1. COMO UNIR WINDOWS XP VISTA Ó WINDOWS 7,8 A UN DOMINIO
WINDOWS SERVER 2008, 2003.
¿Por qué agregar equipos cliente con Windows XP ó Windows 7 a un dominio
Windows Server 2003 ó Windows Server 2008? Windows vista y 8 con server
2008.
En una organización con 10 ó más equipos es recomendable disponer de un
dominio Windows con al menos un servidor controlador de dominio con
Windows Server 2000, Windows Server 2003 ó Windows Server 2008 y todos
los equipos agregados a este dominio. La ventaja principal es que, de esta
forma, es posible aplicar directivas de seguridad y configuración a los equipos
de nuestra organización de forma automática y centralizada. Así podremos
tener los equipos clientes "controlados" sin necesidad de ir equipo por equipo
aplicando las políticas de seguridad y configuración.
Otra gran ventaja de disponer de un dominio Windows es que nos ayudará a
cumplir la Ley de Protección de Datos (LOPD) pues, al validar los equipos en el
dominio Windows, los usuarios y contraseñas se "almacenan" en el servidor y
no en el equipo cliente. De esta forma es posible, mediante directivas, controlar
la caducidad de contraseñas, la fortaleza de contraseñas y auditar los accesos
(aciertos y fallos). Todo ello de forma centraliza en el servidor (o servidores)
controladores del dominio.
Por el motivo anterior, conseguimos otra ventaja y es que, dado que los
usuarios y contraseñas quedan almacenadas en el servidor controlador de
dominio (o servidores) cualquier usuario podrá iniciar sesión en cualquier
equipo de la organización sin que se haya creado el usuario en el equipo local,
puesto que los equipos agregados al dominio realizan la validación
(comprobación de las credenciales de usuario y contraseña) en el servidor y no
en el equipo local. Esto supone una gran ventaja pues nos evitará tener que
crear las cuentas de usuario que vayan a usar el equipo en el propio equipo,
mejorando así la movilidad. Por supuesto, para que este método sea lo más
adecuado posible lo "ideal" es que todos los datos de los usuarios residan en
un servidor de almacenamiento y no en el equipo local. Así cualquier usuario
podrá acceder a sus datos desde cualquier equipo de la organización.
Por ejemplo, el tener un dominio y los equipos (PCs) de los usuarios agregados
en este dominio permite en nuestra organización aplicar una política de
homogeneización de la configuración de los equipos cliente: fondo de escritorio
(papel tapiz) con el logotipo de la empresa, página de inicio del navegador
oficial de la organización, uso obligatorio de un proxy de red, denegar el acceso
a dispositivos de almacenamiento extraíbles (para evitar propagación de los
típicos virus de autorun en pendrives), ejecutar scripts de configuración al inicio
y al finalizar la sesión, instalar (distribuir) aplicaciones de forma desatendida en
los equipos cliente agregados al dominio, impedir el uso de determinadas
Juan Noé SG
Página 1
2. aplicaciones, ... Todo ello de forma centralizada, desde el servidor, aplicando
las directivas oportunas, sin necesidad de acceder ni físicamente ni por control
remoto a los equipos clientes.
Sin duda son muchas las ventajas de disponer de un dominio Windows y todos
los equipos de la organización validados (agregados) en él.
Para indicar alguna desventaja, podríamos decir que, puesto que es necesario
un equipo servidor (al menos) con Windows Server 2003 ó Windows Server
2008 se necesitará un desembolso económico en hardware (un servidor,
aunque este servicio no necesita muchos recursos) y en licencias del sistema
operativo. Para una organización con unos 300 equipos clientes es
recomendable que el servidor de Windows Server 2003 / 2008 sea dedicado,
es decir, que sólo se use con este fin: dominio de Windows (promocionado a
controlador de dominio con Active Directory). Aunque con unos 300 usuarios
también es recomendable disponer de un segundo controlador de dominio para
mantener una copia del catálogo global (base de datos de Active Directory).
Otra desventaja de disponer de un dominio y los equipos agregados y
validados en él es que si sólo disponemos de un servidor controlador de
dominio y éste sufre una caída (por avería física, por "cuelgue" del sistema
operativo o por avería de la electrónica de red) los usuarios que intenten validar
(iniciar sesión) en sus equipos no podrán hacerlo pues el controlador de
dominio para validación del usuario y contraseña no estará disponible. Por ello
recomendamos disponer de dos controladores de dominio (al menos), el
"secundario" podría dedicarse a otro fin además de la validación
(almacenamiento de datos, servidor de base de datos, etc.).
Requisitos iniciales para validación en dominio Windows Server
Servidor con Windows Server 2003 ó Windows Server 2008
El primer requisito indispensable para que los equipos de los usuarios de
nuestra organización sean agregados a un dominio Windows es, precisamente,
disponer de uno o varios servidores pertenecientes a un dominio Windows con
un controlador de dominio y Active Directory. En el siguiente artículo
explicamos cómo instalar el sistema operativoMicrosoft Windows Server 2003,
necesario para montar un dominio Windows:
Instalar Windows Server 2003 Enterprise
En este otro artículo explicamos cómo instalar Windows Server 2008 que
también sirve, por supuesto, para montar un dominio Windows:
Instalar y testear Windows Server 2008 Enterprise Release Candidate
Juan Noé SG
Página 2
3. Servidor promocionado a controlador de dominio (Active Directory)
El servidor con Windows Server 2003 ó Windows Server 2008 debe estar
promocionado a controlador de dominio. En el siguiente artículo explicamos
cómo promocionar un servidor con Windows Server 2003 a controlador de
dominio (Active Directory), requisito necesario para montar un dominio
Windows, pues al promocionar un equipo a controlador de dominio, si es el
primero, se creará el dominio para validar los equipos:
Promocionar el servidor a Controlador de Dominio (Active Directory)
Disponer de una red LAN y todos los equipos conectados a la red, incluido el
servidor
Otro de los requisitos evidentes es disponer de una red LAN y todos los
equipos conectados a la misma red que los servidores, pues a partir de ahora
la identificación de usuario (validación de crendenciales) se realizará a través
de la red en el servidor y no en el equipo cliente.
Servidor de DNS, configuración de red, equipo controlador de dominio
El equipo servidor promocionado a controlador de dominio con Active Directory,
con el que hemos creado el dominio Windows, debe ser servidor de DNS (es lo
recomendable). Si el servidor no tiene activo este servicio o si no lo tenemos en
otro servidor lo podemos activar desde "Agregar o quitar programas", pulsando
en "Agregar o quitar componentes de Windows":
Juan Noé SG
Página 3
4. Seleccionaremos "Servicios de red" y pulsaremos "Detalles":
Marcaremos el subcomponente "Sistema de nombres de dominio (DNS)" y
pulsaremos "Aceptar" (es posible que nos solicite el CD de instalación de
Windows Server 2003):
Juan Noé SG
Página 4
5. Tras instalar el servicio de Servidor de DNS, desde el menú "Inicio" "Herramientas administrativas" podremos seleccionar "DNS":
Desde donde podremos ver el estado y configurar el servidor de DNS
(DomainNameSystem) que traduce nombres de equipo DNS en direcciones IP:
zonas de búsqueda directa, zonas de búsqueda inversa, sucesos de DNS:
Juan Noé SG
Página 5
6. Por supuesto, el servidor controlador de dominio no debe tener activada la
opción de "Obtener una dirección IP automáticamente", debe tener una IP fija
(estática), por ejemplo 192.168.1.125. Además, este servidor, como servidor de
DNS preferido en laconfiguración de la red tendrá su propia IP pues él mismo
es servidor de DNS:
Configuración de red equipo cliente
Juan Noé SG
Página 6
7. Es muy recomendable que los equipos clientes tengan como DNS primaria la
IP del servidor controlador de dominio (que será servidor de DNS).
Accederemos a la configuración de red del equipo desde "Conexiones de red",
pulsando con el botón derecho del ratón sobre "Conexión de área local" y
seccionando "Propiedades":
Seleccionaremos "Protocolo Internet (TCP/IP)" y pulsaremos en "Propiedades":
En "Servidor DNS preferido" introduciremos la IP del servidor controlador de
dominio de nuestra red (en nuestro ejemplo 192.168.1.125):
Juan Noé SG
Página 7
8. Nota: si usamos un servidor DHCP y los equipos clientes tienen habilitada la
opción "Obtener la dirección del servidor DNS automáticamente" deberemos
establecer en el servidor DHCP, en el ámbito correspondiente, como servidor
DNS primario la IP del servidor controlador de dominio. De esta forma en los
equipos clientes se configurará este DNS de forma automática.
Sistema operativo para el equipo cliente que agregaremos al dominio Windows
En cuanto a los equipos cliente, es suficiente con que dispongan de un sistema
operativo Microsoft Windows XP, Microsoft Windows Vista ó Microsoft Windows
7. A continuación mostramos tres artículos sobre cómo instalar estos sistemas
operativos:
Instalar Windows XP Service Pack 3, configurar Windows XP.
Instalar Windows Vista Beta 2, testear Windows Vista.
Instalar Microsoft Windows 7 Ultimatevirtualizado en VMware Server 2.0.1.
Instalar Microsoft Windows 7 Ultimate Beta 1 Build 7000.
Juan Noé SG
Página 8
9. Obtener datos necesarios para agregar equipos cliente a un dominio Windows
Necesitaremos dos datos principales para agregar un equipo cliente con
Windows XP, Windows Vista ó Windows 7 a un dominio Windows Server: la IP
del servidor de DNS (normalmente coincidirá con la IP del controlador de
dominio) y el nombre del dominio. Para obtener estos datos accederemos al
servidor controlador de dominio con Windows Server 2003 ó Windows Server
2008, pulsaremos en el botón "Inicio" - "Panel de control" - "Sistema":
En la pestaña "Nombre de equipo" de la ventana de Propiedades del sistema,
en Dominio podremos consultar y anotar el nombre del dominio Windows que
hemos montado al promocionar el primer servidor a controlador de dominio. En
nuestro caso el dominio se llama "dominioajpdsoft.com":
Juan Noé SG
Página 9
10. También podremos obtener este dato desde una ventana de MS-DOS (línea
óshell de comandos), introduciendo el siguiente comando que mostrará el valor
de la variable de entorno USERDNSDOMAIN:
set USERDNSDOMAIN
Desde el shell de comandos también podremos obtener la IP del servidor (si es
el servidor de DNS) que necesitaremos para configurar la red de los equipos
cliente que agregaremos al dominio, el comando a ejecutar es:
ipconfig
Juan Noé SG
Página 10
11. Anotaremos la "Dirección IP". Por supuesto, también podemos obtenerla en el
modo gráfico, desde las propiedades de red:
Crear los usuarios de los equipos clientes en el servidor Windows Server 2003,
establecer directivas de contraseñas
Alta de usuarios en el dominio, servidor con Active directory
Uno de los requisitos fundamentales para agregar los equipos informáticos de
nuestra organización a un dominio Windows es crear los usuarios que usarán
cada equipo. Dichos usuarios se crearán en el servidor controlador de dominio
Juan Noé SG
Página 11
12. con Windows Server 2003, pues a partir de este momento ya no se usarán
usuarios locales de los equipos, los usuarios y sus credenciales (contraseña)
quedarán guardados de forma centralizada únicamente en el servidor
promocionado a controlador de dominio con Active Directory. Por lo tanto será
en el servidor donde creemos todos los usuarios que iniciarán sesión en los
equipos informáticos de nuestra empresa.
Además, la Ley de Protección de Datos (LOPD) obliga a que no se usen
usuarios genéricos (un mismo usuario y contraseña compartida por varias
personas) sino que se utilice un usuario y contraseña por cada persona de la
organización. Por ello, el primer paso antes de agregar un equipo informático a
un dominio Microsoft Windows será crear los usuarios que iniciarán sesión en
estos equipos.
Para crear un usuario en Active Directory accederemos al servidor con un
usuario miembro del grupo administradores (con permisos de administrador),
abriremos "Usuarios y equipos de Active Directory" (que podremos encontrar
en "Inicio" - "Herramientas administrativas"). Desde "Usuarios y equipos de
Active Directory" podremos crear unidades organizativas (carpetas
contenedoras) para ordenar y guardar los usuarios de nuestra organización por
departamentos. Por ejemplo, podremos tener las siguientes unidades
organizativas (se crean pulsando con el botón derecho sobre
"dominioajpdsoft.com" y seleccionado "Nuevo" - "Unidad organizativa"):
uoFacturacion, uoContabilidad, uoDesarrollo, uoMarketing, ... En realidad, las
unidades organizativas son como "carpetas" donde podremos estructurar los
usuarios para administrarlos de forma más sencilla. Podremos, por ejemplo,
aplicar directivas de seguridad diferentes a cada unidad organizativa. No son
obligatorias pero recomendamos usarlas.
Si hemos creado unidades organizativas, para crear un usuario en Active
Directory, pulsaremos con el botón derecho del ratón sobre la unidad
organizativa donde queramos crear el usuario y seleccionaremos "Nuevo" "Usuario":
Juan Noé SG
Página 12
13. Introduciremos los datos del usuario, el más importante es "Nombre de inicio de
sesión de usuario" que será el nick (usuario) que introducirá la persona en el
equipo cliente para iniciar sesión. Pulsaremos "Siguiente" para continuar:
A continuación introduciremos la contraseña para el usuario, se recomienda,
para cumplir la LOPD y por seguridad, introducir una contraseña "estándar" y
Juan Noé SG
Página 13
14. obligar al usuario a que cambie la contraseña e introduzca una suya propia que
sea personal e intransferible (que nadie, salvo él, la sepa). Por ejemplo,
introduciremos como contraseña "11223344" y marcaremos la opción "El
usuario debe cambiar la contraseña al iniciar una sesión de nuevo". De esta
forma, cuando el usuario inicie sesión por primera vez en su equipo deberá
introducir la anterior y se le solicitará y obligará a que cambie la contraseña por
una nueva:
Por último el asistente para crear un nuevo usuario en Active Directory nos
mostrará el resumen de las opciones seleccionadas para el nuevo usuario, si
son correctas pulsaremos "Finalizar":
Juan Noé SG
Página 14
15. Tras crear el usuario, podremos establecer los grupos de seguridad de los que
será miembro. Para ello pulsaremos con el botón derecho del ratón sobre el
usuario y seleccionaremos "Propiedades":
En la pestaña "Miembro de" de la ventana de Propiedades del usuario
podremos agregar los grupos de seguridad a los que pertenecerá. Por ejemplo,
para hacer un usuario administrador del dominio pulsaremos en "Agregar":
Juan Noé SG
Página 15
16. Introduciremos el grupo de seguridad al que pertenecerá el usuario (o varios
grupos separados por punto y coma) y pulsaremos "Aceptar". En nuestro caso,
como ejemplo, agregaremos el usuario "facturacion" al grupo de seguridad
"Admins. del dominio" por lo que lo convertiremos en administrador del
dominio. Obviamente esto es un ejemplo, no conviene agregar usuarios a este
grupo pues tendrán todos los permisos administrativos sobre el servidor y
sobre todos los equipos clientes agregados al dominio:
De esta forma el usuario será miembro de los grupos de seguridad que
hayamos elegido, en función de estos grupos de seguridad tendrá más o
menos permisos sobre los equipos del dominio. Por defecto, un usuario sólo
pertenecerá al grupo de seguridad "Usuarios del dominio", con este grupo es
Juan Noé SG
Página 16
17. suficiente para iniciar sesión en cualquier equipo cliente agregado al dominio y
realizar las tareas típicas de navegación, correo electrónico, ofimática, etc.:
Directiva de cuenta, directiva de contraseñas, caducidad, historial, longitud
mínima
Además de crear los usuarios para los equipos clientes en el dominio,
podremos indicar las directivas de seguridad para establecer el nivel de
complejidad de las contraseñas, cifrado, historial, longitud mínima, vigencia
máxima (caducidad). Para ello accederemos al servidor controlador de dominio,
pulsaremos en "Inicio" - "Herramientas administrativas" - "Directiva de
seguridad de dominio". En esta ventana, accederemos a "Configuración de
seguridad" - "Directivas de cuenta" - "Directiva de contraseñas":
Juan Noé SG
Página 17
18. Para activar una directiva haremos doble clic sobre ella, por ejemplo "Las
contraseñas deben cumplir los requerimientos de complejidad" y marcaremos
"Habilitada". De esta forma, la directiva quedará activa y se aplicará a todos los
usuarios de todos los equipos que hayamos agregado al dominio:
A continuación mostramos las directivas de contraseñas disponibles y una
descripción de cada una de ellas:
Almacenar contraseñas usando cifrado reversible: esta configuración de
seguridad determina si el sistema operativo almacena contraseñas con el
cifrado reversible. Esta directiva proporciona compatibilidad para aplicaciones
Juan Noé SG
Página 18
19. que usan protocolos que exigen el conocimiento de la contraseña del usuario
para propósitos de autenticación. Almacenar contraseñas con el cifrado
reversible es fundamentalmente lo mismo que almacenar versiones de texto
simple de las contraseñas. Por esta razón, esta directiva no debería habilitarse
nunca, a menos que los requisitos de la aplicación tengan más importancia que
la necesidad de proteger la información de contraseñas. Se exige esta directiva
cuando se usa la autenticación CHAP (Protocolo de autenticación por desafío
mutuo) a través de acceso remoto o IAS (Servicios de autenticación Internet).
También se exige cuando se usa la autenticación implícita en Internet
InformationServices (IIS). El valor predeterminado es: deshabilitada.
Forzar el historial de contraseñas: esta configuración de seguridad determina el
número de nuevas contraseñas únicas que deben asociarse a una cuenta de
usuario antes de poder reutilizar una contraseña antigua. El valor debe estar
comprendido entre 0 y 24 contraseñas. Esta directiva permite a los
administradores mejorar la seguridad ya que garantiza que no se reutilicen
continuamente contraseñas antiguas. El valor predeterminado: 24 en
controladores de dominio, 0 en servidores independientes. Nota: de manera
predeterminada, los equipos miembros usan la configuración de sus
controladores de dominio. Para mantener la eficacia del historial de
contraseñas, no permita que las contraseñas se cambien inmediatamente
después de haberlas cambiado habilitando también la configuración de
directiva de seguridad Vigencia mínima de la contraseña.
Las contraseñas deben cumplir los requerimientos de complejidad: esta
configuración de seguridad determina si las contraseñas deben cumplir los
requisitos de complejidad. Si se habilita esta directiva, las contraseñas deben
cumplir los siguientes requisitos mínimos:
No contener el nombre de cuenta del usuario o partes del nombre completo del
usuario en más de dos caracteres consecutivos.
Tener una longitud mínima de seis caracteres.
Incluir caracteres de tres de las siguientes categorías: mayúsculas (de la A a la
Z), minúsculas (de la a a la z), dígitos de base 10 (del 0 al 9), caracteres no
alfanuméricos (por ejemplo, !, $, #, %).
Longitud mínima de la contraseña: esta configuración de seguridad determina
el número mínimo de caracteres que debe contener la contraseña de una
cuenta de usuario. Puede establecer un valor comprendido entre 1 y 14
caracteres, o puede indicar que no se exija contraseña alguna estableciendo el
número de caracteres en 0. El valor predeterminado: 7 en controladores de
dominio, 0 en servidores independientes.
Juan Noé SG
Página 19
20. Vigencia máxima de la contraseña: esta configuración de seguridad determina
el período de tiempo (en días) en que puede usarse una contraseña antes de
que el sistema solicite al usuario que la cambie. Puede establecer las
contraseñas para que expiren tras un número de días comprendido entre 1 y
999, o puede especificar que las contraseñas no expiren nunca estableciendo
el número de días en 0. Si la vigencia máxima de la contraseña está
comprendida entre 1 y 999 días, la vigencia mínima deberá ser menor que la
vigencia máxima. Si la vigencia máxima de la contraseña se establece en 0, la
vigencia mínima de la contraseña podrá ser cualquier valor entre 0 y 998 días.
Nota: como recomendación de seguridad, se aconseja hacer que las
contraseñas expiren a los 30-90 días, en función del entorno. De este modo, un
atacante contará con tiempo limitado para apropiarse la contraseña de un
usuario y obtener acceso a los recursos de la red. El valor predeterminado: 42.
Vigencia mínima de la contraseña: esta configuración de seguridad determina
el período de tiempo (en días) en que debe usarse una contraseña antes de
que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 días,
o puede permitir que se realicen cambios de forma inmediata estableciendo el
número de días en 0. La vigencia mínima de la contraseña debe ser menor que
la vigencia máxima de la contraseña, salvo que esta última esté establecida en
0, lo que indica que las contraseñas no expirarán nunca. Si la vigencia máxima
se establece en 0, la vigencia mínima podrá establecerse en cualquier valor
comprendido entre 0 y 998. Configure la vigencia mínima de la contraseña de
modo que sea mayor que 0 si desea que sea efectiva la configuración Exigir
historial de contraseñas. Sin una vigencia mínima, los usuarios pueden
reutilizar las contraseñas repetidamente hasta llegar a una contraseña favorita
antigua. La configuración predeterminada no sigue esta recomendación, de
modo que un administrador puede especificar una contraseña para un usuario
y, a continuación, pedir al usuario que la cambie cuando inicie sesión. Si el
historial de contraseñas se establece en 0, el usuario no tiene que elegir una
nueva contraseña. Esta es la razón de que Exigir historial de contraseñas se
establezca en 1 de manera predeterminada. El valor predeterminado: 1 en
controladores de dominio, 0 en servidores independientes.
Agregarequipo con Windows XP a dominio Windows Server 2003
Para agregar un equipo con Microsoft Windows XP deberemos cumplir los
requisitos del servidor y del equipo cliente indicados aquí y deberemos obtener
los datos necesarios como explicamos aquí.
Arrancaremos el equipo cliente con Microsoft Windows XP, iniciaremos sesión
en el equipo con un usuario administrador del equipo local a ser posible.
Accederemos al botón "Inicio" - "Panel de control":
Juan Noé SG
Página 20
21. Haremos doble clic en "Sistema" (también es posible con la combinación de
teclas Windows + Pausa):
Desde la pestaña "Nombre de equipo" pulsaremos en el botón "Cambiar":
Juan Noé SG
Página 21
22. En "Miembro de" marcaremos la opción "Dominio" e introduciremos el nombre
del dominio Windows Server al que queremos agregar el equipo cliente, en
nuestro caso "dominioajpdsoft.com". Pulsaremos "Aceptar":
Juan Noé SG
Página 22
23. Si hemos añadido el dominio correctamente nos solicitará usuario y
contraseña. Introduciremos un usuario y contraseña del dominio con permisos
suficientes para agregar un equipo. Para evitar problemas de permisos
podremos usar un usuario del dominio miembro del grupo administradores:
Si todo es correcto mostrará un mensaje con el texto "Bienvenido al
dominio dominioajpdsoft.com":
Juan Noé SG
Página 23
24. Nos indicará con otro mensaje que debemos reiniciar el equipo para que los
cambios tengan efecto:
Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:
Juan Noé SG
Página 24
25. Nos mostrará un cuadro de diálogo indicando si queremos reinciar ahora el
equipo, pulsaremos "Sí" para reiniciarlo:
Tras el primer reinicio nos solicitará usuario y contraseña, antes de introducirlo,
pulsaremos en el botón "Opciones":
En "Conectarse a" nos aparecerá el dominio al que hemos agregado el equipo,
lo seleccionaremos. A partir de ahora deberemos introducir un usuario y
contraseña del dominio (no del equipo local) por lo que debe estar creado en el
servidor:
Juan Noé SG
Página 25
26. Tras introducir usuario y contraseña en la ventana anterior de Inicio de sesión
de Windows el equipo realizará la comprobación de las credenciales (usuario y
contraseña) en el equipo servidor controlador de dominio. En nuestro caso
usaremos el usuario creado aquí llamado "facturacion". Si son correctas las
credenciales se iniciará sesión:
Puesto que hemos marcado para el usuario "facturacion" la opción de que en el
próximo inicio de sesión se le solicite un cambio de contraseña, en el arranque
nos mostrará este mensaje:
Con el texto: Necesita cambiar su contraseña la primera vez que inicie la
sesión.
Introduciremos la nueva contraseña para el usuario "facturacion". Esta nueva
contraseña sólo debe conocerla la persona que utilizará en adelante el usuario
con el que se está iniciando sesión. Una vez cambiada, la contraseña quedará
almacenada en el servidor controlador de dominio (Active Directory) y no en el
equipo local:
Juan Noé SG
Página 26
27. Además, si hemos aplicado alguna directiva de contraseñas, obligaremos a los
usuarios a cumplir con los requisitos de complejidad marcados por las
directivas, si no los cumplen mostrará un mensaje como este (el mensaje
variará en función de la directiva de seguridad infringida):
Con el texto: La contraseña debe tener al menos 4 caracteres, no puede repetir
ninguna de las 24 contraseñas anteriores y debe tener una antigüedad de al
menos 1 días. Escriba una contraseña diferente. Escriba una contraseña que
cumpla con estos requisitos en ambos cuadros de texto.
Si todo es correcto, mostrará una aviso al usuario indicando que la contraseña
se ha cambiado correctamente:
Si es el primer inicio de sesión que se realiza en el equipo local con el usuario
actual del dominio, se creará su perfil de usuario (escritorio y demás carpetas
del perfil):
Juan Noé SG
Página 27
28. De esta forma, los usuarios y contraseñas quedarán guardados sólo en el
servidor y no en los equipos locales. Además, por defecto, el usuario con el que
se inicia sesión (creado en el servidor) por defecto será una cuenta limitada y
en el equipo cliente agregado al dominio no podrá realizar tareas de
administración. Por ejemplo, si volvemos a mostrar las Propiedades del
sistema, veremos que no aparecen todas las opciones y algunas sólo aparecen
para consulta y no son modificables:
Juan Noé SG
Página 28
29. Con esta medida evitaremos que un usuario pueda instalar software indeseado
o innecesario, tampoco podrá modificar la configuración del equipo y será más
difícil que el equipo sea infectado por un virus, pues el usuario con que se ha
iniciado sesión, por defecto, es limitado. Esto redundará en un ahorro para la
empresa en mantenimiento informático, con este método los equipos no
necesitarán mantenimiento (limpieza de malware, spyware, adware, virus, etc.).
Como ya hemos comentado, una vez que el equipo es miembro del dominio, se
le aplicarán de forma automática las directivas que hayamos establecido en el
servidor. A partir de este momento este equipo podrá ser administrado y
configurado de forma automática y centralizada en el servidor. Se le aplicarán,
por ejemplo, las directivas de contraseñaspara el usuario que inicia sesión.
Tras agregar el equipo al dominio, aparecerá automáticamente
"Computers", en "Usuarios y equipos de Active Directory":
en
Desde el servidor podremos aplicar directivas de seguridad tanto a los usuarios
como a los equipos. A partir de este momento, cualquier usuario puede iniciar
sesión en cualquier equipo de la empresa (siempre que esté agregado al
dominio).
Agregarequipo con Windows 7 a dominio Windows Server 2003
Para agregar un equipo con Microsoft Windows 7 a un dominio deberemos
cumplir los requisitos del servidor y del equipo cliente indicados aquí y
deberemos obtener los datos necesarios como explicamos aquí.
Iniciaremos sesión en el equipo, a ser posible con un usuario con permisos de
administrador. Pulsaremos en el botón "Iniciar" - "Panel de control":
Juan Noé SG
Página 29
30. Pulsaremos en "Sistema" (también podemos abrir esta ventana pulsando las
teclas Windows + Pausa):
En la ventana de Sistema, en la sección "Configuración de nombre, dominio y
grupo de trabajo del equipo", pulsaremos en "Cambiar configuración":
Juan Noé SG
Página 30
31. En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema"
pulsaremos en el botón "Cambiar":
En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del
dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar":
Juan Noé SG
Página 31
32. Si hemos añadido el dominio correctamente nos solicitará usuario y
contraseña. Introduciremos un usuario y contraseña del dominio con permisos
suficientes para agregar un equipo. Para evitar problemas de permisos
podremos usar un usuario del dominio miembro del grupo administradores:
Si todo es correcto, nos mostrará un mensaje con el texto "Se unió
correctamente al dominio dominioajpdsoft.com":
Juan Noé SG
Página 32
33. Nos avisará de que debemos reiniciar el equipo para aplicar los cambios:
Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:
Juan Noé SG
Página 33
34. Pulsaremos "Reiniciar ahora"
definitivamente al dominio:
para
reinciar
el
equipo
y
agregarlo
Tras el arranque del equipo, pulsaremos Control + Alt + Supr:
Juan Noé SG
Página 34
35. Para iniciar sesió por primera vez validando en el dominio pulsaremos en
"Cambiar de usuario":
Pulsaremos en "Otro usuario":
Juan Noé SG
Página 35
36. Introduciremos un usuario existente en el servidor con Active Directory, en la
parte inferior nos indicará el dominio donde se iniciará sesión: "Iniciar sesión
en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura:
nombre_usuario@nombre_dominio
Por ejemplo, para iniciar sesión con el usuario "alonso" en el dominio "ajpdsoft"
introduciríamos "alonso@ajpdsoft".
Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para
iniciar sesión:
Juan Noé SG
Página 36
37. Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo
local sino en el dominio de Windows Server. Por ello se aplicarán las directivas
establecidas en el dominio para el usuario de caducidad de contraseña,
complejidad, cifrado, historial, etc.
Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con
un usuario de Active Directory:
Juan Noé SG
Página 37
38. En el servidor con Windows Server 2003 controlador de dominio, en Usuarios y
equipos de Active Directory podremos ver el equipo agregado, en "Computers":
Recomendaciones importantes para los equipos clientes agregados al dominio
Windows
Una de las recomendaciones más importantes para los equipos clientes
validados (agregados) en el dominio Windows Server es deshabilitar los
usuarios locales de los equipos. Si no deshabilitamos los usuarios locales
cualquier persona podría iniciar sesión sin validar en el equipo, algo que no es
recomendable. En el caso de un equipo con Microsoft Windows 7 pulsaremos
en el botón "Iniciar", en "Equipo" pulsaremos con el botón derecho del ratón y
seleccionaremso "Administrar":
Juan Noé SG
Página 38
39. En la ventana de Administración de equipos seleccionaremos "Herramientas
del sistema" - "Usuarios y grupos locales" - "Usuarios", en la parte derecha
aparecerán todos los usuarios del equipo local, para deshabilitarlos y que no
puedan ser usados pulsaremos con el botón derecho del ratón sobre ellos (uno
a uno), seleccionaremos "Propiedades":
En la pestaña "General" marcaremos la opción "La cuenta está deshabilitada" y
pulsaremos "Aceptar":
Juan Noé SG
Página 39
40. Con esto impediremos que una persona pueda iniciar sesión con un usuario
local del equipo y lo obligamos a que valide siempre con un usuario del
dominio.
Por seguridad recomendamos que también se deshabilite el usuario
administrador. Por tareas de mantenimiento, para los administradores de los
equipos, podríamos crear un usuario local en todos los equipos, hacerlo
miembro del grupo de seguridad "Administradores" y establecer una
contraseña segura que ningún usuario sepa (salvo los administradores del
sistema). De esta forma tendremos un usuario local en todos los equipos con el
mismo nombre por si en algún momento queremos sacar el equipo del dominio
o por si la red falla y no tenemos acceso al servidor, en este caso sólo se
podría iniciar sesión sin validar en el dominio, de forma local con este usuario.
Por último, hay que tener en cuenta que las versiones de "Home" de Windows
XP, Windows Vista y Windows 7 no permiten validación en dominio Windows.
Estas versiones de estos sistemas operativos no sirven para ser agregadas a
un dominio.
Windows 8 a server 2008
Juan Noé SG
Página 40
41. En la ventana de Sistema, en la sección "Configuración de nombre, dominio y
grupo de trabajo del equipo", pulsaremos en "Cambiar configuración":
En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema"
pulsaremos en el botón "Cambiar":
En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del
dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar":
Juan Noé SG
Página 41
42. Si hemos añadido el dominio correctamente nos solicitará usuario y
contraseña. Introduciremos un usuario y contraseña del dominio con permisos
suficientes para agregar un equipo. Para evitar problemas de permisos
podremos usar un usuario del dominio miembro del grupo administradores:
Si todo es correcto, nos mostrará un mensaje con el texto "Se unió
correctamente al dominio dominioajpdsoft.com":
Nos avisará de que debemos reiniciar el equipo para aplicar los cambios:
Juan Noé SG
Página 42
43. Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:
Pulsaremos "Reiniciar ahora"
definitivamente al dominio:
para
reinciar
el
equipo
y
agregarlo
Para iniciar sesió por primera vez validando en el dominio pulsaremos en "la
flecha":
Pulsaremos en "Otro usuario":
Juan Noé SG
Página 43
44. Introduciremos un usuario existente en el servidor con Active Directory, en la
parte inferior nos indicará el dominio donde se iniciará sesión: "Iniciar sesión
en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura:
nombre_usuario/nombre_dominio Por ejemplo, para iniciar sesión con el
usuario "alonso" en el dominio "ajpdsoft" introduciríamos "Alonso/ajpdsoft".
Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para
iniciar sesión:
Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo
local sino en el dominio de Windows Server. Por ello se aplicarán las directivas
establecidas en el dominio para el usuario de caducidad de contraseña,
complejidad, cifrado, historial, etc.
Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con
un usuario de Active Directory:
WINDOWS SERVER 2008 Y WINDOWS VISTA
El requisito mínimo requerido para completar este procedimiento es la
pertenencia al grupo Usuarios del dominio o un grupo equivalente.
Para unirse a equipos que ejecutan Windows Server 2008 y Windows Vista al
dominio
Juan Noé SG
Página 44
45. 1.
Inicie sesión en el equipo con la cuenta de administrador local.
2.
Haga clic en Inicio, haga clic con el botón secundario en Equipo y,
después, haga clic en Propiedades. Se abrirá el cuadro de diálogo Sistema.
3.
En Configuración de nombre, dominio y grupo de trabajo del equipo,
haga clic en Cambiar la configuración. Se abrirá el cuadro de
diálogoPropiedades del sistema.
Nota
En los equipos que ejecutan Windows® 7, antes de que se abra el cuadro de
diálogo Propiedades del sistema, se abre el cuadro de diálogoControl de
cuentas de usuario, que solicita permiso para continuar. Haga clic en Continuar
para proceder.
4.
Haga clic en Cambiar. Se abrirá el cuadro de diálogo Cambios en el
dominio o el nombre del equipo.
5.
En Nombre del equipo, en Miembro de, seleccione Dominio y, a
continuación, escriba el nombre del dominio al que quiere unirse. Por ejemplo,
si el nombre del dominio es ejemplo.com, escriba ejemplo.com.
6.
Haga clic en Aceptar. Se abrirá el cuadro de diálogo Seguridad de
Windows.
7.
En Cambios en el dominio o el nombre del equipo, en Nombre de
usuario escriba el nombre del usuario y en Contraseña escriba la contraseña; a
continuación, haga clic en Aceptar. Se abrirá el cuadro de diálogo Cambios en
el dominio o el nombre del equipo y le dará la bienvenida al dominio. Haga clic
en Aceptar.
8.
El cuadro de diálogo Cambios en el dominio o el nombre del equipo
muestra un mensaje que le indica que debe reiniciar el equipo para aplicar los
cambios. Haga clic en Aceptar.
9.
En el cuadro de diálogo Propiedades del sistema, en la pestaña Nombre
del equipo, haga clic en Cerrar. Se abrirá el cuadro de diálogo Microsoft
Windows y mostrará un mensaje que le indicará nuevamente que debe reiniciar
el equipo para aplicar los cambios. Haga clic en Reiniciar ahora.
Juan Noé SG
Página 45