Manual 2022 Sistemas Operativos (2391)

Sistemas
Operativos
SISTEMAS OPERATIVOS 2
CARRERA DE REDES Y COMUNICACIONES CIBERTEC

Índice
Presentación 5
Red de contenidos 7
Unidad de Aprendizaje 1
DISEÑO Y ADMINISTRACIÓN DEL DIRECTORIO ACTIVO 9
1.1 Tema 1 : Introducción a Windows Server 2016 11
1.1.1 : Características del Sistema Operativo, Ediciones y 11
Servicios de Red
1.1.2 : Configuración de las Máquinas virtuales 21
1.2 Tema 2 : Introducción al Direccionamiento IP 28

1.2.1 : Protocolo de Internet 28
1.2.2 : Clases de Direcciones 29
1.2.3 : Direcciones de Red y Direcciones de Host 30
1.2.4 : Configuración IP y Pruebas de conectividad 33
1.3 Tema 3 : Introducción al Diseño de un Controlador de Dominio 37

1.3.1 : Instalación de Servicios en Server 2016 37
1.3.2 : Configuración básica de un Controlador de Dominio 37
(ADDS)
1.3.3 : Estructura lógica del Directorio Activo 39
1.3.4 : Consideraciones previas antes de instalar el ADDS 40
1.3.5 : Instalar rol de Servicios de Dominio de Active Directory en 49
Windows Server 2016
ADMINISTRACIÓN DE CUENTAS 61
2.1 Tema 4 : Gestión de Cuentas de Usuarios y Computadoras 63
Uso de la herramienta Cuenta de Usuarios y 63
: Computadoras.
2.1.1
2.1.2 : Gestión de Usuarios y Uso de Plantillas de usuario 64
2.1.3 : Gestión de Grupos en el Controlador de Dominio. 81
2.1.4 : Administración y Gestión con unidades organizativas 91
PERMISOS DE COMPARTIR Y NTFS 95
3.1 Tema 5 : Gestión de Carpetas Compartidas 97
3.1.1 : Implementación de Carpetas Compartidas 97
3.1.2 : Permisos NTFS de carpetas y archivos 115
3.1.3 : Directorio particular 122
3.1.4 : Creación de scripts de inicio de sesión 126
FILE SERVER RESOURCE MANAGER 133
4.1 Tema 6 : Cuotas de Disco 135
4.1.1 : Creación y Uso de cuotas de disco 135
4.1.2 : Creación de Plantillas de cuotas 139
4.1.3 : Uso de Plantillas para crear cuotas a carpetas compartidas 149
4.2 Tema 7 : File Screening 152

4.2.1 : Creación y Uso de Filtros de almacenamiento de 152
contenidos
CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4.2.2 : Creación de Plantillas para filtrar contenidos 152

4.2.3 : Implementación de Filtros de almacenamiento de 156
contenidos
TAREAS ADMINISTRATIVAS 161
5.1 Tema 8 : Políticas de Grupo 163
5.1.1 : Administración de Directivas de Grupo 163
5.2 Tema 9 : Respaldo del Servidor 175

5.2.1 : Creación y recuperación de Backups 175
5.3 Tema 10 : Servidor de Impresión 186

5.3.1 : Administración de recursos e impresión en red 186
SERVICIOS DE RED 201
6.1 Tema 11 : Servidor de DHCP 203
6.1.1 : Implementación del rol DHCP 203
6.1.2 : Definición de Ámbito, Parámetros y Reservas 207
6.2 Tema 12 : Servidor de DNS 216

6.2.1 : Implementación del rol DNS 216
6.2.2 : Creación de zona directa e inversa 219
6.2.3 : Pruebas de resolución de DNS
6.3 Tema 13 : Servidor de Web

6.3.1 : Implementación del rol IIS (Internet Information Server)

Presentación
Sistemas Operativos es un curso que pertenece a la línea de infraestructura TI y se
dicta en la carrera de Redes y Comunicaciones. Brinda un conjunto de conocimientos
teóricos y prácticos que permite a los alumnos administrar la plataforma Windows
Server 2016 para la gestión de servicios de red, usuario y accesos de una manera
eficiente.
El manual ha sido diseñado en unidades de aprendizaje, las que se desarrollan

durante semanas determinadas. En cada una de ellas, se tienen los logros y
capacidades, que debe alcanzar el alumno al final de la unidad; el tema tratado, el cual
será ampliamente desarrollado; y los contenidos, que debe desarrollar, es decir, los
subtemas. Por último, se presentan las actividades que deberá desarrollar en cada
sesión, las cuales le permitirán reforzar lo aprendido en la clase.
El curso es eminentemente práctico: construido como un instrumento de trabajo.
Por ello, la participación activa de los alumnos es fundamental durante el desarrollo de

este curso, a fin de obtener la experiencia, práctica y suficiencia teórica que se
necesita para un eficiente desenvolvimiento profesional. Para ello, contará con el
apoyo y guía de su profesor, quien lo acompañará en el desarrollo del presente
manual.


Red de contenidos
SISTEMAS OPERATIVOS
Diseño y
Administración del
Permisos de
Directorio Activo
Compartir y
NTFS
Administración
de Cuentas
Introd. a Creación
Windows ADDS Permisos Scripts de
Server Inicio
TCP/IP Directorio
Particular
SISTEMAS OPERATIVOS
File Server
Resource Servicios
Manager de Red
Tareas
Administrativas
Cuotas de File
Screening DHCP WEB
Directorio
DNS
GPOs Impresión
Backup


1
UNIDAD
DISEÑO Y ADMINISTRACIÓN
DEL DIRECTORIO ACTIVO
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al terminar la unidad, el alumno diseña la red lógica e implementa el Directorio
Activo aplicando los conceptos de TCP/IP, y las estructuras lógicas del
Directorio Activo con empleo del Servidor Windows 2016.
T EMARIO
1.1 Tema 1 : Introducción a Windows Server 2016
1.1.1 : Características del Sistema Operativo, Ediciones y
Servicios de Red
1.1.2 : Configuración de las Máquinas virtuales
1.2 Tema 2 : Introducción al Direccionamiento IP

1.2.1 : Protocolo de Internet
1.2.2 : Clases de Direcciones
1.2.3 : Direcciones de Red y Direcciones de Host
1.2.4 : Configuración IP y Pruebas de conectividad
1.3 Tema 3 : Introducción al Diseño de un Controlador de Dominio

1.3.1 : Instalación de Servicios en Server 2016
1.3.2 : Configuración básica de un Controlador de Dominio
(ADDS)
1.3.3 : Estructura lógica del Directorio Activo
1.3.4 : Consideraciones previas antes de instalar el ADDS
1.3.5 : Instalar rol de Servicios de Dominio de Active Directory en
Windows Server 2016
ACTIVIDADES PROPUESTAS
Los alumnos configuran los equipos Windows Server 2016 y Windows

 10.
Los alumnos realizan el direccionamiento en sus equipos.
Los alumnos verifican la conectividad de sus máquinas virtuales
Los alumnos instalan un controlador de dominio y unen a su cliente.


1.1. INTRODUCCIÓN A WINDOWS SERVER 2016

1.1.1. Características del Sistema Operativo, Ediciones y Servicios de Red
Microsoft Windows Server 2016 ofrece servicios de TI con una infraestructura que
simplifica el despliegue de aplicaciones en su red empresarial. Además, está orientado
a la virtualización de servidores empresariales con grandes cargas de datos (Big data
o gran centro de datos en la nube), mejora del almacenamiento, y creación de redes
virtuales con soporte para aplicaciones y plataformas web.
Microsoft Windows Server 2016 ha mejorado, también, la seguridad de la información

con nuevas capas de protección y ha conseguido una alta disponibilidad, posibilidad
de reparto de la carga de trabajo y seguridad en modo clustering, backups para la
recuperación en caso de desastres y protección de los accesos.
Figura 1.
Fuente: https://www.microsoft.com/es-es/cloud-platform/windows-server
Requisitos mínimos del Sistema Operativo
Procesador: Mínimo de 1,4 GHz y con arquitectura de 64 bits

RAM: Mínimo: 512 MB (Recomendable 2GB)
Disco duro: Espacio en disco estimado para la partición del sistema.
Mínimo: 32 GB
Otros requisitos
Adaptador de Gigabit Ethernet (10/100/1000baseT)
Unidad de DVD (si necesita instalar el sistema operativo por medio de DVD)
Los siguientes elementos no son estrictamente obligatorios, pero sí necesarios para

algunas características:
Monitor Súper VGA (1024 x 768) o de mayor resolución

Teclado y Mouse de Microsoft® (u otro dispositivo señalador compatible)
Acceso a Internet
Instalación de Windows Server 2016
Paso 1
Inserte el DVD apropiado para instalar Windows Server 2016 dentro de tu unidad de
DVD. Si no tiene el DVD de instalación de Windows Server 2016, puede descargar una
versión gratuita desde https://www.microsoft.com/es-xl/evalcenter/evaluate-windows-
server-2016/

Paso 2
Reinicie la computadora.
Figura 2: Carga inicial del instalador de Windows Server 2016
Paso 3
Cuando solicite el lenguaje de instalación y otras opciones regionales, seleccione lo
correcto y luego, presione Next.
Figura 3: Selección de parámetros básicos para Windows Server 2016
Paso 4
Luego, haga clic en Install Now para empezar el proceso de instalación.
Figura 4: Inicio de instalación de Windows Server 2016

Paso 5
El instalador preguntará sobre la versión de Windows Server 2016 que desea instalar;
en este caso seleccione Standard Evaluation (Desktop Experience)
Figura 5: Selección del tipo de instalación de Windows Server 2016
Paso 6
Lea y acepte los términos de la licencia, luego haga clic al cuadro de texto y presione
Next.
Figura 6: Aceptación del contrato para la instalación de Windows Server 2016
Paso 7
En esta ventana, se pregunta "¿Qué tipo de instalación quieres?". Haga clic en la
opción disponible personalizado (Custom).

Figura 7: Selección del tipo de instalación de Windows Server 2016
Paso 8
En la ventana siguiente, pregunta "¿Dónde quieres instalar Windows?". Si desea
instalar el servidor en el primer disco duro, seleccione el Drive 0, en la figura muestra
sin partición; pero el sistema lo particionará automáticamente, y clic en Next.
Figura 8: Selección de Disco para la instalación de Windows Server 2016
Paso 9
La instalación está por comenzar. Ahora, está copiando los archivos necesarios desde
el DVD. Sin embargo, la extracción y descompresión de los archivos demandará
mayor tiempo. Después de 20 minutos, el sistema operativo está instalado. El tiempo
exacto que toma la instalación del Server depende de las especificaciones de
hardware. Discos mucho más rápidos realizarán la instalación en menos tiempo
Windows Server 2016 necesita, aproximadamente, 32GB de espacio en el disco duro.

Figura 9: Inicio de la copia e instalación de archivos de Windows Server 2016
El proceso de instalación reiniciará la computadora, entonces asegúrese de remover el

DVD de instalación de Windows Server 2016.
Paso 10
Luego de reiniciar el servidor, aparecerá la pantalla de configuración de cuenta de
Administrador de Windows Server 2016, ingrese la contraseña y haga clic en Next.
Figura 10: Configuración de la cuenta de Administrador de Windows Server 2016
Tecnologías y Roles de servidor en Windows Server 2016
Nano Server
Es una nueva opción que tendrá a la hora de la instalación de nuestro sistema

operativo, el Nano Server será una opción que puede ser administrada remotamente y
es optimizado para nubes privadas y datacenters. Su apariencia es idéntica a la
instalación de Windows Server en modo Core, pero es sin duda más sencilla, más
ligera, ya que no requerirá de login de manera local, sólo soportará aplicaciones de 64
bits, ocupará menos espacio y será mucho más rápido a la hora de ejecutar acciones.
Nano Server lo puede usar en los siguientes ambientes:
Puede ser usado como un dispositivo para máquinas con Hyper-V.

Como un dispositivo de almacenamiento para escalamiento.

Como un servidor DNS.
Como un servidor web que corra IIS (Internet Information Server).
Como un dispositivo para aplicaciones que usen la nube.
Contenedores
Los contenedores ofrecidos en Server 2016 serán otro tipo de virtualización que
permitirá ejecutar diferentes aplicaciones en el sistema.
Los contenedores principales se manejarán a través de los contenedores de Hyper-V,

para correr los contenedores de Hyper-V debe haber instalado primero el rol de Hyper-
V.
Estos contenedores se podrán implementar en cualquier tipo de instalación de

Windows Server 2016, Gráfica o Core. (Los contenedores sólo están disponibles en
Windows Server 2016), y necesitará los siguientes requisitos de máquina:
Mínimo 4GB de RAM para la virtualización

Windows Server 2016 (en el caso la versión de prueba Technical Preview 4)
Procesador con Intel VT-X (Para los procesadores Intel)
El contenedor de los host VM necesitará como mínimo 2 procesadores virtuales
Figura 11: Escenario de implementación de Containers en Windows Server

Fuente. - Tomado de http://windowsitpro.com/windows-server-2016
Virtualización Anidada
Hasta la fecha, si quería por ejemplo crear un entorno de laboratorio con distintos
servidores de Hyper-V en cluster, o manejados por VMM, debía o bien realizar un
montaje físico de los servidores de Hyper-V o bien virtualizarlos con software de
terceros. Si en un servidor físico con Hyper-V instalado, se creaba un equipo virtual e
instalaba a su vez Hyper-V en él, se producía un error donde se indicaba que

únicamente un Hypervisor podía estar en funcionamiento simultáneamente. En esta

edición de Windows, podrá ejecutar Hyper-V en un equipo virtual, y crear y ejecutar
equipos virtuales dentro del mismo permitiéndose un segundo nivel de virtualización.
La virtualización de servidores permite unificar físicamente los servicios de una red

empresarial en un solo hardware (un solo host físico), logrando una gestión
simplificada y un gran ahorro de recursos (espacio físico, hardware de servidor,
soporte energético, respaldo y recuperación ante desastres).
Figura 12: Escenario de implementación de Containers en Windows Server Fuente -

http://www.altaro.com/hyper-v/nested-virtualization-hyper-v-windows-server-2016/Almacenamiento
Almacenamiento
Windows Server 2016 incluye mejoras en el almacenamiento de espacio directo para

soportar todas las configuraciones flash como NVMe SDD y SATA SSD.
Los servicios de archivos y almacenamiento con tecnologías que permiten configurar y

administrar uno o más servidores de archivos, que son servidores que proporcionan
ubicaciones centrales en la red para almacenar archivos y compartirlos con los
usuarios. Si los usuarios de la red necesitan tener acceso a los mismos archivos y
aplicaciones, o si la administración centralizada de archivos y copias de seguridad es
importante en su organización, deberá configurar uno o más servidores como servidor
de archivos.
Figura 13: Escenario de implementación de sistemas de archivos en Windows Server

Fuente - http://www.tomsitpro.com/articles/create-file-share-windows-server-2016,1-3364.html

Redes
Windows Server 2016 incluye alta disponibilidad de los controladores de red, mejor
balanceo de carga, contenedor mejorado de red y soporta migración en vivo.
Puede administrar una red completa como un solo servidor, de esta manera obtiene la
confiabilidad y escalabilidad de múltiples servidores a un costo menor. El re
enrutamiento automático en torno a los errores de almacenamiento, servidor y red
mantiene los servicios de archivo en línea con un período de inactividad mínimo
perceptible, a esto se le conoce como entorno de alta disponibilidad. Windows Server
2016 puede proporcionar una solución de software-networking y descentralizada en
torno a las implementaciones de nube híbrida, nube pública y nube privada.
Figura 14: Escenario de red en Windows Server 2016

Fuente- Tomado de http://servered2016.blogspot.com
Administración del servidor y automatización
Con un enfoque de la administración basada en estándares, Windows Management

Framework proporciona una plataforma común para la automatización e integración
para así ayudarle a automatizar sus tareas rutinarias con herramientas como Windows
PowerShell. Otras mejoras ayudan a simplificar la implementación, a asegurar que los
componentes de sus centros de datos tengan la configuración correcta y le permitan
tomar medidas para la administración en múltiples servidores a través de un solo panel
pertinente en el administrador del servidor.
Figura 15: Uso del PowerShell en Windows Server 2016

Fuente- Tomado de http://blogs.technet.com

Plataforma de aplicaciones y web
Windows Server 2016 está diseñado siguiendo los procesos de la familia Windows
Server como una plataforma de aplicaciones probada con miles de aplicaciones ya
desarrolladas e implementadas y una comunidad de millones de desarrolladores
expertos y cualificados ya establecidos. Puede desarrollar e implementar aplicaciones,
tanto locales como en la nube (o ambas al mismo tiempo) con soluciones híbridas que
funcionen en ambos entornos.
Figura 15: Escenario de implementación de Aplicaciones Web en Windows Server 2016

Fuente.- Tomado de https://docs.microsoft.com/en-us/windows-server
Protección de la información
Con las soluciones de protección de la información de Microsoft, puede administrar

una sola identidad por usuario, tanto en las aplicaciones basadas en la nube como
locales. Usted define el nivel de acceso de cada usuario a la información y a las
aplicaciones en función de quiénes son, a qué elementos tienen acceso y desde qué
dispositivo. Puede proporcionar un acceso remoto seguro a sus trabajadores móviles
con el uso de las capacidades de Windows Server Remote Access (RRAS) de
DirectAccess y VPN (incluidas las conexiones de VPN automática) y permitir que sus
usuarios sincronicen sus archivos de trabajo desde un servidor corporativo a sus
dispositivos. También, puede administrar los dispositivos móviles para eliminar datos y
aplicaciones corporativas cuando se pierde, o se deja de usar un dispositivo o lo
roban.
Figura 16: Escenario de implementación de servicios RRAS en Windows Server 2016

Fuente- Tomado de http://www.concurrency.com

Infraestructura de escritorio virtual (VDI)
Con Windows Server 2016, es aún más sencillo implementar y entregar recursos
virtuales a través de los dispositivos. Las tecnologías de VDI ofrecen un acceso
sencillo a un entorno valioso de Windows de total confianza que se ejecuta en el
centro de datos, prácticamente desde cualquier dispositivo. A través de Hyper-V y
Servicios de Escritorio remoto, Microsoft ofrece tres opciones de implementación de
VDI flexibles en una única solución: escritorios en grupo, escritorios personales y
sesiones de Escritorio remoto.
Figura 17: Escenarios de VDI en Windows Server 2016

Fuente.- Tomado de http://blogs.technet.com
Ediciones de Windows Server 2016
Figura 18: Ediciones de Windows Server 2016

Fuente - Tomado de http://rscloud.es/content/ediciones-de-windows-server-2016
Windows Server 2016 Standard Edition. Soporta hasta 64 sockets y hasta 4 TB

de RAM, incluyendo licencias para 2 máquinas virtuales.

Windows Server 2016 Datacenter Edition. Soporta hasta 64 sockets, 640 cores y
4 TB de RAM, incluyendo licencias ilimitadas para máquinas virtuales.

Windows Server 2016 Foundation Edition. Para pequeñas empresas, tiene un
límite de hasta 15 usuarios. Soporta un número limitado de roles, un core y hasta
32 GB de RAM.

Windows Server 2016 Essentials Edition. Se corresponde con las anteriores
ediciones de Small Business Server. Esta edición puede ser instalada como un
“role” en un dominio existente o como un Server en una máquina virtual. No puede
funcionar como un servidor de virtualización, tampoco soporta cluster, server core
o RDP server. Permite hasta 25 usuarios y 50 equipos, 2 cores y hasta 64 GB de
RAM.

Hyper-V Server 2016. Sigue siendo gratis, aunque las máquinas virtuales que
instalemos deberán pagar la correspondiente licencia, cada una de ellas. Soporta
hasta 64 sockets y 4 TB de RAM. Puede ser unido a un dominio, y como siempre
no soporta otros roles. Esta edición no tiene entorno gráfico, aunque si proporciona
una limitada interfaz gráfica para una configuración básica.

Windows Storage Server 2016 Workgroup Edition. Intenta ser un storage-
appliance de perfil bajo. Puede ser unido a dominio y soporta un core, 32 GB de
RAM y hasta 50 usuarios.

Windows Storage Server 2016 Standard Edition. Soporta hasta 64 sockets,
licenciada cada dos sockets. Admite hasta 4 TB de RAM e incluye dos licencias de
máquinas virtuales. Puede ser unida a dominio y soporta algunos roles como
DHCP y DNS, pero puede configurarse como controlador de dominio, entidad
emisora de certificados o servidor de federación.
1.1.2. Configuración de Máquinas virtuales
Descargue el VirtualBox desde el sitio https://www.virtualbox.org/ y haga clic en

Download VirtualBox 5.1
Seleccione VirtualBox 5.1.2 Oracle VM VirtualBox Extension Pack All supported

 platforms1


























VirtualBox 5.1.2 Oracle VM VirtualBox Extension Pack All supported platforms
Luego, ubíquese en la carpeta donde se ha descargado e instalado el VirtualBox.
Pasos para crear una máquina virtual – seleccione Máquina - Nueva
Ingrese el Nombre de la máquina virtual a instalar, además seleccione el sistema

operativo y versión.

Asigne memoria RAM. – Next.
Cree el disco virtual, haga clic en el botón Crear.

Seleccione el tipo de disco duro, use el botón Next.
Seleccione el tipo de almacenamiento en unidad de disco duro fisica con Next.
Dertermine la ubicación y tamaño del disco duro con Crear.

Verá la máquina virtual creada lista para la instalacion del sistema operativo.
Figura 19: Idea fundamental de máquinas virtuales

Fuente.- Tomado de http://planetared.com
Fundamentalmente, una máquina virtual es un sistema operativo montado sobre una

capa de software (Virtual PC, Oracle Virtual Box, VMware, HyperV, etc.), que es
totalmente funcional y puede interactuar con el hardware del computador físico
(especialmente en aquellos equipos que poseen Virtualización por hardware). Ahora,
esta máquina virtual está supeditada a los requerimientos mínimos que define el
sistema operativo que se va a virtualizar; además, debe ser soportada por los recursos
disponibles de la máquina real. Adicionalmente, el sistema de virtualización crea un
switch virtual, lo cual hace posible que se tenga un LAN virtual dentro de nuestra pc
real.

Figura 20: Escenario de virtualización
Para crear el entorno virtualizado, debe pensar en el escenario deseado. Por ejemplo,
si quiere hacer simulaciones, no es necesario que se relacione con la red real (figura
20). Por otro lado, para entornos de producción, puede usar un entorno donde los
equipos virtuales se conectan directamente a la interface de red real y, por ende, a la
red de producción de la empresa (figura 21).
Figura 21: Escenario de virtualización para redes de producción
Finalmente, la virtualización de sistemas operativos tiene como función principal tener

varios servicios de red en un solo equipo físico, además es mucho más fácil recuperar
un equipo virtual luego de un fallo que hacerlo desde un equipo real.

Resumen
Las ediciones de Windows Server 2016 depende del hardware, servicios y
crecimiento de la red empresarial.
La edición de Windows Server 2016 Foundation no posee capacidades de

Virtualización.
Las máquinas virtuales son sistemas operativos completos y funcionales que
pueden interactuar con la red real.
Las virtualizaciones permiten tener varios servicios diferentes en un solo equipo

físico.
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
https://www.youtube.com/watch?v=h0ANuO_yXJ8
o https://www.youtube.com/watch?v=tNd7lrJcKj4

1.2. INTRODUCCIÓN AL DIRECCIONAMIENTO IP

1.2.1. Protocolo de Internet
Un protocolo es un conjunto de reglas o estándares cuya función fundamental es

establecer la comunicación. Para el caso, el protocolo IP (Internet Protocol) es
estándar que se usa, actualmente, para la comunicación global, por lo cual todos los
equipos que intervienen en la comunicación deben poseer o interactuar con este
protocolo.
El protocolo IP posee dos versiones comerciales (IPv4 e IPv6); pero solo nos
enfocaremos en la versión 4, ya que todavía es el estándar reinante en el mundo.
Para empezar a entender este protocolo, hay que decir qué es un protocolo jerárquico
y que tiene como componente fundamental al número IP (o dirección IP), el cual es
básicamente el identificador del computador (Host ID).
Al comienzo del desarrollo de este protocolo, no se pensó en el crecimiento

exponencial que presenta el número de equipos que ingresan a Internet, para
entenderlo claramente: debe analizar la naturaleza del número IP.
El número IP es un conjunto formado por 32bits (se usa binario porque el computador
es un sistema digital), agrupado en octetos (grupos de 8bits) y representado en forma
decimal.
Figura 22: Estructura del número IP

Fuente.- Tomado de http://www.netacad.es
Hasta este punto, el problema del crecimiento no es claro; pero se calculará, en

principio, cuántas de estas direcciones son posibles:
232 = 4294 967 296 direcciones posibles
Ahora, debe tener en cuenta que en el mundo hay más 7 mil millones de personas,
entonces con 232 direcciones no son suficientes para asignar ni siquiera una dirección
IP por persona.
Sume esto a la nueva forma de ver la conectividad: “El Internet de todo”, que define
que, ahora, todo debe estar interconectado, no solamente las personas. Esto deja en
claro que las direcciones definidas por IPv4 no son suficientes, entonces ¿qué
soluciones existen?

Actualmente, las soluciones son las siguientes:

Uso de redes privadas
NAT
Protocolo de Internet versión 6
Antes de analizar las soluciones, debe aprender cómo asignar direcciones a nuestros
equipos. A este proceso se le conoce como Direccionamiento IP.
Direccionamiento IP
Para entender cómo asignar direcciones, debe definir que existen dos componentes
fundamentales y direccionamiento:
Host ID: Dirección de Host, que identifica a un equipo en la red.
Net ID: Dirección de Red, que identifica a un grupo de equipos que pertenecen a la
misma red lógica.
Figura 23: Red IP
Todos los equipos deben tener una dirección IP, única en la red, sino ocasionaría
conflicto con otro host y no se podrían comunicar en la red.
1.2.2. Clases de Direcciones
Para empezar a realizar un direccionamiento en tu red local o empresarial, debe

conseguir un bloque de direcciones IPs únicas. Las direcciones se reservan a través
de la ICANN (Internet Corporation for Assigned Names and Numbers).
La ICANN delega esta función a los ISPs (Internet Service Providers) asignándoles
grandes bloques de direcciones IPs. De esta forma, las organizaciones pueden
obtener sus direcciones de sus proveedores de servicios de Internet.
En el comienzo, ICANN definió que sólo había tres tamaños de bloques de direcciones
conocidas como las Clases:
Clase A para redes con muchos host

Clase B para redes con tamaño medio de host
Clase C para redes con pocos host

Rango Net ID Host ID

Clase Número de host por red
(1er Octeto) (# octetos) (# octetos)
A 1. – 127. 1 3 16 777 216
B 128. – 191. 2 2 65 536
C 192. – 223. 3 1 254
Observación: Una dirección IP tiene 4 octetos.
Máscara de Sub red
La máscara es un número de 32 bits que tiene la función de definir el número de

octetos que pertenecen al campo de red y al campo de host.
Máscara por Net ID

Clase Bits de máscara para red Prefijo
defecto (# octetos)
A 255.0.0.0 11111111 /8 1
B 255.255.0.0 11111111.11111111 /16 2
C 255.255.255.0 11111111.11111111.11111111 /24 3
Observación: 255 en binario es 11111111, 8 unos, un octeto.
Por otro lado, usando la máscara, puede conocer el NETID y el rango de direcciones
de una red.
1.2.3. Direcciones de Red y Direcciones de Host
Conociendo las clases, sus rangos y la máscara de subred, puede determinar el

NETID y rango de IPs utilizables para host (HOSTID).
Ejemplo 1
Sea el host con IP: 192.168.2.5, determine la máscara y NETID.
Solución: Como vimos anteriormente, la dirección es una clase C y los octetos para la
red son tres, lo que queda se completa con 0.
HOSTID 192 168 2 5

MASK 255 255 255 0
NETID 192 168 2 0
Además, debe tener en cuenta que lo que queda es el campo de host (los 0s) y, dentro
de esos valores, están los IPs para host (HOSTID). Solo existen dos restricciones: una
es la primera dirección, que es la NETID; y la otra es la última dirección, que se usa
para una comunicación especial llamada broadcast (en el caso será 192.168.2.255),
por lo cual el rango de IPs utilizables para host será el siguiente:
Rango útil 192.168.2.1 hasta 192.168.2.254

(HOSTID)
Ejemplo 2
Solución: Como sabe, la dirección es una clase B y los octetos para la red son dos, lo
que queda se completa con 0.

HOSTID 172 16 2 252

MASK 255 255 0 0
NETID 172 16 0 0
Además, sabe que lo que queda es el campo de host y, dentro de esos valores, están
los IPs para host, por lo cual el rango de IPs utilizables para host será el siguiente:
Rango útil 172.16.0.1 hasta 172.16.255.254

(HOSTID)
Observación: No olvide tener en cuenta que el broadcast 172.16.255.255 no se usa.
Ejemplo 3
Solución: Como sabe, la dirección es una clase A y solo tiene un octeto para la red, lo
que queda se completa con 0.
HOSTID 10 10 2 52
MASK 255 0 0 0
NETID 10 0 0 0
Además, sabe que lo que queda es el campo de host y, dentro de esos valores, están
los IPs para host, por lo cual el rango de IPs utilizables para host será el siguiente:
Rango útil 10.0.0.1 hasta 10.255.0255.254

(HOSTID)
Observación: No olvide tener encuentra que el broadcast 10.255.255.255 no se usa.
Direcciones IP privadas
Para trabajar en redes que no están en el dominio directo de Internet, se separa un

rango de cada clase. Esto permite usarlas repetidas veces dentro de las redes de área
local.
Figura 24: Red privada conectada a Internet a través de NAT
Clase Rango
A 10.0.0.0 – 10.255.255.255
B 172.16.0.0 – 172.31.255.255
C 192.168.0.0 – 192.168.255.255

Como se mencionó anteriormente, la falta de direcciones IP hacía inviable el

crecimiento de los equipos en Internet; pero combinando las IPs privadas y el servicio
de traducción de direcciones de red (NAT) se da una solución viable-temporal al
problema.
NAT (Network Address Translation)
Servicio que permite convertir IPs privadas a IPs públicas y viceversa, con esto las IPs
privadas no son observables desde Internet y se pueden usar repetidas veces en
redes distintas.
Asignación de direcciones IP para una LAN
Lo que necesita conocer es básicamente es el número de host de la red y su

proyección de crecimiento.
Ejemplo
Si se tiene una red empresarial con 250 equipos que requieren conexión y el
crecimiento proyectado es tener 50 equipos más en los próximos dos años. Ahora, se
contrata a un ISP local, el cual entrega la red 192.168.0.0/24. Determinar si con la red
entregada por ISP se cumplirán los requerimientos de crecimiento de la empresa.
Solución
Primero: Debe tener claro cuál es la necesidad de la empresa.
Escenario Actual: 250 Host

Escenario a futuro (en dos años): 250 + 50 = 300 Host
Segundo: Debe conocer las características de la red dada por el ISP.
Red: 192.168.0.0/24 es una clase C privada, número máximo de host es 254.
Tercero: Comparemos los escenarios.
Escenario Actual: 254 IPs para 250 Host, cumple con lo requerido
Escenario a futuro: 254 IPs para 300 Host, no cumple con lo requerido
Conclusión:
Si mantiene la asignación IP, funcionará la red actual; pero, en dos años, se tendría
que cambiar las configuraciones de todos los equipos, por lo cual se debe cambiar la
red de ISP a la clase siguiente (Clase B).
Entonces, nuestra red debería ser, por ejemplo, 172.31.0.0/16, que soporta 65 535
Host.

1.2.4. Configuración IP y Pruebas de conectividad
Sea el siguiente escenario:
Figura 25: Escenario de pruebas de alcanzabilidad
Debe configurar los adaptadores de red para los equipos. Para el caso, deberá
configurar el cliente con los siguientes parámetros:
IP: 192.168.1.20
Máscara: 255.255.255.0
DNS: 192.168.1.100
Primero: En el escritorio, haga clic derecho en el ícono de la red y seleccione “Abrir el

Centro de redes y recursos compartidos.
Figura 26: Configuración y pruebas IP en los host – parte 1
Segundo: Debe acceder a la configuración de la tarjeta de red, por lo que deberá

seleccionar “Cambiar configuración del adaptador”.
Tercero: Una vez ubicado el adaptador, haga clic derecho sobre él y seleccione
propiedades.

Cuarto: Desactive el protocolo TCP/IP v6 (no será utilizado), seleccione propiedades

del protocolo TCP/IP v4 y coloque los parámetros.
No olvide aceptar y cerrar los diálogos abiertos.
Quinto: Revise la configuración en CMD usando el comando ipconfig /all.
Sexto: Repita el proceso con el server teniendo en cuenta los parámetros propios.
Teniendo el escenario correctamente configurado, debe ejecutar el shell de comandos

en el cliente y debe ejecutar lo siguiente:

Ping 192.168.1.100
Si todo está correctamente configurado, debe obtener lo siguiente:
Figura 31: Verificando alcanzabilidad del Cliente al Servidor
Nota: No olvide desactivar el Firewall en el Server.

Resumen
El protocolo IP posee dos versiones comerciales (IPv4 e IPv6), pero solo nos
enfocaremos en la versión 4, ya que todavía es el estándar reinante en el mundo.
Toda dirección IP v4 está compuesta por 32 bits.
Las direcciones están compuestas por el identificador de red y el identificador de

host.
Las direcciones IPs se clasifican en Clase A, B, y C.
Las Clases de direcciones IPs se escogen en función del tamaño de la red y el

número de computadoras.
La dirección 127.0.0.0 está reservada para pruebas de loopback.
Pueden revisar el siguiente enlace para ampliar los conceptos vistos en esta unidad:
https://support.microsoft.com/es-es/help/164015/understanding-tcp-ip-
addressing-and-subnetting-basics

1.3. INTRODUCCIÓN AL DISEÑO DE UN CONTROLADOR DE

DOMINIO
1.3.1. Instalación de Servicios en Server 2016
El Administrador de servidores es una consola de administración de Windows Server®

2016 que ayuda a los profesionales de TI a aprovisionar y administrar servidores
basados en Windows, tanto locales como remotos, desde sus escritorios, sin tener que
obtener acceso físico a los servidores ni habilitar conexiones del Protocolo de
escritorio remoto (RDP) con cada servidor. Aunque el Administrador de servidores está
disponible en Windows Server 2012 y Windows Server 2008, el Administrador de
servidores se actualizó para Windows Server 2016 a fin de admitir la administración
remota de varios servidores y para aumentar el número de servidores que puede
administrar un administrador.
Figura 32: Administrador de Servidores
1.3.2. Configuración básica de un Controlador de Dominio (ADDS)
Los Servicios de Dominio de Active Directory (ADDS) en Windows Server 2016

incluyen nuevas características que permiten implementar de manera más rápida y
sencilla controladores de dominio (tanto locales como en la nube), aumentar la
flexibilidad y facilidad al auditar, y autorizar el acceso a archivos con el control de
acceso dinámico, así como realizar de manera sencilla tareas administrativas a escala
local o remota a través de experiencias uniformes de administración mediante interfaz
gráfica y mediante scripts.
Las mejoras de ADDS en Windows Server 2016 son, entre otras, las siguientes:
Virtualización que funciona
Windows Server 2016 proporciona mayor compatibilidad con las funcionalidades de

nubes públicas y privadas mediante tecnologías seguras para la virtualización, y la
implementación rápida de controladores de dominio mediante clonación.

Preparación simplificada de implementaciones y actualizaciones
Los procesos de actualización y preparación (dcpromo y adprep) han sido

reemplazados por un nuevo asistente para promoción de dominios optimizado que se
integra con el Administrador del servidor y está incorporado en Windows PowerShell.
Valida los requisitos previos, automatiza la preparación de bosques y dominios, solo
requiere un único conjunto de credenciales de validación y puede instalar ADDS en un
servidor de destino de forma remota.
Administración simplificada
Un ejemplo de administración simplificada es la integración de la autorización basada

en notificaciones en ADDS y en la plataforma Windows, dos componentes críticos de
una característica más amplia conocida como Control de Acceso Dinámico (DAC).
DAC consta de directivas de acceso central, atributos de directorio, el motor de
clasificación de archivos de Windows e identidades compuestas que combinan en una
la identidad del usuario y el equipo. Además, el Centro de Administración de Active
Directory (ADAC), ahora, permite realizar tareas gráficas que generan
automáticamente los comandos de Windows PowerShell equivalentes. Los comandos
se pueden copiar y pegar fácilmente en un script para simplificar la automatización de
acciones administrativas repetitivas.
Cambios de plataforma de ADDS
La plataforma ADDS incluye funcionalidad clave que incluye los comportamientos

“encubiertos” que rigen los componentes sobre los que se construye el resto del
servicio de directorio. Las actualizaciones de la plataforma ADDS incluyen la
asignación y escala mejoradas de RID (identificadores relativos), la creación diferida
de índices, varias mejoras de Kerberos y compatibilidad con notificaciones de
Kerberos (consulte Control de acceso dinámico) en AD FS.
Active Directory y ADDS ha sido la base de la infraestructura de TI durante más de 10

años y sus características, adopción, y valor empresarial han aumentado en cada
versión. Hoy en día, gran parte de esa infraestructura de Active Directory se mantiene
local, pero hay una tendencia cada vez mayor a la informática en la nube. Sin
embargo, la adopción de la informática en la nube no se producirá de la noche a la
mañana y la migración de aplicaciones o cargas de trabajos locales adecuadas es un
proceso a largo plazo que debe realizarse poco a poco. Surgirán nuevas
infraestructuras híbridas y es fundamental que ADDS se ajuste a las necesidades de
estos modelos de implementación, nuevos y únicos, que incluyen servicios
hospedados en su totalidad en la nube, servicios integrados por componentes en la
nube y componentes locales, así como servicios exclusivamente locales. Estos
modelos híbridos aumentarán la importancia, visibilidad y énfasis de la seguridad, y la
compatibilidad, así como intensificarán el trabajo, ya de por sí complejo y lento, de
garantizar una correcta auditoría del acceso a los datos y servicios corporativos que
exprese con precisión la intención del negocio.

1.3.3. Estructura lógica del Directorio Activo
La estructura lógica del Directorio Activo es flexible y entrega un método para diseñar
la jerarquía dentro del Directorio Activo.
Componentes lógicos
Los componentes lógicos de la estructura del Directorio Activo son los siguientes:
Dominio
La unidad central de la estructura lógica en el Directorio Activo es el dominio. Un

dominio es una colección de objetos (computadoras, cuentas, recursos, etc.) que
comparten una base de datos común. Un dominio tiene un único nombre y entrega
acceso centralizado de las cuentas de usuario, grupos.
El Bosque
Un bosque es uno o más dominios que comparten un mismo esquema de

configuración, y Catálogo Global.
El Árbol
Un árbol es la agrupación de dominios en un bosque que comparte un mismo espacio

de nombres DNS.
Unidad de organización (OU)
Una OU o Unidad de organización es un contenedor lógico que puede contener

objetos, como cuentas de usuario, grupos, equipos, recursos compartidos y otras OU.
Puede utilizar OU para organizar objetos de Active Directory.
Figura 33: Estructura lógica del Directorio Activo

1.3.4. Consideraciones previas antes de instalar el ADDS
Establecer dirección IP estática en servidor Windows Server 2016
El servidor Windows 2016 debe disponer de una dirección IP fija (estática) y no

establecida por DHCP. Para asegurarse de ello, presione la tecla "Windows" del
teclado o la combinación de teclas Control + Esc para mostrar el nuevo menú de inicio
de Windows 2016, luego presione en "Control Panel":
Presione en "Network and Internet”:
A continuación, presione en "Ethernet" en "Acces type Connections":

Luego, presione en el botón "Properties" de la ventana de "Ethernet Status":
Seleccione "Internet Protocol versión 4 (TCP/IPv4)" y presione en "Properties":

Compruebe que tiene asignada una dirección IP estática (no debe estar marcada la
opción "Obtener una dirección IP automáticamente):
Establecer nombre del servidor Windows Server 2016
En Server Manager, ingrese a la opción Local Server/Computer name/
Presione en la opción “Change” de la ventana de "System Properties”:
Coloque el nombre del servidor: Srv-Cibertec01, luego haga clic en el botón OK.

El sistema operativo indicará que se efectuarán los cambios luego de reiniciar el

servidor.
Aparecerá un mensaje de advertencia para reiniciar el sistema operativo.
Luego de reiniciar el sistema operativo, el “Server Manager” en la opción “Local

Server”, se mostrará la información de los cambios realizados.

Instalar rol de Servidor de DNS en Windows Server 2016
Para instalar el rol o característica de Servicios de Dominio de Active Directory, el

servidor W2016 requerirá del rol "Servidor DNS" instalado. Para instalarlo (si aún no lo
ha hecho), presione la tecla "Windows" del teclado o la combinación de teclas Control
+ Esc. En el menú de Inicio, presione en "Server Manager":
En la ventana Server Manager, presione el menú "Manage" y seleccione la opción

"Add Roles and Features":

Se nos mostrará la ventana “Add roles and Features wizard” e indicará la ayuda para
instalar roles, servicios o características. Haga clic en el botón “Next”.
Luego, se pedirá el tipo de instalación, elija la opción “Role-based or feature-based

installation”, luego haga clic en “Next”.

A continuación, se debe indicar el nombre del servidor destino.
Marque el rol "DNS Server":
El rol "DNS Server" requerirá de la característica "Remote Server Administration Tools"

"Role Administration Tools" - "DNS Server Tools". Se indicará en la ventana “Add
Roles and Features Wizard”, así marcará la opción "Include managament tool (if
applicable)" y presione el botón “Add Features”:

El asistente para agregar roles y características indicará las características que se

instalarán, luego, presione "Next":
El asistente para instalar el rol de Servidor DNS indicará algunas consideraciones a

tener en cuenta, luego presione "Next".
El asistente para agregar roles y características indicará las características y roles

elegido para la instalación, presione "Install":

Se iniciará la instalación del rol de Servidor DNS, el asistente indicará el progreso del
proceso:
El asistente para agregar roles y características nos indicará que el proceso ha

finalizado con el texto "Installation Succeded on Srv-Cibertec01". Presione "Close":
Pulsando en el botón "Inicio", podrá comprobar que se ha añadido un nuevo acceso

directo llamado "DNS", entonces presione sobre éste.
Desde el "DNS Manager", podrá consultar y administrar el servicio de DNS del servidor
Windows 2016:

1.3.5. Instalar rol de Servicios de Dominio de Active Directory en Windows

Server 2016
En el “Server Manager”, presione en "Add roles and features":
Presione "Next":
Con el texto: Este asistente ayuda a instalar roles, servicios de rol o características.
Podrá elegir qué roles, servicios de rol o características desea instalar según las
necesidades de los equipos de la organización, como compartir documentos u

hospedar un sitio web. Para quitar roles, servicios de rol o características, inicie el
asistente para quitar roles y características. Antes de continuar, compruebe que se
han completado las siguientes tareas:
La cuenta de administrador tiene una contraseña segura.

 Las opciones de red, como las direcciones IP estáticas, están configuradas.
Las actualizaciones de seguridad más recientes de Windows Update están
instaladas.
Se debe comprobar que se ha completado cualquiera de los requisitos previos

anteriores. Cierre el asistente, complete los pasos y, después, ejecute de nuevo el
asistente.
Marque la opción "Instalación basada en características o roles" y presione "Siguiente":
Con el texto: Seleccione el tipo de instalación. Puede instalar roles y características

en un equipo físico, en una máquina virtual o en un disco duro virtual (VHD) sin
conexión.
Instalación basada en características o en roles: Para configurar un solo servidor,

agregue roles, servicios de rol y características.
Instalación de Servicios de Escritorio remoto: Instalamos los servicios de rol

necesarios para que la infraestructura de escritorio virtual (VDI) cree una
implementación de escritorio basada en máquinas o en sesiones.
Marque "Seleccionar un servidor del grupo de servidores". Luego, seleccione el

servidor Srv-Cibertec01 (o el servidor que corresponda). Presione el botón "Next".

Luego, marque "Servicios de Dominio de Active Directory":
El rol de "Servicios de Dominio de Active Directory" requiere de otras características,

por lo que si no están instaladas nos lo indicará en la ventana de agregar
características requeridas para Servicios de Dominio de Active Directory. Estas
características son "Herramientas de ADDS y AD LDS", "Módulo de Active Directory
para Windows PowerShell". Marque "Include management tools (if applicable)" y
presione "Add Features".

Tras marcar "Servicios de Dominio de Active Directory" y sus características

requeridas, presione "Next":
El asistente para agregar roles y características de Windows 2016 mostrará las

características que se instalarán, requeridas para el rol Servicios de Dominio de Active
Directory. Luego, presione "Next".

Con el texto: Servicios de Dominio de Active Directory (ADDS) almacena información

acerca de los usuarios, los equipos y otros dispositivos de la red. ADDS ayuda a los
administradores a administrar esta información de forma segura y facilita el uso
compartido de recursos y la colaboración entre usuarios. ADDS, también, se requiere
en aplicaciones habilitadas para el uso de directorios, como Microsoft Exchange
Server y otras tecnologías de Windows Server como la directiva de grupo.
Observaciones
Para ayudar a garantizar que los usuarios puedan iniciar sesión en la red en caso
de una interrupción en el servidor, instale un mínimo de dos controladores de
dominio para un dominio

ADDS requiere la instalación de un servidor DNS en la red. Si no hay un servidor
DNS instalado, se pedirá instalar el rol de servidor DNS en este servidor.

Al instalar ADDS, también, se instalarán los servicios de espacio de nombres DFS,
replicación DFS y replicación de archivos requeridos por el servicio de directorio.
El Asistente para agregar roles y características mostrará todos los roles y

características elegidas para la instalación. Presione "Install":

Se iniciará la instalación, el asistente mostrará el progreso del proceso:
Tras la instalación de Servicios de Dominio de Active Directory, el asistente indicará

que ha concluido. Presione "Close":
En la ventana de Administrador del servidor, aparecerá una advertencia, presione en el

triángulo amarillo de advertencia y presione en "Promocionar este servidor a
controlador de dominio".

Se iniciará el asistente para configuración de Servicios de Dominio de Active Directory.

Puesto que sólo tiene un servidor y es el primero, marque "Add a new forest",
introduciremos el nombre del dominio, por ejemplo "cibertec.com":
El asistente mostrará el nivel funcional del bosque y dominio raíz, con las
posibilidades: Windows Server 2012R2, Windows Server 2012, Windows Server 2008,
y Windows Server 2008 R2, las capacidades del controlador de dominio y la
contraseña para restauración de servicios de directorio (DSRM). Especifique el nivel
funcional para indicar si quiere compatibilidad con sistemas anteriores, en el caso
dejaremos "Windows Server Technical Preview", pues todos los servidores estarán
entre las versiones W2016 nativo. Marque "Servidor de Sistema de nombres de
dominio (DNS)", "Catálogo global (GC)". IIntroduzca una contraseña para modo de
restauración y presione "Next":
Es posible que muestre una advertencia indicando que "No se puede crear una
delegación para este servidor DNS, porque la zona principal autoritativa no se
encuentra". Marque "Crear delegación DNS", pero si no tiene instalado el rol de
Servidor de DNS, tal vez aparezca deshabilitada dicha opción:

Y se mostrará el siguiente mensaje, entonces presione "OK".
Establezca el nombre NetBIOS para el dominio que se creará, por defecto el asistente
usará la primera parte del nombre del dominio especificado anteriormente, en el caso
"cibertec":

A continuación, podrá elegir la ubicación (unidad y carpeta) donde se guardará la base

de datos, los archivos de registro y la carpeta SYSVOL, por defecto:
La carpeta de la base de datos: C:/Windows/NTDS

La carpeta de archivos de registro: C:/Windows/NTDS
La carpeta SYSVOL: C:/Windows/SYSVOL
El asistente para configuración de Servicios de Dominio de Active Directory mostrará

todas las opciones elegidas. Desde ahí, podrá ver el script que generará dicha
configuración pulsando en "View script":

El asistente para configuración de Servicios de Dominio de Active Directory indicará

todas las advertencias relacionadas con requisitos previos que debe cumplir el
servidor, si no son grabes podrá continuar con el proceso. Por supuesto, se debe leer
y resolver las advertencias de requisitos previos que sean necesarias. Presione
"Install":

Algunas advertencias típicas:
Los controladores de dominio de Windows Server 2016 tienen un valor predeterminado

para la configuración de seguridad llamada "Permitir algoritmos de criptografía
compatibles con Windows NT 4.0" que impide los algoritmos de criptografía más
vulnerables al establecer las sesiones del canal de seguridad. Para obtener más
información acerca de esta configuración, consulte el artículo 942564.
Este equipo tiene al menos un adaptador de red físico que no tiene asignadas
direcciones IP estáticas en sus propiedades IP. Si se habilitan IPv4 e IPv6 en un
adaptador de red, se deben asignar direcciones IP estáticas IPv4 e IPv6 a las
propiedades IPv4 e IPv6 del adaptador de red físico. Estas direcciones IP se deben
asignar a todos los adaptadores de red físicos para lograr un funcionamiento confiable
del Sistema de nombres de dominio (DNS).
No se puede crear una delegación para este servidor DNS, porque la zona principal
autoritativa no se encuentra o no ejecuta el servidor DNS de Windows. Si está
realizando una integración en una infraestructura DNS existente, debe crear
manualmente una delegación a este servidor DNS en la zona principal para garantizar
una resolución de nombres confiable desde fuera del dominio "ajpdsoft.local.com". De
lo contrario, no es preciso realizar ninguna acción.
Tras la instalación del rol Servicios de Dominio de Active Directory y tras configurar
Servicios de Dominio de Active Directory en el Administrador del servidor, podrá ver el
estado del rol ADDS:


Resumen
Las estructuras lógicas del Directorio Activo son Dominio, Árbol, Bosque, y
unidades organizacionales.
Los roles del servidor se incorporan desde la herramienta Server Manager.
Para implementar el Directorio Activo, debe existir un Servidor DNS.
El Active Directory Users and Computers nos permite gestionar las cuentas de
usuarios, computadoras, grupos, etc. dentro del Directorio Activo.
Si desea saber acerca de las características del Directorio Activo, puede consultar la
siguiente dirección.
https://www.sidertia.com/Home/Community/Blog/2017/03/09/Windows-Server-
2016-Novedades-en-Directorio-Activo

2
UNIDAD
ADMINISTRACIÓN DE CUENTAS
Al terminar la unidad, el alumno administra cuentas de usuarios, computadoras
y grupos, aplicando las características de las cuentas, con el empleo de la
herramienta administrativa Active Directory Users and Computers.
T EMARIO
2.1 Tema 4 : Gestión de Cuentas de Usuarios y Computadoras
2.1.1 : Uso de la herramienta Cuenta de Usuarios y
Computadoras.
2.1.2 : Gestión de Usuarios y Uso de Plantillas de usuario
2.1.3 : Gestión de Grupos en el Controlador de Dominio.
2.1.4 : Administración y Gestión con unidades organizativas
Los alumnos crean y administran las propiedades de las cuentas de los

 usuarios.
 Los alumnos incorporan las cuentas de computadoras al Dominio.
Los alumnos crean cuentas de grupos usando la interfase gráfica y la
línea de comandos.


2.1. GESTIÓN DE CUENTAS DE USUARIOS Y COMPUTADORAS

2.1.1. Uso de la herramienta Cuenta de Usuarios y Computadoras
Uno de los elementos fundamentales en la administración de una red, es el control de

los usuarios, grupos y equipos. Por ello, debe aprender cómo crearlos, modificarlos,
organizarlos y, si llega el caso, eliminarlos.
Además, debe asignar privilegios para cada uno de ellos, de modo que pueda
establecer en qué medida y bajo qué condiciones podrán beneficiarse de los recursos
de la red.
Para acceder a la Consola “Active Directory Users and Computer“, ingrese al

“Server Manager” luego a la opción “Tools”.
Acceso desde el Server Manager
Al dar clic en la opción “Active Directory Users and Computer”, se mostrará la

siguiente ventana:
Consola Active Directory Users and Computer

2.1.2. Gestión de Usuarios y Uso de Plantillas de usuario
Una cuenta de usuario es un objeto que posee cierta información del usuario. La
cuenta puede ser una cuenta local o una cuenta de Dominio. Una cuenta de usuario
incluye el nombre del usuario y la contraseña con la que el usuario puede registrarse al
dominio y tener acceso a los recursos o servicios de la red.
En definitiva, una cuenta de usuario es un objeto que posibilita el acceso a los

recursos del dominio de dos modos diferentes:
Permite autenticar la identidad de un usuario, porque sólo podrán iniciar una sesión
aquellos usuarios que dispongan de una cuenta en el sistema asociada a una
determinada contraseña.
Permite autorizar, o denegar, el acceso a los recursos del dominio, porque, una vez
que el usuario haya iniciado su sesión sólo tendrá acceso a los recursos para los que
haya recibido los permisos correspondientes.
Cada cuenta de usuario dispone de un identificador de seguridad (SID, Security

IDentifier) que es único en el dominio.
Consideraciones antes de crear una cuenta de usuario
 El nombre de la cuenta puede ser de 20 caracteres alfanuméricos.

Incluye una combinación de caracteres alfanuméricos especiales, excepto los
siguientes: “/ \ ; : = , + * ? < >.”
Por ejemplo, si necesita crear una cuenta para el usuario Ruber Alvarez Rios, la
cuenta podría ser ralvarez.
Al momento de crear las cuentas para los usuarios, debe definir las opciones de la
contraseña. Las opciones de la contraseña son las siguientes:
User must change password at next logon
Esta opción permite cambiar la contraseña cuando el usuario se registra al sistema por
primera vez, o cuando el administrador resetea la contraseña olvidada de los usuarios.

User cannot change password
Esta opción se debe usar cuando uno quiere controlar el cambio de contraseña del
usuario.
Password never expires
Esta opción previene que el usuario cambia su contraseña.
Account is disabled
Esta opción previene que el usuario pueda registrarse usando su cuenta.
Propiedades de las Cuentas de Usuario
Como administradores, se debe administrar y estar familiarizados con las propiedades

de las cuentas de los usuarios. Las propiedades de los usuarios permiten a un
administrador definir el tipo de acceso que tendrá el usuario en la red.
La siguiente tabla, muestra las propiedades más usadas del usuario:
General Nombre, descripción, ubicación de la oficina, número telefónico, dirección

de correo electrónico e información de la página web del usuario
Address Dirección de la calle, oficina postal, ciudad, estado o provincia, código
postal, y el país
Account Nombre de sesión, opciones de la cuenta, cuenta bloqueada, y
expiración de cuenta
Profile La ruta del perfil y directorio particular
Telephone Teléfono de casa, celular, fax, y teléfono IP
Organization Título, departamento
Member Of Grupos a los cuales pertenece el usuario
Dial-in Permiso para acceso remoto, opciones de re-llamada, y una IP estática

Cuentas integradas
Cuando se crea el dominio, se crean, también, dos nuevas cuentas: Administrador e

Invitado. Posteriormente, cuando es necesario, se crea también la cuenta Asistente de
ayuda. Estas son las denominadas cuentas integradas y disponen de una serie de
derechos y permisos predefinidos:
Administrador: Tiene control total sobre el dominio y no se podrá eliminar ni retirar del
 grupo Administradores (aunque sí puede cambiarle el nombre o deshabilitarla).
Invitado: Está deshabilitada de forma predeterminada y, aunque no se
recomienda, puede habilitarse, por ejemplo, para permitir el acceso a los usuarios
que aún no tienen cuenta en el sistema o que la tienen deshabilitada. De forma
predeterminada, no requiere contraseña, aunque esta característica, como
 cualquier otra, puede ser modificada por el administrador.
Asistente de ayuda: Se utiliza para iniciar sesiones de Asistencia remota y tiene
acceso limitado al equipo. Se crea automáticamente cuando se solicita una sesión
de asistencia remota y se elimina cuando dejan de existir solicitudes de asistencia
pendientes de satisfacer.
Por último, es importante tener en cuenta que, aunque la cuenta Administrador esté
deshabilitada, podrá seguir usándose para acceder al controlador de dominio en modo
seguro.
Cuentas de equipos
Como ocurría con las cuentas de usuario, una cuenta de equipo sirve para autenticar a
los diferentes equipos que se conectan al dominio permitiendo o denegando su acceso
a los diferentes recursos del dominio.
Del mismo modo que con las cuentas de usuario, las cuentas de equipo deben ser
únicas en el dominio.
Aunque una cuenta de equipo se puede crear de forma manual (como veremos más
adelante), también se puede crear en el momento en el que el equipo se une al
dominio.
Las propiedades de las cuentas de computadora sirven para definir la ubicación

(Locations) de la computadora y por quien está siendo administrada la computadora
(Manager By).

Procedimiento para crear una Cuenta de Usuario
Usando la interfaz gráfica
Haga clic en Start, seleccione Administrative Tools, y luego Active Directory Users
and Computers.
En el árbol de la consola, haga doble clic en el nodo del Dominio.
En el panel de detalles, haga clic derecho en la Unidad Organizacional donde

quiere agregar al usuario. Seleccione New, y luego haga clic en User.
En la ventana New Object-User, en First Name, escriba el nombre del usuario.
En el cuadro Initials, escriba las iniciales del usuario.
En el cuadro Last Name, escriba el apellido del usuario.
En el cuadro User Logon Name, escriba el nombre que el usuario usará para
iniciar sesión en la red.
Haga clic en el sufijo User Principal Name (UPN) en la lista desplegable y, a

continuación, haga clic en Next.
En el cuadro Password y Confirm password, escriba la contraseña del usuario.
Seleccione las opciones de contraseña apropiadas.
Haga clic en Next, y luego en Finish.
Mediante línea de comandos
Otra manera de crear cuentas de usuario es usando el comando dsadd.
El comando dsadd user agrega una única cuenta de usuario al A.D. desde el modo
comando con un archivo batch.
Abra la ventana del símbolo del sistema.
Escriba lo siguiente:
dsadd user DNUsuario [-samid nombreSAM] -pwd {contraseña|*}
Sintaxis
dsadd user DNUsuario [-samid nombreSAM] [-upn UPN] [-fn nombre] [-mi inicial] [-ln
apellidos] [-display nombreDescriptivo] [-empid idEmpleado] [-pwd {contraseña | *}] [-
desc descripción] [-memberof grupo ...] [-office oficina] [-tel númeroDeTeléfono] [-
email correoElectrónico] [-hometel númeroDeTeléfonoParticular] [-pager
númeroDeLocalizador] [-mobile númeroDeTeléfonoMóvil] [-fax númeroDeFax] [-iptel
númeroDeTeléfonoIP] [-webpg páginaWeb] [-title cargo] [-dept departamento] [-
company compañía] [-mgr director] [-hmdir directorioPrincipal] [-hmdrv
letraDeUnidad:][-profile rutaDeAccesoDePerfil] [-loscr
rutaDeAccesoDeSecuenciaDeComandos] [-mustchpwd {yes | no}] [-canchpwd {yes |
no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires

númeroDeDías] [-disabled {yes | no}] [{-s servidor | -d dominio}] [-u

nombreDeUsuario] [-p {contraseña | *}] [-q] [{-uc | -uco | -uci}]
Parámetros
DNUsuario
Requerido. Especifica el nombre completo (DN) del usuario que desea agregar. Si se
omite el nombre completo, se tomará de los datos de entrada estándar (stdin).
samid nombreSAM
Especifica el nombre de cuenta SAM exclusivo que debe utilizarse para este usuario
(por ejemplo, Laura). Si no se especifica, dsadd intentará crear el nombre de cuenta
SAM con los 20 primeros caracteres del valor del nombre común (CN) de DNUsuario.
upn UPN
Especifica el nombre principal de usuario del usuario que desea agregar (por ejemplo,
Laura@widgets.microsoft.com).
fn nombre
Especifica el nombre del usuario que desea agregar.
mi inicial
Especifica la inicial del segundo nombre del usuario que desea agregar.
ln apellidos
Especifica los apellidos del usuario que desea agregar.
display nombreDescriptivo
Especifica el nombre descriptivo del usuario que desea agregar.
empid idEmpleado
Especifica el Id. empleado del usuario que desea agregar.
pwd {contraseña | *}
Especifica que la contraseña del usuario se establezca en contraseña o *. Si se

establece en *, se le solicitará una contraseña de usuario.
desc descripción
Especifica la descripción del usuario que desea agregar.
memberof DNGrupo ...
Especifica los nombres completos de los grupos de los que desea que el usuario sea
miembro.

office oficina
Especifica la ubicación de la oficina del usuario que desea agregar.
tel númeroDeTeléfono
Especifica el número de teléfono del usuario que desea agregar.
email Correo electrónico
Especifica la dirección de correo electrónico del usuario que desea agregar.
hometel númeroDeTeléfonoParticular
Especifica el número de teléfono particular del usuario que desea agregar.
pager númeroDeLocalizador
Especifica el número de localizador del usuario que desea agregar.
mobile númeroDeTeléfonoMóvil
Especifica el número de teléfono móvil del usuario que desea agregar.
fax númeroDeFax
Especifica el número de fax del usuario que desea agregar.
iptel númeroDeTeléfonoIP
Especifica el número de teléfono IP del usuario que desea agregar.
webpg páginaWeb
Especifica la dirección URL de la página Web del usuario que desea agregar.
title cargo
Especifica el cargo del usuario que desea agregar.
dept departamento
Especifica el departamento del usuario que desea agregar.
company compañía
Especifica la información de compañía del usuario que desea agregar.
mgr DNDirector
Especifica el nombre completo del director del usuario que desea agregar.
hmdir directorioPrincipal

Especifica la ubicación del directorio principal del usuario que desea agregar. Si
directorioPrincipal se proporciona como una ruta de acceso de Convención de
nomenclatura universal (UNC), debe utilizar el parámetro <NOBR><b>-
hmdrv</b></NOBR> para especificar una letra de unidad que se asignará a la ruta de
acceso.
hmdrv letraDeUnidad
Especifica la letra de unidad (por ejemplo, E:) del directorio principal del usuario que
desea agregar.
profile rutaDeAccesoDePerfil
Especifica la ruta de acceso del perfil del usuario que desea agregar.
loscr rutaDeAccesoDeSecuenciaDeComandos
Especifica la ruta de acceso de la secuencia de comandos de inicio de sesión del

usuario que desea agregar.
mustchpwd {yes | no}
Indica si los usuarios deben cambiar su contraseña cuando vuelvan a iniciar una
sesión (yes) o no (no). De forma predeterminada, el usuario no necesita cambiar la
contraseña (no).
canchpwd {yes | no}
Indica si los usuarios pueden cambiar su contraseña (yes) o no (no). De forma

predeterminada, el usuario tiene permiso para cambiar la contraseña (yes). El valor de
este parámetro deberá ser yes si el valor del parámetro -mustchpwd es yes.
reversiblepwd {yes | no}
Especifica si la contraseña de usuario debe almacenarse con cifrado reversible (yes) o

no (no). De forma predeterminada, el usuario no puede utilizar cifrado reversible (no).
pwdneverexpires {yes | no}
Indica si la contraseña del usuario nunca caduca (yes) o caduca (no). De forma
predeterminada, la contraseña del usuario caduca (no).
acctexpires númeroDeDías
Especifica el número de días contados a partir del día actual al cabo de los cuales la
cuenta caducará.
El valor 0 establece la caducidad al final del día actual.
Un valor positivo establece la caducidad en una fecha futura.
Un valor negativo establece la caducidad en una fecha pasada.
El valor never establece que la cuenta no caduque.

Por ejemplo, el valor 0 implica que la cuenta caduca al final del día actual.
El valor -5 implica que la cuenta caducó hace 5 días y establece una fecha de
caducidad pasada.
El valor 5 define la caducidad de la cuenta en el plazo de 5 días en el futuro.
disabled {yes | no}
Indica si la cuenta de usuario está deshabilitada para el inicio de sesión (yes) o no

(no).
Por ejemplo, el comando
dsadd user CN=Nicolettep,CN=Users,DC=Widgets,DC=Microsoft,DC=Com pwd-

Password1 -disabled no
Crea una cuenta de usuario Nicolettep con el estado habilitado. De forma

predeterminada, la cuenta de usuario está deshabilitada para el inicio de sesión (yes).
Por ejemplo, el comando
dsadd user CN=Nathanp,CN=Users,DC=Widgets,DC=Microsoft,DC=Com
crea una cuenta de usuario Nathanp con el estado deshabilitado.
{-s servidor | -d dominio}
Se conecta a un servidor remoto o dominio especificado. De manera predeterminada,

el equipo está conectado al controlador de dominio en el dominio de inicio de sesión.
u nombreDeUsuario
Indica el nombre de usuario con el cual el usuario iniciará una sesión en un servidor
remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que se ha
iniciado la sesión. Puede especificar un nombre de usuario utilizando uno de los
siguientes formatos:
nombre de usuario (por ejemplo, Laura)


dominio\nombre de usuario (por ejemplo, widgets\Laura)

nombre principal de usuario (UPN) (por ejemplo, Laura@widgets.microsoft.com)
- p {contraseña | *}
Especifica si se debe utilizar una contraseña o un * para iniciar una sesión en un

servidor remoto. Si escribe *, se le solicitará una contraseña.
Suprime toda la información de salida a la salida estándar (modo silencioso).
{-uc | -uco | -uci}

Especifica que los datos de salida o de entrada tendrán formato Unicode. En la

siguiente tabla, se enumera y describe cada formato.
Procedimiento para unir computadoras al Dominio
Se debe tener un Cliente Windows 10 previamente instalado, dispuesto a unirlo al

dominio “Cibertec.com”. Recuerde que debe estar conectado a la misma red del
controlador de Dominio y, dentro de la máquina, se establece una dirección IP en el
mismo segmento de RED.
Esta es la configuración en un Cliente Windows 10.
Compruebe ping y Nslookup.
Antes de usar el comando nslookup, debe de crear la dirección inversa en el DNS del
Dominio:

Luego, haga la consulta desde el Cliente:
Ahora, en el servidor de Dominio, en la interfaz Server manager y, en la opción Tools,

busque una opción llamada Active Directory Users and Computers.
Se iniciará una nueva ventana con dicha aplicación. Ahí, desglose el Dominio.
Ahora, en el Cliente, se unirá al Dominio conectándolo mediante el usuario

Administrador. En este caso, se tiene un Windows 10, ingrese al menú
Inicio>Equipo>Clic derecho-Propiedades. Seleccione esta opción y le haga clic en
cambiar configuración.

Seleccione “Cambiar configuración”.
Haga clic en el botón cambiar y escriba el Dominio, y acepte.

Escriba el Usuario Administrador del Dominio y su respectiva contraseña.
Acepte y se mostrará el siguiente mensaje:
Luego, reinicie la PC:

Reinicie, luego ingrese como el Usuario Cliente. Al iniciar el S.O., no seleccione entrar
como Administradores locales, sino como otro usuario.
Escriba el usuario y su contraseña.
El Windows configura el nuevo usuario.

Como ve, se unió perfectamente al Dominio. Por último, se mostrará el computador

nuevo que se conectó a dicho usuario en el Windows server 2016.

Restricciones de Usuarios por Controlador de Dominio
a) Iniciar sesión desde una sola estación de trabajo
Dentro de las propiedades del Usuario, en la Pestaña Account, haga clic en Log On
To.
Se muestra una pantalla en donde se agrega cada PC que el usuario usará para iniciar
sesión.
Luego, se mostrará la siguiente pantalla:

Restricción de hora de ingreso
Dentro de las propiedades del Usuario, en la pestaña de Account, haga clic en Logon
Hours.
Se muestra la pantalla siguiente, en donde se puede personalizar las horas de ingreso

al Dominio.

Deniegue el acceso todos los días de la semana desde las 12:00 AM a 6:00 A.M.
Resetear contraseña del usuario
Abra Active Directory Users and Computers.


En el árbol de la consola del Dominio, haga clic en Users. Luego, haga clic en la
carpeta que contenga la cuenta de usuario.

En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el
usuario cuya contraseña desea restablecer y, a continuación, haga clic en Reset
password.

Escriba y confirme la contraseña.
Si desea que el usuario cambie esta contraseña en el siguiente proceso de inicio

de sesión, active la casilla de verificación “El usuario debe cambiar la contraseña
en el siguiente inicio de sesión”.
2.1.3. Gestión de Grupos en el Controlador de Dominio
Un grupo es una colección de cuentas de usuarios. Los grupos se pueden usar de

manera eficiente para asignar permisos a los recursos en el dominio. Los grupos se
pueden usar de forma separada, o agrupar un grupo dentro de otro.
Antes de usar los grupos, debe entender la función de los grupos y los tipos de grupos
que se pueden crear. El servicio del Directorio Activo soporta diferentes tipos de
grupos y también entrega la opción para determinar el ámbito del grupo.
Puede utilizar los grupos para simplificar algunas tareas, como las siguientes:
Simplificar la administración: Puede asignar permisos al grupo y éstos afectarán a

todos sus miembros.

Delegar la administración: Puede utilizar la directiva de grupo para asignar

derechos de usuario una sola vez y, más tarde, agregar los usuarios a los que
queramos delegar esos derechos.

Crear listas de distribución de correo electrónico: Sólo se utilizan con los grupos
de distribución que comentaremos más abajo.
El Directorio Activo proporciona un conjunto de grupos predefinidos que pueden

utilizarse tanto para facilitar el control de acceso a los recursos como para delegar
determinados roles administrativos. Por ejemplo, el grupo Operadores de copia de
seguridad permite a sus miembros realizar copias de seguridad de todos los
controladores de dominio, en el dominio al que pertenecen.
a) Ámbito de los Grupos
El ámbito de un grupo establece su alcance, es decir, en qué partes de la red puede

utilizarse, y el tipo de cuentas que pueden formar parte de él. En ese sentido, pueden
pertenecer a una de las siguientes categorías:
Ámbito local: Entre sus miembros pueden encontrarse uno o varios de los siguientes
tipos de objetos:
Cuentas de usuario o equipo

Otros grupos de ámbito local
Grupos de ámbito global
Grupos de ámbito universal
Las cuentas o grupos contenidos tendrán necesidades de acceso similares dentro del
propio Dominio. Por ejemplo, los que necesiten acceder a una determinada impresora.
Ámbito global: Sólo pueden incluir otros grupos y cuentas que pertenezcan al
Dominio en el que esté definido el propio grupo.
Los miembros de este tipo de grupos pueden tener permisos sobre los recursos de
cualquier dominio dentro del bosque. Sin embargo, estos grupos no se replican fuera
de su propio Dominio, de modo que, la asignación de derechos y permisos que
alberguen, no serán válidas en otros Dominios del bosque.
Ámbito universal: Entre sus miembros, pueden encontrarse cuentas o grupos de

cualquier Dominio del bosque, a los que se les pueden asignar permisos sobre los
recursos de cualquier Dominio del bosque.
b) Tipos de Grupos
Existen dos tipos de Grupos en Active Directory:
Grupos de distribución: Se utilizan en combinación con programas como Microsoft

Exchange Server para crear listas de distribución de correo electrónico. Estos grupos
no disponen de características de seguridad, por lo que no pueden aparecer en las
listas de control de acceso discrecional (DACL, Discretionary Access Control Lists).
Grupos de seguridad: Permiten asignar permisos a las cuentas de usuario, de equipo

y grupos sobre los recursos compartidos. Con los grupos de seguridad puede:

Asignar derechos de usuario a los grupos de seguridad del Directorio Activo. De

esta forma, puede establecer qué acciones pueden llevar a cabo sus miembros
dentro del dominio (o del bosque). Como verá después, durante la instalación del
Directorio Activo, se crean grupos de seguridad predeterminados que facilitan al
administrador la delegación de ciertos aspectos de la administración (como, por
ejemplo, las copias de seguridad) en otros usuarios del sistema.

Asignar permisos para recursos a los grupos de seguridad. Lo que nos permite
definir quién accede a cada recurso y bajo qué condiciones (control total, sólo
lectura, etc.) También se establecen permisos de forma predeterminada sobre
diferentes objetos del dominio para ofrecer distintos niveles de acceso.
Al igual que los grupos de distribución, los grupos de seguridad también se pueden
utilizar como una entidad de correo electrónico. Al enviar un mensaje de correo
electrónico al grupo, el mensaje se envía a todos sus miembros.
c) Grupos por defecto en el Directorio Activo
Los grupos por defecto son grupos de seguridad por defecto, creados cuando uno
instala el Directorio Activo. Puede usar estos grupos predefinidos para administrar los
recursos compartidos y delegar roles en el Dominio.
Muchos grupos por defecto tienen asignados una serie de derechos de manera
automática. Los derechos autorizan a los miembros del grupo a realizar acciones
específicas, como el inicio de sesión local o hacer backups de archivos y fólderes. Por
ejemplo, los miembros del grupo Backup Operators tiene el derecho de realizar las
operaciones de backup por todos los controladores de dominio.
Muchos grupos por defecto se encuentran en el contenedor Users y Builtin del

Directorio Activo.
Grupos en el contenedor builtin
Los miembros pueden crear, modificar, y borrar las

cuentas de usuarios, grupos, y computadoras localizadas
Account Operators
en los contenedores Users o Computers y en los demás
OUs, excepto por el contenedor Domain Controllers.
Domain Guest Este grupo contiene todos los invitados del dominio.
Este grupo contiene todos los usuarios del dominio.
Domain Users Cualquier cuenta de usuario creada en el Dominio es
automáticamente miembro de este grupo.
Este grupo contiene todas las estaciones de trabajo y
servidores que se unieron al Dominio.
Domain Computers
Cualquier cuenta de computadora creada en el Dominio
es automáticamente miembro de este grupo.
Los miembros tienen el control total sobre el Dominio.
Este grupo es un miembro del grupo administradores en
Domain admin todos los controladores de Dominio, en las computadoras
y todos los servidores miembros que pertenecen al
Dominio.
Los miembros tienen el control total de todos los Dominios
en el bosque.
Enterprise admin
Este grupo es un miembro del grupo Administradores en
todos los controladores de Dominio en el bosque.
Los miembros pueden modificar las políticas de grupo en
Group Policy Creator
el Dominio.

Domain Controllers
Cuentas son
Almacenadas
en el
Directorio activo
Grupos en el Directorio
Activo
d) Estrategia A.G.DL.P. para administrar Grupos
La estrategia AGDLP es la mejor guía práctica para administrar de manera eficiente el

acceso a los recursos entre Dominios en una red Con Windows Server. AGDLP se
aplica cuando diseñas la construcción de usuarios y grupos como también la
configuración de los permisos NTFS.
Aplicando la estrategia agdlp
A: Cree una cuenta de usuario (Account).
G: Cree un grupo global (Global Group) y agregue la cuenta del usuario que cree
como miembro del grupo.
DL: Cree a grupo de Dominio Local (Domain Local) en el Dominio que contiene el
recurso al que desea brindar acceso y, luego, agregue al Grupo Global del paso 2
como un miembro de este Grupo de Dominio Local.
P: Asigne los permisos (Permission) de los recursos usando el Grupo de Dominio

Local creado en el paso 3.

Estrategia A-G-DL-P
Creación de Grupos
Mediante la interfaz de windows
Abra Active Directory Users and Computers.
En el árbol de la consola, haga clic con el botón secundario del mouse donde
desea agregar un nuevo grupo.
Seleccione New y, después, haga clic en Group.
Escriba el nombre del grupo nuevo.
De forma predeterminada, el nombre que escriba se usará también para el grupo

nuevo en versiones anteriores a Windows 2000.
En Ámbito de grupo, haga clic en las opciones necesarias (Local, Global,

Universal).

En Tipo de grupo, haga clic en las opciones necesarias (Seguridad o Distribución).
Mediante la línea de comandos
Abra la ventana del símbolo del sistema.
dsadd group DNGrupo -samid nombreSAM -secgrp sí | no -scope l | g | u
Sintaxis
dsadd group DNGrupo [-secgrp {yes | no}] [-scope {l | g | u}] [-samid nombreSAM] [-
desc descripción] [-memberof grupo ...] [-members miembro ...] [{-s servidor | -d
dominio}] [-u nombreDeUsuario] [-p {contraseña | *}] [-q] [{-uc | -uco | -uci}]
Parámetros
DNGrupo
Requerido. Especifica el nombre completo (DN) del grupo que desea agregar. Si se
omite el nombre completo, se tomará de los datos de entrada estándar (stdin).
secgrp {yes | no}
Especifica si el grupo que desea agregar es un grupo de seguridad (yes) o un grupo

de distribución (no). De forma predeterminada, el grupo se agrega como grupo de
seguridad (yes).
scope {l | g | u}
Especifica si el ámbito del grupo que desea agregar es un dominio local (l), global (g),
o universal (u). Si el dominio está en modo mixto, no se admite el ámbito universal. De
forma predeterminada, el ámbito del grupo se establece en global.
samid nombreSAM
Especifica el nombre de cuenta SAM exclusivo que debe utilizarse para este grupo
(por ejemplo, operadores). Si no se especifica este parámetro, se genera a partir del
nombre completo relativo.
desc descripción
Especifica la descripción del grupo que desea agregar.
member of grupo ...
Especifica los grupos a los que se debe agregar el nuevo grupo.
members miembro ...
Especifica los miembros que se deben agregar al nuevo grupo.


u nombreDeUsuario
remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que se ha
iniciado la sesión. Puede especificar un nombre de usuario utilizando uno de los



nombre principal de usuario (UPN) (por ejemplo, Laura@widgets.microsoft.com) -
p {contraseña | *}

Agregar miembros a un Grupo
Mediante la interfaz de windows
1. Abra Active Directory Users and Computers.
En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el
grupo y, a continuación, haga clic en Propiedades.

En la pestaña Members, haga clic en Add.
Escriba los nombres de objetos que desea seleccionar. Escriba el nombre del
usuario, grupo o equipo que desea agregar al grupo y, después, haga clic en OK.
Mediante la línea de comandos
1. Abra la ventana del símbolo del sistema.
dsmod group DNGrupo –addmbr DNMiembro
Sintaxis
dsmod groupDNGrupo ... [-samid nombreSAM] [-desc descripción] [-secgrp {yes | -

no}] [-scope {l | g | u}] [{-addmbr | rmmbr | -chmbr} DNMiembro ...] [{-s servidor | -d
dominio}] [-u nombreDeUsuario] [-p {contraseña | *}] [-c] [-q] [{-uc | -uco | -uci}]
Parámetros
DNGrupo ...

Requerido. Especifica el nombre completo (DN) de cada grupo que desea modificar. Si
se omiten los valores, éstos se obtienen a través de datos de entrada estándar (stdin)
para admitir la canalización de datos de salida procedentes de otro comando a los
datos de entrada de este comando. Si DNGrupo ... y DNMiembro ... se utilizan
conjuntamente, sólo podrá tomarse un parámetro procedente de los datos de entrada
estándar, con el requisito de que se especifique como mínimo un parámetro en la línea
de comandos.
samid nombreSAM
Especifica el nombre de cuenta SAM de cada grupo que desea modificar.
desc descripción
Especifica la descripción de cada grupo que desea modificar.
secgrp {yes | no}
Establece el tipo de grupo en grupo de seguridad (yes) o grupo de distribución (no).
scope {l | g | u}
Establece el ámbito de los grupos en local, global o universal. Si el dominio está en

modo mixto, no se admite el ámbito universal. Tampoco es posible convertir un grupo
local de dominio en un grupo global o viceversa.
{-addmbr | -rmmbr | -chmbr} DNMiembro ...
Especifica que los miembros indicados en DNMiembro ... deben agregarse, quitarse o
reemplazarse en el grupo. Sólo se puede especificar uno de estos parámetros en una
única invocación del comando. DNMiembro ... especifica el nombre completo de uno o
varios miembros que se agregarán, eliminarán o reemplazarán en el grupo
especificado en DNGrupo. Cada miembro debe suministrarse como un nombre
completo (por ejemplo, CN=Miguel Rodríguez,OU=Usuarios,DC=Microsoft,DC=Com).
La lista de miembros debe ir a continuación de los parámetros -addmbr, -rmmbr y -
chmbr. Si se omiten los valores, éstos se obtienen a través de datos de entrada
estándar (stdin) para admitir la canalización de datos de salida procedentes de otro
comando a los datos de entrada de este comando. Si DNGrupo ... y DNMiembro ... se
utilizan conjuntamente, sólo podrá tomarse un parámetro procedente de los datos de
entrada estándar, con el requisito de que se especifique como mínimo un parámetro
en la línea de comandos.

u nombreDeUsuario
remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que el usuario
ha iniciado la sesión. Puede especificar un nombre de usuario utilizando uno de los



nombre principal de usuario (UPN) (por ejemplo, Laura@widgets.microsoft.com)
p {contraseña | *}

Informa de los errores, pero continúa con el siguiente objeto de la lista de argumentos
cuando se especifican múltiples objetos de destino (modo de funcionamiento
continuo). Sin esta opción, el comando sale cuando se genera el primer error.
{-uc | -uco | -uci}
Especifica que los datos de salida o de entrada tendrán formato Unicode. En la

siguiente tabla, se enumera y describe cada formato.
Valor Descripción
-uc Especifica formato Unicode para la entrada desde o salida hacia una
canalización (|).
-uco Especifica formato Unicode para la salida hacia una canalización (|) o un
archivo.
-uci Especifica formato Unicode para la entrada desde una canalización (|) o
un archivo.

2.1.4. Administración y Gestión con unidades organizativas
Tras instalar el rol de Servicios de Dominio de Active Directory, podrá crear todos los
objetos necesarios para nuestro dominio (impresoras, carpetas compartidas, usuarios,
unidades organizativas, alias, grupos, contactos, equipos). Para crear una unidad
organizativa, presione la tecla "Windows" del teclado (o las teclas Control + Esc). En el
menú de Inicio, presione en " Active Directory Users and Computer".
En el árbol de la izquierda, presione con el botón derecho del ratón sobre el servidor
"cibertec.com". En el menú desplegable, presione en "New" - "Organizational Unit":
Introduzca un nombre para la unidad organizativa, por ejemplo "UO_SISTEMAS" y

presione "OK":

Las unidades organizativas servirán como contenedor para otros objetos de Active
Directory, como usuarios, equipos, impresoras.
También, servirán para establecer directivas diferentes por unidad organizativa.
Cree la unidad organizativa UO_RRHH.

Resumen
El Active Directory Users and Computers nos permite crear, modificar y eliminar
objetos (cuentas de usuarios, computadoras, grupos, etc.) dentro del Directorio
Activo.
El comando dsadd puede crear objetos dentro del Directorio Activo.
Los grupos de seguridad son usados para permitir el acceso a los recursos de la red.
4.
Un grupo local no puede ser miembro de otro grupo.
Si desea saber más acerca de estos temas, puede consultar las siguientes páginas:
http://technet.microsoft.com/en-us/library/cc754217.aspx
Aquí, hallará información sobre la administración de usuarios, grupos y
computadores en el servicio de Active Directory.
http://technet.microsoft.com/en-us/library/cc771069.aspx
Aquí, encontrará información técnica de los usuarios, computadoras, y grupos
del Directorio Activo.


3
UNIDAD
PERMISOS DE COMPARTIR Y
NTFS
Al terminar la unidad, el alumno controla el acceso a los recursos de la red,
asigna permisos locales y de red sobre las carpetas aplicando los fundamentos
de los permisos, con el empleo del Explorador de Windows.
T EMARIO
3.1 Tema 5 : Gestión de Carpetas Compartidas
3.1.1 : Implementación de Carpetas Compartidas
3.1.2 : Permisos NTFS de carpetas y archivos
3.1.3 : Directorio particular
3.1.4 : Creación de scripts de inicio de sesión
 Los alumnos configuran los permisos en las carpetas compartidas.

Los alumnos se conectan a los recursos compartidos usando la
 interface gráfica o línea de comandos.
Los alumnos configuran los permisos NTFS en carpetas y archivos
 Los alumnos implementan el Directorio Particular.
Los alumnos implementan scripts de inicio de sesión para el mapeo
de una unidad de red.

3.1. GESTIÓN DE CARPETAS COMPARTIDAS

3.1.1. Implementación de Carpetas Compartidas
3.1.1.1. ¿Qué es una carpeta compartida?
Las carpetas compartidas le dan al usuario acceso a los archivos y carpetas desde la
red. Los usuarios pueden conectarse a una carpeta compartida desde cualquier parte
de la red. Las carpetas compartidas pueden contener aplicaciones, data pública, o
data personal de los usuarios. El uso de las carpetas compartidas centraliza la
administración y permite la instalación de aplicaciones dentro de un servidor y no en
cada computadora cliente. Además, el uso de las carpetas compartidas con data
suministra una ubicación central para que los usuarios accedan a archivos comunes y
realicen un backup de sus archivos de manera sencilla.
3.1.1.2. Caraterísticas de una carpeta compartida
Algunas de las características más comunes de las carpetas compartidas son las
siguientes:
Una carpeta compartida aparece en el Explorador de Windows con un ícono de 2

usuarios.

Puede compartir carpetas, no archivos individuales. Si múltiples usuarios necesitan
acceder a similares archivos, debe ubicarlos en una carpeta y luego compartirla.

Cuando una carpeta es compartida, por defecto el usuario que la comparte tiene el
permiso de control total.

Cuando copiamos una carpeta compartida, el recurso original compartido es aún
compartido, pero la copia ya no lo es. Cuando un recurso compartido es movido a
otra ubicación, la carpeta ya deja de estar compartida.
3.1.1.3. Permisos
Los permisos definen el tipo de acceso otorgado a un usuario, grupo, o computadora

hacia un objeto. Por ejemplo, se puede dar el permiso de lectura al contenido de un
archivo y a otro usuario se puede dar el permiso de cambio, de esta manera se
previene que todos los otros usuarios puedan modificar el documento.
3.1.1.4. Tipos de Permisos
Cuando se configuran los permisos, se especifica el nivel de acceso para el grupo o

usuarios. El permiso depende del tipo de objeto. Por ejemplo, el permiso sobre un
archivo es diferente al permiso que se tiene sobre las llaves del registro. Los siguientes
son los permisos más comunes:
Permiso de Lectura (Read)
El permiso de lectura es el permiso, por defecto, de las carpetas compartidas y es

aplicado al grupo Everyone. Este permiso permite ver los nombres de los archivos y
sub-carpetas, ver la data en los archivos y atributos y ejecutar archivos de programas.

Permiso de Cambio (Change)

El permiso de cambio incluye el permiso de lectura y también nos permite agregar
archivos y sub-carpetas, cambiar el dato de los archivos y borrar carpetas y archivos.
Permiso de Control Total (Full Control)
El permiso de control total incluye el permiso de lectura y, también, nos permite

cambiar los permisos NTFS de los archivos y carpetas.
3.1.1.5. ¿Qué son los recursos administrativos?
Windows Server 2016 continúa compartiendo automáticamente carpetas para que

puedas realizar tareas administrativas. Estos recursos tienen asignado el signo del $ al
final del nombre del recurso.
Por defecto, los miembros del grupo administradores tienen el permiso de control total
sobre las carpetas administrativas. La siguiente lista describe los propósitos de las
carpetas compartidas administrativas que tiene Windows 2016.
Carpeta compartida Propósito

C$, D$, E$ Todos los discos duros son compartidos automáticamente.
Esta es la carpeta del sistema operativo, por defecto es c:\Windows. Los
administradores pueden acceder a esta carpeta compartida para
Admin$
administrar Windows Server 2016 sin necesidad de saber en qué carpeta
está instalado Windows.
Esta carpeta permite suministrar el acceso al driver de la impresora a las
computadoras Clientes. Cuando se instala la primera impresora
compartida, el Directorio systemroot\system32\Spool\Drivers se comparte
Print$ como Print$. Únicamente, los miembros del grupo administradores,
operadores de servidores, y operadores de impresión tienen el permiso
de control total sobre esta carpeta. El grupo Everyone tiene el permiso de
lectura sobre este fólder.
Esta carpeta es usada durante la administración remota de una
IPC$
computadora.
3.1.1.6. Configuración de carpetas compartidas
En este escenario, se cuenta con el siguiente organigrama:
Dominio:
CIBERTEC.COM
Unidad Organizativa: Unidad Organizativa:

OU_SISTEMAS OU_RRHH
Grupo: Grupo:
G_SISTEMAS G_RRHH
Usuarios: Usuarios:
scamacho zbalabarca
sdiaz ntorres
Organigrama de la empresa CIBERTEC.COM

Recuerde que, para la creación de las unidades organizativas, grupos y usuarios,

puede revisar la Unidad 2 del presente manual.
En esta actividad, comparta la carpeta “SISTEMAS” ubicada en la unidad “D” con el

usuario scamacho, el cual deberá tener el permiso de Full Control. Además, comparta
la carpeta “RRHH” de forma oculta con todos los usuarios del grupo G_RRHH, quienes
deberán tener el permiso de Read
En el servidor, haga clic en el botón Start y seleccione la opción This PC
En la ventana This PC, haga doble clic a la unidad New Volume (D:).

Dentro de la unidad D, cree las carpetas “SISTEMAS” y “RRHH”.
Luego, haga clic derecho primero sobre la carpeta SISTEMAS y seleccione la opción
Properties.
En la ventana SISTEMAS Properties, seleccione la pestaña Sharing.

Luego, seleccione la opción Advanced Sharing.
En la ventana Advanced Sharing, seleccione Share this folder y, en Share name,

utilice automáticamente el nombre de la carpeta como nombre de recurso
compartido (siempre y cuando no haya otro recurso compartido con ese nombre en
el equipo). Si se desea, se puede asignar un nombre diferente al recurso
compartido. Luego, haga clic en el botón Permissions.

En la ventana Permission for SISTEMAS, haga clic en el botón Add de Group or

user names.
En la ventana Select Users, Computers, Service Accounts, or Groups, escriba, en

Enter the object names to select, los nombres de los usuarios o grupos que se
desea agregar a la carpeta compartida SISTEMAS. En el caso, es solo el usuario
scamacho. Luego, haga clic en OK.

Luego, para otorgar el permiso de Full Control al usuario scamacho, para la carpeta
compartida, haga clic en el usuario y, en el cuadro Permission for scamacho,
active la casilla de Full Control de la columna Allow (las casillas Change y Read
se activan automáticamente). Luego, haga clic en Apply y después en OK.
Ahora, en la ventana Advanced Sharing, haga clic en Apply y, después, en OK.
Finalmente, en la ventana SISTEMAS Properties, haga clic en Close.

Ahora, comparta la carpeta “RRHH”. Para ello, inicie repitiendo los pasos del 4 al 6
sobre la carpeta “RRHH” de la unidad D. Luego, en la ventana Advanced Sharing,
seleccione Share this folder y, en Share name, utilice automáticamente el nombre
de la carpeta como nombre de recurso compartido agregando el símbolo $ para
que la carpeta sea oculta. Las carpetas ocultas se utilizan para asegurar que solo
el usuario o grupo al cual le estamos compartiendo esta carpeta la vea. Basta con
colocar al final del nombre del recurso compartido el símbolo $ y la carpeta no se
verá por el entorno de red, sino, se tiene que acceder a ella escribiendo toda la ruta
de acceso, incluyendo el símbolo $ (Ejemplo:\\servidor\oculto$). Luego, haga clic
en el botón Permissions.
En la ventana Permission for RRHH$, haga clic en el botón Add de Group or user
names.


Enter the object names to select, los nombres de los usuarios o grupos que se
desea agregar a la carpeta compartida RRHH. En el caso, es el grupo G_RRHH.
Luego, haga clic en OK.
Luego, para otorgar el permiso de Read a todos los usuarios del grupo G_RRHH,
para la carpeta compartida, haga clic en el grupo y, en el cuadro Permissions for
G_RRHH, active la casilla de Read de la columna Allow. Luego, haga clic en
Apply y, después, en OK.

Ahora, en la ventana Advanced Sharing, haga clic en Apply y, después, en OK.
Finalmente, en la ventana RRHH Properties, haga clic en Close.
3.1.1.7. Para conectarse a las carpetas compartidas
Cuando se comparte una carpeta, los usuarios de otros equipos pueden conectarse a
ella a través de la red. Cuando los usuarios se conectan a una carpeta compartida,
pueden abrir, guardar y eliminar archivos, modificar y eliminar carpetas, y realizar otras
tareas, dependiendo del nivel de permisos que se les conceda. Se puede conectar a
los recursos compartidos de otro equipo mediante uno de los siguientes métodos:
Utilizando UNC (una ruta de Convención de Nomenclatura Universal)

Utilizando Network
 Asignando una unidad de red
Utilizando el comando net use

3.1.1.7.1. Conectarse a una carpeta compartida mediante el formato UNC
Primero, para acceder a la carpeta compartida SISTEMAS, inicie sesión en el equipo

CLIENTE con el usuario scamacho (se le otorgó el permiso de Full Control).
Luego, presione las teclas Windows + R y, en la ventana Ejecutar, escriba, en Abrir,

el nombre del recurso compartido con el siguiente formato UNC: \\Nombre De
Equipo\Nombre De Recurso Compartido, donde Nombre De Equipo es el
nombre del equipo al que intenta conectarse y Nombre De Recurso Compartido
es el nombre de la carpeta compartida de ese equipo.
Por ejemplo, para el caso, escriba \\Srv-cibertec01\sistemas.
En la ventana Sistemas, se muestra el contenido de la carpeta compartida y, para

verificar que el usuario cuenta con el permiso Full Control, se creará una nueva
carpeta llamada Reportes_Sistemas.

Luego, para acceder a la carpeta compartida RRHH, inicie sesión en el equipo

CLIENTE con uno de los usuarios del grupo G_RRHH. Es este caso, será ntorres
(al grupo se le otorgó el permiso de Read).
Luego, presione las teclas Windows + R y, en la ventana Ejecutar, escriba, en Abrir,

\\Srv-cibertec01 para visualizar todas la carpetas compartidas

Se observa que figura la carpeta compartida SISTEMAS mas no la carpeta RRHH,

esto se debe a que dicha carpeta ha sido configurada de manera que se encuentra
oculta para los usuarios.
Para acceder a la carpeta oculta RRHH, presione las teclas Windows + R y, en la

ventana Ejecutar, escriba en Abrir: \\Srv-cibertec01\rrhh$.

En la ventana rrhh$, se muestra el contenido de la carpeta compartida y, para

verificar que el usuario cuenta con el permiso Read, deberá intentar crear una
nueva carpeta y eliminar algún archivo.
Puede observar que ambas acciones (crear y eliminar archivos o carpetas) son
denegados, debido a que los usuarios del grupo G_RRHH solo cuentan con el permiso
de lectura.

3.1.1.7.2 Conectarse a una carpeta compartida mediante Network
Para acceder a la carpeta compartida SISTEMAS, inicie sesión en el equipo

CLIENTE con el usuario scamacho.
Luego, inicie el explorador de Windows. Haga clic en Red y, dentro de ello, haga clic
en Srv-cibertec01. Vemos que aparece la lista de carpetas compartidas para este
equipo.
Por último, para acceder a la carpeta compartida SISTEMAS, basta con hacer doble
clic sobre ella.

3.1.1.7.3 Conectarse a una carpeta compartida mediante una unidad de red
Para poder acceder a la carpeta compartida SISTEMAS, inicie sesión en el equipo

CLIENTE con el usuario scamacho.
Luego, inicie el explorador de Windows. Haga clic en la pestaña Equipo ubicada en la

parte superior y seleccione la opción Conectar a unidad de red.
En la ventana ¿Qué carpeta de red desea asignar?, donde dice Unidad, debe
especificar la letra de unidad para la conexión. En el caso, escoja la letra Z. Luego,
donde dice Carpeta, haga clic en el botón Examinar.

En la ventana Buscar carpeta, despliegue Srv-cibertec01 y seleccione la carpeta

compartida sistemas, luego haga clic en Aceptar.
Luego de hacer escogido la unidad y la carpeta a la cual desea conectar, haga clic en
Finalizar.
En la parte inferior de la ventana Este equipo, puede observar la ubicación de red

recientemente creada. Para acceder a la carpeta compartida, haga doble clic en
sistemas (\\Srv-cibertec01) (Z:).

Por último, observe que se puede hacer uso de la carpeta SISTEMAS de acuerdo a
los permisos brindados para este usuario.
3.1.1.7.4 Conectarse a una carpeta compartida mediante el uso del comando

net use
Para poder acceder a la carpeta compartida RRHH que está oculta, inicie sesión en
el equipo CLIENTE con el usuario ntorres.
Luego, abra el CMD. Para conectar a la carpeta compartida RRHH usando la unidad
W, ejecute el siguiente comando:
C:\Users\ntorres>net use W: \\Srv-cibertec01\rrhh$

En la parte inferior de la ventana Este equipo, puede observar la ubicación de red

recientemente creada. Para acceder a la carpeta compartida, haga doble clic en
rrhh$ (\\Srv-cibertec01) (W:).
Por último, observe que se puede hacer uso de la carpeta RRHH de acuerdo a los
permisos brindados para este usuario.
3.1.2. Permisos NTFS de carpetas y archivos
Permisos Definición
Permite todos los posibles accesos, incluyendo lectura,
Full Control escritura, cambio, eliminar, toma de posesión y la habilidad
de cambiar los permisos.
Modify Permite leer, escribir, cambiar, y eliminar.
Permite que el usuario pueda leer el contenido de un
Read and Execute archivo o carpeta. También, permite que el usuario ejecute
aplicaciones dentro de la carpeta.
List Folder Permite que el usuario vea dentro de la carpeta o
Contens subcarpetas y archivos.
Permite ver archivos, subcarpetas, atributos, y toma de
Read
posesión.
Permite cambiar archivos, subcarpetas, permisos, y toma
Write
de posesión.

3.1.2.1. Los permisos estándares NTFS para las carpetas y archivos
Los permisos NTFS que se aplican a las carpetas controlan el acceso a los usuarios
que tienen una carpeta y todas las carpetas, y archivos dentro de las carpetas en
donde se configuró los permisos NTFS.
3.1.2.2. Configuración de los permisos NTFS (Seguridad de archivos y carpetas)
En esta sección, comparta la carpeta SISTEMAS al usuario sdiaz, quien gozará de los
permisos Change y Read. A su vez, se proporcionarán los permisos NTFS, tales como
Read and Execute, List Folder Contens, Read y Write.
Para compartir la carpeta SISTEMAS al usuario sdiaz y proporcionar los permisos

Change y Read, realizamos los mismos pasos del 4 al 12 de la sección 3.1.1.6 del
presente manual.
Luego, proporcie los permisos NTFS. Para ello, haga clic derecho sobre la carpeta
SISTEMAS de la Unidad D del servidor Srv-cibertec01 y seleccione la opción
Properties.

En la ventana SISTEMAS Properties, haga clic en la pestaña Security.
En la pestaña Security, haga clic en Advanced.
En la ventana Advanced Security Setting for SISTEMAS, haga clic en el botón Add
de la pestaña Permissions.

En la ventana Permission Entry for SISTEMAS, haga clic en la opción Select a

principal.

Enter the object names to select, el usuario sdiaz. Luego, haga clic en OK.

Luego, en la ventana Permission Entry for SISTEMAS, seleccione, en Type, la

opción Allow y proporcione los permisos NTFS: Read & execute, List folder
contents, Read y Writer activando las casillas mencionadas al usuario sdiaz.
Luego, haga clic en OK.
Luego, en la ventana Advanced Security Settings for Sistemas, haga clic en Apply
y, luego, en OK. Si se desea realizar alguna modificación en los permisos, basta
con seleccionar al usuario y hacer clic en el botón Edit.
Luego, en la ventana SISTEMAS Properties, se pueden observar los permisos NTFS

brindados al usuario sdiaz. Para finalizar, haga clic en OK.

Luego, para acceder a la carpeta compartida SISTEMAS, inicie sesión en el equipo

CLIENTE con el usuario sdiaz.
Luego, para acceder a la carpeta compartida SISTEMAS, presione las teclas

Windows + R y, en la ventana Ejecutar, escriba, en Abrir, \\Srv-
cibertec01\sistemas.

En la ventana Sistemas, se muestra el contenido de la carpeta compartida y, para

verificar que el usuario cuenta con los permisos NTFS: Read & execute, List
folder contents, Read y Writer, intente abrir un archivo para modificarlo y
eliminar algún archivo.
Modifique el archivo Reportes de Incidencia (Operación permitida).
Elimine el archivo Imagen 1 (Operación denegada).

3.1.3. Directorio particular
El directorio particular es una carpeta personal que se le asigna al usuario para que
pueda almacenar su información de manera segura y privada. El directorio particular
puede ser local o de red, pero solo el dueño del directorio particular tiene acceso a su
contenido.
3.1.3.1. Implementación de un directorio particular de red
En esta sección, crearemos un directorio particular para el usuario zbalabarca. Para

ello, implementaremos la carpeta compartida llamada “INFORMES”.
En la unidad D del servidor Srv-cibertec01, cree la carpeta INFORMES.

Comparta la carpeta INFORMES al usuario zbalabarca y proporcione el permiso de

Full Control (para mayor detalle revise la sección 3.1.1.6).
Luego, abra el Server Manager y, en la pestaña Tools, haga doble clic a la opción
Active Directory Users and Computers.

En la ventana Active Directory Users and Computers, haga clic en la carpeta

Users. Luego, haga clic derecho sobre el usuario zbalabarca y escoja la opción
Properties.
En la ventana zbalabarca Properties, haga clic en la pestaña Profile.

En la pestaña Profile, escriba, en Profile path, la ruta de la carpeta compartida, el

cual es \\Srv-cibertec01\INFORMES y, en Connect, escoja la letra N como unidad
de conexión. Además, en To, vuelva a escribir \\Srv-cibertec01\INFORMES. Luego,
haga clic en Apply y después en OK.
Luego, para acceder al directorio particular recientemente creado, inicie sesión en el

equipo CLIENTE con el usuario zbalabarca.
Luego, abra el explorador de Windows y, en la parte inferior de la ventana Este

equipo, puede observar la ubicación de red recientemente creada. Para acceder a
la carpeta compartida, haga doble clic en INFORMES (\\Srv-cibertec01) (N:).

Por último, observe que se puede hacer uso del directorio particular de acuerdo a los
permisos brindados para este usuario.
3.1.4. Creación de scripts de inicio de sesión
3.1.4.1. ¿Qué es un script de inicio de sesión?
En informática, un script o archivo de órdenes es un programa usualmente simple que,

por lo general, se almacena en un archivo de texto plano. Los guiones son casi
siempre interpretados, pero no todo programa interpretado es considerado un guion. El
uso habitual de los guiones es realizar diversas tareas, como combinar componentes,
interactuar con el sistema operativo o con el usuario.
Debido a lo mencionado anteriormente, los scripts de inicio de sesión son archivos por
lotes del DOS, en el cual el Cliente ejecuta diversas tareas durante el proceso de inicio
de sesión. Estos tareas pueden ser, por ejemplo, mapear una unidad de red, levantar
algún servicio de forma automática, etc.
3.1.4.2. Implementación del script de inicio de sesión para mapear una unidad de
red
En esta sección, se implementará un script de inicio de sesión aplicado al usuario

scamacho para que, cada vez que inicie sesión en el equipo CLIENTE, se ejecute la

tarea de mapeo de unidad de red (en este caso, que el usuario pueda acceder a la
carpeta compartida SISTEMAS y la letra de la unidad de red escogida es L).
En el servidor SERVER2K12, abra un bloc de notas y, dentro de este, escriba el

comando net use L: \\Srv-cibertec01\SISTEMAS.
Luego, para guardar nuestro archivo, haga clic en la pestaña File y seleccione la
opción Save As.
Guarde el archivo en la siguiente ruta:
C:\Windows\SYSVOL\sysvol\cibertec.com
Nombre el archivo como mapeo_unidad_red.bat. En Save as type, escoja la opción

All Files, luego haga clic en Save.
Luego, en la siguiente ruta:

C:\Windows\SYSVOL\sysvol\cibertec.com\scripts
Observe que nuestro script de inicio de sesión ha sido creado de forma exitosa.
Luego, abra el Server Manager y, en la pestaña Tools, haga doble clic a la opción
Active Directory Users and Computers.
En la ventana Active Directory Users and Computers, haga clic en la carpeta

Users. Luego, haga clic derecho sobre el usuario scamacho y escoja la opción
Properties.

En la ventana scamacho Properties, haga clic en la pestaña Profile.
En la pestaña Profile, escriba, en Logon script, el nombre del script creado. En el

caso, se llama mapeo_unidad_red. Luego, haga clic en Apply y después en OK.

Luego, para verificar el correcto funcionamiento del script recientemente

implementado, inicie sesión en el equipo CLIENTE con el usuario scamacho.
Luego, abra el explorador de Windows y, en la parte inferior de la ventana Este

equipo, puede observar la ubicación de red recientemente creada (ello demuestra
que el script ejecutó la tarea programada). Para acceder a la carpeta compartida,
haga doble clic en SISTEMAS (\\Srv-cibertec01) (L:).

Por último, observe que se puede hacer uso de la carpeta compartida SISTEMAS de
acuerdo a los permisos brindados para este usuario.

Resumen
El permiso define el tipo de acceso que tiene un usuario o grupo sobre un recurso.
Los permisos de las carpetas compartidas son Lectura, Cambio y Control Total.
Los permisos NTFS se pueden configurar solo en disco duros formateados con
NTFS.
El administrador puede tomar posesión de cualquier archivo o carpeta.
El directorio particular almacena la información personal del usuario.
Los directorios particulares se implementan dentro de una carpeta compartida.
El directorio particular se asigna al usuario usando el Active Directory Users and

Computers.
https://technet.microsoft.com/es-es/library/cc754178.aspx
o https://technet.microsoft.com/es-es/library/cc732880.aspx
o https://support.microsoft.com/es-es/kb/320043
o https://technet.microsoft.com/es-pe/library/cc770908.aspx


4
UNIDAD
FILE SERVER
RESOURCE MANAGER
Al terminar la unidad, el alumno gestiona el uso del espacio en el disco duro
aplicando cuotas a nivel del disco duro y carpetas; asimismo, controla la
información que puede grabarse en el Servidor de Archivos con el empleo de
File Server Resource Manager (fsrm.msc).
TEMARIO
4.1 Tema 6 : Cuotas de Disco
4.1.1 : Creación y Uso de cuotas de disco
4.1.2 : Creación de Plantillas de cuotas
4.1.3 : Uso de Plantillas para crear cuotas a carpetas compartidas
4.2 Tema 7 : File Screening

4.2.1 : Creación y Uso de Filtros de almacenamiento de
contenidos
4.2.2 : Creación de Plantillas para filtrar contenidos
4.2.3 : Implementación de Filtros de almacenamiento de
contenidos
 Los alumnos configuran las cuotas de disco en el servidor.

 Los alumnos implementan el rol FSRM (File Server Resource Manager).
Los alumnos configuran plantillas para crear cuotas a carpetas
 compartidas.
Los alumnos configuran plantillas para crear filtros de almacenamiento
de contenidos.


4.1 CUOTAS DE DISCO

4.1.1. Creación y Uso de cuotas de disco
Todo administrador siempre se presenta con un problema, el espacio en el disco duro.

Los usuarios guardan información en el disco duro y si no existe un límite para esto, el
espacio de disco duro se terminará por llenar, por eso es muy importante que usted
sepa cómo configurar las cuotas de disco en Windows Server 2016.
Las cuotas de disco limitan la cantidad de información que los usuarios pueden
almacenar en el disco duro y, en caso de alcanzar el límite de cuota, no podrán
almacenar más cosas, hasta que se borren algunos archivos.
4.1.1.1 Configuración de cuota de disco
En este escenario, se asigna una cuota al disco New Volumen (E:) del servidor Srv-
cibertec01 y establece límites a su capacidad de almacenamiento.
1. En el servidor, haga clic en el botón Start y seleccione la opción This PC.
En la ventana This PC, haga clic derecho sobre la unidad New Volume (E:) y
seleccione la opción Properties.

3. En la ventana New Volume (E:) Properties, seleccione la pestaña Quota.
En la pestaña Quota, active la casilla Enable quota management. Después, haga

clic en Limit disk space to para escribir el valor del límite que se desea y, a
continuación, especificamos la unidad que se desea utilizar para el límite del
espacio (por ejemplo, haga clic en MB). Ahora bien, si desea advertir a los usuarios
de que se aproximan a los límites de disco establecidos, debe especificar el valor y
la unidad del límite de espacio de disco que se desea en los cuadros situados junto
a Set warning level to. Este valor debe ser inferior al del límite de quota de disco.
Luego, haga clic en el botón Apply.

5. En la ventana Disk Quota, haga clic en OK.
6. Por último, en la ventana New Volume (E:) Properties, haga clic en OK.

Tenga en cuenta que, para denegar el espacio de disco a usuarios que alcancen sus
límites de cuota, basta con activar la casilla de verificación Deny disk space to
users exceeding quota limit de la ventana New Volume (E:) Properties.
Además, si se desea registrar un suceso cuando un usuario alcance su límite de

cuota o nivel de advertencia, debe activar las casillas de verificación Log event
when a user exceeds their quota limit y Log event when a user exceeds their
warning level respectivamente.

4.1.2. Creación de Plantillas de cuotas
4.1.2.1. File Server Resource Manager
FSRM (File Server Resource Manager) es un servicio del rol Servicio de Archivos en
Windows Server 2016. Puede hacer uso de FSRM para mejorar la capacidad de
administración y monitoreo de las actividades de almacenamiento en el Servidor de
Archivos. File Server Resource Manager es un juego de herramientas que permite a
los administradores entender, controlar, y administrar la cantidad y el tipo de
información almacenada en los Servidores. Mediante el uso de File Server Resource
Manager, los administradores pueden colocar cuotas en volúmenes, carpetas, activar
screen files y generar reportes. Este juego avanzado de instrumentos no solo ayudará
al administrador a monitorear eficientemente los recursos de almacenamiento, sino
que le permitirá planear e implementar futuros cambios en las políticas de
almacenamiento.
Mediante File Server Resource Manager, puede realizar las siguientes tareas:
Crea cuotas para limitar el espacio permitido en discos o carpetas y generar correos y
otras notificaciones cuando el límite de cuota se acercó o excedió.

Automáticamente, genera y aplica cuotas a todos los existentes subcarpetas y
cualquier subcarpeta en un disco o carpeta.

Crea file screens para controlar el tipo de archives que los usuarios pueden grabar, y
enviar notificaciones cuando un usuario intenta guardar archivos no permitidos.

Define plantillas de cuotas y file screen que pueden ser aplicados fácilmente a nuevos
discos o carpetas.

Reportes periódicos programados que ayudan a identificar el uso de disco, o generar
reportes instantáneamente.
4.1.2.2. Implementación de File Server Resource Manager
Este rol será instalado en el servidor Srv-cibertec01, por lo que debe ejecutar los
siguientes pasos:
1. Inicie el Server Manager y haga clic en Add roles and features.

En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
En la ventana Select installation Type, seleccione la opción Role-based or feature-

based installation. Ello permite la instalación de roles y características para la
configuración de nuestro servidor. Luego, haga clic en Next.
Ahora, en la ventana Select destination server, seleccione la opción Select a server

from the server pool. Ello indica que se está eligiendo al servidor SERVER2K16
para que, en este, se instalen los roles y características. Luego, haga clic en Next.

En la ventana Select roles services, seleccione el rol File Server Resource

Manager.
Inmediatamente, aparece la ventana Add features that are required for File Server
Resource Manager? que indica que, para poder instalar File Server Resource
Manager, se debe adicionar algunas características que aún no han sido
instaladas, por lo que haga clic en el botón Add Features.

Después, en la ventana Select server roles, haga clic en Next.
En la ventana Select features, las características básicas y necesarias han sido

seleccionadas por defecto por el sistema, por lo que haga clic en Next.

En la ventana Confirm installation selections, se muestra un resumen de las

características que ha seleccionado para la instalación del rol designado, luego
haga clic en Install.
Finalmente, luego de esperar algunos minutos, haga clic en Close. De esa manera,
ya tiene instalado de forma exitosa el rol FSRM en el servidor.

4.1.2.3 ¿Qué son las plantillas de cuotas?
Las plantillas de cuotas son modelos que permiten crear nuevas cuotas para un disco
o carpeta. Una plantilla de cuota define el límite de espacio, el tipo de cuota (máxima o
de advertencia) y, opcionalmente, el conjunto de notificaciones que se generarán
automáticamente cuando el uso de cuotas alcance los niveles de umbrales definidos.
Si las cuotas se crean exclusivamente a partir de plantillas, es posible administrarlas

centralmente actualizando las plantillas en lugar de repetir los cambios en cada una de
las cuotas. Esta característica simplifica la implementación de los cambios de las
directivas de almacenamiento ya que proporciona un punto central donde se pueden
llevar a cabo todas las actualizaciones.
4.1.2.4. Implementación de plantillas de cuotas
En esta sección, se implementará una plantilla de cuota para crear una cuota al disco
New Volumen (E:). El límite de capacidad será de 50 MB y no se permitirá que los
usuarios excedan el límite, además el umbral de notificación será de 85%.
Abra el Server Manager y, en la pestaña Tools, haga doble clic a la opción File
Server Resource Manager.

En la ventana File Server Resource Manager, haga clic en Quota Templates y

seleccione la opción Create Quota Template del menú Actions.
En la ventana Create Quota Template, escriba, en Template name, el nombre de la

plantilla, el cual es Disco (E:). También, en Description (optional), escriba Cuota
del Disco (E:). En Space limit, seleccione, como límite, 50 MB y escoja la opción
Hard quota: Do not allow users to exceed limit. Luego, para configurar el umbral
de notificación, haga clic en el botón Add.

En la ventana Add Threshold, escriba, en Generate notifications when usage

reaches (%), el número 85 como porcentaje de umbral de notificación. Luego, en
la pestaña Event Log, haga clic en Send warning to event log y después en OK.
Luego, en la ventana Create Quota Template, haga clic en OK.

Para crear una cuota y asignarle la plantilla de cuota que recientemente ha creado,
haga clic derecho sobre la plantilla Disco (E:) y seleccione la opción Create Quota
from Template.
En la ventana Create Quota, seleccione la opción Create quota on path y haga clic
en el botón Browse.

En la ventana Browse For Folder, escoja la unidad de disco en la cual será aplicado
nuestra cuota. En el caso, seleccione New Volume (E:) y haga clic en el botón OK.
Luego de seleccionar la unidad de disco, haga clic en el boton Create.

Luego, para visualizar la nueva cuota creada, bastará con hacer clic en la carpeta
Quotas.
Por último, pruebe el buen funcionamiento de la cuota recientemente creada copiando

un archivo que sobrepase el límite permitido en el disco E. Se puede observar que
la operación es denegada.

4.1.3. Uso de Plantillas para crear cuotas a carpetas compartidas
En esta sección, implementará una nueva plantilla de cuota para crear una cuota a la
carpeta compartida SISTEMAS (esta carpeta ya fue configurada como tal en la
sección 3.1.1.6). El límite de capacidad será de 100 MB y no se permitirá que los
usuarios excedan el límite, además se contará con dos umbrales de notificación: 85%
y 95%.
Para la creación de la plantilla de cuota llamada SISTEMAS (cuya descripción es

Cuota de la carpeta SISTEMAS), repita los pasos del 1 al 5 de la sección 4.1.2.2.

Luego, para crear una cuota y asignarle la plantilla de cuota que recientemente ha
creado a la carpeta compartida SISTEMAS de la unidad D, repita los pasos del 6 al
10 de la sección 4.1.2.2.
Por último, pruebe el buen funcionamiento de la cuota recientemente creada copiando

un archivo que sobrepase el límite permitido en la carpeta compartida designada.
Se puede observar que la operación es denegada.

Resumen
Las cuotas permiten limitar el uso del espacio en el disco duro y carpetas
compartidas.
Las cuotas de disco solo se configuran en discos NTFS.
File Server Resource Manager permite aplicar cuotas a discos y carpetas.
Los mecanismos de notificación de File Server Resource Manager es a través del

Visor de Eventos, e-mail, reportes personalizados, o ejecutando scripts.
https://technet.microsoft.com/es-es/library/cc725711.aspx
o https://technet.microsoft.com/es-pe/library/dn383587.aspx

4.2. FILE SCREENING

4.2.1. Creación y Uso de Filtros de almacenamiento de contenidos
Recuerde que el administrador de recursos del servidor de archivos (FSRM) es una

parte de la función de los servicios de archivo en Windows Server que le da un mayor
control sobre los datos almacenados en los servidores de archivos. En esta sección,
se hablará sobre el uso de los filtros de almacenamiento de contenidos.
4.2.1.1. ¿Qué son los filtros de almacenamiento de contenidos?
File Screening o los filtros de almacenamiento de contenidos (en español) es una de

las características en FSRM. Uno de los mayores retos en la ejecución de un servidor
de archivos es mantener ciertos tipos de archivos y denegar el permisos de archivos
como el de tipo mp3 (y otros archivos digitales de música), archivos de vídeo y
archivos ejecutables, etc. Con los filtros de almacenamiento, se controla qué tipos de
archivos se pueden guardar en las carpetas.
4.2.2. Creación de Plantillas para filtrar contenidos
En esta sección, se implementarán dos plantillas para filtrar contenidos a la carpeta

compartida SISTEMAS (esta carpeta ya fue configurada como tal en la sección
3.1.1.6). La primera plantilla bloquea archivos en formato mp3 y la otra plantilla
bloquea todos los archivos de imágenes menos el formato jpg.
En la ventana File Server Resource Manager, despliegue File Screening

Management y haga clic en File Screen Templates. Luego, seleccione la opción
Create File Screen Templates del menú Actions.

En la ventana Create File Screen Template, escriba, en Template name, el nombre

de la primera plantilla, el cual es Denegar archivos en formato mp3. En
Screening type, seleccione Active screening: Do not allow to sabe
unauthorized. Luego, en Select file groups to block, active la casilla Audio and
Videos Files y, después, haga clic en el botón Create.
En la ventana File Group Properties for Audio and Video Files, escriba en el
cuadro de Files to include: *.mp3 (esto significa que el formato mp3 no está
permitido).

Para concluir, haga clic en el botón OK.
Luego, se puede visualizar la nueva plantilla creada al hacer clic en File Screen
Templates.

Para la creación de la segunda plantilla, llamada Denegar los archivos de imagen

menos en formato jpg, repita los pasos del 1 al 5 de esta misma sección.
En el cuadro Files to include, incluya todos los formatos existentes de imagen

menos el jpg, que se ubicará en el cuadro de Files to exclude (con esta operación
se bloquean todos los formatos de imágenes menos el jpg).

4.2.3. Implementación de Filtros de almacenamiento de contenidos
En esta sección, creará un filtro de almacenamiento de contenido y le asignará la

plantilla de cuota recientemente creada (de nombre Denegar los archivos de imagen
menos en formato jpg). Este filtro será asignado a la carpeta compartida llamada
SISTEMAS.
En la ventana File Server Resource Manager, despliegue File Screening

Management y haga clic en File Screen Templates. Luego, haga clic derecho
sobre la plantilla Denegar los archivos de imagen menos en formato jpg y
seleccione la opción Create File Screen from Template.

En la ventana Create File Screen, haga clic en el botón Browse.
En la ventana Browse For Folder, escoja la unidad de disco en la cual será aplicado
nuestro filtro. En el caso, seleccione la carpeta compartida SISTEMAS y haga clic
en el botón OK.

Luego de seleccionar la carpeta compartida, haga clic en el boton Create.
Luego, para visualizar el nuevo filtro creado, bastará con hacer clic en File Screens.

Por último, pruebe el buen funcionamiento del filtro recientemente creado copiando
un archivo del tipo imagen con formato jpg y otro con formato png. Se puede
observar que la primera operación es aceptada y la segunda es denegada.

Resumen
Con el uso de File Server Resource Manager, los administradores pueden colocar
cuotas en volúmenes, carpetas, activar screen files y generar reportes.
Los filtros de almacenamiento controlan qué tipos de archivos se pueden guardar en

las carpetas.
Las plantillas de filtros de almacenamiento generan molden para ser aplicados como
filtros en las carpetas compartidas y limitar el acceso de diversos tipos de archivos.
https://technet.microsoft.com/es-pe/library/cc732074.aspx
https://technet.microsoft.com/es-pe/library/cc754163.aspx#Perú (Español)
o https://technet.microsoft.com/es-pe/library/cc731318.aspx#Perú (Español)

5
UNIDAD
TAREAS ADMINISTRATIVAS
Al terminar la unidad, el alumno realiza copias de respaldo de información, crea
políticas de grupo (gpmc.msc), implementa el servicio de impresión en red
aplicando los conceptos de gestión de recursos de red.
TEMARIO
5.1 Tema 8 : Políticas de Grupo
5.1.1 : Administración de Directivas de Grupo
5.2 Tema 9 : Respaldo del Servidor

5.2.1 : Creación y recuperación de Backups
5.3 Tema 10 : Servidor de Impresión

5.3.1 : Administración de recursos e impresión en red
Los alumnos implementan políticas de grupo para los objetos de

 controlador de Dominio.
Los alumnos implementan y gestionan el respaldo del Windows
 Server 2016.
Los alumnos implementan y crean los servicios de impresión para el
controlador de Dominio.


5.1. POLÍTICAS DE GRUPO

5.1.1. Administración de Directivas de Grupo
Las Directivas de Grupo (en adelante GPO) permiten implementar configuraciones

específicas para uno o varios usuarios y/o equipos. El enfoque estará en cómo se
debe hacer la gestión correcta de GPO en Active Directory de Microsoft Windows.
Las GPO permiten administrar objetos de usuarios y equipos, aplicando la más

restrictiva, en caso de existir más de una política. Se puede usar una GPO para casi
cualquier cosa, como indicar qué usuario o grupo tiene acceso a una unidad de disco,
o limitar el tamaño máximo que puede tener un archivo.
Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden
entender en distintos niveles:
Equipo Local: Tan solo se aplican en el equipo que las tiene asignadas
independientemente del Dominio al que pertenezca.

Sitio: Se aplican a los equipos y/o usuarios de un sitio, independientemente del
Dominio.

Dominio: Se aplican a todos los equipos y/o usuarios de un Dominio.

Unidad Organizativa (OU): Se aplican únicamente a los equipos y/o usuarios que
pertenecen a la OU.
Dentro de la configuración de directiva, se puede acceder a lo siguiente:
Configuración de equipo

Configuración de usuario
Ambos elementos se dividen en los mismos submenús, pero las políticas son distintas.
Se verá el ejemplo de creación de GPO para que los usuarios monten una unidad de
red al iniciar sesión.

Creación de una gpo
Dentro de Administrador del servidor, seleccione Tools y Group Policy

Management.
Aparecen las GPO del Dominio.
Para crear una nueva GPO desde cero, presione en Group Policy Object con el
botón derecho y seleccione New.

No seleccione ninguna GPO de origen. Coloque el nombre de la política “PROXY” y

presione OK.
Presione sobre la nueva GPO con el botón derecho y seleccione Edit.

Una vez dentro de la edición de la GPO, hay que asignar la unidad de red que los
usuarios deben montar, siguiendo las políticas adecuadas.
En User Configuration – Preferences – Windows Settings – Drive Maps, edite la

unidad que viene asignada en la GPO pulsando sobre ella con el botón derecho y
seleccionando Propiedades.
2. Haga clic derecho en Drive Maps – New – Mapped Drive.
Seleccione la ubicación, el nombre con el que quiere mostrar la unidad, la letra que
asignará y el usuario que se conectará: seleccione Aplicar – Aceptar.

Se observar la unidad creada.
Ejemplo 1
Crear un proxy para los usuarios que se conectan al dominio
Dentro de Administrador del servidor, seleccione Tools y Group Policy

Management.
Aparecen las GPO del Dominio.

Para crear una nueva GPO desde cero, presione en Group Policy Object con el
botón derecho y seleccione New.
No seleccione ninguna GPO de origen. Coloque el nombre de la política “PROXY” y

presione OK.
Haga clic derecho en la política PROXY y seleccione Edit.

Seleccione la opción User Configuration – Preferences – Control Panel Setting

– Internet Setting, haga clic derecho y seleccione New – Internet Explorer 7.
7. Seleccione la pestaña Connections – LAN Settings.

Active Use a Proxy server for your LAN (These settings will not apply to dial-up or
VPN connections). Luego, digite el IP del servidor Proxy “200.200.100.1” Port 8080
– presione la tecla F5 (el IP cambia de subrayado rojo a verde). Luego, haga
clic en OK.
Presione Apply – OK.
Repita el procedimiento del paso 6 al 9; para Internet Explorer, 8, 9 y 10.

Haga clic derecho en el botón inicio – Run.
Escriba CMD – OK.
13. Ejecute GRUPDATE /FORCE.

Verifique la política en el Cliente; por ello, inicie sesión en el Dominio.
15. Seleccione Internet Explorer.
16. Seleccione Herramientas – Opciones de Internet.

17. Seleccione Conexiones – Configuración de LAN.
Verifique la dirección de Proxy que se registró en el GPO.

Activar una gpo
Para activar una GPO, se debe seleccionar la OU, Dominio, sitio o equipo local donde
se quiere activar la GPO.
Un usuario estará en un equipo local que, a su vez, se ubica en un sitio, y este sitio
pertenecerá a un Dominio que será miembro de una OU. Se puede dar la situación en
la que, en un equipo local, se aplique una GPO, en el sitio otra, y en el Dominio y la
OU otras, respectivamente. Cuando se den casos así, las políticas se aplicarán según
unas prioridades que atienden a una serie de reglas que se describen a continuación.
En las GPO, las políticas asignadas a una OU

prevalecen sobre las del Dominio que, a su vez,
prevalecen sobre las del sitio; y estas, sobre las
del equipo local. Esto no quiere decir que las
políticas se anulen unas a otras, sino que siempre
se suman y tan solo se anulan en caso de
contradecirse entre ellas.
Se aplica el siguiente diagrama de flujo para leer las GPO y se comprueba si se

contradicen o no, sumando las coherencias y prevaleciendo las más restrictivas.
Cada organización debe crear las GPO que más se acerquen a sus necesidades. Para
añadir la GPO, por ejemplo, al Dominio, haga clic con el botón derecho y seleccione
Vincular GPO existente.

5.2. RESPALDO DEL SERVIDOR

5.2.1. Creación y recuperación de Backups
Instalación de copias de seguridad en windows server
1. Seleccione menú Manage – Add Roles and Features.
Seleccione Next.
Seleccione Next.

4. Seleccione Servidor – Next.
Seleccione Next.

6. Seleccione Windows Server Backup – Next.
7. Seleccione Restart the destination server automatically if required – Next.
Seleccione Yes.
Seleccione Install.

Con esto, tendrá instalado el comando Wbadmin, los cmdlets de PowerShell para
Windows Server backup y el snap-in para la Consola de Administración de
Windows.
Realizar copia de seguridad
1. En la barra Tools, seleccione Windows Server Backup.
Esperamos que cargue el Wbadmin.

En el menú Accion, seleccione Backup Once.
3. Seleccione Different Options – Next.

4. Seleccione Full server (Recommend).
Al especificar el destino, seleccione Local drivers.
Seleccione el destino de la copia de seguridad – Next.

Seleccione Aceptar.
Seleccione Backup.

Al concluir la copia de seguridad, seleccione Close.

Restaurar copia de seguridad
En el menú Action, seleccione Recover.
2. Seleccione This Server – Next.
3. Seleccione Fecha de la copia de seguridad que se desee restaurar – Next.

4. Seleccione Files and Folders – Next.
5. Seleccione los elementos que requiera restaurar – Next.
6. Seleccione el Destino de recuperación – Next.

Seleccione Recover.

5.3. SERVIDOR DE IMPRESIÓN

5.3.1. Administración de recursos e impresión en red
Instalacion de servidor de impresión
Seleccione Next.
Seleccione Next.

5. Seleccione Print and Document Services – Next.

Seleccione Add Features.
Seleccione Next.
Seleccione Siguiente.

9. Seleccione Servidor de Impresión.
10. Seleccione Servidor de Impresión.
Seleccione Install.

Seleccione Close al concluir la instalación.
13. En el menú Tools, seleccione la herramienta Print Management.

14. Seleccione el nodo Print Servers y lo despliegue.
Dentro de impresoras, puede observar que hay una impresora instalada en el sistema.
La impresora Microsft XPS Document Writer es una impresora virtual que viene
instalada por defecto en el sistema.
Agregar impresora
Ejemplo 1
Agregar impresora local
Seleccione Add a new printer using an existing port: PORTPROMT: (Local Port).

2. Seleccione Use an existing printer on the computer – Next.
Seleccione Next.
Seleccione Next.

Seleccione Finish.
Se visualizará la impresora agregada.

Ejemplo 2:
Realizaremos la instalación de una impresora multifuncional laser marca HP, modelo

Laserjet 3390.
La impresora está conectada a la red LAN y tiene la siguiente configuración IP:
IP: 192.168.1.250
Netmask: 255.255.255.0
Gateway: 192.168.1.1
Para instalar la impresora, puede hacerlo de distintas formas.
Buscar impresoras en la red
La primera forma es la búsqueda de impresoras en la red, un proceso semiautomático,

ya que se realizará una búsqueda en la red en busca de las impresoras.
Seleccione Búsqueda de impresoras en la red como método de instalación.

Cuando el buscador haya encontrado nuestra impresora, la seleccione y presione

Siguiente para continuar con el proceso de instalación.
Durante el proceso, se configurará el controlador de la impresora.
Compruebe el nombre de la impresora y cámbielo si fuese necesario. Si quiere

compartir la impresora en red, dejaremos la casilla Compartir esta impresora
marcada.
Presione el botón Siguiente para continuar.

Revise los datos relativos a la impresora. Si está todo correcto, presione el botón
Siguiente para finalizar el proceso de instalación de la impresora.
Cuando el proceso de instalación haya finalizado, si quiere probar la impresora

instalada, puede imprimir una página de prueba marcando la casilla Imprimir página
de prueba.

Agregar Una Impresora Tcp/Ip O De Servicios Web
Este método de instalación es el método manual. En este, debe especificar la

dirección IP de la impresora o la URL de los servicios web de impresión.
Seleccione Agregar una impresora TCP/IP o de servicios web escribiendo la

dirección IP o nombre de host como método de instalación.
Introducimos la dirección IP de la impresora. Recuerde que la impresora tenía la

siguiente dirección IP 192.168.1.250.

Compruebe el nombre de la impresora, y lo cámbielo si fuese necesario. Si quiere

compartir la impresora en red, deje la casilla Compartir esta impresora marcada.
Presione el botón Siguiente para continuar.
Revise los datos relativos a la impresora. Si está todo correcto, presione el botón
Siguiente para finalizar el proceso de instalación de la impresora.

Cuando el proceso de instalación haya finalizado, si quiere probar la impresora

instalada, puede imprimir una página de prueba marcando la casilla Imprimir página
de prueba.
Una vez finalizada la instalación de nuestra impresora, sea cual sea el método de
instalación elegido, el resultado será el siguiente:

Resumen
Administración de Directivas de Grupo es la forma más sencilla de alcanzar y
configurar opciones de usuario y de equipo en redes basadas en Servicios de
Dominio de Active Directory.
Creación y Recuperación de Backup nos permite generar copias de seguridad ante

posibles pérdidas de información.
Administración de recursos de impresión, con este servicio centralizamos las

impresoras de nuestro dominio.
Puede revisar el siguiente enlace para ampliar los conceptos vistos en esta unidad:
https://www.youtube.com/watch?v=ORv0eb-aOfg

6
UNIDAD
SERVICIOS DE RED
Al terminar la unidad, el alumno implementa servicios fundamentales de red.
TEMARIO
6.1 Tema 11 : Servidor de DHCP
6.1.1 : Implementación del rol DHCP
6.1.2 : Definición de Ámbito, Parámetros y Reservas
6.2 Tema 12 : Servidor de DNS
6.2.1 : Implementación del rol DNS
6.2.2 : Creación de zona directa e inversa
6.2.3 : Pruebas de resolución de DNS
6.3 Tema 13 : Servidor de Web
6.3.1 : Implementación del rol IIS (Internet Information Server)
6.3.2 : Creación de sitios web
Los alumnos implementan el servicio de configuración dinámica de

 direcciones IP.
Los alumnos implementan servicio de resolución de nombres.
Los alumnos implementan sitios web.


6.1. SERVIDOR DE DHCP

6.1.1. Implementación del rol DHCP
1. En el menú Manager, seleccione Add Roles and Features.
Seleccione Next.
Seleccione Next.
Seleccione Role-based or feature-based installation – Next.

5. Seleccione Select a server from the server pool – Next.
6. Seleccione DHCP Server – Next.

Seleccione Add Features.
Seleccione Next.
Seleccione Next.

Seleccione Install.
Se observa el progreso de la instalación – Close.

6.1.2. Definición de Ámbito, Parámetros y Reservas
Seleccione Administrador del servidor DHCP.
Seleccione completar configuración DHCP.
Seleccione Next.

4. Seleccione Usar las credenciales del siguiente usuario

(DOMINIO\Administrator).
Seleccione – Close.
Seleccione en el menú Tools, la opción DHCP.

Haga clic derecho y seleccione New Scope.
Seleccione Next.

Defina el Nombre del Ámbito.
Registre el IP inicio, IP final, así como la máscara de la subred que el servidor

DHCP asignará automáticamente a los usuarios de la red.
Agregue el rango de IPs de reserva para el servidor DHCP.

Determine la duración de la concesión de las direcciones IPs del servidor DHCP.
Configure Enrutador. Luego, seleccione Configurar con las siguiente opciones:
14. Agregue IP de Enrutador (Puerta de enlace predeterminada).

Registre el nombre de servidor DNS.
Agregue el IP servidor WINS.
Active este Ámbito.

Haga clic en Finalizar.
Nuevo Ámbito instalado.

Pruebas de asignación de ips dinámicas
Inicie sesión en Cliente de Dominio.
En el Shell, verifique el IP con el comando ipconfig/all.
En el servidor DHCP, se verifica el IP asignado en forma automática.

Resumen
El Servidor DHCP permite entregar direcciones IPs a las computadoras de la red.
El Ámbito del servidor DHCP está compuesto por el rango de direcciones que van a
ser otorgadas a los Clientes DHCP de la red.
Para crear una reserva, se debe relacionar la dirección IP con la dirección física del
Cliente DHCP.
El Servidor DHCP sólo entrega direcciones IPs a los Clientes si el Servidor DHCP
está autorizado en el Dominio.

6.2. SERVIDOR DE DNS

6.2.1. Implementación del rol DNS
Seleccione Next.
Seleccione Next.

5. Seleccione DNS Server – Add Features.
Seleccione Next.

Seleccione Next.
Seleccione Next.
Seleccione Install.

Seleccione Close al terminar la instalación.
6.2.2. Creación de zona directa e inversa
Creación de zona directa
En el menú Herramientas, seleccione DNS.
Haga clic derecho en Reserve Lookup Zones – Seleccione New Zone.

Seleccione Next.
Seleccione Primary zone.
5. Seleccione To all DNS servers running on domain controllers.

Seleccione IPv4 Reserve Lookup Zone.
Seleccione Allow only secure dynamic updates (recommended for Active

Directory).
Seleccione Finish.

En el Administrador DNS, se visualiza lo siguiente:
Creación de zona inversa
En el menú DNS Manager - Reserve Lookup Zone, haga clic derecho – New Zone.
Seleccione Next.

Seleccione Primary zone.
4. Seleccione To all DNS servers running on domain controllers.

Seleccione IPV4 Reverse Lookup Zone.
Registre el ID de red.

7. Seleccione Allow only secure dynamic updates.
Seleccione Finish.

En el administrador de DNS, se visualizará la Zona de búsqueda inversa que se

creó.
6.2.3. Pruebas de resolución de DNS
Ejecute la consola seleccionando Ejecutar (Run).

En Ejecutar, escriba cmd.
En el Shell, ejecute ping dominio.

Resumen
Los Servidores DNS permiten resolver los nombres de Dominio a Direcciones IPs.
Windows Server 2016 puede almacenar las zonas dentro del A.D.
Los servidores DNS pueden almacenar múltiples zonas.
El registro host relaciona el nombre del equipo con su respectiva dirección IP.
El Servidor DNS de Windows 2016 puede crear los registros host de manera
automática.

6.3. SERVIDOR DE WEB
6.3.1. Implementación del rol IIS (Internet Information Server)
En el menú Manager, seleccione Add Roles and Features.
2. Seleccione Next.

Seleccione Role-based or feature-based instalation – Next.
Select a server from the server – Next.

Seleccione Web Server (IIS) – Next.
6. Seleccione Add Featues.

7. Seleccione Next.
8. Seleccione Next.

9. Seleccione – Next.
10. Seleccione – Next.

11. Seleccione Install.
12. Se observa el progreso de la instalación – Close.

13. Verifique, en el navegador, el Servicio Internet Information Service.

Resumen
El directorio de publicación del Default Web Site es C:\InetPub\Wwwroot.
La página, por defecto, que se publica es default.htm.
El Servidor Web puede almacenar múltiples sitios web.
La dirección IP del localhost es 127.0.0.1.
En el campo host name, debe ir el nombre del sitio web, por ejemplo: www.ciber.com

Manual 2022 Sistemas Operativos (2391)

Cargado por

Información del documentohacer clic para expandir la información del documento

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Manual 2022 Sistemas Operativos (2391)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual 2022 Sistemas Operativos (2391)

Cargado por

Copyright:

Formatos disponibles

Sistemas

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.2 Tema 2 : Introducción al Direccionamiento IP 28

1.3 Tema 3 : Introducción al Diseño de un Controlador de Dominio 37

4.2 Tema 7 : File Screening 152

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4.2.2 : Creación de Plantillas para filtrar contenidos 152

5.2 Tema 9 : Respaldo del Servidor 175

5.3 Tema 10 : Servidor de Impresión 186

6.2 Tema 12 : Servidor de DNS 216

6.3 Tema 13 : Servidor de Web

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

El manual ha sido diseñado en unidades de aprendizaje, las que se desarrollan

El curso es eminentemente práctico: construido como un instrumento de trabajo.

Por ello, la participación activa de los alumnos es fundamental durante el desarrollo de

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.2 Tema 2 : Introducción al Direccionamiento IP

1.3 Tema 3 : Introducción al Diseño de un Controlador de Dominio

Los alumnos configuran los equipos Windows Server 2016 y Windows

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.1. INTRODUCCIÓN A WINDOWS SERVER 2016

Microsoft Windows Server 2016 ha mejorado, también, la seguridad de la información

Requisitos mínimos del Sistema Operativo

Procesador: Mínimo de 1,4 GHz y con arquitectura de 64 bits

Los siguientes elementos no son estrictamente obligatorios, pero sí necesarios para

Monitor Súper VGA (1024 x 768) o de mayor resolución

Instalación de Windows Server 2016

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

Figura 2: Carga inicial del instalador de Windows Server 2016

Figura 3: Selección de parámetros básicos para Windows Server 2016

Figura 4: Inicio de instalación de Windows Server 2016

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

Figura 5: Selección del tipo de instalación de Windows Server 2016

Figura 6: Aceptación del contrato para la instalación de Windows Server 2016

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

Figura 7: Selección del tipo de instalación de Windows Server 2016

Figura 8: Selección de Disco para la instalación de Windows Server 2016

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

Figura 9: Inicio de la copia e instalación de archivos de Windows Server 2016

El proceso de instalación reiniciará la computadora, entonces asegúrese de remover el

Figura 10: Configuración de la cuenta de Administrador de Windows Server 2016

Tecnologías y Roles de servidor en Windows Server 2016

Es una nueva opción que tendrá a la hora de la instalación de nuestro sistema

Nano Server lo puede usar en los siguientes ambientes:

Puede ser usado como un dispositivo para máquinas con Hyper-V.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

Como un dispositivo de almacenamiento para escalamiento.

Los contenedores principales se manejarán a través de los contenedores de Hyper-V,

Estos contenedores se podrán implementar en cualquier tipo de instalación de

Mínimo 4GB de RAM para la virtualización

Figura 11: Escenario de implementación de Containers en Windows Server

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

únicamente un Hypervisor podía estar en funcionamiento simultáneamente. En esta