Administración en Windows Server y Active Directory

  1. ¿Con qué herramienta crearemos usuarios en un equipo Windows Server que no ha sido promovido a controlador de dominio?

    Dentro de Herramientas administrativas, se utiliza la herramienta Administración de equipos.

  2. ¿En qué equipo de la red podrán iniciar sesión estos usuarios?

    En aquel equipo en el que se hayan creado localmente.

  3. Cuando tenemos un equipo Windows Server promovido a controlador de dominio, ¿podemos crear usuarios locales para iniciar sesión en el equipo?

    No, en un controlador de dominio no se pueden crear usuarios locales. Solo se gestionan usuarios del dominio (globales), los cuales sí pueden iniciar sesión en el controlador de dominio si tienen los permisos adecuados.

  4. ¿Desde dónde podemos crear grupos en el Directorio Activo?

    Desde la herramienta Usuarios y equipos de Active Directory, generalmente dentro de las Unidades Organizativas (UO) definidas.

  5. ¿Es necesario crear los grupos en la Unidad Organizativa (UO) donde vienen creados los grupos integrados del sistema?

    No, se pueden crear en cualquier UO según la estructura organizativa deseada.

  6. ¿Cuántos grupos podemos crear en un equipo con Directorio Activo?

    Prácticamente no hay límite en la cantidad de grupos que se pueden crear en Active Directory.

  7. Si eliminamos un grupo de usuarios, ¿eliminamos los usuarios que pertenecen al mismo?

    No, los usuarios que pertenecían a ese grupo no se eliminan; simplemente dejan de ser miembros del grupo eliminado.

  8. ¿Podemos añadir grupos a otros grupos de usuarios?

    Sí, esto se conoce como anidamiento de grupos.

  9. ¿Podemos tener creados dos grupos con el mismo nombre en dos Unidades Organizativas diferentes?

    No, el nombre del grupo (sAMAccountName) debe ser único dentro del dominio, independientemente de la UO.

  10. ¿Es obligatorio asignar contraseñas cuando se crea un usuario de Directorio Activo?

    Sí, es obligatorio y una práctica de seguridad fundamental establecer una contraseña para cada usuario.

  11. ¿Para qué sirve el nombre NetBIOS (nombre de inicio de sesión pre-Windows 2000) de un usuario de Directorio Activo?

    Sirve para la compatibilidad con sistemas y aplicaciones más antiguos que no utilizan el formato UPN ([email protected]) para la autenticación.

  12. ¿Qué ocurre si modificamos el login (nombre de inicio de sesión) de un usuario del Directorio Activo?

    Se cambiará el atributo que identifica al usuario para iniciar sesión (ya sea el UPN o el nombre NetBIOS).

  13. ¿Se pueden crear dos usuarios con el mismo nombre pero con distinto login?

    El nombre para mostrar (Display Name) puede ser el mismo, pero el nombre de inicio de sesión (UPN y sAMAccountName) debe ser único en el dominio.

  14. Si una cuenta de usuario está deshabilitada, ¿este podrá iniciar sesión en el sistema?

    No, una cuenta deshabilitada no puede iniciar sesión.

  15. ¿Cuántas plantillas de usuario se pueden crear en Active Directory?

    Active Directory no tiene un objeto específico llamado “plantilla”, pero se puede crear cualquier número de cuentas de usuario configuradas como modelos (plantillas) para copiar y crear nuevos usuarios.

  16. Si eliminamos la plantilla de usuario (cuenta modelo) con la que hemos creado otros usuarios, ¿estos últimos se eliminarán?

    No, eliminar la cuenta usada como plantilla no afecta a los usuarios que se crearon copiándola.

  17. ¿Se puede utilizar el nombre `paco\user` como nombre de usuario en Active Directory?

    El carácter `\` no es válido en el nombre de inicio de sesión (UPN o sAMAccountName). El formato NetBIOS es `DOMINIO\usuario`.

  18. ¿Es obligatorio configurar el servicio DNS para que los usuarios puedan validar en el dominio?

    Sí, el servicio DNS es absolutamente esencial en Active Directory. Los clientes y servidores lo usan para localizar los controladores de dominio y otros servicios necesarios para la autenticación y el funcionamiento del dominio.

  19. ¿Es necesario configurar el servicio DNS para establecer conectividad entre dominios (por ejemplo, para relaciones de confianza)?

    Sí, es fundamental configurar la resolución de nombres DNS entre los dominios (mediante reenviadores condicionales, zonas secundarias, etc.) para que puedan localizarse mutuamente y establecer relaciones de confianza.

  20. ¿Quiénes pueden establecer relaciones de confianza entre dominios?

    Generalmente, los miembros del grupo Administradores de dominio o Administradores de empresa de los dominios implicados.

  21. Si montamos una relación de confianza bidireccional del dominio 1 con el dominio 2 y del dominio 2 con el dominio 3, ¿qué implicaciones tendrá este proceso?

    Esto no crea automáticamente una relación de confianza entre el dominio 1 y el dominio 3. Las relaciones de confianza entre dominios diferentes no son transitivas por defecto, a menos que sean dominios dentro del mismo bosque o se creen confianzas explícitas (como confianzas de acceso directo).

  22. ¿Quiénes pueden establecer delegaciones de uso y administración de dominios?

    Los administradores con los permisos adecuados (como Administradores de dominio) pueden delegar tareas administrativas sobre objetos específicos o Unidades Organizativas a otros usuarios o grupos mediante el Asistente para la delegación de control.

  23. Una vez realizada la delegación de control, ¿se podrá administrar un dominio desde un cliente?

    Sí, instalando las Herramientas de administración remota del servidor (RSAT) en un equipo cliente, un usuario con permisos delegados puede administrar los objetos y tareas para los que se le ha concedido control.

Integración de Clientes y Gestión de Recursos Compartidos

  1. ¿De qué formas se pueden unir clientes Windows a un dominio con Windows Server?

    Se puede hacer a través de:

    • Las propiedades del sistema (clic derecho en ‘Este equipo’ > Propiedades > Cambiar configuración > Cambiar…).
    • El asistente ‘Id. de red’ en la misma ventana de propiedades del sistema.
    • Mediante herramientas de aprovisionamiento o automatización (ej. PowerShell, MDT, Autopilot).

    Se requiere introducir el nombre del dominio y credenciales con permiso para unir equipos.

  2. ¿Es necesario que el cliente a integrar en el dominio cuente con una dirección IP válida y configuración DNS correcta?

    Sí, es fundamental. El cliente debe tener una configuración IP válida y, crucialmente, debe poder resolver los registros SRV del dominio en DNS para encontrar un controlador de dominio. Normalmente, esto implica configurar el servidor DNS del controlador de dominio en la configuración de red del cliente.

  3. ¿Podemos integrar un equipo en dos dominios diferentes simultáneamente?

    No, un equipo cliente Windows solo puede ser miembro de un dominio a la vez.

  4. Una vez que tenemos integrado un equipo en un dominio, ¿podemos configurarlo para que forme solamente parte de un grupo de trabajo?

    Sí, se puede cambiar la pertenencia del equipo del dominio a un grupo de trabajo a través de las propiedades del sistema.

  5. ¿Qué hay que tener en cuenta antes de integrar un equipo cliente en un dominio?

    • Nombre de equipo único: El nombre del cliente debe ser único en la red.
    • Configuración de red: Dirección IP, máscara de subred y puerta de enlace válidas.
    • Configuración DNS: El cliente debe poder resolver el nombre del dominio (apuntar al DNS del dominio).
    • Conectividad: Debe haber conectividad de red con un controlador de dominio.
    • Credenciales: Se necesita una cuenta de usuario del dominio con permisos para unir equipos al dominio.
    • Hora sincronizada: La diferencia horaria entre cliente y servidor no debe ser excesiva (generalmente, menos de 5 minutos).

  6. ¿Se puede iniciar sesión en modo local si un equipo cliente está unido a un dominio?

    Sí, se puede iniciar sesión con una cuenta de usuario local seleccionando el nombre del equipo en lugar del dominio en la pantalla de inicio de sesión (ej. `NOMBREDELEQUIPO\UsuarioLocal`) o usando `.\UsuarioLocal`.

  7. El inicio de sesión `[email protected]`, ¿es un nombre de inicio de sesión? ¿En qué tipo de clientes Windows?

    Sí, es un nombre de inicio de sesión en formato UPN (User Principal Name). Es el formato preferido y funciona en todas las versiones modernas de Windows cliente (desde XP en adelante) unidas a un dominio Active Directory.

  8. Si hemos iniciado sesión en un dominio, ¿podremos iniciar una segunda sesión con otro usuario en modo local?

    Sí, se puede usar la opción “Cambiar de usuario” para iniciar una nueva sesión interactiva con un usuario local sin cerrar la sesión del dominio. También se puede usar “Ejecutar como otro usuario” para lanzar aplicaciones específicas con credenciales locales.

  9. ¿Y con otro usuario del dominio?

    Sí, también se puede usar “Cambiar de usuario” para iniciar sesión con otro usuario del dominio.

  10. ¿Se puede iniciar sesión en un dominio con un usuario local del equipo?

    No, las cuentas locales solo sirven para autenticarse en el equipo local.

  11. Cuando compartimos un recurso (ej. una carpeta) en un controlador de dominio, ¿estamos asignando permisos sobre el mismo?

    Sí, al compartir se asignan permisos de recurso compartido (Share Permissions). Además, el acceso final está determinado por la combinación de estos permisos y los permisos NTFS (Security Permissions) configurados en la pestaña Seguridad del recurso.

  12. ¿Es cierto que los permisos sobre un recurso solamente se pueden aplicar cuando está compartido?

    No. Los permisos NTFS se aplican directamente a archivos y carpetas en el sistema de archivos, independientemente de si están compartidos. Los permisos de recurso compartido solo entran en juego cuando se accede al recurso a través de la red mediante la ruta compartida.

  13. ¿Qué implica que un usuario tenga concedido el permiso de “Control total” sobre un recurso del controlador de dominio?

    Implica que el usuario tiene todos los permisos posibles sobre ese recurso, tanto a nivel de recurso compartido como NTFS (si aplica), incluyendo leer, escribir, modificar, eliminar, cambiar permisos y tomar posesión.

  14. Si un usuario tiene concedido el permiso de “Lectura” sobre una carpeta compartida en el dominio, ¿puede crear nuevas carpetas dentro de la misma?

    No. El permiso de Lectura solo permite ver el contenido, listar archivos/carpetas y abrir archivos. Para crear se necesitan permisos de Escritura o Modificación.

  15. ¿Qué grupo por defecto tiene concedidos permisos amplios sobre cualquier recurso del dominio?

    El grupo Administradores del dominio (Domain Admins) tiene privilegios muy elevados por defecto. Los permisos específicos sobre un recurso dependen de su configuración y herencia.

  16. ¿Qué particularidad tienen los recursos compartidos cuyo nombre termina en el símbolo `$`?

    Son recursos compartidos ocultos. No se muestran al examinar el servidor en la red, pero se puede acceder a ellos conociendo la ruta completa (ej. `\\servidor\recurso$`).

  17. ¿Qué recursos se comparten automáticamente después de la instalación y promoción a controlador de dominio de un equipo con Windows Server?

    Se crean recursos compartidos administrativos ocultos esenciales como `ADMIN$`, `IPC$`, `C$` (y otras letras de unidad), y los recursos `NETLOGON` y `SYSVOL`, necesarios para la replicación y aplicación de políticas.

  18. Cuando compartimos un recurso en un equipo cliente unido al dominio, ¿qué usuarios podrán acceder a él? ¿Locales o usuarios del dominio?

    Podrán acceder ambos tipos de usuarios (locales del cliente y del dominio), siempre que se les otorguen los permisos adecuados tanto a nivel de recurso compartido como NTFS.

  19. ¿Puede cualquier usuario local compartir recursos del equipo cliente con los usuarios del dominio?

    No, generalmente se requieren privilegios de administrador local o pertenecer al grupo Usuarios avanzados (Power Users) en el equipo cliente para crear recursos compartidos.

  20. ¿Cuántas impresoras podemos instalar en un controlador de dominio para compartirlas en red?

    No hay un límite técnico estricto impuesto por el sistema operativo, pero no es recomendable usar un controlador de dominio como servidor de impresión dedicado por razones de rendimiento y seguridad. Es preferible usar un servidor miembro para esta función.

  21. ¿Puede un usuario local de un equipo cliente administrar una impresora compartida en el dominio?

    Generalmente no, a menos que a esa cuenta local se le hayan delegado permisos específicos sobre la impresora en el Directorio Activo, lo cual es poco común. La administración suele requerir cuentas y permisos del dominio.

  22. ¿Qué usuarios del dominio pueden administrar documentos e impresoras de una impresora compartida en el dominio?

    Por defecto, los miembros de grupos como Administradores del dominio, Operadores de impresión (Print Operators), Operadores de servidor (Server Operators), y el usuario que instaló/compartió la impresora (CREATOR OWNER). Los permisos se pueden personalizar en la pestaña de Seguridad de la impresora.