Agregar equipos Windows XP y Windows 7 a un dominio Windows Server 2003 Fecha Domingo, 29 mayo a las 02:08:51 Tema Windows

(Sistema Operativo) Explicamos cmo agregar un equipo con sistema operativo Microsoft Windows XP Microsoft Windows 7 a un dominio formado por un equipo servidor con Microsoft Windows Server 2003. Mostramos los requisitos tanto para el servidor como para los equipos clientes que se agregarn al dominio, indicamos cmo crear un usuario en el dominio (Active Directory) y las distintas directivas de contraseas. Indicamos las ventajas y desventajas principales de pertenecer a un dominio.

Por qu agregar equipos cliente con Windows XP Windows 7 a un dominio Windows Server 2003 Windows Server 2008?. Requisitos iniciales para validacin en dominio Windows Server. o Servidor con Windows Server 2003 Windows Server 2008. o Servidor promocionado a controlador de dominio (Active Directory). o Disponer de una red LAN y todos los equipos conectados a la red, incluido el servidor. o Servidor de DNS, equipo controlador de dominio. o Configuracin de red equipo cliente. o Sistema operativo para el equipo cliente que agregaremos al dominio Windows. Crear los usuarios de los equipos clientes en el servidor Windows Server 2003, establecer directivas de contraseas. o Alta de usuarios en el dominio, servidor con Active directory. o Directiva de cuenta, directiva de contraseas, caducidad, historial, longitud mnima. Obtener datos necesarios para agregar equipos cliente a un dominio Windows. Agregar equipo con Windows XP a dominio Windows Server 2003. Agregar equipo con Windows 7 a dominio Windows Server 2003. Recomendaciones importantes para los equipos clientes agregados al dominio Windows. Artculos relacionados. Crditos.

Por qu agregar equipos cliente con Windows XP Windows 7 a un dominio Windows Server 2003 Windows Server 2008?
En una organizacin con 10 ms equipos es recomendable disponer de un dominio Windows con al menos un servidor controlador de dominio con Windows Server 2000, Windows Server 2003 Windows Server 2008 y todos los equipos agregados a este dominio. La ventaja principal es que, de esta forma, es posible aplicar directivas de seguridad y configuracin a los equipos de nuestra organizacin de forma automtica y centralizada. As podremos tener los equipos clientes "controlados" sin necesidad de ir equipo por equipo aplicando las polticas de seguridad y configuracin. Otra gran ventaja de disponer de un dominio Windows es que nos ayudar a cumplir la Ley de Proteccin de Datos (LOPD) pues, al validar los equipos en el dominio Windows, los usuarios y contraseas se "almacenan" en el servidor y no en el equipo cliente. De esta forma es posible, mediante directivas, controlar la caducidad de contraseas, la fortaleza de contraseas y auditar los accesos (aciertos y fallos). Todo ello de forma centraliza en el servidor (o servidores) controladores del dominio. Por el motivo anterior, conseguimos otra ventaja y es que, dado que los usuarios y contraseas quedan almacenadas en el servidor controlador de dominio (o servidores) cualquier usuario podr iniciar sesin en cualquier equipo de la organizacin sin que se haya creado el usuario en el equipo local, puesto que los equipos agregados al dominio realizan la validacin (comprobacin de las credenciales de usuario y contrasea) en el servidor y no en el equipo local. Esto supone una gran ventaja pues nos evitar tener que crear las cuentas de usuario que vayan a usar el equipo en el propio equipo, mejorando as la movilidad. Por supuesto, para que este mtodo sea lo ms adecuado posible lo "ideal" es que todos los datos de los usuarios residan en un servidor de almacenamiento y no en el equipo local. As cualquier usuario podr acceder a sus datos desde cualquier equipo de la organizacin. Por ejemplo, el tener un dominio y los equipos (PCs) de los usuarios agregados en este dominio permite en nuestra organizacin aplicar una poltica de homogeneizacin de la configuracin de los equipos cliente: fondo de escritorio (papel tapiz) con el logotipo de la empresa, pgina de inicio del navegador oficial de la organizacin, uso obligatorio de un proxy de red, denegar el acceso a

dispositivos de almacenamiento extrables (para evitar propagacin de los tpicos virus de autorun en pendrives), ejecutar scripts de configuracin al inicio y al finalizar la sesin, instalar (distribuir) aplicaciones de forma desatendida en los equipos cliente agregados al dominio, impedir el uso de determinadas aplicaciones, ... Todo ello de forma centralizada, desde el servidor, aplicando las directivas oportunas, sin necesidad de acceder ni fsicamente ni por control remoto a los equipos clientes. Sin duda son muchas las ventajas de disponder de un dominio Windows y todos los equipos de la organizacin validados (agregados) en l. Para indicar alguna desventaja, podramos decir que, puesto que es necesario un equipo servidor (al menos) con Windows Server 2003 Windows Server 2008 se necesitar un desembolso econmico en hardware (un servidor, aunque este servicio no necesita muchos recursos) y en licencias del sistema operativo. Para una organizacin con unos 300 equipos clientes es recomendable que el servidor de Windows Server 2003 / 2008 sea dedicado, es decir, que slo se use con este fin: dominio de Windows (promocionado a controlador de dominio con Active Directory). Aunque con unos 300 usuarios tambin es recomendable disponer de un segundo controlador de dominio para mantener una copia del catlogo global (base de datos de Active Directory). Otra desventaja de disponder de un dominio y los equipos agregados y validados en l es que si slo disponemos de un servidor controlador de dominio y ste sufre una cada (por avera fsica, por "cuelgue" del sistema operativo o por avera de la electrnica de red) los usuarios que intenten validar (iniciar sesin) en sus equipos no podrn hacerlo pues el controlador de dominio para validacin del usuario y contrasea no estar disponible. Por ello recomendamos disponer de dos controladores de dominio (al menos), el "secundario" podra dedicarse a otro fin adems de la validacin (almacenamiento de datos, servidor de base de datos, etc.).

Requisitos iniciales para validacin en dominio Windows Server

Servidor con Windows Server 2003 Windows Server 2008 El primer requisito indispensable para que los equipos de los usuarios de nuestra organizacin sean agregados a un dominio Windows es, precisamente, disponer

de uno o varios servidores pertenecientes a un dominio Windows con un controlador de dominio y Active Directory. En el siguiente artculo explicamos cmo instalar el sistema operativoMicrosoft Windows Server 2003, necesario para montar un dominio Windows: Instalar Windows Server 2003 Enterprise En este otro artculo explicamos cmo instalar Windows Server 2008 que tambin sirve, por supuesto, para montar un dominio Windows: Instalar y testear Windows Server 2008 Enterprise Release Candidate

Servidor promocionado a controlador de dominio (Active Directory) El servidor con Windows Server 2003 Windows Server 2008 debe estar promocionado a controlador de dominio. En el siguiente artculo explicamos cmo promocionar un servidor con Windows Server 2003 a controlador de dominio (Active Directory), requisito necesario para montar un dominio Windows, pues al promocionar un equipo a controlador de dominio, si es el primero, se crear el dominio para validar los equipos: Promocionar el servidor a Controlador de Dominio (Active Directory)

Disponer de una red LAN y todos los equipos conectados a la red, incluido el servidor Otro de los requisitos evidentes es disponer de una red LAN y todos los equipos conectados a la misma red que los servidores, pues a partir de ahora la identificacin de usuario (validacin de crendenciales) se realizar a travs de la red en el servidor y no en el equipo cliente.

Servidor de DNS, configuracin de red, equipo controlador de dominio El equipo servidor promocionado a controlador de dominio con Active Directory, con el que hemos creado el dominio Windows, debe ser servidor de DNS (es lo recomendable). Si el servidor no tiene activo este servicio o si no lo tenemos en

otro servicor lo podemos activar desde "Agregar o quitar programas", pulsando en "Agregar o quitar componentes de Windows":

Seleccionaremos "Servicios de red" y pulsaremos "Detalles":

Marcaremos el subcomponente "Sistema de nombres de dominio (DNS)" y pulsaremos "Aceptar" (es posible que nos solicite el CD de instalacin de Windows Server 2003):

Tras instalar el servicio de Servidor de DNS, desde el men "Inicio" "Herramientas administrativas" podremos seleccionar "DNS":

Desde donde podremos ver el estado y configurar el servidor de DNS (Domain Name System) que traduce nombres de equipo DNS en direcciones IP: zonas de bsqueda directa, zonas de bsqueda inversa, sucesos de DNS:

Por supuesto, el servidor controlador de dominio no debe tener activada la opcin de "Obtener una direccin IP automticamente", debe tener una IP fija (esttica), por ejemplo 192.168.1.125. Adems, este servidor, como servidor de DNS preferido en laconfiguracin de la red tendr su propia IP pues l mismo es servidor de DNS:

Configuracin de red equipo cliente Es muy recomendable que los equipos clientes tengan como DNS primaria la IP del servidor controlador de dominio (que ser servidor de DNS). Accederemos a la configuracin de red del equipo desde "Conexiones de red", pulsando con el botn derecho del ratn sobre "Conexin de rea local" y sleccionando "Propiedades":

Seleccionaremos "Protocolo Internet (TCP/IP)" y pulsaremos en "Propiedades":

En "Servidor DNS preferido" introduciremos la IP del servidor controlador de dominio de nuestra red (en nuestro ejemplo 192.168.1.125):

Nota: si usamos un servidor DHCP y los equipos clientes tienen habilitada la opcin "Obtener la direccin del servidor DNS automticamente" deberemos establecer en el servidor DHCP, en el mbito correspondiente, como servidor DNS primario la IP del servidor controlador de dominio. De esta forma en los equipos clientes se configurar este DNS de forma automtica.

Sistema operativo para el equipo cliente que agregaremos al dominio Windows En cuanto a los equipos cliente, es suficiente con que dispongan de un sistema operativo Microsoft Windows XP, Microsoft Windows Vista Microsoft Windows 7. A continuacin mostramos tres artculos sobre cmo instalar estos sistemas operativos:

Instalar Windows XP Service Pack 3, configurar Windows XP. Instalar Windows Vista Beta 2, testear Windows Vista.

Instalar Microsoft Windows 7 Ultimate virtualizado en VMware Server 2.0.1. Instalar Microsoft Windows 7 Ultimate Beta 1 Build 7000.

Obtener datos necesarios para agregar equipos cliente a un dominio Windows

Necesitaremos dos datos principales para agregar un equipo cliente con Windows XP, Windows Vista Windows 7 a un dominio Windows Server: la IP del servidor de DNS (normalmente coincidir con la IP del controlador de dominio) y el nombre del dominio. Para obtener estos datos accederemos al servidor controlador de dominio con Windows Server 2003 Windows Server 2008, pulsaremos en el botn "Inicio" - "Panel de control" - "Sistema":

En la pestaa "Nombre de equipo" de la ventana de Propiedades del sistema, en Dominio podremos consultar y anotar el nombre del dominio Windows que hemos montado al promocionar el primer servidor a controlador de dominio. En nuestro caso el dominio se llama "dominioajpdsoft.com":

Tambin podremos obtener este dato desde una ventana de MS-DOS (lnea shell de comandos), introduciendo el siguiente comando que mostrar el valor de la variable de entorno USERDNSDOMAIN: set USERDNSDOMAIN Desde el shell de comandos tambin podremos obtener la IP del servidor (si es el servidor de DNS) que necesitaremos para configurar la red de los equipos cliente que agregaremos al dominio, el comando a ejecutar es: ipconfig

Anotaremos la "Direccin IP". Por supuesto, tambin podemos obtenerla en el modo grfico, desde las propiedades de red:

Crear los usuarios de los equipos clientes en el servidor Windows Server 2003, establecer directivas de contraseas
Alta de usuarios en el dominio, servidor con Active directory Uno de los requisitos fundamentales para agregar los equipos informticos de nuestra organizacin a un dominio Windows es crear los usuarios que usarn cada equipo. Dichos usuarios se crearn en el servidor controlador de dominio con Windows Server 2003, pues a partir de este momento ya no se usarn usuarios locales de los equipos, los usuarios y sus credenciales (contrasea) quedarn guardados de forma centralizada nicamente en el servidor promocionado a controlador de dominio con Active Directory. Por lo tanto ser en el servidor donde creemos todos los usuarios que iniciarn sesin en los equipos informticos de nuestra empresa. Adems, la Ley de Proteccin de Datos (LOPD) obliga a que no se usen usuarios genricos (un mismo usuario y contrasea compartida por varias personas) sino que se utilice un usuario y contrasea por cada persona de la organizacin. Por ello, el primer paso antes de agregar un equipo informtico a un dominio Microsoft Windows ser crear los usuarios que iniciarn sesin en estos equipos. Para crear un usuario en Active Directory accederemos al servidor con un usuario miembro del grupo administradores (con permisos de administrador), abriremos "Usuarios y equipos de Active Directory" (que podremos encontrar en "Inicio" "Herramientas administrativas"). Desde "Usuarios y equipos de Active Directory" podremos crear unidades organizativas (carpetas contenedoras) para ordenar y guardar los usuarios de nuestra organizacin por departamentos. Por ejemplo, podremos tener las siguientes unidades organizativas (se crean pulsando con el botn derecho sobre "dominioajpdsoft.com" y seleccionado "Nuevo" "Unidad organizativa"): uoFacturacion, uoContabilidad, uoDesarrollo, uoMarketing, ... En realidad, las unidades organizativas son como "carpetas" donde podremos estructurar los usuarios para administrarlos de forma ms sencilla. Podremos, por ejemplo, aplicar directivas de seguridad diferentes a cada unidad organizativa. No son obligatorias pero recomendamos usarlas. Si hemos creado unidades organizativas, para crear un usuario en Active Directory, pulsaremos con el botn derecho del ratn sobre la unidad organizativa donde queramos crear el usuario y seleccionaremos "Nuevo" "Usuario":

Introduciremos los datos del usuario, el ms importante es "Nombre de inicio de sesin de usuario" que ser el nick (usuario) que introducir la persona en el equipo cliente para iniciar sesin. Pulsaremos "Siguiente" para continuar:

A continuacin introduciremos la contrasea para el usuario, se recomienda, para cumplir la LOPD y por seguridad, introducir una contrasea "estndar" y obligar al usuario a que cambie la contrasea e introduzca una suya propia que sea personal e intransferible (que nadie, salvo l, la sepa). Por ejemplo, introduciremos como contrasea "11223344" y marcaremos la opcin "El usuario debe cambiar la contrasea al iniciar una sesin de nuevo". De esta forma, cuando el usuario inicie sesin por primera vez en su equipo deber introducir la anterior y se le solicitar y obligar a que cambie la contrasea por una nueva:

Por ltimo el asistente para crear un nuevo usuario en Active Directory nos mostrar el resumen de las opciones seleccionadas para el nuevo usuario, si son correctas pulsaremos "Finalizar":

Tras crear el usuario, podremos establecer los grupos de seguridad de los que ser miembro. Para ello pulsaremos con el botn derecho del ratn sobre el usuario y seleccionaremos "Propiedades":

En la pestaa "Miembro de" de la ventana de Propiedades del usuario podremos agregar los grupos de seguridad a los que pertenecer. Por ejemplo, para hacer un usuario administrador del dominio pulsaremos en "Agregar":

Introduciremos el grupo de seguridad al que pertenecer el usuario (o varios grupos separados por punto y coma) y pulsaremos "Aceptar". En nuestro caso, como ejemplo, agregaremos el usuario "facturacion" al grupo de seguridad "Admins. del dominio" por lo que lo convertiremos en administrador del dominio. Obviamente esto es un ejemplo, no conviene agregar usuarios a este grupo pues tendrn todos los permisos administrativos sobre el servidor y sobre todos los equipos clientes agregados al dominio:

De esta forma el usuario ser miembro de los grupos de seguridad que hayamos elegido, en funcin de estos grupos de seguridad tendr ms o menos permisos sobre los equipos del dominio. Por defecto, un usuario slo pertenecer al grupo de seguridad "Usuarios del dominio", con este grupo es suficiente para iniciar sesin en cualquier equipo cliente agregado al dominio y realizar las tareas tpicas de navegacin, correo electrnico, ofimtica, etc.:

Directiva de cuenta, directiva de contraseas, caducidad, historial, longitud mnima Adems de crear los usuarios para los equipos clientes en el dominio, podremos indicar las directivas de seguridad para establecer el nivel de complejidad de las contraseas, cifrado, historial, longitud mnima, vigencia mxima (caducidad). Para ello accederemos al servidor controlador de dominio, pulsaremos en "Inicio" - "Herramientas administrativas" - "Directiva de seguridad de dominio". En esta ventana, accederemos a "Configuracin de seguridad" - "Directivas de cuenta" "Directiva de contraseas":

Para activar una directiva haremos doble clic sobre ella, por ejemplo "Las contraseas deben cumplir los requerimientos de complejidad" y marcaremos "Habilitada". De esta forma, la directiva quedar activa y se aplicar a todos los usuarios de todos los equipos que hayamos agregado al dominio:

A continuacin mostramos las directivas de contraseas disponibles y una descripcin de cada una de ellas:

Almacenar contraseas usando cifrado reversible: esta configuracin de seguridad determina si el sistema operativo almacena contraseas con el cifrado reversible. Esta directiva proporciona compatibilidad para aplicaciones que usan protocolos que exigen el conocimiento de la contrasea del usuario para propsitos de autenticacin. Almacenar contraseas con el cifrado reversible es fundamentalmente lo mismo que almacenar versiones de texto simple de las contraseas. Por esta razn, esta directiva no debera habilitarse nunca, a menos que los requisitos de la aplicacin tengan ms importancia que la necesidad de proteger la informacin de contraseas. Se exige esta directiva cuando se usa la autenticacin CHAP (Protocolo de autenticacin por desafo mutuo) a travs de acceso remoto o IAS (Servicios de autenticacin Internet). Tambin se exige cuando se usa la autenticacin implcita en Internet Information Services (IIS). El valor predeterminado es: deshabilitada. Forzar el historial de contraseas: esta configuracin de seguridad determina el nmero de nuevas contraseas nicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contrasea antigua. El valor debe estar comprendido entre 0 y 24 contraseas. Esta directiva permite a los administradores mejorar la seguridad ya que garantiza que no se reutilicen continuamente contraseas antiguas. El valor predeterminado: 24 en controladores de dominio, 0 en servidores independientes. Nota: de manera predeterminada, los equipos miembros usan la configuracin de sus controladores de dominio. Para mantener la eficacia del historial de contraseas, no permita que las contraseas se cambien inmediatamente despus de haberlas cambiado habilitando tambin la configuracin de directiva de seguridad Vigencia mnima de la contrasea. Las contraseas deben cumplir los requerimientos de complejidad: esta configuracin de seguridad determina si las contraseas deben cumplir los requisitos de complejidad. Si se habilita esta directiva, las contraseas deben cumplir los siguientes requisitos mnimos: o No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en ms de dos caracteres consecutivos. o Tener una longitud mnima de seis caracteres. o Incluir caracteres de tres de las siguientes categoras: maysculas (de la A a la Z), minsculas (de la a a la z), dgitos de base 10 (del 0 al 9), caracteres no alfanumricos (por ejemplo, !, $, #, %). Longitud mnima de la contrasea: esta configuracin de seguridad determina el nmero mnimo de caracteres que debe contener la contrasea de una cuenta de usuario. Puede establecer un valor comprendido entre 1 y 14 caracteres, o puede indicar que no se exija contrasea alguna estableciendo el nmero de caracteres en 0. El valor

predeterminado: 7 en controladores de dominio, 0 en servidores independientes. Vigencia mxima de la contrasea: esta configuracin de seguridad determina el perodo de tiempo (en das) en que puede usarse una contrasea antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseas para que expiren tras un nmero de das comprendido entre 1 y 999, o puede especificar que las contraseas no expiren nunca estableciendo el nmero de das en 0. Si la vigencia mxima de la contrasea est comprendida entre 1 y 999 das, la vigencia mnima deber ser menor que la vigencia mxima. Si la vigencia mxima de la contrasea se establece en 0, la vigencia mnima de la contrasea podr ser cualquier valor entre 0 y 998 das. Nota: como recomendacin de seguridad, se aconseja hacer que las contraseas expiren a los 30-90 das, en funcin del entorno. De este modo, un atacante contar con tiempo limitado para apropiarse la contrasea de un usuario y obtener acceso a los recursos de la red. El valor predeterminado: 42. Vigencia mnima de la contrasea: esta configuracin de seguridad determina el perodo de tiempo (en das) en que debe usarse una contrasea antes de que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 das, o puede permitir que se realicen cambios de forma inmediata estableciendo el nmero de das en 0. La vigencia mnima de la contrasea debe ser menor que la vigencia mxima de la contrasea, salvo que esta ltima est establecida en 0, lo que indica que las contraseas no expirarn nunca. Si la vigencia mxima se establece en 0, la vigencia mnima podr establecerse en cualquier valor comprendido entre 0 y 998. Configure la vigencia mnima de la contrasea de modo que sea mayor que 0 si desea que sea efectiva la configuracin Exigir historial de contraseas. Sin una vigencia mnima, los usuarios pueden reutilizar las contraseas repetidamente hasta llegar a una contrasea favorita antigua. La configuracin predeterminada no sigue esta recomendacin, de modo que un administrador puede especificar una contrasea para un usuario y, a continuacin, pedir al usuario que la cambie cuando inicie sesin. Si el historial de contraseas se establece en 0, el usuario no tiene que elegir una nueva contrasea. Esta es la razn de que Exigir historial de contraseas se establezca en 1 de manera predeterminada. El valor predeterminado: 1 en controladores de dominio, 0 en servidores independientes.

Agregar equipo con Windows XP a dominio Windows Server 2003

Para agregar un equipo con Microsoft Windows XP deberemos cumplir los requisitos del servidor y del equipo cliente indicados aqu y deberemos obtener los datos necesarios como explicamos aqu. Arrancaremos el equipo cliente con Microsoft Windows XP, iniciaremos sesin en el equipo con un usuario administrador del equipo local a ser posible. Accederemos al botn "Inicio" - "Panel de control":

Haremos doble clic en "Sistema" (tambin es posible con la combinacin de teclas Windows + Pausa):

Desde la pestaa "Nombre de equipo" pulsaremos en el botn "Cambiar":

En "Miembro de" marcaremos la opcin "Dominio" e introduciremos el nombre del dominio Windows Server al que queremos agregar el equipo cliente, en nuestro caso "dominioajpdsoft.com". Pulsaremos "Aceptar":

Si hemos aadido el dominio correctamente nos solicitar usuario y contrasea. Introduciremos un usuario y contrasea del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores:

Si todo es correcto mostrar un mensaje con el texto "Bienvenido al dominio dominioajpdsoft.com":

Nos indicar con otro mensaje que debemos reiniciar el equipo para que los cambios tengan efecto:

Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:

Nos mostrar un cuadro de dilogo indicando si queremos reinciar ahora el equipo, pulsaremos "S" para reiniciarlo:

Tras el primer reinicio nos solicitar usuario y contrasea, antes de introducirlo, pulsaremos en el botn "Opciones":

En "Conectarse a" nos aparecer el dominio al que hemos agregado el equipo, lo seleccionaremos. A partir de ahora deberemos introducir un usuario y contrasea del dominio (no del equipo local) por lo que debe estar creado en el servidor:

Tras introducir usuario y contrasea en la ventana anterior de Inicio de sesin de Windows el equipo realizar la comprobacin de las credenciales (usuario y contrasea) en el equipo servidor controlador de dominio. En nuestro caso usaremos el usuario creado aqu llamado "facturacion". Si son correctas las credenciales se iniciar sesin:

Puesto que hemos marcado para el usuario "facturacion" la opcin de que en el prximo inicio de sesin se le solicite un cambio de contrasea, en el arranque nos mostrar este mensaje:

Con el texto: Necesita cambiar su contrasea la primera vez que inicie la sesin. Introduciremos la nueva contrasea para el usuario "facturacion". Esta nueva contrasea slo debe conocerla la persona que utilizar en adelante el usuario con el que se est iniciando sesin. Una vez cambiada, la contrasea quedar almacenada en el servidor controlador de dominio (Active Directory) y no en el equipo local:

Adems, si hemos aplicado alguna directiva de contraseas, obligaremos a los usuarios a cumplir con los requisitos de complejidad marcados por las directivas, si no los cumplen mostrar un mensaje como este (el mensaje variar en funcin de la directiva de seguridad infringida):

Con el texto: La contrasea debe tener al menos 4 caracteres, no puede repetir ninguna de las 24 contraseas anteriores y debe tener una antigedad de al menos 1 das. Escriba una contrasea diferente. Escriba una contrasea que cumpla con estos requisitos en ambos cuadros de texto. Si todo es correcto, mostrar una aviso al usuario indicando que la contrasea se ha cambiado correctamente:

Si es el primer inicio de sesin que se realiza en el equipo local con el usuario actual del dominio, se crear su perfil de usuario (escritorio y dems carpetas del perfil):

De esta forma, los usuarios y contraseas quedarn guardados slo en el servidor y no en los equipos locales. Adems, por defecto, el usuario con el que se inicia sesin (creado en el servidor) por defecto ser una cuenta limitada y en el equipo cliente agregado al dominio no podr realizar tareas de administracin. Por ejemplo, si volvemos a mostrar las Propiedades del sistema, veremos que no aparecen todas las opciones y algunas slo aparecen para consulta y no son modificables:

Con esta medida evitaremos que un usuario pueda instalar software indeseado o innecesario, tampoco podr modificar la configuracin del equipo y ser ms difcil que el equipo sea infectado por un virus, pues el usuario con que se ha iniciado sesin, por defecto, es limitado. Esto redundar en un ahorro para la empresa en mantenimiento informtico, con este mtodo los equipos no necesitarn mantenimiento (limpieza de malware, spyware, adware, virus, etc.). Como ya hemos comentado, una vez que el equipo es miembro del dominio, se le aplicarn de forma automtica las directivas que hayamos establecido en el servidor. A partir de este momento este equipo podr ser administrado y configurado de forma automtica y centralizada en el servidor. Se le aplicarn, por ejemplo, las directivas de contraseaspara el usuario que inicia sesin. Tras agregar el equipo al dominio, aparecer automticamente en "Computers", en "Usuarios y equipos de Active Directory":

Desde el servidor podremos aplicar directivas de seguridad tanto a los usuarios como a los equipos. A partir de este momento, cualquier usuario puede iniciar sesin en cualquier equipo de la empresa (siempre que est agregado al dominio).

Agregar equipo con Windows 7 a dominio Windows Server 2003

Para agregar un equipo con Microsoft Windows 7 a un dominio deberemos cumplir los requisitos del servidor y del equipo cliente indicados aqu y deberemos obtener los datos necesarios como explicamos aqu. Iniciaremos sesin en el equipo, a ser posible con un usuario con permisos de administrador. Pulsaremos en el botn "Iniciar" - "Panel de control":

Pulsaremos en "Sistema" (tambin podemos abrir esta ventana pulsando las teclas Windows + Pausa):

En la ventana de Sistema, en la seccin "Configuracin de nombre, dominio y grupo de trabajo del equipo", pulsaremos en "Cambiar configuracin":

En la pestaa "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos en el botn "Cambiar":

En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar":

Si hemos aadido el dominio correctamente nos solicitar usuario y contrasea. Introduciremos un usuario y contrasea del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores:

Si todo es correcto, nos mostrar un mensaje con el texto "Se uni correctamente al dominio dominioajpdsoft.com":

Nos avisar de que debemos reiniciar el equipo para aplicar los cambios:

Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:

Pulsaremos "Reiniciar ahora" para reinciar el equipo y agregarlo definitivamente al dominio:

Tras el arranque del equipo, pulsaremos Control + Alt + Supr:

Para iniciar sesi por primera vez validando en el dominio pulsaremos en "Cambiar de usuario":

Pulsaremos en "Otro usuario":

Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior nos indicar el dominio donde se iniciar sesin: "Iniciar sesin en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura: nombre_usuario@nombre_dominio Por ejemplo, para iniciar sesin con el usuario "alonso" en el dominio "ajpdsoft" introduciramos "alonso@ajpdsoft". Introduciremos usuario y contrasea y pulsaremos en la flecha o INTRO para iniciar sesin:

Nota: volvemos a repetir que este usuario y contrasea no existen en el equipo local sino en el dominio de Windows Server. Por ello se aplicarn las directivas establecidas en el dominio para el usuario de caducidad de contrasea, complejidad, cifrado, historial, etc. Y ya tendremos el equipo validado en el dominio y podremos iniciar sesin con un usuario de Active Directory:

En el servidor con Windows Server 2003 controlador de dominio, en Usuarios y equipos de Active Directory podremos ver el equipo agregado, en "Computers":

Recomendaciones importantes para los equipos clientes agregados al dominio Windows

Una de las recomendaciones ms importantes para los equipos clientes validados (agregados) en el dominio Windows Server es deshabilitar los usuarios locales de los equipos. Si no deshabilitamos los usuarios locales cualquier persona podra iniciar sesin sin validar en el equipo, algo que no es recomendable. En el caso de un equipo con Microsoft Windows 7 pulsaremos en el botn "Iniciar", en "Equipo" pulsaremos con el botn derecho del ratn y seleccionaremso "Administrar":

En la ventana de Administracin de equipos seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios", en la parte derecha aparecern todos los usuarios del equipo local, para deshabilitarlos y que no puedan ser usados pulsaremos con el botn derecho del ratn sobre ellos (uno a uno), seleccionaremos "Propiedades":

En la pestaa "General" marcaremos la opcin "La cuenta est deshabilitada" y pulsaremos "Aceptar":

Con esto impediremos que una persona pueda iniciar sesin con un usuario local del equipo y lo obligamos a que valide siempre con un usuario del dominio. Por seguridad recomendamos que tambin se deshabilite el usuario administrador. Por tareas de mantenimiento, para los administradores de los equipos, podramos crear un usuario local en todos los equipos, hacerlo miembro del grupo de seguridad "Administradores" y establecer una contrasea segura que ningn usuario sepa (salvo los administradores del sistema). De esta forma tendremos un usuario local en todos los equipos con el mismo nombre por si en algn momento queremos sacar el equipo del dominio o por si la red falla y no tenemos acceso al servidor, en este caso slo se podra iniciar sesin sin validar en el dominio, de forma local con este usuario. Por ltimo, hay que tener en cuenta que las versiones de "Home" de Windows XP, Windows Vista y Windows 7 no permiten validacin en dominio Windows.

Estas versiones de estos sistemas operativos no sirven para ser agregadas a un dominio.