Dominios y confianzas de Active Directory
Dominios y confianzas de Active Directory de Windows 2000 es un complemento
MMC que se puede utilizar para consultar un árbol que contiene todos los
dominios del bosque. Con este complemento se pueden administrar las relaciones
de confianza entre los dominios, cambiar el modo del dominio y configurar los
sufijos del nombre principal de usuario (UPN, User Principal Name) para el
bosque. Dominios y confianzas de Active Directory también proporciona acceso a
Usuarios y equipos de Active Directory, que se puede utilizar para consultar y
modificar las propiedades de los objetos individuales.
Inicio de Dominios y confianzas de Active Directory
Windows 2000 Server añade el
complemento Administrador de Dominios y confianzas de Active Directory al menú
Inicio de forma predeterminada, por lo que después de iniciar sesión utilizando
una cuenta con privilegios administrativos se puede ejecutar la utilidad
seleccionando Dominios y confianzas de Active Directory desde
Herramientas administrativas en el grupo Programas del menú Inicio. El
archivo del complemento MMC se llama Domain.msc, por lo que también se
puede ejecutar el administrador desde el cuadro de dialogo Ejecutar ejecutando
ese nombre de archivo.
Cuando se carga el Administrador de Dominios y confianzas de Active
Directory, el árbol de la consola (a la izquierda) muestra todos los
dominios del bosque como un árbol que se expande, partiendo de una raíz
etiquetada como Dominios y confianza de Active Directory. El panel de resultados
(a la derecha) muestra los secundarios del dominio seleccionado actualmente o,
si se selecciona la raíz, los dominios raíz de todos los árboles del bosque. Las
funciones que proporciona Dominios y confianzas de Active Directory están todas
accesibles desde los menús Acción que se originan pulsando un nombre de dominio
o el objeto raíz, además de dentro de la ventana Propiedades de un dominio.
Cambio del modo del dominio
Desde Dominios y confianzas de Active Directory, cuando se abre la ventana
Propiedades de un dominio, la pestaña General muestra el nombre NetBIOS con el
cual conocen los clientes de nivel inferior al dominio y permite especificar una
descripción para ese dominio. Esta pestaña también muestra el modo de operación
actual del dominio y permite cambiarlo.
De forma predeterminada, los controladores de dominio recién
instalados operan en modo mixto, lo que significa que se pueden utilizar BDC
Windows NT como controladores de dominio en un dominio Windows 2000. De esta
forma, se puede actualizar un dominio Windows NT existente a Windows 2000 de
forma gradual actualizando primero el PDC Windows NT a Windows 2000. después se
puede utilizar Active Directory para almacenar información sobre el dominio y
modificar el directorio utilizando los complementos de Active Directory
incluidos en Windows 2000 Server.
Cuando Windows 2000 Server opera en modo mixto, los BDCs Windows NT son
controladores de dominio completamente funcionales en el dominio Active
Directory, capaces de realizar replica con múltiples maestros al igual que los
controladores de dominio Windows 2000. El único inconveniente de utilizar el
modo mixto es que no se pueden aprovechar las ventajas de las características
avanzadas de agrupación de Windows 2000, como la posibilidad de anidar grupos y
crear grupos con miembros en dominios diferentes.
Una vez que se ha completado la actualización a Windows 2000 de todos los BDC
Windows NT del dominio, se puede cambiar el equipo a modo nativo, lo que activa
estas capacidades de agrupación. Sin embargo, una vez que se ha cambiado el modo
de operación del dominio de mixto a nativo, no se puede cambiar de nuevo sin
reinstalar Active Directory. Hay que asegurarse de que no se necesitaran mas los
controladores de dominio Windows NT de la red antes de hacer esta
modificación.
El modo mixto se refiere únicamente a los controladores de dominio en un
dominio particular. Después de cambiar a modo nativo, todavía se pueden
utilizar controladores de dominio Windows NT en el mismo Árbol, siempre y
cuando estén ubicados en diferentes dominios.
Gestión de las relaciones de confianza entre dominios
La relación de confianza entre dominios se gestiona desde la pestaña Confía
de la ventana Propiedades de un dominio. Cuando se establece una relación de
confianza entre dos dominios, los usuarios de un dominio pueden acceder a
recursos ubicados en otro dominio en que se confíe. Un árbol de dominios Active
Directory es una colección de dominios que no sólo comparten el mismo esquema,
la configuración y el espacio de nombres, sino que también están conectados por
medio de relaciones de confianza.
Windows 2000 soporta dos tipos de relaciones de confianza:
las confianzas explicitas y de un sentido utilizadas por Windows NT, y las
confianzas transitivas y jerárquicas proporcionadas por el protocolo de
seguridad Kerberos en los dominios Active Directory. Las relaciones de confianza
de Windows NT sólo funcionan en un sentido. Por ejemplo, el hecho de que el
dominio A confié en los usuarios del dominio B no implica que B confié en los
usuarios de A automáticamente. Un administrador debe crear explícitamente las
confianzas en ambos sentidos para lograr una relación mutua entre los
dominios.
Active Directory crea automáticamente relaciones de confianza Kerberos en
todos los dominios de un árbol; estas se aplican en ambos sentidos y son
transitivas. Una relación de confianza transitiva es aquella que se propaga a
través de la jerarquía del árbol. Por ejemplo, cuando un dominio A confía en un
dominio B y un dominio B confía en un dominio C, entonces el dominio A confía en
el dominio C. La creación de cada nuevo dominio en un árbol incluye el
establecimiento de las relaciones de confianza con el resto de dominios del
árbol, lo que permite a los usuarios acceder a recursos en cualquiera de los
dominios del árbol (asumiendo que tienen los permisos apropiados) sin que un
administrador tenga que configurarlo manualmente.
Para proporcionar acceso al dominio a usuarios de otro árbol o para conceder
acceso a otro árbol a los usuarios del dominio, se pueden establecer relaciones
de confianza manualmente pulsando uno de los botones Agregar de la
pestaña Confía y
especificando el nombre NetBIOS de un dominio. Estas
relaciones son en un solo sentido; hay que establecer una confianza para cada
dominio para crear una confianza bidireccional. Dependiendo de la naturaleza del
dominio que confía o en el que se confía, la relación podrá o no ser transitiva.
Se puede establecer una relación de confianza transitiva con dominios Windows
2000 en otro árbol, pero las relaciones con dominios Windows NT no pueden ser
transitivas.
Para establecer una relación de confianza con otro dominio, hay que
especificar el nombre del dominio en el cuadro de dialogo Agregar un dominio de
confianza y proporcionar una contraseña. Para completar el proceso, un
administrador del otro dominio debe especificar el nombre de este dominio en el
cuadro de dialogo Agregar un dominio que confía y proporcionar la misma
contraseña. Ambos dominios deben dar su aprobación antes de que los sistemas
puedan establecer la relación de confianza.
Especificación del administrador de
l dominio
La tercera pestaña de la ventana Propiedades de un dominio, identifica al
individuo que es el administrador designado para el dominio. Esta pestaña
proporciona información de contacto sobre el administrador derivada de la cuenta
de usuario asociada en Active Directory. Se puede cambiar el administrador
pulsando el botón Cambiar y seleccionando otra cuenta de usuario desde la
pantalla de Active Directory que se muestra.
Configuración de los sufijos de nombre principal de usuario en un
bosque
Un UPN es un nombre simplificado que los
usuarios pueden proporcionar cuando inician sesión en Active Directory. El
nombre utiliza el formato estándar de direcciones de correo electrónico que
consiste en un nombre de usuario prefijo y un nombre de dominio sufijo,
separados por un signo @, como se define en la RFC 822 (por ejemplo,
usuario@dominio.com). Los UPNs proporcionan a los usuarios de la red un formato
de nombre de inicio de sesión unificado que los aísla de la jerarquía de
dominios de Active Directory y de la necesidad de especificar el complejo nombre
LDAP para sus objetos usuario cuando inician sesión.
De forma predeterminada, el sufijo del UPN de los usuarios de un bosque en
particular es el nombre del primer dominio creado en el primer árbol del bosque,
también llamado el hombre DNS del bosque. Por medio del Administrador de
Dominios y confianzas de Active Directory se pueden especificar sufijos UPN
adicionales que los usuarios pueden emplear en lugar del hombre DNS del bosque
cuando inicien sesión. Para hacer esto, hay que seleccionar el objeto raíz
en el árbol de la consola de la pantalla principal de Dominios y
confianzas de Active Directory, y escoger Propiedades en el menú
Acción. En la pestaña Sufijos UPN, hay que pulsar el botón
Agregar para especificar sufijos adicionales. Estos sufijos se aplican en
todo el bosque y están disponibles para cualquier usuario de cualquier dominio
de cualquier árbol de ese bosque.
Gestión de los dominios
El complemento Dominios y confianzas de Active Directory también proporciona
acceso al complemento Usuarios y equipos de Active Directory que se utiliza para
consultar y modificar los objetos de un dominio y sus propiedades. Cuando se
selecciona un dominio en el árbol de la consola de la pantalla principal y se
escoge Administrar en el menú Acción, la MMC abre el complemento Usuarios y
equipos de Active Directory con el foco en el dominio seleccionado.
Usuarios y equipos de Active Directory
El complemento Usuarios y equipos de Active
Directory es la principal herramienta de los administradores de Active
Directory, y es la herramienta que se utilizara mas a menudo para el
mantenimiento diario del directorio. Usuarios y equipos de Active Directory
muestra todos los objetos de un dominio por medio de una pantalla con un árbol
expandible al estilo del Explorador de Windows.
Los cuadros de dialogo de cada objeto proporcionan acceso a las propiedades
del objeto, que se pueden modificar para actualizar la información del usuario y
las restricciones de la cuenta.
También se utiliza Usuarios y equipos de Active Directory para crear nuevos
objetos y modelar la jerarquía del árbol creando y poblando objetos contenedores
Como unidades organizativas (OU).
Inicio de Usuarios y equipos de Active Directory
Usuarios y equipos de Active Directory, como la mayoría de las herramientas
de administración de Active Directory, es un complemento de la MMC. El archivo
del complemento se llama Dsa.msc, y se puede ejecutar el administrador de una de
tres formas.
- Seleccionar Usuarios y equipos de Active Directory desde el grupo
Herramientas administrativas en el grupo Programas del menú
inicio.
- Resaltar un dominio en el árbol de la consola del complemento
Dominios y confianzas de Active Directory y escoger Administrar
en el menú Acción. Esto abre un nuevo cuadro de dialogo de la MMC
llamado Usuarios y equipos de Active Directory dejando la ventana Dominios y
confianzas de Active Directory intacta.
- Abrir el cuadro de dialogo Ejecutar desde el menú Inicio y ejecutar
el archivo de complemento Dsa.msc.
Para realizar muchas de las funciones que proporciona el complemento Usuarios
y equipos de Active Directory es necesario iniciar sesión en el dominio
utilizando una cuenta que tenga privilegios administrativos. Se puede utilizar
el Asistente para delegación de control para delegar tareas administrativas
sobre objetos específicos a otros usuarios sin concederles acceso administrativo
completo al dominio.
Examen de los objetos de Active Directory
El cuadro de dialogo principal de Usuarios y equipos de Active Directory
contiene muchos de los elementos estándar de las pantallas de la MMC. El árbol
de la consola (a la izquierda) muestra un dominio Active Directory y los objetos
contenedor dentro de una pantalla expandible. El panel de resultados (a la
derecha) muestra los objetos del contenedor resaltado. El administrador incluye
una barra de herramientas especializada que proporciona acceso instantáneo a las
funciones más comúnmente utilizadas y una barra de descripción que proporciona
información sobre el estado del administrador o sobre el objeto resaltado
actualmente. El programa muestra las acciones que se pueden realizar sobre cada
objeto en el menú Acción una vez que se han pulsado los objetos.
Tipos de objetos de Active Directory
Los objetos de la pantalla Usuarios y equipos de Active Directory representan
tanto entidades físicas, como equipos y usuarios, como las entidades lógicas,
como grupos y unidades organizativas.
Modificando el esquema que controla la estructura del servicio de directorio,
se pueden crear nuevos tipos de objetos en Active Directory y modificar los
atributos de los tipos existentes.
Modo normal y modo avanzado
De forma predeterminada, la pantalla Usuarios y equipos de Active Directory
opera en modo normal. El modo normal solo muestra los objetos a los que los
administradores accederán con mayor probabilidad durante una sesión de
mantenimiento de Active Directory típica. Esto incluye las unidades
organizativas que contienen los usuarios y grupos predefinidos creados durante
la instalación de Active Directory y todos los objetos creados por los
administradores después de la instalación. El modo normal también oculta ciertas
pestañas de la ventana Propiedades de un objeto, incluyendo la pestaña Objeto y
la pestaña Seguridad que se pueden utilizar para establecer permisos para el
objeto.
 |
Dominio: Objeto raíz de la pantalla
Usuarios y equipos de Active Directory; identifica el dominio que está
administrando actualmente el administrador. |
 |
Unidad organizativa: Objeto contenedor
utilizado para crear agrupaciones lógicas de objetos equipo, usuario y
grupo. |
 |
Usuario: Representa un usuario de la
red y funciona como un almacén de información de identificación y
autenticación. |
 |
Equipo: Representa un equipo de la red
y proporciona la cuenta de maquina necesaria para que el sistema inicie
sesión en el dominio. |
 |
Contacto: Representa un usuario externo
al dominio para propósitos específicos como envío de correo electrónico;
no proporciona las credenciales necesarias para iniciar sesión en el
dominio. |
 |
Grupo: Objeto contenedor que representa
una agrupación lógica de usuarios, equipos a otros grupos (o los tres) que
es independiente de la estructura del árbol de Active Directory. Los
grupos pueden contener objetos de diferentes unidades organizativas y
dominios. |
 |
Carpeta compartida: Proporciona acceso
de red, basado en Active Directory, a una carpeta compartida en un sistema
Windows 2000. |
 |
Impresora compartida: Proporciona
acceso de red, basado en Active Directory, a una impresora compartida en
un sistema Windows 2000. |
Sin embargo, cuando se escoge Características avanzadas en el menú Ver del
administrador, la pantalla cambia para incluir todos los objetos Active
Directory del sistema que representan directivas, registros DNS y otros
elementos del servicio de directorio, además del contenedor LostAndFound.
Desde esta interfaz se puede consultar información sobre los objetos del
sistema y controlar el acceso a ellos modificando los permisos asociados. Como
el acceso a estos objetos no se requiere con frecuencia, se puede impedir que
aparezcan dejando el administrador en modo normal. Sin embargo, cuando haya que
modificar los permisos de los objetos estándar como unidades organizativas,
usuarios y grupos, habrá que activar las Características avanzadas para acceder
a la pestaña Seguridad de la ventana Propiedades de un objeto.
Cambio de dominio
Se puede utilizar el complemento
Usuarios y equipos de Active Directory para administrar cualquier dominio de la
red. Para cambiar el dominio que se muestra en el administrador, hay que
resaltar la raíz o el objeto dominio en el árbol de la consola y escoger
Conectar con el dominio en el menú Acción. Esto muestra el cuadro de diálogo
Conectar con el dominio, donde se puede introducir el nombre del dominio o
buscar otro dominio.
En el menú Acción también se puede escoger Conectar con el
controlador de dominio para acceder al dominio seleccionado utilizando un
controlador de dominio especifico de la red. A menos que los controladores de
dominio no estén sincronizados, la información debería ser la misma en todas las
replicas, pero algunas veces puede ser útil seleccionar un controlador de
dominio en una ubicación diferente para evitar una lenta o cara conexión
WAN.
Filtros para simplificar la visualización
Cuando se empieza a poblar Active Directory con nuevos objetos, puede crecer
rápidamente a un tamaño difícil de manejar.
El mero número de objetos en la pantalla puede dificultar la
localización del objeto especifico que se necesita. Para evitar que se muestren
temporalmente los objetos que no es necesario ver, se puede aplicar un filtro al
complemento Usuarios y equipos de Active Directory basándose en los tipos de
objetos o basándose en el contenido de atributos de objetos específicos.
Cuando se escoge Opciones de filtro desde el menú Ver, aparece el cuadro de
diálogo Opciones de filtro. Aquí se puede optar por mostrar todos los tipos de
objetos, seleccionar tipos de objetos específicos a mostrar o crear un filtro
personalizado basándose en los atributos de los objetos.
Cuando se selecciona la opción Crear filtro personalizado y se pulsa el botón
Personalizar, se muestra un cuadro de diálogo Buscar Búsqueda personalizada. En
este cuadro de diálogo se puede seleccionar un tipo de objeto, escoger un
atributo de ese objeto y especificar un valor completo o parcial para ese
atributo.
Por ejemplo, se pueden mostrar solo los objetos usuario que tengan el valor
Ventas en el atributo Departamento (como se muestra en la figura), o se puede
optar por mostrar sólo los usuarios que tienen un código de área particular en
el atributo Número de teléfono. Esto permite ajustar la mira rápidamente en los
objetos que se necesitan utilizar sin tener que desplazarse a lo largo de una
pantalla innecesariamente abarrotada.
Búsqueda de objetos
También se pueden buscar objetos específicos en todo Active Directory sin
modificar lo que muestra el administrador. Si se selecciona el objeto dominio y
se escoge Buscar en el menú Acción, se muestra el. cuadro de dialogo Buscar
Usuarios, contactos y grupos, en el cual se puede especificar el tipo de objeto
que se desea localizar, un dominio especifico o todo el directorio y el nombre y
descripción del objeto.
El programa busca entonces en el CG que se creo automáticamente en el primer
controlador del dominio para localizar el objeto deseado. El CG es un
subconjunto de todo Active Directory que solo contiene los atributos mas
comúnmente utilizados, lo que facilita la búsqueda de un objeto especifico. Sin
el CG, la tarea de buscar en una instalación Active Directory que incluye
controladores de dominio en ubicaciones remotas podría requerir un extenso
trafico WAN que es tan lento como caro.
A pesar de que Active Directory siempre crea el CG en el primer
controlador de dominio de un dominio, se puede cambiar su ubicación
predeterminada modificando la configuración NTDS en el complemento Sitios y
servicios de Active Directory. También se pueden especificar atributos
adicionales que han de almacenarse en el CG utilizando el complemento Esquema
de Active Directory.
La pestaña Opciones avanzadas del cuadro de dialogo Buscar Usuarios,
contactos y grupos utiliza la misma interfaz que la característica Filtro
personalizado. De la misma forma, se pueden buscar objetos basándose en sus
atributos. Si un atributo que se selecciona no es parte del CG, la búsqueda
procederá inspeccionando el contenido real de los controladores de dominio de la
red. En algunos casos, esto puede ralentizar considerablemente el proceso de
búsqueda.
Mucha de la misma funcionalidad de búsqueda de objetos de Active
Directory que se encuentra en el complemento Usuarios y equipos de Active
Directory también esta disponible en la característica Buscar del menú
Inicio.
Objetos predeterminados de Active Directory
Un dominio Active Directory recién creado contiene objetos unidades
organizativas, equipos, usuarios y grupos que crea de forma predeterminada el
Asistente para instalación de Active Directory. Estos objetos proporcionan
acceso al sistema a varios niveles e incluyen grupos que permiten a los
administradores delegar tareas de mantenimiento de la red especificas a otros.
Incluso si no se espera utilizar esos objetos en el futuro, hay que utilizarlos
para crear otros objetos con los permisos apropiados para la red.
Por ejemplo, aun si no se desea tener ningún usuario único con el control
completo concedido a la cuenta de administrador, hay que iniciar sesión como
administrador para poder crear los nuevos objetos usuario con los derechos y
permisos deseados. Con Active Directory se pueden dejar partes de la estructura
del directorio «huérfanas» si se modifica, se borra o se desactiva la cuenta de
administrador sin haber creado primero otros objetos usuario o haberles
concedido permisos equivalentes para las distintas partes del directorio.
Los objetos predeterminados creados en un dominio Active Directory, junto con
sus funciones y sus ubicaciones en la jerarquía del dominio.
|
Objetos creados de forma
predeterminada en un dominio Active Directory |
| Nombre del objeto |
Tipo de objeto |
ubicación |
Función |
| Builtin |
builtinDomain |
Dominio raíz |
Contenedor predeterminado para los grupos que
proporcionan acceso a las funciones de administración del servidor. |
| Computers |
Contenedor |
Dominio raíz |
Contenedor predeterminado para cuentas de
equipo actualizadas. |
| Users |
Contenedor |
Dominio raíz |
Contenedor predeterminado para cuentas de
usuario actualizadas. |
| Domain controllers |
Unidad organizativa |
Dominio raíz |
Contenedor predeterminado para los nuevos
controladores de dominio Windows 2000. |
| Opers. de cuentas |
Grupo de seguridad. Integración local |
Builtin |
Sus miembros pueden administrar las cuentas de
usuario y de grupo del dominio. |
| Administradores |
Grupo de seguridad. Integración local |
Builtin |
Sus miembros pueden administrar completamente
el equipo/dominio. |
| Operadores de copia |
Grupo de seguridad. Integración local |
Builtin |
Sus miembros pueden saltarse la seguridad de
los archivos para hacer copia de seguridad de ellos. |
| Invitados |
Grupo de seguridad. Integración local |
Builtin |
Usuarios que tienen concedido acceso de
invitado al equipo/dominio. |
| Opers. de impresión |
Grupo de seguridad. Integración local |
Builtin |
Sus miembros pueden administrar las impresoras
del dominio. |
| Duplicadores |
Grupo de seguridad. Integración local |
Builtin |
Soporta la replica de archivos en un
dominio. |
| Opers. de servidores |
Grupo de seguridad. Integración local |
Builtin |
Sus miembros pueden administrar. servidores de
dominio. |
| Usuarios |
Grupo de seguridad. Integración local |
Builtin |
Usuarios corrientes. |
| Usuarios DHCP |
Grupo de seguridad. Dominio local |
Contenedor Users |
Sus miembros sólo tienen acceso de lectura al
Servidor DHCP |
| DnsAdmins |
Grupo de seguridad. Dominio local |
Contenedor Users |
Administradores del DNS. |
| Servidores RAS e IAS |
Grupo de seguridad. Dominio local |
Contenedor Users |
Servidores Ras e IAS. |
| Usuarios WINS |
Grupo de seguridad. Dominio local |
Contenedor Users |
Sus miembros solo tienen acceso de lectura a
WINS. |
| Publicadores de certificados |
Grupo de seguridad. Global |
Contenedor Users |
Agentes de certificación de la empresa y de
renovación. |
| DnsUpdateProxy |
Grupo de seguridad. Global |
Contenedor Users |
Clientes de DNS a los que se permite realizar
actualizaciones dinámicas en nombre de algunos otros clientes (como
servidores DHCP). |
| Admins. del dominio |
Grupo de seguridad. Global |
Contenedor Users |
Administradores designados del dominio. |
| Equipos del dominio |
Grupo de seguridad. Global |
Contenedor Users |
Todas las estaciones de trabajo y servido res
unidos al dominio. |
| Controladores de dominio |
Grupo de seguridad. Global |
Contenedor Users |
Todos los controladores de dominio del
dominio. |
| Invitados del dominio |
Grupo de seguridad. Global |
Contenedor Users |
Todos los invitados del dominio. |
| Usuarios del dominio |
Grupo de seguridad. Global |
Contenedor Users |
Todos los usuarios del dominio. |
| Administración de empresas |
Grupo de seguridad. Global |
Contenedor Users |
Administradores designados de la empresa. |
| Administradores de esquema |
Grupo de seguridad. Global |
Contenedor Users |
Administradores designados del esquema. |
| Administrador |
Usuario |
Contenedor Users |
Cuenta predefinida para administrar el
equipo/dominio. |
| Invitado |
Usuario |
Contenedor Users |
Cuenta predefinida para el acceso en calidad de
invitado al equipo/dominio. |
| IUSR_xxx |
Usuario |
Contenedor Users |
Cuenta predefinida para el acceso anónimo a los
Servicios de Internet información Server (IIS). |
| IWAM_xxx |
Usuario |
Contenedor Users |
Cuenta predefinida para el acceso anónimo a
aplicaciones IIS sin proceso. |
| Krbtgt |
Usuario |
Contenedor Users |
Cuenta del servicio Centro de distribución de
claves. |
Creación de unidades organizativas
El esquema del servicio de directorio establece qué objetos se pueden crear
en un dominio Active Directory, dónde se pueden ubicar y qué atributos se
permite que tengan. Usuarios y equipos de Active Directory solo permite crear
objetos en las ubicaciones apropiadas para el tipo de objeto. Por ejemplo, no se
puede crear un objeto unidad organizativa (OU) subordinada a un objeto usuario,
pero un objeto usuario puede subordinarse a un objeto OU.
Sin embargo, las OU se pueden subordinar unas a otras y el número de capas de
OU que se pueden crear en el dominio Active Directory es ilimitado. Para crear
una OU hay que pulsar el objeto dominio u otra OU en el panel de ámbito o en el
de resultados de Usuarios y equipos de Active Directory y escoger Nuevo en el
menú Acción y seleccionar Unidad organizativa. también se puede pulsar el botón
Crear un nuevo departamento en la barra de herramientas de Usuarios y equipos de
Active Directory para conseguir el mismo efecto. después de especificar un
nombre para el nuevo objeto en el cuadro de dialogo Nuevo objeto, el
administrador crea un icono con el nombre apropiado y lo inserta en la pantalla
de Usuarios y equipos de Active Directory.
Una vez que se ha creado una OU es posible poblarla con otros objetos, como
usuarios, equipos, grupos y otras OU, o se pueden modificar sus atributos
abriendo la ventana Propiedades desde el menú Acción.
Configuración de los objetos OU
La ventana Propiedades de una OU consta de tres pestañas. La
pestaña General y la pestaña Administrado por permiten especificar información
sobre la OU como una frase descriptiva y una dirección para la ubicación del
objeto, además de la identidad de la persona responsable de administrar la OU.
La información que se incluye en estas pestañas (si la hay) depende del criterio
utilizado para diseñar el Active Directory. Una OU puede estar asociada a un
departamento particular dentro de una organización, una ubicación física como
una habitación, una planta o un edificio, o incluso una sucursal en una ciudad o
país particular.
La pestaña Directiva de grupo es donde se crean y administran los vínculos a
los objetos directiva de grupo de Active Directory. Los objetos directiva de
grupo son colecciones de parámetros del sistema que controlan la apariencia y la
funcionalidad de los clientes de la red. Cuando se aplican directivas de grupo a
OU, dominios y sitios, todos los objetos contenidos en esas entidades heredan
los parámetros del sistema. Las OU se pueden enlazar a múltiples objetos
directiva de grupo en esta pestaña y, se pueden controlar las prioridades con
que se aplican las directivas. Cuando se utilice el botón Modificar de la
pestaña directiva de grupo para modificar un objeto directiva de grupo, Usuarios
y equipos de Active Directory ejecuta el complemento MMC directiva de grupo.
Cuando se activan las Características avanzadas en el menú 
Ver de Usuarios y equipos de Active Directory,
la ventana Propiedades de la OU también muestra la pestaña Objeto y la
pestaña Seguridad. La pestaña Objeto muestra la ruta de acceso complete al
objeto en la jerarquía del dominio, las fechas y horas de su creación y ultima
modificación y los números de secuencia de actualización de la creación y la
ultima modificación.
La pestaña Seguridad permite controlar el acceso al objeto asignando permisos
a usuarios y grupos. Con la casilla de verificación Hacer posible que los
permisos heredables se propaguen, también se puede controlar si el objeto hereda
los permisos que han sido asignados a su objeto primario.
El botón Avanzada de la pestaña Seguridad proporciona acceso al cuadro de
dialogo Configuración de control de acceso desde el que se puede controlar el
acceso al objeto con un detalle mucho mayor. En el cuadro de dialogo Seguridad,
se puede especificar si usuarios y grupos específicos tienen permiso para crear
y eliminar objetos secundarios en la OU, pero esta pantalla permite especificar
que tipos de objetos se pueden crear y eliminar.
Delegación del control de los objetos
Active Directory esta diseñado para soportar redes empresariales mucho mas
grandes que la que soportan los dominios Windows NT, y las redes mas grandes
requieren, naturalmente, mas atención y mantenimiento por parte de los
Administradores.
Active Directory permite a los administradores delegar el control
sobre objetos contenedor específicos a otros usuarios sin otorgarles acceso
completo al dominio. Para hacer esto, hay que ejecutar el Asistente para
delegación de control escogiendo Delegar control desde et menú Acción de un
dominio o unidad organizativa.
El asistente pide primero que se especifique el objeto contenedor sobre el
que se desea delegar el control y los usuarios o grupos (o ambos) a los que se
desea delegar el control. Una vez que se haya hecho esto, el asistente muestra
la pantalla Tipo de objeto de Active Directory, que se puede utilizar para
especificar que tipos de objetos del contenedor podrán controlar los
usuarios/grupos seleccionados. Se puede, por ejemplo, conceder a un usuario o
grupo especifico control sobre los objetos usuario solo en el contenedor,
permitiéndoles actualizar información de usuario pero impidiéndoles la
modificación de otros tipos de objetos.
En el cuadro de dialogo Permisos, se especifica el grado de control que se
desea que tengan los usuarios/grupos seleccionados sobre los objetos
seleccionados. El cuadro Mostrar estos permisos permite seleccionar si se desea
trabajar con los permisos generales que conciernen a todo el objeto o los
permisos de la propiedad que controlan el acceso a los atributos individuales
del objeto. Con este tipo de permisos se puede conceder a los usuarios la
capacidad de modificar algunas de las propiedades del objeto al mismo tiempo que
se protegen otras. De esta forma, cabe la posibilidad de permitir a los
Administradores del departamento realizar modificaciones sencillas en los
objetos usuario, como cambiar las direcciones y los números de teléfono, sin
poner en peligro otras propiedades del objeto.
Una vez que se le ha proporcionado al asistente la información apropiada, se
configura el objeto seleccionado con los permisos adecuados. Si se comprueba la
pestaña Seguridad de la ventana Propiedades del objeto (que solo es visible
cuando están activas las Características avanzadas en el menú Ver de Usuarios y
equipos de Active Directory), se podrán observar los permisos que ha asignado el
asistente a los usuarios o grupos seleccionados.
Creación de los objetos usuario
Una instalación típica de Active Directory consiste normalmente en mas
objetos usuario que de cualquier otro tipo, y la creación y gestión de los
objetos usuario representa buena parte de la carga de administración de Active
Directory. La tarea de crear manualmente un objeto usuario es idéntica a la de
la creación de una unidad organizativa o cualquier otro objeto. después de
seleccionar el contenedor en el que residirá el objeto usuario (normalmente, una
OU), hay que seleccionar el contenedor y escoger Nuevo en el menú acción y
seleccionar Usuario, o pulsar el botón Crear un nuevo usuario de la barra de
herramientas de Usuarios y equipos de Active Directory, lo que produce el cuadro
de dialogo.
En el cuadro de dialogo Nuevo objeto, hay que especificar el nombre y
apellidos del usuario y el nombre de inicio de sesión que proporcionara el
usuario cuando se conecte a la red. El nombre de inicio de sesión de nivel
inferior para el usuario (esto es, el nombre con el que iniciara sesión el
usuario en las estaciones de trabajo Windows NT o Windows 9.x) aparece entonces
automáticamente. El siguiente cuadro de dialogo proporciona un campo para la
contraseña del objeto usuario y permite establecer opciones básicas para la
contraseña y la cuenta para el usuario, como sigue:
- El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
- El usuario no puede cambiar la contraseña.
- La contraseña nunca caduca.
- Cuenta deshabilitada.
Después de que una pantalla de resumen confirme la información introducida,
Usuarios y equipos de Active Directory crea el objeto usuario en el contenedor
seleccionado.
Configuración de los objetos usuario
Una vez que se ha creado un objeto usuario, se puede proceder con el proceso
de configuración, en el cual se añade información sobre el usuario a la base de
datos de Active Directory y se define el acceso a la red del usuario. El menú
Acción que genera Usuarios y equipos de Active Directory cuando se pulsa sobre
un objeto usuario contiene algunos de los comandos mas comúnmente utilizados por
los administradores, además del acceso a la ventana Propiedades del usuario.
Estos comandos son los siguientes:
- Agregar miembros a un grupo Genera un cuadro de dialogo desde el
que se pueden seleccionar los grupos a los que pertenecerá el usuario.
- Asignaciones de nombres (Solo visible cuando están activas las
Características avanzadas.) Permite a los administradores asignar certificados
X.509 y nombres Kerberos al objeto usuario.
- Deshabilitar cuenta Impide que el usuario inicie sesión en la red
utilizando la cuenta hasta que sea activada manualmente por un administrador.
- Restablecer contraseña Genera un cuadro de dialogo con el que se
puede modificar la contraseña de inicio de sesión de la cuenta del usuario.
- Mover Permite a los administradores trasladar el objeto usuario a
otro objeto contenedor (esto es, un dominio o una unidad organizativa) de
Active Directory.
- Abrir la página principal Abre el navegador predeterminado del
sistema y muestra el URL que aparece en el campo Página Web de la pestaña
General de la ventana Propiedades del objeto usuario.
- Enviar mensaje de correo Abre el cliente de correo electrónico
predeterminado del sistema y escribe la dirección de un mensaje utilizando la
dirección de correo electrónico que aparece en el campo Correo electrónico de
la pestaña General de la ventana Propiedades del objeto usuario.
Aunque Usuarios y equipos de Active
Directory proporciona estas funciones en el menú Acción para que resulte mas
cómodo, también se puede acceder a muchas de ellas a través de la ventana
Propiedades del objeto usuario, que proporciona una interfaz completa para los
atributos del objeto usuario.
Los atributos que aparecen en las pestañas de la ventana Propiedades son
aquellos incluidos en el esquema predeterminado que utiliza Active Directory.
Se puede modificar el esquema para crear atributos adicionales o cambiar los
existentes utilizando el complemento Administrador del Esquema de Active
Directory.
La pestaña General
La pestaña General contiene información básica sobre el usuario, incluyendo
el nombre y apellidos que se especificaron al crear el objeto. Esta pestaña
también posee campos para una frase descriptiva sobre el usuario, la ubicación
de la oficina, el número de teléfono, la dirección de correo electrónico y el
URL de la página Web del usuario. Aparte de los campos nombre, la información de
esta pestaña es opcional y únicamente se utiliza como referencia. Los usuarios
pueden buscar en Active Directory utilizando los valores de los atributos de
esta (y otras) pestañas y la dirección de correo electrónico y el URL de la
página Web del usuario se insertan automáticamente en las aplicaciones cliente
apropiadas, pero estos campos no afectan al acceso a la red del usuario de
ninguna forma palpable.
La pestaña dirección
En la pestaña dirección se encuentran los campos donde se puede insertar la
información de la dirección de correo del usuario. Como en la pestaña General,
estos son campos de referencia que no juegan un papel importante en la
configuración del objeto.
La pestaña Cuenta
La pestaña Cuenta contiene el nombre de inicio de sesión de usuario que se
especificó durante la creación del objeto además de su nombre de usuario de
nivel inferior.
Los botones Horas de inicio de sesión a Iniciar sesión en proporcionan acceso
a cuadros de dialogo que permiten restringir las horas y días de la semana a los
que tiene permiso el usuario para iniciar sesión en la red y las estaciones de
trabajo desde las que el usuario puede iniciar sesión en la red.
La casilla de verificación La cuenta esta bloqueada esta seleccionada si la
cuenta del usuario ha sido desactivada, bien deliberadamente por un
administrador o a causa de repetidos fallos al iniciar sesión. Desactivar esta
casilla libera la cuenta y permite al usuario iniciar sesión de nuevo. El área
Opciones de cuenta contiene numerosas opciones para la contraseña y la cuenta
(algunas de las cuales están duplicadas en el cuadro de dialogo Nuevo objeto).
Cuando se crean nuevas cuentas de usuario, las siguientes opciones deben ser
seleccionadas o desactivadas:
- El usuario debe cambiar la contraseña en el siguiente inicio de sesión
Presenta al usuario un cuadro de dialogo en el siguiente inicio de sesión
requiriéndole una nueva contraseña.
- El usuario no puede cambiar la contraseña Impide que el usuario
cambie su propia contraseña.
- La contraseña nunca caduca Impide que la cuenta de usuario sea
objeto de las directivas s de caducidad definidas en el cuadro La cuenta
caduca.
- Cuenta deshabilitada Impide que el usuario inicie sesión utilizando
esta cuenta hasta que la casilla sea desactivada por un administrador.
La pestaña Perfil
En la pestaña Perfil se puede
especificar la ubicación del perfil de usuario asociado con el objeto. De forma
predeterminada, cada usuario que inicia sesión en un sistema Windows 2000 tiene
un directorio de perfil creado en la carpeta Documents and Settings de la unidad
de disco del sistema. Cuando se especifica una ruta de acceso al perfil en esta
pestaña, el sistema almacena una copia del perfil en el directorio especificado.
Si este directorio esta localizado en una unidad de red compartida, el usuario
puede acceder al perfil desde cualquier sistema de la red. El campo Archivo de
comandos de inicio de sesión especifica el nombre del archivo de comandos que la
estación de trabajo debería ejecutar cuando el usuario inicie sesión en la
red.
Desde el cuadro Directorio principal, se puede crear un directorio personal
en una unidad de red sobre el que el usuario tendrá control completo. Almacenar
los archivos de datos en una unidad de red facilita su protección ante
manipulaciones y los borrados accidentales. Se puede configurar la estación de
trabajo para que asigne una unidad a la unidad de disco compartida
automáticamente durante el proceso de inicio de sesión especificando una letra
de unidad y el nombre UNC de un recurso compartido de la red en los campos
Conectar. En el campo para indicar la carpeta de documentos compartidos, se
puede especificar una ubicación donde los usuarios que requieren acceso a los
mismos documentos pueden almacenar archivos.
La pestaña Teléfonos
La pestaña Teléfonos contiene campos para los distintos números de teléfono
asociados con un usuario, incluyendo los números del localizador, del móvil, del
fax y del teléfono de IP Un campo Notas de múltiples líneas proporciona un área
de propósito general para notas.
La pestaña organización
La pestaña Organización proporciona campos en los que se puede especificar el
titulo, el departamento y la organización del usuario. En el cuadro
Administrador, se puede identificar el superior del usuario seleccionando otro
objeto usuario de Active Directory. Un campo Supervisa a, de múltiples
líneas permite almacenar las notas de un supervisor en el usuario.
La pestaña Miembro de
La pestaña Miembro de es donde se especifican los grupos de los que el
usuario debería ser miembro. Si se pulsa el botón Agregar, se muestra una lista
de objetos desde la que se pueden seleccionar los grupos apropiados. El botón
Establecer grupo solo esta activo para usuarios de Macintosh. Los Servicios para
Macintosh de Windows reconocen una afiliación de grupo única, normalmente el
grupo con el que los usuarios de Macintosh comparten documentos en un
servidor.
También se puede añadir un usuario a un grupo desde la pestaña Miembros
de la ventana Propiedades de un objeto grupo.
La pestaña Marcado
En la pestaña Marcado se controla si al usuario se le permite el acceso a la
red a través de una conexión telefónica del Servicio de acceso remoto (RAS,
Remote Access Service). Con la opción Permitir acceso se puede seleccionar si el
objeto usuario necesita devolución de llamada o el Id del que llama para la
comprobación de seguridad, y se pueden especificar una dirección IP estática y
rutas estáticas para la conexión.
La pestaña Certificados publicados
La pestaña Certificados publicados, que solo es visible cuando se activa la
opción de presentación Características avanzadas de Usuarios y equipos de Active
Directory, permite administrar los certificados X.509 vinculados al objeto
usuario. Desde esta página se pueden examinar los certificados publicados para
la cuenta del usuario, agregar nuevos certificados, eliminar certificados y
exportar certificados a archivos.
La pestaña Objeto
La pestaña Objeto muestra la ruta de acceso completa al objeto usuario, las
fechas de su creación y ultima modificación y los números de secuencia de
actualización (USN, Update Sequence Number) de su creación y ultima
modificación.
La pestaña Seguridad
La pestaña Seguridad (visible solo cuando están activas las Características
avanzadas) permite asignar permisos que controlan el acceso al objeto usuario.
La pestaña es virtualmente idéntica a la misma pestaña de las ventanas
propiedades de otros tipos de objetos.
Creación de grupos
Los objetos grupo hacen posible la asignación de permisos y otros atributos
de objeto a múltiples usuarios en una única operación, además de la distribución
de correo electrónico a un gran número de direcciones (cuando esta instalado
Microsoft Exchange Server). Cuando se asignan permisos a un objeto de Active
Directory (o a un archivo o directorio de NTFS), se pueden añadir grupos a la
lista de control de acceso (ACL, Access Control List) del objeto, lo que provoca
que los permisos se propaguen a todos los miembros del grupo. Los objetos grupo
se crean en Usuarios y equipos de Active Directory como se haría con cualquier
otro tipo de objeto, y después se seleccionan los objetos que se desea que sean
miembros del grupo.
Puede haber objetos grupos en las unidades organizativas, en otros grupos
(cuando el dominio esta operando en modo nativo) o directamente bajo el dominio
raíz. Cuando se selecciona uno de estos objetos contenedor en Usuarios y equipos
de Active Directory, se escoge Nuevo en el menú Acción y se selecciona Grupo, se
muestra el cuadro de dialogo Nuevo objeto.
Como con otros objetos, primero hay que especificar un nombre (de hasta 64
caracteres) para el nuevo grupo y un nombre NetBIOS de nivel inferior
equivalente (de hasta 15 caracteres). después hay que seleccionar una de las
siguientes opciones de ámbito de grupo:
- Dominio local: Un grupo Local de dominio puede contener objetos
usuario, otros grupos Locales de dominio del mismo dominio, grupos Globales de
cualquier dominio del bosque y grupos Universales. Se pueden insertar grupos
Locales de dominio en la ACL de cualquier objeto de ese dominio, pero no en
objetos de otros dominios. Los grupos Locales de dominio no aparecen en el CG.
- Global: Un grupo Global puede contener objetos usuario y otros
grupos Globales del mismo dominio. A diferencia de los grupos Locales de
dominio, los grupos Globales se pueden insertar en la ACL de cualquier objeto
del bosque. Los grupos Globales se incluyen en el CG, pero sus miembros no; la
pertenencia a un grupo Global solo se replica dentro de su dominio.
- Universal: Un grupo Universal, el ámbito de grupo mas amplio, puede
contener otros grupos Universales, grupos Globales y usuarios de cualquier
dominio del bosque. Al igual que los grupos Globales, se pueden insertar
grupos Universales en la ACL de cualquier objeto del bosque. Los grupos
Universales aparecen en el CG junto con sus miembros; el use de grupos
Globales como miembros de un grupo Universal disminuye el trafico de
actualización al CG porque los cambios de pertenencia a grupos Globales (que
no se incluyen en el catalogo) son mucho mas frecuentes que los cambios de
pertenencia a grupos Universales.
El anidamiento de grupos (esto es, el almacenamiento de grupos dentro de
otros grupos) es una característica de Active Directory que sólo esta
disponible cuando el dominio se ejecuta en modo nativo. Para operar el modo
nativo, todos los controladores del dominio deben ejecutar Windows 2000
Server.
Después de seleccionar el ámbito del grupo hay que seleccionar uno de los
tipos de grupos de la página siguiente.
- Seguridad: Los grupos de seguridad están pensados para su inclusión
en las ACL de recursos de red como archivos a impresoras. también pueden
servir como listas de distribución para correo electrónico.
- Distribución: Los grupos de distribución están pensados únicamente
para. utilizarlos como listas de distribución de correo electrónico.
Cuando se pulsa Aceptar, el administrador crea el objeto grupo en el
contenedor seleccionado
Configuración de los objetos grupo
La ventana Propiedades de un objeto grupo contiene hasta seis pestañas
(dependiendo de si las Características avanzadas están activas).
La pestaña General
La pestaña General proporciona campos donde se puede insertar una descripción
del objeto grupo, especifica el tipo y ámbito del grupo a incluye un campo de
múltiples líneas para comentarios.
La pestaña Miembros
La pestaña Miembros es donde se especifican los objetos que van a ser los
miembros del grupo. Pulsar el botón Agregar produce un cuadro de dialogo en el
que se puede examinar Active Directory y seleccionar los objetos deseados.
La pestaña Miembro de
Cuando se opera en modo nativo, los objetos grupo de Active Directory pueden
ser miembros de otros objetos. En la pestaña Miembro de se pueden seleccionar
los grupos de los que el nuevo grupo va a ser miembro.
La pestaña Administrado por
La pestaña Administrado por permite especificar información sobre la persona
responsable de administrar el objeto grupo.
La pestaña Objeto
La pestaña Objeto (que sólo aparece cuando están activas las Características
avanzadas de Usuarios y equipos de Active Directory) muestra la ruta de acceso
completa del objeto grupo, las fechas de su creación y ultima modificación y sus
USN de su creación y ultima modificación.
La pestaña Seguridad
La pestaña Seguridad (que solo aparece cuando están activas las
Características avanzadas de Usuarios y equipos de Active Directory) permite
establecer los permisos que especifican a que objetos tendrá acceso el objeto
grupo y cuanto acceso tendrá.
Creación de los objetos equipo
Además de objetos contenedor, objetos
grupo y objetos usuario, Active Directory también tiene objetos que representan
equipos. Para iniciar sesión en un dominio, un equipo Windows 2000 debe tener un
objeto que lo represente en la jerarquía de Active Directory. Cuando se promueve
un sistema a controlador de dominio o se inicia sesión en un dominio por primera
vez, Windows 2000 crea automáticamente un objeto equipo. (En el caso de un
inicio de sesión por primera vez, el sistema solicita el nombre de usuario y la
contraseña de una cuenta con suficientes privilegios para crear nuevos objetos.
Sin embargo, también se pueden crear objetos equipo manualmente, de igual forma
que se crearía cualquier otro objeto).
Si se selecciona un contenedor, se escoge Nuevo en el menú Acción y se
selecciona Equipo, se muestra un cuadro de dialogo Nuevo objeto en el que se
puede suministrar el nombre del nuevo objeto equipo (que puede ser el nombre
NetBIOS o el DNS del equipo). también se puede especificar el usuario o grupo
particular que esta autorizado para unir el equipo al dominio.
El complemento Usuarios y equipos de Active Directory crea un objeto
cada vez, pero algunas veces los administradores tienen que crear muchísimos
objetos, por lo que esta herramienta deja de ser práctica.
Configuración de los objetos equipo
Una vez que Usuarios y equipos de Active Directory crea el objeto equipo, se
pueden configurar sus atributos utilizando las siguientes siete propiedades:
General, Sistema operativo, Miembro de, ubicación, Administrado por, Objeto y
Seguridad. Casi todas las pestañas tienen el mismo propósito que las de otros
objetos. Las dos que son únicas para el objeto Equipo son Sistema operativo y
ubicación.
La pestaña Sistema operativo identifica el sistema operativo que se esta
ejecutando en el equipo, la versión y el service pack instalado actualmente.
Estos campos no son modificables; están en blanco cuando se crea manualmente un
objeto equipo y se rellenan cuando el equipo se une a un dominio. La pestaña
ubicación permite especificar que ubicaciones sirve el sitio en la configuración
del directorio.
Administración remota de equipos
Usuarios y equipos de Active Directory proporciona acceso administrativo a
equipos remotos representados por objetos en Active Directory. Cuando se pulsa
un objeto equipo y se escoge Administrar en el menú Acción, el administrador
abre el complemento MMC Administración de equipos con el equipo come foco. Con
esta característica, se pueden leer los registros de sucesos del sistema remote,
manipular sus servicios y realizar cualquiera del resto de las tareas que
proporciona el complemento administración de equipos.
Publicación de carpetas compartidas
Los objetos carpeta compartida permiten publicar directorios de red
compartidos en Active Directory, lo que permite a los usuarios acceder a ellos
directamente explorando el Entorno de red del objeto. Esto elimina la necesidad
de que los usuarios conozcan la ubicación exacta de la carpeta compartida. La
creación de un objeto carpeta compartida no crea realmente el recurso
compartido; hay que hacer esto manualmente en la pestaña Compartir de la ventana
Propiedades de la unidad de disco o de la carpeta en la ventana del Explorador
de Windows o en la ventana Mi PC. también se pueden crear objetos carpeta
compartida para carpetas del Sistema de archivos distribuidos (DFS, Distributed
File Sytem).
Para crear un objeto carpeta compartida, hay que pulsar un objeto contenedor
en Usuarios y equipos de Active Directory, escoger Nuevo en el menú Acción y
seleccionar Carpeta compartida. En el cuadro de dialogo Nuevo objeto, hay que
especificar un nombre para el nuevo objeto a introducir la ruta de acceso UNC al
recurso compartido. después de que el administrador cree el objeto, es posible
configurarlo utilizando las pestañas de la ventana Propiedades del
objeto.
Los permisos que se establecen en la pestaña Seguridad de la ventana
Propiedades de la carpeta compartida no controlan el acceso a la propia
carpeta compartida, solo al objeto carpeta compartida. Para acceder a la
carpeta por medio de Active Directory, un usuario debe tener permiso para
acceder tanto al recurso compartido como al objeto. Lo mismo es cierto para un
objeto impresora.
Publicación de impresoras
La creación de objetos impresora
permite a los usuarios acceder a las impresoras a través de Active Directory
prácticamente de la misma forma en que acceden a las carpetas compartidas. Un
objeto impresora se crea como se haría con un objeto carpeta compartida,
seleccionando un contenedor y escogiendo Nuevo\Impresora en el menú Acción y
especificando la ruta de acceso UNC a la impresora compartida. El administrador
crea entonces el objeto, combinando el nombre del sistema anfitrión y el del
recurso compartido para formar el nombre del objeto.
Traslado, cambio de nombre y eliminación de objetos
Una vez que se han creado objetos en Active Directory, se puede utilizar
Usuarios y equipos de Active Directory para remodelar el árbol en cualquier
momento trasladando objetos a diferentes contenedores, cambiándoles el nombre y
eliminándolos. El menú Acción de casi cualquier objeto Active Directory contiene
un comando Mover, que abre un cuadro de dialogo en el que se puede buscar un
contenedor donde situar el objeto. También se pueden seleccionar varios objetos
manteniendo presionada la tecla CTRL mientras se pulsa en ellos con el ratón y
moviéndolos al mismo contenedor.
Cuando se traslada un objeto contenedor a una nueva ubicación, se trasladan
automáticamente todos los objetos incluidos en el contenedor al mismo tiempo y
también se modifican las referencias a esos objetos en el resto de objetos de
Active Directory. Si, por ejemplo, el Usuario X es un miembro del Grupo Y y se
traslada la unidad organizativa que contiene el objeto usuario de X a una nueva
ubicación, X sigue siendo miembro de Y, y la lista de miembros del Grupo Y se
actualiza automáticamente para mostrar a X en su nueva ubicación. De la misma
forma, cuando se cambia el nombre de un objeto utilizando el comando Cambiar
nombre del menú Acción o pulsando sobre el objeto una vez, todas las referencias
a ese objeto a lo largo de Active Directory Cambian para reflejar el nuevo
nombre. Cuando se elimina un objeto contenedor, todos los objetos incluidos en
el contenedor se eliminan también.