ITECH Blog

Este post trata de la preparación y montaje de un Servidor DNS y un Servidor de Dominio bajo platafora Microsoft, en un computador cualquiera preferibblemente de buen desempeño ya que el Servidor de Dominio lo mejor es que quede sólo, es decir, que dicho computador no sea Servidor de compartir archivos en red, o el tener una base de datos de una aplicación administrativa en red, lo mejor es que quede sólo, un equipo solo y exclusivamente para cumplir la tarea o papel de ser un Servidor de Dominio. Todo este ejemplo se realizará en un equipo con Windows Sever 2003.

Un servidor de dominio controla la permisologia de usuarios y equipos en una red, en donde se crean usuarios que tendran restricciones. Dichos usuarios en sus estaciones de trabajo, al ingresar a su sesion de windows la cual pertenece al dominio, dependiendo de las restricciones que se les hayan impuesto, no podran instalar programas, usar o no una impresora en red u otro dispositivo en red, se planifican tareas tales como el que el usuario deba cambiar su password cada sierto tiempo o de lo contrario su cuenta caducara para el caso de usuarios no administrativos.

Cuando el servidor de dominio falla, los usuarios ya no pueden entrar a sus sesiones de usuario del dominio, el vinculo o enlace a las impresoras falla. Luego de que un servidor de dominio colapsa, algunos usuarios de la red aun pueden ingresar a sus sesiones de dominio, y otras no, hasta que con el tiempo, ya no pueden. Esto es debido porque se conserva una especie de cache, lista o base de datos que se crea entre el servidor de dominio y las estaciones que pertenecen a este, lo cual mantiene el que las sesiones de usuario de dominio aun puedan ser accedidas. Esto existe por la razón de que si un servidor de dominio sufre algun percance tal como un cuelgue, problemas en el cableado electrico, apagon o reinicio del servidor, los usuarios aun puedan sin problemas acceder a sus sesiones sin darse cuenta de lo ocurrido. Si el problema no se resuelve pronto, el usuario solo puede acceder varias veces a su sesion hasta que esto decae y el usuario ya no puede ingresar más a su sesión de usuario de dominio. Realmente la falla se comporta en que el usuario puede a veces ingresar a su sesión y otras no, hasta un punto en que ya no pueda hacerlo.

Comenzaremos realizando la instalación de servidor DNS para luego realizar la de dominio
Esto lo realice en un Windows Server 2003 Enterprise.

Al entrar al WinServer2003 como administrador nos carga esta ventana:

La cual también la podemos llamar en la siguiente ruta:

De esa ventana “Administre su servidor” pulsamos en “Agregar o quitar función” lo cual nos pasara a la siguiente ventana:

Luego llegaremos a esta ventana, pero es mejor escribir por medio del Ejecutar de Windows DCPROMO lo cual nos cargara esta misma ventana sin la necesidad de pasar por las ventanas anteriores:

Ya a partir de este punto comienza el rol de servidor de dominio que tendra nuestro servidor, comenzando su instalación con lo cual pasamos a la siguiente ventana:

La ventana anterior nos da una información muy importante en donde nos dice que los Windows 95 y NT 4.0 pueden presentar problemas. Si en la red existen PCs con versiones viejas de Windows, 95, 98, NT, estos equipos daran problemas en la red con respecto al servidor de dominio, los usuarios de esas estaciones tendran problemas de loggearse correctamente por lo que lo mejor es sacar de la red equipos con versiones viejas de Windows, es lo mejor y lo más factible. En todo caso, si esos PCs con versiones muy viejas de Windows cumplen tareas que no involucran a la red, por ejemplo, un programa adminisrativo que por una conexión ODBC se conecta a otro servidor el cual aloja una base de datos Microsof SQL Server, entonces no hay problema, de hacer uso de impresoras, lo preferible para equipos viejos es que estén conectadas directamente a ese equipo, ya que el uso de impresoras en red para estos equipos puede presentar problemas.

Seguimos indicando las configuraciones en el asistente el cual luego nos pasa a esta ventana:

Como en este caso nuestro Servidor será nuestro principal servidor de dominio, es decir, no hay otros, obviamente indicamos la primera opción y procedemos a pasar a la siguiente configuración en donde también escogemos la primera opción.

Luego se nos pide el nombre DNS el cual bajo el cual se asentara nuestras directivas de grupo que será lo que instalaremos luego. En caso de no haber una organización .com u otra nomenclatura, por ejemplo, terminer el nombre de nuestro DNS en .dom (de dominio) es factible. Para evitar problemas con esto del .com, .org etc, nos olvidamos de esto y para que Windows Server nos deja indicar un nombre de DNS, le indicamos el nombre que mejor consideremos y lo terminamos con un .dom al final.

En la siguiente ventana, se nos pide el nombre de dominio del servidor que se verá en la red, este será el nombre bajo el cual todos los demás usuarios verán al servidor.

En las dos siguientes imagenes se deja todo como esta:

La ventana que se muestra a continuación es un punto en el que Windows Server no detecto un servidor de dominio, lo cual es perfectamente normal, ya que no lo hay, debido a que precisamente el servidor de dominio es lo que se está instalando y configurando, el asistente nos deja en la segunda opción ya que al no detectar un servidor de dominio presente, Windows Server considera que dicho servidor es el que se está montando, de ahí a que caiga o nos seleccione la segunda opción, por lo que simplemente pasamos a la siguiente venana.

Información de la ventana:

Resultados de diagnóstico

El diagnóstico de registro se ejecutó 1 vez.

Ninguno de los servidores DNS utilizados por este equipo respondió en el intervalo de tiempo de espera.

Para obtener más información, incluidos los pasos necesarios para corregir el problema, consulte Ayuda.

Detalles

La consulta SOA de _ldap._tcp.dc_msdcs.midominio.dom para buscar el servidor DNS principal devolvió:
Esta operación ha regresado debido a que el tiempo de espera ha caducado.
(código de error 0×000005B4 “ERROR_TIMEOUT”)

Ahora pasamos a esta ventana en donde no nos interesa que usuarios anonimos al dominio puedan acceder a él, por lo que obviamente escogemos la segunda opción solo para acceso a usuarios autenticados dentro del dominio.

La siguiente ventana se explica por sí sola:

Caemos al resumen:

Y finalmente a la ventana que da por finalizado este proceso.

Culminado esto, el Wndows Server nos pedira reiniciar, en donde al hacerlo, veremos que la ventana de login de usuaro ahora muestra el perfil de red de “Conectarse a:” en donde la única opción presente en la lista (en este caso) es únicamente el Dominio que acabamos de crear y al cual nos logeamos para entrar.

Windows siempre tarda un poco más de lo acostumbrado cuando ingresamos por primera vez a una sesión de dominio, ya luego dicha demora será menor. Al ingresar por primera vez a la sesión de usuario administrativo por el dominio, Windows nos recibe con la siguiente ventana la cual confirma todo lo hecho anteriormente.

Ahora pasamos a crear la jerarquia de Unidades Organizativas, Grupos y usuarios para dar por terminado y listo nuestro Servidor de Dominio el cual será el que administrará a los usuarios y recursos de la red.

El Active Directory

Luego de ya instalado el Servidor DNS (la 1era fase de 2) ahora instalaremos el servidor de dominio, debemos crear las Unidades Organizativas, la estructura que compondra el control de los equipos, impresoras, carpetas y usuarios que administrara nuestro nuevo servidor de dominio de la red. Momentos antes de comenzar con esta segunda fase de instalación y configuración, debemos pensar cómo está constituida la red, de ser necesario, pasar por los distintos departamentos de la empresa para saber cuantas computadoras los constituyen, cuántas impresoras hay en dichos departamentos porque en base a esa información, estará organizada la estructura de nuestras carpetas en el servidor de dominio.

Tomemos el ejemplo de una empresa la cual contenga (por ejemplo) los siguientes departamentos:

Departamentos con nombres algo largos tales como “Atención al Cliente” o “Analisis de Crédito” es preferible resumirlos y tener una estructura que esté bajo un mismo perfil.

Iniciamos el Active Directory de Usuarios y Equipos el cual se encuentra en la siguiente ruta:

Al abrirlo vemos el nodo raíz del dominio que hemos creado hace unos momentos.

Desplegamos el árbol de contenido de nuestro dominio y aqui agregaremos unas cuentas cosas para formar nuestros grupos de usuarios y equipos.

En la imagen anterior vemos una estructura propia del Active Directory, nosotros creareos la nuestra, los computadores, usuarios y demás recursos de la red no estarán en las Unidades Organizativas default del Active Directory, sino en la nuestra. Cuando ya tengamos creado usuarios bajo el dominio de red que hemos creado y en sus estaciones de trabajo nos logeemos como esos usuarios, en la carpeta Computers aparecera un icono de PC de cada usuario que ha iniciado sesión a nuestro dominio. Esos PCs los vamos a “arrastrar” a nuestra propia carpeta de computadoras, lo cual se explicará mejor conforme lleguemos a ese punto.

Pulsando (en mi caso) midominio.dom boton derecho crearemos una Unidad Organizativa la cual llamaremos COMPUTADORAS.

Pero no solo será esa, de igual forma crearemos otras más las cuales serán GRUPOS Y USUARIOS

Ahora dentro de cada uno (COMPUTADORAS, GRUPOS, USUARIOS) les crearemos a cada uno, dos Unidades Organizativas las cuales serán NIVEL1 y NIVEL2.

La estructura debe quedar parecida a esta:

Hagamos nuevamente un repaso de la estructura que queremos hacer, las Unidades Organizativas COMPUTADORAS, GRUPOS, USUARIOS albergaran como su nombre asi lo indica, a todos los equipos en uno, a todos los usuarios en otro, y a todos los Dptos de la empresa en GRUPOS, para este ejemplo se agregaran en GRUPOS los siguientes dptos:

Los NIVEL1 y NIVEL2 son para separar a los usuarios, equipos y grupos tanto administrativos como no administrativos. En el NVEL1 de GRUPOS estara el o los grupos administradores de la red y en el NIVEL2 estará los demás grupos los cuales son los Dptos de la organización u empresa. En el NIVEL1 de USUARIOS estarán solamente los Administradores del sistema (de la red) y los Servidores de la Empresa, mientras que en el NIVEL2 estarán todos los demás usuarios.

Vamos a crear a los Grupos de cada dpto de la siguiente forma:

Esto nos ayudara a de una forma más organizada y esquematica el administrar las Politicas de Grupo y los Permisos sobre los recursos.

Comenzamos entonces a crear los distintos Dptos de la empresa, esto lo hacemos en la Unidad Organizativa GRUPOS. Primero crearemos el grupo INFORMATICA del cual perteneceran los o el usuario administrador de la red y luego crearemos los otro grupos a los cuales perteneceran los otros usuarios que crearemos luego.

INFORMATICA lo crearemos en el NIVEL1 el cual no tendrá restricciones en el dominio, los otros grupos estarán en el NIVEL2 que si tendran restricciones en el dominio.

El grupo que crearemos se llamara GG_INFORMATICA (GG por Global Group), dicho grupo como se observa en la ventana, será en Ambito de Grupo, Global y en Tipo de grupo será Seguridad. Si no mal recuerdo, de existir otros servidores de Dominio, Windows Server nos habria activado la opción Universal y la opción de Distribución también es referente al caso de existir otros dominios.

Ahora crearemos los grupos DL_INFORMATICA_CARPETAS y el grupo DL_INFORMATICA_IMPRESORAS (DL por lo de Domain Local). A diferencia del anteriror el cual era un grupo Global, los dos siguientes grupos serán de Dominio Local.

Luego de haber creado a estos grupos, tenemos la siguiente ventana:

Luego de haber creado el grupo Global y los de dominio local, debemos relacionarlos, clickeamos a GG_INFORMATICA, y pulsamos Agregar

Agregamos a DL_INFORMATICA_CARPETAS y a DL_INFORMATICA_IMPRESORAS, podemos escribir sus nombres completos o solo lo escribimos en parte y pulsamos Aceptar.

Sea en mayuscula o minuscula, escribimos dl_inf y al pulsar Aceptar se nos abrirá otra ventana que nos mostrará los grupos que coincidan con lo escrito.

Seleccionamos ambos de INFORMATICA y Aceptar

Estos grupos fueron creados en NIVEL1 de GRUPOS, por ser el grupo que estará vinculado a los usuarios administradores de red, los demas grupos estarán en el NIVEL2 y se crean de la misma forma que los anteriores, clickeamos en el NIVEL2 y crearemos los siguientes grupos, al terminar de agregarlos deberia quedar asi:

Ingresamos a cada grupo GG_DEPARTAMENTO y le indicamos en la pestaña “Miembro de” que es miembro de DL_DEPARTAMENTO_CARPETAS y DL_DEPARTAMENTO_IMPRESORAS. Por ejemplo igual como se hizo con GG_INFORMATICA, tomamos otro grupo, GG_COBRANZA e indicamos que es miembro de DL_COBRANZA_CARETAS y de DL_COBRANZA_IMPRESORAS y asi sucesivamente con los demas grupos.

No agregare a todos los dptos ya sitados, ya que se trata de entender como preparar un servidor de dominio y no es necesario completar todos los dptos, con las ventanas anteriores se expresa o capta la idea de crear los grupos. Lo que si hay que estar pendiente es en indicar Global a los grupos GG e indicar Dominio Local a los DL ya que de equivocarnos, se tendra que borrar y volver a crear porque no hay forma de editarlo luego de ya haberlo creado. Ahora pasaremos a crear a los usuarios que estarán relacionados a estos grupos.

Si intentamos agregar a un usuario sea un Administrdor en NIVEL1 de USUARIOS o en el NIVEL2 (usuaro común) se nos presentara un problema.

En las ventanas anteriores se trató de ingresar a un usuario pero las directivas de seguridad de contraseñas no permiten el ingreso de cuentas de usuario que no cumplan con las normas las cuales son el que la contraseña debe tener al menos una letra mayuscula, tanto letras como numeros y de ser posible también simbolos, es decir, una contraseña compleja. Aunque seguir bajo este perfil de seguridad es correcto, es algo engorroso para los usuarios puesto que ningún usuario pretendera recordar contraseñas tan complejas, por lo que en estos casos, lo que debe hacerse es modificar los requisitos de la directiva de contraseñas para que los usuarios puedan tener contraseñas no tan complejas pero a la vez no tan predecibles.

Esto se hace por medio de la “Directiva de Seguridad de Dominio” lo cual se encuentra en la siguiente ruta:

En la sección de la derecha de la ventana anterior vamos a cambiar una serie de cosas que son la causa por la cual Windows Server 2003 no nos permite crear usuarios con contraseñas de poca complejidad.

Pasamos de Habitada a Deshabilitada los requerimientos de complejidad para poder crear usuarios con password no tan complejos.

La parte de Forzar el Historial de Contraseñas tiene por defecto el recordar las ultimas 24 contraseñas, lo cual es demasiado exagerado por lo que lo colocaremos con solo recordar las 2 ultimas contraseñas.

La longitud minima de la contraseña es de 7, podemos dejarlo asi, podemos subirlo o bajarlo, yo escogo 6 para que los usuarios creen contraseñas no menor a 6 caracteres.

La vigencia minima de la contraseña se puede dejar de 1 día tal cual como lo tiene configurado por default Windows Server, si en ese plazo el usuario no ha entrado al dominio con su cuenta de usuario, expirará su clave y debera pedirle al administrador de la red que se la active nuevamente.

La vigencia de expiración de la contraseña Windows Server la tiene a 42 días, yo escogo indicarla a 60 días, puede ajustarse a gusto del administrador de la red. Esto es el tiempo en que durará la contraseña, a los 60 días el usuario deberá de cambiarla ya que por seguridad no es bueno tener la misma clave indefinidamente, sino el que cada cierto tiempo (3 semanas 1 mes o 2, etc) el usuario cambie su clave para garantizar seguridad de su cuenta.

Luego de hacer estos ajustes, ya podremos ingresar usuarios los cuales tendrán contraseñas mayor a 6 caracteres y no será necesario el que sea tan compleja.

Volviendo al punto de crear a nuestros primeros usuarios del Dominio que hemos instalado, y sabiendo que ya no tendremos problemas con las exigencias de la contraseña. Crearemos primero a los usuarios que administrarán la red. Creare uno solo, el cual sería el ejemplo del administrador de la red, este usuario estará en USUARIOS en NIVEL1 ya que ese nivel es el nivel de los usuarios que no tienen restricciones en el dominio.

En la siguiente ventana debe hacerse una observación importante, notese que luego de indicar el nombre y apellido del usuario, en su nombre de inicio de sesión hemos colocado jdiaz lo más correcto con respecto al login de los usuarios es mantener una estructura o esquema de logins iguales, por ejemplo, el perfil por el que me apego consiste en tomar la inicial de su primer nombre y seguido su apellido, todo en minuscula, en caso de haber usuarios que poseen casualmente el mismo primer nombre y primer apellido, se le agregaria la inicial del segundo nombre, lo necesario para diferenciarlos. De igual forma para todos los demás usuarios, esto es porque si comenzamos a meter login’s de diversas formas, nos complicara las cosas al momento de que necesitemos hacer algo con la cuenta de ese usuario desde su estación de trabajo. Además, los usuarios nunca recuerdan su nombre de sesion ya que este normalmente no se ingresa, los usuarios solo ingresan el password por lo que normalmente no recuerdan el login, sino solo el password, asi que con solo preguntarle al usuario su primer nombre y su primer apellido, sabremos su login y el password se le pedira al usuario que la ingrese, esto en el caso de presentarse la necesidad de realizar alguna tarea de mantenimiento o chequeo en su sesión de usuario en su estación de trabajo.

En la ventana siguiente tenemos la opción de que el usuario pueda cambiar la contraseña que le hemos puesto y que la cambie por la suya al momento de logearse por primera vez.

En la ventana anterior debe indicarse una observación, si es la primera vez que existe un dominio, una red bajo un dominio, entonces no hay problema para dejar tildado la opción de que el usuario cambie la clave por la suya, no podemos crear cuentas de usuario sin clave, ya que Windows Server no lo permite. En caso de que anteriormente ya existia un Dominio y éste se daño, entonces lo mejor es crear todos los usuarios sin activar el que pueda cambiar la clave en su primera sesión de usuario el porque de esto, lo explicare al momento.

Los usuarios que creemos debemos meterlos en sus respectivos grupos, los que ya hemos creado, por ejemplo, este usuario es administrador de la red, por lo que estará asignado al grupo INFORMATICA el cual pertenece a la Unidad Organizativa NIVEL1, el cual pertenece a la unidad organizativa GRUPOS.

Al usuario que hemos creado solo le falta indicarle que es miembro del grupo GG_INFORMATICA, entonces en la unidad organizativa USUARIOS, en NIVEL1 donde está ese usuario, lo seleccionamos para abrir su ventana y en la pestaña “Miembro de” debemos indicar a qué grupo pertenece.

Pulsamos Agregar y nuevamente nos aparecera la ventana como el caso de relacionar los grupos con otros, pero en este caso, estamos relacionando al usuario con el grupo al cual será miembro. Este usuario será miembro de GG_INFORMATICA por lo que esribimos gg_inf y pulsamos Aceptar, se agregara GG_INFORMATICA y de esa forma el usuario ahora es miembro de uno de los grupos ya creados.

Los usuarios que serán administradores del dominio, deben ser agregados al grupo Admins. del dominio ya que de lo contrario, no tendra todos los privilegios administrativos. Hay grupos como el comentado que no hemos creado, sino que son grupos propios por default del Active Directory.

Los otros usuarios perteneceran a otros grupos, por ejemplo, en caso de tener a Ana Gonzales (usuario: agonzales) quien pertenece al dpto de Ventas, este usuario ubicado en el NIVEL2 de USUARIOS, será miembro de GG_VENTAS y asi sucesivamente. Obviamente Ana sólo será miembro del grupo GG_VENTAS y no de “Admins. del dominio” porque Ana es un usuario con privilegios reducidos o pocos privilegios, no como Jose el cual si poseerá todos los privilegios por ser administrador del dominio.

Habiamos quedado en aclarar el que si los usuarios ya trabajan o lo hacian en un dominio que ya no se usara o que ya no funciona, eso significa que en todas las estaciones de trabajo, los usuarios ya tienen carpetas y archivos los cuales pertenecen a los perfiles de Windows del antiguo dominio.

Por ejemplo, si anteriormente existia un servidor de dominio llamado DominioA y el cual colapsó, y ahora hemos creado a DominioB, debemos ir a cada estación de trabajo (sea una red de 30, 60 o más equipos) y debemos pasar toda la información del viejo dominio al nuevo. Es un trabajo muy engorroso pero es la única forma de hacerlo.

Repasando lo que se ha hecho, creamos 3 unidades organizativas, las cuales son COMPUTADORAS, GRUPOS y USUARIOS, cada una con dos sub unidades organizativas, las cuales son NIVEL1 y NIVEL2. En GRUPOS creamos los grupos que conforman a cada departamento de la empresa y en USUARIOS creamos a los usuarios, en COMPUTADORAS no creamos nada, porque cuando el servidor detecte la petición de logeo de sesion de las estaciones de trabajo, las colocara en Computers, y de ahí las tomamos y las movemos a nuestra unidad organizativa COMPUTADORAS. En todo esto, dependiendo de los privilegios de cada usuario, estarán ya sea en NIVEL1 (todos los privilegios) o en el NIVEL2 (usuarios no administrativos de pocos privilegios).

Pasando las Carpetas y Archivos de los usuarios de un dominio al otro

En cada estación de trabajo, debemos ingresar como usuario administrador local, por medio del panel de control en “Conexiones de red” debemos hacer unos cambios con las configuraciones de IP del equipo, en esto ultimo no me voy a detallar tanto ya que es la tipica carpinteria de windows. La idea aqui es que las IP de DNS a las cuales apunta el computador, deben apuntar ahora al nuevo servidor donde la IP preferida es la IP del servidor (recordemos que todos los equipos tienen IP fija o estatica, desde los servidores hasta las estaciones de trabajo) solo esos ajustes en las configuraciones de IP de cada equipo.

Luego en las propiedades de “Mi PC” en la pestaña “nombre del equipo” debemos pasarlo al nuevo dominio. Es preferible que las estaciones se llamen por ejemplo, VENTAS1, VENTAS2, otro ejemplo MERCADEO1, MERCADEO2, MERCADEO3, etc, y en la Desripición el nombre del usuario que usa dicho equipo.

No es bueno colocar como nombre del PC el nombre del usuario porque los computadores en ocasiones son cambiados, es decir, un usuario podria usar el PC de otro usuario o el usuario podria no trabajar más en la empresa. Si un usuario ya no usara más dicha estación, simplemente se cambia la descripción que es donde está el nombre del usuario, pero el computador seguiría llamandose MERCADEO2 ya que es un computador perteneciente a dicho departamento, en caso de que el equipo sea mudado a otro dpto, en ese caso, si seria correcto el cambiarle el nombre al computador. Todo esto es porque con dicho nombre y con dicha descripción es que se identificará o se veran cada equipo en la red, de tal forma que si el administrador de la red debe ingresar desde la red a otro equipo, sabra a cual gracias a la forma como está identificado el computador en la red.

Una vez hecho los ajustes en la estación de trabajo como administrador local, reiniciamos el PC, lo cual el mismo windows nos lo pide, al llegar a la ventana de sesion de Windows, vemos que abajo aparece “Conectarse a:” en donde aparece el dominio que hemos creado, en caso de haber más dominios también estarían en la lista, igual que la opción de logearse localmente.

Nosotros hemos creado al usuario “jose díaz” el cual su login es jdiaz, el password seria el que le indicamos al momento de crear su cuenta, por ejemplo, 123456. Nos logeamos con este usuario para que se cree su perfil. Windows creara en C:\Document and Settings un nuevo perfil de usuario, que será jdiaz el cual contendra todo el perfil de sesion de sistema de este usuario. Luego de que el sistema ha creado su perfil, salimos de la sesion y entramos como administrador del dominio.

Entramos como administrador del dominio porque si el usuario no posee privilegios administrativos no podremos acceder a ciertas carpetas a las cuales accederemos, y también porque necesitabamos que el perfil del nuevo usuario del nuevo dominio estuviese creado, existiese en C:\Documment and Settings\jdiaz porque copiaremos todo su viejo o anterior perfil del antiguo dominio, al nuevo.

Por ejemplo, supongamos que jdiaz tiene del viejo dominio, un perfil de windows llamado josediaz, entonces debemos copiar todas las carpetas y archivos de ese perfil y copiarlos al nuevo, que seria jdiaz. Despues de unas dos semanas, borramos el viejo perfil, pero antes no por si nos haya faltado alguna información que haya quedado en el viejo perfil, si el usuario no da la alerta de que le faltan archivos o carpetas, entonces procedemos luego de ese periodo de tiempo ya transcurrido, a borrar su vieja cuenta del computador.

Esta “mudanza” es muy engorrosa, sobre todo si son muchos los equipos de la red, además, si el usuario usa algun programa de correo, como por ejemplo, el Outlook Expess, y si su correo era POP3 y no IMAP, eso significa que todos sus correos no están en un servidor, sino que han sido bajados a su computador, lo cual implica más trabajo ya que entonces debemos volver a crear su cuenta de correo en su computador en su nueva sesión de usuario del nuevo dominio e importar tanto su libreta de direcciones como sus correos.

Para cuando al siguiente día todos los usuarios lleguen a sus puestos de trabajo, antes de eso, ya debemos de haber indicado en las cuentas de correo del servidor de dominio el que el usuario debe cambiar la contraseña al iniciar la cuenta de usuario, para que cada usuario de cada estación ingrese su propia contraseña.

El que la red esté controlada o administrada por un servidor de dominio, garantiza la seguridad y control de recusos de la red. Por ejemplo, si el Dpto de Ventas posee 8 usuarios, y el dpto de Administración posee otros 3 o 4 usuarios, y ambos departamentos comparten una carpeta en red, pero un usuario de Administración solo tiene derecho de lectura en dicha carpeta, y dos usuarios de Ventas no tienen acceso pero los demás sí, entonces desde cualquier terminal (estación de trabajo) de la red, como administrador, solo debemos seleccionar dicha carpeta compartida, botón derecho, propiedades.

En la parte de Seguridad de la carpeta que se haya seleccionado vamos a darle permisos a un usuario que no está en la lista, tomando el ejemplo, del usuario que ya hemos creado, el cual es el usuario jdiaz por lo que procedemos a darle más permisos.

A un usuario podemos darle más permisos que a otro, a otros denegarle el acceso, modidificación etc de alguna carpeta u archivo.

Hay algo importante que debe de saberse, si borramos a un usuario y lo volvemos a crear exactemente igual, todo igual, de todas formas esto hará que el servidor de dominio cree otro perfil de usuario. Por ejemplo si el usuario José Diaz es borrado y su cuenta de usuario se crea nuevamente exactamente igual, de todas formas, cuando ese usuario entre a su sesion de usuario, esa sesión de usuaro no será la misma de antes. Si un usuario perdio su password, o desea tener la libertad de cambiarlo, debe hacerle la petición del cambio al administrador de la red. No es posible que desde el Active Directory se reescriba otro password, lo que se hace es activar la opción de que el usuario “nuevamente en caso de ya haberse hecho esto antes con este usuaro” es el indicar en su cuenta el que pueda cambiar su clave cuando vuelva a iniciar su sesión.

Luego de ya estar montado el servidor de dominio, debemos ir a cada PC de la red y debemos cambiar sus IP de DNS para que apunten al servidor.

En las direcciones de DNS debemos colocar como preferido, la IP de nuestro servidor de dominio, como alternativo la otra IP DNS o la de otro servidor DNS que pueda haber ya en la red. Aunque las IPs del equipo son internas, es decir, de la intranet, de todas formas oculto las direcciones por seguridad.

Luego de ya tener el equipo apuntando al servidor de dominio, finalmente podemos verificar o de ser necesario, cambiar el nombre del PC. Recordemos que en la Descripción iría el nombre del usuario, pero en el nombre del PC debe ir por ejemplo, VENTA2, ADMINISTRACION1, RECEPCION1, es decir, el perfil del Dpto al cual pertenece el equipo, ya que el usuario puede ser otro en el futuro, en caso de que el computador pertenezca en el futuro a otro dpto, entonces se cambia su nombre, pero mantener esta regla ayuda, ya que ese perfil es bajo el cual se identificará y se vera el computador en la red.

Y asi sucesivamente se identificaria cada equipo en la red, y es importante actualizar esto luego de que el PC pasa a manos de otro usuario u otro departamento.

En la siguiente ventana se indica el nombre del PC en la red y lo más importante, en la opción de Dominio o Grupo de Trabajo más abajo en la ventana, debe indicarse Dominio y coloca el nombre de nuestro servidor de dominio, que en nuestro caso seria midominio o midominio.dom es igual, recordemos que asi cree yo el nombre de dominio de mi servidor, en resumen, se coloca el nombre que se haya indicado en el servidor. Dicha sección se ve bloqueada pero es porque tomo la ventana desde el propio servidor, pero en las estaciones de Windows XP, todas las secciones de la ventana están activas para ser modificadas, obviamente esto solo desde una cuenta administrativa local en el computador, porque como administrador de dominio aun no es posible puesto que el equipo aun no pertenece al dominio, lo estamos agregando desde la cuenta de administrador local del equipo.

El equipo mostrará un aviso de bienvenida al nuevo dominio y pedira reiniciar el computador para que los cambios tengan efecto. Si sale algun aviso de error, de que el dominio indicado no existe, debe verificarse la IP del computador, ver si las IPs de DNS son las correctas, que esten apuntando al servidor correcto, verificar que la IP de Gateway (puerta de enlace) sea la correcta, que en muchos casos hablamos de un router, si el cable de red está bien conectado o no, algun programa firewall, algun antivirus instalado completo con su propio firewall que esté trancando la data en la red, etc. Ya anteriormente se habia indicado que el inicio de sesión del usuario dentro del dominio tardara un poco mientras el sistema operativo crea el perfil del usuario. Luego tendremos que mover toda la información del viejo dominio del usuario al nuevo, algo de lo cual ya se ha explicado.

Compartir Carpetas:

Se crea la carpeta compartida en el servidor y en la pestana de Seguridad de sus propiedades, se indica a cuales usuarios o grupos se les dara acceso o se les negara el acceso al contenido, se puede indicar permisos de solo lectura, permisos de modificar el contenido de la carpeta, acceso total, negación total, como el caso lo amerite para ese o esos usuarios. Tambien en la pestana Compartir, se debe indicar en el boton Permisos, al usuario o usuarios que tendran acceso no solo de Leer sino también de Cambiar el contenido de la carpeta, para dar por completado el planificado acceso a la carpeta al usuario.

Permisos de Impresora:

No recuerdo muy bien en estos momentos en el caso de PrintServer y no dispongo de uno en estos momentos para hacer las pruebas, pero en el caso de una impresora en Red conectada a un PC, en dicho equipo, en Impresoras y Faxes, seleccionamos la impresora, y en sus propiedades, en la pestana de Seguridad, agregamos al grupo y usuario al cual deseamos (para este ejemplo) No darle permiso de uso de la impresora de red.  Una impresora en red, todos tienen acceso, supongamos que tenemos un Dpto al cual se ha indicado no darle uso de una impresora, o un usuario de ese dpto (algun pasante para evitar que imprima su tesis y gaste hojas y tint o toner con impresiones que no son del trabajo), un dpto que ahoga mucho una impresora que no posea buen buffer de cola de impresión y estanque la cola de peticiones de impresión por red de otros dptos, en fin, cual sea el caso, en las propiedades de la impresora, Pestana de Seguridad, buscamos al usuario e indicamos Denegar en la opción o item de Impresora.  Cuando el usuario inicie sesión, e intente imprimir, no podra, tendra un aviso de advertencia de Windows indicandole que no se pudo imprimir el documento culminando la frase del aviso con Acceso denegado.

Finalmente luego de la instalacion del Servidor de Dominio, si lo deseas, puedes realizar algo como esto colocar wallpaper a todos los equipos por medio del Active Directory una de las tantas ventajas de tener todo controlado por dominio.