- Algunos conceptos a utilizar
- De la instalación del servidor
- Instalación de la red
- Consideraciones previas de instalación
- Preparando la instalación
- Procediendo con la instalación
- Instalación del cliente para Windows 2000 profesional
- Instalación del cliente para Windows 95 / 98
- Toma de contacto con el servidor
- Como instalar el directorio activo
- Usuarios, grupos y equipos
DIRECTORIO ACTIVO: Es la implementación de los servicios de directorio. Su objetivo fundamental es ampliar las funciones del sistema de dominios para facilitar su gestión y administración en lo que a redes se refiere. La estructura se basa en los siguientes conceptos:
- Dominio: Es la estructura fundamental. Permite agrupar todos los objetos que se administraran de forma estructurada y jerárquica.
- Unidad Organizativa: Es una unidad jerárquica inferior del dominio que puede estar compuesta por una serie de objetos y/o por otras unidades organizativas.
- Grupos: Son conjuntos de objetos del mismo tipo y se utilizan fundamentalmente para la asignación de derechos de acceso a los recursos.
- Objetos: En una representación de un recurso de red (usuarios, computadores, impresoras, etc.).
AMBITO DE GRUPO: Se entiende por la extensión de un grupo dentro de una red. Hay tres posibles ámbitos de grupo:
- Universal: Que puede contener miembros de cualquier dominio y otorgar permisos a sus miembros sobre objetos de cualquier dominio.
- Dominio Global: Puede contener miembros únicamente del dominio al que pertenece el grupo y otorgar permisos a sus miembros sobre objetos de cualquier dominio.
- Dominio Local: Puede contener miembros de un dominio y otorgar permisos a sus miembros únicamente sobre objetos de un dominio.
DNS: El sistema de nombre de dominio (DNS) proporciona los servicios de nombre para el directorio activo. Windows 2000 incorpora DNS Dinámico que permite propagar automáticamente a todos los servidores DNS, cualquier cambio que se produzca en los nombres de equipo o direcciones IP guardadas en su base de datos.
DOMINIOS: Un dominio es una parte del espacio de nomenclatura (conjunto de nombres que representan a un dominio y sirve para representar a todos sus objetos) en el que se encuentra un grupo de cuentas y recursos de red en el que se aplica una serie de directivas de seguridad común bajo un nombre sencillo. (Por ejemplo, universidad.cam.com). Cada dominio necesita un servidor que es el lugar en donde se guarda una lista con la información referente a los usuarios. En Windows 2000 los servidores dentro del dominio pueden tener uno de los siguientes papeles:
- Controladores de dominio: Pertenecen al dominio y contienen una copia de las cuentas de usuario y de otros datos del Directorio Activo. Es obligatorio que haya, a lo menos, un controlador de dominio.
- Servidores miembro: Pertenecen al dominio y no contienen una copia de las cuentas de usuario y de otros datos del Directorio Activo. Se utilizan para almacenar los archivos y otros recursos de red.
ESQUEMA: Es quien permite definir los objetos y sus propiedades que se crean y almacenan en el Directorio Activo. El esquema es extensible lo que permite añadir nuevos objetos y/o propiedades para usarse con nuevas aplicaciones.
OBJETO: Se denomina objeto a una estructura del Directorio Activo que almacena información sobre un recurso de la red (como un usuario, impresora, otros). Un objeto consta de categorías de información llamadas propiedades y de los datos de dichas propiedades. Dicha información se almacena en la base de datos del Directorio Activo. Algunos objetos representan entidades físicas (por ejemplo, los objetos Usuario representan a los usuarios que utilizan el sistema; los Objetos Impresora representan impresoras que se encuentren en la red). Otros objetos representan entidades lógicas (los grupos) y, por ultimo, los objetos Unidad Organizativa, permiten organizar y gestionar otros objetos.
DE LA INSTALACION DEL SERVIDOR.
El servidor es el corazón de la red local. Se encarga de gestionar el intercambio de datos a través de la red. Las estaciones de trabajo y los dispositivos periféricos compartidos están conectados al servidor. Cada estación de trabajo es, por lo general, un computador que funciona con su propio sistema operativo. A diferencia de un computador aislado, la estación de trabajo tiene una tarjeta y esta físicamente conectada por medio de cables con el servidor.
Aunque Windows 2000 chequea automáticamente el hardware antes de su instalación para informar cualquier conflicto que pudiera existir, podemos asegurarnos previamente que no encontraremos ningún conflicto al consultar el HCL (Compatibilidad de Hardware) que se encuentra en el archivo HCL.TXT del directorio SUPPORT del CD de Windows 2000 o en la dirección:
Ya comentamos en algunas clases pasadas que Windows 2000 posee una familia de servidores que esta formada por 3 versiones:
- SERVER: Esta versión permite utilizar hasta 4 procesadores, hasta 4 GB de memoria RAM e incorpora Directorio Activo, herramientas de gestión de Windows, infraestructura de seguridad, servicios de terminales, servicios de componentes y servicios de Internet.
- ADVANCER: Esta versión permite utilizar hasta 8 procesadores, 8 GB de memoria incorporando además de los ya descritos en la versión 1, balanceo de carga de red y servicios de cluster.
- DATACENTER: Esta versión permite hasta 32 procesadores, hasta 64 GB incorporando los mismos servicios del Advancer.
Para trabajar con 2000 Server, se necesita como mínimo: procesador Pentium de 133 Mhz o superior, 64 MB en RAM, disco duro de 1 GB con controladora IDE y una tarjeta Ethernet de 10 Mbps y lector de CD. Sin embargo, la configuración dependerá del tamaño de la red y el servicio en donde se va a instalar:
- Servidores de pequeñas empresas: Para una empresa que tenga hasta 50 usuarios y 25 equipos, se recomienda que cuente con 1 o 2 procesadores Pentium II de 350 Mhz o superior, 128 MB en RAM, controladora ultra rápida, dos discos de 4 GB c/u y Tarjeta RED de 10/100.
- Servidores Departamentales: Para un departamento que tenga hasta 200 usuarios (locales o remotos) se recomienda que cuente con varios procesadores Pentium III de 500 Mhz (entre 2 a 4), 512 MB en RAM, 5 discos duros entre 6 y 8 GB c/u y Tarjeta RED de 10/100.
- Servidores Empresariales: Para un servidor empresarial que posea hasta 1.000 usuarios (remotos o locales) se recomienda que cuente con varios procesadores Pentium III de 550 Mhz (entre 4 y 8), entre 1 y 4 GB en RAM, 5 discos duros de entre 10 y 16 GB c/u, adaptadores Ethernet de 10/100.
En cuanto a las estaciones de trabajo, se necesitan computadores con un procesador no menor a Pentium II de 350 Mhz, 64 MB en RAM y un disco duro de entre 4 y 8 GB.
Antes de proceder a la instalación del sistema operativo Windows 2000 Server, es necesario tener instalados los computadores que van a formar parte de la red con sus discos duros, las tarjetas de red y los cables que unirán dichas tarjetas. Debemos recordar que si contamos con algún equipo que tenga tarjetas que no son Plug and Play, es posible que se presente algún problema al instalar una tarjeta de red en dicho computador. Esto a raíz de una incompatibilidad de interrupciones, direcciones de memoria entre otros.
CONSIDERACIONES PREVIAS DE INSTALACION.
Debemos tener en cuenta el modo de licencia que se va a utilizar. 2000 Server cuenta con dos tipos de licencias:
- Por Servidor: que indica que cada conexión con un servidor necesita una licencia de este tipo. Por tanto, si se establecen dos conexiones con el mismo servidor desde el mismo equipo, será necesario disponer de 2 licencias de este tipo.
- Por Puesto: que indica que cada computador que accede al servidor necesita una licencia, por tanto, si se establecen dos conexiones con el mismo servidor desde el mismo equipo, será necesario disponer de una licencia de este tipo.
En caso de no estar seguro del modo de licencia que se necesita, es preferible seleccionar "por servidor" ya que se puede cambiar posteriormente sin problema (no así al seleccionar "por puesto".)
2000 Server incorpora una serie de componentes que se añaden automáticamente durante la instalación. Además, se pueden escoger otros componentes que aumentaran las posibilidades de trabajo. Sin embargo, estos se pueden agregar en forma posterior desde Agregar o quitar programas del Panel de Control. Los componentes son los siguientes:
- Accesorios y utilidades. Incluye accesorios como WordPad, Paint, Calculadora, juegos y otros.
- Almacenamiento Remoto. Proporciona una extensión del espacio del disco que hace que se puedan guardar automáticamente en dispositivos removibles aquellos datos que no se utilicen frecuentemente.
- Depurador del Archivo de Comandos. Proporciona Soporte para el desarrollo de archivos de comandos.
- Herramientas de Administración y supervisión. Son herramientas necesarias para la administración y monitorización de las comunicaciones.
- Licencias de servicios de terminal Server. Proporcionan servicios de licencias que permiten descargar, emitir y seguir la pista de licencias para los clientes de los servicios de terminales.
- Otros Servicios de archivo e impresión en Red. Proporcionan servicios de archivos e impresión para Macintosh y UNIX.
- Servicios de Index Server. Proporcionan funciones de indexación para los documentos almacenados en disco permitiendo a los usuarios la búsqueda de texto o propiedades.
- Servicios de Certificate Server. Proporcionan soporte de seguridad y autentificación que incluye correo electrónico seguro, autentificación basada en Web y tarjetas.
- Servicios de Instalación Remota. Proporcionan servicios que se pueden utilizar para instalar estaciones de trabajo de forma remota.
- Servicios de Internet Information Server (IIS). Proporcionan soporte para la creación, configuración y administración de sitios Web, además de NNTP (Network News Transfer Protocol).
- Servicios de Message. Proporciona una infraestructura de comunicación y una herramienta de desarrollo para la creación de aplicaciones de mensajes distribuidos que comuniquen redes heterogéneas y computadores que puedan estar desconectados.
- Servicios de Red. Proporcionan soporte de comunicación para la red incluyendo:
- Protocolo de configuración dinámica de host (DHCP). Permite asignar direcciones IP dinámicas a distintos dispositivos de red (estaciones, servidores, impresoras, escáneres).
- Proxy de Servicios Internet COM. Proporciona soporte para aplicaciones distribuidas que utilizan http para comunicarse a través de Internet.
- Servicios de Autentificación de Internet. Proporcionan autentificación, autorización y contabilidad de usuarios de acceso telefónico
- Servicio de Control de admisión QoS. Permite controlar el ancho de banda que utiliza cada aplicación.
- Servicio WINS. Proporciona resolución de nombres para clientes que ejecutan Windows NT o versiones anteriores de otros sistemas operativos.
- Servicios ILS de Site Server. Los servicios ILS (Servicio de Localización en Internet) proporcionan soporte para aplicaciones de telefonía IP y multiconferencia IP.
- Servicios simples de TCP/IP. Admite los servicios de Generación de caracteres, hora diurna, desechar, eco y cita del día.
- Sistema de Nombres de Dominio (DNS). Proporciona resolución de nombres para clientes que ejecutan Windows 2000.
- Servicios de Terminal Server. Proporcionan servicios de terminal en dos modos:
- Administración Remota. Utilizando este modo, se pueden conectar y administrar de forma remota sistemas Windows 2000 Server desde cualquier lugar de la red. Permite disponer hasta de 2 conexiones concurrentes para un servidor determinado, minimizando el impacto ocasionado a su rendimiento (para utilizar este modo no es necesario instalar las licencias de Servicios de Terminal Server).
- Servidor de Aplicaciones. Utilizando este modo, se pueden ejecutar aplicaciones clientes en el servidor utilizando un emulador de terminal en la estación de trabajo.
- Servicios de Windows Media. Proporciona soporte multimedia que permite enviar contenidos, a través de Internet o Intranet, utilizando un formato avanzado.
CONFIGURACION DE DIRECCIONES IP.
TCP/IP es un protocolo que proporciona acceso a Internet y, por ello, necesita una dirección IP en cada computador (se ha de indicar en las propiedades del protocolo TCP/IP). Para proporcionarla se pueden seguir los siguientes métodos de configuración:
- Configuración manual o estática: Se utilizara este método de configuración cuando se disponga de una red con múltiples segmentos y no se cuente con un servidor DHCP. Será necesario indicar una dirección IP, una mascara de subred, la puerta de enlace por defecto.
- Configuración Automática o Dinámica: Con este método se asignara automáticamente una Dirección IP. Para ello hay dos formas posibles:
- Configuración automática: se utilizara este tipo de configuración cuando se disponga de una red pequeña con pocos servidores sin necesidad de conexión a Internet y no se cuente con un servidor DHCP. Se deberá indicar que se desea obtener una asignación automática de dirección IP y, al no encontrar un servidor DHCP Windows asignara la dirección IP utilizando APIPA (Automatic Private IP Addressing). Esta asignación se realizara en el rango de direcciones 169.254.0.1 al 169.254.255.254 y con la mascara de subred 255.255.0.0 (no es necesario indicar la puerta de enlace por defecto).
- Configuración dinámica: Este tipo de configuración se utilizara en una red que disponga de un servidor DHCP. Se deberá indicar que se desea obtener una asignación automática de dirección IP y al encontrar el servidor DHCP, este asignara una dirección IP, una mascara de subred, la puerta de enlace en cada uno de los equipos cuando se conecten.
Antes de proceder con la instalación, es necesario realizar los pasos siguientes que van a preparar el computador para una instalación nueva:
- Hacer una copia de seguridad de los archivos que hubiera en el computador (si hay alguno o se consideran necesarios). Dicha copia se puede realizar en otro disco duro, una unidad de cinta u otro computador de la red.
- Descomprimir el disco donde se va a realizar la instalación, salvo que se haya comprimido con NTFS.
- Desconectar el computador de cualquier dispositivo SAI (sistema de alimentación interrumpida). Al desconectar el cable serie que conecta el SAI con el computador, se evitara que haya problemas en el proceso de detección automática de dispositivos que se realiza durante la instalación.
PROCEDIENDO CON LA INSTALACION
Una instalación nueva se puede realizar en un equipo que dispone previamente de otro sistema operativo (arranque dual) o en un equipo totalmente limpio. En ambos casos el proceso de instalación se puede iniciar de varias formas:
- Desde un CD del propio equipo. Es la forma mas común de iniciar la instalación y puede hacerse de dos maneras distintas:
- Iniciando el computador desde el CD de un computador limpio. Comenzara automáticamente la instalación, aunque previamente ha de haberse colocado el CD de Windows 2000 Server en la unidad correspondiente y se habrá indicado en el SETUP del computador (boot) que puede iniciarse desde la unidad CD.
- Ejecutarse automáticamente el proceso de instalación.
- Desde el explorador de Windows ver el contenido del CD y comenzar la instalación.
- Cambiarse a la letra correspondiente al CD, ver el contenido y comenzar la instalación.
- Iniciando el computador desde otro sistema operativo. Una vez cargado dicho sistema operativo y colocado el CD de Windows 2000 Server en la unidad de CD correspondiente, se pueden dar 3 opciones:
- Desde un recurso compartido de la red y utilizando un equipo que cuenta con otro sistema operativo. Para ello, se puede actuar de dos maneras distintas:
- Colocando el CD de 2000 Server en una unidad de compartida de un equipo de la red. Habrá que buscar dicho recurso compartido, ver su contenido y comenzar la instalación.
- Copiando el contenido del CD en una carpeta compartida de un equipo de la red. Habrá que buscar dicho recurso compartido, ver su contenido y comenzar la instalación.
- Desde una unidad de disco flexible del propio equipo que puede contar o no con otro sistema operativo. Para ello, es necesario generar previamente cuatro discos flexibles que deberán estar formateados, ejecutando el archivo MAKEBOOT.EXE que se encuentra en el subdirectorio BOOTDISK del CD e indicar la unidad de disco flexible; ejemplo, D:/BOOTDISK/MAKEBOOT A: Una vez generados los cuatro discos, hay que apagar el computador donde se va a realizar la instalación, colocar el primer disquete en la unidad correspondiente, iniciar el equipo y comenzara la instalación.
Cualquiera sea el método de iniciar la instalación, excepto cuando se generan los discos flexibles, si esta no comienza en forma automática, se deberá ejecutar el archivo SETUP.EXE del directorio raíz del CD de instalación. Esta operación debe efectuarse desde Windows. El archivo WINNT.EXE del subdirectorio 1386 del CD de la instalación (desde MS-DOS o Windows 3.1 – 3.11) o el archivo WINNT32.EXE del subdirectorio 1386 de la instalación (desde Windows 95 – 98 o NT). El ejemplo de instalación que vamos a desarrollar en esta guía es el de instalación limpia desde el CD propio del equipo, instalación que ya se ha desarrollado en clases.
PRIMERO: Para ello, se pueden dar las 2 opciones siguientes:
- Que en el equipo no hubiera ningún sistema operativo. En este caso, una vez colocado el CD en su unidad, iniciando el equipo (el arranque debe hacerse desde el CD) y cargando los archivos necesarios (durante el proceso puede presionar F6 si desea añadir algún dispositivo que no haya detectado el sistema al no encontrarse en la lista de compatibilidad de hardware de Windows 2000, luego, cuando se indique, pulsar S e insertar el disco suministrado por el fabricante del dispositivo), le mostrara la pantalla azul de notificación de instalación. Para continuar con el proceso pulse INTRO y pasara al siguiente paso.
- Que en el equipo hubiera otro sistema operativo (por ejemplo, Windows 98 o NT). En este caso, una vez iniciado el computador, cargando el sistema operativo correspondiente e introducido en CD en su unidad (o ejecutando el archivo SETUP.EXE), se iniciara automáticamente la instalación y le mostrara una pantalla donde se indique si desea actualizar el equipo a Windows 2000. pulse en NO y le mostrara la pantalla de instalación.
Seleccione Instalar Windows 2000 y vera la pantalla del asistente de instalación. Mostrara 2 opciones, debe seleccionar la opción Instalar una nueva copia de Windows 2000 (instalación Limpia), marque en siguiente y le mostrara el contrato de licencia Microsoft.
Active la casillo Acepto este Contrato, marque en siguiente y le mostrara la pantalla en donde deberá indicar la clave del producto. Cuando lo haya realizado, marque en siguiente y le mostrara la pantalla de opciones especiales (idioma, avanzadas y de accesibilidad). En este ejemplo de instalación, no se modificaran las opciones por defecto
- Si pulsa en Opciones de Idioma, podrá elegir el idioma principal y distintos idiomas adicionales que se van a utilizar en la instalación. Cuando haya finalizado, marque aceptar.
- Si pulsa en Opciones Avanzadas, podrá modificar la ubicación de los archivos Windows 2000 y la carpeta donde se instalara. Así mismo, podrá indicar si desea copiar los archivos del CD al disco duro o elegir la partición durante el proceso de instalación. Cuando haya finalizado, marque aceptar.
- Si pulsa en Opciones de accesibilidad, podrá indicar si desea utilizar alguna de las herramientas de accesibilidad que incorpora.
Cuando haya finalizado, marque Siguiente y, al cabo de un momento, le mostrara una pantalla en donde deberá indicar si desea actualizar su unidad a NTFS (archivo de sistema tecnología NT) o no desea hacerlo. Si se va a disponer de una configuración de arranque dual es necesario no actualizar la unidad. En este ejemplo de instalación se activara la casilla Si, actualizar mi unidad, se marcara Siguiente y mostrara la pantalla de "Directorio de Aplicaciones para Windows". Desde aquí se puede visitar el sitio Web de Microsoft para obtener información acerca de las aplicaciones compatibles y certificadas para Windows 2000 si pulsa en la opción Directorio de Aplicaciones (es necesario configurar el explorado para accionar esta opción, en caso contrario pasara al asistente para hacerlo). Cuando haya finalizado y haya vuelto a esta pantalla, marque siguiente y empezara a copiar los archivos de la instalación al equipo.
Cuando haya finalizado, marque Finalizar o espere tranquilamente a que transcurra el tiempo indicado para que se reinicie en forma automática.
Una vez que se haya reiniciado, y se hayan chequeado los archivos de la instalación que se han copiado al disco duro le mostrara una pantalla azul en donde deberá pulsar Intro para continuar. Les recuerdo que durante este proceso pueden presionar F6 para añadir algún dispositivo que no haya detectado el sistema por no encontrarse en la lista de compatibilidad de hardware.
SEGUNDO: Mostrara una pantalla azul. En ella pueden escoger varias opciones:
- Pulsar INTRO para continuar con el proceso de la instalación;
- Pulsar R para proceder a reparar una instalación previa que estuviera dañada;
- Pulsar F3 para salir sin instalar.
Para continuar con la instalación presione INTRO. Si estamos realizando la instalación en un equipo que no disponía de ningún sistema operativo previo, le mostrara una pantalla para que acepte el contrato de MICROSOFT pulsando F8 (de no mostrar la pantalla en este momento quiere decir que ya le pidió que aceptara contrato anteriormente).
A continuación vera la lista de particiones existentes y el espacio disponible para añadir otras en el disco disponible. Puede eliminar la partición seleccionada pulsando D (previamente debes confirmarlo), crear una partición en el espacio libre con C (acá debemos indicar el tamaño que deseamos darle y pulsar INTRO para instalarlo en la partición seleccionada). Tal como vimos en clases, es prudente darle dos particiones al disco dejando el espacio de aproximadamente 5 MB en la Unidad C y el resto para datos y otros programas que posteriormente quisiéramos instalar.
En caso que realicemos la instalación en una partición que ya contenía otro sistema operativo previo, nos mostrara una pantalla para que confirmemos que desea continuar con la instalación en dicha partición pulsando C.
Si la partición seleccionada no es NTFS, deberemos indicar si deseamos convertirla al sistema de archivos NTFS o permanecer con el sistema FAT (File Allocation System – Archivo de sistema de localización). En esta instalación virtual se va a Formatear la partición utilizando el formato de archivos NTFS y empezara a realizar el proceso.
Cuando haya acabado, copiara los archivos en las carpetas correspondientes y, cuando haya finalizado, volverá a reiniciarse y continuara con la instalación detectando e instalando dispositivos (antes les mostrara la pantalla de información del asistente de instalación. Marque siguiente para seguir con la instalación o espere para que continúe automáticamente).
Después de unos minutos le mostrara una pantalla desde donde se puede personalizar la configuración regional y la disposición del teclado. Para ello, debe marcar en personalizar, hacer las modificaciones deseadas y pulsar aceptar, luego de lo cual marque siguiente.
Cuando se lo indique, escriba su nombre y el de su organización (si lo desea). En este ejemplo, se dará el nombre de CHRISTIAN y no se indicara nombre de organización y se marcara siguiente.
Si esta realizando la instalación en un equipo que no disponía de ningún sistema operativo previo, le mostrara una pantalla para que escriba la clave del CD y marque en Siguiente. Indique el modo de licencia que desea utilizar: POR SERVIDOR o POR PUESTO (recuerde que si selecciona el modo "Por Servidor" deberá indicar el número de sesiones concurrentes que tiene contratadas). En este ejemplo, se indicara Por servidor y el numero de sesiones concurrentes será el numero de licencias de acceso que hay contratadas. Cuando estemos listos, presionamos siguiente y luego indicaremos el nombre que vamos a dar al servidor (por ejemplo, UNIVERSIDAD), la contraseña (será la misma que usamos en el ejemplo de clases: 90) esta se escribe dos veces por motivos de seguridad y marcamos en siguiente.
Una vez efectuado este paso, mostrara una pantalla en donde podremos agregar o quitar componentes de Windows 2000 (en la pagina N° 3 de esta guía indicamos las funciones de cada uno de ellos). Seleccione aquellos que desea instalar (si el cuadro de alguno de los componentes aparece en color gris, significa que no se han seleccionado todos sus subcomponentes) y marque en detalles para ver o seleccionar los subcomponentes. Cuando haya finalizado, marque en siguiente e indique la fecha y la hora actual (apartado fecha y hora), la Zona Horaria y si desea cambiar automáticamente la hora según el horario de verano. Una vez indicado marcamos en "siguiente" para que comience a instalar los componentes de la red.
Mostrara una pantalla en donde elegiremos el tipo de configuración que deseamos (Típica o Personalizada). Seleccione Típica puesto que con ella se cubre la gran mayoría de las necesidades del sistema y marcamos "siguiente". Indique ahora si el equipo esta en una red o esta en un red sin dominio, o si es miembro de un dominio (en ambos casos deberá indicar el nombre). En la instalación que hicimos en clases no se ha creado ningún dominio aun, se indicara que no esta en una red o que esta en una red sin dominio y se escribirá CONTABILIDAD como nombre de grupo de trabajo. Marcamos "Siguiente" y empezara a copiar los archivos de los componentes seleccionados y a instalarlos (la duración de este proceso va a depender de los componentes seleccionados). Luego de ello, empezara a realizar las tareas finales (instalar los elementos del menú Inicio, registrar los componentes, guardar la configuración y quitar los archivos temporales).
Cuando acabe, debemos retirar el disquette o el CD de las unidades respectivas y marcamos "Finalizar" para reiniciar el equipo.
Luego de ello, nos pedirá que presionemos en forma conjunta Ctrl + Alt + Supr. Una vez que lo hayamos hecho, hay que indicar el nombre del usuario y su contraseña (en este caso es UNIVERSIDAD y la contraseña es 90) para poder iniciar la sesión y administrar el servidor. Una vez iniciada la sesión aparecerá la pantalla para configurar el servidor. Tal como lo hicimos en clases, presionamos la casilla Configuraré este servidor mas tarde, marcamos "siguiente" y cerramos la pantalla.
EN LA GUIA ANTERIOR SE EXPLICO PASO POR PASO LA INSTALACION DE WINDOWS 2000 PROFESIONAL PARA USARLOS COMO CLIENTES.
INSTALACION DEL CLIENTE PARA WINDOWS 2000 PROFESIONAL
Para poder conectarse con Windows 2000 Server, debemos seguir los siguientes pasos:
- Instalar y configurar la tarjeta de red. Para ello, desde el cliente seleccionamos Panel de Control que se encuentra dentro del icono Mi PC. Marcamos en el icono Red y vera la ficha Identificación donde se encuentra el nombre de equipo y el dominio al que pertenece. En el caso de pertenecer a un grupo de trabajo, es mejor hacerlo pertenecer al dominio de Windows 2000 Server al que va a conectarse (en el caso del ejemplo, el grupo de trabajo es CONTABILIDAD). Para ello, pulse en el botón "cambiar", haga las modificaciones correspondientes incluyendo crear una cuenta para el equipo de dominio y el nombre de una cuenta de usuario con su contraseña. Marque "aceptar" y, después, de reiniciar el equipo continúe con el paso siguiente.
Ahora marcamos en la ficha Enlaces y, cuando los haya establecido todos, marque en la ficha Protocolos. Sitúese sobre TCP/IP, marque en Propiedades y active la casilla Obtener dirección IP de un servidor DHCP (ya que Windows 2000 Server cuenta con un servidor DHCP instalado). Le mostrara un aviso en el que le indica se desea activar DHCP, pulse "SI" y, después, "Aceptar".
- Para instalar el adaptador de red que permita acceder al Windows 2000 Server, marque en la ficha Adaptadores y, después, en "Agregar" para seleccionar el correspondiente al que hay instalado en el equipo. Cuando lo haya hecho, marque en "Aceptar", coloque la ubicación de los archivos para la instalación y OK. Una vez que haya copiado los archivos aparecerá en la lista de adaptadores de red.
Para poder conectarse a los directorios e impresoras compartidas de la red, siga los siguientes pasos:
- Cuando haya acabado, marque en "Cerrar" y le mostrara un mensaje indicándole que deberá reiniciar el equipo para que tenga efecto la nueva configuración, pulse "SI" para reiniciarlo. Cuando vuelva a entrar, le pedirá el nombre y la contraseña para iniciar una sesión de red. Indiquelo, marque en "Aceptar" y, al cabo de un momento entrara en el escritorio.
- Seleccione el icono Entorno de red y vera una pantalla donde le muestra el servidor al que esta conectado. Otra posibilidad es verlos desde Equipo de la opción Buscar del menú Inicio. Deberá indicar el nombre del servidor a buscar y marcar en "Buscar ahora". Sitúese sobre uno de ellos y pulse dos veces el botón izquierdo del ratón. Se abrirá una nueva pantalla donde aparecerán los directorios compartidos que hay en el servidor además de las impresoras compartidas.
- Sitúese sobre un directorio compartido, pulse el botón derecho del mouse y, del menú que se le ha abierto, seleccione Conectar a unidad de red. En ese momento se abrirá una nueva ventana en donde deberá indicar la letra que va a corresponder a dicha unidad y si desea volver a conectar de nuevo al iniciar la sesión. Cuando haya finalizado presione en la casilla "aceptar". Si desea seguir conectando otros directorios del disco duro del servidor o la unidad CD proceda de la misma manera.
- Si ahora selecciona el icono Mi PC vera que aparece un icono que corresponde a la unidad compartida a la que se ha conectado. Cierre la ventana de Mi PC (marcando la X que se encuentra en la parte superior), así como todas las ventanas que se hayan abiertas.
- Ahora puede conectarse a una impresora compartida. Para ello y desde la pantalla donde se le mostraba el servidor al que estaba conectado se da doble clic mostrándonos los directorios compartidos y las impresoras disponibles.
- Nos colocamos sobre una de ellas, pulsamos el botón derecho del mouse y, del menú que se le ha abierto, seleccionamos Instalar. Si el servidor no tiene el controlador de la impresora seleccionada, nos mostrara un aviso para que indiquemos si deseamos instalarlos en la maquina local. Marcamos "aceptar" y seleccionamos el fabricante e impresora de la lista que muestra. Cuando acabamos marcamos "aceptar" para que copie los archivos en el disco duro del computador cliente. Al haber finalizado el proceso de copia, pulse en el icono Mi PC, seleccione Impresoras y veremos que la impresora ya esta instalada.
Una vez que termine, cerramos todas las ventanas que teníamos abiertas.
INSTALACION DEL CLIENTE PARA WINDOWS 95 / 98
Para poder conectarse con Windows 2000 Server, puede hacerse a dos niveles:
- Trabajar con los directorios e impresoras compartidas.
- Aprovechar las posibilidades que brinda el Directorio Activo para buscar personas y/o impresoras compartidas.
En ambos casos, es necesario tener configurado Windows 2000 Server incluyendo el Directorio Activo, servidor DHCP e instalado Windows 95 o 98 en las estaciones de trabajo. Para ello siga los siguientes pasos:
- Instalar y configurar la tarjeta de red. Para ello, desde Windows seleccione Panel de Control que se encuentra dentro del icono Mi PC. Marque en el icono RED y nos mostrara la pantalla de red donde se aprecia un botón "agregar". Marcamos sobre el para seleccionar el tipo de componente de red.
En ese momento volverá a la pantalla inicial pero ya se le han añadido unos valores nuevos. (Correspondiente a Cliente para redes Microsoft; Controlador de Ethernet; TCP/IP).
Sitúese sobre TCP/IP y marque en Propiedades, active la casilla Obtener una dirección IP automáticamente y marque aceptar. Marque en identificación e indique, en Nombre de PC el nombre que desea dar al equipo, en Grupo de trabajo aquel al que se va a conectar (que corresponde al dominio de Windows 2000 Server) y en Descripción de su PC un comentario sobre el equipo. Sitúese luego sobre Clientes para redes Microsoft, marque en Propiedades y active la casilla Iniciar sesión en el dominio de Windows NT (si no se activa esta casilla, se conectara al servidor porque ya indico el dominio en Grupo de Trabajo de Identificación pero no aparecerá el nombre del servidor en el Entorno de Red), indique el nombre del dominio y marque en "aceptar".
- Seleccione adaptador y marque "Agregar". La pantalla que se le ha abierto esta dividida en dos partes: en la parte izquierda (fabricantes) deberá seleccionar aquel que corresponda y en la parte derecha (adaptadores de red) elegir el nombre del correspondiente a la tarjeta.
- Cuando acabe, marque en "aceptar" y le pedirá que inserte distintos discos de Windows 95/98 para proceder con la instalación. Luego de ello se reinicia el equipo. Una vez que se vuelva a iniciar le pedirá el nombre de usuario y la contraseña para conectarse con el servidor.
TOMA DE CONTACTO CON EL SERVIDOR
Ahora que tenemos instalado un servidor y por lo menos un cliente, debemos pulsar el interruptor para conectarlo y, si dispone de una configuración de arranque dual, nos mostrara un menú para seleccionar el sistema operativo que queremos. Selecciónelo y cuando finalice la carga del sistema, le pedirá que pulse conjuntamente las teclas Ctrl + Alt + Supr. Una vez que pulse las teclas le pedirá el nombre de usuario y su contraseña. Posteriormente cuando configuremos el Directorio Activo, también habrá que indicar el dominio al que se va a conectar para poder iniciar una sesión y administrar el servidor.
EL ESCRITORIO
El escritorio de Windows 2000 es muy parecido al de Windows 95 o 98 aunque se observa que los iconos de las distintas opciones son distintos puesto que son más vistosos y en 3 dimensiones. Con estos iconos se pueden realizar dos operaciones básicas: Marcarlos y seleccionarlos.
Estos 6 iconos tienen las siguientes funciones al seleccionarse:
- Mis Documentos: Abrirá una ventana donde se muestra el contenido de la carpeta compartida Mis Documentos (correspondiente a: /Documents and Settings/nombre de usuario/Mis documentos.).
- Mi PC: Abrirá una ventana desde la que se puede examinar y administrar las distintas unidades de disco además de tener un camino de entrada al Panel de Control.
- Mis Sitios de red: abre una ventana donde se Muestran todos los recursos de red y desde la que podrá conectarse con los recursos que se hayan indicado como compartidos.
- Papelera de Reciclaje: Cuando se borra un archivo o un subdirectorio usando el Explorador de Windows o Mis sitios de Red, estos no se borran definitivamente. Por el contrario, se sitúan en la Papelera desde la que podrán ser recuperados hasta que no sean eliminados de ella.
- Internet Explorer: Abre una ventana en la que aparece un explorador que permite acceder a Internet.
- Conectar a Internet: abre el asistente para la conexión a Internet que le permitirá ayudar a configurar la conexión.
LA CONSOLA DE ADMINISTRACION DE MICROSOFT.
Dicha consola (MMC) permite a los administradores crear herramientas especiales y delegar tareas administrativas específicas a los usuarios o grupos (se guardan como archivos de extensión MSC). Una consola MMC es una ventana dividida en dos paneles. En la parte superior izquierda se encuentran las fichas: Árbol que muestra todas las herramientas y opciones de que esta formada la consola y Favoritos que muestra las herramientas y opciones que se han agregado como favoritas. El panel derecho muestra información y las funciones relativas al elemento seleccionado en el panel izquierdo.
Los complementos MMC son el componente básico de una consola MMC y residen siempre en una consola (no se pueden ejecutar por separado). Cuando se instala un componente que tiene asociado un complemento, dicho complemento estará disponible para cualquier usuario que cree una consola.
Puede haber dos tipos de complementos:
- Independientes: donde se puede agregar un complemento único al árbol de la consola sin agregar otro elemento primero.
- Extensión: Se agrega un complemento independiente a uno con extensión que ya se encuentra en el árbol de la consola. Cuando se habilitan las extensiones para un complemento, estas funcionan sobre los objetos controlados por el complemento. (equipos, impresoras, etc.)
COMO CREAR UN ARCHIVO DE CONSOLA.
Para crear un archivo de consola nuevo que incluya las herramientas y los componentes que desee, siga los siguientes pasos:
- Seleccione ejecutar del menú inicio, escriba MMC marque en "aceptar" y vera la pantalla de la consola. Esta muestra una consola vacía que no tiene ninguna funcionalidad administrativa hasta que no se agreguen complementos.
- Abra el menú Consola, seleccione agregar o quitar complementos y vera la pantalla de: Independiente y Extensiones.
- Cuando este en esa ventana vera el apartado Complementos agregados a. fíjese que solo muestra la raíz de la consola ya que aun no se ha agregado ningún complemento. Marque en "agregar" y le mostrara la pantalla con diversos complementos tales como: Administración de disco, Administración de equipos, Administración de directivas de sistema, administrador de dispositivos, carpeta, carpeta compartida, certificados, configuración y análisis de seguridad, control ActiveX, etc.
- Seleccione el complemento que desee de la lista de complementos independientes disponibles, marque en "agregar" y será complementado.
- Repita el proceso con todos los complementos que desee y, cuando finalice, marque en "cerrar".
- Si no desea agregar todas las extensiones de algún complemento, pulse en la ficha Extensiones. Desactive la casilla Agregar todas las extensiones e indique las extensiones que desee que se añadan.
- Cuando haya finalizado con todos los complementos que desee añadir a la consola que esta creando, marque en "aceptar" y vera como la ventana raíz de la consola aparecerá con los complementos seleccionados.
- Seleccione Guardar como del menú Consola e indique el nombre que desea darle (ejemplo: prueba) y marque en "guardar".
- Seleccione salir del menú consola.
- Vaya a Herramientas administrativas de programas del menú inicio y vera la consola que acaba de crear.
CONFIGURAR LAS OPCIONES DE CONSOLA.
Cuando se esta creando una consola con otro usuario, puede ser necesario impedir que el usuario modifique dicha consola. Para ello, siga los siguientes pasos:
- Seleccione ejecutar del menú inicio, escriba MMC y marque en "aceptar".
- abra el menú consola, seleccione abrir, elija la consola que acaba de crear y marque en "abrir". Cuando abra el menú consola, seleccione opciones y le mostrara su consola creada.
- si desea seleccionar un icono diferente,, pulse en cambiar icono seleccione el que desee y marque "aceptar"
- en el apartado modo de consola, seleccione el modo que desee en función de sus necesidades de administración,
- si selecciona el modo de usuario, para impedir que los usuarios realicen cambios en la consola, active la casilla No guardar los cambios de esta consola. Luego marque en "aceptar"
- seleccione guardar del menú consola, y listo.
COMO INSTALAR EL DIRECTORIO ACTIVO.
Una vez acabada la instalación del Windows 2000 Server, si dicho servidor va a ser un controlador de dominio, se debe configurar el servidor y lo primero que hay que realizar es instalar el Directorio Activo. Para ello se pueden dar 2 escenarios:
- Que el Servidor que se esta configurando, sea el único en la red (la mas recurrente);
- Que en la red del servidor que se esta configurando, haya otros servidores funcionando.
INSTALARLO EN EL SERVIDOR UNICO.
Para instalar el Directorio Activo en el único servidor de la red que se configurara como controlador principal de dicho dominio de red, siga los pasos siguientes:
- Inicie una sesión en el servidor como Administrador y vera la pantalla de configuración. De no mostrar la pantalla, seleccione configurar el servidor desde herramientas administrativas de la opción programas del menú inicio.
- Active la casilla Este es el único servidor en mi red y marque "siguiente".
- Nos mostrara una pantalla explicativa del proceso que va a realizar. Cuando se haya leído, marque "siguiente" y mostrara la segunda parte de configuración.
- Acá se debe indicar el nombre que desea dar a su dominio (en este ejemplo: CONTABILIDAD) y el nombre de dominio que tiene registrado en Internet (de no tener registro escriba LOCAL). Se marca "siguiente" y mostrara una pantalla que explica que el tiempo puede tardar.
- Al cabo de uno minutos se reiniciara el equipo y continuara con la instalación del Directorio Activo. Una vez que haya finalizado le mostrara la pantalla para que vuelva a iniciar la sesión.
- Iníciela y realizara los ajustes finales antes de que aparezca de nuevo la pantalla para configurar el servidor. Desactive la casilla Mostrar esta pantalla al iniciar, cierre la ventana y ya estará instalado el Directorio Activo.
1. USUARIOS.
Las cuentas de usuario representan una persona y se denominan principales de seguridad dentro del Directorio activo, ya que son objetos del directorio a los que se asignan automáticamente identificadores de seguridad para iniciar sesiones en la red y tener acceso a los recursos.
Una cuenta de usuario permite que un usuario inicie sesiones en equipos y/o dominios con una identidad que se puede autentificar y autorizar para tener acceso a los recursos del dominio. Cada usuario que se conecta a la red debe tener su propia cuenta de usuario y contraseña. Por lo tanto, una cuenta de usuario se utiliza para:
- Autentificar la identidad del usuario
- Autorizar o denegar el acceso a los recursos del dominio
- Administrar otros principales de seguridad
- Auditar las acciones realizadas con la cuenta de usuario.
Los usuarios en Windows 2000 pueden ser de dos tipos:
- Usuarios Globales. Estas cuentas se crean en equipos Windows 2000 Server que sean controladores de dominio y puede usarse para conectarse a los dominios en que están creadas y a otros dominios en los que se confía.
- Usuarios Locales. Estas cuentas se crean en equipos con Windows 2000 Profesional y Server que no sean controladores de dominio y, por lo tanto, no pueden usarse para conectarse a ningún dominio.
Windows 2000 proporciona dos cuentas de usuario predefinidas que se crean en el proceso de instalación y pueden usarse para iniciar una sesión y tener acceso a los recursos. Estas son:
La Cuenta de usuario del Administrador que le permite administrar el equipo en el que se creo. Esta cuenta puede ser renombrada pero no puede ser borrada ni quitada del Grupo local del Administradores. Es importante renombrar y proteger esta cuenta con una contraseña especial, así como crear otras cuentas de administradores para proteger mejor la seguridad del servidor.
La Cuenta de usuario del Invitado. Normalmente, esta cuenta esta deshabilitada y debería permanecer de esta manera aunque puede habilitarse si se desea que alguien pueda conectarse al equipo o dominio con ella.
USUARIOS LOCALES.
Un usuario local es una cuenta a la que se puede conceder permisos y derechos para el equipo donde se esta creando la cuenta. Esta disponible en equipos donde se ejecuta Windows 2000 Profesional o Server que no sean controladores de Dominio.
COMO SE CREAN.
Para crear usuarios locales, se siguen los siguientes pasos:
- Seleccione Administración de equipos de Herramientas administrativas de la opción Programas del menú inicio donde podrá observar una pantalla separada en dos partes: Árbol y Nombre. En el árbol esta la administración del equipo local y todos sus componentes. Y en el Nombre podemos encontrar las herramientas del sistema, Almacenamiento y Servicios y Aplicaciones.
- Pulse el botón izquierdo del mouse sobre el signo + que hay en la izquierda de Usuarios locales y Grupos (dentro de herramientas del sistema en Árbol). Entonces se desplegara su contenido. (Usuarios y Grupos).
- se pulsa el botón izquierdo del ratón sobre Usuarios y, en el panel derecho, le mostrara los usuarios que hay dados de alta en el equipo.
- Luego se pulsa el botón derecho del mouse sobre Usuarios para que muestre su menú contextual, seleccione Usuario nuevo y le mostrara la pantalla de creación.
- El Usuario debe cambiar la contraseña en el siguiente inicio de sesión: Esta opción obligara al usuario a cambiar la contraseña, que el puso el administrador al darle de alta en la red, la próxima vez que inicie una sesión.
- El usuario no puede cambiar su contraseña: Esta opción evita que los usuarios puedan modificar su contraseña.
- La contraseña nunca caduca: al marcar esta opción, se evita que los usuarios puedan caducar.
- Cuenta deshabilitada: al marcar esta opción, nadie puede iniciar una sesión con el nombre de este usuario. Esto es útil cuando el usuario se va de vacaciones, esta con licencia, etc. De esta manera nadie usa su nombre en su ausencia.
- Indique el nombre que desea dar al usuario al conectarse (con un máximo de 20 caracteres), su nombre completo (es necesario seguir la norma puesto que es mas fácil buscarlos posteriormente), una breve descripción, su contraseña (con un máximo de 14 caracteres) y activar las casillas que desee. Estas son:
- Cuando haya finalizado, marque "Crear" y estará creada la cuenta.
- Puede repetir el proceso con otros usuarios o marque "cerrar" para volver a la lista de usuarios dados de alta en el equipo. Se debe poner especial énfasis en que el usuario creado aparezca en la lista.
COMO SE MODIFICAN.
Para modificar usuarios locales o hacerlos miembros de algún grupo, se hace de la siguiente manera:
- Seleccione Administración de equipos desde Herramientas administrativas de la opción Programas.
- Pulse el botón izquierdo del mouse sobre el signo + que hay en la parte izquierda de Usuarios locales y grupos. Entonces se desplegara su contenido. (Usuarios y grupos).
- Pulse el botón izquierdo del mouse sobre Usuarios y, en el panel derecho le mostrara los usuarios que hay dados de alta en el equipo.
- Sitúese sobre el equipo que desea modificar, pulse el botón derecho del ratón para que se muestre el menú contextual, seleccione propiedades.
- Nombre completo: Indica el nombre del usuario
- Descripción: Breve descripción del usuario
- El usuario puede cambiar la contraseña en el siguiente inicio de sesión: indica la opción delimitada anteriormente
- El usuario no puede cambiar de contraseña.
- La contraseña nunca caduca: esta opción tiene preferencia sobre la opción de "el usuario puede cambiar la contraseña al inicio de la nueva sesión".
- Cuenta deshabilitada.
- Cuenta Bloqueada: Normalmente esta casilla esta desactivada y, en caso de esta activada, se utiliza para desbloquear una cuenta que se ha bloqueado por haber intentado iniciar una sesión un número excesivo de veces sin introducir la contraseña correcta.
- Ahora se encuentra en la ficha General y en ella se encuentran los siguientes apartados:
- Si pulsa en la ficha Miembros de, vera una pantalla en donde se indican los grupos a los que pertenecen el usuario.
- si marca en la ficha perfil, vera una pantalla en donde podrá asignar un perfil de usuario, un archivo de comandos para inicio de la sesión o un subdirectorio particular para la cuenta del usuario.
- si marca en la ficha Marcado, vera una pantalla en donde se podrá configurar el uso del acceso telefónico a redes del usuario.
- cuando haya finalizado, marque en "aceptar" y repita el proceso con todos los usuarios que desee modificar.
- Luego cierre la utilidad.
USUARIOS GLOBALES.
Un usuario global es una cuenta a la que se puede conceder permisos y derechos para el dominio donde se esta creando la cuenta. Se crea en el Directorio Activo y se guarda en equipos que disponen de Windows 2000 Server que sean controladores de dominio.
COMO SE CREAN
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas.
- Pulse sobre User que se encuentra en el panel izquierdo y, en el panel derecho, le mostrara los usuarios y grupos que hay dados de alta en el Directorio Activo.
- Nombre: Corresponde al nombre de pila del usuario. Puede tener una longitud de hasta 29 caracteres, incluyendo mayúsculas y minúsculas.
- Iniciales: Corresponde a las iniciales del usuario. Puede tener una longitud de hasta 4 caracteres.
- Apellidos: Corresponde al apellido y puede tener hasta 29 caracteres.
- Nombre completo: Tiene hasta 64 caracteres.
- Nombre de inicio de sesión de usuario: este apartado es para indicar el nombre que cada usuario tendrá en la red, por lo tanto no puede estar duplicado. Tiene un máximo de 20 caracteres incluyendo números y puntos, pero no puede incluir paréntesis, signos matemáticos, interrogación. Una forma de ordenarlos puede ser darles a los usuarios la inicial del nombre y su apellido. Ejemplo: Christian Martínez tendría el nombre de usuario CMartinez.
- Nombre de inicio de sesión de usuario (anterior a Windows 2000): En este lugar se indicara el nombre de usuario que utiliza para iniciar sesiones con Windows 95/98. se debe cambiar solo si es distinto al anterior.
- Pulse el botón derecho del mouse sobre User para que muestre su menú contextual, seleccione Nuevo, elija User y encontrara una pantalla con los siguientes apartados:
- Cuando haya finalizado es obligatorio rellenar el nombre de usuario y el nombre de pila, luego marque "siguiente" y mostrara una pantalla con los siguientes apartados:
- Contraseña (14 caracteres)
- Confirmar contraseña
- El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
- El usuario no puede cambiar la contraseña
- La contraseña nunca caduca
- Cuenta deshabilitada.
- Cuando haya acabado, marque "siguiente" y le mostrara una pantalla con el resumen de lo indicado. Marque "finalizar" y se creara el usuario. Luego de ello cierre la utilidad.
COMO MODIFICARLOS.
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas.
- Pulse el botón izquierdo del mouse sobre Users que se encuentra en el panel izquierdo. En el panel derecho mostrara los usuarios y grupos activos.
- no situamos sobre el usuario que deseamos modificar, pulsamos el botón derecho y seleccionamos Propiedades.
- Nombre,
- Iniciales.
- Apellidos.
- Nombre para mostrar.
- Descripción.
- Oficina. Se utiliza para indicar la ubicación de la oficina del usuario.
- Numero de teléfono. Permite el numero telefónico del usuario (se puede acceder a otros y escribir los que sean necesarios). Luego marque en "agregar" para que pasen a la lista inferior. Cuando se finalice se marca en "aceptar".
- Correo Electrónico.
- Pagina Web. Permite indicar la URL de la página Web principal del usuario.
- En la ficha General encontramos:
- Si pulsamos en Dirección, vera la pantalla en donde podrá indicar los siguientes datos referidos al lugar de domicilio del usuario: Calle, apartado postal, Ciudad, Estado o Provincia, Código Postal y País/Región.
- Nombre de inicio de sesión de usuario: Indica el nombre de cada usuario que tiene la red (no puede estar duplicado).
- Nombre de inicio de sesión de usuario (anterior a Windows 2000):
- La cuenta esta bloqueada
En el bloque "opciones de cuenta" se encuentran las siguientes opciones:
- El usuario debe cambiar la contraseña en el siguiente inicio de: Al activar esta casilla, indica que el usuario deberá cambiar su contraseña.
- El Usuario no debe cambiar la contraseña:
- La contraseña nunca caduca:
- Almacenar contraseña utilizando cifrado reversible: Si hay usuarios de equipos APPLE que inician sesiones en la red, deberá activar esta casilla.
- Cuenta deshabilitada.
- La tarjeta inteligente es necesaria para un inicio de sesión. Al activar esta casilla podrá almacenar de forma segura las claves publicas y privadas, contraseñas e información personal de otro tipo de cuenta del usuario (es necesario un lector de tarjetas inteligentes conectado al equipo de usuario y estos deben disponer de un numero de identificación personal para poder conectarse a la red.)
- Se confía en la cuenta para su delegación: Proporciona al usuario la capacidad de asignar responsabilidades para la administración de una parte del espacio de nombres del dominio a otro usuario, grupo u organización.
- La cuenta es importante y no se puede delegar:
- Usar tipos de cifrado DES para esta cuenta: Indica que se utilice el Estándar de cifrado de datos (DES) que admite varios niveles de cifrado.
- No pedir la autentificación Kerberos Previa: Debe activar esta casilla si la cuenta utiliza otra implementación del protocolo Kerberos (este utiliza la concesión de vales para obtener la autentificación de red en un dominio y la hora a la que se emite un vale de este tipo es importante para el Kerberos. Sin embargo, Windows 2000 posee otros mecanismos para sincronizar la hora por lo que Kerberos no funcionara correctamente – conflictos de sistemas).
COMO LIMITAR LAS HORAS DE CONEXIÓN DE UN USUARIO.
También se puede limitar las horas del día en que un usuario puede iniciar una sesión en el dominio (como se ha indicado el dominio, el usuario no dispone de limitación horaria para iniciar sesiones localmente en un equipo). El restringir el acceso al dominio durante determinados periodos de tiempo puede ser necesario para efectos de mantenimiento. Por ejemplo, se podría desear eliminar toda actividad de la red y cerrar todos los accesos durante el tiempo necesario para hacer copias de seguridad del disco duro del Servidor.
La configuración por defecto permite a todos los usuarios el acceso al dominio las 24 horas del día durante los 7 días de la semana. Para limitar el número de horas durante las cuales un usuario puede conectarse se siguen los siguiente pasos:
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas.
- Pulsamos el botón izquierdo del mouse sobre Users.
- Nos situamos sobre el usuario que deseamos modificar y pulsamos el botón derecho del mouse para ingresar a propiedades.
- Pulsamos en la ficha Cuentas y, en ella, marcamos en Horas de inicio de sesión.
- Podemos seleccionar los días, horas y desplazarnos con el mouse por la pantalla. Seleccionamos los días que deseamos y marcamos en Inicio de sesión denegado para que no pueda acceder al dominio en dichas horas y días o Inicio de sesión permitido para que pueda acceder.
- Luego marcamos "aceptar" dos veces y cerramos.
COMO LIMITAR LAS ESTACIONES DESDE LAS QUE SE CONECTAN.
Por defecto se puede iniciar una sesión desde todas las estaciones de trabajo. Pero es posible limitar las estaciones desde las que se conectaran al servidor.
- Siga los pasos anteriores desde el 1 al 3.
- Pulse en la ficha cuentas y, en ella, marcamos en Iniciar sesión en. Vera una pantalla que le dará dos opciones 1. Todos los equipos y 2 los siguientes equipos.
- Activamos la casilla Los siguientes equipos, indicamos el nombre de la estación de trabajo desde la que desea permitir el inicio de sesión, marque en "agregar" y marcamos "aceptar" dos veces. Luego cerramos.
2. GRUPOS
Las cuentas de grupo representan a un grupo y se denominan Principales de seguridad dentro del Directorio Activo, ya que son objetos de directorio a los que se asignan automáticamente identificadores de seguridad. En Windows 2000 se pueden dar dos tipos de grupos:
- Los grupos de seguridad. Este tipo de grupos se muestran en las listas de control de acceso discrecional (DACL) que es el lugar donde están definidos los permisos sobre los recursos y los objetos. Los grupos de seguridad se pueden utilizar también como entidades de correo electrónico de esta manera, al evitar un mensaje de correo electrónico al grupo, el mensaje se envía a todos los miembros del grupo.
- Los Grupos de distribución. En este tipo de grupos no es posible habilitar la seguridad ya que no aparecen en las listas de control de acceso discrecional (DACL). Los grupos de distribución solo se pueden utilizar con aplicaciones de correo electrónico (ejemplo: Microsoft Exchange) para enviar correo electrónico a los grupos de usuarios.
Un grupo de seguridad puede convertirse en un grupo de distribución (y viceversa) en cualquier momento si todos los controladores del dominio se han actualizado a Windows 2000 Server y el administrador ha habilitado el funcionamiento en Modo Nativo (si esto es así, estarán en modo mixto y no se podrá realizar esta conversión).
Cada grupo de seguridad o de distribución tiene un ámbito que identifica el alcance de aplicación del grupo. Existen cuatro tipos de grupos en función de su ámbito de aplicación:
- Grupos de ámbito universal. Este tipo de grupos (que únicamente se pueden crear en 2000 Server con Directorio Activo) puede tener como miembros a otros grupos universales, grupos globales y cuentas de cualquier dominio Windows 2000., y se le puede conceder permisos en cualquier dominio. También se les denomina "Grupos Universales".
- Grupos de ámbito Global. Este tipo de grupos puede tener como miembros a grupos globales y cuentas únicamente del dominio en el que se ha definido el grupo, y se le puede conceder permisos en cualquier dominio.
- Grupos de ámbito local de dominio. Este tipo de grupos puede tener miembros a grupos universales, globales, locales de dominio de su propio dominio y cuentas de cualquier dominio de Windows 2000 o NT, y solo se puede utilizar para conceder permisos en el dominio que contiene el grupo.
- Grupos locales. Este tipo de grupo únicamente puede crearse en equipos que ejecutan Windows 2000 Profesional o que sean servidores miembros de la familia Windows 2000. Puede tener como miembros a cuentas locales del equipo en el que se crean y, si el equipo forma parte de un dominio y de los dominios de confianza, y se puede utilizar para conceder permisos en el equipo en el que se crea el grupo.
No se puede utilizar estos grupos si no esta instalado el Directorio Activo.
CUENTAS DE GRUPO CREADAS EN LA INSTALACION.
Los grupos se utilizan para agregar usuarios (o equipos) de forma que se puedan asignar, más fácilmente, privilegios a dichos usuarios y hacer más sencilla su administración. Por tanto, se puede incorporar un usuario o varios grupos teniendo, en cada uno de ellos, unos permisos determinados que le permitan realizar distintas funciones.
Cuando se procedió a la instalación se crearon varios grupos que estaban en función del tipo de instalación realizada. (Esto tiene que ver con si se instalo o no el Directorio Activo).
SI NO SE INSTALA EL DIRECTORIO ACTIVO
En este caso, los grupos que se crean durante el proceso de instalación son únicamente grupos locales, se denominan grupos integrados y son los siguientes:
- Grupo local de administradores. Los miembros de este grupo tienen control total sobre el equipo y se les conceden automáticamente todos los derechos y capacidades integradas del sistema.
- Grupo local de duplicadores. La función de este grupo es la de realizar la duplicación de archivos en el dominio y el único miembro que tendrá es una cuenta de usuario de dominio que se utilizara para iniciar los servicios correspondientes.
- Grupo de invitados. Este grupo permite a los usuarios ocasionales iniciar una sesión en el equipo utilizando la cuenta de invitado y se le conceden menos capacidades que al grupo local de usuarios.
- Grupo local de operadores de copia. Los miembros de este grupo pueden realizar copias de seguridad y restaurar los archivos en el equipo.
- Grupo local de usuarios. Los miembros de este grupo pueden realizar, entre otras, las siguientes tareas: ejecutar aplicaciones, utilizar impresoras locales y de red, cerrar y bloquear la estación de trabajo pero no pueden compartir directorios ni crear impresoras locales. Pueden crear grupos locales nuevos pero únicamente pueden modificar los grupos locales que ellos hayan creado.
- Grupo local de usuarios avanzados. Los miembros de este grupo puede crear cuentas de usuario y grupos locales pero únicamente pueden modificar y eliminar las cuentas que ellos mismos hayan creado. También puede quitar usuarios de los grupos locales de usuarios avanzados, usuarios e invitados, pero no pueden modificar los grupos locales de administradores u operadores de copia, ni pueden tomar posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoria y seguridad.
SI SE INSTALA EL DIRECTORIO ACTIVO.
En este caso los grupos que se crean durante el proceso de instalación son locales y globales. Algunos grupos locales de dominio se crean en la carpeta Builtin, se denominan grupos integrados y son los siguientes:
- Grupo local de dominio de acceso compatible con Pre-Windows 2000. Este grupo permite únicamente el acceso de lectura a todos los usuarios y grupos en el dominio y son miembros de este grupo todos los usuarios de dominio.
- grupo local de dominio de Administradores. Los miembros de este grupo tienen control total sobre el equipo y el dominio y se les conceden automáticamente todos los derechos y capacidades integradas del sistema.
- grupo local de dominio de duplicadores. La función es la de realizar la duplicación de archivos en el dominio y el único miembro que tendrá es la cuenta de usuario de dominio que se utilizara para iniciar los servicios correspondientes.
- Grupo local de dominio de invitados. Este grupo permite a los usuarios ocasionales iniciar una sesión en el equipo utilizando la cuenta de invitado concediéndoles pocas capacidades.
- Grupo local de dominio de operadores de copia. Los miembros de este grupo pueden realizar copias de seguridad y restaurar los archivos en el equipo, pero no pueden cambiar la configuración de seguridad.
- grupo local de dominio de operadores de cuenta. Pueden crear cuentas de usuario y grupos de dominio, modificar y eliminar las cuentas que ellos hayan creado, así como modificar y borrar las cuentas de algunos otros grupos pero no pueden modificar los grupos de administradores, administradores de dominio, operadores de copia, operadores de cuentas, operadores de impresión y operadores de servidores ni administrar las directivas de seguridad.
- grupo local del dominio de operadores de impresión. Pueden crear, administrar y borrar las impresoras compartidas, así como conectarse y parar los servidores.
- grupo local del dominio de operadores de servidores. Puede administrar los servidores del dominio. De esta manera pueden realizar las siguientes acciones en los servidores: Crear, administrar y borrar impresoras y recursos compartidos, hacer copias de seguridad y restauración, formatear discos duros, bloquearlos y desbloquearlos, desbloquear archivos, cambiar la fecha y hora del sistema, así como conectarse y pararlos.
- grupo local de dominio de usuarios. Los miembros pueden realizar, entre otras, las siguientes tareas: ejecutar aplicaciones, utilizar impresoras locales y de red, cerrar y bloquear la estación de trabajo pero no pueden compartir directorios ni crear impresoras locales. Pueden crear grupos locales de dominio nuevos pero únicamente pueden modificar los grupos locales de dominio que ellos hayan creado.
GRUPOS LOCALES.
Un grupo local es una cuenta a la que se puede conceder permisos y derechos para el equipo donde se esta creando y a la que se pueden agregar usuarios locales, usuarios globales y grupos globales. Esta disponible en equipos donde se ejecuta Windows 2000 Profesional o Server que no sean controladores de dominio.
COMO CREARLOS
- Seleccione Administrador de equipos, pulse el botón izquierdo del mouse sobre el signo + que hay a la izquierda de Usuarios Locales y Grupos (se encuentra en el panel izquierdo) y se desplegara su contenido (Usuarios y Grupos).
- Pulse el botón izquierdo del ratón sobre Grupos y, en el panel derecho, le mostrara los grupos que hay dados de alta en el equipo.
- pulse el botón derecho del mouse sobre grupos para que muestre el submenú y seleccione Grupo nuevo.
- Indique el nombre que desea dar al grupo y una breve descripción.
- Marque en "agregar" y le mostrara la lista de usuarios locales dados de alta y los posibles grupos.
- seleccione el que desee y marque en "agregar" para que pase a lista inferior.
- repita el proceso hasta que haya incluido en el grupo a todos los miembros que desee, y cuando haya acabado, marque en "aceptar" para que aparezca en la lista de miembros del grupo.
- Si desea quitar algún miembro de la lista, selecciónelo y marque en "quitar"
- Repita el proceso y cuando termine marque en "cerrar". Es necesario fijarse que el grupo o grupos creados figuren en la lista, de lo contrario vuelva a ejecutar los pasos anteriores.
COMO SE MODIFICAN.
- Repita los pasos 1 y 2 del ítem anterior.
- sitúese sobre el grupo que desea modificar, pulse el botón derecho del mouse y seleccione propiedades.
- Descripción: Breve descripción.
- Miembros: Muestra los usuarios y grupos que son miembros. Si marca en "agregar", selecciona los usuarios y/o grupos que desea, vuelve a marcar en "agregar" y pulsa "aceptar", podrá añadir más miembros a la lista. De igual manera si se posiciona sobre el miembro de la lista y marca en "quitar" lo quitara.
- ahora se encuentra en la ficha General y en ella se encuentran los siguientes apartados:
- Cuando haya finalizado marque en "aceptar" y repita el proceso con todos los grupos que quiera modificar. Luego cierre la utilidad.
GRUPOS GLOBALES, UNIVERSALES Y LOCALES DE DOMINIO.
Un grupo global, universal y local de dominio es una cuenta a la que se puede conceder permisos y derechos en el Directorio Activo y se guarda en equipos que disponen de Windows 2000 Server que sean controladores de dominio.
COMO SE CREAN.
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas.
- Nombre de grupo: Corresponde al nombre que se le va a dar al grupo. Puede tener hasta 63 caracteres.
- Nombre de grupo (anterior a Windows 2000): Corresponde al nombre que aparecerá en un sistema operativo anterior a W2000 y puede incluir mayúsculas y minúsculas.
- ámbito de Grupo: Se utiliza para indicar si es un grupo de dominio local, global o universal. Esta opción solo se puede usar si es un grupo de distribución.
- Tipo de grupo: Se utiliza para indicar si es un grupo de seguridad o distribución.
- Pulse el botón derecho del mouse sobre la carpeta en donde desea crear el grupo. Una vez que muestre el submenú seleccionamos Nuevo, elegimos Group y nos mostrara una pantalla con los siguientes apartados.
- Cuando haya finalizado, marque en "aceptar" y se creara el grupo pero no tiene a nadie como miembro de el.
REALIZAR OPERACIONES CON VARIAS CUENTAS DE GRUPO.
Es posible realizar distintas operaciones con varias cuentas de grupo, para ello siga los pasos:
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas.
- Pulse el botón derecho del mouse sobre la carpeta en donde se encuentra el grupo y, en el panel derecho le mostrara los usuarios y grupos que hay dados de alta en dicha carpeta en el Directorio Activo.
- Seleccionar una a una cada cuenta de grupo mientras pulsa la tecla Ctrl.
- Seleccionar un rango de cuentas, marcando la primera y, pulsando la tecla mayúsculas, marcar la ultima (todas las cuentas del rango indicado se seleccionaran).
- Seleccione las cuentas de los grupos que desee. Puede hacerlo de dos maneras:
- Abra el menú acción y vera la pantalla correspondiente. En ella le muestra las posibles acciones a elegir:
- Mover: Al seleccionar esta opción, le mostrara la lista de contenedores existentes en el Directorio Activo para que elija aquel al que desea mover los grupos seleccionados.
- Enviar mensaje de correo: Al seleccionar esta opción, podrá enviar un mensaje a todos los miembros de los grupos seleccionados.
- Eliminar: al seleccionar esta opción, eliminara del Directorio Activo a todos los grupos seleccionados.
3. EQUIPOS…
Las cuentas de equipo representan a un equipo y se denominan Principales de seguridad en el Directorio Activo, ya que son objetos del directorio a los que se asignan automáticamente identificadores de seguridad para iniciar sesiones en la red y tener acceso a los recursos.
Una cuenta de equipo permite iniciar sesiones en dominios con una identidad que se puede autentificar y autorizar para tener acceso a los recursos del dominio. Cada equipo que se conecta a la red debe tener su propia cuenta y se utiliza para:
- Autentificar la identidad del equipo;
- Autorizar o denegar el acceso a los recursos del dominio;
- Administrar otros principales de seguridad;
- Auditar las acciones realizadas con la cuenta de equipo.
A una cuenta de equipo se le puede conceder permisos y derechos para el dominio donde se esta creando la cuenta. Se crea en el Directorio Activo y se guarda en equipos que disponen de Windows 2000 Server que sean controladores de dominio.
En el proceso de instalación del Directorio Activo se han creado dos carpetas para almacenar cuentas de equipo (eso no significa que no se puedan almacenar en otras carpetas): Domain Controllers (en esta carpeta se almacenaran todas las cuentas de los equipos que sean controladores de domino) y Computers (en esta carpeta se almacenaran todas las demás cuentas de equipos).
COMO CREARLOS
Normalmente, cuando un equipo se une a un dominio, se crea una cuenta para el en la carpeta correspondiente (dependiendo de la tarea que va a realizar) con los permisos necesarios. Pero también es posible crear manualmente cuentas de equipo antes de que estos se unan al dominio (esto no impide que haya que unir el equipo al dominio.) Para crear cuentas equipos, siga los pasos siguientes:
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas de la opción Programas
- Pulse el botón derecho del mouse sobre la carpeta Computers o Domain Controllers para que muestre su menú contextual, seleccione nuevo, elija Computer y mostrara una pantalla con los siguientes apartados:
- Nombre del equipo: Longitud de 15 caracteres.
- Nombre del equipo (anterior a Windows 2000):
- Usuario o Grupo: En este apartado figura el nombre del grupo que va a poder unir este equipo al dominio (si marca en "cambiar", podrá seleccionar otro y, cuando pulse "aceptar", figurara en la pantalla)
- Permitir el uso de esta cuenta a equipos con un SO anterior a Windows. Si marca esta casilla, permitirá el uso de esta cuenta a equipos que dispongan con otros SO.
- Cuando haya finalizado, marque en "aceptar" y se creara el grupo pero no tiene a nadie como miembro de el. Luego cierre todo.
COMO MODIFICARLOS.
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas de la opción Programas
- Pulse el botón izquierdo del mouse sobre la carpeta Computers o Domain Controllers y en el panel derecho mostrara todos los equipos que hay dados de alta en esta carpeta del Directorio Activo.
- No situamos sobre el equipo que deseamos modificar, pulsamos el botón derecho del Mouse, seleccionamos propiedades.
- Nombre el equipo (anterior a Windows 2000)
- Nombre DNS: Indica el nombre DNS que se va a escribir automáticamente cuando se realice el inicio de sesión del equipo.
- función: Indica la función que realiza el equipo
- Descripción: muestra una breve descripción del equipo.
- Confiar en el equipo para la delegación: Al activar esta casilla, permite a los servicios locales que se ejecuten como SYSTEM en el equipo, solicitar servicios adicionales a otros servidores en nombre de un cliente remoto al autentificarse como cliente ante ellos.
- Nos encontramos en la ficha General y en ella hay:
- Si pulsa en la ficha Sistema Operativo, vera una pantalla en donde se encuentra el nombre del sistema operativo del equipo, su versión y el ultimo Service Pack que hay instalado.
- Si pulsa en la ficha Miembros de, vera una pantalla en donde se indican los grupos a los que pertenece el equipo, si marca en "Agregar", selecciona los grupos que desea, vuelve a marcar en "agregar" y, pulsa en "aceptar" podrá añadir mas grupos a la lista y, si se sitúa sobre un grupo de las lista y marca en "quitar", lo eliminara.
- Si marca en la ficha Ubicación, vera la pantalla en donde podrá indicar el lugar donde se encuentra el equipo.
- Si marca en la ficha Administrado por, vera la pantalla en donde puede indicar el usuario o grupo responsable de la administración de este grupo (marcando en "cambiar") y sus datos (oficina, calle, ciudad, estado, país, numero de teléfono, numero de fax, otros).
- cuando haya finalizado, marque en "aceptar" y repita el proceso con todos los equipos que desee modificar. Luego cierre la utilidad.
COMO ADMINISTRARLOS
Para administrar equipos remotos desde el Directorio Activo, siga los siguientes pasos:
- Seleccione Usuarios y equipos de Active Directory desde Herramientas administrativas de la opción Programas
- Pulse el botón izquierdo del ratón sobre la carpeta Computers o Domain Controllers. Y en el panel derecho, le mostrara los equipos que hay dados de alta en esa carpeta en el Directorio Activo.
- Sitúese sobre el equipo que desea administrar, pulse el botón derecho del mouse para que se muestre su menú contextual, seleccione administrar y se ejecutara la utilidad Administración de equipos del equipo seleccionado.
En espera que este manual les sea de ayuda en su vida laboral…
Christian Martínez Torres
- Si pulsa en la ficha Cuentas, vera una pantalla en donde se encuentran los apartados: