X09 8484704 PDF

Contenido
Mdulo 4:
Implementacin de
cuentas de usuario,
grupo y equipo
Introduccin
Leccin: Introduccin a las cuentas
Leccin: Creacin y administracin

de varias cuentas
Leccin: Implementacin de los sufijos

de nombre principal de usuario
22
Leccin: Movimiento de objetos

en Active Directory
33
Leccin: Planeamiento de una estrategia

de cuentas de usuario, grupo y equipo
44
Leccin: Planeamiento de una estrategia

de auditora de Active Directory
57
Prctica A: Implementacin de una

estrategia de cuentas y de auditora
62
La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a
sitios Web de Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo
contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico,
logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende
indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos,
dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es
responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables.
Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema
de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico,
mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa
autorizacin por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros
derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este
documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u
otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de
licencia de Microsoft.
2003 Microsoft Corporation. Reservados todos los derechos.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basis, Visual C++ y Windows Media son marcas registradas o marcas comerciales
de Microsoft Corporation en Estados Unidos y/o en otros pases.
Otros nombres de productos y compaas mencionados aqu pueden ser marcas comerciales de
sus respectivos propietarios.
Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo
iii
Notas para el instructor

Presentacin:
120 minutos
Prctica:
60 minutos
Este mdulo proporciona a los alumnos los conocimientos y capacidades

necesarios para planear e implementar cuentas de usuario, grupo y equipo
en el servicio de directorio Active Directory de Microsoft Windows
Server 2003. Adems, explica cmo crear varias cuentas de usuario y equipo
mediante las herramientas de lnea de comandos, tales como Csvde y Ldifde,
y administrar cuentas mediante Microsoft Windows Script Host. El presente
mdulo tambin expone la forma de implementar los sufijos de nombre
principal de usuario (UPN, User Principle Name).
Despus de completar este mdulo, los alumnos podrn:
Material necesario
Describir los tipos de cuentas y grupos de Active Directory.
Crear varias cuentas de usuario y equipo.
Implementar sufijos UPN.
Mover objetos dentro de un dominio y entre dominios en un bosque.
Planear una estrategia para cuentas de usuario, equipo y grupo.
Planear una estrategia de auditora de Active Directory.
Para impartir este mdulo, necesitar el material siguiente:
Tareas de preparacin
Configuracin del aula
Archivo 2196A_04.ppt de Microsoft PowerPoint
Para preparar este mdulo, debe:
Leer todo el material del mismo. A lo largo del mdulo, prever las preguntas
que puedan formular los alumnos y preparar las respuestas para cada una
de ellas.
Realizar la prctica.
Examinar los ejercicios, las preguntas de evaluacin y las respuestas que se

proporcionan. Prever, cuando sea posible, respuestas alternativas que
puedan sugerir los alumnos y preparar las rplicas para dichas respuestas.
En esta seccin se proporcionan las instrucciones de necesarias con el fin de

preparar la configuracin del aula o del equipo del instructor para una prctica.
Preparacin para la prctica

Ejecute el archivo UpnSuffixes.vbs de Windows Script Host que se
encuentra en el servidor London antes de que los alumnos comiencen la
prctica de este mdulo. El archivo se encuentra en la carpeta Setup del
disco compacto Material del instructor.
iv
Recomendaciones para impartir este mdulo

En esta seccin se incluye informacin para ayudarle a impartir este mdulo.
Importante Este mdulo contiene evaluaciones de cada leccin que se
encuentran en el disco compacto Material del alumno. Puede utilizarlas como
valoraciones previas para ayudar a los alumnos a identificar reas de dificultad,
o bien como valoraciones posteriores para validar el aprendizaje.
Considere la posibilidad de utilizarlas para reforzar la leccin al final del da.
Tambin puede usarlas al principio del da como revisin del contenido
impartido el da anterior.
D 10 minutos a los alumnos para preparar las respuestas a las preguntas de
evaluacin. Puede optar por debatir las preguntas y respuestas todos juntos
o pedir a los alumnos que preparen las respuestas ellos solos.
Nota En algunos temas se hace referencia a informacin adicional que
encontrar en los apndices. Los alumnos no necesitan esta informacin
complementaria para realizar las tareas de este mdulo. Antes de impartir la
clase, revise esta informacin en la pgina de los apndices del disco compacto
Material del alumno. Durante la clase, sugiera a los alumnos que consulten la
pgina de los apndices para obtener informacin adicional.
Pginas de
instrucciones,
ejercicios y prcticas
Explique a los alumnos el diseo para este curso de las pginas de instrucciones,
los ejercicios y las prcticas. Un mdulo incluye dos lecciones o ms. La mayor
parte de las lecciones contienen pginas de instrucciones y un ejercicio. Una vez
que los alumnos completen las lecciones, el mdulo finaliza con una prctica.
Pginas de instrucciones
Las pginas de instrucciones estn diseadas para que el instructor demuestre
cmo llevar a cabo una tarea. Los alumnos no tienen que realizar con el
instructor las tareas de la pgina de instrucciones. Seguirn los pasos que se
indiquen para efectuar el ejercicio al final de cada leccin.
Ejercicios
Despus de introducir un tema y de realizar las demostraciones de los
procedimientos de la leccin, explique que los ejercicios proporcionan a los
alumnos la oportunidad de llevar a cabo las tareas tratadas en la leccin.
Prcticas
Al final de cada mdulo, los alumnos utilizan la prctica para realizar las tareas
que se explican en el mdulo.
Cada prctica presenta una situacin de ejemplo que tiene que ver con la
funcin de trabajo y un conjunto de instrucciones en una tabla de dos columnas.
En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo,
crear un grupo). La columna de la derecha contiene instrucciones especficas
para realizar la tarea (por ejemplo: En Usuarios y equipos de Active Directory,
haga doble clic en el nodo de dominio).
En el disco compacto Material del alumno se encuentran las respuestas de los
ejercicios de cada prctica, por si los alumnos necesitan instrucciones paso a
paso para completarla. Tambin pueden remitirse a los ejercicios y a las
pginas de instrucciones del mdulo.

En esta seccin, se describen los mtodos didcticos para impartir cada tema
de esta leccin.
El conocimiento de la informacin de esta leccin es requisito para este curso.
Utilice la informacin del tema Tipos de cuentas como revisin.
Al presentar el tema Tipos de grupos, cntrese en los grupos de seguridad.
Basta con que los alumnos comprendan slo la intencin de los grupos de
distribucin.
Al introducir los temas Qu son los grupos locales de dominio, Qu son
los grupos globales y Qu son los grupos universales, asegrese de que los
alumnos comprenden cundo deben utilizar estos distintos tipos de grupos.
Ejercicio
En esta leccin no se realiza ningn ejercicio.
Leccin: Creacin y administracin de varias cuentas

Al presentar el tema Herramientas para crear y administrar varias cuentas,
asegrese de que los alumnos son conscientes de que al utilizar Csvde para
crear cuentas, stas tendrn las contraseas en blanco.
Demuestre los procedimientos para crear cuentas utilizando las herramientas de
lnea de comandos Csvde y Ldifde. Remita a los alumnos a los apndices para
obtener una lista de opciones comunes que se utilizan con Csvde. Cree una
secuencia de comandos de Windows Script Host que agregue una cuenta de
usuario a Active Directory. Remita a los alumnos a los apndices para obtener
una secuencia de comandos de ejemplo que cree una cuenta de usuario.
Ejercicio
Tras completar esta leccin, los alumnos crearn un archivo de secuencia

de comandos para crear tres cuentas de usuario. A continuacin, ejecutarn el
archivo de secuencia de comandos y utilizarn Usuarios y equipos de Active
Directory para comprobar que se han creado los usuarios.
Leccin: Implementacin de los sufijos de nombre principal

de usuario
Cuando presente el tema Qu es un nombre principal de usuario, asegrese
de que los alumnos comprenden las ventajas de utilizar nombres principales
de usuario (UPN, User Principal Name) y las reglas sobre exclusividad de los
nombres de inicio de sesin de usuario.
Tras ofrecer la presentacin multimedia Funcionamiento del enrutamiento
de los sufijos de nombre, resuma los puntos clave.
Demuestre cmo crear y quitar un sufijo UPN. Asimismo, demuestre
cmo habilitar y deshabilitar el enrutamiento de los sufijos de nombre
en las confianzas.
Ejercicio
Al final de esta leccin, los alumnos crearn un sufijo de nombre para un

dominio de segundo nivel y habilitarn el enrutamiento de los sufijos de
nombre en dos bosques.
vi
Leccin: Movimiento de objetos en Active Directory

El proceso de traslado de objetos de Active Directory, como una cuenta de
usuario, tiene distintas ramificaciones. Por ejemplo, cuando se traslade una
cuenta de usuario, el usuario puede perder todos sus mensajes de correo
electrnico. Al presentar el tema Consecuencias del traslado de objetos,
asegrese de que los alumnos comprenden dichas consecuencias.
Al presentar los temas Cmo trasladar objetos dentro de un dominio y Cmo
trasladar objetos entre dominios, demuestre cmo se trasladan los objetos
dentro de un dominio y entre dominios.
Demuestre tambin cmo utilizar LDP.exe para ver las propiedades de los
objetos trasladados.
Ejercicio
Al final de esta leccin, los alumnos trasladarn una cuenta de usuario de un

dominio a otro y, a continuacin, vern las propiedades del identificador de
seguridad (SID, Security Identifier), el historial de SID y el identificador
nico global (GUID, Globally Unique Identifier) para comprobar que dichas
propiedades han cambiado.
Leccin: Planeamiento de una estrategia de cuentas de usuario,

grupo y equipo
En esta leccin se presentan directrices para nombrar cuentas, crear una
directiva de contraseas y desarrollar estrategias para grupos y para la
autenticacin, autorizacin y administracin de cuentas.
Fomente los debates en grupo sobre estos temas. Facilite estos debates con
moderacin de forma que se mantenga la atencin de los alumnos y que se
evite invertir mucho tiempo en este tema.
Ejercicio
Al final de esta leccin, los alumnos planearn una estrategia de nombres

de cuentas, de directiva de contraseas, de autenticacin, autorizacin y
administracin, as como de grupo para un bosque basndose en una
situacin ficticia.
Leccin: Planeamiento de una estrategia de auditora

de Active Directory
En esta leccin se presentan las directrices para los cambios de auditora
en Active Directory.
Al presentar los temas de esta leccin, utilice cualquier experiencia personal
que tenga sobre el planeamiento de una estrategia de auditora para ayudar a
reforzar la informacin de los temas.
Ejercicio
Al final de esta leccin, los alumnos planearn una estrategia de auditora

basndose en una situacin determinada.
vii
Prctica A: Implementacin de una estrategia de cuentas

y de auditora
En esta prctica, los alumnos planearn e implementarn una estrategia
de cuentas. Crearn varias cuentas de usuario utilizando la herramienta de
lnea de comandos Csvde. Los alumnos tambin crearn un sufijo UPN y, a
continuacin, solucionarn un conflicto de enrutamiento de sufijo UPN entre
dos bosques. Por ltimo, trabajando en parejas, los alumnos trasladarn un
grupo de usuarios entre sus dominios respectivos y visualizarn los cambios
en las propiedades del SID y el historial SID de las cuentas trasladadas.
Informacin de personalizacin
En esta seccin se muestran los requisitos de instalacin de la prctica de un
mdulo y los cambios de configuracin que se producen en los equipos de los
alumnos durante las prcticas. Esta informacin se incluye para ayudarle a replicar
o personalizar el material del curso Microsoft Official Curriculum (MOC).
Importante La prctica de este mdulo depende tambin de la configuracin
del aula que se especifique en la seccin Informacin de personalizacin al
final de la Gua de configuracin automatizada del aula para el curso 2196A:
Planeamiento, implementacin y mantenimiento de infraestructuras de Active
Directory en Microsoft Windows Server 2003.
Configuracin de la prctica
En la lista que aparece a continuacin se indican los requisitos de configuracin
para la prctica en este mdulo.
Requisito de
configuracin 1
Para las prcticas de este mdulo hay que configurar el equipo de cada alumno
como un controlador de dominio en su propio bosque. Para preparar los equipos
de los alumnos para que renan estos requisitos, complete la instalacin manual
o automatizada de este curso y, a continuacin, complete las prcticas del
mdulo 2, Implementacin de una estructura de dominios y bosques de Active
Directory, del curso 2196A, Planeamiento, implementacin y mantenimiento
de infraestructuras de Active Directory en Microsoft Windows Server 2003.
viii
Resultados de la prctica
Al realizar la prctica en este mdulo, se introducen los siguientes cambios
en la configuracin.
Se crean las siguientes unidades organizativas en cada dominio de alumno:

IT Admin
IT Users
IT Groups
NWTraders Groups
Domain Local
Global
Universal
IT Test
IT Test Move
Se crea un grupo global G IT Admins en cada dominio de alumno.
Se crean 26 grupos locales de dominio denominados DL NombreDeEquipo

OU Administrators.
Se crea un grupo local de dominio denominado DL IT OU Administrators.
Se crean 26 usuarios denominados NombreDeEquipoAdmin.
Se agregan dos sufijos UPN NombreDeEquipo a cada bosque de alumno,

uno por cada equipo de alumno del bosque.
Introduccin
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
En este mdulo aprender acerca del planeamiento e implementacin de

cuentas de usuario, grupo y equipo en el servicio de directorio Active
Directory. Tambin aprender cmo crear varias cuentas de usuario y equipo
y cmo implementar los sufijos de nombre principal de usuario (UPN, User
Principle Name).
Objetivos de la leccin
Despus de finalizar este mdulo, podr:
Describir los tipos de cuentas y grupos de Active Directory.
Planear una estrategia para cuentas de usuario, equipo y grupo.
Introduccin
En esta leccin se describen los tipos de cuentas y grupos que puede crear en
Microsoft Windows Server 2003. Tambin se describe el comportamiento
de los grupos globales, locales de dominio y universales.
Habilitacin de objetivos
Despus de finalizar esta leccin, podr:
Describir los tipos de cuentas que se pueden crear en Windows Server 2003.
Describir los tipos de grupos que se pueden crear en Windows Server 2003.
Describir el comportamiento de los grupos locales de dominio.
Describir el comportamiento de los grupos globales.
Describir el comportamiento de los grupos universales.
Tipos de cuentas
Introduccin
Puede crear tres tipos de cuentas en Active Directory: cuentas de usuario, grupo
y equipo. Las cuentas de usuario y equipo de Active Directory representan una
entidad fsica, como un equipo o una persona. Tambin puede utilizar cuentas
de usuario como cuentas de servicio dedicadas para algunas aplicaciones.
Cuentas de usuario
Una cuenta de usuario es un objeto almacenado en Active Directory que

habilita un inicio de sesin nico, es decir, un usuario introduce su nombre y
contrasea slo una vez cuando inicia sesin en una estacin de trabajo para
obtener acceso autenticado a los recursos de la red.
Hay tres tipos de cuentas de usuario, cada una con una funcin especfica.
Una cuenta de usuario local habilita a un usuario para que inicie sesin en
un equipo especfico para tener acceso a los recursos de dicho equipo.
Una cuenta de usuario de dominio habilita a un usuario para que inicie

sesin en el dominio para tener acceso a los recursos de la red o que
inicie sesin en un equipo individual para tener acceso a los recursos
de dicho equipo.
Una cuenta de usuario integrada habilita a un usuario para que realice

tareas administrativas u obtenga acceso temporal a los recursos de la red.
Cuentas de equipo
Todo equipo con Microsoft Windows NT, Windows 2000 o Windows XP, o
un servidor que ejecute Windows Server 2003 que se una a un dominio tiene
una cuenta de equipo. Al igual que las cuentas de usuario, las cuentas de equipo
proporcionan un modo de autenticar y auditar el acceso de los equipos a la red
y a los recursos de dominio. Las cuentas de equipo deben ser nicas.
Cuentas de grupo
Una cuenta de grupo es un conjunto de usuarios, equipos u otros grupos. Puede

utilizar los grupos para administrar de un modo eficaz los recursos de dominio,
lo que ayuda a simplificar la administracin. Cuando se utilizan grupos, se
asignan permisos para recursos compartidos, tales como carpetas e impresoras,
a usuarios individuales slo una vez en lugar de varias veces.
Tipos de grupos
Introduccin
Hay dos tipos de grupos en Active Directory, grupos de distribucin y grupos

de seguridad. Ambos tienen un atributo de mbito que determina quin puede
ser miembro del grupo y dnde se puede utilizar dicho grupo en una red.
Puede convertir un grupo de un grupo de seguridad a un grupo de distribucin
y viceversa en cualquier momento, pero slo si el nivel funcional de dominio
est establecido como Windows 2000 nativo o posterior.
Grupos de distribucin
Puede utilizar grupos de distribucin slo con aplicaciones de correo

electrnico, como Microsoft Exchange, para enviar mensajes a conjuntos
de usuarios. Los grupos de distribucin no estn habilitados para seguridad,
es decir, no se pueden enumerar en Listas de control de acceso discrecional
(DACL, Discretionary Access Control List). Para controlar el acceso a los
recursos compartidos, cree un grupo de seguridad.
Grupos de seguridad
Los grupos de seguridad se utilizan para asignar derechos y permisos a los

grupos de usuarios y equipos. Los derechos determinan los miembros de
funciones de un grupo de seguridad que pueden trabajar en un dominio o
bosque. Los permisos determinan los recursos a los que un miembro de
un grupo puede tener acceso en la red.
Un modo de utilizar grupos de seguridad de un modo eficaz es mediante
anidamiento, es decir, agregando un grupo a otro. El grupo anidado hereda
los permisos del grupo del que es miembro, lo que simplifica la asignacin de
permisos a varios grupos al mismo tiempo y reduce el trfico que ocasiona la
replicacin de los cambios de pertenencia a grupo. En un modo de dominio
mixto, no se pueden anidar grupos que tengan el mismo mbito.
Tanto los grupos de distribucin como los de seguridad admiten uno de los
tres mbitos de grupo: local de dominio, global o universal. El nivel funcional de
dominio determina el tipo de grupo que puede crear. En el modo Windows 2000
mixto no se pueden crear grupos de seguridad universales.
Qu son los grupos locales de dominio
Introduccin
Un grupo local de dominio es un grupo de seguridad o distribucin que puede

contener grupos universales, globales, otros grupos locales de dominio de su
propio dominio y cuentas de cualquier dominio del bosque. En los grupos de
seguridad locales de dominio se pueden conceder derechos y permisos sobre
recursos que residen slo en el mismo dominio en el que se encuentra el grupo
local de dominio.
Por ejemplo, podra crear un grupo de seguridad local de dominio denominado
Setup y conceder los permisos del grupo a un recurso compartido denominado
Configuracin en uno de los servidores miembro del dominio. Podra agregar
grupos globales y universales como miembros del grupo local de dominio de
configuracin. Los miembros podran tener permisos de acceso a la carpeta
compartida de configuracin.
Pertenencia, mbito y
permisos de grupos
locales de dominio
Las siguientes reglas se aplican a la pertenencia, el mbito y los permisos de los

grupos locales de dominio:
Pertenencia. En el modo Windows 2000 mixto, los grupos locales de

dominio pueden contener cuentas de usuario y grupos globales de cualquier
dominio. En el modo Windows 2000 nativo, los grupos locales de dominio
pueden contener cuentas de usuario, grupos globales, grupos universales de
cualquier dominio de confianza y grupos locales de dominio del mismo
dominio.
Puede ser miembro. En el modo Windows 2000 mixto, un grupo local

de dominio no puede ser miembro de ningn grupo. En el modo
Windows 2000 nativo, un grupo local de dominio puede ser miembro de
grupos locales de dominio del mismo dominio.
mbito. Un grupo local de dominio se puede ver slo en su propio dominio.
Permiso. Puede asignar un permiso que se aplique al dominio en el que

existe el grupo local de dominio.
Cundo utilizar grupos

locales de dominio
Utilice un grupo local de dominio cuando desee asignar permisos de acceso a

recursos que se encuentren en el mismo dominio en el que se cre el grupo local
de dominio. Puede agregar todos los grupos globales que deban compartir los
mismos recursos al grupo local de dominio adecuado.
Qu son los grupos globales
Introduccin
Un grupo global es un grupo de seguridad o distribucin que puede contener

usuarios, grupos y equipos como miembros de su propio dominio. Puede
conceder derechos y permisos a los grupos de seguridad globales para los
recursos de cualquier dominio del bosque.
Utilice un grupo global para organizar a los usuarios que comparten las mismas
tareas y tienen requisitos de acceso de red parecidos, como, por ejemplo, todos
los contables del departamento de contabilidad de una organizacin.
permisos de grupos
globales
Cundo utilizar
grupos globales

grupos globales:
Pertenencia. En el modo Windows 2000 mixto, un grupo global puede

incluir cuentas de usuario del mismo dominio. En el modo Windows 2000
nativo y en el modo de Windows Server 2003, los grupos globales pueden
contener cuentas de usuario y grupos globales del mismo dominio.
Puede ser miembro. En el modo Windows 2000 mixto, un grupo global

puede ser un miembro de los grupos locales de dominio en cualquier
dominio de confianza. En el modo Windows 2000 nativo y en el modo
de Windows Server 2003, un grupo global puede ser miembro de grupos
universales y locales de dominio de cualquier dominio y tambin puede
ser miembro de grupos globales del mismo dominio.
mbito. Un grupo global se puede ver en su dominio y en todos los

dominios de confianza, que incluyen todos los dominios del bosque.
Permisos. Puede asignar un permiso a un grupo global que se aplique a

todos los dominios de confianza.
Debido a que los grupos globales se pueden ver en el bosque, no los cree
para conceder a los usuarios acceso a recursos especficos de dominio. Utilice
grupos globales para organizar usuarios o grupos de usuarios. Un grupo local
de dominio es ms adecuado para controlar el acceso de usuario a los recursos
dentro de un nico dominio.
Qu son los grupos universales
Introduccin
Un grupo universal es un grupo de seguridad o distribucin que puede contener

usuarios, grupos y equipos como miembros de cualquier dominio de su bosque.
Se pueden conceder derechos y permisos a los grupos de seguridad universales
sobre los recursos de cualquier dominio del bosque.
permisos de grupos
universales

grupos universales:
Cundo utilizar
grupos universales
Pertenencia. No se pueden crear grupos de seguridad universales en el

modo Windows 2000 mixto. Tanto en el modo Windows 2000 nativo como
en el modo de Windows Server 2003, los grupos universales pueden
contener cuentas de usuario, grupos globales y otros grupos universales de
cualquier dominio del bosque.
Puede ser miembro. El grupo universal no se puede aplicar en el modo

Windows 2000 mixto. En el modo Windows 2000 nativo, un grupo
universal puede ser miembro de grupos locales de dominio y universales
de cualquier dominio.
mbito. Los grupos universales se pueden ver en todos los dominios

del bosque.
Permisos. Puede asignar un permiso a un grupo universal que se aplique

a todos los dominios del bosque.
Utilice grupos universales cuando desee anidar grupos globales. De este modo,
puede asignar permisos a los recursos relacionados de varios dominios.
Un dominio de Windows Server 2003 debe estar en modo Windows 2000
nativo o en modo de Windows Server 2003 para utilizar grupos de seguridad
universales. Puede utilizar grupos de distribucin universales en un dominio de
Windows Server 2003 que est en modo Windows 2000 mixto o posterior.
Leccin: Creacin y administracin de varias cuentas
Introduccin
En esta leccin se describen las distintas herramientas de lnea de comandos

que puede utilizar para crear y administrar varias cuentas de usuario.
Describir las herramientas para crear y administrar varias cuentas.
Utilizar la herramienta de lnea de comandos Csvde para crear cuentas.
Utilizar la herramienta de lnea de comandos Ldifde para crear y

administrar cuentas.
Crear y administrar cuentas utilizando Windows Script Host.
10
Herramientas para crear y administrar varias cuentas
Introduccin
Windows Server 2003 proporciona varios complementos Microsoft

Management Console (MMC) y herramientas para crear varias cuentas de usuario
automticamente en Active Directory. Algunas de estas herramientas requieren el
uso de un archivo de texto que contenga informacin sobre las cuentas de usuario
que desee crear. Tambin puede crear secuencias de comandos para agregar
objetos o realizar cambios en objetos de Active Directory.
Usuarios y equipos
de Active Directory
Usuarios y equipos de Active Directory es un complemento MMC que puede

utilizar para administrar cuentas de usuario, equipo y grupo. Utilice este
complemento cuando el nmero de cuentas que administre sea pequeo.
Herramientas del
servicio de directorio
Tambin puede utilizar las herramientas de lnea de comandos Dsadd, Dsmod y

Dsrm para administrar cuentas de usuario, equipo y grupo en Active Directory.
Debe especificar el tipo de objeto que desee crear, modificar o eliminar.
Por ejemplo, utilice el comando dsadd user para crear una cuenta de usuario.
Utilice el comando dsrm group para eliminar una cuenta de grupo. Aunque
puede utilizar las herramientas del servicio de directorio para crear slo un
objeto de Active Directory cada vez, puede utilizar las herramientas en los
archivos por lotes y las secuencias de comandos.
Herramienta Csvde
11
La herramienta de lnea de comandos Csvde utiliza un archivo de texto

separado por comas, tambin denominado formato de valores separados
por comas (formato Csvde) como entrada para crear varias cuentas en
Active Directory.
Se utiliza el formato Csvde para agregar objetos de usuario y otros tipos de
objetos a Active Directory. No puede utilizar el formato Csvde para eliminar
o modificar objetos en Active Directory. Antes de importar un archivo Csvde,
asegrese de que el archivo tiene el formato adecuado. El archivo de entrada:
Debe incluir la ruta a la cuenta de usuario en Active Directory, el tipo

de objeto, que es la cuenta de usuario, y el nombre de inicio de sesin
de usuario (para Windows NT 4.0 y anterior).
Debe incluir el nombre principal de usuario (UPN) y si la cuenta de

usuario est habilitada o deshabilitada. Si no especifica un valor, la cuenta
se deshabilita.
Puede incluir informacin personal, por ejemplo, los nmeros de telfono o

el domicilio. Incluya toda la informacin de cuenta de usuario posible para
que los usuarios puedan buscar en Active Directory correctamente.
No puede incluir contraseas. La importacin masiva deja la contrasea en

blanco para las cuentas de usuario. Puesto que una contrasea en blanco
permite que una persona no autorizada tenga acceso a la red slo con el
nombre de inicio de sesin de usuario, deshabilite las cuentas de usuario
hasta que los usuarios comiencen a iniciar sesin.
Para editar y dar formato al archivo de texto de entrada, utilice una aplicacin
que tenga una buena capacidad de edicin, como Microsoft Excel o Microsoft
Word. A continuacin, guarde el archivo como archivo de texto separado por
comas. Puede exportar datos de Active Directory a una hoja de clculo de Excel
o importar datos de una hoja de clculo a Active Directory.
Herramienta Ldifde
La herramienta de lnea de comandos Ldifde utiliza un formato de valor

separado por lneas para crear, modificar y eliminar objetos en Active
Directory. Un archivo de entrada Ldifde consta de una serie de registros
separados por una lnea en blanco. Un registro describe un objeto nico o un
conjunto de modificaciones a los atributos de un objeto existente y consta de
una o ms lneas del archivo. La mayora de las aplicaciones de base de datos
pueden crear archivos de texto que puede importar en uno de estos formatos.
Los requisitos para el archivo de entrada son parecidos a los de la herramienta
de lnea de comandos Csvde.
Windows Script Host
Puede crear secuencias de comandos de Windows Script Host que utilicen

Active Directory Service Interface (ADSI) para crear, modificar y eliminar
objetos de Active Directory. Utilice secuencias de comandos cuando desee
cambiar los valores de atributos para varios objetos de Active Directory o
cuando los criterios de seleccin de estos objetos sean complejos.
12
Cmo crear cuentas con la herramienta Csvde
Introduccin
Puede utilizar la herramienta de lnea de comandos Csvde para crear varias

cuentas en Active Directory. Slo puede utilizar la herramienta Csvde para
crear cuentas, no para cambiarlas.
Procedimiento
Para crear cuentas con la herramienta de lnea de comandos Csvde, realice los
siguientes pasos:
1. Cree el archivo Csvde de importacin. Aplique formato al archivo para que
contenga la informacin siguiente:
Lnea de atributos. Se trata de la primera lnea del archivo. Especifica
el nombre de cada atributo que desee definir para las nuevas cuentas
de usuario. Puede colocar los atributos en cualquier orden, pero debe
separar los atributos con comas. El siguiente cdigo de muestra es un
ejemplo de una lnea de atributos:
DN,objectClass,sAMAccountName,userPrincipalName,
displayName,userAccountControl
Lnea de cuenta de usuario. Para cada cuenta de usuario que cree, el

archivo de importacin contiene una lnea que especifica el valor de
cada atributo de la lnea de atributos. Las siguientes reglas se aplican
a los valores en una lnea de cuenta usuario:
Los valores de atributo deben seguir la secuencia de la lnea
de atributos.
Si falta un valor para un atributo, djelo en blanco, pero incluya
todas las comas.
Si un valor contiene comas, incluya el valor entre comillas.
El siguiente cdigo de muestra es un ejemplo de una lnea de cuenta

de usuario:
"cn=Cristina Martnez,ou=Human
Resources,dc=asia,dc=contoso,
dc=msft",user,cristinam,cristinam@contoso.msft,Cristina
Martnez,514
Esta tabla proporciona los atributos y valores del ejemplo anterior.

Atributo
Valor
DN (nombre completo)
cn=Cristina Martnez,ou=Human Resources, dc=asia,dc=contoso,dc=msft

(Especifica la ruta a la unidad organizativa que contiene la cuenta de usuario.)
objectClass
User
sAMAccountName
cristinam
userPrincipalName
cristinam@contoso.msft
displayName
Cristina Martnez
userAccountControl
514 (El valor 514 deshabilita la cuenta de usuario y el 512 la habilita.)
Los atributos de esta tabla son los atributos mnimos necesarios para
ejecutar csvde.
Importante No puede utilizar Csvde para crear cuentas de usuario habilitadas
si la poltica de contraseas de dominio requiere una longitud de contrasea
mnima o contraseas complejas. En este caso, utilice un valor
userAccountControl de 514, que deshabilita la cuenta de usuario y, a
continuacin, habilite la cuenta utilizando Windows Script Host o Usuarios
y equipos de Active Directory.
2. Ejecute el comando csvde escribiendo el siguiente comando en el smbolo
del sistema:
csvde i f nombreArchivo b NombreUsuario Dominio
Contrasea
Donde:
-i indica que est importando un archivo a Active Directory
-f indica que el siguiente parmetro es el nombre del archivo que est
importando
b establece el comando para que se ejecute como nombre de usuario,
dominio y contrasea.
13
14
El comando csvde proporciona informacin de estado sobre el xito o el fallo

del proceso. Tambin enumera el nombre del archivo que se va a ver para
proporcionar informacin de error detallada. Aunque la informacin de estado
indique que el proceso ha sido correcto, utilice Usuarios y equipos de Active
Directory para comprobar algunas de las cuentas de usuario creadas para
garantizar que contienen toda la informacin proporcionada.
Nota Para obtener ms informacin acerca de las opciones comunes utilizadas
con la herramienta de lnea de comandos Csvde, consulte Cmo crear cuentas
con la herramienta Csvde del mdulo 4 en la pgina de los apndices del disco
compacto Material del alumno. Asimismo, consulte los temas del Centro de
ayuda y soporte tcnico de Windows Server 2003.
15
Cmo crear y administrar cuentas con la herramienta Ldifde
Introduccin
Puede utilizar la herramienta de lnea de comandos Ldifde para crear y realizar

cambios en varias cuentas.
Procedimiento
Para crear cuentas con la herramienta de lnea de comandos Ldifde, realice los
siguientes pasos:
1. Prepare el archivo Ldifde de importacin.
Aplique formato al archivo Ldifde para que contenga un registro que conste
de una secuencia de lneas que describa una entrada para una cuenta de
usuario o un conjunto de cambios para una cuenta de usuario de Active
Directory. La entrada de cuenta de usuario especifica el nombre de cada
atributo que desee definir para la nueva cuenta de usuario. El esquema de
Active Directory define los nombres de atributos. Para cada cuenta de
usuario que cree, el archivo contiene una lnea que especifica el valor de
cada atributo de la lnea de atributos. Las siguientes reglas se aplican a los
valores para cada atributo:
Las lneas que comiencen con un signo de almohadilla (#) son lneas
de comentario y se ignoran al ejecutar el archivo Ldifde.
Si falta un valor para un atributo, se debe representar como
AttributeDescription ":" FILL SEP.
El siguiente cdigo de muestra es un ejemplo de una entrada en un
archivo de importacin Ldifde:
# Crear Cristina Martnez
dn: cn=Crsitina Martnez,ou=Human
Resources,dc=asia,dc=contoso,dc=msft
Changetype: Add
objectClass: user
sAMAccountName: cristinam
userPrincipalName: cristinam@contoso.msft
displayName: Cristina Martnez
userAccountControl: 514
16
La tabla siguiente proporciona los atributos y valores del ejemplo anterior.

Atributo
Valor de atributo
Crear Cristina Martnez (El carcter # indica que esta lnea es un comentario.)
DN
cn=Cristina Martnez, ou=Human Resources, dc=asia,dc=contoso,dc=msft

(Este valor especifica la ruta al contenedor del objeto.)
Changetype
Add
objectClass
user
sAMAccountName
cristinam
userPrincipalName
cristinam@contoso.msft
displayName
Cristina Martnez
userAccountControl
512
2. Ejecute el comando ldifde para importar el archivo y crear varias cuentas de

usuario en Active Directory.
Escriba el siguiente comando en el smbolo del sistema:
ldifde i k f nombreArchivo
Contrasea
b NombreUsuario Dominio
Donde:
-i indica el modo de importacin. Si no se especifica, el modo por defecto
es de exportacin.
-k ignora fallos durante una operacin de importacin y continua con el
procesamiento.
-f indica el nombre del archivo de importacin o exportacin.
-b indica el nombre de usuario, nombre de dominio y contrasea para
lacuenta de usuario que se va a utilizar para realizar la operacin de
importacin o exportacin.
17
Cmo crear y administrar cuentas utilizando Windows Script Host
Introduccin
Puede crear objetos de Active Directory a partir de secuencias de comandos

de Windows Script Host utilizando ADSI. La creacin de un objeto de Active
Directory es un proceso de cuatro pasos, como se muestra en el procedimiento
siguiente.
Procedimiento para
crear un objeto de
Active Directory
Para crear un objeto de Active Directory, como una cuenta de usuario en un

dominio, realice los pasos siguientes:
1. Utilice el Bloc de notas para crear un archivo de texto con extensin .vbs.
Introduzca los siguientes comandos en el archivo y, a continuacin, guarde
el archivo.
a. Conctese al contenedor en el que desee crear el objeto de Active
Directory especificando la consulta de Protocolo ligero de acceso a
directorios (LDAP, Lightweight Directory Access Protocol).
Set objOU =
GetObject("LDAP://ou=management,dc=fabrikam,dc=com")
Importante En el ejemplo anterior, LDAP debe tener todas las letras en

mayscula o el comando no se ejecutar.
b. Cree el objeto de Active Directory y especifique la clase de objeto y el
nombre del objeto.
Set objUser = objOU.Create("User", "cn=AlzagaGuillermo")
c. Establezca las propiedades del objeto de Active Directory.

objUser.Put "sAMAccountName", "alzagaguillermo"
18
d. Escriba la informacin en la base de datos de Active Directory.

objUser.SetInfo
Las propiedades de determinados objetos de Active Directory no se

pueden definir al crearlas. Por ejemplo, cuando se crea una cuenta de
usuario, no puede habilitar la cuenta o enviar su contrasea. Slo puede
establecer estas propiedades tras crear el objeto, como se muestra en el
cdigo de muestra siguiente:
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "jl3R86df"
objUser.SetInfo
e. Guarde el archivo con extensin .vbs.

2. Ejecute la secuencia de comandos del siguiente comando en un smbolo
del sistema:
Wscript.exe nombreArchivo
donde nombreArchivo es el nombre del archivo de secuencia de comandos

creado en el paso anterior.
Nota Para que una secuencia de comandos de ejemplo cree una cuenta de
usuario, consulte Cmo crear y administrar cuentas utilizando Windows Script
Host del mdulo 4 en la pgina de los apndices del disco compacto Material
del alumno.
Procedimiento para
cambiar el valor
de una propiedad
Para cambiar el valor de una propiedad de un objeto de Active Directory, como

el nmero de telfono de un usuario, abra el Bloc de notas para crear un archivo
de texto, agregue los siguientes comandos al archivo y, a continuacin, ejecute
el archivo de secuencia de comandos inicindolo desde un smbolo del sistema:
1. Conctese al objeto al que se cambiar la propiedad.
Set objUser = GetObject _
("LDAP://cn=alzagaguillermo,ou=OUPrueba,dc=nwtraders,
dc=msft")
2. Establezca el nuevo valor de la propiedad, por ejemplo, el nmero de

despacho de un empleado que se haya trasladado a una nueva oficina.
objUser.Put "physicalDeliveryOfficeName", "Despacho 4358"
3. Escriba el cambio en Active Directory.

objUser.SetInfo
4. Guarde el archivo con extensin .vbs.

5. Ejecute la secuencia de comandos del siguiente comando en un smbolo
del sistema:
wscript.exe nombreArchivo
donde nombreArchivo es el nombre del archivo de secuencia de comandos

creado en el paso anterior.
Nota Para obtener ms informacin acerca de la creacin de secuencias
de comandos administrativas con Windows Script Host, consulte el centro
Microsoft TechNet Script Center en www.microsoft.com/technet/treeview/
default.asp?url=/technet/scriptcenter/default.asp.
Consulte tambin el curso 2433, Microsoft Visual Basic Scripting Edition and
Microsoft Windows Script Host Essentials (en ingls).
19
20
Ejercicio: Creacin de cuentas de usuario
Objetivos
En este ejercicio crear y ejecutar un archivo de secuencia de comandos para

crear una cuenta de usuario y, a continuacin, verificar que dicha cuenta est
creada.
Situacin de ejemplo
Northwind Traders ha contratado a un nuevo comercial, Delia Ceballos.

Debe crear su nombre de inicio de sesin de usuario. La convencin actual
en Northwind Traders es utilizar el nombre del usuario y las tres primeras letras
de su apellido. Utilizar Windows Script Host para crear esta cuenta de usuario
en la unidad organizativa NombreDeEquipo\Sales.
Para crear una cuenta de usuario, realice los siguientes pasos:
Ejercicio
1. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea

P@ssw0rd
2. Utilice el Bloc de notas para crear un archivo de secuencia de comandos
para crear la nueva cuenta de usuario.
a. Abra el Bloc de notas.
b. Escriba la secuencia para crear la cuenta de usuario.
c. En el men Archivo, haga clic en Guardar como.
d. En el cuadro Nombre, escriba createusers.vbs
e. En el cuadro Tipo, seleccione Todos los archivos.
f. Haga clic en Guardar.
21
3. Ejecute el archivo de secuencia de comandos.

a. Haga clic en Inicio, haga clic con el botn secundario del mouse (ratn)
en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como.
b. En el cuadro de dilogo Ejecutar como, haga clic en El siguiente
usuario, escriba SuDominio\Administrador como nombre de usuario
con la contrasea P@ssw0rd y haga clic en Aceptar.
c. Cambie el directorio a la carpeta en la que se guard el archivo
createusers.vbs.
d. En el smbolo del sistema, escriba wscript.exe createusers.vbs
4. Utilice Usuarios y equipos de Active Directory para comprobar que el
usuario se ha creado.
a. Abra Usuarios y equipos de Active Directory.
b. En el rbol de la consola, haga clic en Sales.
c. En el panel de detalles, examine las cuentas de usuario enumeradas.
El siguiente es un archivo de respuestas de ejemplo.
Set objOU =
GetObject("LDAP://OU=Sales,OU=Vancouver,dc=nwtraders1,dc=msft")
Set objUser = objOU.Create("User", "cn=DeliaCeb")
objUser.Put "sAMAccountName", "DeliaCeb"
objUser.SetInfo
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "P@ssw0rd"
objUser.Put "userPrincipalName", "DeliaCeb@nwtraders1.msft"
objUser.SetInfo
22
Leccin: Implementacin de los sufijos de nombre

principal de usuario
Introduccin
En este tema se describe el objetivo de los UPN. Explica cmo se enruta un

sufijo UPN en un entorno de confianza y cmo se crean, eliminan, habilitan,
deshabilitan y excluyen enrutamientos de los sufijos de nombre en las
confianzas entre bosques.
Describir la finalidad de un UPN.
Explicar cmo se enruta un sufijo UPN en un entorno de confianza.
Describir cmo se detectan y resuelven los conflictos de sufijos de nombre.
Crear y quitar un sufijo UPN.
Habilitar, deshabilitar y excluir enrutamientos de los sufijos de nombre en

confianzas entre bosques.
23
Qu es un nombre principal de usuario
Introduccin
En una red de Windows Server 2003, un usuario puede iniciar sesin mediante
un nombre principal de usuario o un nombre de inicio de sesin de usuario
(Windows NT 4.0 y anterior). Los controladores de dominio pueden utilizar
el nombre principal de usuario o el nombre de inicio de sesin de usuario para
autenticar la solicitud de inicio de sesin.
Qu es un nombre
principal de usuario
Un nombre principal de usuario es un nombre de inicio de sesin que slo

se utiliza para conectarse a una red de Windows Server 2003. Este nombre
tambin se denomina nombre de inicio de sesin de usuario.
Existen dos partes en un nombre principal de usuario, separadas por el signo @,
por ejemplo cristinam@contoso.msft:
El prefijo de nombre principal de usuario, que en este ejemplo es cristinam.
El sufijo de nombre principal de usuario, que en este ejemplo es

contoso.msft. De forma predeterminada, el sufijo es el nombre del dominio
en el que se cre la cuenta de usuario. Puede utilizar los dems dominios
de la red, o sufijos adicionales que cree, para configurar otros sufijos de
usuarios. Por ejemplo, puede configurar un sufijo para crear nombres de
inicio de sesin de usuario que coincidan con las direcciones de correo
electrnico de los usuarios.
24
Ventajas de utilizar
nombres principales
de usuario
Reglas de exclusividad
para nombres de inicio
de sesin de usuario
El uso de nombres principales de usuario tiene las ventajas siguientes:
No se cambian al trasladar una cuenta de usuario a un dominio distinto

porque el nombre es nico en el bosque de Active Directory.
Pueden coincidir con el nombre de la direccin de correo electrnico

de un usuario porque tiene el mismo formato que una direccin de correo
electrnico estndar.
Los nombres de inicio de sesin de usuario para cuentas de usuario de dominio

deben cumplir las siguientes reglas de exclusividad en Active Directory:
El nombre completo debe ser nico en el contenedor en el que se crea la

cuenta de usuario. El nombre completo se utiliza como nombre completo
relativo.
El nombre principal de usuario debe ser nico en el bosque.
25
Presentacin multimedia: Funcionamiento del enrutamiento

de los sufijos de nombres
Ubicacin de
los archivos
Para ver la presentacin multimedia Funcionamiento del enrutamiento de

los sufijos de nombres, abra la pgina Web del disco compacto Material del
alumno, haga clic en Multimedia y, a continuacin, haga clic en el ttulo de la
presentacin. No abra esta presentacin a menos que el instructor lo indique.
Objetivos
Al final de esta presentacin, podr explicar el funcionamiento del enrutamiento

de los sufijos de nombre en Active Directory.
Puntos clave
El enrutamiento de los sufijos de nombre es un mecanismo que proporciona

la resolucin de nombres entre bosques. Los bosques pueden contener varios
sufijos de nombre.
Cuando dos bosques de Windows Server 2003 se conectan mediante una
confianza de bosque, los sufijos de nombre de dominio que existan en ambos
bosques enrutan solicitudes de autenticacin. Por lo tanto, cualquier solicitud de
autenticacin realizada desde el bosque A a un sufijo que resida en el bosque B
se enruta correctamente a su recurso de destino.
Los sufijos de nombre que slo existen en un bosque se pueden enrutar a un
segundo bosque. Cuando se agrega un nuevo dominio secundario (por ejemplo,
child.contoso.com) a un sufijo de nombre de dominio de segundo nivel (por
ejemplo, contoso.com), el dominio secundario hereda la configuracin del
enrutamiento del dominio de segundo nivel al que pertenece.
Los nuevos sufijos de nombre de segundo nivel creados tras haber establecido
una confianza de bosque se pueden ver en el cuadro de dilogo Propiedades
de esa confianza de bosque. Sin embargo, el enrutamiento de sufijos para los
rboles de dominios creados despus de establecer la confianza est deshabilitado
de forma predeterminada. Debe habilitarse manualmente el enrutamiento de
estos sufijos. Cuando Active Directory detecta un sufijo de nombre duplicado,
el enrutamiento del sufijo de nombre ms reciente se deshabilita de forma
predeterminada. Se puede utilizar el cuadro de dilogo Propiedades para
habilitar o deshabilitar manualmente el enrutamiento para sufijos de nombre
individuales.
26
Cmo se detectan y resuelven los conflictos de sufijos de nombre
Introduccin
Cuando dos bosques de Windows Server 2003 estn vinculados mediante una
confianza de bosque, el sufijo de nombre de dominio de segundo nivel o un
sufijo UPN que exista en un bosque pueden entrar en conflicto con un sufijo de
nombre parecido del segundo bosque. Al detectar conflictos, el Asistente para
nueva confianza garantiza que slo un bosque est autorizado para un sufijo de
nombre determinado.
Deteccin de conflictos
El Asistente para nueva confianza detecta conflictos de sufijos de nombre

cuando se produce alguna de las situaciones siguientes:
Ya se est utilizando el mismo nombre del Sistema de nombres de dominio

(DNS, Domain Name System).
Ya se est utilizando el mismo nombre NetBIOS.
El identificador de seguridad (SID, security ID) del dominio entra en

conflicto con otro SID de sufijo de nombre.
Por ejemplo, suponga que desea establecer una confianza de bosque

bidireccional entre los bosques contoso.com y fabrikam.com. Tanto
contoso.com como fabrikam.com tienen el mismo sufijo UPN: nwtraders.msft.
Al crear la confianza de bosque bidireccional, el Asistente para nueva confianza
detecta y muestra el conflicto entre los dos sufijos UPN.
Cmo se resuelven
los conflictos
27
El Asistente para nueva confianza deshabilita automticamente un sufijo de

nombre de dominio de segundo nivel si existe este mismo sufijo en un segundo
bosque. Por ejemplo, se produce un conflicto si un bosque se denomina
fabrikam.com y el segundo bosque se denomina sales.fabrikam.com.
Cuando el Asistente para nueva confianza detecta un conflicto de sufijo
de nombre, deniega el acceso a ese dominio desde el exterior del bosque.
Sin embargo, el acceso al dominio desde dentro del bosque funciona
con normalidad.
Por ejemplo, si el dominio fabrikam.com existe en los bosques contoso.com y
nwtraders.msft, los usuarios del bosque contoso.com pueden obtener acceso a
los recursos del dominio fabrikam.com que reside en el bosque contoso.com.
Sin embargo, a los usuarios del bosque contoso.com se les deniega el acceso
a los recursos del dominio fabrikam.com que se encuentra en el bosque
nwtraders.msft.
Cuando el Asistente para nueva confianza detecta un conflicto de sufijo
de nombre, solicitar que guarde un archivo de registro de los conflictos.
A continuacin, enumera los conflictos en el cuadro de dilogo Propiedades
de Nombre de confianza de bosque en la ficha Enrutamiento de sufijo de
nombre de la columna Enrutamiento.
28
Cmo crear y quitar un sufijo UPN
Introduccin
Al utilizar un sufijo de nombre principal de usuario, debe simplificar los

procesos de inicio de sesin de usuario y de administracin proporcionando
un nico sufijo de nombre principal de usuario para todos los usuarios. Al crear
una cuenta de usuario, puede seleccionar un sufijo UPN. Si el sufijo no existe,
puede agregarlo mediante Dominios y confianzas de Active Directory, siempre
que sea miembro del grupo predefinido Administradores de organizacin.
Procedimiento para
agregar un sufijo UPN
Para agregar un sufijo UPN, realice los siguientes pasos:

1. Abra Dominios y confianzas de Active Directory.
2. En el rbol de la consola, haga clic con el botn secundario del mouse en
Dominios y confianzas de Active Directory y, a continuacin, haga clic
en Propiedades.
3. En la ficha Sufijos UPN, escriba un sufijo UPN alternativo y, a
continuacin, haga clic en Agregar.
Nota Si crea una cuenta de usuario mediante Windows Script Host o otra
opcin distinta de Usuarios y equipos de Active Directory, no estar limitado
por los sufijos de nombre principal de usuario que se almacenan en Active
Directory. Puede asignar un sufijo al crear la cuenta. Sin embargo, los sufijos
creados de este modo no se enrutan automticamente por las confianzas
de bosque.
Procedimiento para
quitar un sufijo UPN
Para quitar un sufijo UPN, realice los siguientes pasos:

1. En Dominios y confianzas de Active Directory, en el rbol de la consola,
haga clic con el botn secundario del mouse en Dominios y confianzas
de Active Directory y, a continuacin, haga clic en Propiedades.
2. En la ficha Sufijos UPN, seleccione el nombre del sufijo UPN que desee
quitar y, a continuacin, haga clic en Quitar.
29
Cmo habilitar y deshabilitar el enrutamiento de los sufijos

de nombre en las confianzas de bosque
Introduccin
Dominios y confianzas de Active Directory permite habilitar y deshabilitar el

enrutamiento para un sufijo de nombre.
Procedimiento
Para habilitar o deshabilitar el enrutamiento para un sufijo de nombre de

segundo nivel, realice los siguientes pasos:
1. En el rbol de la consola, haga clic con el botn secundario en el nodo del
dominio que desee administrar y, a continuacin, haga clic en Propiedades.
2. En la ficha Confa, en Dominios de confianza para este dominio
(confianzas de salida) o Dominios que confan en este dominio
(confianzas de entrada), haga clic en la confianza que desee administrar y,
a continuacin, haga clic en Propiedades.
3. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre
en el bosque <nombre de bosque>, haga clic en el sufijo para el que desee
habilitar o deshabilitar el enrutamiento y, a continuacin, haga clic en
Habilitar o Desactivar.
Importante Al deshabilitar el enrutamiento para un sufijo de dominio de
segundo nivel, tambin desactiva el enrutamiento de sufijos para todos sus
sufijos de dominio secundario.
30
Para cambiar el estado de enrutamiento de un sufijo de nombre de tercer nivel o

superior, realice los siguientes pasos:
1. En el rbol de la consola, haga clic con el botn secundario en el nodo del
dominio que desee administrar y, a continuacin, haga clic en Propiedades.
2. En la ficha Confa, en Dominios de confianza para este dominio
(confianzas de salida) o Dominios que confan en este dominio
(confianzas de entrada), haga clic en la confianza que desee administrar y,
a continuacin, haga clic en Propiedades.
3. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre en
el bosque <nombre de bosque>, haga clic en el sufijo principal del sufijo
para el que desea modificar el estado de enrutamiento y, a continuacin,
haga clic en Modificar.
4. En Sufijos de nombre existentes en <nombre de bosque>, haga clic en
el sufijo que desee modificar y, a continuacin, haga clic en Habilitar
o Desactivar.
31
Ejercicio: Creacin de sufijos UPN
Objetivos
En este ejercicio, crear un sufijo de nombre para un dominio de segundo

nivel y, a continuacin, habilitar el enrutamiento de sufijos de nombre
entre dos bosques.
Situacin de ejemplo
Northwind Traders dispone de varios bosques de dominios. La compaa ha

seleccionado un nuevo nombre de dominio, que se utilizar como nombre del
sitio Web y como direccin de correo electrnico de la compaa. Debe agregar
un nuevo sufijo y, a continuacin, habilitar el enrutamiento para l.
Ejercicio
Crear un sufijo de nombre y habilitar el enrutamiento del sufijo

de nombre
1. Cree un nuevo sufijo de nombre para un dominio de segundo nivel

denominado SuNombre.msft.
a. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la
contrasea P@ssw0rd
b. Utilice Ejecutar como para iniciar Dominios y confianzas de
Active Directory como SuDominio\Administrador con la contrasea
P@ssw0rd
c. En el rbol de la consola, haga clic con el botn secundario del mouse
en Dominios y confianzas de Active Directory y, a continuacin, haga
clic en Propiedades.
d. En la ficha Sufijos UPN, escriba el sufijo UPN SuNombre.msft, haga
clic en Agregar y, a continuacin, en Aceptar.
32
2. Habilite el enrutamiento de los nuevos sufijos de nombre recin creados al

bosque nwtraders.msft.
a. En el rbol de la consola, haga clic con el botn secundario del mouse
en Dominios y confianzas de Active Directory y, a continuacin, haga
clic en Conectar con el controlador de dominio.
b. En el cuadro de dilogo Conectar con el controlador de dominio, en el
cuadro Dominio, escriba nwtraders.msft
c. Haga clic en Aceptar y, a continuacin, en S.
d. En el rbol de la consola, haga clic con el botn secundario del mouse
en nwtraders.msft y, a continuacin, haga clic en Propiedades.
e. En la ficha Confa, en Dominios que confan en este dominio
(confianzas de entrada), haga clic en nwtradersx.msft, en
Propiedades y, a continuacin, en la ficha Enrutamiento de
sufijo de nombre.
f. En el cuadro de dilogo Active Directory, escriba el nombre de usuario
Administrador y la contrasea P@ssw0rd y, a continuacin, haga clic
en Aceptar.
g. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre
en el bosque nwtradersx, haga clic en SuNombre.msft, en Habilitar y,
a continuacin, en Aceptar dos veces.
33
Leccin: Movimiento de objetos en Active Directory
Introduccin
En esta leccin se trata el historial SID y las consecuencias de trasladar objetos

de Active Directory. Tambin se explica cmo trasladar un objeto de Active
Directory entre contenedores del mismo dominio y entre dominios del mismo
bosque.
Describir la finalidad del historial SID.
Explicar las consecuencias de trasladar objetos en Active Directory.
Trasladar objetos en un dominio.
Trasladar objetos entre dominios.
Ver las propiedades de los objetos trasladados.
34
Qu es el historial SID
Introduccin
Al trasladar un objeto de Active Directory, como una cuenta de usuario, las

entidades principales de seguridad asociadas al objeto tambin se trasladan.
Active Directory realiza un seguimiento de estas entidades principales de
seguridad en una lista denominada historial SID.
Finalidad del
historial SID
El historial SID proporciona a un usuario migrado continuidad de acceso a los

recursos. Cuando una cuenta de usuario migra a otro dominio, Active Directory
le asigna un nuevo SID. El historial SID mantiene el SID anterior de la cuenta
de usuario migrada. Cuando una cuenta de usuario migra varias veces, el
historial SID almacena una lista de todos los SID que se asignaron al usuario.
A continuacin, actualiza los grupos y ACL necesarios con el nuevo SID de la
cuenta. La pertenencia al grupo se base en el antiguo SID, que ya no existe.
35
Consecuencias del traslado de objetos
Introduccin
Para que se habilite el historial SID, el nivel funcional del dominio debe
configurarse en modo Windows 2000 nativo o Windows Server 2003.
El historial SID est desactivado si el nivel funcional se configura en modo
Windows 2000 mixto. Cuando se traslada un objeto dentro de un dominio, no
se produce ningn cambio en su SID ni en su identificador nico global (GUID,
Globally Unique Identifier). Cuando se traslada un objeto entre dominios del
mismo bosque, Active Directory asigna al objeto un SID nuevo pero conserva
su GUID.
Consecuencias
de seguridad del
historial SID
El historial SID permite que los usuarios migrados continen teniendo acceso
a los recursos de sus antiguos dominios. Sin embargo, tambin permite a los
usuarios simular el acceso a otros dominios, es decir, realizar una transmisin
que parezca provenir de un usuario autorizado, mediante la colocacin de SID
de otros dominios en el historial SID de sus cuentas de usuario. Se puede
proteger de esta simulacin mediante la aplicacin del filtrado de SID a
relaciones de confianza.
Precaucin El filtrado de SID est diseado para utilizarse en confianzas entre
bosques o en confianzas externas. La aplicacin de filtrado de SID a dominios
de un mismo bosque constituye un uso incorrecto de dicho filtrado. Si pone en
cuarentena un dominio del mismo bosque, el filtrado de SID quitar los SID
necesarios para la replicacin de Active Directory y har que la autenticacin
falle a usuarios de dominios en los que se confa de forma transitiva en el
dominio en cuarentena.
36
Para evitar que una cuenta de usuario que ha sido trasladada entre dominios
obtenga acceso a los recursos con permisos asociados al atributo del historial
SID de la cuenta, elimine la informacin del historial SID de la cuenta de
usuario.
Nota Para obtener ms informacin acerca de la eliminacin del historial SID,
lea el artculo 295798, How to Use Visual Basic Script to Clear SidHistory
(en ingls) en Microsoft Knowledge Base en
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B295758.
Otras consecuencias
del traslado de objetos
Tenga en cuenta las siguientes consecuencias adicionales de trasladar objetos

en Active Directory:
Las cuentas de usuario que disponen de privilegios administrativos para la

unidad organizativa a la que se traslada dicha cuenta pueden administrar las
propiedades de la cuenta de usuario trasladada.
Las restricciones de las directivas de grupo de la unidad organizativa,

dominio o sitio desde la que se traslad la cuenta de usuario ya no se
aplican a sta.
La configuracin de directivas de grupo en la nueva ubicacin se aplica a la
cuenta de usuario.
37
Cmo trasladar objetos dentro de un dominio
Introduccin
Usuarios y equipos de Active Directory permite trasladar objetos en

un dominio.
Procedimiento
Para mover un objeto en un dominio, realice los siguientes pasos:
En Usuarios y equipos de Active Directory, en el panel de detalles, arrastre

el objeto al nuevo contenedor.
38
Cmo trasladar objetos entre dominios
Introduccin
La Herramienta de migracin para Active Directory en Windows Server 2003

permite trasladar objetos de un dominio a otro o de un domino de un bosque a
un dominio de otro bosque.
Procedimiento
Para migrar usuarios o grupos de un dominio a otro, realice los siguientes pasos:
1. Ejecute la Herramienta de migracin para Active Directory.
Nota La Herramienta de migracin para Active Directory no est instalada
de forma predeterminada. Se puede instalar desde la carpeta \i386\ADMT
del disco compacto Windows Server 2003.
2. Haga clic con el botn secundario en Herramienta de migracin para
Active Directory y, a continuacin, seleccione el asistente para el objeto
que desee migrar.
Por ejemplo, para trasladar una cuenta de usuario, haga clic en Asistente
para migracin de cuentas de usuario.
3. En la pgina de bienvenida, haga clic en Siguiente.
4. Realice una migracin de prueba mediante estos pasos:
a. En la pgina Probar o hacer cambios, haga clic en Probar la
configuracin de migracin y migrar ms tarde y, a continuacin,
haga clic en Siguiente.
b. En la pgina Seleccin de dominio, seleccione el dominio de origen y
de destino y, a continuacin, haga clic en Siguiente.
c. En la pgina Seleccin de usuario, haga clic en Agregar, escriba el
nombre del objeto, haga clic en Aceptar y, a continuacin, en Siguiente.
39
d. En la pgina Seleccin de Unidad organizativa, haga clic en Examinar,

seleccione el contenedor de destino, haga clic en Aceptar y, a
continuacin, en Siguiente.
e. En la pgina Opciones de usuario, establezca las opciones de usuario y,
a continuacin, haga clic en Siguiente.
Estas opciones determinan si se migrarn la pertenencia al grupo, los
perfiles y la configuracin de seguridad.
f. Si aparece el cuadro de dilogo Advertencia, haga clic en Aceptar.
g. En la pgina Conflictos de nombre, seleccione las opciones adecuadas
para especificar lo que se har en caso de un conflicto de nombre y, a
continuacin, haga clic en Siguiente.
h. En la pgina Finalizacin del Asistente para migracin de cuentas
de usuario, haga clic en Finalizar.
i. En el cuadro de dilogo Progreso de la migracin, haga clic en Ver
registro para ver el registro de errores.
5. Realice una migracin real mediante la repeticin de los pasos del 2 al 4.a.
En el paso 4.a, seleccione Migrar ahora en lugar de Probar la
configuracin de migracin y migrar ms tarde.
40
Cmo utilizar LDP para ver las propiedades de los objetos

trasladados
Introduccin
Despus de trasladar un usuario, grupo u otro objeto, compruebe que las

propiedades del objeto se han actualizado correctamente. Por ejemplo,
compruebe las propiedades del SID y el historial SID del objeto. Para ver
esta informacin, utilice Ldp.exe. Debe instalar las herramientas de soporte
de Windows desde la carpeta \Support\Tools del disco compacto
Windows Server 2003 para poder utilizar Ldp.exe.
Procedimiento
Para ver las propiedades de un objeto trasladado, realice los siguientes pasos:
1. Haga clic en Inicio y en Ejecutar, escriba ldp y, a continuacin, haga clic
en Aceptar.
2. En el cuadro de dilogo LDP, en el men Connection (Conexin), haga clic
en Connect (Conectar).
3. En el cuadro de dilogo Connect (Conectar), en el cuadro Server
(Servidor), escriba el nombre del servidor y, a continuacin, haga clic
en OK (Aceptar).
4. En el cuadro de dilogo LDP, en el men Connection (Conexin), haga clic
en Bind (Enlazar).
5. En el cuadro de dilogo Bind (Enlazar), escriba el nombre de usuario
Administrador, la contrasea del administrador y el nombre del dominio
que desee examinar y, a continuacin, haga clic en OK (Aceptar).
6. En el men View (Ver), haga clic en Tree (rbol).
7. En el cuadro de dilogo Tree View (Vista de rbol), en la lista BaseDN,
seleccione el nombre de dominio adecuado y, a continuacin, haga clic
en OK (Aceptar).
8. En el rbol de la consola, haga doble clic en el objeto cuyas propiedades
desee ver.
9. En el panel de detalles, examine las propiedades del objeto.
41
Ejercicio: Movimiento de objetos
Objetivos
En este ejercicio, realizar las siguientes tareas:
Utilizar Ldp.exe para examinar el SID, el historial SID y el GUID de

un objeto de usuario.
Trasladar un objeto de usuario a otra unidad organizativa del mismo

dominio.
Utilizar Ldp.exe para ver los cambios realizados en el SID, el historial SID
y el GUID del objeto de usuario.
Situacin de ejemplo
La organizacin cuenta con 2.000 usuarios. Delia Ceballos, un usuario del

dominio, ha conseguido un nuevo puesto en la compaa. Debe trasladar su
objeto de cuenta de usuario para que se corresponda con su nueva funcin.
Ejercicio
Trasladar una cuenta de usuario y ver los cambios que el traslado

produce en la cuenta
1. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea

P@ssw0rd
2. Utilice Ldp.exe para examinar el SID, el historial SID y el GUID del
objeto de cuenta de usuario de Delia Ceballos en la unidad organizativa
NombreDeEquipo\Sales del dominio que aloja su equipo de alumno.
a. Haga clic en Inicio, en Smbolo del sistema, escriba ldp y, a
continuacin, presione ENTRAR.
b. En el cuadro de dilogo LDP, en el men Connection (Connexin),
haga clic en Connect (Conectar).
c. En el cuadro de dilogo Connect (Conectar), en el cuadro de texto
Server (Servidor), escriba el nombre del servidor y, a continuacin,
haga clic en OK (Aceptar).
42
d. En el cuadro de dilogo LDP, en el men Connection (Connexin),

haga clic en Bind (Enlazar).
e. En el cuadro de dilogo Bind (Enlazar), escriba el nombre de usuario
Administrador, la contrasea P@ssw0rd y el nombre del dominio que
alberga su servidor y, a continuacin, haga clic en OK (Aceptar).
f. En el men View (Ver), haga clic en Tree (rbol).
g. En el cuadro de dilogo Tree View (Vista de rbol), en la lista BaseDN,
seleccione el nombre de dominio y, a continuacin, haga clic en OK
(Aceptar).
h. En el rbol de la consola, expanda el dominio, haga doble clic en
NombreDeEquipo, de nuevo doble clic en el objeto de la unidad
organizativa Sales y, a continuacin, doble clic en el objeto de usuario
para Delia Ceballos.
i. En el panel de detalles, examine las propiedades del objeto.
i. Cul es el objectGUID de esta cuenta?
La respuesta variar.
_______________________________________________________
ii. Cul es el objectSid de esta cuenta?
La respuesta variar.
_______________________________________________________
iii. Existe una entrada de sIDHistory para esta cuenta de usuario?
Si la respuesta es afirmativa, qu SID aparecen en la lista?
No existe entrada del historial SID para esta cuenta.
_______________________________________________________
3. Traslade el objeto de usuario de Delia Ceballos a la unidad organizativa
NombreDeEquipo\HR del dominio.
a. Utilice Ejecutar como para iniciar Usuarios y equipos de Active
Directory como SuDominio\Administrador con la contrasea
P@ssw0rd
b. En el panel de detalles, arrastre el objeto de usuario DeliaCeb de la
unidad organizativa NombreDeEquipo\Sales a la unidad organizativa
NombreDeEquipo\HR.
43
4. Utilice Ldp.exe para ver si se ha realizado algn cambio en el SID, el

historial SID o el GUID del objeto de usuario para Delia Ceballos.
a. En el rbol de la consola, haga doble clic en HR y, a continuacin,
de nuevo doble clic en el objeto de usuario para Delia Ceballos.
b. En el panel de detalles, examine las propiedades del objeto.
Se ha realizado algn cambio en el SID, el historial SID o el GUID
de esta cuenta? Si la respuesta es afirmativa, qu ha cambiado?
No se han realizado cambios en el SID, el historial SID ni el GUID
de la cuenta de usuario como resultado de este traslado.
__________________________________________________________
__________________________________________________________
44
Leccin: Planeamiento de una estrategia de cuentas

de usuario, grupo y equipo
Introduccin
En esta leccin se describen las directrices para planear una estrategia de

cuentas de usuario y equipo. Una estrategia de cuentas bien planeada facilita
la prevencin de infracciones de seguridad en la red.
Explicar las directrices para definir una convencin de nomenclatura

de cuentas.
Explicar las directrices para configurar una directiva de contraseas.
Explicar las directrices para autenticar, autorizar y administrar cuentas

de usuario.
Explicar las directrices para planear una estrategia de cuentas de grupo.
45
Directrices para nombrar cuentas
Introduccin
Al crear una estrategia de cuentas para los bosques y dominios de la red de la

organizacin, debe configurar convenciones para nombrar cuentas.
Directrices
Se aplican las siguientes directrices para nombrar cuentas de usuario, equipo

y grupo en una red de Windows Server 2003.
Defina una convencin de nomenclatura de cuentas de usuario para la

organizacin, lo que facilitar la identificacin de los nombres de usuario
por parte de otros usuario y permitir administrar conflictos de nombres de
usuario para aquellos que tienen nombres muy similares. La convencin de
nomenclatura debe incluir lo siguiente:
El nombre del usuario, los primeros tres caracteres del mismo o la
primera inicial del usuario. Por ejemplo, utilice Delia para el usuario
Delia Ceballos.
La primera inicial, las primeras letras del apellido o el apellido
completo del usuario. Por ejemplo, utilice DeliaCeballos para
el usuario Delia Ceballos.
Caracteres adicionales del nombre o el apellido o la inicial central para
resolver conflictos de nombres.
46
Considere la posibilidad de utilizar lo siguiente:

Prefijos o sufijos para identificar tipos especiales de cuentas de usuario,
como contratistas, personal a tiempo parcial y cuentas de servicio.
Un dominio alternativo para que el sufijo UPN aumente la seguridad
de inicio de sesin y simplifique los nombres de inicio de sesin.
Por ejemplo, si la organizacin dispone de un rbol de dominios con
muchos niveles organizado por departamento y regin, los nombres de
dominio pueden ser bastante largos. El sufijo UPN predeterminado para
un usuario de ese dominio puede ser sales.example.nwtraders.msft.
El nombre de inicio de sesin para un usuario llamado Delia Ceballos
en ese dominio puede ser DCeballos@sales.example.nwtraders.msft.
Sin embargo, si crea el sufijo nwtraders o nwtraders.msft, un usuario
puede iniciar sesin con un nombre de inicio de sesin mucho ms
simple, como DCeballos@nwtraders o DCeballos@nwtraders.msft.
No es necesario que estos sufijos UPN alternativos sean nombres
DNS vlidos.
Defina una convencin de nomenclatura de cuentas de equipo que

identifique al propietario, la ubicacin y el tipo de equipo. Incluya la
siguiente informacin en la convencin de nomenclatura.
Convencin de nomenclatura
Ejemplo
Nombre de usuario del propietario
DeliaC1
Ubicacin o una abreviatura
RED o Redmond
Tipo de equipo o una abreviatura
SVR o server
Defina una convencin de nomenclatura de grupo que identifique el tipo

de grupo, su ubicacin y el propsito del mismo. Incluya la siguiente
informacin en la convencin de nomenclatura.
Convencin de nomenclatura
Ejemplo
Tipo de grupo
G para el grupo global, UN para el

grupo universal y DL para el grupo
local de dominio
Ubicacin del grupo
Red para Redmond
Propsito del grupo
Admins para administradores
47
Directrices para configurar una directiva de contraseas
Introduccin
La funcin de las contraseas en la seguridad de la red de una organizacin

a menudo se subestima y se pasa por alto. Las contraseas proporcionan la
primera lnea de defensa contra accesos no autorizados a la organizacin.
La familia de Windows Server 2003 incluye una nueva caracterstica que
comprueba la complejidad de la contrasea de la cuenta Administrador. Si la
contrasea est en blanco o no cumple los requisitos de complejidad, aparece
el cuadro de dilogo Programa de instalacin de Windows, que advierte
de los peligros de no utilizar una contrasea de alta seguridad para la cuenta
Administrador. Si deja la contrasea en blanco, no podr obtener acceso a la
cuenta en la red.
Directrices
Una directiva de contraseas garantiza que todos los usuarios sigan las
directrices de contraseas que determine como adecuadas para la organizacin.
Defina los siguientes elementos de una directiva de contraseas:
Defina el parmetro de directivas Forzar el historial de contraseas para

recordar al menos 24 contraseas anteriores. De este modo, los usuarios no
pueden utilizar la misma contrasea cuando sta caduca.
Defina el parmetro de directivas Duracin mxima de la contrasea de

modo que las contraseas caduquen tan a menudo como sea necesario para
el entorno y el nivel de acceso de los usuarios. Este parmetro impide que
un atacante que decodifique una contrasea obtenga acceso a la red hasta
que la contrasea caduque. Para los usuarios que disponen de acceso de
administrador de dominio, establezca la duracin mxima de la contrasea
en un valor inferior a la de los usuarios normales.
Defina el parmetro de directivas Duracin mnima de la contrasea

para que los usuarios no puedan cambiar sus contraseas hasta despus
de un determinado nmero de das. Al definir una duracin mnima de la
contrasea, los usuarios no pueden cambiar repetidamente sus contraseas
para evitar el parmetro Forzar el historial de contraseas y, a
continuacin, utilizar la contrasea original.
48
Defina un parmetro de directivas Longitud mnima de la contrasea

para que las contraseas deban constar de un nmero mnimo de caracteres.
Las contraseas largas, de ocho caracteres como mnimo, generalmente son
ms seguras que las cortas. Este parmetro tambin impide que los usuarios
utilicen contraseas en blanco.
Habilite el parmetro de directivas Las contraseas deben cumplir los

requerimientos de complejidad. Este parmetro comprueba todas las
contraseas nuevas para garantizar que cumplen los requisitos de seguridad
bsicos de las contraseas de alta seguridad.
Una contrasea de alta seguridad tiene las caractersticas siguientes:
Tiene ocho caracteres de longitud como mnimo.
No contiene ningn nombre de usuario, nombre real o nombre
de compaa.
No contiene ninguna palabra completa del diccionario.
Es muy distinta de las contraseas anteriores. Las contraseas
incrementales (Contrasea1, Contrasea2, Contrasea3) son
poco seguras.
Contiene caracteres en mayscula y minscula, numerales y smbolos.
Contiene caracteres ASCII extendidos. Estos caracteres incluyen tildes y
smbolos especiales utilizados para crear imgenes.
Ejemplos de contraseas de alta seguridad son H!elZl2o y J*p2leO4>F.
Precaucin Cualquier atacante potencial puede encontrar los caracteres
ASCII extendidos en el Mapa de caracteres. No utilice un carcter extendido
si no se tiene definida una tecla en la esquina inferior derecha del Mapa de
caracteres. Antes de utilizar caracteres ASCII extendidos en la contrasea,
comprubelos detenidamente para asegurarse de que las contraseas que
contienen caracteres ASCII extendidos son compatibles con las aplicaciones
que utiliza la organizacin. Sea especialmente cauto en cuanto al uso de
caracteres ASCII extendidos en las contraseas si la organizacin utiliza
varios sistemas operativos.
En la siguiente tabla se muestra la configuracin de directivas de contraseas

mnima recomendada para proteger entornos de red.
Parmetro
Valor
Forzar el historial de contraseas
24 contraseas recordadas
Duracin mxima de la contrasea
42 das
Duracin mnima de la contrasea
2 das
Longitud mnima de la contrasea
8 caracteres
Las contraseas deben cumplir los

requerimientos de complejidad
Habilitado
Almacenar contrasea utilizando

cifrado reversible
Deshabilitado
Sugerencia Si crea un dominio raz en el bosque con el propsito de colocar

cuentas administrativas, considere la posibilidad de utilizar una configuracin
de directivas de contraseas ms estricta que la del dominio de cuentas.
Por ejemplo, considere el requerimiento de una duracin mxima de la
contrasea de 30 das, una duracin mnima de siete das y una longitud
mnima de 14 caracteres.
49
50
Directrices para autenticar, autorizar y administrar cuentas
Introduccin
El planeamiento de la estrategia de autenticacin, autorizacin y administracin

de cuentas facilitar la proteccin de la red de la organizacin. Por ejemplo,
implemente una directiva de bloqueo de cuenta para ayudarle a evitar un ataque
en la organizacin. No obstante, tenga cuidado al crear una directiva de bloqueo
de cuenta para evitar el bloqueo involuntario de usuarios autorizados.
Directrices
Utilice las siguientes directrices para autenticar, autorizar y administrar cuentas

en la organizacin:
Establezca el parmetro de directivas Umbral de bloqueos de la cuenta en

un valor alto. De este modo, los usuarios autorizados no quedan bloqueados
en sus cuentas de usuario si escriben mal la contrasea.
Windows puede bloquear a usuarios autorizados si cambian las contraseas
en un equipo pero no en otro. El equipo que utiliza la contrasea antigua
intenta continuamente autenticar al usuario con una contrasea incorrecta.
Finalmente, el equipo impide el acceso a la cuenta de usuario hasta que sta
se restaura. Este problema no existe en organizaciones que utilizan slo
controladores de dominio que son miembros de la familia de
Windows Server 2003.
Evite el uso de cuentas administrativas para llevar a cabo las necesidades

informticas rutinarias. Asimismo, minimice el nmero de administradores
y evite dar acceso administrativo a los usuarios. Solicite a los
administradores que inicien sesin mediante una cuenta de usuario normal
y utilicen el comando runas para realizar todas las tareas administrativas.
Utilice la autenticacin con varios factores. Por ejemplo, solicite tarjetas

inteligentes para cuentas administrativas y acceso remoto para facilitar la
validacin de que el usuario es quien dice ser.
51
Utilice grupos de seguridad basados en la estrategia A-G-U-DL-P. Esta

estrategia proporciona la mayor flexibilidad al tiempo que reduce la
complejidad de la asignacin de permisos de acceso a la red. Asimismo,
implemente un modelo de seguridad basado en funciones para conceder
permisos. En el dominio de la estrategia A-G-U-DL-P:
Las cuentas de usuario (A) se agregan a grupos globales (G).
Los grupos globales se agregan a grupos universales (U).
Los grupos universales se agregan a grupos locales de dominio (DL).
Los permisos de recursos (P) se asignan a los grupos locales de dominio.
Deshabilite la cuenta Administrador y asigne a los usuarios y

administradores los privilegios mnimos necesarios para realizar sus tareas.
No puede borrar ni eliminar la cuenta Administrador del grupo integrado
Administradores. Sin embargo, resulta recomendable deshabilitar la cuenta.
Incluso cuando una cuenta Administrador est deshabilitada, un atacante
o un usuario no autorizado puede utilizar el modo a prueba de fallos para
obtener acceso a un controlador de dominio. La nica forma de impedir esto
es asegurarse de que los servidores son seguros fsicamente.
52
Directrices para planear una estrategia de grupo
Introduccin
El planeamiento de una estrategia de grupo supone el planeamiento del modo

en que se utilizarn los grupos globales, los grupos locales de dominio y los
grupos universales para simplificar tareas administrativas.
Directrices
Utilice las siguientes directrices para planear una estrategia de grupo:
Asigne usuarios con responsabilidades comunes a grupos globales.

Identifique grupos basados en tareas que los miembros realizan.
Cree grupos globales para estos usuarios y agregue usuarios que
tengan responsabilidades comunes a estos grupos.
Cree un grupo local de dominio para compartir recursos. Identifique los

recursos compartidos, como impresoras, archivos y carpetas. A continuacin,
cree un grupo local de dominio para cada uno de los recursos y agregue
usuarios que necesiten acceso a estos recursos.
Agregue a los grupos locales de dominio grupos globales que necesiten

acceso a los recursos. Cuando desee compartir un recurso de un dominio
en varios grupos globales, agregue estos grupos globales al grupo local de
dominio que concede el acceso al recurso compartido.
Utilice grupos universales para conceder acceso a los recursos en varios

dominios. Si las cuentas de usuario necesitan acceso a archivos compartidos
que se encuentran en un dominio distinto de las cuentas de usuario, cree un
grupo universal para estos usuario y conceda acceso al grupo universal para
los archivos compartidos.
Utilice grupos universales cuando la pertenencia al grupo sea esttica.

Los grupos universales funcionan mejor cuando se agregan usuarios que es
poco probable que se eliminen con frecuencia del grupo universal. Active
Directory replica cualquier cambio en la pertenencia a un grupo universal,
lo que aumenta el trfico de red.
53
Nota Si el nivel funcional del bosque se establece en Windows 2000 nativo y

se produce un cambio en la pertenencia al grupo universal, Active Directory
replica la lista completa de pertenencia al grupo en todos los servidores de
catlogo global. Si el nivel funcional del bosque se establece en Windows
Server 2003, slo se replican los cambios en los dems servidores de catlogo
global. En otras palabras, los cambios ms frecuentes en la pertenencia al grupo
universal tienen menos efecto en la red que en un nivel funcional de bosque de
Windows 2000.
Planeamiento de
cuentas de grupo
Utilice la siguiente tabla para planear cuentas de grupo. Contiene informacin

de ejemplo para un grupo universal denominado U RedAccts, que se cre en
el dominio Redmond. Sus miembros incluyen grupos globales de los dominios
London, Vancouver y Denver.
Grupo
Descripcin
Ubicacin
Tipo
Miembros
U RedAccts
Contables
Dominio
Redmond
Grupo
universal
G LonAccts
G VanAccts
G DenAccts
54
Ejercicio: Planeamiento de una estrategia de cuentas de usuario,

grupo y equipo
Objetivos
Situacin de ejemplo
En este ejercicio, se ocupar de:
Determinar la estrategia para nombrar cuentas.
Determinar la directiva de contraseas.
Determinar la estrategia de autenticacin, autorizacin y administracin.
Determinar la estrategia de grupo para el bosque.
La compaa se encuentra en un entorno corporativo altamente competitivo.

El mantenimiento de la seguridad de la informacin y los secretos comerciales
de la compaa es fundamental. La organizacin tiene 1.000 usuarios en un
bosque de Active Directory. El bosque consta de un dominio raz vaco
denominado nwtraders.msft, un dominio secundario denominado
corp.nwtraders.msft que contiene todas las cuentas de usuario y grupo.
Todos los controladores de dominio del bosque ejecutan Windows Server 2003.
El dominio raz contiene slo cuentas administrativas, que se utilizan para
realizar tareas administrativas en todo el bosque.
Ejercicio
55
Plan y estrategia de cuentas

1. Qu directiva de nombres de cuentas utilizar para los usuarios del
dominio corp?
La respuesta variar. Una estrategia de nombres posible es utilizar el
nombre y la ltima inicial del usuario. Cuando se produzcan conflictos
de nombres, resulvalos mediante al menos dos caracteres del apellido
del usuario para crear un nombre de usuario nico.
____________________________________________________________
____________________________________________________________
2. Qu configuracin de directivas de contraseas utilizar para el
dominio corp?
La configuracin de directivas incluir al menos lo siguiente:
42 das
2 das
8 caracteres
Las contraseas deben cumplir

los requerimientos de complejidad
Habilitado

cifrado reversible
Deshabilitado
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
3. Qu configuracin de directivas de contraseas utilizar para el dominio raz?
La configuracin de directivas incluir al menos lo siguiente:
30 das
7 das
14 caracteres
Las contraseas deben cumplir

los requerimientos de complejidad
Habilitado

cifrado reversible
Deshabilitado
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
56
4. Qu incluir su estrategia de autenticacin, autorizacin y administracin?

La estrategia debe incluir los siguientes pasos:
Establecer una directiva de bloqueo de cuenta que bloquee cuentas
de usuario durante 30 minutos tras siete intentos fallidos de iniciar
una sesin.
Solicitar a los administradores que inicien sesin mediante una
cuenta de usuario normal y que realicen todas las tareas
administrativas mediante el comando runas.
Solicitar la autenticacin mediante tarjetas inteligentes para todos
los accesos remotos a la red.
Cambiar el nombre y deshabilitar la cuenta Administrador en
cada dominio.
Implementar un modelo de seguridad basado en funciones al
planear grupos.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
5. Qu incluir la estrategia de grupo?
La estrategia debe incluir los siguientes pasos:
Asignar usuarios con responsabilidades comunes a grupos globales.
Crear un grupo local de dominio para recursos compartidos.
Agregar a los grupos locales de dominio grupos globales que
necesiten acceso a los recursos.
No utilizar grupos universales (excepto para los grupos
Administradores de organizacin y Administradores de esquema
en el dominio raz) ya que todas las cuentas de usuario no
administrativas, cuentas de grupo y recursos se encontrarn en el
dominio corp.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
57
Leccin: Planeamiento de una estrategia de auditora

de Active Directory
Introduccin
Tras finalizar esta leccin, comprender por qu es importante auditar el acceso a

Active Directory y poder planear una estrategia de auditora de Active Directory.
Explicar la necesidad de auditar el acceso a Active Directory.
Explicar las directrices para supervisar las modificaciones en

Active Directory.
58
Por qu auditar el acceso a Active Directory
Introduccin
Debe utilizar la auditora para realizar un seguimiento de las actividades

relacionadas con la seguridad en un sistema. Como Active Directory
almacena informacin acerca de todos los objetos que existen en una red de
Windows Server 2003, debe realizar un seguimiento de los cambios en estos
objetos y sus atributos. Por ejemplo, es posible que desee auditar cambios
en la pertenencia al grupo o en los componentes de la infraestructura de Active
Directory, como objetos de sitio o el esquema de Active Directory.
Finalidad de la auditora
de Active Directory
Al auditar Active Directory, registre los cambios en Active Directory que

se han realizado correctamente y los intentos fallidos al realizar cambios en
Active Directory para llevar a cabo lo siguiente:
Registrar todos los cambios realizados correctamente en Active Directory.

El registro de todos los cambios realizados correctamente facilita garantizar
que el personal autorizado no est realizando cambios no autorizados
en los objetos de Active Directory. Tambin es til para fijar los cambios
incorrectos en Active Directory. Por ejemplo, si se aplicaron permisos
al grupo incorrecto, proporcionando as acceso a recursos al conjunto de
usuarios incorrecto, se puede utilizar la pista de auditora para identificar
cundo se realiz el cambio y quin lo hizo.
Realizar un seguimiento del acceso a un recurso o mediante una cuenta
especfica. Realizar un seguimiento del acceso facilita la comprensin de los
sucesos que se producen en la red. Por ejemplo, si una aplicacin utiliza una
cuenta de servicio para tener acceso a los recursos y la aplicacin funciona
mal, la pista de auditora puede facilitar la identificacin de lo que fall.
Detectar y registrar intentos fallidos de acceso. El registro de los intentos
fallidos al obtener acceso a los recursos o al realizar cambios en Active
Directory facilita la identificacin de las amenazas de seguridad internas
y externas.
Para auditar cambios correctos o fallidos en objetos o atributos de Active

Directory, debe habilitar la auditora de servicios de directorio en todos los
controladores de dominio y configurar la lista de control de acceso del sistema
(SACL, System Access Control List) para cada objeto o atributo que desee auditar.
59
Directrices para supervisar cambios en Active Directory
Introduccin
Las auditoras realizadas correctamente generan una entrada de auditora

cuando se produce un suceso de administracin de cuentas. Aunque los
sucesos de administracin de cuentas correctos son por lo general inofensivos,
proporcionan un registro inestimable de actividades que puede comprometer
la seguridad de una red.
Directrices
Utilice las siguientes directrices al crear una estrategia de auditora:
Habilitar la auditora de sucesos de administracin de cuentas. Audite los

siguientes cambios correctos:
Creacin, modificacin o eliminacin de cuentas de usuario o grupo
Activacin, desactivacin o cambio de nombre de cuentas de usuario
Cambio de contraseas o la directiva de seguridad del equipo
Habilitar la auditora de acciones correctas de los cambios de directivas.

Si no se habilita la auditora de estos cambios y los cambios de directivas
de administracin de cuentas, un atacante puede potencialmente daar la
seguridad de una red sin una pista de auditora.
Por ejemplo, si un administrador convierte la cuenta de usuario Mara en
miembro del grupo Operadores de copia de seguridad, la auditora registra
un suceso de administracin de cuentas. Sin embargo, si el mismo
administrador concede a la cuenta de Mara el derecho de usuario avanzado
Carpetas y archivos de copia de seguridad, la auditora no registra ningn
suceso de administracin de cuentas.
60
Habilitar la auditora de errores de sucesos del sistema. Este parmetro

de seguridad genera un suceso cuando un usuario intenta sin xito reiniciar
o apagar un equipo o modificar la seguridad del sistema o el registro de
seguridad. Habilite este parmetro de directivas de auditora para el
dominio completo.
Los sucesos de error en la categora de sucesos del sistema pueden detectar
actividades anormales, como un intruso que intenta obtener acceso al equipo
o la red. El nmero de auditoras que se generan cuando se habilita este
parmetro suele ser bastante bajo y la calidad de la informacin que se
obtiene de los sucesos suele ser relativamente alta.
Habilitar la auditora de errores de los sucesos de cambio de directiva y los

sucesos de administracin de cuentas slo cuando sea necesario. El nmero
de auditoras que se generan cuando se habilita esta configuracin puede ser
muy alto, por lo que debe habilitarlo slo cuando sea necesario.
Precaucin La habilitacin de auditoras de errores para estos sucesos puede

representar un riesgo para la organizacin. Si los usuarios intentan obtener
acceso a un recurso para el que no estn autorizados, pueden crear tantas
auditoras de errores que el registro de seguridad se llene y el equipo no pueda
recopilar ms auditoras. Si el parmetro de directivas Auditora: apagar el
sistema de inmediato si no puede registrar auditoras de seguridad est
habilitado, los servidores se apagarn cuando el registro se llene. Los intrusos
pueden iniciar un ataque de denegacin de servicio mediante la directiva de
auditora si ste es el caso.
Nota Para obtener ms informacin acerca de cmo habilitar la auditora,
consulte el mdulo 10, Implementar plantillas administrativas y directivas de
auditora del curso 2146A: Administracin de un entorno Microsoft Windows
Server 2003.
61
Ejercicio: Planeamiento de una estrategia de auditora
Objetivos
En este ejercicio, determinar las directivas de auditora que debe habilitar para
Active Directory.
Situacin de ejemplo
Debe planear una directiva de auditora para Northwind Traders, que dispone de
1.000 usuarios en un bosque de Active Directory. El bosque consta de un dominio
raz vaco denominado nwtraders.msft y un dominio secundario denominado
corp.nwtraders.msft que contiene todas las cuentas de usuario y grupo.
Ejercicio
Planear una estrategia de auditora

Para qu sucesos habilitar la auditora?
____________________________________________________________
____________________________________________________________
La respuesta puede variar. La estrategia recomendada es habilitar la
auditora de acciones correctas para el sistema, el cambio de directivas
y la administracin de cuentas, y habilitar la auditora de errores para
los sucesos del sistema. No se recomienda que habilite la auditora de
errores para otros sucesos a menos que est auditando especficamente
con el propsito de detectar una intrusin.
62
Prctica A: Implementacin de una estrategia de cuentas

y de auditora
Objetivos
Requisitos previos
Situacin de ejemplo
Tiempo previsto para

completar esta prctica:
60 minutos
Despus de finalizar esta prctica, podr:
Planear una estrategia para cuentas de usuario, grupo y equipo.
Antes de trabajar en esta prctica, debe:
Conocer las directrices para planear una estrategia de cuentas.
Conocer las directrices para planear una estrategia de auditora.
Northwind Traders estn implementando Windows Server 2003 en su red.

Planea utilizar un bosque con dos dominios: un dominio raz vaco y un
dominio corporativo. El dominio corporativo contendr las cuentas de usuario,
grupo y equipo.
Ejercicio 1
Planeamiento de una estrategia de cuentas y de auditora
En este ejercicio, planear una estrategia para nombrar cuentas para el nuevo bosque de Northwind
Traders. Utilice las directrices proporcionadas por el equipo de ingeniera y diseo.
Situacin de ejemplo
El nuevo bosque constar de un dominio raz vaco denominado nwtraders.msft y un dominio
secundario denominado corp.nwtraders.msft, que contendr todas las cuentas de usuario.
Northwind Traders cuenta con oficinas en siete ciudades.
La estrategia de cuentas y de auditora debe tener en cuenta los siguientes requisitos:
La estrategia para nombrar cuentas de usuario debe facilitar la determinacin de la direccin

de correo electrnico de un usuario a los empleados que slo conocen el nombre y el apellido
de dicho usuario.
La estrategia para nombrar cuentas de equipo debe facilitar a los empleados la identificacin
de la ubicacin y el propsito de un equipo.
Todos los empleados deben tener una direccin de correo electrnico

NombreUsuario@nwtraders.msft.
La estrategia de auditora debe poder detectar los intentos de modificaciones no autorizadas

en Active Directory.
Tareas
1.
Planear una estrategia para nombrar cuentas de usuario para el bosque nwtraders.msft.
De qu constarn los nombres de cuentas de usuario?
Qu estrategia utilizar para resolver los conflictos de nombres de cuentas de usuario?
Qu utilizar para un sufijo UPN para cuentas de usuario?
2.
Planear una estrategia para nombrar cuentas de equipo para el bosque nwtraders.msft.
Qu convencin de nomenclatura utilizar para los equipos servidor?
63
64

(continuacin)
Tareas
Qu convencin de nomenclatura utilizar para los equipos cliente?
3.
Planear una directiva de contraseas para el bosque nwtraders.msft.

Qu configuracin de directivas de contraseas aplicar al dominio nwtraders.msft?
Qu configuracin de directivas de contraseas aplicar al dominio corp.nwtraders.msft?
4.
Planear una estrategia de auditora para el bosque nwtraders.msft.

Qu configuracin de auditora de acciones correctas incluir en el plan?
Qu configuracin de auditora de errores incluir en el plan?
65
Ejercicio 2
Creacin de cuentas con la herramienta Csvde
En este ejercicio, utilizar la herramienta de lnea de comandos Csvde para importar varias cuentas
a Active Directory desde un archivo de importacin .csv, que se ha creado con Microsoft Excel.
Situacin de ejemplo
Como uno de los administradores de Northwind Traders, usted recibe a diario solicitudes de nuevas
cuentas de usuario. Un miembro del equipo introduce las solicitudes en una hoja de clculo, que se
guarda con formato de valores separados por comas (.csv). Al comienzo de cada da hbil, usted es
responsable de importar este archivo a Active Directory para crear las cuentas de usuario.
Tareas
1.
Utilizar la herramienta de
lnea de comandos Csvde
para importar el archivo .csv
a Active Directory.
2.
Utilizar Usuarios y equipos

de Active Directory para
determinar las unidades
organizativas, usuarios
y grupos nuevos que se
han creado.
Instrucciones especficas
El nombre del archivo .csv es el mismo que el del dominio que est
alojado en el equipo. Este archivo se encuentra en la carpeta <carpeta
de instalacin>MOC\2196\Labfiles\Lab4 del equipo.
Qu unidades organizativas nuevas se han creado?
Cules de las unidades organizativas contienen cuentas de usuario y grupo?
66
Ejercicio 3
Creacin de un sufijo UPN
En este ejercicio, crear un sufijo UPN y, a continuacin, solucionar un conflicto de enrutamiento
de sufijo UPN entre dos bosques.
Situacin de ejemplo
Los usuarios del dominio han solicitado poder iniciar sesin en su dominio mediante un sufijo UPN
que conste slo del nombre de la ciudad en la que se encuentran. Usted crear el sufijo UPN en el
bosque de su ciudad.
Tareas
1.
Crear un nuevo sufijo UPN

en el bosque denominado
SuNombreDeCiudad.
a.
Inicie sesin como Nwtradersx\NombreDeEquipoUser con la

contrasea P@ssw0rd
b. Utilice Ejecutar como para iniciar Dominios y confianzas de
Active Directory como SuDominio\Administrador con la

contrasea P@ssw0rd
2.
Habilitar el enrutamiento del

nuevo sufijo UPN al bosque
nwtraders.msft.
Cul es el estado del sufijo UPN SuNombreDeCiudad despus de habilitarlo?
Qu puede hacer para resolver este conflicto de enrutamiento de sufijo UPN?
67
Ejercicio 4
Traslado de un grupo de usuarios
En este ejercicio, conceder permisos de grupo global a una carpeta compartida en el servidor.
A continuacin, trasladar el grupo y sus miembros a una unidad organizativa del otro dominio
del bosque. Finalmente, comprobar que el grupo trasladado an dispone de permisos en la carpeta
compartida del servidor.
Situacin de ejemplo
Como resultado de una reciente reorganizacin en Northwind Traders, se debe trasladar un grupo
de usuarios a una nueva ubicacin. Este traslado tambin afecta a Active Directory porque el grupo
y sus cuentas de usuario se deben trasladar a otra ubicacin del bosque. Pasarn varios meses antes
de que se puedan trasladar los servidores que contienen los datos del usuario. Usted debe asegurarse
de que los usuarios an pueden tener acceso a sus archivos despus de que sus cuentas se hayan
trasladado.
Tareas
1.
2.
Crear y compartir una

carpeta en el servidor
denominado ITAdmin y, a
continuacin, conceder al
grupo global G IT Admins
permisos de NTFS Control
total para la carpeta y
Control total para el recurso
compartido.
a.
Inicie sesin como Nwtradersx\NombreDeEquipoUser con la

contrasea P@ssw0rd
b. Utilice Ejecutar como para iniciar Administracin de equipos como
SuDominio\Administrador con la contrasea P@ssw0rd
Utilizar Ldp.exe para

examinar el SID, el historial
SID y el GUID del objeto de
grupo global G IT Admins
en la unidad organizativa IT
Admin\IT Groups del
dominio que aloja su equipo
de alumno.
Qu se muestra en la lista de entradas de objectGUID, objectSID y sIDHistory para el grupo
global G IT Admins?
3.
Instalar la Herramienta de
migracin para Active
Directory en el equipo.
a.
Utilice Ejecutar como para iniciar el smbolo del sistema como

SuDominio\Administrador con la contrasea P@ssw0rd
b. En el smbolo del sistema, inicie la instalacin mediante la
introduccin de \\London\OS\ADMT\ADMIGRATION.MSI y,
a continuacin, presione ENTRAR para iniciar la instalacin.
68

(continuacin)
Tareas
4.
5.
Utilizar la Herramienta de
migracin para Active
Directory para trasladar el
grupo global G IT Admins y
sus miembros a la unidad
organizativa IT Test\IT Test
Move en el otro domino del
bosque.
Utilizar Ldp.exe
para examinar el SID,
SIDHistory y GUID del
objeto de grupo global
G IT Admins en la unidad
organizativa IT Test\IT Test
Move del dominio al que
se traslad.
Utilice Ejecutar como para abrir la Herramienta de migracin para

Active Directory como nwtradersx\Administrador con la contrasea
P@ssw0rd
Nota: El cuadro de dilogo Progreso de la migracin puede indicar
que existen errores. Los errores se generaron al cambiar el nombre
de los usuarios y el grupo con la extensin trasladada. Pase por alto
estos mensajes de error.
Nota: Es posible que se haya cambiado el nombre del grupo G IT
Admins por G IT Adminsmoved como parte del proceso de traslado.
Tras responder a la siguiente pregunta, en el men Conexin, haga clic

en Salir.
Qu se muestra en la lista de entradas de objectGUID, objectSID y sIDHistory para el grupo

global G IT Admins?
Se produjeron cambios en las entradas de objectGUID, ObjectSID o sIDHistory como resultado

del traslado?
6.
Utilizar el Explorador de
Windows para ver los
permisos asignados a la
carpeta ITAdmin que cre y
comparti en el paso 1.
Dispone an el grupo al que asign permisos para esta carpeta en el paso 1 de permisos de control total
para la carpeta? Razone la respuesta.

X09 8484704 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

X09 8484704 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Contenido

Leccin: Introduccin a las cuentas

Leccin: Creacin y administracin

Leccin: Implementacin de los sufijos

Leccin: Movimiento de objetos

Leccin: Planeamiento de una estrategia

Leccin: Planeamiento de una estrategia

Prctica A: Implementacin de una

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Notas para el instructor

Este mdulo proporciona a los alumnos los conocimientos y capacidades

Describir los tipos de cuentas y grupos de Active Directory.

Crear varias cuentas de usuario y equipo.

Implementar sufijos UPN.

Mover objetos dentro de un dominio y entre dominios en un bosque.

Planear una estrategia para cuentas de usuario, equipo y grupo.

Planear una estrategia de auditora de Active Directory.

Para impartir este mdulo, necesitar el material siguiente:

Configuracin del aula

Archivo 2196A_04.ppt de Microsoft PowerPoint

Para preparar este mdulo, debe:

Examinar los ejercicios, las preguntas de evaluacin y las respuestas que se

En esta seccin se proporcionan las instrucciones de necesarias con el fin de

Preparacin para la prctica

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Recomendaciones para impartir este mdulo

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Leccin: Introduccin a las cuentas

En esta leccin no se realiza ningn ejercicio.

Leccin: Creacin y administracin de varias cuentas

Tras completar esta leccin, los alumnos crearn un archivo de secuencia

Leccin: Implementacin de los sufijos de nombre principal

Al final de esta leccin, los alumnos crearn un sufijo de nombre para un

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Leccin: Movimiento de objetos en Active Directory

Al final de esta leccin, los alumnos trasladarn una cuenta de usuario de un

Leccin: Planeamiento de una estrategia de cuentas de usuario,

Al final de esta leccin, los alumnos planearn una estrategia de nombres

Leccin: Planeamiento de una estrategia de auditora

Al final de esta leccin, los alumnos planearn una estrategia de auditora

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Prctica A: Implementacin de una estrategia de cuentas

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Se crean las siguientes unidades organizativas en cada dominio de alumno:

Se crea un grupo global G IT Admins en cada dominio de alumno.

Se crean 26 grupos locales de dominio denominados DL NombreDeEquipo

Se crea un grupo local de dominio denominado DL IT OU Administrators.

Se crean 26 usuarios denominados NombreDeEquipoAdmin.

Se agregan dos sufijos UPN NombreDeEquipo a cada bosque de alumno,

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

En este mdulo aprender acerca del planeamiento e implementacin de

Despus de finalizar este mdulo, podr:

Describir los tipos de cuentas y grupos de Active Directory.

Crear varias cuentas de usuario y equipo.

Implementar sufijos UPN.

Mover objetos dentro de un dominio y entre dominios en un bosque.

Planear una estrategia para cuentas de usuario, equipo y grupo.

Planear una estrategia de auditora de Active Directory.

Mdulo 4: Implementacin de cuentas de usuario, grupo y equipo

Leccin: Introduccin a las cuentas

Despus de finalizar esta leccin, podr:

Describir el comportamiento de los grupos locales de dominio.

Describir el comportamiento de los grupos globales.