MÓDULO 1

Introducción a la familia de Microsoft

Windows Server 2003
 Índice y contenidos

Página

1. Introducción……………………………………………………………………………………… 3

2. Familia de Windows Server 2003 ………………………………………………….. 4

3. Información general del Sistema de ayuda y soporte técnico.……… 8

4. Conceptos y definiciones básicas asociadas al servicio

de directorio Active Directory. Dominios, Árbol, Bosques…………………12

5. Unidades Organizativas …………………………………………………………………. 21

6. Herramientas administrativas…..……………………………………………………….24

7. Herramientas MMC……………………………………………………………………………. 27

2
 Introducción

En este módulo se describen tareas básicas que un administrador de

sistemas tendrá que saber realizar cuando comience a trabajar con
Microsoft Windows Server™ 2003.
Conocer y comprender conceptos y definiciones asociadas. Comparar las
ediciones de la familia de Windows Server 2003. Localizar temas
específicos en el Sistema de ayuda y soporte técnico. Herramientas
administrativas. Conceptos y definiciones de la estructura principal de
un servicio de directorio. Comprender distintas alternativas para la
creación de Unidades Organizativas. Conocer un administrador de
consolas Microsoft (MMC), que permite delegar actividades a otros
usuarios o administradores.

3
1. Familia de Windows Server 2003
******el uso por quienes no sean instructores no está autorizado y
Con el lanzamiento de la familia de productos de Microsoft Windows
Server 2003 se han simplificado y mejorado muchas de las
características disponibles con Microsoft Windows NT 4.0. Familiarizarse
con estas nuevas características le ayudará a implementar eficazmente
la familia de productos de Windows Server 2003.

Qué es la familia de Windows Server 2003

** ilegal******
Windows Server 2003 está disponible en cinco ediciones. Cada edición
se ha desarrollado para una función de servidor específica, entregando
distintas alternativas asociadas a distintos requerimientos que un
administrador de sistemas necesite.
Estas Ediciones son: Standard, Small Bussines, Enterprise, Datacenter y
Web. Algunas características de cada edición puede encontrar a
continuación:

1.1 Standard Edition

Pequeñas empresas y departamentos.

Utilice Windows Server 2003, Standard Edition si el servidor no requiere
la compatibilidad de hardware mejorada ni las características de clúster
de Windows Server 2003, Esta versión es perfecta para servidores de
archivos y de impresión, servidores Web y grupos de trabajo. También
mejora el acceso a redes para las sucursales.
Algunas características más importantes, que proporciona servicios que
simplifican la administración de redes:
• Active Directory

4
• Administración simplificada
• Administración flexible
• Escalabilidad
• Interoperabilidad
• Directiva de grupo
• Protocolo de actualización dinámica de Sistema de nombres de
dominio (DNS, Domain Name System)
• Servidor de aplicaciones
• Escritorio remoto
Algunas características de capacidad de hardware que puede soportar:
• 4 gigabytes (GB) de RAM como máximo
• Multiproceso simétrico (SMP, Symmetric Multiprocessing) de cuatro
vías

1.2 Small Bussines Server Edition

Para pequeñas empresas (75 equipos). Disponible en versiones

Standard y Premium. Provee de tecnologías y herramientas, incluyendo
e-mail; compartir carpetas e impresoras, altos niveles de seguridad de
accesos, Internet, almacenamiento de datos, servidor de impresión,
conexiones remotas.
Las características más importantes, que proporcionan servicios que
simplifican la administración de redes y capacidad de soporte de
hardware muy similar a la edición Standard.

1.3 Enterprise Edition.

Esta versión es perfecta para servidores de archivos y de impresión,

servidores Web y grupos de trabajo. También mejora el acceso a redes
para las sucursales.

5
Necesidades generales de las empresas de todos los tamaños. Una
plataforma para aplicaciones, e infraestructura.
Esta versión está diseñada para los servidores que se emplean en una
red empresarial de gran tamaño y para un entorno de uso intensivo de
bases de datos.
Contiene todas las características de Microsoft Windows Server 2003:
Proporciona una escalabilidad y disponibilidad del sistema mejoradas
mediante los elementos siguientes:
• Arquitectura de memoria empresarial
• Escalabilidad de multiproceso simétrico
• Organización por clústeres de Windows
Compatibilidad de hardware:
• 32 GB de RAM como máximo (64 GB de RAM para la edición de 64
bits)
• SMP de ocho vías
• Hasta ocho nodos del servicio de clúster Windows Server 2003,

1.4 Datacenter Edition

Aplicaciones esenciales para la empresa y la misión que requieren los

mayores niveles de fiabilidad, disponibilidad y escalabilidad.
Esta versión de la familia de Windows 2003 es el sistema operativo de
servidor más potente. Se ha diseñado para admitir almacenes de datos
de gran tamaño, el procesamiento de transacciones en línea (OLTP, On-
Line Transaction Processing) y proyectos de consolidación de servidores
y simulaciones a gran escala.
Contiene todas las características de Windows Server 2003, Enterprise
Edition.
Compatibilidad de hardware:
• 64 GB de RAM como máximo (512 GB de RAM para la versión de 64

6
bits)
• SMP de 32 vías (SMP de 64 vías para la versión de 64 bits)
• Hasta ocho nodos del servicio de clúster Windows Server 2003

1.5 Web Edition

Esta versión proporciona una plataforma para desarrollar e implementar

rápidamente servicios Web y aplicaciones mediante un servidor Web que
ejecute Servicios de Microsoft Internet Information Server (IIS) 6.0.
Aunque los equipos con Windows Server 2003, Web Edition, pueden ser
miembros de un dominio de Active Directory, no se puede ejecutar
Active Directory en Windows Server 2003, Web Edition.
Permite Bloqueo de aplicaciones
Límites de conexiones de bloque de mensajes del servidor (SMB, Server
Message Block)
Compatibilidad de hardware:
• 2 GB de RAM como máximo
• SMP de dos vías
Para obtener más información puede consultar:
Overview of Windows Server 2003, Standard Edition (en inglés)
Overview of Windows Server 2003, Enterprise Edition (en ingles)
http://www.microsoft.com/windowsserver2003/evaluation/overview/

Sistema operativo de escritorio preferido

Microsoft Windows® XP Professional es el mejor sistema operativo

de escritorio para las organizaciones que implementan Windows Server
2003.
A continuación se muestra una lista de capacidades de Windows XP

7
Professional:
Restauración del sistema
Conexión inalámbrica 802.11x
Estados de hibernación y inactividad
Archivos y carpetas sin conexión
Protocolo de impresión en Internet
Desinstalación del controlador del dispositivo
Administrador Plug and Play
Compatibilidad con tarjetas inteligentes
Servicio de inicio de sesión secundario
Escritorio remoto

2. Información general del Sistema de ayuda y soporte

técnico
*****el uso por quienes no sean instructores no está autorizado y r
Para familiarizarse con Windows Server 2003 debe investigar las
novedades que ofrece el Sistema de ayuda y soporte técnico. Este
sistema incluye toda la documentación de productos que puede
necesitar con las utilidades del sistema integradas.

Qué ofrece el Sistema de ayuda y soporte técnico

******el u resulta ilegal******
Desde el lanzamiento de Windows NT 4.0 se han agregado las
características siguientes al sistema operativo Windows y ha aumentado
la facilidad de uso del sistema de ayuda:
Muchos de los procedimientos de tareas administrativas y de soporte
documentados en el Sistema de ayuda y soporte técnico contienen
hipervínculos que abren importantes recursos que le ayudarán a
completar la tarea:

8
• Subprograma del Panel de control
• Herramientas basadas en la consola MMC
• Otros temas de Ayuda que explican definiciones y prácticas
recomendadas asociadas con la tarea

El Sistema de ayuda y soporte técnico permite realizar búsquedas

utilizando las referencias en línea siguientes:
• Microsoft MSDN®
• TechNet
• Kit de recursos de Windows
• Microsoft Product Support System
Windows Server 2003 ofrece varias posibilidades para ampliar la
disponibilidad del Sistema de ayuda y soporte técnico.
Por ejemplo, se puede instalar este sistema en un equipo que ejecute
Windows XP Professional Edition. También se puede obtener acceso a él
en el Web o consultarlo desde otro equipo.
La página de inicio del Sistema de ayuda y soporte técnico se organiza
en las categorías siguientes:
Contenido de la Ayuda
Tareas de soporte técnico
Temas principales
En el contenido de la Ayuda se enumeran los encabezados de los temas
principales del Sistema de ayuda y soporte técnico de Windows Server
2003.
Para obtener una lista completa presione la tecla F1. A continuación se
ofrece un listado parcial:
Implementación de software
Equipos cliente
Servicios de correo electrónico e Internet
Discos y datos

9
 Hardware
Impresoras y faxes
En la página de inicio del Sistema de ayuda y soporte técnico se
incluyen los temas siguientes bajo Tareas de soporte técnico. Su
objetivo es un aprendizaje en el momento:

Soporte
Permite utilizar herramientas de soporte como Asistencia remota o
aprovechar las ventajas de las comunidades en línea para realizar
consultas y ayudar a otros.
La consulta de las herramientas y la información de soporte ayuda a
mantener la red y solucionar los problemas que presente.

Windows Update
Incluye Service Packs, correcciones de seguridad y otras actualizaciones
para este equipo y los equipos que admita.

Software y hardware compatibles

Permite buscar el software y el hardware adecuados para los productos
de la familia de Windows.
Herramientas
Permite localizar herramientas como Información del sistema para
administrar equipos, servicios y recursos de la red.
Mensajes de error y de registro de sucesos Permite buscar detalles de
los mensajes de error y registros de sucesos.
Temas principales
Permite conectar automáticamente con el sitio Web de Microsoft y
descargar una lista de hipervínculos de los temas de soporte técnico
más solicitados.

10
Cómo utilizar el Sistema de ayuda y soporte técnico
******el uso por quienes no sean instructores no está autorizado y res
El Centro de ayuda y soporte técnico de Windows Server 2003 permite
realizar una búsqueda de los términos y frases clave. Una vez
completada la búsqueda, se puede ver la información más relevante,
examinar otros documentos de la Ayuda que contengan la palabra o
frase clave o buscar artículos de Knowledge Base relacionados.
Si se encuentra información especialmente útil, se puede agregar a la
lista de favoritos, imprimirla o buscar más información relacionada
localizándola en la tabla de contenido de la Ayuda.
Para iniciar el Centro de ayuda y soporte técnico:
1. Haga clic en Inicio.
2. Haga clic en Ayuda y soporte técnico.
Para buscar una palabra o frase concreta:
1. Introduzca la palabra o la frase que desea buscar en el cuadro de
texto Buscar. Para buscar una frase, escríbala entre comillas.
2. Presione ENTRAR o haga clic en el botón de flecha verde.
Una vez completada la búsqueda, para examinar los resultados:
1. Haga clic en Temas sugeridos para examinar los temas más
importantes.
2. Haga clic en Temas de ayuda para consultar otros documentos que
contengan la palabra o frase clave.
3. Haga clic en Base del conocimiento de Microsoft para ver los
artículos de Knowledge Base que contengan la palabra o la frase clave
(requiere acceso a Internet).

11
3. Conceptos de Active Directory en Windows 2003
*****el uso por quienes no sean instructores no está autorizado y
Active Directory es el servicio de directorio de una red de la familia de
Windows Server 2003. Un servicio de directorio es un servicio de red
que almacena información acerca de los recursos de la red y permite el
acceso de los usuarios y las aplicaciones a dichos recursos. Los servicios
de directorio proporcionan una forma coherente de asignar nombres,
describir, localizar, obtener acceso, administrar y proteger la
información de estos recursos.
Active Directory proporciona funcionalidad de servicio de directorio,
como un medio de organizar, administrar y controlar centralizadamente
el acceso a los recursos de red. Active Directory clarifica la topología
física de red y los protocolos, de forma que un usuario de una red puede
tener acceso a cualquier recurso sin saber dónde está el recurso o cómo
está conectado físicamente, como en el caso de una impresora.
Active Directory se puede ampliar a medida que la organización crece.
De un directorio que contiene unos pocos cientos de objetos se puede
pasar a uno con millones de objetos.
Un servidor que ejecute un miembro de la familia de Windows Server
2003 almacena en Active Directory información acerca de la
configuración del sistema, los perfiles de usuario y las aplicaciones. En
combinación con las directivas de grupo, Active Directory permite a los
administradores controlar escritorios distribuidos, servicios de red y
aplicaciones desde una ubicación central al tiempo que utiliza una
interfaz de administración coherente. Los administradores de red
disponen también de una forma lógica de supervisar y administrar
dispositivos de red, como enrutadores.

El objetivo de Active Directory es proporcionar una visión unificada de la

12
 red que reducirá el número de directorios y espacios de nombres. Active
Directory está diseñado específicamente para interoperar con otros
directorios y administrarlos, independientemente de su ubicación o sus
sistemas operativos subyacentes. Active Directory proporciona una
amplia compatibilidad con los protocolos y estándares existentes, y
ofrece interfaces de programación de aplicaciones (API, Application
Programming Interface) que facilitan la comunicación con estos otros
directorios.

En la tabla siguiente se describen algunas tecnologías que admite Active

Directory y el propósito de cada una.

Tecnología Propósito

Protocolo de configuración Administración de direcciones de

dinámica de host (DHCP, red
Dynamic Host
ConfigurationProtocol)

Protocolo de actualización Administración de nombres de

dinámica de DNS host

Protocolo simple de tiempo de Servicio de tiempo distribuido

red (SNTP, Simple Network Time
Protocol)

Protocolo compacto de acceso Acceso a directorios de clientes

a directorios(LDAP,Lightweight
Directory Access Protocol)

13
LDAP ‘C’ Formato de intercambio API de directorios Sincronización
de datos LDAP (LDIF, LDAP Data de directorios
Interchange Format) Esquema de directorios
Kerberos V5 Autenticación

Protocolo de control de Transporte de Red

transmisión/Protocolo Internet
(TCP/IP, Transmisión Control
Protocol/Internet Protocol)

La compatibilidad con estos estándares de Internet proporciona las

siguientes ventajas:

a) Administración centralizada
Un servidor que ejecute un miembro de la familia de Windows Server
2003 almacena en Active Directory información acerca de la
configuración del sistema, los perfiles de usuario y las aplicaciones. En
combinación con las directivas de grupo, Active Directory permite a los
administradores controlar escritorios distribuidos, servicios de red y
aplicaciones desde una ubicación central al tiempo que utiliza una
interfaz de administración coherente. Los administradores de red
disponen también de una forma lógica de supervisar y administrar
dispositivos de red, como enrutadores.

b) Integración de DNS
Active Directory utiliza las convenciones de nomenclatura del Sistema de
nombres de dominio (DNS, Domain Name System) para crear una
estructura jerárquica que proporcione una vista familiar, ordenada y
escalable de las conexiones de red.

14
 c) Escalabilidad
Active Directory se organiza en secciones que permiten el
almacenamiento de una gran cantidad de objetos. Como resultado,
Active Directory se puede
ampliar a medida que la organización crece.
Una organización que dispone de un solo servidor con unos pocos
cientos e objetos puede crecer hasta miles de servidores y millones de
objetos.

d) Administración delegada
La estructura jerárquica de Active Directory permite que el control
administrativo se delegue para segmentos específicos de la jerarquía.

3.1 ¿Qué es un dominio?

Un dominio es un conjunto de equipos, definidos por un administrador,

que comparten una base de datos de directorio común, directivas de
seguridad y relaciones de seguridad con otros dominios. En Active
Directory, la unidad central de la estructura lógica es el dominio.

3.2 ¿Qué es un controlador de dominio?

Un controlador de dominio es un equipo que realiza las siguientes

acciones:
Ejecuta un sistema operativo en la familia de Windows Server 2003 o
ejecuta Microsoft Windows® 2000.
Almacena una réplica de Active Directory.
Administra los cambios de la información de directorio.
Replica los cambios de directorio en otros controladores de dominio del

15
mismo dominio.
Almacena datos de directorio.
Administra los procesos de inicio de sesión y autenticación de los
usuarios y de búsquedas de directorios.

3.2.1 ¿Cuántos controladores de dominio hay en un dominio?

Un dominio puede tener uno o varios controladores de dominio. Una

organización pequeña que utilice una única red de área local (LAN, Local
Area Network) puede que sólo necesite un dominio con dos
controladores de dominio para proporcionar la disponibilidad y la
tolerancia de errores adecuadas. Una organización grande con muchas
ubicaciones geográficas puede necesitar uno o varios controladores de
dominio en cada ubicación para proporcionar la disponibilidad y la
tolerancia de errores adecuadas.

3.3 ¿Qué es un árbol de dominio?

Es una disposición jerárquica de uno o varios dominios de la familia de
Windows Server 2003 que forman un espacio de nombres contiguo.

16
Para poder construir un árbol (Tree) debemos comenzar por crear el
primer dominio en la estructura, raiz.com en este caso. A partir de lo
cual podemos crear los subdominios, hijoN.raiz.com en este caso.
Un árbol también se denomina árbol de dominios.
El Espacio contiguo de nombres. Cada subdominio debe incluir el
nombre del dominio del cual “cuelga”, salvo el primero. No hay un límite
teórico en cuanto a la cantidad de subdominios que puede tener cada
uno, ni en cuanto a los niveles de hijos de cada uno.

Detalles importantes a tener en cuenta, es que esta estructura se crea

“de arriba hacia abajo”, es decir, primero debemos crear el dominio raíz
del árbol, a partir de cuyo establecimiento se pueden crear los que
“cuelgan” del mismo. Además el dominio raíz tiene características
particulares que no tiene ningún otro dominio, entre otras, el dominio
raíz tiene el grupo con privilegios para modificar el esquema, y es el
único dominio que tiene un grupo capaz de efectuar configuraciones que
afectan a todo el directorio

3.4 ¿Qué es un bosque?

Uno o varios árboles se pueden unir para formar un bosque. Un bosque
también se denomina bosque de dominios.

17
La estructura de árbol seguramente será suficiente para la mayoría de
los casos, pero si se diera el caso de no poder mantener la continuidad
en el espacio de nombres, como podría ser el caso de la fusión de
empresas en donde se desee preservar el nombre de cada una, la
solución sería armar un Bosque (Forest)

Esta característica, como mencionamos puede ser útil en el caso de la

fusión de 2 o más empresas preservando su identidad en el nombre de
dominio. Aunque debemos tener en cuenta algo muy importante, se
construye igual al árbol, esto es, a partir del dominio raíz es posible
crear un Árbol o un Bosque.

3.5 Relaciones de confianza de Active Directory

En Active Directory, el término confianza hace referencia a la relación

entre dos dominios en la que un dominio reconoce la autoridad de
autenticación del otro.
Las definiciones proporcionadas en la siguiente tabla ayudarán a
entender cómo otros dominios pueden reconocer la autoridad para
autenticar de un dominio.

18
Éstas son las relaciones de confianza utilizadas con más frecuencia:

3.5.1 Confianza unidireccional Un dominio reconoce la autoridad

de autenticación de otro pero no a la inversa. Por ejemplo, el
dominio A confía en el dominio B, pero el dominio B no confía
en el dominio A.
3.5.2 Confianza bidireccional La autoridad de autenticación entre
dominios se reconoce mutuamente. Por ejemplo, si el dominio
A confía en el dominio B, entonces el dominio B confía en el
dominio A.
3.5.3 Confianza transitiva La autoridad de autenticación se
puede heredar implícitamente entre dominios. Por ejemplo, si
el dominio A confía en el dominio B y el dominio B confía en el
dominio C, el dominio A confía en el dominio C.
3.5.4 Confianza transitiva bidireccional La autoridad de
autenticación se puede heredar implícitamente de forma
bidireccional entre dominios. Por ejemplo, si el dominio B confía
en el dominio A y el dominio C confía en el dominio A, entonces
el dominio B confía automáticamente en el dominio C y el
dominio C confía automáticamente en el dominio B.
3.5.5 Confianza entre bosques Una confianza que se extiende a
través de bosques.

Las relaciones de confianza transitivas bidireccionales se utilizan con

más frecuencia porque son las predeterminadas entre dominios de la
familia de Windows Server 2003.
Las confianzas no transitivas unidireccionales se utilizan con frecuencia
para admitir conexiones desde dominios de la familia de Windows
Server 2003 a redes de Windows NT 4.0.

19
Para obtener más información sobre confianzas consulte los temas
“Confianzas” y “Tipos de confianzas” del Sistema de ayuda y soporte
técnico.

3.6 Requisitos de instalación de Active Directory

Antes de instalar Active Directory, debe asegurarse de que tanto el

servidor como la red cumplen ciertos requisitos y opciones de
instalación.
En la siguiente lista se identifican los requisitos para la instalación de
Active Directory:
• Un equipo donde se ejecute la familia de Microsoft Windows Server
2003.
• Una partición o un volumen formateados con el sistema de archivos
de Windows NT (NTFS, Windows NT File System).
• Espacio en disco suficiente para el directorio. Se recomienda disponer
de 1 gigabyte (GB) como mínimo.
• Un servidor DNS que admite el registro de recurso de servicio (SRV).
• Protocolo de control de transmisión/Protocolo Internet (TCP/IP)
instalado y configurado para DNS.
Además, se recomienda disponer de un servidor DNS que admita el
protocolo de actualización dinámica.
NOTA: El Asistente para instalación de Active Directory ofrece la
posibilidad de instalar el servicio Servidor DNS al instalar el primer
controlador de dominio en un dominio nuevo, si no se encuentra un
servidor DNS autorizado para el dominio o si el servidor DNS no admite
el DNS dinámico.
4. Unidades Organizativas. (OU)

Al crear un dominio, el sistema crea una serie de contenedores

20
predefinidos, y el administrador puede, y debería, crear una estructura
jerárquica que facilite la administración. Esto es, crear una estructura de
contenedores, llamados Unidades Organizativas, que se adapte al
entorno de trabajo y administración.

Una unidad organizativa es un tipo especialmente útil de objeto de

Active Directory que está contenido en un dominio. Las unidades
organizativas son útiles porque pueden utilizarse para organizar cientos
de miles de objetos en el directorio en unidades fáciles de administrar.
Puede utilizar una unidad organizativa para agrupar y organizar objetos
con fines administrativos, como delegar derechos administrativos y
asignar directivas a un conjunto de objetos como una sola unidad.

Las Unidades Organizativas son contenedores, es decir, que pueden

contener otros objetos, como ser otras Unidades Organizativas, cuentas
de Usuario y de Computadora, grupos, carpetas compartidas e
impresoras. (El concepto de contenedor es diferente del de grupo, ya
que este último en realidad no es un contenedor. Un grupo contiene
referencias (punteros) al objeto que contiene. En cambio un contenedor
realmente lo contiene). Si borramos una Unidad Organizativa también
borramos todo lo que contiene.

Algunas ventajes de implementar OU

• Organizar objetos en un dominio. Las unidades organizativas

21
 contienen objetos de dominio, como grupos y cuentas de usuario y
equipo. En las unidades organizativas también es posible
encontrar recursos compartidos de archivo e impresora que se
publican en Active Directory.

• Delegar el control administrativo. Puede asignar control

administrativo completo, como el permiso Control total, a todos
los objetos de la unidad organizativa o control administrativo
limitado, como la capacidad de modificar la información de correo
electrónico, a los objetos de usuario de la unidad organizativa.
Para delegar el control administrativo, asigne permisos específicos
a la unidad organizativa y a los objetos que ésta contiene para
uno o varios usuarios y grupos.

• Simplificar la administración de los recursos normalmente

agrupados. Puede delegar la autoridad administrativa a atributos
u objetos individuales en Active Directory, pero normalmente
utilizará unidades organizativas para delegar esta autoridad. Un
usuario puede tener autoridad administrativa para todas las
unidades organizativas de un dominio o para una sola. Con las
unidades organizativas podrá crear contenedores en un dominio
que representen las estructuras jerárquicas o lógicas de su
organización. Así, podrá administrar la configuración y el uso de
cuentas y recursos en función del modelo organizativo.

Como administrador de sistemas, no es su función elegir el diseño

estructural de Active Directory para su organización. Sin embargo, es
importante que conozca las características y ramificaciones de cada
estructura. Este conocimiento puede ser crucial a la hora de realizar
tareas de administración de sistemas en la estructura de Active
Directory. Describiremos los cuatro diseños jerárquicos básicos. Estos

22
son:

• Jerarquía basada en la función: considera sólo las funciones de

negocio de la organización, sin importar la ubicación geográfica o los
límites de los departamentos o divisiones. Elija esta alternativa sólo
cuando la función de tecnología de la información no se base en la
ubicación o la organización.

• La jerarquía basada en la organización: considera los

departamentos o divisiones de la organización. Si la estructura de
Active Directory se ha creado para reflejar la estructura organizativa,
puede ser difícil delegar la autoridad administrativa, ya que los
objetos de Active Directory, como las impresoras y recursos
compartidos de archivo pueden no estar agrupados de modo que
faciliten la delegación de dicha autoridad. Dado que los usuarios
nunca ven la estructura de Active Directory, el diseño debe
acomodarse al administrador, no al usuario.

• Jerarquía basada en la ubicación Si la organización está

centralizada y la administración de la red está distribuida
geográficamente, es recomendable utilizar una jerarquía basada en la
ubicación.

• Jerarquía Híbrida Una jerarquía basada primero en la ubicación y

después en la organización, o en cualquier otra combinación de
estructuras, se denomina jerarquía híbrida. La jerarquía híbrida
combina las ventajas de los distintos tipos para satisfacer los
requisitos de la organización.

5. Herramientas Administrativas

23
Las herramientas administrativas permiten a los administradores de red
agregar, buscar y cambiar opciones de equipo y red, y objetos de Active
Directory.

Entre las herramientas que más se utilizan se encuentran las siguientes:

Directivas de seguridad Local
Usuarios y equipos de Active Directory
Sitios y servicios de Active Directory
Dominios y confianzas de Active Directory
Administración de equipos
DNS
Escritorios remotos

Estudiaremos estas herramientas en las secciones correspondientes.

5.1 Cómo resolver problemas de instalación y configuración de

las herramientas administrativas
******
Dos problemas comunes que pueden surgir al instalar y configurar
herramientas administrativas son la imposibilidad de realizar una
instalación correcta y la existencia de vínculos rotos en los archivos de
la Ayuda.
Si tiene problemas para instalar o configurar herramientas
administrativas en Windows Server 2003, compruebe que dispone de
permisos administrativos en el equipo local.
Otra de las razones puede ser que el sistema operativo instalado no sea
el correcto. El paquete de herramientas de administración de Windows
Server 2003 sólo se puede instalar en equipos que ejecuten Windows XP
Professional o Windows Server 2003. Cuando el paquete de
herramientas de administración de Windows Server 2003 se instala en

24
Windows XP Professional, puede que algunos de los vínculos de la
Ayuda estén rotos. Esto se debe a que los archivos de Ayuda del cliente
o del servidor correspondientes al paquete de herramientas de
administración de Windows Server 2003 no están instalados en el
equipo que ejecuta Windows XP Professional.
Para solucionar este problema debe integrar los archivos de Ayuda del
cliente y del servidor para dicho paquete, instalando los archivos de
Ayuda del servidor en Windows XP Professional. Se trata de un
procedimiento bastante sencillo que se debe realizar tras instalar el
paquete de herramientas de administración de Windows Server 2003 en
Windows XP Professional.

5.2 Ejecución de las herramientas administrativas mediante el

principio de privilegios mínimos

Aplique el principio de privilegios mínimos a los administradores, al igual

que a los usuarios. Para mantener la seguridad con cuentas
administrativas siga las instrucciones:

• No permita que los usuarios se conecten como miembros del

grupo Administradores. El daño potencial que suponen los virus o
la falta de cuidado es mucho mayor cuando proviene de una
cuenta con permisos de administrador.
• Cree cuentas no administrativas para cada administrador. En una
situación de peligro, una cuenta con permisos de administrador
puede hacer más daño que una de usuario.
• Utilice una cuenta no administrativa para realizar las tareas
rutinarias. Esta cuenta permite a los administradores separar las
operaciones administrativas de las de nivel de usuario.

25
 • Cree una cuenta de administrador independiente para cada
administrador. Si todos los administradores se conectan mediante
una misma cuenta de administrador, no hay forma de realizar un
seguimiento del uso. Asimismo, cambie el nombre de la cuenta
Administrador para minimizar los ataques mediante esta cuenta.
• Utilice el comando Ejecutar como para iniciar aplicaciones en
distintos contextos de seguridad. Si los administradores utilizan
cuentas no administrativas para las labores rutinarias, puede que
necesiten un medio para realizar tareas administrativas sin tener
que desconectarse e iniciar sesión de nuevo. Mediante el comando
Ejecutar como los administradores pueden ejecutar tareas
administrativas desde cuentas no administrativas.

NOTA: Puede utilizar el comando Ejecutar como para iniciar la

mayoría de las herramientas y programas de administración, incluidos
accesos directos en el menú Inicio o en el Panel de control. También
puede utilizar el comando Ejecutar como para iniciar programas desde
el cuadro de diálogo Ejecutar.

6. Que es Microsoft Management Console (MMC)

26
Microsoft Management Console (MMC) es una consola que permite
crear, guardar y abrir herramientas administrativas, denominadas
consolas, que administran el hardware, el software y los componentes
de red del sistema operativo de Windows. MMC se puede ejecutar en
todos los sistemas operativos cliente admitidos actualmente.
Con esta herramienta los administradores pueden delegar tareas a
usuarios y restringir el acceso a otras herramientas.

0100090000037800000002001c0000000000040000000301080
0050000000b0200000000050000000c0246023d04040000002e0
118001c000000fb021000070000000000bc02000000000102022
253797374656d00023d0400001bd600006054110026e28239a8
5218000c020000040000002d01000004000000020101001c0000
00fb02ceff0000000000009001000000000440001254696d65732
04e657720526f6d616e000000000000000000000000000000000
0040000002d010100050000000902000000020d000000320a2d
00000001000400000000003c04450220cf1600040000002d0100
00030000000000

Desde el menú Inicio à ejecutar, puede activar esta consola de

administración, digitando mmc.
También se pueden asignar a usuarios, grupos o equipos con la
configuración de directivas del sistema. Una herramienta se puede
escalar hacia arriba o abajo, se puede integrar perfectamente en los
sistemas operativos, se puede volver a empaquetar y se puede
personalizar.

27