Documente Academic
Documente Profesional
Documente Cultură
Mdulo 4:
Implementacin de
cuentas de usuario,
grupo y equipo
Introduccin
22
33
44
57
62
La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a
sitios Web de Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo
contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico,
logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende
indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos,
dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es
responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables.
Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema
de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico,
mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa
autorizacin por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros
derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este
documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u
otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de
licencia de Microsoft.
2003 Microsoft Corporation. Reservados todos los derechos.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basis, Visual C++ y Windows Media son marcas registradas o marcas comerciales
de Microsoft Corporation en Estados Unidos y/o en otros pases.
Otros nombres de productos y compaas mencionados aqu pueden ser marcas comerciales de
sus respectivos propietarios.
iii
Material necesario
Tareas de preparacin
Leer todo el material del mismo. A lo largo del mdulo, prever las preguntas
que puedan formular los alumnos y preparar las respuestas para cada una
de ellas.
Realizar la prctica.
iv
Explique a los alumnos el diseo para este curso de las pginas de instrucciones,
los ejercicios y las prcticas. Un mdulo incluye dos lecciones o ms. La mayor
parte de las lecciones contienen pginas de instrucciones y un ejercicio. Una vez
que los alumnos completen las lecciones, el mdulo finaliza con una prctica.
Pginas de instrucciones
Las pginas de instrucciones estn diseadas para que el instructor demuestre
cmo llevar a cabo una tarea. Los alumnos no tienen que realizar con el
instructor las tareas de la pgina de instrucciones. Seguirn los pasos que se
indiquen para efectuar el ejercicio al final de cada leccin.
Ejercicios
Despus de introducir un tema y de realizar las demostraciones de los
procedimientos de la leccin, explique que los ejercicios proporcionan a los
alumnos la oportunidad de llevar a cabo las tareas tratadas en la leccin.
Prcticas
Al final de cada mdulo, los alumnos utilizan la prctica para realizar las tareas
que se explican en el mdulo.
Cada prctica presenta una situacin de ejemplo que tiene que ver con la
funcin de trabajo y un conjunto de instrucciones en una tabla de dos columnas.
En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo,
crear un grupo). La columna de la derecha contiene instrucciones especficas
para realizar la tarea (por ejemplo: En Usuarios y equipos de Active Directory,
haga doble clic en el nodo de dominio).
En el disco compacto Material del alumno se encuentran las respuestas de los
ejercicios de cada prctica, por si los alumnos necesitan instrucciones paso a
paso para completarla. Tambin pueden remitirse a los ejercicios y a las
pginas de instrucciones del mdulo.
vi
vii
Informacin de personalizacin
En esta seccin se muestran los requisitos de instalacin de la prctica de un
mdulo y los cambios de configuracin que se producen en los equipos de los
alumnos durante las prcticas. Esta informacin se incluye para ayudarle a replicar
o personalizar el material del curso Microsoft Official Curriculum (MOC).
Importante La prctica de este mdulo depende tambin de la configuracin
del aula que se especifique en la seccin Informacin de personalizacin al
final de la Gua de configuracin automatizada del aula para el curso 2196A:
Planeamiento, implementacin y mantenimiento de infraestructuras de Active
Directory en Microsoft Windows Server 2003.
Configuracin de la prctica
En la lista que aparece a continuacin se indican los requisitos de configuracin
para la prctica en este mdulo.
Requisito de
configuracin 1
Para las prcticas de este mdulo hay que configurar el equipo de cada alumno
como un controlador de dominio en su propio bosque. Para preparar los equipos
de los alumnos para que renan estos requisitos, complete la instalacin manual
o automatizada de este curso y, a continuacin, complete las prcticas del
mdulo 2, Implementacin de una estructura de dominios y bosques de Active
Directory, del curso 2196A, Planeamiento, implementacin y mantenimiento
de infraestructuras de Active Directory en Microsoft Windows Server 2003.
viii
Resultados de la prctica
Al realizar la prctica en este mdulo, se introducen los siguientes cambios
en la configuracin.
Introduccin
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Objetivos de la leccin
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
En esta leccin se describen los tipos de cuentas y grupos que puede crear en
Microsoft Windows Server 2003. Tambin se describe el comportamiento
de los grupos globales, locales de dominio y universales.
Habilitacin de objetivos
Describir los tipos de cuentas que se pueden crear en Windows Server 2003.
Describir los tipos de grupos que se pueden crear en Windows Server 2003.
Tipos de cuentas
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Puede crear tres tipos de cuentas en Active Directory: cuentas de usuario, grupo
y equipo. Las cuentas de usuario y equipo de Active Directory representan una
entidad fsica, como un equipo o una persona. Tambin puede utilizar cuentas
de usuario como cuentas de servicio dedicadas para algunas aplicaciones.
Cuentas de usuario
Una cuenta de usuario local habilita a un usuario para que inicie sesin en
un equipo especfico para tener acceso a los recursos de dicho equipo.
Cuentas de equipo
Todo equipo con Microsoft Windows NT, Windows 2000 o Windows XP, o
un servidor que ejecute Windows Server 2003 que se una a un dominio tiene
una cuenta de equipo. Al igual que las cuentas de usuario, las cuentas de equipo
proporcionan un modo de autenticar y auditar el acceso de los equipos a la red
y a los recursos de dominio. Las cuentas de equipo deben ser nicas.
Cuentas de grupo
Tipos de grupos
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Grupos de distribucin
Grupos de seguridad
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Pertenencia, mbito y
permisos de grupos
locales de dominio
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Pertenencia, mbito y
permisos de grupos
globales
Cundo utilizar
grupos globales
Debido a que los grupos globales se pueden ver en el bosque, no los cree
para conceder a los usuarios acceso a recursos especficos de dominio. Utilice
grupos globales para organizar usuarios o grupos de usuarios. Un grupo local
de dominio es ms adecuado para controlar el acceso de usuario a los recursos
dentro de un nico dominio.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Pertenencia, mbito y
permisos de grupos
universales
Cundo utilizar
grupos universales
Utilice grupos universales cuando desee anidar grupos globales. De este modo,
puede asignar permisos a los recursos relacionados de varios dominios.
Un dominio de Windows Server 2003 debe estar en modo Windows 2000
nativo o en modo de Windows Server 2003 para utilizar grupos de seguridad
universales. Puede utilizar grupos de distribucin universales en un dominio de
Windows Server 2003 que est en modo Windows 2000 mixto o posterior.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Objetivos de la leccin
10
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Usuarios y equipos
de Active Directory
Herramientas del
servicio de directorio
Herramienta Csvde
11
Para editar y dar formato al archivo de texto de entrada, utilice una aplicacin
que tenga una buena capacidad de edicin, como Microsoft Excel o Microsoft
Word. A continuacin, guarde el archivo como archivo de texto separado por
comas. Puede exportar datos de Active Directory a una hoja de clculo de Excel
o importar datos de una hoja de clculo a Active Directory.
Herramienta Ldifde
12
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento
Para crear cuentas con la herramienta de lnea de comandos Csvde, realice los
siguientes pasos:
1. Cree el archivo Csvde de importacin. Aplique formato al archivo para que
contenga la informacin siguiente:
Lnea de atributos. Se trata de la primera lnea del archivo. Especifica
el nombre de cada atributo que desee definir para las nuevas cuentas
de usuario. Puede colocar los atributos en cualquier orden, pero debe
separar los atributos con comas. El siguiente cdigo de muestra es un
ejemplo de una lnea de atributos:
DN,objectClass,sAMAccountName,userPrincipalName,
displayName,userAccountControl
Valor
DN (nombre completo)
objectClass
User
sAMAccountName
cristinam
userPrincipalName
cristinam@contoso.msft
displayName
Cristina Martnez
userAccountControl
Los atributos de esta tabla son los atributos mnimos necesarios para
ejecutar csvde.
Importante No puede utilizar Csvde para crear cuentas de usuario habilitadas
si la poltica de contraseas de dominio requiere una longitud de contrasea
mnima o contraseas complejas. En este caso, utilice un valor
userAccountControl de 514, que deshabilita la cuenta de usuario y, a
continuacin, habilite la cuenta utilizando Windows Script Host o Usuarios
y equipos de Active Directory.
2. Ejecute el comando csvde escribiendo el siguiente comando en el smbolo
del sistema:
csvde i f nombreArchivo b NombreUsuario Dominio
Contrasea
Donde:
-i indica que est importando un archivo a Active Directory
-f indica que el siguiente parmetro es el nombre del archivo que est
importando
b establece el comando para que se ejecute como nombre de usuario,
dominio y contrasea.
13
14
15
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento
Para crear cuentas con la herramienta de lnea de comandos Ldifde, realice los
siguientes pasos:
1. Prepare el archivo Ldifde de importacin.
Aplique formato al archivo Ldifde para que contenga un registro que conste
de una secuencia de lneas que describa una entrada para una cuenta de
usuario o un conjunto de cambios para una cuenta de usuario de Active
Directory. La entrada de cuenta de usuario especifica el nombre de cada
atributo que desee definir para la nueva cuenta de usuario. El esquema de
Active Directory define los nombres de atributos. Para cada cuenta de
usuario que cree, el archivo contiene una lnea que especifica el valor de
cada atributo de la lnea de atributos. Las siguientes reglas se aplican a los
valores para cada atributo:
Las lneas que comiencen con un signo de almohadilla (#) son lneas
de comentario y se ignoran al ejecutar el archivo Ldifde.
Si falta un valor para un atributo, se debe representar como
AttributeDescription ":" FILL SEP.
El siguiente cdigo de muestra es un ejemplo de una entrada en un
archivo de importacin Ldifde:
# Crear Cristina Martnez
dn: cn=Crsitina Martnez,ou=Human
Resources,dc=asia,dc=contoso,dc=msft
Changetype: Add
objectClass: user
sAMAccountName: cristinam
userPrincipalName: cristinam@contoso.msft
displayName: Cristina Martnez
userAccountControl: 514
16
Valor de atributo
Crear Cristina Martnez (El carcter # indica que esta lnea es un comentario.)
DN
Changetype
Add
objectClass
user
sAMAccountName
cristinam
userPrincipalName
cristinam@contoso.msft
displayName
Cristina Martnez
userAccountControl
512
b NombreUsuario Dominio
Donde:
-i indica el modo de importacin. Si no se especifica, el modo por defecto
es de exportacin.
-k ignora fallos durante una operacin de importacin y continua con el
procesamiento.
-f indica el nombre del archivo de importacin o exportacin.
-b indica el nombre de usuario, nombre de dominio y contrasea para
lacuenta de usuario que se va a utilizar para realizar la operacin de
importacin o exportacin.
17
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento para
crear un objeto de
Active Directory
18
19
20
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Objetivos
Situacin de ejemplo
Ejercicio
21
22
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Objetivos de la leccin
23
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
En una red de Windows Server 2003, un usuario puede iniciar sesin mediante
un nombre principal de usuario o un nombre de inicio de sesin de usuario
(Windows NT 4.0 y anterior). Los controladores de dominio pueden utilizar
el nombre principal de usuario o el nombre de inicio de sesin de usuario para
autenticar la solicitud de inicio de sesin.
Qu es un nombre
principal de usuario
24
Ventajas de utilizar
nombres principales
de usuario
Reglas de exclusividad
para nombres de inicio
de sesin de usuario
25
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Ubicacin de
los archivos
Objetivos
Puntos clave
26
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Cuando dos bosques de Windows Server 2003 estn vinculados mediante una
confianza de bosque, el sufijo de nombre de dominio de segundo nivel o un
sufijo UPN que exista en un bosque pueden entrar en conflicto con un sufijo de
nombre parecido del segundo bosque. Al detectar conflictos, el Asistente para
nueva confianza garantiza que slo un bosque est autorizado para un sufijo de
nombre determinado.
Deteccin de conflictos
Cmo se resuelven
los conflictos
27
28
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento para
agregar un sufijo UPN
Procedimiento para
quitar un sufijo UPN
29
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento
30
31
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Objetivos
Situacin de ejemplo
Ejercicio
32
33
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Objetivos de la leccin
34
Qu es el historial SID
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Finalidad del
historial SID
35
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Para que se habilite el historial SID, el nivel funcional del dominio debe
configurarse en modo Windows 2000 nativo o Windows Server 2003.
El historial SID est desactivado si el nivel funcional se configura en modo
Windows 2000 mixto. Cuando se traslada un objeto dentro de un dominio, no
se produce ningn cambio en su SID ni en su identificador nico global (GUID,
Globally Unique Identifier). Cuando se traslada un objeto entre dominios del
mismo bosque, Active Directory asigna al objeto un SID nuevo pero conserva
su GUID.
Consecuencias
de seguridad del
historial SID
El historial SID permite que los usuarios migrados continen teniendo acceso
a los recursos de sus antiguos dominios. Sin embargo, tambin permite a los
usuarios simular el acceso a otros dominios, es decir, realizar una transmisin
que parezca provenir de un usuario autorizado, mediante la colocacin de SID
de otros dominios en el historial SID de sus cuentas de usuario. Se puede
proteger de esta simulacin mediante la aplicacin del filtrado de SID a
relaciones de confianza.
Precaucin El filtrado de SID est diseado para utilizarse en confianzas entre
bosques o en confianzas externas. La aplicacin de filtrado de SID a dominios
de un mismo bosque constituye un uso incorrecto de dicho filtrado. Si pone en
cuarentena un dominio del mismo bosque, el filtrado de SID quitar los SID
necesarios para la replicacin de Active Directory y har que la autenticacin
falle a usuarios de dominios en los que se confa de forma transitiva en el
dominio en cuarentena.
36
Para evitar que una cuenta de usuario que ha sido trasladada entre dominios
obtenga acceso a los recursos con permisos asociados al atributo del historial
SID de la cuenta, elimine la informacin del historial SID de la cuenta de
usuario.
Nota Para obtener ms informacin acerca de la eliminacin del historial SID,
lea el artculo 295798, How to Use Visual Basic Script to Clear SidHistory
(en ingls) en Microsoft Knowledge Base en
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B295758.
Otras consecuencias
del traslado de objetos
37
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento
38
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento
Para migrar usuarios o grupos de un dominio a otro, realice los siguientes pasos:
1. Ejecute la Herramienta de migracin para Active Directory.
Nota La Herramienta de migracin para Active Directory no est instalada
de forma predeterminada. Se puede instalar desde la carpeta \i386\ADMT
del disco compacto Windows Server 2003.
2. Haga clic con el botn secundario en Herramienta de migracin para
Active Directory y, a continuacin, seleccione el asistente para el objeto
que desee migrar.
Por ejemplo, para trasladar una cuenta de usuario, haga clic en Asistente
para migracin de cuentas de usuario.
3. En la pgina de bienvenida, haga clic en Siguiente.
4. Realice una migracin de prueba mediante estos pasos:
a. En la pgina Probar o hacer cambios, haga clic en Probar la
configuracin de migracin y migrar ms tarde y, a continuacin,
haga clic en Siguiente.
b. En la pgina Seleccin de dominio, seleccione el dominio de origen y
de destino y, a continuacin, haga clic en Siguiente.
c. En la pgina Seleccin de usuario, haga clic en Agregar, escriba el
nombre del objeto, haga clic en Aceptar y, a continuacin, en Siguiente.
39
40
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Procedimiento
Para ver las propiedades de un objeto trasladado, realice los siguientes pasos:
1. Haga clic en Inicio y en Ejecutar, escriba ldp y, a continuacin, haga clic
en Aceptar.
2. En el cuadro de dilogo LDP, en el men Connection (Conexin), haga clic
en Connect (Conectar).
3. En el cuadro de dilogo Connect (Conectar), en el cuadro Server
(Servidor), escriba el nombre del servidor y, a continuacin, haga clic
en OK (Aceptar).
4. En el cuadro de dilogo LDP, en el men Connection (Conexin), haga clic
en Bind (Enlazar).
5. En el cuadro de dilogo Bind (Enlazar), escriba el nombre de usuario
Administrador, la contrasea del administrador y el nombre del dominio
que desee examinar y, a continuacin, haga clic en OK (Aceptar).
6. En el men View (Ver), haga clic en Tree (rbol).
7. En el cuadro de dilogo Tree View (Vista de rbol), en la lista BaseDN,
seleccione el nombre de dominio adecuado y, a continuacin, haga clic
en OK (Aceptar).
8. En el rbol de la consola, haga doble clic en el objeto cuyas propiedades
desee ver.
9. En el panel de detalles, examine las propiedades del objeto.
41
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Objetivos
Utilizar Ldp.exe para ver los cambios realizados en el SID, el historial SID
y el GUID del objeto de usuario.
Situacin de ejemplo
Ejercicio
42
43
44
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Objetivos de la leccin
45
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Directrices
46
Ejemplo
DeliaC1
RED o Redmond
SVR o server
Ejemplo
Tipo de grupo
47
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Directrices
Una directiva de contraseas garantiza que todos los usuarios sigan las
directrices de contraseas que determine como adecuadas para la organizacin.
Defina los siguientes elementos de una directiva de contraseas:
48
Valor
24 contraseas recordadas
42 das
2 das
8 caracteres
Habilitado
Deshabilitado
49
50
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Directrices
51
52
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Directrices
53
Descripcin
Ubicacin
Tipo
Miembros
U RedAccts
Contables
Dominio
Redmond
Grupo
universal
G LonAccts
G VanAccts
G DenAccts
54
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Objetivos
Situacin de ejemplo
Ejercicio
55
24 contraseas recordadas
42 das
2 das
8 caracteres
Habilitado
Deshabilitado
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
3. Qu configuracin de directivas de contraseas utilizar para el dominio raz?
La configuracin de directivas incluir al menos lo siguiente:
Forzar el historial de contraseas
24 contraseas recordadas
30 das
7 das
14 caracteres
Habilitado
Deshabilitado
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
56
57
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Objetivos de la leccin
58
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Finalidad de la auditora
de Active Directory
59
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Introduccin
Directrices
60
61
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Objetivos
En este ejercicio, determinar las directivas de auditora que debe habilitar para
Active Directory.
Situacin de ejemplo
Debe planear una directiva de auditora para Northwind Traders, que dispone de
1.000 usuarios en un bosque de Active Directory. El bosque consta de un dominio
raz vaco denominado nwtraders.msft y un dominio secundario denominado
corp.nwtraders.msft que contiene todas las cuentas de usuario y grupo.
Ejercicio
62
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Objetivos
Requisitos previos
Situacin de ejemplo
Ejercicio 1
Planeamiento de una estrategia de cuentas y de auditora
En este ejercicio, planear una estrategia para nombrar cuentas para el nuevo bosque de Northwind
Traders. Utilice las directrices proporcionadas por el equipo de ingeniera y diseo.
Situacin de ejemplo
El nuevo bosque constar de un dominio raz vaco denominado nwtraders.msft y un dominio
secundario denominado corp.nwtraders.msft, que contendr todas las cuentas de usuario.
Northwind Traders cuenta con oficinas en siete ciudades.
La estrategia de cuentas y de auditora debe tener en cuenta los siguientes requisitos:
La estrategia para nombrar cuentas de equipo debe facilitar a los empleados la identificacin
de la ubicacin y el propsito de un equipo.
Tareas
1.
Planear una estrategia para nombrar cuentas de usuario para el bosque nwtraders.msft.
De qu constarn los nombres de cuentas de usuario?
2.
Planear una estrategia para nombrar cuentas de equipo para el bosque nwtraders.msft.
Qu convencin de nomenclatura utilizar para los equipos servidor?
63
64
Tareas
Qu convencin de nomenclatura utilizar para los equipos cliente?
3.
4.
65
Ejercicio 2
Creacin de cuentas con la herramienta Csvde
En este ejercicio, utilizar la herramienta de lnea de comandos Csvde para importar varias cuentas
a Active Directory desde un archivo de importacin .csv, que se ha creado con Microsoft Excel.
Situacin de ejemplo
Como uno de los administradores de Northwind Traders, usted recibe a diario solicitudes de nuevas
cuentas de usuario. Un miembro del equipo introduce las solicitudes en una hoja de clculo, que se
guarda con formato de valores separados por comas (.csv). Al comienzo de cada da hbil, usted es
responsable de importar este archivo a Active Directory para crear las cuentas de usuario.
Tareas
1.
Utilizar la herramienta de
lnea de comandos Csvde
para importar el archivo .csv
a Active Directory.
2.
Instrucciones especficas
El nombre del archivo .csv es el mismo que el del dominio que est
alojado en el equipo. Este archivo se encuentra en la carpeta <carpeta
de instalacin>MOC\2196\Labfiles\Lab4 del equipo.
66
Ejercicio 3
Creacin de un sufijo UPN
En este ejercicio, crear un sufijo UPN y, a continuacin, solucionar un conflicto de enrutamiento
de sufijo UPN entre dos bosques.
Situacin de ejemplo
Los usuarios del dominio han solicitado poder iniciar sesin en su dominio mediante un sufijo UPN
que conste slo del nombre de la ciudad en la que se encuentran. Usted crear el sufijo UPN en el
bosque de su ciudad.
Tareas
1.
Instrucciones especficas
a.
67
Ejercicio 4
Traslado de un grupo de usuarios
En este ejercicio, conceder permisos de grupo global a una carpeta compartida en el servidor.
A continuacin, trasladar el grupo y sus miembros a una unidad organizativa del otro dominio
del bosque. Finalmente, comprobar que el grupo trasladado an dispone de permisos en la carpeta
compartida del servidor.
Situacin de ejemplo
Como resultado de una reciente reorganizacin en Northwind Traders, se debe trasladar un grupo
de usuarios a una nueva ubicacin. Este traslado tambin afecta a Active Directory porque el grupo
y sus cuentas de usuario se deben trasladar a otra ubicacin del bosque. Pasarn varios meses antes
de que se puedan trasladar los servidores que contienen los datos del usuario. Usted debe asegurarse
de que los usuarios an pueden tener acceso a sus archivos despus de que sus cuentas se hayan
trasladado.
Tareas
1.
2.
Instrucciones especficas
a.
3.
Instalar la Herramienta de
migracin para Active
Directory en el equipo.
a.
introduccin de \\London\OS\ADMT\ADMIGRATION.MSI y,
a continuacin, presione ENTRAR para iniciar la instalacin.
68
Tareas
4.
5.
Utilizar la Herramienta de
migracin para Active
Directory para trasladar el
grupo global G IT Admins y
sus miembros a la unidad
organizativa IT Test\IT Test
Move en el otro domino del
bosque.
Utilizar Ldp.exe
para examinar el SID,
SIDHistory y GUID del
objeto de grupo global
G IT Admins en la unidad
organizativa IT Test\IT Test
Move del dominio al que
se traslad.
6.
Utilizar el Explorador de
Windows para ver los
permisos asignados a la
carpeta ITAdmin que cre y
comparti en el paso 1.
Dispone an el grupo al que asign permisos para esta carpeta en el paso 1 de permisos de control total
para la carpeta? Razone la respuesta.