Captulo 6.

Administracin Bsica de
Dominios
Tabla de contenidos
Introduccin
Dominios en Windows 2000
Concepto de dominio
Clientes y servidores
Modos de funcionamiento
Implementacin de dominios: el Directorio Activo
El Directorio Activo
Concepto de dominio segn el Directorio Activo
Mltiples dominios en la misma organizacin
Principales objetos administra un dominio
Usuarios globales
Grupos
Equipos
Unidades Organizativas
Comparticin de recursos entre sistemas Windws 2000
Permisos y derechos
Comparticin dentro de un dominio
Mandatos Windows 2000 para compartir recursos

Introduccin
Este captulo introduce los conceptos fundamentales sobre
dominios Windows 2000, suficientes para poder unificar y
centralizar la administracin de conjuntos de sistemas
Windows 2000 de pequeo o medio tamao.
En concreto, se explicar la administracin bsica del
Directorio Activo, incluyendo los principales objetos que
pueden definirse en el mismo (usuarios, grupos, equipos y
unidades organizativas), as como la comparticin de
recursos entre sistemas que forman parte de un dominio.

Dominios en Windows 2000

Concepto de dominio
Hoy en da, los ordenadores existentes en cualquier organizacin se encuentran
muy frecuentemente formando parte de redes de ordenadores. En una red, los
ordenadores se encuentran interconectados, de forma que pueden intercambiar
informacin. No es necesario que un ordenador con Windows 2000 participe de
una red. Sin embargo, si desea hacerlo, tiene que ser de alguna de las dos
formas siguientes:
a. En un grupo de trabajo (workgroup). Un grupo de trabajo es una
agrupacin lgica de mquinas, sin ningn otro fin. Los ordenadores que
forman parte del mismo grupo aparecen juntos cuando se explora el
``Entorno de Red'' (o red de ordenadores NetBIOS). En este caso, la
administracin de cada ordenador es local e independiente del resto.
Para poder acceder a los recursos que exporta un ordenador concreto,
el usuario remoto tiene que disponer necesariamente de una cuenta en
dicho ordenador, y permisos suficientes sobre el recurso que se
comparte.
b. Formando parte de un dominio (domain). Es la forma en que se
recomienda que se defina una red de mquinas Windows 2000. En un
dominio, la informacin administrativa se encuentra centralizada, y por
ello resulta ms fcil y segura de gestionar. Todo este captulo se centra
en definir y exponer los conceptos relacionados con los dominios en
Windows 2000.
Intuitivamente, se puede definir dominio como una agrupacin lgica de
servidores de red y otros ordenadores, que comparten informacin comn sobre
cuentas (de usuarios, grupos, equipos, etc.) y seguridad. En el apartado
siguiente veremos una definicin ms formal y completa de dominio.
Es importante matizar que el trmino dominio no incluye ninguna informacin
acerca de la ubicacin de los ordenadores. En realidad, no es necesario que los
ordenadores que forman un dominio se encuentren fsicamente cercanos, ni
que estn interconectadas mediante una red de algn tipo especfico. De hecho,
las mquinas que forman un dominio pueden estar conectadas a travs de una
red de rea amplia o WAN (Wide Area Network), aunque lo ms normal es que
formen una red de rea local o LAN (Local Area Network). En general, Windows
2000 separa la agrupacin lgica de ordenadores, definida mediante el
concepto de dominio, de su agrupacin fsica o topolgica, definida mediante
los conceptos de subred y sitio. Una subred es un conjunto de ordenadores
fsicamente conectados a una red de area local. Un sitio est formado por una o
varias subredes que se encuentran ``bien conectadas''. Este trmino hace
referencia a que la velocidad de interconexin entre dichas subredes es
``suficiente'' (a criterio del administrador) para dar soporte al trfico de la
informacin del dominio concreto ubicado en dichas subredes. Un dominio
Windows 2000 puede abarcar uno o varios de estos "sitios".

Clientes y servidores
Como sabemos, el sistema operativo Windows 2000 se distribuye en dos
versiones alternativas: Windows 2000 Server (o "servidor Windows 2000") y
Windows 2000 Professional (o "estacin Windows 2000"). Esta dualidad de
versiones cobra sentido en el mbito de los dominios: por una parte, un servidor
Windows 2000 se suele utilizar para proporcionar servicios centralizados de red
en el dominio. Por otra parte, una estacin Windows 2000, aunque puede
formar parte de un dominio, no proporciona ningn servicio al resto de
ordenadores del mismo, siendo una estacin de trabajo de propsito general.
Concretamente, en un dominio de Windows 2000:

Existe necesariamente un servidor Windows 2000 con funciones de

controlador de dominio (Domain Controller, o DC). Entre otros servicios,
este servidor posee (y ofrece al resto) informacin centralizada sobre los
recursos que posee el dominio y puede administrar al resto de
ordenadores que pertenecen al mismo.

Pueden existir otros servidores Windows 2000 con funciones de

controlador de dominio, de forma que todos ellos replican la informacin
de los recursos del dominio (proporcionando tolerancia a fallos) y se
reparten la carga de proporcionar informacin y servicios de
administracin al resto de ordenadores del dominio.
En contraposicin a lo que ocurra en Windows NT 4.0, en Windows
2000 no existen controladores principales ni secundarios de dominio,
sino que todos se encuentran en el mismo nivel de jerarqua. Sin
embargo, s pueden distribuirse entre ellos los distintos servicios que
puede proporcionar un DC.

Pueden existir uno o varios servidores Windows 2000 sin funciones

especiales de administracin dentro del dominio, es decir, sin ser
controladores de dominio. A estos ordenadores se les llama servidores
miembro (member servers). Habitualmente estos sistemas se utilizan
para proporcionar algn servicio especfico dentro del dominio (servicios
de impresin, servicios de acceso a datos, servidores web, servidores de
correo electrnico, etc.), pero no guardan ninguna informacin
administrativa del dominio.

Pueden existir una o varias estaciones Windows 2000, que se utilizarn

para trabajo habitual de los usuarios.

Por tanto, para crear un dominio en Windows 2000 necesitamos que al menos
uno de los servidores Windows 2000 de la red se convierta en un DC. Para ello,
una vez instalado el sistema operativo en el servidor, debemos ejecutar un
asistente denominado dcpromo. Si queremos que en el dominio exista ms de
un DC, hay que ejecutar el asistente en todos dichos servidores Windows 2000.
Modos de funcionamiento
Un dominio Windows 2000 puede encontrarse configurado en uno de dos
modos alternativos:

a. Modo mixto. Este es el modo en el que los DCs se promocionan por

defecto. Este modo ofrece compatibilidad (hacia atrs) a nivel de
controlador con sistemas Windows NT anteriores (NT 4.0,
normlalmente). En otras palabras, un dominio en modo mixto permite la
coexistencia de controladores de dominio Windows 2000 y Windows NT
4.0 (todos comparten la informacin administrativa). Este modo resulta
por tanto necesario si en nuestro dominio, alguno de los controladores
es uno de estos sistemas.
Este modo se ha diseado para permitir una migracin cmoda de
dominios NT 4.0 a dominios 2000. En esencia, el mecanismo consiste
en introducir progresivamente DCs de Windows 2000 en dominios
previos (NT 4.0), de forma que mientras controladores Windows 2000
coexistan con otros NT 4.0, el dominio funcione exactamente igual que
antes. En el momento en que todos los controladores son Windows
2000, podemos prescindir de este modo de funcionamiento.
b. Modo nativo. Como se deduce de lo anterior, en este modo de
funcionamiento todos los controladores del dominio deben ser sistemas
Windows 2000. Este modo introduce todas las capacidades de
administracin diseadas para Windows 2000, algunas de las cuales no
estn disponibles en modo mixto. A lo largo del captulo se incidir en
dichas capacidades.
Es muy importante tener en cuenta que un dominio en modo mixto puede
pasarse a modo nativo mediante una simple accin del administrador, pero que
la accin contraria no es posible. Es decir, el paso de un dominio en modo mixto
a nativo es irreversible.

Implementacin de dominios: el Directorio

Activo
El Directorio Activo
Tal como hemos visto, el concepto intuitivo de dominio es el de la centralizacin
de la informacin (y las labores) de administracin de una red de ordenadores,
de forma que la gestin de dichos ordenadores resulte ms cmoda y eficiente.
Windows 2000 implementa el concepto de dominio mediante un concepto ms
bsico, el de directorio.
En el mbito de las redes de ordenadores, un directorio (o almacn de datos) es
una estructura jerrquica que almacena informacin sobre recursos (o de forma
ms general, objetos) en la red. El directorio se implementa normalmente como
una base de datos optimizada para operaciones de lectura (soporta bsquedas
de grandes cantidades de informacin) y con capacidades de exploracin.

En concreto, el servicio de directorio que incorpora Windows 2000 se denomina

Directorio Activo (Active Directory). El Directorio Activo es un servicio de red que
almacena informacin acerca de los recursos existentes en la red y controla el
acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se
convierte en un medio de organizar, administrar y controlar centralizadamente el
acceso a los recursos de la red.
El Directorio Activo se ha implementado siguiendo una serie de estndares y
protocolos existentes, ofreciendo interfaces de programacin de aplicaciones
que facilitan la comunicacin con otros servicios de directorio. Entre ellos, se
pueden encontrar los siguientes:

DHCP (Dynamic Host Configuration Protocol). Protocolo de

configuracin dinmica de ordenadores, que permite la administracin
desatendida de direcciones de red.

DNS (Domain Name System). Servicio de nombres de dominio que

permite la administracin de los nombres de ordenadores. Este servicio
constituye el mecanismo de asignacin y resolucin de nombres
(traduccin de nombres simblicos a direcciones IP) en Internet.

SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de

red, que permite disponer de un servicio de tiempo distribuido.

LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o

compacto) de acceso a directorio. Este es el protocolo mediante el cual
las aplicaciones acceden y modifican la informacin existente en el
directorio.

Kerberos V5. Protocolo utilizado para la autenticacin de usuarios y

mquinas..

Certificados X.509. Estndar que permite distribuir informacin a travs

de la red de una forma segura.

Concepto de dominio segn el Directorio Activo

Desde el punto de vista del Directorio Activo, podemos ahora definir con ms
propiedad el concepto de dominio en Windows 2000: un dominio es un conjunto
de equipos que comparten una base de datos de directorio comn y que se
identifica mediante un nombre de dominio DNS.
En una red de sistemas Windows 2000, un dominio define:
a. Lmite de seguridad. El administrador de un dominio posee los permisos
y derechos necesarios para administrar los recursos de ese dominio
nicamente (a menos que se le hayan concedido de forma explcita en
otros dominios). Es decir, el dominio marca los lmites de la
administracin (y de la seguridad).
b. Unidad de replicacin. Todos los controladores de dominio (DCs) de un
dominio poseen una copia completa de la informacin de directorio de

dicho dominio. Para ello, las actualizaciones de dicha informacin en

cualquier controlador se replican de forma automtica al resto.
Como se ha comentado arriba, Windows 2000 ha incorporado el esquema de
nombrado DNS para nombrar a los dominios y para publicar los servicios que
cada ordenador ofrece al resto dentro del dominio. Es ms, existe una relacin
biunvoca entre un dominio Windows 2000 y un dominio DNS,
independientemente de que el dominio Windows 2000 forme parte o no de
Internet. Precisamente es mediante este esquema de nombrado DNS como
mejor se entiende la jerarqua en la que el Directorio Activo permite organizar
los dominios de una organizacin. Esto se explica a continuacin.
Mltiples dominios en la misma organizacin
Existen muchos casos en los que es interesante disponer de varios dominios de
ordenadores Windows 2000 en la misma organizacin (distribucin geogrfica o
departamental, distintas empresas, etc.). El Directorio Activo permite almacenar
y organizar la informacin de directorio de varios dominios de forma que,
aunque la administracin de cada uno sea independiente, dicha informacin
est disponible para todos los dominios.
En concreto, los dominios de Windows 2000 se pueden organizar en dos
unidades jerrquicas:
a. Arboles. Un rbol es una jerarqua de dominios que comparten un sufijo
DNS. El dominio situado en la raz del rbol se denomina principal y los
posibles subdominios que se creen por debajo se denominan
secundarios. Normalmente, al menos un controlador de dominio de un
dominio principal es un servidor DNS.
Por ejemplo, si en la UPV se quisiera tener un dominio Windows 2000
por cada departamento, debera existir un dominio principal denominado
upv.es (en este caso, la raz del rbol) y tantos dominios secundarios
como departamentos. En este caso, el dominio del departamento DSIC
debera denominarse dsic.upv.es, ya que ese es el dominio DNS
correspondiente a las mquinas del departamento. Si dentro del dominio
del DSIC se quisieran crear subdominios Windows 2000, tendran que
crearse necesariamente los subdominios DNS correspondientes en el
servidor DNS de la universidad.
b. Bosques. Pongmonos ahora en el caso de que no todos los dominios
de una organizacin compartan el mismo sufijo DNS. En este caso, cada
agrupacin de dominios con el mismo sufijo DNS formaran un rbol.
Segn la organizacin del Directorio Activo, el conjunto de dichos
rboles puede constituir una unidad jerrquica superior que se denomina
(lgicamente) bosque.
La informacin del directorio es accesible para todo el bosque de
dominios. De hecho, la parte fundamental del directorio (denominada
esquema) que define los tipos de objetos y atributos que se pueden
crear en el directorio es nica para todo el bosque. Ello asegura que la

informacin que se almacena en la parte del directorio de cada dominio

del bosque es homognea.
En resumen, cuando promocionamos un servidor Windows 2000 a controlador
de dominio (mediante el asistente dcpromo, tenemos que decidir una de las
siguientes opciones de instalacin:
1. DC adicional de un dominio existente o de un dominio nuevo (creacin
de un dominio).
2. En el segundo caso, el dominio (nuevo) puede ser un dominio
secundario de otro dominio existente (es decir, un subdominio de un
arbol de dominios ya creado), o bien el dominio principal (raz) de un
nuevo arbol de dominios.
3. En este segundo caso, el dominio raz puede ser de un bosque existente
o de un nuevo bosque.
Por tanto, en una organizacin en donde an no existen dominios, la creacin
del primer dominio ser en realidad la creacin de un nuevo bosque, con un
solo rbol, cuya raz es el dominio que queremos crear. A partir de ah podemos
aadir nuevos dominios como subdominios de la raz dentro del mismo rbol (y
as sucesivamente), o bien anexionar una raz de un rbol de dominios nuevo al
bosque.

Principales objetos administra un dominio

El Directorio Activo, tal como se ha visto en captulos anteriores, es en realidad
una base de datos jerrquica de objetos, que representan las entidades que
pueden administrarse en una red de ordenadores, o, ms correctamente en
nuestro caso, en un dominio de sistemas Windows 2000. Esta base de datos de
objetos de administracin es compartida, para consulta, por todos los
ordenadores miembros del dominio y, para modificacin, por todos los
controladores del dominio (o DC, Domain Controllers).
Por tanto, en Windows 2000, la gestin de un dominio puede realizarse de
forma centralizada, administrando nicamente el Directorio Activo. En este
contexto, "administrar" significa crear y configurar adecuadamente los objetos
del directorio que representan a las entidades o recursos que existen en el
dominio (recursos como usuarios, grupos, equipos, etc.).
Este apartado expone con detalle los principales tipos de objetos que pueden
crearse en el Directorio Activo de Windows 2000, planteando en cada caso sus
opciones de configuracin y su utilidad dentro de la administracin del dominio.

Usuarios globales
En el Captulo 5. Proteccin Local se ha visto cmo pueden crearse cuentas de
usuarios y grupos en Windows 2000, y cmo se utilizan ambas para:
a. identificar y autentificar a las personas (usuarios) que deben poder
acceder al sistema, y
b. administrar los permisos y derechos que permitirn aplicar el control de
acceso adecuado a dichos usuarios en el sistema.
Por lo tanto, segn lo que sabemos hasta ahora, si una persona debe trabajar
en varios ordenadores, necesita poseer una cuenta de usuario en cada uno de
ellos. A continuacin explicaremos una alternativa a esto.
En un dominio Windows 2000, cualquier servidor que acta como DC puede
crear cuentas de usuario global. En este caso, el trmino "global" debe
interpretarse como global al dominio. Los datos de una cuenta de usuario global
se almacenan en el Directorio Activo y por tanto son conocidos por todos los
ordenadores del dominio (en realidad, por todos los ordenadores de bosque).
Em otras palabras, no es que se cree una cuenta para ese usuario en cada
ordenador miembro, sino que existe una nica cuenta (con un nico SID) que es
visible en todos los ordenadores del dominio. En este caso, cuando una
persona se conecta a cualquiera de dichos ordenadores utilizando para ello su
cuenta de usuario global, el ordenador en cuestin realiza una consulta al
Directorio Activo (i.e., a alguno de los DCs) para que se validen las credenciales
del usuario. El resultado de la validacin es enviado al ordenador miembro (y de
ste al usuario), concediendo o rechazando la conexin.
Los ordenadores miembros de un dominio que no sean DCs, adems de
conocer a los usuarios globales del dominio, pueden crear tambin sus propios
usuarios locales. En este caso, estos usuarios son nicamente visibles en el
ordenador en el que han sido creados. Cuando una persona desea entrar en el
sistema utilizando una cuenta local, dicha cuenta se valida contra la base de
datos local de ese ordenador. Adems, es importante resaltar que a dicho
usuario local no se le pueden asignar permisos sobre recursos que residan en
otro sistema Windows 2000 (puesto que all no existe). Por el contrario, a un
usuario global se le pueden conceder permisos sobre cualquier recurso
(archivo, directorio, impresora, etc.) de cualquier ordenador miembro del
dominio, puesto que es visible (y posee el mismo SID) en todos ellos.
Grupos
De forma anloga a los usuarios globales, existen grupos que son almacenados
en el Directorio Activo y que por tanto son visibles desde todos los ordenadores
del dominio (y, en algunos casos, tambin de otros dominios del bosque). En el
directorio pueden crearse dos tipos de grupos: grupos de distribucin y grupos
de seguridad. Los primeros se utilizan exclusivamente para crear listas de
distribucin de correo electrnico, mientras que los segundos son los que se
utilizan con fines administrativos. Por este motivo, a partir de ahora nos
referiremos exclusivamente a los grupos de seguridad.

En concreto, en dominios Windows 2000 se definen tres clases de grupos de

seguridad (o, de forma ms precisa, se pueden definir grupos de tres mbitos
distintos):
Grupos locales del dominio

En un dominio en modo mixto, pueden contener cuentas de usuario y

grupo globales de cualquier dominio del bosque. En un dominio en modo
nativo, pueden contener adems grupos universales y otros grupos
locales del dominio. Slo son visibles en el dominio en que se crean, y
suelen utilizarse para conceder permisos y derechos en cualquiera de
los ordenadores del dominio (en modo mixto, slo son visibles por los
DCs del dominio, y por tanto slo se pueden utilizar para administrar
permisos y derechos en esos ordenadores).
Grupos globales

En un dominio en modo mixto, pueden contener cuentas de usuario

globales del mismo dominio. En un dominio en modo nativo, pueden
contener adems otros grupos globales del mismo dominio. Son visibles
en todos los dominios del bosque, y suelen utilizarse para clasificar a los
usuarios en funcin de las labores que realizan.
Grupos universales

Slo estn disponibles en dominios en modo nativo. Pueden contener

cuentas de usuario y grupos globales, as como otros grupos
universales, de cualquier dominio del bosque. Son visibles en todo el
bosque.
En un ordenador miembro de un dominio tambin se pueden definir grupos
locales. Los grupos locales pueden estar formados por cuentas de usuario
locales y usuarios y grupos globales de cualquier dominio del bosque (en modo
mixto) y adems por grupos universales (en modo nativo). Un grupo local no
puede ser miembro de otro grupo local. Los grupos locales pueden utilizarse
para conceder permisos y derechos en el equipo en que son creados.
Por tanto, la administracin de la proteccin en cada ordenador del dominio
puede realizarse mediante grupos locales del dominio o grupos locales del
equipo en que reside el recurso a administrar. Por tanto, la recomendacin que
se haca en el Captulo 5. Proteccin Local respecto a la asignacin de
permisos en base a grupos locales sigue siendo vlida. En el caso ms general,
la regla que recomienda Windows 2000 es la siguiente:
1. Asignar usuarios globales a grupos globales, segn las labores que
desempeen en la organizacin.
2. Incluir (usuarios y/o) grupos globales en grupos locales (del equipo o del
dominio) segn el nivel de acceso que vayan a tener.
3. Asignar permisos y derechos nicamente a estos grupos locales (del
equipo o del dominio).

En relacin con esto, es importante saber que cuando un ordenador pasa a ser
miembro de un dominio, el grupo global Administradores del dominio se
incluye automticamente en el grupo local Administradores de dicho
ordenador. De igual forma, el grupo global Usuarios del dominio se incluye
dentro del grupo local Usuarios. De esta forma, los administradores y usuarios
normales del dominio tienen en cada miembro los mismos derechos y permisos
que los que tengan ya definidos los administradores y usuarios locales,
respectivamente. El administrador local puede, si lo desea, invalidar esta accin
automtica, extrayendo posteriormente los grupos globales de los locales.
Equipos
Como hemos visto, en el Directorio Activo de un dominio se conserva toda la
informacin relativa a cuentas de usuarios y grupos globales. Esta misma base
de datos de directoio recoge tambin una cuenta de equipo por cada uno de los
ordenadores miembro de un dominio.
Entre otras informaciones, en cada una de estas cuentas se almacena el
nombre del ordenador, as como un identificador nico y privado que lo
identifica unvocamente. Este identificador es anlogo al SID de cada cuenta de
usuario, y slo lo conocen los DC s y el propio ordenador miembro. Es por
tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede
cambiarlo.
Windows 2000 puede utilizar distintos protocolos de comunicaciones seguros
entre los ordenadores miembro de un dominio y los DCs. Entre ellos los ms
importantes son NTLM (el protocolo utilizado por versiones anteriores de
Windows NT, que se mantiene por compatibilidad hacia atrs) y Kerberos V5.
Kerberos presenta numerosas ventajas respecto a NTLM, pero slo es viable en
la prctica si todas las mquinas del dominio son Windows 2000. Estos
protocolos se utilizan siempre que informacin relativa a aspectos de seguridad
se intercambia entre mquinas 2000 pertenecientes a algn dominio y, en
concreto, para autenticar usuarios (como se ha explicado arriba).
Unidades Organizativas
Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio
Activo que puede contener a otros objetos del directorio. Es decir, es un
contenedor de otros objetos, de forma anloga a una carpeta o directorio en un
sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo
pueden crearse cuentas de usuario, de grupo, de equipo, de recurso
compartido, de impresora compartida, etc., adems de otras unidades
organizativas. Es decir, mediante unidades organizativas podemos crear una
jerarqua de objetos en el directorio (lo cual se asemeja otra vez a un sistema
de archivos tpico de Windows). Los objetos ubicados dentro de una unidad
organizativa pueden moverse ms tarde a otra, si fuera necesario. Sin embargo,
un objeto no puede copiarse: cada objeto es nico en el directorio, y su
existencia es independiente de la unidad organizativa a la que pertenece.
Por tanto, el objetivo de las unidades organizativas es estructurar u organizar el
conjunto de los objetos del directorio, agrupndolos de foma coherente. En el
Directorio Activo, las unidades organizativas permiten:

a. Conseguir una estructuracin lgica de los objetos del directorio, de

acuerdo con la organizacin de la empresa (por departamentos o
secciones, sedes, delegaciones geogrficas, etc.). Entre otras ventajas,
esta organizacin le permite al administrador del dominio una gestin
ms lgica de usuarios, grupos, equipos, etc., pero tambin le permite a
cualquier usuario una bsqueda de los objetos ms sencilla cuando
explora el directorio buscando recursos (por ejemplo, se podra localizar
fcilmente las impresoras compartidas del edificio central de la
delegacin de Alicante).
b. Delegar la administracin. Cada unidad organizativa puede
administrarse de forma independiente. En concreto, se puede otorgar la
administracin total o parcial de una unidad organizativa a un usuario o
grupo de usuarios cualquiera. Esto permite delegar la administracin de
subconjuntos estancos del dominio a ciertos usuarios que posean el
nivel de responsabilidad adecuada.
c. Establecer de forma centralizada comportamientos distintos a usuarios y
equipos. A cada unidad organizativa pueden vincularse polticas de
grupo, que aplican comportamientos (generalmente en forma de
restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha
unidad. De esta forma, podemos aplicar restricciones distintas a
subconjuntos de usuarios y equipos del dominio, en funcin
exclusivamente de la unidad organizativa donde se ubican. Por ejemplo,
podemos limitar a los usuarios del departamento de contabilidad para
que slo puedan utilizar ciertas aplicaciones, pero que esto no se
aplique a los usuarios del departamento de informtica.
En muchos sentidos, el concepto de unidad organizativa se puede utilizar en
Windows 2000 de la misma forma que se entenda el concepto de dominio en
versiones anteriores de Windows NT, es decir, conjunto de usuarios, equipos y
recursos administrados independientemente. En realidad, en Windows 2000 el
concepto de dominio viene ms bien asociado a la distribucin de los sitios
(topologa de red) y a la implementacin de DNS que exista (o quiera crearse)
en la empresa.
De este modo, en muchas organizaciones de pequeo o medio tamao resulta
ms adecuado implementar un modelo de dominio nico con mltiples unidades
organizativas que un modelo de mltiples dominios. Si es necesario, cada
unidad puede administrarse independientemente, con uno o varios
administradores delegados y comportamientos (polticas) diferentes.

Comparticin de recursos entre sistemas

Windws 2000
Cuando un sistema Windows 2000 participa en una red (grupo de trabajo o
dominio), puede compartir sus recursos con el resto de ordenadores. En este
contexto, slo vamos a considerar como recursos a compartir las carpetas o

directorios que existen en un sistema 2000. La comparticin de otros recursos

(tales como impresoras, por ejemplo) queda fuera del mbito de este texto.
Permisos y derechos
Cualquier sistema Windows 2000 puede compartir carpetas, tanto si es un
servidor como si es una estacin de trabajo. Para poder compartir una carpeta
basta con desplegar su men contextual desde una ventana o desde el
explorador de archivos, y seleccionar Compartir.... En la ventana asociada a
esta opcin se determina el nombre que tendr el recurso (que no tiene por qu
coincidir con el nombre de la propia carpeta), as como qu usuarios van a
poder acceder al mismo. En relacin con esto, existe una gran diferencia entre
que el directorio resida en una particin FAT y que resida en una NTFS.
Si la carpeta reside en una particin FAT, este filtro de acceso ser el nico que
determine los usuarios que van a poder acceder al contenido de la carpeta,
puesto que no es posible determinar permisos sobre la misma o sus archivos.
Es decir, el filtro slo se establece para poder acceder al recurso. Si un usuario
tiene permisos suficientes para conectarse a un recurso, tendr acceso sobre
todos los archivos y subcarpetas del recurso. Concretamente, el tipo de acceso
sobre todos ellos ser el que le permita el permiso sobre el recurso (Lectura,
Escritura o Control Total).
Por el contrario, si la carpeta se encuentra en una particin NTFS, sta tendr
unos permisos establecidos (as como sus subcarpetas y archivos), al margen
de estar o no compartida. En este caso tambin es posible establecer permisos
desde la ventana de Compartir..., pero entonces slo los usuarios que
puedan pasar ambos filtros podrn acceder a la carpeta compartida y a su
contenido. En este caso se recomienda dejar Control Total sobre Todos en
los permisos asociados al recurso (opcin por defecto), y controlar quin (y
cmo) puede acceder al recurso y a su contenido mediante los permisos
asociados a dicha carpeta (y a sus archivos y subcarpetas).
Esta recomendacin es muy til, si tenemos en cuenta que de esta forma para
cada carpeta (y archivo) del sistema no utilizamos dos grupos de permisos sino
uno solo, independientemente de que la carpeta sea o no compartida. Este
forma de trabajar obliga al administrador a asociar los permisos correctos a
cada objeto del sistema (aunque no est compartido), pero por otra parte se
unifica la visin de la seguridad de los archivos, con lo que a la larga resulta
ms segura y ms sencilla.
Cuando compartimos recursos a otros usuarios en la red (especialmente en un
dominio) hay que tener en cuenta no slo los permisos del recurso y su
contenido, sino tambin los derechos del ordenador que comparte el recurso.
En concreto, si un usuario ha iniciado una sesin interactiva en un ordenador
Windows 2000 denominado A, y desea conectarse a un recurso de red que
exporta otro Windows 2000 denominado B, adems de poseer suficientes
permisos (sobre el recurso, sobre el propio carpeta y sobre su contenido), tiene
que tener concedido en B el derecho Acceder a este equipo desde la red.
De lo contrario, dicho usuario ni siquiera podr obtener la lista de los recursos
que el ordenador A comparte.

Comparticin dentro de un dominio

Cuando la comparticin de recursos la realizan equipos que forman parte de un
dominio Windows 2000, existen consideraciones que el administracin debe
conocer.
Primero, una vez se ha compartido fsicamente una carpeta en la red (segn el
procedimiento descrito arriba), el administrador del dominio puede adems
publicar este recurso en el directorio. Para ello debe crear un nuevo objeto, en
la unidad organizativa adecuada, de tipo Recurso compartido. A este objeto
se le debe asociar un nombre simblico y el nombre de recurso de red que
representa (de la forma \\equipo\recurso). Es importante tener en cuenta que
cuando se publica el recurso, no se comprueba si realmente existe o no, por lo
que es responsabilidad del administrador el haberlo compartido y que su
nombre coincida con el de la publicacin. Una vez publicado, el recurso puede
localizarse mediante bsquedas en el Directorio Activo, como el resto de
objetos del mismo.
Y segundo, cuando un sistema Windows 2000 se agrega a un dominio, los
siguientes recursos se comparten de forma automtica y por defecto (estas
comparticiones no deben modificarse ni prohibirse):

letra_de_unidad$. Por cada particin existente en el sistema Windows

2000 (C:, D:, etc.) se crea un recurso compartido denominado C$, D$,

etc. Los administradores del dominio, as como los operadores de copia

del domino, pueden conectarse por defecto a estas unidades.

ADMIN$. Es un recurso utilizado por el propio sistema durante la

administracin remota de un ordenador Windows 2000.

IPC$. Recurso que agrupa los tubos (colas de mensajes) utilizados por

los programas para comunicarse entre ellos. Se utiliza durante la

administracin remota de un ordenador Windows 2000, y cuando se
observa los recursos que comparte.

NETLOGON. Recurso que exporta un DC para proporcionar a los

ordenadores miembros del dominio el servicio de validacin de cuentas

globales a travs de la red (Net Logon service).

SYSVOL. Recurso que exporta cada DC de un dominio. Contiene

informacin del Directorio Activo (por ejemplo, de directivas de grupo)

que debe replicarse en todos los DCs del dominio.
En relacin con los nombres de estos recursos, es interesante saber que aadir
el carcter "$" al final de cualquier nombre de recurso tiene un efecto especfico:
prohibe que dicho recurso se visualice dentro de la lista de recursos que una
mquina exporta al resto. Es decir, convierte un recurso en ``invisible'' para al
resto del mundo. En este caso, un usuario remoto slo podr conectarse al
recurso si conoce su nombre de antemano (y tiene suficientes permisos,
obviamente).

Mandatos Windows 2000 para compartir recursos

La comparticin de recursos en Windows 2000 puede realizarse en lnea de
rdenes utilizando los mandatos net share y net use. La sintaxis de ambos
mandatos es la siguiente:
a. Mandato net share: Crea, elimina o muestra recursos compartidos.

b. net share
c. net share recurso_compartido
d. net share recurso_compartido=unidad:ruta_de_acceso
e.

[/users:nmero | /unlimited] [/remark:"texto"]

f. net share recurso_compartido [/users:nmero | unlimited]

g.

[/remark:"texto"]

h. net share {recurso_compartido | unidad:ruta_de_acceso} /delete

i.

Mandato net use: Conecta o desconecta un equipo de un recurso

compartido o muestra informacin acerca de las conexiones del equipo.
Tambin controla las conexiones de red persistentes.

j. net use

[nombre_dispositivo]

k.

[\\nombre_equipo\recurso_compartido[\volumen]]

l.

m.

[contrasea | *]]
[/user:[nombre_dominio\]nombre_usuario]
[[/delete] | [/persistent:{yes | no}]]

n. net use nombre_dispositivo [/home[contrasea | *]]

o.

[/delete:{yes | no}]

p. net use

[/persistent:{yes | no}]