tanto, todas
las cuentas de usuario que se crean en el dominio son miembros de este grupo.
FUNCIONES
Usuarios de WINS
Los miembros de este grupo tienen acceso de solo lectura al Servicio de

nombres Internet de Windows.
21. ÁMBITOS Y TIPOS DE GRUPOS
21. ÁMBITOS DE GRUPOS DOMINIO
LOCAL
Miembros que podemos incluir:
- Cuentas de cualquier domino
- Grupos globales de cualquier dominio
- Grupos universales de cualquier dominio
- Grupos locales de dominio pero sólo del mismo dominio que el grupo local
de dominio principal
Los permisos de miembro sólo se pueden asignar en el mismo dominio que el

grupo local de dominio principal.
Ámbitos que se puede convertir:

- Universal (siempre que no exista otro local de dominio como miembro
21. ÁMBITOS DE GRUPOS UNIVERSAL
- Las cuentas de cualquier domino del bosque en el que se encuentra este
grupo universal.
- Los grupos globales de cualquier dominio del bosque en el que se
encuentra este grupo universal.
- Los grupos universales de cualquier dominio del bosque en el que se
encuentra este grupo universal.
Podemos asignar permisos a grupos de cualquier dominio o bosque.

Dominio local.
- Global (siempre que no exista otro grupo universal como miembro).
21. ÁMBITOS DE GRUPOS
GLOBAL

- Las cuentas del mismo dominio que el grupo global principal.
- Los grupos globales del mismo dominio que el grupo global principal.
Los permisos de miembro se pueden asignar en cualquier dominio.

- Universal (siempre que no sea miembro de otro grupo global)
21. TIPOS DE GRUPOS SEGURIDAD
Los grupos de seguridad los usamos para asignar el acceso a los recursos
de su red. Nos permiten:
- Asignar derechos de usuario a grupos de seguridad en Active Directory:

Los derechos de usuario se asignan a los grupos de seguridad para
determinar qué acciones pueden llevar a cabo los miembros del grupo en el
ámbito de un dominio (o bosque). Los derechos de usuario se asignan
automáticamente a varios grupos de seguridad durante la instalación de
Active Directory para facilitar a los administradores la definición de la función
administrativa de un usuario dentro del dominio.
-Asignar permisos a grupos de seguridad en recursos:

Los permisos no se deben confundir con los derechos de usuario. Los
permisos se asignan al grupo de seguridad en el recurso compartido. Los
permisos determinan qué usuarios pueden tener acceso al recurso y el nivel
de acceso, como Control total.
21. TIPOS DE GRUPOS
DISTRIBUCIÓN
Los grupos de distribución sólo se pueden utilizar con aplicaciones

de correo electrónico (como Exchange) para enviar correo
electrónico a grupos de usuarios.
Estos no tienen habilitada la seguridad, lo que significa que no se

pueden incluir en las listas de control de acceso discrecional.
22. CREACIÓN DE GRUPOS
A la hora de crear grupos, se pueden realizar de las siguientes

formas:
.Gráficamente
.Comando
Gráfico:
Dentro del Active Directory, en la Unidad Organizativa Direccion, daremos clic

botón derecho-> Nuevo-> Grupo.
Una vez seleccionado la creación de un grupo, nos saldrá esta
ventana, donde podremos elegir tanto el tipo como el ámbito.
Comando:
Para crear un grupo en cmd, ejecutaremos el siguiente comando.

dsadd group
«cn=grupoA,cn=Users,dc=javi,dc=local»
Si cuando lo creamos, queremos seleccionar el tipo y el ámbito, usaremos
los dos atributos.
Secgrp
yes -> seguridad
no -> distribución
Scope l -> dominio local

g -> global
u -> universal
Cuando lo introducimos sin atributos, por defecto será de tipo Seguridad y ámbito
de Global.
Analizando el comando:
dsadd group -> comandos para crear el grupo

Cn=grupoA -> nombre de grupo
cn=users -> carpeta contenedora donde se creará
dc=javi,dc=local -> nombre de dominio, en este caso javi.local
Cuando introducimos atributos será de tipo Distribución y ámbito de Universal.
En gráfico sería:
23. PROPIEDADES DE LOS GRUPOS Y
ADMINISTRADOR DE GRUPO
En el grupo clic derecho/Propiedades, vemos las
propiedades que tiene cada grupo que serían
General, Miembros, Miembros de, Administrado
por, pero si le damos ver-> características
avanzada-> (Nos sale más opciones)
Aquí entramos, la pestaña general, donde nos

informa de:
 Nombre del grupo

 Descripción
 Email
 Ámbito de grupo
 Tipo de grupo
En esta pestaña,
encontramos los miembros
que forman este grupo, y
nos da la opción también
de agregar alguno más, o
eliminar alguno que ya
exista.
Para agregar o escribimos

en la pantallita blanca o
en opciones avanzada nos
sale todos los usuarios .
23. PROPIEDADES DE LOS
GRUPOS Y ADMINISTRADOR DE
GRUPO
Para unir un usuario a un grupo que existe por comando, lo haremos de la
siguiente manera:
Para ello usaremos la función dsmod y el atributo –addmbr.
De forma gráfica vemos como en el grupoB se

ha añadido felipe.
23. PROPIEDADES DE LOS
GRUPOS Y ADMINISTRADOR DE
GRUPO
Para unir un usuario a un grupo que no existe por comando, lo haremos
de la siguiente manera:
Para ello usaremos la función dsadd y el atributo –members.
De forma gráfica vemos como en el grupoC se

ha añadido felipe.
23. PROPIEDADES DE LOS GRUPOS
Y ADMINISTRADOR DE GRUPO
Para quitar un usuario del grupo, presionamos el botón
Quitar y nos sale otra pantalla y confirmamos que sí queremos
eliminar al usuario
Para quitar un usuario de un grupo por comando, lo haremos de la
siguiente manera:
Para ello usaremos la función dsmod y el atributo –rmmbr.
Gráficamente vemos como

en el grupoB, Felipe ya no es
miembro.
En esta pestaña,
encontramos si nuestro
grupo forma parte de otro
grupo y nos da la opción
también de agregarlo a uno,
o eliminarlo de alguno al
que pertenezca.
En Agregar->Opciones avanzada
->seleccionamos otro grupo y aceptamos.
Para unir un grupo que ya existe a otro grupo por comando, lo
haremos de la siguiente manera:
En la forma gráfica, vemos

que grupoB, está dentro del
grupo Financieros.
En esta pestaña, encontramos
si nuestro grupo se encuentra
administrador por algún
usuario en particular,
agregarlo o quitarlo.
Administrado por -> es lo

mismo que cuando una
Unidad Organizativa lo
delegas a un usuario.
En cambiar -> Se puede elegir el usuario que administra.
Una vez seleccionado, desde la pestaña Propiedades, accedemos directamente
a las propiedades del usuario administrador del grupo. También, podremos
borrarlo, dándole al botón de Borrar.
Vemos como
aparece las
propiedades
del usuario
felipe.
24. ASIGNACIÓN DE PERMISOS
Creamos una carpeta. En seguridad agregamos el

grupoA.
En seguridad ->Opciones Avanzada
Seleccionamos el grupo, usuario etc , lo pulsamos y nos dice los permisos
que tiene el grupo sobre la carpeta en este caso se llama Gestiones.
Quitamos la herencia de permisos para que podamos quitar los usuarios
predeterminados. Le daríamos en la pantalla que nos sale a quitar los permisos
heredados.
En la carpeta Gestiones añadimos tanto al grupo como a un
usuario.
PERMISOS ESPECIALES
En la carpeta Gestiones->Botón derecho->Propiedades->Seguridad-
> Opciones avanzadas->seleccionamos el grupoA y nos sales los
permisos que tienen sobre esa carpeta.
Los permisos que tiene el usuario isco sobre la carpeta Gestiones es lo
mismo que hemos hecho con grupoA pero en este caso es con un
usuario.
Dejamos la herencia de permisos.

PERMISOS ESPECIALES
Modificamos los permisos especiales, para ello nos vamos a ->Gestiones->
Propiedades-> Seguridad-> Opciones Avanzadas-> Seleccionamos grupoA->
Mostrar permisos avanzados.
Comprobamos que
tiene permisos
especiales
Vemos los permisos otorgados tanto al grupoA como al usuario
Isco.
25. BÚSQUEDA DE OBJETOS
Las búsquedas en el Directorio Activo son muy útiles para buscar
cualquier objeto en él. Tanto Grupos como Usuarios y con unos
importantes filtros.
Para buscar, sin tener ningún objeto señalado daremos clic en

acción, buscar.
Otra opción, es en el dominio

botón derecho BUSCAR.
En la imagen se utiliza esta
opción.
También, podemos
seleccionar una Unidad
Organizativa y le damos a
BUSCAR.
Nos saldrá una nueva ventana, donde en la lista desplegable elegiremos el
objeto que vamos a buscar:
En el apartado En: escogeremos donde va a realizar la búsqueda.
También añade el botón examinar para seleccionar algún lugar en concreto.

Nos da para poner el nombre, en este caso he buscado “Paco” y

abajo aparece el objeto encontrado.
En la pestaña Opciones Avanzadas, nos dará un amplio abanico de
posibilidades.
Primero hay que escoger lo que vamos a buscar si un usuario, grupo,
contacto…
Escogiendo cualquier campo

nos abrirá más opciones para
realizar nuestra búsqueda.
Para buscar por nombre,
apellido, calle, ciudad, cargo,
código postal, etc.
He señalado buscar por código postal, ahora nos pone unas condiciones
como son: empieza con, termina con, es, no es, presente, ausente…
Deberemos escoger una para hacer la búsqueda.
He marcado de valor
“14”, así me buscará
todos los usuarios que
tienen un código postal
que empieza por 14, y
en la pantalla de abajo
nos los muestra.
26. RESUMEN
 Active Directory
 Pasos previos para instalar el Active Directory
 Instalación del Active Directory

 Verificar la instalación del Active Directory
 Modificación de las Directivas de seguridad la gestión de contraseñas

 Modificación de las Directivas de seguridad la gestión de bloqueos de cuentas
 Crear, mover y organizar la Unidad Organizativa
 Crear, Opciones y Plantillas Usuarios
 Agregación de un equipo cliente al dominio (Windows7)

 Perfiles Móviles
 Delegar el control de las unidades organizativas
 Analizar los permisos de los objetos de A.D
 Gestión de cuentas de equipo
 Modificación de propiedades de equipos

 Grupos predeterminados y sus funciones
 Ámbitos y tipos de grupos

 Creación de grupos
 Propiedades de los grupos y Adminstrador de grupo
 Asignación de permisos
 Búsqueda de objetos

Directorio Activo

Cargado por

Copyright:

Formatos disponibles

Directorio Activo

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Directorio Activo

Cargado por

Copyright:

Formatos disponibles

Centralizar

Su estructura jerárquica permite mantener una serie de objetos

Active Directory permite a los administradores establecer políticas a nivel de

Un Active Directory almacena información de una organización en una base de

Para ello, nos vamos a ->Al botón de Windows ->Botón derecho->

 La primera forma es mediante “Administración del servidor”,

 La segunda forma es mediante el comando dcpromo.

 Durante el proceso de instalación, hace una comprobación de

 Este mensaje se debe a las direcciones ipv6

Una vez aquí, simplemente le damos a instalar

Una vez finalizada la instalación de

Un ejemplo, nos aparece Usuarios y

Seleccionamos la que queramos y la configuramos a nuestro gusto,

Esto lo hacemos para que los usuarios puedan escribir una

En la directiva, podremos modificar el tiempo que estará bloqueado, el

En este ejemplo, hemos cambiado la duración del bloqueo de

La unidad organizativa (OU) es un tipo de objeto de directorio muy útil incluido

Una unidad organizativa es el ámbito o unidad más pequeña a la que se

dsadd ou “ou=NombreOU, [Direccion]”

Hemos creado comercio, en nuestro servidor.

Ahí nos aparece comercio.

Para cambiar objetos, nosotros

También, podemos mover objetos mediante comando dsmove:

Por comandos también podemos crear usuarios, desde la consola. El comando

Esta cuenta está habilitada.

Demo de cómo habilitar / deshabilitar cuentas.

-El nombre de inicio de

Los bloqueos se hacen cuando

-Ruta de acceso al perfil

Puedo añadir todo tipo de

Podremos escoger el puesto,

En la pestaña Miembro de:

Escogeremos los grupos a los

Para iniciar programas con el

Podremos modificar la sesión

Para realizarlo, el usuario debe estar deshabilitado.

Pasaremos a ver las opciones que conserva la plantilla de usuario

De teléfonos no almacena nada.

De la pestaña Organización, copia el departamento

Nos vamos a Inicio, botón derecho sobre Equipo y le damos a

Cuando aceptamos, nos pedirá un usuario con privilegios del servidor

Después si todo sale correctamente nos aparecerá un mensaje de

Los perfiles móviles, es para cambiar donde se crearán las carpetas de

Iniciamos sesión con el usuario.

Tras esto, al mirar la carpeta debe

Nos metemos en la carpeta

Creamos en Documentos un fichero o cualquier cosa y cerramos o reiniciamos

¿Qué es la delegación del control de una OU ?

Es la asignación de la responsabilidad de administrar una unidad

Es aconsejable para evitar tener varias cuentas administrativas, haciendo

Nosotros agregamos el usuario “supervisor”

Una vez agregado, le damos a siguiente y nos preguntará que tareas

Los permisos de objeto de Active Directory pueden ser:

Los permisos especiales ofrecen un grado de control más preciso para

Herencia de permisos en los objetos de A.D

Los contenedores secundarios y sus objetos heredan los permisos establecidos

Los permisos heredados se propagan desde un objeto principal a un objeto

Nos aparece este mensaje y podemos convertir los permisos en

En las opciones avanzadas

Para crear una cuenta de equipo podemos hacerlo de dos formas: