Active Directory

Instalación de Active
Directory en
Windows Server 2003
Contenido
Introducción ¡Error!
Marcador no definido.
Lección: Fundamentos de Active Directory ¡Error!
Lección: Instalación de Active Directory ¡Error!
Lección: Cambio de niveles funcionales ¡Error!
2 Instalación de Active Directory en Windows Server 2003
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción En una red en la que se ejecuta cualquier sistema operativo de la familia de

productos de Microsoft® Windows Server™ 2003, el servicio de directorio
Active Directory® proporciona la estructura y las funciones para organizar,
administrar y controlar recursos de red. Para administrar o dar soporte a una
red de la familia de Windows Server 2003, debe comprender la finalidad y la
estructura de Active Directory.
Objetivos Después de finalizar este módulo, podrá:
Explicar conceptos básicos del servicio de directorio Active Directory.
Instalar Active Directory.
Cambiar el nivel funcional de dominio.
Instalación de Active Directory en Windows Server 2003 3
Lección: Fundamentos de Active Directory
Introducción En esta lección se proporciona una introducción a Active Directory, incluidos

muchos de los términos necesarios para su comprensión.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar la función de un servicio de directorio y las ventajas de utilizar el
servicio de directorio Active Directory.
Explicar la función de dominios y controladores de dominio.
Comparar sincronización con replicación.
Explicar la función de una unidad organizativa y las ventajas de utilizar
unidades organizativas.
Explicar la relación entre árboles y bosques y las relaciones de confianza
comunes que admite Active Directory.
Explicar la función de un sitio.
Explicar la función del esquema.
Qué es el servicio de directorio Active Directory
Introducción Como usuario que ha iniciado una sesión en una red, puede que necesite
conectarse a una carpeta compartida o enviar un trabajo de impresión a una
impresora de la red. ¿Cómo encontrar la carpeta y la impresora y otros recursos
de red?
Definición Un servicio de directorio es un servicio de red que identifica todos los recursos de
una red y pone la información a disposición de los usuarios y las aplicaciones.
Los servicios de directorio son importantes porque proporcionan una forma
coherente de asignar nombre, describir, encontrar, tener acceso, administrar y
proteger la información acerca de estos recursos.
Cuando un usuario busca una carpeta compartida en la red, es el servicio de
directorio el que indentifica el recurso y proporciona esa información al usuario.
Active Directory Active Directory es el servicio de directorio de la familia de
Windows Server 2003. Amplía la funcionalidad básica de un
servicio de directorio para proporcionar las siguientes ventajas:
Integración de DNS
Active Directory utiliza las convenciones de nomenclatura del Sistema de
nombres de dominio (DNS, Domain Name System) para crear una estructura
jerárquica que proporcione una vista familiar, ordenada y escalable de las
conexiones de red. DNS también se utiliza para asignar nombres de host,
como microsoft.com, a direcciones de Protocolo de control de
transmisión/Protocolo Internet (TCP/IP, Transmission Control
Protocol/Internet Protocol) numéricas, como 192.168.19.2.
Escalabilidad
Active Directory se organiza en secciones que permiten el almacenamiento
de una gran cantidad de objetos. Como resultado, Active Directory se puede
ampliar a medida que la organización crece. Una organización que dispone
de un solo servidor con unos pocos cientos de objetos puede crecer hasta
miles de servidores y millones de objetos.
Administración centralizada
Active Directory permite a los administradores controlar escritorios
distribuidos, servicios de red y aplicaciones desde una ubicación central, al
tiempo que utiliza una interfaz de administración coherente. Active Directory
también proporciona un control de acceso centralizado a los recursos de red,
habilitando a los usuarios para iniciar la sesión sólo tras obtener acceso
completo a los recursos en todo Active Directory.
Administración delegada
La estructura jerárquica de Active Directory permite que el control
administrativo se delegue para segmentos específicos de la jerarquía. Una
autoridad administrativa superior puede autorizar a un usuario a realizar
labores administrativas en su parte designada de la estructura. Por ejemplo,
los usuarios pueden disponer de un control administrativo limitado en la
configuración de su estación de trabajo y un administrador de departamento
puede disponer de derechos administrativos para crear nuevos usuarios en
una unidad organizativa.
Lecturas adicionales Para obtener más información acerca de Active Directory, consulte
Technical Overview of Windows Server 2003 Active Directory (en inglés)
en http://www.microsoft.com/windowsserver2003/techinfo/overview/
activedirectory.mspx.
Qué son los dominios y los controladores de dominio
Qué es un dominio Un dominio es un conjunto de equipos, definidos por un administrador, que

comparten una base de datos de directorio común, directivas de seguridad y
relaciones de seguridad con otros dominios. En Active Directory, la unidad
central de la estructura lógica es el dominio.
Qué es un controlador Un controlador de dominio es un equipo que realiza las siguientes acciones:
de dominio
Ejecuta un sistema operativo en la familia de Windows Server 2003 o
ejecuta Microsoft Windows® 2000.
Almacena una réplica de Active Directory.
Administra los cambios de la información de directorio.
Replica los cambios de directorio en otros controladores de dominio del
mismo dominio.
Almacena datos de directorio.
Administra los procesos de inicio de sesión y autenticación de los usuarios y
de búsquedas de directorios.
Nota A diferencia de Microsoft Windows NT® 4.0, Windows Server 2003

no realiza una copia de seguridad de los controladores de dominio. En
Windows Server 2003, todos los controladores de dominio pueden aceptar y
replicar cambios de directorio. Esto se conoce como replicación con varios
maestros. Windows NT 4.0 utiliza un modelo de replicación de un solo servidor
maestro, en el que un controlador de dominio almacena la única copia del
directorio que se puede modificar y otros controladores de dominio almacenan
copias de seguridad.
Cuántos controladores Un dominio puede tener uno o varios controladores de dominio. Una
de dominio hay en un organización pequeña que utilice una única red de área local (LAN, Local Area
dominio Network) puede que sólo necesite un dominio con dos controladores de dominio
para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Una
organización grande con muchas ubicaciones geográficas puede necesitar uno
o varios controladores de dominio en cada ubicación para proporcionar la
disponibilidad y la tolerancia de errores adecuadas.
Los dominios son unidades de replicación. Todos los controladores dentro de un dominio participan en la replicación y contienen una copia
completa de toda la información de directorio de su dominio.
Nota En una red de Windows Server 2003, un servidor miembro es cualquier

servidor del dominio que no es un controlador de dominio.
Comparación entre sincronización y replicación
Introducción En un dominio de Microsoft Windows NT 4.0, los cambios realizados en el

controlador de dominio principal (PDC, Primary Domain Controller) se
sincronizan con el controlador de dominio de reserva (BDC, Backup Domain
Controller). En Windows 2000 y en la familia de Windows Server 2003, puede
realizar cambios en cualquier controlador de dominio para un dominio y los
cambios se replicarán en el resto de controladores de dominio para ese dominio.
Comparaciones entre En la siguiente tabla se resume la sincronización y la replicación en
sincronización y Windows NT 4.0 y la familia de Windows Server 2003.
replicación
Modelo de replicación con
Término Sincronización múltiples maestros
¿A qué producto Windows NT 4.0 Familia de Windows Server 2003

se aplica?
¿Dónde se realizan Todos los cambios se Los cambios en un objeto
los cambios? realizan en el PDC. de Active Directory pueden
realizarse en cualquier
controlador de dominio.
¿Dónde se propagan Los cambios realizados Los cambios realizados en
los cambios? en el PDC se replican en cualquier controlador de dominio
el BDC. se replican en el resto de
controladores del dominio.
Qué es una unidad organizativa
Definición Una unidad organizativa es un tipo especialmente útil de objeto de

Active Directory que está contenido en un dominio. Las unidades organizativas
son útiles porque pueden utilizarse para organizar cientos de miles de objetos
en el directorio en unidades fáciles de administrar. Puede utilizar una unidad
organizativa para agrupar y organizar objetos con fines administrativos, como
delegar derechos administrativos y asignar directivas a un conjunto de objetos
como una sola unidad.
Ventajas del Puede utilizar unidades organizativas para lo siguiente:
uso de unidades
administrativas Organizar objetos en un dominio.
Las unidades organizativas contienen objetos de dominio, como grupos y
cuentas de usuario y equipo. En las unidades organizativas también es
posible encontrar recursos compartidos de archivo e impresora que se
publican en Active Directory.
Delegar el control administrativo.
Puede asignar control administrativo completo, como el permiso Control total,
a todos los objetos de la unidad organizativa o control administrativo limitado,
como la capacidad de modificar la información de correo electrónico, a los
objetos de usuario de la unidad organizativa. Para delegar el control
administrativo, asigne permisos específicos a la unidad organizativa y a los
objetos que ésta contiene para uno o varios usuarios y grupos.
Simplificar la administración de los recursos normalmente agrupados.
Puede delegar la autoridad administrativa a atributos u objetos individuales
en Active Directory, pero normalmente utilizará unidades organizativas
para delegar esta autoridad. Un usuario puede tener autoridad administrativa
para todas las unidades organizativas de un dominio o para una sola. Con
las unidades organizativas podrá crear contenedores en un dominio que
representen las estructuras jerárquicas o lógicas de su organización. Así,
podrá administrar la configuración y el uso de cuentas y recursos en función
del modelo organizativo.
Qué son árboles, bosques y confianzas
Definiciones Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo

se organizan los dominios y cómo trabajan juntos.
Término Definición
Árbol Una disposición jerárquica de uno o varios dominios de la familia de

Windows Server 2003 que forman un espacio de nombres contiguo.
Un árbol también se denomina árbol de dominios.
Bosque Uno o varios árboles se pueden unir para formar un bosque. Un bosque
también se denomina bosque de dominios.
Ejemplo de una Contoso Ltd. ha creado dos nuevas organizaciones, una en China y la otra en
estructura con Japón. Se añadieron dos nuevos dominios al dominio de Active Directory actual
un único árbol denominado contoso.msft. Cada uno comparte la raíz común contoso.msft:
china.contoso.msft
japan.contoso.msft
Los siguientes resultados se consiguen incluyendo las nuevas organizaciones en

una estructura de árbol, en lugar de crear unidades organizativas en el dominio
existente:
Los dominios resultantes forman un espacio de nombres contiguo.
El administrador puede otorgar permisos para recursos a cuentas de
cualquiera de los tres dominios del árbol.
Los nuevos dominios se pueden administrar de forma independiente,
cada uno en un idioma distinto.
Ejemplo de una Contoso, Ltd. adquiere una nueva compañía llamada Northwind Traders y crea
estructura con un dominio de Active Directory denominado nwtraders.msft. Northwind
varios árboles Traders y Contoso combinarán operaciones de tecnologías de la información y
comenzarán a funcionar juntas. A Contoso Ltd. le gustaría mantener el nombre
de marca Northwind Traders para el futuro inmediato.
Contoso crea otro árbol en el bosque existente para la compañía adquirida.
Los siguientes resultados se consiguen utilizando varios árboles en un
único bosque:
Las dos organizaciones compartirán un esquema común.
Compartirán datos de configuración comunes.
Compartirán un catálogo global común, en el que se realizarán búsquedas de
recursos más fácilmente.
Ejemplo de una Con la situación del ejemplo anterior, puede conseguir los siguientes resultados
estructura con añadiendo el nuevo dominio de Active Directory, nwtraders.msft, como un
varios bosques nuevo bosque, en lugar de crear la nueva organización en el bosque existente:
Las dos organizaciones pueden mantener espacios de nombres
independientes y continuar utilizando la jerarquía de nombres que
ya existe dentro de ellas.
Las dos organizaciones pueden mantener sus funciones administrativas
separadas y continuar funcionando de forma independiente.
Las dos organizaciones podrán compartir recursos y funciones
administrativas si resulta adecuado.
Nota El bosque es el máximo límite de seguridad.

Relaciones de confianza En Active Directory, el término confianza hace referencia a la relación

de Active Directory entre dos dominios en la que un dominio reconoce la autoridad de
autenticación del otro.
Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo
otros dominios pueden reconocer la autoridad para autenticar de un dominio.
Término Definición
Confianza unidireccional Un dominio reconoce la autoridad de autenticación de otro

pero no a la inversa. Por ejemplo, el dominio A confía en el
dominio B, pero el dominio B no confía en el dominio A.
Confianza bidireccional La autoridad de autenticación entre dominios se reconoce
mutuamente. Por ejemplo, si el dominio A confía en el
dominio B, entonces el dominio B confía en el dominio A.
Confianza transitiva La autoridad de autenticación se puede heredar
implícitamente entre dominios.
Por ejemplo, si el dominio A confía en el dominio B y el
dominio B confía en el dominio C, el dominio A confía
en el dominio C.
Confianza transitiva La autoridad de autenticación se puede heredar
bidireccional implícitamente de forma bidireccional entre dominios.
Por ejemplo, si el dominio B confía en el dominio A y el
dominio C confía en el dominio A, entonces el dominio B
confía automáticamente en el dominio C y el dominio C
confía automáticamente en el dominio B.
Confianza entre bosques Una confianza que se extiende a través de bosques.
Relaciones de confianza Éstas son las relaciones de confianza utilizadas con más frecuencia:
de uso frecuente
Las relaciones de confianza transitivas bidireccionales se utilizan con más
frecuencia porque son las predeterminadas entre dominios de la familia de
Windows Server 2003.
Las confianzas no transitivas unidireccionales se utilizan con frecuencia
para admitir conexiones desde dominios de la familia de
Windows Server 2003 a redes de Windows NT 4.0.
Lecturas adicionales Para obtener más información sobre confianzas consulte los temas
“Confianzas” y “Tipos de confianzas” del Sistema de ayuda y soporte técnico.
Qué es un sitio
Qué es un sitio Un sitio es una combinación de una o varias subredes de Protocolo Internet
(IP, Internet Protocol) que están conectadas por un vínculo de alta velocidad.
La definición de sitios permite configurar la topología de replicación y acceso
a Active Directory.
Por qué se crea un sitio Los sitios se crean por dos razones:
Para optimizar la replicación de dominios
Para permitir que los usuarios se conecten a un controlador de dominio
mediante una conexión confiable de alta velocidad
Comparación de Los sitios asignan la estructura física de la red, mientras que los dominios
sitios y dominios asignan la estructura lógica de la organización. Las estructuras lógica y física
de Active Directory son independientes una de otra, lo que tiene las siguientes
consecuencias:
No hay correlación entre la estructura física de la red y su estructura
de dominios.
Active Directory permite múltiples dominios en un único sitio, además
de múltiples sitios en un único dominio.
No hay correlación entre los espacios de nombres de los sitios y de los
dominios.
Lecturas adicionales Para obtener más información sobre sitios consulte el curso 2281: Designing
a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta)
(en inglés).
Qué es el esquema
Qué es un esquema El esquema del servicio de directorio Active Directory es una estructura de
datos que contiene las definiciones de todos los objetos que se almacenan en
Active Directory, como equipos, usuarios e impresoras.
Estructura de esquema: Hay dos tipos de definiciones en el esquema: clases y atributos.
clases y atributos
Las clases describen los objetos de directorio que se pueden crear. Cada clase
es un conjunto de atributos, los cuales describen objetos.
Cuando se crea un objeto, los atributos de este objeto almacenan la información
que lo describe. Los atributos se definen de forma independiente de las clases.
Cada atributo se define sólo una vez y se puede utilizar en varias clases. Por
ejemplo, el atributo de descripción se utiliza en muchas clases, pero se define
sólo una vez en el esquema para asegurar la coherencia.
Los usuarios pueden localizar objetos por todo Active Directory mediante la
búsqueda de atributos específicos. Por ejemplo, un usuario puede localizar una
impresora en un edificio concreto mediante la búsqueda del atributo Ubicación
de la clase de objeto de la impresora.
Características En la familia de Windows Server 2003, sólo hay un esquema para todo el
de los esquemas bosque de manera que todos los objetos creados en Active Directory se ajustan
a las mismas reglas. Cuando se realizan cambios en el esquema, estos cambios
se replican en cada controlador de dominio del bosque.
En Active Directory, el esquema se almacena en una base de datos, que es
distinta de otros directorios que disponen de un esquema que se almacena como
un archivo de texto y se lee al inicio.
El almacenamiento del esquema en una base de datos significa que el esquema:

Está disponible dinámicamente para aplicaciones de usuario.
Se puede actualizar de forma dinámica.
Puede utilizar listas de control de acceso discrecional para proteger todas las
clases y atributos.
Dónde se almacena El esquema se almacena en una partición de directorio de la base de datos de

el esquema Active Directory. Una partición de directorio es una unidad de replicación. El
archivo de la base de datos de Active Directory se llama Ntds.dit y se encuentra
en SystemRoot\Ntds. Además del esquema, este archivo contiene toda la
información almacenada en Active Directory.
Nota Las clases y atributos del esquema no se pueden deshacer o eliminar,

pero pueden desactivarse.
Lección: Instalación de Active Directory
Introducción En esta lección se describen diversas tareas de instalación importantes

relacionadas con Active Directory.
Explicar los requisitos para la instalación de Active Directory.
Explicar los dos métodos para agregar un controlador de dominio a un
dominio existente.
Agregar un controlador de dominio a un dominio existente.
Instalar Active Directory a partir de un medio de copia de seguridad.
Crear un árbol en un bosque existente.
Crear un dominio secundario.
Requisitos de instalación de Active Directory
Antes de instalar Active Directory, debe asegurarse de que tanto el servidor

como la red cumplen ciertos requisitos y opciones de instalación.
Requisitos de En la siguiente lista se identifican los requisitos para la instalación de
instalación de Active Directory:
Active Directory
Un equipo donde se ejecute la familia de Microsoft Windows Server 2003.
Una partición o un volumen formateados con el sistema de archivos de
Windows NT (NTFS, Windows NT File System).
Espacio en disco suficiente para el directorio. Se recomienda disponer
de 1 gigabyte (GB) como mínimo.
Un servidor DNS que admite el registro de recurso de servicio (SRV).
Protocolo de control de transmisión/Protocolo Internet (TCP/IP) instalado y
configurado para DNS.
Además, se recomienda disponer de un servidor DNS que admita el
protocolo de actualización dinámica.
Nota El Asistente para instalación de Active Directory ofrece la posibilidad

de instalar el servicio Servidor DNS al instalar el primer controlador de
dominio en un dominio nuevo, si no se encuentra un servidor DNS autorizado
para el dominio o si el servidor DNS no admite el DNS dinámico.
Al crear un dominio o un controlador de dominio en una red de la familia de

Windows Server 2003 existente, debe obtener las credenciales de red necesarias
para crear un dominio. Estas credenciales son las siguientes:
El nombre de inicio de sesión de una cuenta de usuario
La cuenta de usuario debe tener suficientes privilegios administrativos para
crear un controlador de dominio.
La contraseña de la cuenta
El nombre del dominio
Especificación de las Cuando se instala Active Directory en un equipo donde se ejecuta un miembro
opciones de instalación de la familia de Windows Server 2003, se especifica el dominio en el que ese
para controladores de equipo va a ser un controlador de dominio.
dominio
Debe elegir entre estas opciones para cada controlador de dominio que cree.
Después de hacer la selección, el Asistente para la instalación de Active
Directory le guiará para que especifique la información necesaria para el nuevo
controlador de dominio. La información que debe proporcionar al instalar
Active Directory varía según las opciones seleccionadas.
Cuando instala Active Directory, se crean archivos de registro que enumeran
los resultados de cada paso del procedimiento de instalación. Los archivos de
registro se guardan en la carpeta SystemRoot\Debug.
Nota Para obtener más información sobre la planificación de Active Directory,

consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory
Services Infrastructure (Beta) (en inglés).
Métodos para agregar un controlador de dominio a un dominio

existente
Comparación de las Existen dos formas de agregar un controlador de dominio a un dominio existente:
formas de agregar un
controlador de dominio Replicar una copia completa de la base de datos de Active Directory en la red.
Las ventajas de utilizar este método son las siguientes:
• Permite utilizar una red de banda ancha.
• La replicación se actualiza y se completa en un solo paso en el momento
de la promoción.
Instalar un controlador de dominio a partir de los medios de copia
de seguridad.
Con este método, cuando se inicia la instalación de Active Directory,
la replicación inicial se realiza con los archivos de copia de seguridad
restaurados, en lugar de hacerlo con otro controlador de dominio a través
de la red.
La instalación a partir de medios de copia de seguridad permite implementar
controladores de dominio en ubicaciones que disponen de conexiones de
poco ancho de banda.
Los archivos de copia de seguridad, generados por cualquier utilidad de
copia de seguridad compatible con Active Directory, se pueden transferir al
controlador de dominio candidato mediante medios como cinta, CD o DVD,
o bien utilizando la copia de archivos en una red.
Tenga en cuenta que los medios de copia de seguridad no están actualizados
en el momento de la promoción. Después de promover el controlador de
dominio, se debe replicar para que quede actualizado. El tiempo requerido y
el ancho de banda consumido en este proceso dependen en gran medida de
lo reciente que sea la copia de seguridad. Por esta razón, debe crear una
copia de seguridad lo más cerca posible en el tiempo del momento en que
vaya a utilizarla.
Cómo agregar un controlador de dominio a un dominio existente
Introducción Después de crear un dominio, debe crear un controlador de dominio adicional

en el dominio para proporcionar tolerancia a errores y equilibrio de carga para
Active Directory.
Procedimiento Para agregar un controlador de dominio a un dominio existente, ejecute
DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory.
Complete el asistente con la información contenida en la siguiente tabla.
En esta página Haga esto
Tipo de controlador de Haga clic en Controlador de dominio adicional

dominios para un dominio existente.
Copiar información del Haga clic en En la red desde un controlador
dominio (esta opción sólo de dominio
está disponible al utilizar – o bien –
DCPromo.exe con el Desde estos archivos restaurados de copia de
modificador /adv) seguridad, escriba la ubicación de los mismos
o haga clic en Examinar para localizar los archivos
restaurados.
Credenciales de red Especifique el nombre de usuario, la contraseña y
el nombre de dominio de una cuenta de usuario
que disponga de los derechos necesarios para crear
controladores de dominio en Active Directory.
Controlador de dominio Especifique el nombre DNS del dominio existente
adicional para el que este equipo se convertirá en un
controlador de dominio adicional.
(continuación)
Carpetas de la base Especifique la ubicación de los archivos de registro

de datos y del registro y de base de datos de Active Directory.
Volumen del sistema Especifique la ubicación para el volumen del sistema
compartido compartido.
Contraseña de admin. del Especifique una contraseña para utilizarla al iniciar
Modo de restauración de el equipo en el Modo de restauración de servicios de
servicios de directorio directorio.
Efectos de promover un Después de completar la información de instalación, el Asistente para

servidor a controlador instalación de Active Directory realiza las siguientes acciones:
de dominio
Convierte el equipo en un controlador de dominio.
Replica Active Directory a partir de un controlador de dominio existente.
Agrega las consolas de Active Directory al menú Herramientas
administrativas de ese equipo.
Cómo instalar Active Directory a partir de medios de copia

de seguridad
Introducción El procedimiento de instalación de Active Directory a partir de medios de copia

de seguridad es relativamente simple.
Procedimiento Para instalar Active Directory a partir de un medio de copia de seguridad
realice las siguientes acciones:
1. Cree una copia de seguridad de un controlador de dominio existente con una
utilidad de copia de seguridad compatible con Active Directory.
2. Restaure la copia de seguridad en una ubicación a la que pueda tener acceso
el nuevo controlador de dominio.
3. En el nuevo controlador de dominio, inicie el Asistente para instalación de
Active Directory ejecutando Dcpromo.exe /adv.
4. En la página Tipo de controlador de dominios, seleccione Controlador
de dominio adicional para un dominio existente y, a continuación, haga
clic en Siguiente.
5. En la página Copiar información del dominio, haga clic en Desde estos
archivos restaurados de copia de seguridad, escriba la ubicación de los
archivos de copia de seguridad restaurados y, a continuación, haga clic en
Siguiente.
6. Complete el Asistente para instalación de Active Directory según
corresponda.
Cuando se inicie la instalación de Active Directory, la replicación inicial se

realizará con los archivos de copia de seguridad restaurados, en lugar de hacerlo
con otro controlador de dominio a través de la red.
Cómo crear un árbol en un bosque existente
Introducción Después de establecer el dominio raíz, puede agregar un nuevo árbol al bosque
existente si su plan de red requiere varios árboles.
Procedimiento Para crear un árbol nuevo en un bosque existente, ejecute DCPromo.exe a fin
de iniciar el Asistente para instalación de Active Directory. Complete el
asistente con la información contenida en la siguiente tabla.
Tipo de controlador Haga clic en Controlador de dominio para un

de dominios dominio nuevo.
Crear nuevo dominio Haga clic en Árbol de dominios en un bosque
existente.
el nombre de dominio de una cuenta de usuario del
grupo Administradores de organización, existente
en el dominio raíz del bosque.
Nuevo árbol de dominios Especifique el nombre DNS del nuevo árbol.
Nombre de dominio NetBIOS Especifique el nombre NetBIOS para el nuevo
dominio.
Carpetas de la base de datos y Especifique la ubicación de los archivos de registro
del registro y de base de datos de Active Directory.
Volumen del sistema Especifique la ubicación para el volumen del
compartido sistema compartido.
Diagnósticos de registro Compruebe si un servidor DNS existente está
de DNS autorizado para este bosque o, en caso necesario,
elija instalar y configurar DNS en este servidor
haciendo clic en Instalar y configurar este equipo
de manera que utilice este servidor DNS como el
preferido. Establezca este equipo para utilizar este
servidor DNS como su servidor DNS preferido.
(continuación)
Permisos Especifique si desea establecer los permisos

predeterminados en objetos de grupos y usuarios
para que sean compatibles con las versiones de
sistemas operativos anteriores a Microsoft
Windows 2000 Server o sólo con los sistemas
operativos Microsoft Windows 2000 o la familia
de Windows Server 2003. Al habilitar permisos
compatibles con versiones anteriores a
Windows 2000, se agrega el grupo Todos al grupo
Acceso compatible con versiones anteriores de
Windows 2000. Este grupo tiene acceso de lectura
a los atributos de objeto de usuario y grupo que
existían en Microsoft Windows NT 4.0. Sólo debe
seleccionar esta opción después de considerar el
efecto que tendrán permisos más restringidos en la
seguridad de Active Directory.
Contraseña de administrador Especifique una contraseña para utilizarla al iniciar
del Modo de restauración de el equipo en el Modo de restauración de servicios
servicios de directorio de directorio.
Efectos de crear un Después de completar la información de instalación, el Asistente para

árbol en un bosque instalación de Active Directory realiza las siguientes acciones:
existente
Instala Active Directory.
Cómo crear un dominio secundario
Introducción Después de establecer el dominio raíz, puede crear dominios adicionales en el

árbol. Cada dominio nuevo dentro del árbol será un dominio secundario del
dominio raíz o de otro dominio secundario.
Por ejemplo, suponga que crea un dominio llamado europa.contoso.msft, que
es un dominio secundario del dominio raíz, contoso.msft. El siguiente dominio
que cree dentro de ese árbol puede ser secundario de contoso.msft o secundario
de europa.contoso.msft.
Procedimiento Para crear un dominio secundario, ejecute DCPromo.exe a fin de iniciar el
Asistente para instalación de Active Directory. Complete el asistente con la
información contenida en la siguiente tabla.
Tipo de controlador de Haga clic en Controlador de dominio para un

dominios dominio nuevo.
Crear nuevo dominio Haga clic en Dominio secundario en un árbol
de dominios existente.
el nombre de dominio de una cuenta de usuario del
grupo Administradores de organización, existente
en el dominio raíz del bosque.
Instalación del dominio Especifique el nombre DNS del dominio principal
secundario y el nombre del nuevo dominio secundario.
Nombre NetBIOS del dominio Especifique el nombre NetBIOS para el nuevo
dominio.
Carpetas de la base Especifique la ubicación de los archivos de registro
de datos y del registro y de base de datos de Active Directory.
(continuación)
Volumen del sistema Especifique la ubicación para el volumen

compartido del sistema compartido.
Diagnósticos de registro Compruebe que los valores de configuración de
de DNS DNS son precisos.
Permisos Especifique si desea establecer los permisos
predeterminados en objetos de grupos y usuarios
para que sean compatibles con las versiones de
sistemas operativos anteriores a Microsoft
Windows 2000 Server o sólo con los sistemas
operativos Microsoft Windows 2000 o la familia
de Windows Server 2003. Al habilitar permisos
compatibles con versiones anteriores a
Windows 2000, se agrega el grupo Todos al grupo
Acceso compatible con versiones anteriores de
Windows 2000. Este grupo tiene acceso de lectura
a los atributos de objeto de usuario y grupo que
existían en Microsoft Windows NT 4.0. Sólo debe
seleccionar esta opción después de considerar el
efecto que tendrán permisos más restringidos en la
seguridad de Active Directory.
Contraseña de admin. del Especifique una contraseña para utilizarla al iniciar
Modo de restauración de el equipo en el Modo de restauración de servicios de
servicios de directorio directorio.
Efectos de crear un Después de completar la información de instalación, el Asistente para

dominio secundario instalación de Active Directory realiza las siguientes acciones:
Instala Active Directory.
Ejercicio: Instalación de Active Directory
Objetivos En este ejercicio instalará Active Directory en el equipo y creará un controlador

de dominio adicional en el dominio nwtraders.msft.
Instrucciones Debe haber iniciado sesión con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas adecuadas para
realizar la tarea.
Situación de ejemplo Ha instalado un controlador para el dominio. Ahora, a fin de proporcionar
tolerancia a errores y aumentar el rendimiento en los inicios de sesión de
clientes, desea instalar un controlador de dominio adicional en el dominio.
Utilizará el Asistente para configurar su servidor para ayudarle a completar
la tarea.
Ejercicio Crear un controlador de dominio adicional en el dominio
nwtraders.msft
Complete esta tarea desde los equipos de ambos alumnos.
Nombre de usuario: NWTraders\NombreDeEquipoAdmin (donde
NombreDeEquipo es el nombre de su equipo)
Contraseña: P@ssw0rd
Haga clic en Controlador de dominio adicional para un dominio
existente
Credenciales de red:
• Nombre de usuario: Administrador
• Contraseña: P@ssw0rd
• Dominio: nwtraders.msft
Nombre de dominio: nwtraders.msft
Carpetas de la base de datos y del registro: Acepte las predeterminadas
Volumen del sistema compartido: Acepte el predeterminado
Contraseña de admin. del Modo de restauración de servicios de
directorio: P@ssw0rd
Lección: Cambio de niveles funcionales
Introducción En esta lección se tratan definiciones y directrices para cambiar los niveles
funcionales de bosque y de dominio.
Explicar la relación entre los niveles funcionales de dominio y las
funcionalidades de dominio compatibles.
Explicar la relación entre los niveles funcionales de bosque y las
funcionalidades de bosque compatibles.
Cambiar el nivel funcional de dominio.
Qué son los niveles funcionales de dominio
Niveles funcionales El nivel funcional de dominio es una configuración que habilita características
de dominio que afectan al dominio completo. Hay cuatro niveles funcionales de dominio
disponibles:
Windows 2000 mixto
Los dominios trabajan en el nivel funcional de Windows 2000 mixto de
forma predeterminada.
Windows 2000 nativo
Windows Server 2003 versión preliminar
La versión preliminar de Windows Server 2003 se utiliza sólo para
actualizaciones directas desde Windows NT 4.0 a la familia de
Windows Server 2003, prescindiendo de Windows 2000. Los controladores
de dominio que ejecutan Windows 2000 no funcionarán en la funcionalidad
de dominio de la versión preliminar de Windows Server 2003.
Familia de Windows Server 2003
Puede aumentar el nivel funcional de un dominio para Windows 2000 nativo o

la familia de Windows Server 2003.
Niveles funcionales En la siguiente tabla aparecen los niveles funcionales de dominio y los
de dominio y correspondientes controladores de dominio admitidos.
controladores
de dominio Nivel funcional Características Controladores de
correspondientes del dominio habilitadas dominio admitidos
Windows 2000 mixto Instalación de Active Windows NT 4.0,

(predeterminado) Directory desde medios Windows 2000, familia de
Soporte de grupos Windows Server 2003
universales (sólo
distribución)
Soporte de catálogo global
Windows 2000 nativo Todas las características Windows 2000, familia de
habilitadas para modo Windows Server 2003
mixto, más:
• Conversión y
anidamiento de grupos
• Grupos universales,
seguridad y distribución
• SIDHistory
Windows Server 2003 Igual que Windows 2000 Windows NT 4.0, familia
versión preliminar modo mixto o nativo de Windows Server 2003
Windows Server 2003 Todas las características Familia de
habilitadas para Windows Server 2003
Windows 2000 nativo,
más:
• Atributo para actualizar
marca de hora de inicio
de sesión
• Números de versión del
Centro de distribución
de claves (KDC, Key
Distribution Center)
Kerberos
• Contraseña de usuario
en INetOrgPerson
Capacidad de cambiar
el nombre al controlador
de dominio con la
herramienta Netdom
Limitaciones para Una vez que se ha elevado el nivel funcional del dominio, los controladores
agregar controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden
de dominio introducir en el dominio. Por ejemplo, si eleva un nivel funcional de dominio
a Windows Server 2003, los controladores de dominio que ejecutaban
Microsoft Windows 2000 Server no se pueden agregar a ese dominio.
Precaución Cambiar el nivel funcional del dominio es un procedimiento

unidireccional. Una vez que se ha elevado el nivel funcional de dominio,
no puede reducirse.
Qué son los niveles funcionales de bosque
Niveles funcionales La funcionalidad de bosque es una herramienta que habilita varias

de bosque características a través de todos los dominios del bosque. Existen dos niveles
funcionales de bosque: Windows 2000 (predeterminado) y la familia de
Windows Server 2003. De forma predeterminada, los bosques trabajan en el
nivel funcional de Windows 2000. Puede aumentar el nivel funcional de un
bosque a la familia de Windows Server 2003, si es necesario.
En la siguiente tabla aparecen los niveles funcionales de bosque y los
correspondientes controladores de dominio admitidos.
Características Controladores de
Nivel funcional de bosque habilitadas dominio admitidos
Windows 2000 Instalación de Active Windows NT 4.0,

(predeterminado) Directory desde medios Windows 2000, familia de
Almacenamiento en caché Windows Server 2003
de grupos universales
Windows Server 2003 Igual que Windows 2000 Windows NT 4.0, familia
versión preliminar más: de Windows Server 2003
• Replicación vinculada
a valores
• Generador de topología
entre sitios mejorado
(continuación)
Características Controladores de
Nivel funcional de bosque habilitadas dominio admitidos
Windows Server 2003 Todas las de la Familia de

versión preliminar de Windows Server 2003
Windows Server 2003,
más:
• Clases auxiliares
dinámicas
• Cambio de usuario a
INetOrgPerson
• Desactivación y
reactivación de
esquemas
• Cambio de nombre de
los dominios
• Confianza de bosque
Una vez que se ha aumentado el nivel funcional del bosque, los controladores
de dominio que ejecutaban sistemas operativos anteriores no se pueden
introducir en el bosque. Por ejemplo, si aumenta un nivel funcional de
bosque a Windows Server 2003, los controladores de dominio que ejecutaban
Windows 2000 Server no se pueden agregar al bosque.
Existe un nivel funcional de bosque adicional, denominado
Windows Server 2003 versión preliminar. Utilice este nivel si está actualizando
el primer dominio de Windows NT de manera que se convierta en el primer
dominio de un nuevo bosque de la familia de Windows Server 2003.
Precaución Cambiar el nivel funcional del bosque es un procedimiento

irreversible. Una vez que se ha aumentado el nivel funcional de bosque,
no puede reducirse.
Información adicional Para obtener más información sobre niveles funcionales de bosque y de
dominio, consulte el artículo Domain and forest functionality (en inglés)
en el sitio Web de Microsoft Technet en http://www.microsoft.com/technet
Cómo se cambia el nivel funcional de dominio
Introducción Un dominio de Active Directory funcionará en uno de los cuatro niveles

funcionales, según los sistemas operativos instalados en los controladores de
dominio. De forma predeterminada, un nuevo dominio de Active Directory
trabaja en el nivel funcional de Windows 2000 mixto, que proporciona soporte
para controladores de dominio que utilizan Microsoft Windows NT 4.0,
Microsoft Windows 2000 y la familia de Windows Server 2003.
Conforme reemplaza los controladores de dominio que usan versiones
anteriores de los sistemas operativos, puede aumentar el nivel funcional del
dominio para aprovechar las características de Active Directory que están
disponibles sólo en niveles funcionales superiores.
Procedimiento Para elevar el nivel funcional de dominio:
1. Abra Usuarios y equipos de Active Directory o Dominios y confianza de
Active Directory desde el menú Herramientas administrativas.
2. En el árbol de la consola, haga clic con el botón secundario del mouse
(ratón) en el dominio y, a continuación, haga clic en Elevar el nivel
funcional de dominio.
3. En el cuadro de diálogo Elevar el nivel funcional de dominio, en la lista
Seleccione un nivel funcional del dominio disponible, elija el nivel
adecuado y, a continuación, haga clic en Elevar.
Precaución Puede elevar el nivel funcional de un dominio, sin embargo,

no puede reducirlo.
Debate de clase: Cambio del nivel funcional de dominio
Situación de ejemplo Ha determinado que las siguientes condiciones deben existir en la red:
No estará utilizando ningún controlador de dominio de Windows NT 4.0
o Windows 2000 en el dominio.
Desea aprovechar todas las ventajas que ofrece Active Directory.
Decide convertir el dominio de modo mixto a modo nativo.
Pregunta del debate ¿Qué ocurriría si aún hubiera controladores de dominio de Windows NT 4.0
funcionando en el entorno después de convertir el dominio de modo mixto a
modo nativo?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
THIS PAGE INTENTIONALLY LEFT BLANK

Active Directory

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Active Directory

Enviado por

Direitos autorais:

Formatos disponíveis

Instalación de Active

Introducción En una red en la que se ejecuta cualquier sistema operativo de la familia de

Lección: Fundamentos de Active Directory

Introducción En esta lección se proporciona una introducción a Active Directory, incluidos

Qué es el servicio de directorio Active Directory

Qué son los dominios y los controladores de dominio

Qué es un dominio Un dominio es un conjunto de equipos, definidos por un administrador, que

Nota A diferencia de Microsoft Windows NT® 4.0, Windows Server 2003

Nota En una red de Windows Server 2003, un servidor miembro es cualquier

Comparación entre sincronización y replicación

Introducción En un dominio de Microsoft Windows NT 4.0, los cambios realizados en el

¿A qué producto Windows NT 4.0 Familia de Windows Server 2003

Qué es una unidad organizativa

Definición Una unidad organizativa es un tipo especialmente útil de objeto de

Qué son árboles, bosques y confianzas

Definiciones Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo

Árbol Una disposición jerárquica de uno o varios dominios de la familia de

Los siguientes resultados se consiguen incluyendo las nuevas organizaciones en

Nota El bosque es el máximo límite de seguridad.

Relaciones de confianza En Active Directory, el término confianza hace referencia a la relación

Confianza unidireccional Un dominio reconoce la autoridad de autenticación de otro

El almacenamiento del esquema en una base de datos significa que el esquema:

Dónde se almacena El esquema se almacena en una partición de directorio de la base de datos de

Nota Las clases y atributos del esquema no se pueden deshacer o eliminar,

Lección: Instalación de Active Directory

Introducción En esta lección se describen diversas tareas de instalación importantes

Requisitos de instalación de Active Directory

Antes de instalar Active Directory, debe asegurarse de que tanto el servidor

Nota El Asistente para instalación de Active Directory ofrece la posibilidad

Al crear un dominio o un controlador de dominio en una red de la familia de

Nota Para obtener más información sobre la planificación de Active Directory,

Métodos para agregar un controlador de dominio a un dominio

Cómo agregar un controlador de dominio a un dominio existente

Introducción Después de crear un dominio, debe crear un controlador de dominio adicional

Tipo de controlador de Haga clic en Controlador de dominio adicional

Carpetas de la base Especifique la ubicación de los archivos de registro

Efectos de promover un Después de completar la información de instalación, el Asistente para

Cómo instalar Active Directory a partir de medios de copia

Introducción El procedimiento de instalación de Active Directory a partir de medios de copia

Cuando se inicie la instalación de Active Directory, la replicación inicial se

Cómo crear un árbol en un bosque existente

Tipo de controlador Haga clic en Controlador de dominio para un

Permisos Especifique si desea establecer los permisos

Efectos de crear un Después de completar la información de instalación, el Asistente para

Cómo crear un dominio secundario

Introducción Después de establecer el dominio raíz, puede crear dominios adicionales en el

Tipo de controlador de Haga clic en Controlador de dominio para un

Volumen del sistema Especifique la ubicación para el volumen

Efectos de crear un Después de completar la información de instalación, el Asistente para

Ejercicio: Instalación de Active Directory

Objetivos En este ejercicio instalará Active Directory en el equipo y creará un controlador

Lección: Cambio de niveles funcionales

Qué son los niveles funcionales de dominio

Puede aumentar el nivel funcional de un dominio para Windows 2000 nativo o

Windows 2000 mixto Instalación de Active Windows NT 4.0,

Precaución Cambiar el nivel funcional del dominio es un procedimiento

Qué son los niveles funcionales de bosque

Niveles funcionales La funcionalidad de bosque es una herramienta que habilita varias

Windows 2000 Instalación de Active Windows NT 4.0,

Windows Server 2003 Todas las de la Familia de

Precaución Cambiar el nivel funcional del bosque es un procedimiento

Cómo se cambia el nivel funcional de dominio

Introducción Un dominio de Active Directory funcionará en uno de los cuatro niveles