CCN - Win - Tema 4

Fundamentos para la gestión de sistemas
asociados a la serie de guías CCN-STIC-500
TEMA 4: WINDOWS 10 Y WINDOWS SERVER 2016.

SERVICIOS DE DOMINIO DE ACTIVE DIRECTORY
Enero 2020
Tema 4: Windows 10 y Server 2016. Servicios de dominio de Active
Directory
ÍNDICE
1. ESTRUCTURA LÓGICA DEL DIRECTORIO ACTIVO .................................................... 3
2. IMPLEMENTACIÓN DE DIRECTORIO ACTIVO ......................................................... 4
2.1 DISEÑO DE ACTIVE DIRECTORY DS ...........................................................................4
2.2 IMPLEMENTACIÓN DE ACTIVE DIRECTORY DS.........................................................6
3. CONTROLADORES DE DOMINIO ........................................................................... 7
3.1 DEFINICIÓN DE CONTROLADOR DE DOMINIO .........................................................7
3.2 INSTALACIÓN DEL ROL DE ACTIVE DIRECTORY DS ...................................................8
3.3 ROLES ESPECIALES DE LOS CONTROLADORES DE DOMINIO .................................13
3.4 IMPLEMENTACIÓN DE UN CONTROLADOR DE DOMINIO .....................................15
4. ADMINISTRACIÓN DE OBJETOS DEL DIRECTORIO ACTIVO ................................... 19
4.1 DIFERENTES CONSOLAS Y MÉTODOS DE ADMINISTRACIÓN .................................19
4.2 CUENTAS DE USUARIOS .........................................................................................21
4.3 CUENTAS DE GRUPO ..............................................................................................23
4.4 CUENTAS DE EQUIPO .............................................................................................25
Centro Criptológico Nacional 2

Directory
1. ESTRUCTURA LÓGICA DEL DIRECTORIO ACTIVO

Active Directory es una base de datos distribuida que almacena y administra
información acerca de los recursos de red, datos específicos de las aplicaciones
habilitadas para el Active Directory. Active Directory permite a los administradores
organizar los elementos de una red (como usuarios, equipos y dispositivos) en una
estructura jerárquica y lógica. Active Directory almacena información acerca de los
objetos de la red, facilita la búsqueda, facilita el uso de esta información para los
usuarios y los administradores. Los objetos de Active Directory pueden ser, entre
otros:
 Recursos compartidos
 Servidores
 Volúmenes
 Impresoras
 Cuentas de equipo
 Usuario de red
La seguridad se integra con Active Directory a través de la autenticación de inicio de

sesión y el control de acceso a los objetos del Active Directory. Los administradores
tienen el control de la seguridad de los objetos del Active Directory mediante la
asignación/denegación de permisos a los distintos recursos del Active Directory.
La estructura lógica del Active Directory se compone de Bosque, Dominio/s y Unidades
Organizativas.
 Bosque de Active Directory.
Un bosque es un conjunto de uno o más dominios Active Directory que
comparten estructura lógica, esquema de directorio, configuración de
directorio y un catálogo global. Los dominios pertenecientes al mismo bosque
se vinculan automáticamente con relaciones de confianza transitivas
bidireccionales.
 Dominio de Active Directory
Un dominio es una partición de un bosque de Active Directory. La creación de
diferentes dominios permite a las organizaciones replicar datos solo en donde
sea necesario. Un dominio admite varias funciones relacionadas con la
administración, entre las que se incluyen:
o Identidad de usuario en toda la red.
o Autenticación.
o Relaciones de confianza.
o Replicación.
 Unidades organizativas de Active Directory.
Las unidades organizativas se utilizan para formar una jerarquía de
contenedores, agrupando objetos con una configuración común, dentro de un
dominio. Estos grupos facilitan enormemente las tareas de administración,

Directory
pudiendo aplicar sobre estas directivas de grupo, Listas de control de acceso

(ACL), delegación de autoridad, etc.
2. IMPLEMENTACIÓN DE DIRECTORIO ACTIVO
Las organizaciones hacen uso del rol de Servicios de Dominio de Active Directory con el
objeto de simplificar la administración tanto de los usuarios como de los recursos y a
través de infraestructuras escalables, seguras y de fácil administración. Active Directory
DS administra la estructura de la red de la organización y de las diferentes sedes
relacionadas, así como la gestión de varios bosques, tal como se vio anteriormente.
La implementación de Active Directory DS constará de tres fases:
o Fase de diseño.
En esta fase se realizará el diseño de la estructura lógica de Active Directory
DS con el fin de adaptar el servicio a las necesidades de cada una de las
divisiones de la organización.
o Fase de implementación.
En esta fase, se generará un laboratorio donde se procederá a implementar
el diseño propuesto en la fase anterior. Una vez el laboratorio este
completamente implementado, se evaluará si cumple con todos los
requisitos para su posterior implementación en el entorno productivo. Si la
evaluación es negativa, se necesitará volver a la fase de diseño hasta que la
evaluación sea positiva y se pueda implementar el diseño en el entorno
productivo.
o Fase de operaciones.
Esta fase comienza una vez esté implementado el diseño en el entorno de
producción. Esta fase será la encargada del mantenimiento y operatividad
del servicio de Active Directory DS.
2.1 Diseño de Active Directory DS
El diseño de la estructura lógica de Active Directory DS es la definición de la forma en
la que se organizan los diferentes objetos que compondrán el servicio de directorio.
Cuando se realiza el diseño de la estructura lógica de AD DS, se define una parte
esencial de la infraestructura de red de la organización.
Se deberán determinar el número de bosques que requiere la organización, los
dominios que se necesitarán y su diseño, infraestructura del sistema de nombres de
dominio (DNS) y las unidades organizativas para que permitan delegar la
administración (OU). Las diferentes fases de diseño de la estructura lógica serían:
o Identificación de los participantes en el proyecto de implementación.
o Diseño de Bosques.
o Diseño de dominios y su ubicación en los bosques.
o Diseño de la infraestructura DNS.
o Diseño de las unidades organizativas.

Directory
A continuación, se deberá incluir el diseño de la topología del sitio para la red de la

organización. La topología del sitio es una representación lógica de la red física
(existente o futura). Esta topología deberá contener información relacionada con la
ubicación de los sitios Active Directory DS, los controladores de dominio de cada sitio,
enlaces a los distintos sitios y la información de replicación de información entre los
sitios de Active Directory DS. El diseño de la topología del sitio para la red conlleva los
siguientes pasos:
o Recopilación de la configuración de la red.
o Planificación de ubicación de los controladores de dominio.
o Diseño de sitio.
o Diseño de enlaces a sitios.
Después de tener el diseño de la topología, se procederá al diseño del uso de los

controladores de dominio. Este diseño es crítico debido a que si no se realiza
adecuadamente, puede provocar una caída en el rendimiento y unos tiempos de
respuesta lentos del Active Directory DS. Para la realización de este diseño, se deberán
tener en cuenta los siguientes aspectos:
o Recopilación de información del diseño de topología de sitio.
o Determinación del número de controladores de dominio.
o Diseño de sitio.
o Evaluación de requisitos de hardware en los servidores controladores
de dominio.
o Supervisión de rendimiento de cada controlador de dominio.
Para concluir, se deberá determinar el nivel funcional del bosque y de cada uno de
los dominios, el nivel funcional dotará al entorno de una serie de características
adicionales. Por tanto, este nivel funcional tanto de bosques como de dominios se
deberá configurar en “Windows Server 2016”. Esto solo será posible en el caso de
que todos los servidores que participan en el entorno de Active Directory DS
utilicen un sistema operativo Microsoft Windows Server 2016 o superior.

Directory
Ejemplo de diseño básico de Active Directory DS de una organización. Incluye

estructura lógica, topología de sitio y uso de los controladores de dominio
2.2 Implementación de Active Directory DS

Una vez que ya se cuenta con el diseño a implementar, se deberá pasar a la fase de
implementación. Para ello se montará un laboratorio para la implementación del
diseño propuesto y poder analizar el diseño elegido antes de implementar el nuevo
diseño en el entorno productivo.
Se comenzará con la implementación del nuevo dominio raíz del bosque, continuando
con la estructura del resto de dominios presentes en el diseño. Es posible que, como
parte de la implementación, se necesite actualizar y reestructurar un entorno existente
de Active Directory DS. Este Active Directory DS deberá estar representado en el
laboratorio.
o Implementación del dominio raíz del bosque.
El dominio raíz del bosque es el pilar fundamental de la infraestructura del
bosque, y es necesario implementarlo en primer lugar. A partir de él, se
desplegará el resto de la infraestructura. Los pasos para seguir para realizar
esta implementación serían las siguientes:
• Revisión del diseño de AD DS que se realizó previamente.
• Configuración de servicio DNS.
• Crear el dominio raíz del bosque.
 Implementación de controladores del dominio raíz del
bosque.

Directory

Configuración de la topología del sitio para dicho
dominio.
 Configuración de las funciones del maestro de
operaciones.
• Elevar los niveles funcionales del bosque y del dominio.
o Implementación del resto de dominios.
Después de haber completado la implementación del dominio raíz del
bosque se implementarán el resto de los bosques, árboles y dominios según
el diseño de Active Directory DS. Además, se definirán las relaciones de
confianza según esta establecido en el diseño. Los pasos para seguir para
realizar esta implementación para cada uno de los dominios serían las
siguientes:
• Revisión del diseño.
• Delegación de DNS para el nuevo dominio.
• Implementación del primer controlador de dominio en el
nuevo dominio.
• Implementación del resto de controladores de dominio en el
nuevo dominio.
• Configuración del servidor DNS.
• Configurar las funciones del maestro de operaciones.
Como ya se ha comentado anteriormente, durante la implementación del entorno en

el laboratorio, existe la posibilidad de que sea necesario, tras analizar los resultados,
hacer modificaciones en el diseño de Active Directory DS.
Ahora se deberá actualizar los dominios y bosques al nivel funcional de Windows
Server 2016. Como ya hemos comentado esta operación es altamente recomendable
debido al aprovechamiento de las nuevas características, mejora la funcionalidad de
todo el bosque y mejora la seguridad del entorno. Para poder realizar esta operación
se necesita que todos los controladores de dominio que pertenezcan a dicho bosque o
dominio tengan instalado Windows Server 2016 o una versión superior.
El diseño de Active Directory DS puede incluir la reestructuración de dominios y
bosques ya existentes con anterioridad al diseño. El objeto de esta reestructuración
deberá ser siempre con el objetivo de simplificación y reducción del número de
dominios, reduciendo por consiguiente las cargas administrativas.
3. CONTROLADORES DE DOMINIO
3.1 Definición de controlador de dominio

El rol de controlador de dominio (DC) otorga a un servidor las tareas de administración
de los servicios de Active Directory DS. La función principal de los controladores de
dominio es la de autenticar a los usuarios, conceder, o denegar según proceda, el

Directory
acceso a los recursos del dominio y mantener la base de datos de autenticación de los
usuarios.
La autenticación se realiza mediante usuario y contraseña (normalmente). Si la
máquina cliente dispone de elementos biométricos (lector de huellas digitales), se
puede utilizar para la autenticación localmente en la máquina. Una vez que se ha
iniciado sesión en la maquina local, se puede utilizar el hash del usuario para poder
autenticarse en el dominio para poder acceder a los recursos del dominio. Este hash
del usuario se almacena en la SAM del controlador de dominio (Administrador de
cuentas de seguridad) que es la encargada de mantener estos hashes de los usuarios.
Una vez que el usuario se ha autenticado contra el controlador de dominio, este recibe
un token de autenticación contra ese dominio para evitar volver a realizar el proceso
de autenticación cada vez que el usuario solicite un recurso del dominio.
3.2 Instalación del rol de Active Directory DS
El rol de Servicios de Dominio de Directorio Activo implementa una serie de novedades
de instalación, además de un nuevo asistente para su instalación.
El nuevo asistente para agregar el rol de Servicios de dominio de directorio activo
muestra un mensaje con los prerrequisitos necesarios para la instalación de roles.
Tareas previas a la instalación del rol de Active Directory DS
Se deberá seleccionar la instalación basada en características o en roles tal como se

observa en la siguiente imagen.

Directory
Selección del tipo de instalación entre instalación basada en roles o instalación de

servicios de escritorio remoto
Una de las novedades del asistente de instalación de características y roles es la

posibilidad de instalación directamente sobre un disco duro virtual.
Selección del servidor de destino de la lista de servidores
Se selecciona el rol de Servicios de dominio de Active Directory y el asistente mostrará

las características requeridas para el rol de Servicios de dominio de Active Directory. Se
seguirá el mismo proceso para la instalación del rol de servidor DNS. Este rol
recomienda tener una configuración de red estática (configuración de red asignada
manualmente y no asignada a través de servicios DHCP) para un óptimo
funcionamiento del servicio.

Directory
Selección de roles del servidor. Se seleccionarán todos los necesarios / deseados
Herramientas adicionales requeridas para la instalación del rol de Active Directory

DS

Directory
Herramientas adicionales requeridas para la instalación del rol de servidor DNS
A continuación, se seleccionarán las características adicionales que se necesiten (si

fuera necesario). Hay que tener en cuenta que cada rol que se ha seleccionado
anteriormente ya ha añadido las características adicionales necesarias para el
funcionamiento del rol.
Selección de características adicionales a instalar en el controlador de dominio
El asistente de instalación mostrara información acerca de los roles que se van a

instalar (servicios de dominio de Active Directory DS y Servidor DNS).

Directory
Información referente al rol de servidor DNS que se instalará en el servidor
Información referente al rol de Active Directory DS que se instalará en el servidor
Para finalizar la instalación, el asistente mostrará un resumen de roles, servicios y

características que instalará en el servidor (o disco virtual), tal como se muestra en la
siguiente imagen:

Directory
Revisión de todas las opciones y características que se instalarán en el servidor
Otra novedad del asistente de instalación de roles y características es que se puede

cerrar sin que haya concluido la instalación, cuando ha finalizado sus funciones,
configurando y lanzando las tareas necesarias para la instalación, el propio asistente
sugiere su cierre.
Existen una serie de requisitos tanto de software como de hardware que hay que tener
en cuenta a la hora de instalar el rol de Active Directory DS:
 Este rol de servicio se instala sobre el sistema operativo servidor Windows
Server 2016. Por tanto, previo a la instalación de dicho sistema operativo, se
debe consultar el apartado correspondiente a la implementación de Windows
Server 2016, para consultar los requisitos de hardware que deberá cumplir el
servidor que asumirá el rol.
 La carpeta de sistema SYSVOL deberá encontrarse en un volumen de
almacenamiento local, fijo y con formato NTFS.
 Active Directory DS necesita una infraestructura de Sistema de nombres de
dominio (DNS) implementada en el entorno. Si no existe este servicio es posible
instalarla durante el proceso de instalación del propio servicio de Active
Directory DS en el servidor.
Se debe tener en cuenta que para Windows server 2016 se ha eliminado el comando
“DCPROMO.EXE”.
3.3 Roles especiales de los controladores de dominio
Los controladores de un dominio tienen otro cometido adicional que es la replicación y
propagación de la estructura Active Directory DS. Si la estructura del Active Directory

Directory
DS contiene varios árboles y bosques, estos roles cobran mayor importancia. Estos
roles son FSMO o Maestros de operaciones.
Los roles de Maestro de operaciones (FSMO) los desempeñan algunos controladores
de dominio. Su principal cometido es evitar las duplicidades y las discrepancias.
Los roles de Maestro de operaciones (FSMO) son los siguientes:
 Roles de maestro de operaciones de un bosque.
Solo existe un controlador de dominio en el bosque que tiene ese rol. Existen
dos maestros de operaciones a nivel de bosque:
o Maestro de esquema. Este rol se encarga de las modificaciones del
esquema del Active Directory DS. Aunque el esquema está replicado en
todos los controladores de dominio, solo el controlador de dominio que
posea este rol podrá escribir modificaciones en el esquema.
o Maestro de Nomenclatura de Dominios. Este rol se encarga de
garantizar la unicidad de los nombres de los dominios que se agreguen
al bosque.
 Maestros de operaciones a nivel de dominio:
Hay un controlador de dominio por cada función en cada uno de los dominios.
o Maestro Controlador Principal de Dominio. Este rol se encarga de la
sincronización de la hora en los distintos controladores de dominio que
pertenecen al dominio. También es el encargado de compatibilizar el
comportamiento de los controladores de dominio de dominios
anteriores a Windows Server 2008.
o Maestro de RID. Este rol se encarga de que los identificadores de todos
los objetos que hay en el Active Directory DS sean únicos. Para ello, este
rol asigna grupos de identificadores a los distintos controladores de
dominio para que estos los vayan asignando a los objetos que crean.
Cuando el controlador de dominio está cerca a agotar los SID que tiene
asignados, solicita otro rango de SIDs al controlador de dominio con el
rol de Maestro de RID.
o Maestro de infraestructura. Este rol se encarga de la actualización y
comprobación, en entornos de múltiples dominios, la pertenencia a
grupos universales. También actualizará referencias de objetos de su
dominio relacionadas con relaciones hacia otros dominios.
o Catálogo global. Este rol es el encargado de mantener la copia completa
de todos los objetos del directorio de su dominio y una copia parcial de
solo lectura de los objetos del resto de dominios que pertenecen al
bosque.

Directory
3.4 Implementación de un controlador de dominio

En el punto “3.2 Instalación del rol de Active Directory ” de este tema se ha realizado la
instalación del rol de Active Directory DS a falta de la configuración inicial del rol. Para
la realizar de esta configuración se ejecutará el asistente para la configuración de
servicios de dominio de Active Directory. Se accederá a este asistente por medio del
panel del servidor.
Advertencia del servidor que requiere configuración adicional para Active Directory
DS. Se ejecutará el asistente al pinchar en el enlace
Una vez aparezca el asistente se selecciona la opción deseada. Existen tres opciones
seleccionables:
 Agregar un nuevo bosque.
 Agregar un nuevo dominio a un bosque existente.
 Agregar un controlador de dominio a un dominio existente.
Se selecciona la opción de agregar un nuevo bosque y se asignará un nombre al nuevo

bosque.
Configuración de implementación para el rol de Active Directory DS.

Directory
A continuación, se deben rellenar las opciones del controlador de dominio. Para ello se
seleccionan los niveles funcionales de bosque y dominio, se marcan las opciones (o no
según requerimientos) de sistema de nombres de dominio, catalogo global y
controlador de dominio de solo lectura.
Opciones para la selección del nivel funcional del bosque, dominio, DNS, catalogo
global, Controlador de dominio de solo lectura y la contraseña para la restauración
de servicios de Active Directory (DSRM)
Además, se deberá proporcionar una contraseña para el modo de restauración de

servicios de Active Directory.
Las opciones de DNS han de configurarse también en el asistente. Si se realiza una
integración en una infraestructura existente, será necesario la creación manual de la
delegación DNS para el nuevo servidor. Si, por el contrario, se realiza una nueva
estructura de bosque (o dominio) con el servicio de DNS integrado en el servidor actual
no será necesario realizar ninguna acción y se deberá ignorar la advertencia.
Opciones de DNS y advertencia que se deberá tener en cuenta dependiendo de la

infraestructura a configurar

Directory
Ahora se pasará a la verificación del nombre NetBIOS asignado. Si esta todo correcto
sugerirá un nombre, pudiéndose modificar si fuera necesario.
Opciones adicionales que se deberán configurar antes de continuar con la

instalación
A continuación, se seleccionarán:
 La ruta donde se alojará la base de datos de Active Directory DS.
 La ruta donde se alojarán los archivos de registro.
 La ruta donde se alojará el SYSVOL (Se debe recordar que esta carpeta deberá
estar en un volumen de almacenamiento local, fijo y con formato NTFS).
Rutas de acceso para la base de datos de Active Directory DS, archivos de registro y
la carpeta SYSVOL
En este punto se revisarán las opciones seleccionadas en los pasos anteriores para
evitar que los datos sean incorrectos.

Directory
Revisión de las opciones seleccionadas para la posterior configuración del rol de

Active Directory DS
Otra de las nuevas características de Windows 2016 es la posibilidad de ver el script de

PowerShell que habrá que ejecutar para configurar un controlador de dominio con las
mismas opciones que este servidor. Esta nueva funcionalidad facilitará la
automatización de instalaciones adicionales.
Antes de proceder a la instalación de los roles, el asistente realizará una comprobación
de requisitos. Se deberán solventar los errores en este apartado antes de proceder a la
instalación del rol de Active Directory DS. Una vez se ha obtenido un resultado
satisfactorio se procederá a la instalación de rol con las opciones seleccionadas y
revisadas anteriormente.
Comprobación de requisitos previos a la configuración del Active Directory DS. Si

existe alguna discrepancia se mostrará aquí
Para finalizar la implementación del controlador de dominio, se deberá reiniciar el

servidor después de completar la instalación del nuevo rol/roles.

Directory
4. ADMINISTRACIÓN DE OBJETOS DEL DIRECTORIO ACTIVO
4.1 Diferentes consolas y métodos de administración

MS Windows Server 2016 dispone de cuatro consolas de MMC diferentes para la
administración de los diferentes parámetros y características del Directorio Activo.
 Usuarios y equipos de Active Directory. Administra los recursos más cotidianos
incluyendo usuarios, grupos y equipos. Es la herramienta de Directorio Activo
que más se utiliza en las tareas de administración.
La consola de usuarios y equipos de Active Directory, herramienta de

administración de dominio
 Sitios y servicios de Active Directory. Administra la replicación de la topología y

servicios del entorno de red.
La consola de sitios y servicios de Active Directory, herramienta de administración

de dominio

Directory
 Dominios y confianzas de Active Directory. Configura y mantiene las relaciones

de confianza entre dominios, además mantiene los niveles funcionales de
dominio y de bosque.
La consola de dominios y confianzas de Active Directory, herramienta de

 Esquema de Active Directory. Examina y modifica la definición de los diferentes

atributos y clases que definen a los objetos del Directorio Activo. Debido a su
escasa utilización, esta consola no se instala por defecto en el sistema, como el
resto de las consolas.
La consola de esquema de Active Directory, herramienta de administración de

dominio
Windows Server 2016 también dispone de la opción de administrar los diferentes

objetos de Active Directory DS a través del Centro Administrativo de Active
Directory. Por medio de esta herramienta, basada en la gestión de tareas, es
posible:
 Crear y administrar cuentas de usuarios, equipos y grupos.
 Crear y administrar Unidades Organizativas.
 Administrar múltiples dominios con una sola instancia.
 Buscar y filtrar datos del directorio mediante colas de tareas.
 Administrar políticas de contraseñas.
 Recuperar objetos de la papelera de reciclaje del Directorio Activo.

Directory
La consola de centro de administración de Active Directory, herramienta de

El centro Administrativo se puede instalar también en equipos clientes con

Windows 10 instalado para poder administrar remótamente los objetos de Active
Directory DS.
Además del uso de las cuatro consolas de administración y del Centro
administrativo de Active Directory DS, es posible crear y administrar objetos
mediante el módulo de Active Directory para PowerShell (instalado previamente) y
de los comandos de servicio de directorio a través de la aplicación de PowerShell,
que dispone de un entorno de comandos similar al símbolo del sistema (CMD).
4.2 Cuentas de usuarios
En Active Directory DS, todos los usuarios que necesitan acceder a los recursos
compartidos de la red deben estar representados en el Directorio Activo con una
cuenta de usuario. La cuenta de usuario incluye el nombre de usuario, la contraseña de
acceso, membresía a grupos y otra serie de datos adicionales (en caso de que los
requiera la organización). A través de una cuenta de usuario es posible:
 Permitir o denegar a los usuarios autenticarse en el entorno de dominio.
 Otorgar acceso a los usuarios a procesos y servicios en un contexto específico
de seguridad.
 Administrar el acceso de usuarios a recursos como pertenecientes al dominio o
bosque, por ejemplo, objetos de Active Directory DS y sus propiedades,
carpetas compartidas, ficheros, directorios o colas de impresión, etc.
Para la creación de una cuenta de usuario, se deberá proporcionar un nombre de

usuario único en el dominio o bosque en el que se ha creado.
Por cuestiones de seguridad, se debe evitar la creación de usuarios genéricos mediante
los que se autentiquen varias personas. Cada persona que necesite acceder al dominio
deberá disponer de una cuenta de usuario única.

Directory
Para crear una cuenta de usuario, se puede utilizar la consola de “Usuarios y equipos
de Active Directory, el centro administrativo de Active Directory, Windows PowerShell
o el comando “DSADD.EXE” en la consola de comandos.
Creación de un usuario en entorno gráfico mediante la consola de usuarios y

equipos de Active Directory.
Creación de un usuario en línea de comandos mediante la utilización del comando

DSADD
Una vez creada la nueva cuenta de usuario existen una serie de parámetros a
configurar mediante la pulsación del botón derecho del ratón sobre el objeto recién

Directory
creado y seleccionando “Propiedades”. A continuación, destacaremos alguno de estos

parámetros:
 General: Contiene datos personales del usuario (nombre, apellidos, etc.).
 Dirección: Contiene datos relativos a la dirección postal (calle, ciudad,
provincia).
 Cuenta: Contiene los datos de inicio de sesión y las opciones de bloqueo y
desbloqueo de la cuenta.
 Perfil: Permite enlazar los datos del perfil del usuario a un espacio de
almacenamiento asignado a él.
 Teléfonos: Contiene datos relativos a los teléfonos, busca, fax, etc.
 Organización: Contiene datos relativos a la organización, puesto,
departamento, etc.
 Miembro de: Permite la inclusión del usuario en grupos de seguridad que le
otorgan permisos adicionales.
 Control remoto: Permite activar y configurar la posibilidad de acceso remoto a
la sesión del usuario.
4.3 Cuentas de grupo

Active Directory DS administra dos tipos de cuentas de grupo:
 Los grupos de distribución. Se utilizan solamente con aplicaciones de correo
electrónico (Microsoft Exchange, por ejemplo) y no pueden recibir permisos.
 Los grupos de seguridad. Estos grupos disponen de la funcionalidad tanto de
recibir permisos, como de utilización para uso con aplicaciones de correo
electrónico. Debido a esta doble funcionalidad, son los más utilizados.
Cuando se crea un grupo en Active Directory DS, además de escoger entre estos dos
tipos de grupos, se deberá escoger el ámbito entre estas tres opciones:
 Dominio Local. Se utiliza para el acceso a los recursos del dominio en el que se
encuentra.
 Global. Se utiliza para el acceso a los recursos del bosque en el que se
encuentra.
 Universal. Se utiliza para el acceso a los recursos de todos los dominios de
confianza.

Directory
Creación de un nuevo grupo. Se deberá seleccionar el ámbito de grupo y el tipo de

grupo de las opciones existentes
Las mejores prácticas de Microsoft (Microsoft Best Practises) recomiendan la

asignación de permisos y configuraciones a grupos de seguridad antes que a usuarios
individuales.
Procediendo de igual forma que con las cuentas de usuario, pulsando con el botón
derecho del ratón sobre el grupo recién creado, se accederá a las Propiedades del
grupo. Aquí es posible asignar miembros al grupo, incluirlo en otro grupo e incluso
delegar la administración del grupo sobre otro objeto de Active Directory DS.

Directory
Propiedades de los grupos. Se muestra la pestaña donde se podrá asignar la

delegación de la administración del grupo
4.4 Cuentas de equipo

El contenedor “Computers” se crea automáticamente durante la instalación del rol de
Active Directory DS y almacena los equipos que se van incorporando al dominio. El
contenedor “Computers” no es una Unidad Organizativa sino un simple contenedor,
no puede ser subdividido ni se pueden vincular GPOs sobre él. Las mejores prácticas de
Microsoft (Microsoft Best Practises) recomiendan la creación de Unidades
Organizativas personalizadas para almacenar los equipos, evitando así el uso del
contenedor “Computers”. La gestión de las cuentas de los equipos que se van
incorporando al dominio deben ser reubicadas en una estructura de unidades
organizativas (OUs) creada para albergar las cuentas de equipos del dominio, siguiendo
así las indicaciones de las mejores prácticas de Microsoft (Microsoft Best Practises).
Ejemplo de estructura de unidades organizativas (OUs) para la organización de los

equipos de un dominio
Existen dos formas de agregar maquinas al dominio:

 Desde la propia maquina cliente.
Haciendo uso de “Panel de control  Sistema y seguridad  Sistema” se
puede cambiar la configuración del nombre, dominio y grupo de trabajo.

Directory
Adhesión equipo al dominio desde la propia máquina cliente. Se necesitará una

cuenta del dominio con los permisos necesarios
Para agregar una maquina a un dominio desde la propia máquina se necesitará

una cuenta del dominio al que se pretende unir con permisos para realizar
dicha acción.
 Desde la consola de “Usuarios y equipos de Active Directory” del servidor.
Se abrirá la consola de “Usuarios y equipos de Active Directory”, sobre la
Unidad Organizativa (OU) que albergará el nuevo equipo, y mediante el botón
derecho del ratón se seleccionará la opción de nuevo del menú desplegable y
se pulsará sobre la entrada de Equipo (que aparecerá al pasar el ratón sobre la
opción de nuevo).
Adhesión equipo al dominio desde la consola de usuarios y equipos de Active

Directory

CCN - Win - Tema 4

Cargado por

Copyright:

Formatos disponibles

CCN - Win - Tema 4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCN - Win - Tema 4

Cargado por

Copyright:

Formatos disponibles

Fundamentos para la gestión de sistemas

asociados a la serie de guías CCN-STIC-500

TEMA 4: WINDOWS 10 Y WINDOWS SERVER 2016.

Centro Criptológico Nacional 2

1. ESTRUCTURA LÓGICA DEL DIRECTORIO ACTIVO

La seguridad se integra con Active Directory a través de la autenticación de inicio de

Centro Criptológico Nacional 3

pudiendo aplicar sobre estas directivas de grupo, Listas de control de acceso

2. IMPLEMENTACIÓN DE DIRECTORIO ACTIVO

Centro Criptológico Nacional 4

A continuación, se deberá incluir el diseño de la topología del sitio para la red de la

Después de tener el diseño de la topología, se procederá al diseño del uso de los

Centro Criptológico Nacional 5

Ejemplo de diseño básico de Active Directory DS de una organización. Incluye

2.2 Implementación de Active Directory DS

Centro Criptológico Nacional 6

Como ya se ha comentado anteriormente, durante la implementación del entorno en

3.1 Definición de controlador de dominio

Centro Criptológico Nacional 7

Tareas previas a la instalación del rol de Active Directory DS

Se deberá seleccionar la instalación basada en características o en roles tal como se

Centro Criptológico Nacional 8

Selección del tipo de instalación entre instalación basada en roles o instalación de

Una de las novedades del asistente de instalación de características y roles es la

Selección del servidor de destino de la lista de servidores

Se selecciona el rol de Servicios de dominio de Active Directory y el asistente mostrará

Centro Criptológico Nacional 9

Selección de roles del servidor. Se seleccionarán todos los necesarios / deseados

Herramientas adicionales requeridas para la instalación del rol de Active Directory

Centro Criptológico Nacional 10

Herramientas adicionales requeridas para la instalación del rol de servidor DNS

A continuación, se seleccionarán las características adicionales que se necesiten (si

Selección de características adicionales a instalar en el controlador de dominio

El asistente de instalación mostrara información acerca de los roles que se van a

Centro Criptológico Nacional 11

Información referente al rol de servidor DNS que se instalará en el servidor

Información referente al rol de Active Directory DS que se instalará en el servidor

Para finalizar la instalación, el asistente mostrará un resumen de roles, servicios y

Centro Criptológico Nacional 12

Revisión de todas las opciones y características que se instalarán en el servidor

Otra novedad del asistente de instalación de roles y características es que se puede

Centro Criptológico Nacional 13

Centro Criptológico Nacional 14

3.4 Implementación de un controlador de dominio

Se selecciona la opción de agregar un nuevo bosque y se asignará un nombre al nuevo

Configuración de implementación para el rol de Active Directory DS.

Centro Criptológico Nacional 15

Además, se deberá proporcionar una contraseña para el modo de restauración de

Opciones de DNS y advertencia que se deberá tener en cuenta dependiendo de la

Centro Criptológico Nacional 16

Opciones adicionales que se deberán configurar antes de continuar con la

Centro Criptológico Nacional 17

Revisión de las opciones seleccionadas para la posterior configuración del rol de

Otra de las nuevas características de Windows 2016 es la posibilidad de ver el script de

Comprobación de requisitos previos a la configuración del Active Directory DS. Si

Para finalizar la implementación del controlador de dominio, se deberá reiniciar el

Centro Criptológico Nacional 18

4. ADMINISTRACIÓN DE OBJETOS DEL DIRECTORIO ACTIVO

4.1 Diferentes consolas y métodos de administración