
Servicios de Dominio de Active Directory
Los Servicios de dominio de Active Directory (AD DS) y sus servicios relacionados forman la base de las redes empresariales que ejecutan sistemas operativos Windows. La base de datos de los Servicios de Dominio de Active Directory es el almacén central de todos los objetos de dominio, como cuentas de usuario, cuentas de computadora y grupos. AD DS proporciona un directorio jerárquico de búsqueda y un método para aplicar la configuración y la configuración de seguridad para los objetos en la empresa.
Hablaremos de la estructura de AD DS y sus diversos componentes, como bosques, dominios y unidades organizativas (OU). También cubriremos las características y opciones disponibles en Windows Server 2016 para instalar AD DS en un servidor junto con una descripción general de los controladores de dominio.
Descripción general de AD DS
AD DS se compone de componentes lógicos y físicos. Debe comprender la forma en que los componentes de AD DS funcionan juntos para poder administrar su infraestructura de manera eficiente. Además, puede usar muchas otras opciones de AD DS para realizar acciones como instalar, configurar y actualizar aplicaciones; administrar la infraestructura de seguridad; habilitar el servicio de acceso remoto y DirectAccess; y emisión y gestión de certificados digitales. Una de las características de AD DS más utilizadas es la Política de grupo, que le permite configurar políticas centralizadas que puede usar para administrar la mayoría de los objetos en AD DS. Comprender los diversos componentes de AD DS es importante para utilizar la directiva de grupo con éxito.
El Protocolo de Internet versión 4 en inglés, Internet Protocol version 4 (IPv4), es la cuarta versión del Internet Protocol (IP), un protocolo de interconexión de redes basados en Internet, y fue la primera versión implementada para la producción de ARPANET, en 1983. Definida en el RFC 791. IPv4 usa direcciones de 32 bits, lo que permite 4,294,967,296 direcciones únicas, este modelo es el que se usa para asignar direcciones a nivel mundial, y por estándar también se implementa en redes empresariales de manera interna.
A nivel empresarial podemos trabajar perfectamente con direcciones IPV4, pero nivel mundial, las conocidas como “IP públicas” por el crecimiento enorme que ha tenido Internet (mucho más de lo que esperaba, cuando se diseñó IPv4), combinado con el hecho de que hay desperdicio de direcciones en muchos casos, ya hace varios años se vio que escaseaban las direcciones IPv4.
Esta limitación ayudó a estimular el impulso hacia IPv6, que a 2016 está en las primeras fases de implantación, y se espera que termine reemplazando a IPv4.
A nivel interno empresarial es usual seguir trabajando con IPv4 porque es relativamente cómodo manejar direcciones de 32 bits a diferencia de IPV6 que maneja 128 bits, pero eventualmente deberemos dejar de trabajar con IPV4 y adoptar IPV6
Las direcciones disponibles en la reserva global de IANA pertenecientes al protocolo IPv4 se agotaron oficialmente el lunes 31 de enero de 2011.
Los Registros Regionales de Internet deben, desde ahora, manejarse con sus propias reservas, que se estima, alcanzaran hasta el 2020.
Que es Hyper-v Windows 10
Hyper-v Windows 10 es una aplicación que está disponible de forma nativa en distintas versiones de Windows 10 y Windows Server. con este programa podremos crear y ejecutar máquinas virtuales dentro de un sistema operativo host como si se tratasen de equipos físicos.
La función de un Hypervisor como Hyper-v es la de administrar el acceso y funcionamiento de los sistemas virtuales, así como los recursos del hardware físico del equipo host. Hyper-v, al igual que otras aplicaciones como VMware nos permitirá poder trabajar simultáneamente con un sistema operativo instalado sobre otro físico y poder realizar pruebas en este sin que en ningún momento nuestro equipo físico quede modificado de ninguna forma.
Hyper-v proporciona soporte para la virtualización por hardware lo que quiere decir que cada máquina virtual que ejecutemos, correrá sobre un hardware virtual compuesto por los dispositivos típicos que necesita un ordenador: disco duro, tarjeta de red, CPU, memoria RAM y otros.
Implementar un controlador de dominio
Aunque necesita promover un primer servidor como controlador de dominio para mantener una infraestructura de servicios de dominio, a veces necesita instalar controladores de dominio adicionales en su dominio de Windows Server. Existen varias razones por las cuales es posible que desee hacer esto:
• Necesita recursos adicionales en un sitio porque los controladores de dominio existentes están sobrecargados.
• Está abriendo una nueva oficina remota que requiere que implemente uno o más controladores de dominio.
• Está creando una ubicación de recuperación de desastres fuera del sitio. El método de instalación que utiliza varía según las circunstancias.
Instalar un controlador de dominio desde el Administrador del servidor
La instalación y promoción del controlador de dominio tiene dos pasos. Primero, debe instalar los archivos que usa la función de controlador de dominio. Para ello, instale la función AD DS con el Administrador del servidor. Al final del proceso de instalación inicial, los archivos de AD DS se instalan pero AD DS aún no está configurado en el servidor.
Para configurar AD DS, use el Asistente de configuración de servicios de dominio de Active Directory. Inicie el asistente haciendo clic en el enlace AD DS en el Administrador del servidor. El asistente le permite realizar una de las siguientes acciones:
• Agregar un controlador de dominio a un dominio existente.
• Agregar un nuevo dominio a un bosque existente.
• Agregar un nuevo bosque.
Unir una computadora a un dominio
La unión real de la computadora al dominio ocurre en la computadora del cliente. En los sistemas operativos Windows, esto sucede en la pestaña Nombre del equipo de Configuración avanzada del sistema en el subprograma Sistema en el Panel de control. Cualquier usuario puede acceder a la pestaña Nombre del equipo; sin embargo, para unirse al dominio debe conocer el nombre del dominio y proporcionar las credenciales de un usuario de dominio que tenga los permisos necesarios para unir una computadora al dominio. Dejar un dominio es un proceso similar. Ingrese el nombre del grupo de trabajo u otro dominio al que desea unirse y proporcione las credenciales adecuadas.
Cuentas de computadora y canales seguros
Cada computadora miembro en un dominio AD DS mantiene una cuenta de computadora con un nombre de usuario (SAMAccountName) y una contraseña, tal como lo hace una cuenta de usuario. La computadora almacena su contraseña en forma de un secreto de la autoridad de seguridad local (LSA) y cambia su contraseña con el dominio aproximadamente cada 30 días.
El servicio Net Logon utiliza las credenciales para iniciar sesión en el dominio, que establece el canal seguro con un controlador de dominio. Las cuentas de computadora y las relaciones seguras entre las computadoras y su dominio son sólidas. Sin embargo, hay ciertos escenarios en los que una computadora no puede autenticarse con el dominio. Cuando esto sucede, los usuarios no pueden iniciar sesión y la computadora no puede acceder a los recursos, como la Política de grupo. Los ejemplos de situaciones en las que esto puede suceder incluyen:
• Después de reinstalar el sistema operativo en una estación de trabajo, la estación de trabajo no puede autenticarse, aunque el técnico usó el mismo nombre de computadora utilizado en la instalación anterior. Debido a que la nueva instalación generó un nuevo SID, y debido a que la nueva computadora no conoce la contraseña original de la cuenta de la computadora en el dominio, no pertenece al dominio y no puede autenticarse en el dominio.
• No se ha usado una computadora por un período prolongado, tal vez porque el usuario estaba trabajando fuera de la oficina o porque la computadora fue prefabricada como repuesto y no fue necesaria por mucho tiempo. Durante este período, un administrador podría haber restablecido o eliminado la cuenta de la computadora.
• El secreto LSA de una computadora no se sincroniza con la contraseña que el dominio conoce. Puedes pensar en esto como si la computadora olvidara su contraseña. La computadora en realidad no olvidó su contraseña: simplemente no está de acuerdo con el dominio sobre cuál es realmente la contraseña. Cuando esto sucede, la computadora no puede autenticarse y no se puede crear el canal seguro.
Administrar cuentas de usuario
Un objeto de usuario en AD DS es mucho más que propiedades relacionadas con la identidad o cuenta de seguridad del usuario. Es la piedra angular de la identidad y el acceso en AD DS. Por lo tanto, los procesos consistentes, eficientes y seguros con respecto a la administración de cuentas de usuario son la piedra angular de la gestión de seguridad empresarial. Aprendemos a administrar las cuentas de los usuarios, lo cual es más complejo que solo crearlas y eliminarlas. Las cuentas de usuario tienen muchos atributos que puede usar para una variedad de propósitos, como almacenar información adicional de contacto del usuario o información específica de la aplicación para aplicaciones compatibles con Active Directory.
Además, hay archivos y configuraciones específicos del usuario que no se almacenan en Active Directory, sino que generalmente se almacenan en el perfil del usuario.
Crear cuentas de usuario
En AD DS, debe configurar todos los usuarios que requieren acceso a recursos de red con una cuenta de usuario. Con esta cuenta de usuario, los usuarios pueden autenticarse en el dominio AD DS y acceder a los recursos de la red. En Windows Server, una cuenta de usuario es un objeto que contiene toda la información que define a un usuario. Una cuenta de usuario incluye el nombre de usuario, la contraseña de usuario y las membresías de grupo. Una cuenta de usuario también contiene muchas otras configuraciones que puede configurar en función de los requisitos de su organización. Con una cuenta de usuario, puede:
• Permitir o denegar a los usuarios permiso para iniciar sesión en una computadora en función de su identidad dé cuenta de usuario.
• Otorgue a los usuarios acceso a procesos y servicios para un contexto de seguridad específico.
• Administre el acceso de los usuarios a recursos como objetos de AD DS y sus propiedades, carpetas compartidas, archivos, directorios y colas de impresoras.
Administrar grupos en AD DS
Aunque podría ser práctico asignar permisos y capacidades a cuentas de usuarios individuales en redes pequeñas, esto se vuelve poco práctico e ineficiente en redes de grandes empresas. Por ejemplo, si muchos usuarios necesitan el mismo nivel de acceso a una carpeta, es más eficiente crear un grupo que contenga las cuentas de usuario requeridas y luego asignar los permisos requeridos al grupo. Esto tiene el beneficio adicional de permitirle cambiar los permisos de archivo de un usuario agregándolos o eliminándolos de grupos en lugar de editarlos directamente. Antes de implementar grupos en su organización, debe comprender el alcance de varios tipos de grupos de Windows Server y la mejor manera de usarlos para administrar el acceso a los recursos o asignar derechos y capacidades de administración.
Tipos de grupo
En una red empresarial de Windows Server, hay dos tipos de grupos: seguridad y distribución. Cuando crea un grupo, elige el tipo de grupo y el alcance. El tipo de grupo determina las capacidades del grupo. Las aplicaciones de correo electrónico utilizan principalmente grupos de distribución, que no tienen habilitada la seguridad. Los grupos de seguridad tienen seguridad habilitada y los usa para asignar permisos a varios recursos. Puede usar grupos de seguridad en las entradas de permisos en las listas de control de acceso (ACL) para controlar la seguridad del acceso a los recursos. También puede usar grupos de seguridad como medio de distribución para aplicaciones de correo electrónico. Si desea utilizar un grupo para administrar la seguridad, debe ser un grupo de seguridad
Ámbitos de grupo
Windows Server admite el alcance del grupo. El alcance de un grupo determina tanto el rango de habilidades o permisos de un grupo como la membresía del grupo. Hay cuatro ámbitos de grupo:
• Local. Utiliza este tipo de grupo para servidores independientes o estaciones de trabajo, en servidores miembros de dominio que no son controladores de dominio o en estaciones de trabajo miembro de dominio. Los grupos locales son verdaderamente locales, lo que significa que están disponibles solo en la computadora donde existen. Las características importantes de un grupo local son:
• Puede asignar habilidades y permisos solo en recursos locales, es decir, en la computadora local.
• Los miembros pueden ser de cualquier parte del bosque de AD DS y pueden incluir:
§ Cualquier entidad de seguridad del dominio: usuarios, computadoras, grupos globales o grupos locales de dominio. Usuarios, computadoras y grupos globales de cualquier dominio en el bosque.
§ Usuarios, computadoras y grupos globales de cualquier dominio confiable.
§ Grupos universales definidos en cualquier dominio del bosque.
• Dominio local. Utiliza este tipo de grupo principalmente para administrar el acceso a los recursos o para asignar responsabilidades de administración (derechos). Los grupos locales de dominio existen en controladores de dominio en un bosque de AD DS y, en consecuencia, el alcance del grupo es local para el dominio en el que residen. Las características importantes de los grupos de dominio local son:
• Puede asignar habilidades y permisos solo en recursos de dominio local, lo que significa en todas las computadoras en el dominio local.
• Los miembros pueden ser de cualquier parte del bosque de AD DS y pueden incluir:
• Cualquier entidad de seguridad del dominio: usuarios, computadoras, grupos globales o grupos locales de dominio.
• Usuarios, computadoras y grupos globales de cualquier dominio en el bosque.
• Usuarios, computadoras y grupos globales de cualquier dominio confiable. Grupos universales definidos en cualquier dominio del bosque.
• Global. Utiliza este tipo de grupo principalmente para consolidar usuarios que tienen características similares. Por ejemplo, los grupos globales a menudo se utilizan para consolidar usuarios que forman parte de un departamento o ubicación geográfica. Las características importantes de los grupos globales son:
• Puede asignar habilidades y permisos en cualquier parte del bosque.
• Los miembros pueden ser del dominio local únicamente y pueden incluir usuarios, computadoras y grupos globales del dominio local.
• Universal. Utiliza este tipo de grupo con mayor frecuencia en redes multidominio porque combina las características de los grupos de dominio local y los grupos globales. Específicamente, las características importantes de los grupos universales son:
• Puede asignar habilidades y permisos en cualquier parte del bosque, como con los grupos globales.
• Los miembros pueden ser de cualquier parte del bosque de AD DS, y pueden incluir:
• Usuarios, computadoras y grupos globales de cualquier dominio en el bosque.
• Grupos universales definidos en cualquier dominio del bosque.
• Las propiedades de los grupos universales se propagan al catálogo global y están disponibles en toda la red empresarial en todos los controladores de dominio que alojan la función de catálogo global. Esto hace que las listas de membresía de grupos universales sean más accesibles, lo cual es útil en escenarios multidominio. Por ejemplo, si se utiliza un grupo universal para fines de distribución de correo electrónico, el proceso para determinar la lista de miembros generalmente es más rápido en redes multidominio distribuidas. La siguiente tabla resume y compara las propiedades básicas de los cuatro ámbitos de grupo.
¿Qué son las unidades organizativas?
Una unidad organizativa (OU) es un objeto contenedor dentro de un dominio que puede usar para consolidar usuarios, computadoras, grupos y otros objetos. Puede vincular objetos de directiva de grupo (GPO) directamente a una unidad organizativa para administrar los objetos contenidos en la unidad organizativa. También puede asignar un administrador de unidades organizativas y asociar una partición COM + con una unidad organizativa. Puede crear nuevas unidades organizativas en AD DS en cualquier momento mediante el Centro administrativo de Active Directory.
Existen dos razones para crear una unidad organizativa:
• Agrupar objetos para facilitar su administración mediante la aplicación de GPO a todo el grupo. Cuando asigna GPO a una unidad organizativa, la configuración se aplica a todos los objetos dentro de la unidad organizativa. Los GPO son políticas que los administradores crean para administrar y configurar opciones para computadoras y / o usuarios. Implemente los GPO vinculándolos a unidades organizativas, dominios o sitios.
• Delegar el control administrativo de objetos dentro de la unidad organizativa. Puede asignar permisos de administración en una unidad organizativa, delegando así el control de esa unidad organizativa a un usuario o grupo dentro de AD DS además del grupo Administradores de dominio.
Puede usar unidades organizativas para representar las estructuras jerárquicas y lógicas dentro de su organización. Por ejemplo, puede crear unidades organizativas que representen los departamentos de su organización, las regiones geográficas dentro de su organización o una combinación de regiones departamentales y geográficas. Puede usar unidades organizativas para administrar la configuración y el uso de cuentas de usuarios, grupos y computadoras en función de su modelo organizativo.
Contenedores genéricos
AD DS contiene varios contenedores integrados, conocidos como contenedores genéricos, como usuarios y computadoras.
Estos contenedores se usan para almacenar objetos del sistema o como los padres predeterminados para los nuevos objetos cuando se crean. Estos objetos contenedores genéricos no deben confundirse con las unidades organizativas. La principal diferencia entre las unidades organizativas y los contenedores son las capacidades de gestión. Los contenedores tienen capacidades de gestión limitadas. Por ejemplo, no puede aplicar un GPO directamente a un contenedor.
Cuando instala AD DS, la OU de controladores de dominio y varios objetos contenedores genéricos se crean de forma predeterminada. AD DS utiliza principalmente algunos objetos predeterminados y están ocultos de forma predeterminada. Los siguientes objetos son visibles de forma predeterminada en el Centro administrativo de AD:
• Dominio. El nivel superior de la jerarquía organizativa del dominio.
• Contenedor incorporado. Un contenedor que almacena varios grupos predeterminados.
• Contenedor de computadoras. La ubicación predeterminada para las nuevas cuentas de computadora que cree en el dominio.
• Contenedor de Directores de Seguridad Extranjera. La ubicación predeterminada para objetos confiables de dominios fuera del bosque de AD DS. Normalmente, se crean cuando un objeto de un dominio externo se agrega a un grupo en el dominio AD DS.
• Cuentas de servicios gestionados. La ubicación predeterminada para las cuentas de servicios administrados. AD DS proporciona administración automática de contraseñas en cuentas de servicios administrados.
• Contenedor de usuarios. La ubicación predeterminada para las nuevas cuentas de usuario y grupos que cree en el dominio. El contenedor de usuarios también contiene las cuentas de administrador e invitado para el dominio y para algunos grupos predeterminados.
• Controladores de dominio OU. La ubicación predeterminada para las cuentas de computadora de los controladores de dominio. Esta es la única unidad organizativa que está presente en una nueva instalación de AD DS. Existen varios contenedores que solo puede ver cuando hace clic en Funciones avanzadas en el menú Ver.
Los siguientes objetos están ocultos por defecto:
• LostAndFound. Este contenedor contiene objetos huérfanos.
• Datos del programa. Este contenedor contiene datos de Active Directory para aplicaciones de Microsoft, como los Servicios de federación de Active Directory (AD FS).
• Sistema. Este contenedor contiene la configuración del sistema incorporado.
• Cuotas de NTDS. Este contenedor contiene datos de cuota de servicio de directorio.
• Dispositivos TPM. Este contenedor es nuevo con Windows Server 2016. Almacena la información de recuperación para dispositivos Trusted Platform Module (TPM).
Desde el lanzamiento de Microsoft Windows 2000, la función de directiva de grupo de los sistemas operativos Windows ha proporcionado una infraestructura con la que los administradores pueden definir la configuración de forma centralizada y luego implementarla en las computadoras de sus organizaciones. En un entorno administrado por una infraestructura de directiva de grupo bien implementada, un administrador realiza muy poca configuración directamente tocando la computadora de un usuario. Puede definir, aplicar y actualizar la configuración completa mediante la configuración de Objeto de directiva de grupo (GPO).
Al usar la configuración de GPO, puede afectar un sitio o dominio completo dentro de una organización o puede limitar su enfoque a una sola unidad organizativa (OU). El filtrado basado en la pertenencia al grupo de seguridad y otros atributos le permiten definir aún más el objetivo de su configuración de GPO. Explicaremos qué es la directiva de grupo y describirá cómo funciona y cómo implementarla mejor en su organización.
Introducción a la política de grupo
La infraestructura de la directiva de grupo tiene varios componentes que interactúan. Para implementar y respaldar la Política de grupo correctamente, debe comprender qué hace cada componente y cómo funcionan juntos. Además, debe comprender cómo ensamblar estos componentes en diferentes configuraciones. Esta lección proporciona una descripción general completa de los componentes, procedimientos y funciones de la directiva de grupo.
¿Qué es la gestión de la configuración?
Si solo tiene una computadora en su entorno, en casa, por ejemplo, y desea modificar el fondo del escritorio, puede hacerlo de varias maneras diferentes. A menudo, las personas abren Personalización desde la aplicación Configuración en Windows 10 y luego realizan el cambio utilizando la interfaz del sistema operativo Windows. Aunque eso funciona bien para una computadora, puede ser tedioso si desea realizar el cambio en varias computadoras. Implementar cualquier cambio y mantener un entorno consistente es más difícil con varias computadoras. La gestión de la configuración es un enfoque centralizado para aplicar uno o más cambios a más de un usuario o computadora.
Los elementos clave de la gestión de la configuración son:
• Configuración. Una configuración también se conoce como una definición centralizada de un cambio. La configuración lleva a un usuario o computadora a un estado de configuración deseado.
• Alcance. El alcance de un cambio es la cantidad de computadoras o usuarios que afecta la configuración.
• Solicitud. La aplicación es un mecanismo o proceso que garantiza que la configuración se aplique a los usuarios y las computadoras dentro del alcance. La directiva de grupo es un marco en los sistemas operativos Windows con componentes que residen en los Servicios de dominio de Active Directory (AD DS), en los controladores de dominio y en cada servidor y cliente de Windows. Con estos componentes, puede administrar la configuración en un dominio AD DS.
Descripción general de las herramientas y consolas de directiva de grupo
El componente más básico de la directiva de grupo es una configuración de directiva individual. Una configuración de política individual también se conoce como política. La política define un cambio de configuración específico que puede aplicar, como una configuración de política que impide que un usuario acceda a las herramientas de edición del registro.
Si define esa configuración de directiva y luego la aplica al usuario, el usuario no podrá ejecutar herramientas como REGEDIT (regedit.exe). Es importante saber que algunas configuraciones afectan a un usuario: estas configuraciones se denominan configuraciones de configuración de usuario (o políticas de usuario).
Y algunas configuraciones afectan a la computadora: estas configuraciones se llaman configuraciones de configuración de la computadora (o políticas de la computadora). La directiva de grupo administra varias configuraciones de directiva y el marco de directiva de grupo es extensible. Al final, puede administrar casi cualquier configuración configurable con la directiva de grupo.
En la ventana del Editor de administración de directivas de grupo, puede definir una configuración de directiva haciendo doble clic en ella. Aparece el cuadro de diálogo Propiedades de configuración de directiva. La configuración de políticas en el área denominada Plantillas administrativas puede tener tres estados: No configurada, Activada y Desactivada. En un nuevo GPO, cada configuración de directiva se establece de manera predeterminada en No configurado. Esto significa que el GPO no modifica la configuración existente de esa configuración particular para un usuario o computadora. Si habilita o deshabilita una configuración de directiva, se realiza un cambio en la configuración de usuarios y equipos a los que se aplica el GPO. Cuando devuelve una configuración de Plantilla administrativa a su valor No configurado, la devuelve a su valor predeterminado. Algunas configuraciones permanecen configuradas en la computadora incluso si elimina la configuración del GPO. El efecto del cambio depende de la configuración de la política. Por ejemplo, si habilita la configuración de directiva Prevenir el acceso a las herramientas de edición del registro, los usuarios no podrán abrir el editor del registro, regedit.exe.
Si deshabilita la configuración de la política, se asegura de que los usuarios puedan abrir el editor de registro. Observe el doble negativo en este ejemplo de configuración de política: deshabilita una política que impide una acción; por lo tanto, permites la acción. Algunas configuraciones de políticas agrupan varias configuraciones en una política, y estas pueden requerir parámetros adicionales.
Muchas configuraciones de políticas son complejas, y el efecto de habilitarlas o deshabilitarlas puede no ser obvio. Además, algunas configuraciones de políticas afectan solo a ciertas versiones del sistema operativo Windows. Asegúrese de revisar el texto explicativo de una configuración de directiva en la ventana del Editor de administración de directivas de grupo o en la pestaña Explicar en el cuadro de diálogo Propiedades de la configuración de directiva. Además, siempre pruebe los efectos de una configuración de política y sus interacciones con otras configuraciones de política antes de implementar un cambio en su entorno de producción.
Configuración de la computadora y configuración del usuario
Hay dos divisiones principales de la configuración de la política: la configuración del equipo, que se encuentra en el nodo Configuración del equipo, y la configuración del usuario, que se encuentra en el nodo Configuración del usuario:
• El nodo Configuración de la computadora contiene la configuración que se aplica a las computadoras, independientemente de quién inicie sesión en ellas. La configuración de la computadora se aplica cuando se inicia el sistema operativo, durante las actualizaciones de fondo y cada 90–120 minutos a partir de entonces.
• El nodo Configuración de usuario contiene configuraciones que se aplican cuando un usuario particular inicia sesión en la computadora, durante las actualizaciones de fondo y cada 90–120 minutos a partir de entonces.
Objetos de directiva de grupo
Define la configuración de la política dentro de un GPO. Un GPO es un objeto que contiene una o más configuraciones de políticas que se aplican a una o más configuraciones de configuración para un usuario o una computadora.
Administramos los objetos de directivas de grupo usando la ventana de Group Policy Management Console, GPMC.
GPMC muestra los GPO en un contenedor denominado Objetos de directiva de grupo. Para crear un nuevo GPO en un dominio, haga clic con el botón derecho en el contenedor Objetos de directiva de grupo, haga clic en Nuevo y luego especifique un nombre para el GPO. Para modificar las opciones de configuración en un GPO, haga clic con el botón derecho en el GPO y luego haga clic en Editar. Esto abre la ventana del Editor de administración de directivas de grupo.
Descripción general del alcance de GPO
Defina los cambios de configuración mediante la configuración de políticas en los GPO. Sin embargo, los cambios de configuración en un GPO no afectan a las computadoras o usuarios de su organización hasta que especifique las computadoras o usuarios a los que se aplica el GPO. Esto se denomina alcance de un GPO. El alcance de un GPO es la colección de usuarios y computadoras que aplicarán la configuración en el GPO. Puede usar varios métodos para administrar el alcance de los GPO. El primero es el enlace de GPO. Puede vincular GPO a sitios, dominios y unidades organizativas en AD DS. El sitio, dominio u OU se convierte en el alcance máximo del GPO. Todas las computadoras y usuarios dentro del sitio, dominio o unidad organizativa, incluidos aquellos en unidades organizativas secundarias, se ven afectados por las configuraciones que especifican las configuraciones de política en el GPO.
DNS
El sistema de nombres de dominio (DNS, por sus siglas en inglés, Domain Name System) es un sistema de nomenclatura jerárquico descentralizado para dispositivos conectados a redes IP como Internet o una red privada.
Este sistema asocia información variada con nombre de dominio asignado a cada uno de los participantes. Su función más importante es "traducir" nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente.
DHCP
El protocolo de configuración dinámica de host en inglés: Dynamic Host Configuration Protocol, también conocido por sus siglas de DHCP es un servidor que usa protocolo de red de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van quedando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después.
Así los clientes de una red IP pueden conseguir sus parámetros de configuración automáticamente.
Este es un curso introductorio a la administración de Windows Server y del entorno de red usando la herramienta de servicios de directorio que permite la gestión de usuarios y equipos dentro de la red, la asignación de permisos e implementación de política, usando tecnología Microsoft.
Active Directory (AD) es el término que usa Microsoft cuando se refiere a la implementación de servicio de directorio a una red de computadoras. Para hacerlo se usan distintos protocolos, como DNS, LDAP, DHCP y Kerberos. Este es un servicio establecido en uno o varios servidores en los que se crean objetos como usuarios, grupos o equipos con el objetivo de poder administrar los inicios de sesión en los equipos que están conectados a la red. En este curso el alumno aprenderá todo lo necesario para poder aprovechar estas herramientas.
Este Curso de Active Directory está dirigido tanto a todo aquel que desee ser administrador o arquitecto de red, que tengan el objetivo de diseñar y gestionar una infraestructura de servicios de dominio Active Directory usando Windows Server. El curso permite al alumno aprender y comprender los conceptos esenciales para que pueda usar las mejores prácticas y conocer e implementar los elementos de la estructura del Active Directory, como es el caso de los dominios, los árboles, los bosques, unidades organizativas y la creación y configuración de los objetos de las directivas de grupos (como el uso de la consola GPMC y su análisis, delegación y más. También hablamos sobre como monitorear el rendimiento del servidor, administración de discos y roles básicos de administración de infraestructura de red como lo son el DNS y el DHCP.