Universidad Tecnológica de Querétaro

UNIVERSIDAD TECNOLGICA DE QUERTARO
Voluntad. Conocimiento. Servicio.
ANLISIS DE AUTENTICACIN DEL ACTIVE DIRECTORY
SERVICIO DE ADMINISTRACIN TRIBUTARIA
Reporte de Estada para Obtener

el Ttulo de Tcnico Superior
Universitario en Telemtica
ELVIA RAQUEL RAMREZ ESPINOSA DE LOS MONTEROS
Santiago de Quertaro
Abril 2006
UNIVERSIDAD TECNOLGICA DE QUERTARO
Voluntad. Conocimiento. Servicio.
ANLISIS DE AUTENTICACIN DEL ACTIVE DIRECTORY
SERVICIO DE ADMINISTRACIN TRIBUTARIA

Reporte de Estada para Obtener
el Ttulo de Tcnico Superior
Universitario en Telemtica
Asesor de la Empresa:
ING. CSAR SANDOVAL VALDEZ
Asesor de la Universidad:
ING. JULIETA ELIZABETH GRANADOS GONZLEZ
Alumno:
ELVIA RAQUEL RAMREZ ESPINOSA DE LOS MONTEROS
Santiago de Quertaro
Abril 2006
AGRADECIMIENTOS
Primero que nada quiero agradecer a Dios por darme vida,

salud y amor. Por ayudarme y no dejarme nunca.
mi
hijo
Miguel ngel,
que
me
ha
enseado
el
amor
incondicional y que ha sido mi principal motor desde el da en

que naci; a Carlos Czarez por su gran apoyo.
Deseo expresar mi ms profundo afecto y aprecio a la Ing.

Julieta Granados por su amistad, ayuda, apoyo y dedicacin.
Me gustara tambin reconocer la contribucin de las numerosas

personas que generosamente entregaron su tiempo, su corazn y
sus recursos para apoyar con sus enseanzas. Una lista parcial
incluye a: Enrique Cueto, Martn, Alma Reina, Rene Pia, Ricardo
Toledo,
Cecilia Lozada,
Romero, Lorena Corona.
Csar Sandoval,
Laura Briceo,
Joel
AGRADECIMIENTOS
NDICE
INTRODUCCIN
CAPTULO I ANLISIS DE AUTENTICACIN DEL ACTIVE

DIRECTORY
PG.
1.1
1.2
Servicio de Administracin Tributaria (SAT)
12
1.1.1
12
Giro de la empresa
1.1.2 Organigrama General
14
1.1.3 Organigrama del rea (SEABD)
17
Anlisis de necesidades
18
1.2.1
18
Definicin del proyecto
1.2.2 Objetivos
21
1.2.3 Justificacin
22
1.3
Alternativas de solucin
23
1.4
Eleccin de la alternativa ptima
24
1.5
Plan de trabajo
25
1.5.1 Diagrama de Gantt
25
1.5.2 Especificaciones
28
CAPTULO II DESARROLLO DEL PROYECTO
2.1 Descripcin detallada del plan de trabajo
34
2.2 Planificacin
35
2.2.1 Objetivo del sistema
37
2.3 Anlisis
2.3.1 Reconocimiento del problema
37
2.3.2 Viabilidad econmica
37
2.3.4 Viabilidad tcnica
40
2.3.5 Anlisis de necesidades
40
2.3.6 Anlisis tcnico
41
2.3.7 Modelo de la arquitectura del Anlisis de Autenticacin

del Active Directory
2.4 Diseo
2.3
Capacitacin
46
47
47
2.4
Pruebas
48
2.5
Liberacin
49
CAPTULO III CONCLUSIONES
3.1
Dificultades
51
3.2
Logros obtenidos
52
3.3
Recomendaciones
52
3.4
Aportaciones
53
ANEXOS
GLOSARIO
MATERIAL DE CONSULTA
INTRODUCCIN
El modelo educativo de la Universidad Tecnolgica de Quertaro

(UTEQ) propone que los estudiantes realicen una estada de 4
meses en el sector laboral, con la finalidad de desarrollar un
proyecto que sea benfico para la empresa y que a su vez le
permita obtener el Ttulo de Tcnico Superior Universitario.
El proyecto se llev a cabo en el Servicio de Administracin

Tributaria (SAT), que se encarga de llevar a cabo la actividad de
recaudacin de impuestos de manera eficaz, en un marco de
justicia y equidad contributiva y tiene como funcin verificar el
buen cumplimiento de las leyes fiscales dentro de la Repblica.
Dentro del SAT existe la Subadministracin de Explotacin y

Anlisis
proyecto
de
de
Bases de
NALISIS
Datos (SEABD),
DE
donde
AUTENTICACIN
se
realiz
DEL
el
ACTIVE
DIRECTORY.
Se cre un documento, un manual de usuario y se capacit al

personal de esta Subadministracin.
En el primer captulo se presentan los aspectos ms importantes
de la empresa Servicio de Administracin Tributaria (SAT), como
lo son el giro de la empresa, organigrama, etc.
En este mismo se plasmaron los objetivos y el alcance que se

desea
cubrir
con
el
desarrollo
del
proyecto (ANLISIS
DE
AUTENTICACIN DEL ACTIVE DIRECTORY).
En el segundo captulo se exponen de forma detallada todas las

actividades que se tomaron en cuenta para levar a cabo la
realizacin de este proyecto.
Por ltimo, en el tercer captulo se abordan temas relacionados

con las dificultades que se presentaron durante el desarrollo del
proyecto, tambin se presenta una lista de recomendaciones.
CAPTULO I
ANLISIS DE
AUTENTICACIN DEL
ACTIVE DIRECTORY
1.1
Servicio de Administracin Tributaria (SAT)
1.1.1 Giro de la empresa
continuacin se presenta informacin de la empresa, sta se
tom de la Intranet del Servicio de Administracin Tributaria

(IntraSAT), del Manual de calidad de la ACCF (Administracin
Central de la Capacitacin Fiscal) y de las memorias del Instituto
Nacional de Capacitacin Fiscal (INCAFI).
A partir del primero de julio de 1997 surge el Servicio de

Administracin Tributaria (SAT) como un rgano desconcentrado
de la Secretara de Hacienda y Crdito Pblico, con carcter de
autoridad fiscal con atribuciones y facultades vinculadas con la
determinacin y recaudacin de las contribuciones federales que
hasta ahora
tendr
ha ejercido la Subsecretaria de ingresos, que
por objeto dar
respuesta a demandas y necesidades
que surgen de la propia dinmica econmica y socia del pas,

y se enmarca en la tendencia mundial orientada a modernizar y
fortalecer
las
para que la
administraciones
tributarias,
como
herramienta
actividad de recaudacin de impuestos se realice
de manera eficaz y eficiente, ante todo, en un marco de justicia

y equidad contributiva.
12
As
mismo
destaca la necesidad de garantizar la aplicacin
correcta y oportuna de la legislacin fiscal y aduanera de manera

imparcial y transparente.
De esta manera, al contar con una organizacin especializada

conformada con personal calificado, se puede responder con
agilidad, capacidad y oportunidad a las actuales circunstancias
del pas.
Su
principal
funcin
es
llevar
cabo
la
actividad
de
recaudacin de impuestos de manera eficaz y ante todo, en un

marco de justicia y equidad contributiva.
Esta
medida
es de
capital
importancia
porque
permite
disponer de recursos necesarios para ejecutar los programas

propuestos por el gobierno federal para impulsar el desarrollo
general.
Objetivo de la Subadministracin de Explotacin y Anlisis

de Bases Datos
Coordinar el desarrollo de sistemas de cmputo que faciliten el

desarrollo, la operacin y difusin de los procesos y la toma de
decisiones
responsabilidad
de
la
Administracin
Central
de
Capacitacin Fiscal.
13
1.1.2 Organigrama general
El Servicio de Administracin Tributaria (SAT) depende de la

Secretaria
de
Administraciones
Hacienda
y Crdito
Generales
se
Pblico
(SHCP).
desprenden
Diez
de
esta
Organizacin:
1. Administracin General de Tecnologa de la Informacin (AGTI).

2. Administracin General de Aduanas (AGA).
3. Administracin General de Auditoria Fiscal Federal (AGAFF).
4. Administracin General de Jurdica de Ingresos (AGJ).
5. Administracin General de Recaudacin (AGR).
6. Administracin General de Innovacin y Calidad (AGIC).
7. Administracin General de Grandes Contribuyentes (AGGC).
8. Administracin General de Auditora Fiscal Federal (AGAC).
9. Administracin General del Destino de Bienes de Comercio
Exterior Propiedad del Fisco Federal (AGDBCEPFF).
10.
Administracin General de Evaluacin (AGE).
La Administracin General de Innovacin y Calidad, tiene a su

vez,
seis
administraciones
centrales;
una
de
ellas
es
la
Administracin Central de Capacitacin Fiscal (ACCF), que est

formada por cinco Coordinaciones.
14
La Coordinacin de Tecnologa Educativa (CTE), perteneciente

a la ACCF divide sus actividades en tres administraciones; una
de
las
integrantes
Herramientas
es
la
Tecnolgicas
Administracin
(ADHT),
de
Desarrollo
encargado
de
de
dos
Subadministraciones:
Subadministracin de Diseo y Desarrollo de Sistemas
(SDDS).
Subadministracin de Explotacin y Anlisis de Bases de
Datos (SEABD).
La SEABD es el rea en donde se desarroll el proyecto.
15
Fig. 1.1.2 Organigrama General
JUNTA DE GOBIERNO
PRESIDENCIA
ADMINISTRACIN
GENERAL DE
ASISTENCIA AL
CONTRIBUYENTE
SECRETARIADO
TCNICO DE LA
COMISIN DEL
SERVICIO FISCAL DE
CARRERA
COMISIN DEL
SERVICIO FISCAL DE
CARRERA
ADMINISTRACIN
GENERAL DE
TECNOLOGA DE LA
INFORMACIN
ADMINISTRACIN
GENERAL DE
GRANDES
CONTRIBUYENTES
ADMINISTRACIN
GENERAL DE
ADUANAS
ADMINISTRACIN
GENERAL DE
RECAUDACIN
ADMINISTRACIN
GENERAL DE
AUDITORA FISCAL
FEDERAL
ADMINISTRACIN
GENERAL JURDICA
ADMINISTRACIN
GENERAL DE
INNOVACIN Y
CALIDAD
ADMINISTRACIN
GENERAL DE
EVALUACIN
ADMINISTRACIN
GENERAL DEL DESTINO
DE BIENES DE
COMERCIO EXTERIOR
PROPIEDAD DEL FISCO
FEDERAL
UNIDAD DE
CONTRALORA
INTERNA
16
Fig. 1.1.3 Organigrama del rea (SEABD)
Administracin
central de
capacitacin fiscal
COORDINACIN
DE CULTURA Y
DESARROLLO
HUMANO
COORDINACIN
DE PROCESOS
EDUCATIVOS
COORDINACIN
DE EXTENSIN
Y VINCULACIN
COORDINACIN
DE
TELECOMUNICACIN
EDUCATIVA
COORDINACIN DE
TECNOLOGA
EDUCATIVA
ADMINISTRACIN
DE APRENDIZAJE
COLABORATIVO
ADMINISTRACIN
DE DESARROLLO DE
HERRAMIENTAS
TECNOLGICAS
SUBADMINISTRACIN
DE DISEO Y
DESARROLLO DE
SISTEMAS
ADMINISTRACIN
DE NUEVAS
TECNOLOGAS
SUBADMINISTRACIN
DE EXPLOTACIN Y
ANLISIS DE BASES DE
DATOS
17
1.2
Anlisis de necesidades
1.2.1 Definicin del proyecto
Dentro
del
diferentes
Servicio de Administracin Tributaria

contraseas,
empezando
se
por ingresar
utilizan
a
la
computadora hasta tener acceso a cada aplicacin.

Cada
una
de
las
aplicaciones
cuenta
con
un
usuario y
password, (los passwords tienen diferentes nombres para cada

aplicacin
que
se
utiliza).
Existe
una
plantilla
donde se
registran todos los datos de los empleados del SAT y en sta

estn registradas varias claves que se sacan como RFC (se
utilizan los nombres y diferentes datos de la misma plantilla).
Para cada una
de las aplicaciones se utilizan diferentes
claves.
El uso de muchas claves para diferentes aplicaciones implica:
Prdida de tiempo.
Errores a la hora de entrar.
Las personas no recuerdan todos los passwords para
entrar a cada aplicacin.
Buscar en plantilla las claves para la gente que olvid
su clave.
18
Confusin de claves para el ingreso a las aplicaciones.

El no tener acceso a una PC ajena ya que en cada
computadora
hay que ingresar la
clave del usuario al
que se le asign anteriormente esa mquina.
La manera de solucionar estos problemas (prdida de tiempo,

errores a la hora de entrar a alguna aplicacin y no tener
acceso a ninguna PC que no sea la propia) es la aplicacin
del Active Directory, mediante el uso de esta herramienta es
posible tener acceso a todas las aplicaciones utilizando slo
un usuario y contrasea.
El
proyecto
ANLISIS
DE
AUTENTICACIN
DEL
ACTIVE
DIRECTORY se define como una herramienta la cual est

instalada en todas las computadoras y pueda ser utilizada por
todos los empleados que laboran en el SAT (rea de SEABD) y
que cuenten con una computadora. sta
aplicaciones con una misma clave
debe abrir todas las
y al mismo tiempo tener la
seguridad de una autenticacin con la cual se tenga seguras

las aplicaciones (sta es proporcionada por NT).
Se realizar un documento para la Subadministracin de
Explotacin y Anlisis de Bases de Datos (SEABD), que
contenga puntos especficos requeridos
por parte de la
misma.
19
A los usuarios se les elaborar un manual que contenga

detalladamente el manejo del Active Directory.
Estos ltimos tendrn una capacitacin.
El alcance que tendr este proyecto se describe dentro de los

siguientes puntos:
La herramienta estar instalada en todas las mquinas y
podr ser usado por cualquier
acceso (desde las
persona que quiera tener
mquinas como a las aplicaciones)
usando una sola clave.

En cada una de las solicitudes para ingresar a alguna
aplicacin la herramienta pedir nuevamente la clave, en
ese momento
la herramienta revisar si el usuario tiene
los permisos o no para hacer uso de la aplicacin.

El
documento
estar
diseado
para
satisfacer
las
necesidades de la Subadministracin de Explotacin y

Anlisis de Bases de Datos (SEABD).
20
El manual ser para que los usuarios comprendan y si

se llega a tener una duda o falla ste pueda servir como
apoyo.
A
todos los
capacitar
usuarios
con
de
esta
herramienta
se
les
un manual del usuario, una explicacin
con imgenes y el Active Directory en una computadora

para ejemplos, con el fin de que las personas a capacitar
hagan buen uso de manejo de sta.
1.2.2 Objetivos
Satisfacer
las
necesidades
del
departamento
Subadministracin de Explotacin y Anlisis de Bases de

Datos (SEABD) al momento de entrar a la computadora o
alguna aplicacin se puedan autenticar con una sola
clave.
Tener acceso a todas las computadoras con la clave
de autenticacin sin importar que esa mquina no sea la
asignada a ese usuario.
Que
el
documento
est
de
satisfacer las necesidades de la
forma adecuada
para
Subadministracin de
Explotacin y Anlisis de Bases de Datos (SEABD).
21
Utilizar slo una clave para todas las aplicaciones (correo,

pginas Web, etc.).
Que manual del usuario y la capacitacin sirva para el
manejo y uso correcto de esta herramienta, verificando el
entendimiento con encuestas entre los capacitados
as
como evaluarlos.
1.2.3 Justificacin
Con esto se obtendr:

Tener la seguridad de una autenticacin, mediante una
herramienta ya estable.
Poder verificar
los
permisos
de
cada
uno
de
los
usuarios que entraron.

Reduccin en
cuando
se
la prdida de tiempo que
est
buscando
la
clave
se tiene
tratando
de
recordarla.
La optimizacin de recursos.
22
1.3
Alternativas de solucin
Para la solucin del
problema que se presenta
actualmente
se pens en 3 alternativas de solucin, que continuacin se

mencionan:
El
seguir
manejando
aplicacin), trabajar como

interrumpir
los
muchas
hasta
empleados
claves (una
ahora.
de
la
Para
para
no
cada
tener
Subadministracin
que
de
Explotacin y Anlisis de Bases de Datos (SEABD) en sus

actividades.
Cambiar todas las claves de la plantilla por una sola para
que se pueda usar esa en cada una de las aplicaciones con

la
finalidad
de
que
cada
uno
de
los
empleados
de
la
Subadministracin de Explotacin y Anlisis de Bases de Datos

(SEABD) slo utilicen una clave para todo.
La
implementacin
comprobar una
de
una
herramienta
que
permita
contrasea para el acceso a la computadora,
como a cada una de las aplicaciones que se utilicen con la

seguridad que proporciona una herramienta ya elaborada con
cada una de las funciones bien definidas (como el Active
Directory).
23
1.4
Eleccin de la alternativa ptima
La mejor alternativa para la solucin del problema es el

implementar
una
herramienta
(Active Directory)
autenticar desde el inicio de la computadora
que
permita
y una segunda
autenticacin para todas las aplicaciones que se tengan,
con
una sola clave y contar con los permisos definidos para entrar
a cualquier aplicacin. Y el tener acceso a cualquier mquina y
ser reconocido en la red.
Un
documento para
la
Subadministracin
de
Explotacin
Anlisis de Bases de Datos (SEABD) que contenga puntos ya

especficos por parte de esta Subadministracin.
Un manual del usuario que gue a ste, paso a paso, en el

manejo de esta herramienta.
Una
capacitacin
para
que
el
usuario
tenga
un
mejor
panorama de lo que es la herramienta y cmo funciona ms

la resolucin de dudas.
24
1.5
Plan de trabajo
1.5.1 Diagrama de Gantt
25
26
27
1.5.2 Especificaciones
Para la implementacin
de la herramienta se cumplir con los
objetivos del plan de trabajo y se tratar de cumplir con los

tiempos que ya se marcaron en el diagrama de Gantt anterior.
Los puntos a cumplir se presentan a continuacin:
Planeacin
La planeacin proporcionar un marco de trabajo que permitir
hacer estimaciones razonables de todos los recursos y costos
para tambin hacer una planificacin temporal.
o Recursos
Se realizar un listado de los materiales que sean tiles para

desarrollar
el
proyecto
(Anlisis de Autenticacin del Active
Directory), llevando a acabo
un estudio de la infraestructura
con la que cuenta la empresa.
o Costos
Se determinarn el costo monetario para cada uno de los

materiales que se requieren, para comprobar si es factible el
desarrollo
del
proyecto
(Anlisis de Autenticacin del Active
Directory).
28
o Planificacin temporal
Se establecern los tiempos de inicio y de finalizacin que se

tendrn en el desarrollo del proyecto (Anlisis de Autenticacin
del Active Directory)
Anlisis
Se estudiarn los requerimientos solicitados por el usuario para
poder encontrar una mejor solucin a los problemas planteados,
de una forma eficaz y cumpliendo con los tiempos de entrega.
A continuacin se presentan los aspectos ms importantes a

tomar en cuenta durante todo el desarrollo de esta etapa.
o Se realizar el Anlisis de Autenticacin del Active Directory

para determinar:
Cules son los problemas que se tienen?
Cmo se estn autenticando actualmente?
Qu beneficio se obtendr al implementar
la autenticacin?
29
o Se
acordarn
reuniones
con
los
usuarios
con
el
solicitante del proyecto (Anlisis de Autenticacin del Active

Directory),
para
hacer
una
lista
de
sugerencias
propuestas de las opciones que tiene la autenticacin y

que se desean incluir.
o Se
realizar
tecnolgica
un
a
estudio
implementar,
de
la
para
nueva
el
herramienta
desarrollo
del
proyecto.
Diseo
Para el diseo de los documentos se utilizarn los siguientes
paquetes:
9 Microsoft Word
9 Microsoft Excel
Se generarn vistas previas del la herramienta y el diseo del

documento y manual del usuario.
Capacitacin
Se reunir a los usuarios a capacitar
para el uso adecuado
de esta herramienta.
30
Pruebas
Se realizar la verificacin del funcionamiento correcto de la

herramienta probando todas sus opciones.
La herramienta est dentro de:

Windows 95
Windows 98
Windows 2000
Windows 2000 Server
Windows 2003 Server
Windows NT 4.0
A continuacin se describen algunos mtodos a tomar en cuenta

para realizar las pruebas correspondientes.
9 Se
verificar
el
funcionamiento
de
la
autenticacin al
momento de encender la computadora.

9 Se revisar la autenticacin pero para cada aplicacin.
9 Se realizar una revisin de todas las opciones para
agregar
quitar
herramientas,
segn
la
lista
de
sugerencias.
31
Liberacin
La liberacin ser realizada por los encargados y directivos de

la Subadministracin de Explotacin y Anlisis de Bases de
Datos (SEABD) despus de ver el funcionamiento correcto de la
herramienta,
la capacitacin de los usuarios,
la entrega del
documento para la Subadministracin y el manual del usuario,

para realizar la implementacin de la autenticacin del Active
Directory.
32
CAPTULO II
DESARROLLO DEL
PROYECTO
2.1 Descripcin detallada del plan de trabajo
A continuacin se mencionan los pasos que se siguieron para

desarrollar este proyecto.
1. Planificacin
2. Anlisis
3. Diseo
4. Capacitacin
5. Pruebas
6. Liberacin
2.2
Planificacin
Como ya se haba mencionado anteriormente, el objetivo de este

proyecto es proporcionar un marco de trabajo que permita hacer
el
anlisis
de
la
herramienta
razonables de recursos, costos
para
hacer
estimaciones
y planeacin temporal. Estas
estimaciones se hacen dentro de un marco de tiempo limitado

al comienzo de un proyecto de anlisis y documentacin, y
33
deben
actualizarse
regularmente
a medida
que progresa
el
proyecto.
La elaboracin del presupuesto para este proyecto se bas en los
materiales necesarios para llevarlo a cabo:
Una computadora
Aplicaciones (para hacer las pruebas)
Un servidor
Active Directory
Los costos de estos recursos que se utilizaron en el proyecto

para la realizacin del mismo son los siguientes:
Servidor
Aplicaciones
Computadora
Active Directory (Windows)
34
Algunos de los materiales antes mencionados son parte de la

infraestructura del Servicio de Administracin Tributaria (SAT)
por lo que no se consideraron los costos de stos.
El personal necesario para elaborar el proyecto es el siguiente:

Un lder de proyecto
Un administrador de dominio
Un analista
Un encargado para realizar pruebas
Para llevar acabo la planeacin temporal, se uso el software

de Microsoft Project, con l se elabor un diagrama de Gantt,
el cual permiti establecer los tiempos a intervenir para cada
una de las actividades definidas para el completo desarrollo
del proyecto.
35
2.2.1 Objetivo del sistema
Gracias al anlisis se estudiaron los diferentes aspectos para

poner en marcha la documentacin del Anlisis de Autenticacin
del Active Directory. ste tiene como objetivo autenticar a los
usuarios tanto al momento de encender la computadora
solicitar cada una de las aplicaciones.
para
Utilizando
una
y al
clave
autenticarse en todo, reduce la prdida de tiempo
(buscando o recordando cada una de las claves)
y con la
seguridad que brindan los permisos asignados y los perfiles de

cada uno de los usuarios, permitiendo que puedan entrar a
otras mquinas sin ningn problema y actualizando cualquier
cambio automticamente.
2.3 Anlisis
2.3.1 Reconocimiento del problema
En
la
siguiente
lista
se
mencionan
los
aspectos
ms
importantes a considerar para el desarrollo del proyecto:

Utilizar slo una clave para el acceso o todas las
aplicaciones.
Realizar
un
documento
para
la
Subadministracin
de
36
Hacer un manual para el usuario en donde se explique,

de manera detallada, tanto el concepto y el manejo del
Active Directory (autenticacin).
Dar
una
capacitacin
la Subadministracin
de
Mediante el Anlisis de Autenticacin del Active Directory se

resolvern los siguientes problemas:
Muchas
claves
para
las
diferentes
aplicaciones
que
utilizan.
Prdida de tiempo al buscar o recordar una clave.
No existe
seguridad
en
la
computadora,
ya
que
se
necesita la clave del usuario al que se le asign.

El no tener acceso a todas las computadoras con la
misma clave, con todas las aplicaciones y cambios de
las mismas.
No
tener
un
control de los usuarios que s
o no
pueden entrar a las diferentes aplicaciones.
37
No
existe
una
herramienta
especfica
para
la
autenticacin.
Se identificaron estos problemas y se realiz una reunin con

los usuarios de las diferentes aplicaciones que entran a ellas
con diferentes claves, para recabar sugerencias y propuestas
para incluir en las diferentes opciones que tiene el Active
Directory.
A continuacin se analizarn las necesidades a cubrir con la

implementacin de la herramienta, las cuales son:
Satisfacer las necesidades de la Subadministracin
de
Explotacin y Anlisis de Bases de Datos (SEABD) al

momento de encender la mquina y autentificarse.
Utilizar slo una clave para todas las aplicaciones que se
tengan (pginas web, correo, etc.).
Eliminar
la
prdida
de
tiempo
al
buscar
recordar
diferentes claves.
Tener seguridad de una herramienta que autentifique y
revise los permisos de cada uno de los usuarios.
38
Poder utilizar cualquier computadora sin requerir la clave

del usuario de esa computadora.
2.3.2 Viabilidad econmica
De acuerdo con el anlisis econmico realizado y que ser

presentado ms adelante, el resultado obtenido mediante la
comparacin de costos y beneficios que se obtendrn con el
sistema
permiti
establecer
que
hay
suficientes
recursos
econmicos para poder implementar esta herramienta.
2.3.4 Viabilidad tcnica
Para determinar la viabilidad tcnica se realiz un estudio sobre

los requerimientos, como es el equipo ( existen computadoras
para cada usuario y un servidor ).
La informacin de la investigacin est localizada en el anexo

A, captulo Cmo se implementa?
.
Adicionalmente este estudio determin que es suficiente el
equipo y software para poder implementar la autenticacin en
Active Directory.
39
2.3.5 Anlisis de necesidades
La aplicacin de Windows Server, llamado Active Directory,

deber realizar lo siguiente:
Tener
dominios,
para
que
un
grupo
de
equipos
compartan una base de datos de directorios comn.

Unidades organizativas que son subgrupos de contenidos
de dominios, que suelen reflejar la estructura funcional o
empresarial de la organizacin.
Usuarios para
que
entren
hagan
uso
de
esta
aplicacin.
Conectarse a un controlador de dominio, si no hay
objetos disponibles puede conectarse a un controlador
de dominio
para acceder a los objetos usuario, grupo
y dominio actual.
Conectarse
cualquiera
a un dominio
de
(siempre que
stos
disponga
que
de
para
poder trabajar
est
dentro
los
permisos
en
del
bosque
de
acceso
adecuados).
40
Administrar cuentas
de
controlar el acceso
agregar
cuentas
equipo
para
utilizarlas
para
a la red y a sus recursos. Poder
de
equipo
cualquier
contenedor
mostrado.
Administrar equipos para poder conectarse a un equipo
especfico y lograr la administracin del mismo.
Autenticacin para cuando un usuario inicia sesin en un
equipo, el proceso de inicio se autentica, confirmando la
identidad del usuario y del equipo local y concediendo
el acceso al servicio del directorio. Despus, cuando el
usuario acceda a los recursos de la red se utilizar la
autenticacin de la red para comprobar si el usuario
tiene permisos de hacerlo.
Controles de acceso para:
o Enumerar los usuarios y grupos que tienen acceso
a los objetos.
o Especificar los permisos asignados a usuarios y
grupos.
o Monitorear
los
sucesos
que
deberan
ser
auditados para los objetos.

o Definir la pertenencia de los objetos.
41
Cuentas de usuario son para usuarios individuales y se

dividen en 2:
o Cuentas
de
usuario
de dominio.
stas
pueden
acceder a los recursos del dominio.
o Cuentas de usuarios locales. stas
slo tienen
acceso al equipo local y deben autenticarse antes

de poder acceder a los recursos de la red. Poder
crear usuarios locales.
Cuentas de grupo para conceder permisos a
tipos
similares de usuarios y simplificar la administracin de

las cuentas.
Derechos de inicio de sesin para que el usuario pueda
asignar derechos de inicio de sesin a las cuentas de
usuario y de grupo, as como tambin asignar derechos
de usuario a los grupos en lugar de a los usuarios
individuales.
Agregar nuevas cuentas de usuario pertenecientes a un
grupo, puede acceder a un determinado recurso, dicho
usuario
en
particular
podr
acceder
ese
mismo
recurso.
42
Cuenta
para
el
Administrador
predefinida
que
proporciona acceso total a archivos, directorios, servicios

y otros recursos. La cuenta no se puede deshabilitar ni
eliminar.
Cuentas
para
especficas,
miembro
conceder
stas
de
uno
se
o
al
usuario
asignan
varios
capacidades
haciendo
al
usuario
grupos, teniendo
as
la
capacidad de dichos grupos.

Actualizaciones de cuentas de usuario
para
cambiar
privilegios o desactivar las cuentas de los usuarios que

ya no trabajan en la empresa.
Cambios
de
identificadores
nombre
de
a cuentas
seguridad.
Los
de
usuario
nombres
de
para
los
usuarios son un medio para administrar y utilizar las

cuentas ms fcilmente.
Eliminar cuentas de usuario y de grupo para actualizar
a los usuarios que siguen trabajando.
Habilitar cuentas de usuario por si algn usuario olvida
su contrasea
los
intentos
de
inicio
exceden
las
directivas.
43
Definir las horas de inicio de sesin para controlar

cuando los usuarios pueden iniciar
red,
configurando
horas
de
una sesin en la
inicio
de
sesin
para
conseguir una mayor seguridad e impedir que el sistema

sea atacado o mal utilizado despus de las horas
normales del trabajo.
Definicin de las estaciones de trabajo en las que se
puede sesin con mltiples cuentas para una directiva
que permite a los usuarios iniciar una sesin en los
sistemas localmente.
Propiedades de inicio de sesin, contrasea y caducidad
para poder controlar a los usuarios.
2.3.6 Anlisis tcnico
Por medio de este anlisis se determinaron los principales

requerimientos
tcnicos
para
poder
realizar el
Anlisis de
Autenticacin del Active Directory.
En el primer paso se analiz la red (de ste se obtendrn los

datos
para
comparar
los
requerimientos
implementar
la
herramienta).
44
La herramienta depender
Windows (versin),
de Active Directory y del
lo cual estar en cada una de las
estaciones de trabajo.
Los permisos, dependern del cada puesto y jerarqua
que tengan los usuarios.
El segundo paso ser analizar los usuarios para que uno de

stos sea el administrador del dominio, as este podr dar de
alta a los usuarios de este dominio.
El administrador de dominio especificar cada uno de los
permisos que
tengan cada usuario que est en el
dominio.
2.3.7 Modelado de la arquitectura del Anlisis de Autenticacin

del Active Directory
El objetivo del modelado es darle al analista un panorama de

lo
que
ser
la
manipulacin de
los
datos
dentro
de la
herramienta. El modelado se presenta por lo regular mediante

pantallas, las cuales son divididas por funciones. Para ms
detalle revisar el anexo B.
45
2.4
Diseo
El diseo del manual del usuario y el documento para la

Subadministracin de Explotacin y Anlisis de Bases de Datos
(SEABD) se hizo en base a los puntos requeridos por sta.
2.5 Capacitacin
La capacitacin se realiz con el manual del usuario (ste se
elabor mediante en estndar que se tiene en el SAT) como
apoyo, pues ste contiene
toda la informacin e imgenes
necesarias para la explicacin.
Dicha capacitacin se llev a cabo de la siguiente manera:

Cuatro sesiones de una hora.
Con grupos de 10 personas.
Los puntos que se vieron en sta son:

Qu es Active Directory
Caractersticas del Active Directory
Componentes del Active Directory
46
Unidades Organizacionales
Polticas
Distribucin del Dominio
Demo
2.1.5 Pruebas
Las pruebas que se realizaron para verificar el funcionamiento

ptimo del sistema fueron las siguientes:
Revisar el funcionamiento adecuado de los DNS.
Verificar que los usuarios estn dados de alta para
verificar la autenticacin.
Comprobar que los usuarios entren a sus aplicaciones
adecuadamente autenticndose a la red.
Utilizar varias aplicaciones para verificar la autenticacin
con diferentes usuarios.
47
Probar y verificar los servidores para ver en cul sera

ptimo implementar el Active Directory.
Para la revisin se cont con la presencia de personas de

diferentes reas.
Antes de la capacitacin y de los documentos primero se

realiz una breve explicacin de la forma en que funciona el
sistema, para despus corregir las cosas que se tenan que
cambiar.
Uno de los cambios a realizar es el cambio de los DNS en el
servidor de Active Directory .
Otro cambio importante que se realiz fue el cambio de

permisos a todos los usuarios (una vez dados de alta) para
las diferentes aplicaciones.
2.1.6 Liberacin
La liberacin y entrega del
sistema se realiz das despus
de la fecha de entrega marcada en el diagrama de Gantt,

presentado en el punto 1.5.1 del captulo l.
48
CAPTULO III
CONCLUSIONES
3.1
Dificultades
Las
principales
dificultades
que
se
presentaron
en
la
realizacin del proyecto son las siguientes:

El desconocimiento de vocabulario y trminos tcnicos
manejados
para
dentro del rea, los cuales son utilizados
referirse a los diferentes procesos, por lo que fue
necesario buscar cada trmino en el diccionario de datos

ubicado en la Intranet.
La comprensin y anlisis de la herramienta, as como
cada una de sus opciones y configuracin, para esto se
realiz una investigacin en Internet y libros.
Falta
de
hardware),
las
herramientas
para
dicha
de
dificultad
trabajo
se
(software
utiliz
recursos
personales.
Dificultad
para
la
reconocimiento del
configuracin de los
DNS
para
el
servidor y estacin de trabajo de
prueba, por lo que se solicit al rea de Sistemas e

Instalaciones autorizacin para poder trabajar y hacer
pruebas con esta configuracin.
49
3.2
Logros obtenidos
Al trmino del proyecto, se puede decir que
el objetivo se
cumpli satisfactoriamente, ya que la herramienta podr usarse

por todos los usuarios de Subadministracin de Explotacin y
Anlisis de Bases de Datos (SEABD).
3.3 Recomendaciones
Las recomendaciones para asegurar el buen funcionamiento de

la herramienta son:
Antes
de
instalar
el
Active
Directory
se
tienen
que
configurar los DNS y podr instalarlo con el asistente

para instalacin.
Tener
perfectamente
administrador
del
definido
mismo
para
el
dominio
administrar
el
cuentas,
recursos y los mecanismos de seguridad.

Para resolucin de nombres se hace uso de los DNS
para
asignar
nombres
de
host
(como,
por
ejemplo,
zata.microsoft.com) a direcciones TCP/IP numricas, como

por ejemplo, 172.16.18.8.
50
Verificar el sistema operativo que tiene cada una de las

terminales del dominio, y as se podr determinar como
tendr acceso (Windows 95 y Windows 98 pueden acceder
como parte de un dominio de Windows NT o como parte
de
un
dominio
dependen
de
de
una
Active
Directory.
configuracin
Ambas
de
red
tcnicas
especfica.
Windows Server 2003, Windows XP y Windows 2000

pueden
acceder
la
red
como
clientes
de
Active
Directory).
3.4
Aportaciones
Las
principales
actividades
realizadas
dentro
del
SAT
independientes del proyecto realizado son las siguientes:

Apoyo
en
la
obtencin
de
reportes,
utilizando
herramientas hechas por los mismos trabajadores del

SAT.
Obtener
informacin
mediante
consultas
hechas
en
Microsoft SQLServer.
Apoyo en el conteo y revisin de cdulas pertenecientes
a evaluaciones de capacitacin, que se realizan a todas
las coordinaciones locales de formacin.
51
Apoyo en el desarrollo de estadsticas de los resultados

de las evaluaciones.
Apoyo en la actualizacin de la plantilla de personal del
SAT, empleando Microsoft Access y Microsoft SQLServer.
Se recibi una capacitacin de Programacin Orientada a
Objetos (POO)
haciendo
referencia
al
lenguaje
de
programacin Java.
Apoyo en la organizacin de los formatos de calidad.
52
ANEXOS
ANEXO A
Introduccin
Este documento ha sido diseado como una gua til para

cualquier usuario de Active Directory. Este cubre todo lo necesario
para la realizacin de las tareas administrativas fundamentales.
Puesto que el objetivo es proporcionar la mxima utilidad en una
gua. El lector podr encontrar fcilmente la informacin que
necesita para llevar acabo la tarea correcta.
En resumen, el documento est diseado para ser la gua de

referencia a la que se acuda cada vez que surjan preguntas
relativas a la administracin y manejo de Active Directory. Con
este objetivo, el texto se concentra en los
procedimientos
administrativos, en las tareas ms frecuentemente realizadas, en

ejemplos
documentados
y en las
opciones
que
son
ms
representativas, en lugar de analizar todas las disponibles. Uno de

los objetivos es que el contenido sea conciso, con el fin de que
este resulte fcil de de leer.
A quin va dirigido este Documento?
Active Directory est dirigido a:
Administradores de sistemas Windows Server.
Usuarios avanzados que tengan parte de la responsabilidad

de administracin.
Nuevos administradores.
Usuarios de Active Directory
Para incluir la mxima informacin posible fue preciso

que
el
lector
tiene
conocimientos
bsicos
de
asumir
computacin.
Teniendo eso en mente se ha prescindido de incluir captulos

enteros
dedicados
comprender
la
arquitectura
de
Active
Directory, la instalacin o como iniciar o apagar el Windows.
OBJETIVO
La herramienta Active Directory, tiene como objetivo administrar

de forma eficiente los recursos de la red como:
Controles de acceso
Nombres de inicios de sesin y contraseas.
Identificadores de seguridad
Privilegios
Derechos de inicio de sesin
Capacidades integrales
Permisos de acceso
Esta informacin ser de gran utilidad para la seguridad
en el
departamento.
HISTORIA
Las empresas accedan
a la informacin, correo electrnico y
otros
empresa
recursos
de
la
travs
de
una
Intranet
corporativa.
Qu es el Active Directory?
Es un servicio ampliable y escalable que permite administrar de

forma eficiente los recursos de una red.
Active
Directory
es
el corazn de Microsoft
Windows.
Prcticamente todas las tareas administrativas que lleve acabo

afectaran de alguna manera a Active Directory. Todo se basa en
protocolos estndar de Internet y ayuda a definir claramente la
estructura de la red,
almacena
informacin acerca de objetos
de la red y facilita la bsqueda y utilizacin de esa informacin

por
parte
directorio
de
de
usuarios
Active
Directory
administradores.
utiliza
un
El
almacn
servicio
de
de
datos
estructurado como base de una organizacin lgica jerrquica de

la informacin del directorio.
La seguridad est integrada en Active Directory mediante la

autenticacin del inicio de sesin y el control de accesos a los
objetos del directorio. Con un nico inicio de sesin en la red,

los administradores pueden administrar datos del directorio y de
la organizacin en cualquier punto de la red y los usuarios
autorizados de la red pueden tener acceso a recursos en
cualquier lugar de la red. La administracin basada en directivas
facilita la tarea del administrador incluso en las redes mas
complejas.
Active
Directory
proporciona estructuras lgicas y fsicas para
los componentes de la red.
Las estructuras lgicas son:
Unidades organizativas:
Un subgrupo de dominios que
suele reflejar la estructura empresarial o funcional de la

organizacin.
Dominios:
Un grupo de equipos que comparten una base
de datos de directorios comn.
rboles
de
dominios:
Uno
ms
dominios
que
comparten un espacio de nombres contiguo.

Bosques de dominios:
Uno o ms rboles de dominio
que comparten informacin de directorios comn
Las estructuras fsicas son:
Subredes: Un grupo de red con un rango de direcciones

IP y una mscara de red especficos.
Sitios: Una o ms subredes. Se utilizan para configurar la
replicacin y el acceso de directorios.
Active Directory emplea el sistema DNS (Domain Name System).

DNS es un servicio estndar de Internet que organiza grupos de
equipos en dominios. Los dominios DNS estn organizados en
una estructura jerrquica. La jerarqua de los dominios DNS est
definida en base a Internet y los diferentes niveles de la
jerarqua identifican equipos, dominios de organizacin y dominios
de nivel superior. DNS tambin se utiliza para asignar nombres
de host (como por ejemplo, zeta.microsoft.com) a direcciones
numricas TCP/IP (Transmisin Control Protocol/Internet Protocol)

como, por ejemplo, 192.168.19.2. A travs de DNS tambin se
puede definir una jerarqua de dominio de de Active Directory en
funcin de Internet o sta puede ser independiente y privada.
DNS es una parte integral de la tecnologa de Active Directory

y es necesario configurar los DNS en la red antes de poder
instalar Active Directory.
Un dominio de Active Directory es simplemente un grupo de

equipos que comparte una base de datos de directorios comn.
Cada dominio presenta sus propias directivas de seguridad y
relaciones
de
confianza
con
otros
dominios.
Los
dominios
tambin pueden extenderse por ms de una ubicacin fsica, lo

que significa que un dominio puede estar formado por mltiples
sitios y dichos sitios pueden contener mltiples subredes. En la
base de datos de directorios de un dominio encontrar objetos
que definen las cuentas de usuario, grupo y equipo, adems de
los recursos compartidos, como impresora y carpetas.
Los
dominios
de
Active
Directory
DNS
tienen
finalidades
diferentes. Los dominios de Active Directory permiten administrar

cuentas, recursos, y los mecanismos de seguridad. Los dominios
DNS establecen una jerarqua de dominios que se emplea,
principalmente para la resolucin de nombres.
Para que sirve Active Directory?

Seguridad de Active Directory
Active Directory proporciona un entorno de directorio seguro para
su
organizacin
principales
de
autenticacin
por
la
medio
de
Autoridad
dos
de
las caractersticas
de seguridad local (LSA): la
de inicio de sesin y la autorizacin de usuarios
integrados. La autenticacin del inicio de sesin y la autorizacin

del
usuario
estn
disponibles
de
forma
predeterminada
proporcionan proteccin inmediata para el acceso a la red y

para los recursos de red.
Proteger el acceso a la red

Active
Directory
usuario
requiere la confirmacin de la identidad de un
antes
de
permitir
con
el
nombre de autenticacin. De este modo, los
conocido
el
acceso a la red, en un proceso
usuarios slo tendrn que proporcionar un inicio de sesin nico

al dominio (o dominios de confianza) para obtener acceso a la
red. Una vez que Active Directory haya confirmado la identidad
del usuario, la Autoridad de seguridad local del dominio que
realiza
la
autenticacin
crear
un
testigo
de
acceso
que
establece el nivel de acceso que el usuario posee en los

recursos de red.
Active
Directory
admite una serie de protocolos estndar de
seguridad de Internet y mecanismos de autenticacin que se

usan para comprobar la identidad en el proceso de inicio de
sesin, entre los que se incluyen Kerberos V5, certificados X.509
v3, tarjetas inteligentes, infraestructura de claves pblicas (PKI,
public
key
infrastructure)
Protocolo
ligero
de
acceso
directorios (LDAP) a travs de Nivel de sockets seguros (SSL,

Secure Sockets Layer).
La autenticacin entre dominios tiene lugar a travs de las
denominadas confianzas, que son relaciones establecidas entre
dos o ms dominios que permiten al controlador de un dominio
autenticar a los usuarios de otro dominio.
Las relaciones de confianza pueden ser transitivas o intransitivas,
si bien siempre deben estar presentes para que los usuarios de
un dominio puedan tener acceso a los recursos compartidos de
otro dominio.
Adems
de
proteger
el
acceso
de
red
travs de la
autenticacin, Active Directory protege los recursos compartidos

por medio de la autorizacin del usuario. Una vez que Active
Directory
haya
autenticado el inicio de sesin de un usuario,
los derechos de usuario asignados a ste a travs de los

grupos de seguridad, as como los permisos asignados en el
recurso
compartido,
acceso
autenticacin
ese
determinarn
recurso
protege
los
en
si
el
particular.
recursos
usuario
Este
compartidos
puede
proceso
de
tener
de
posibles
10
accesos no autorizados y, al mismo tiempo, permite el acceso

nicamente a usuarios o grupos autorizados.
Seguridad
Puede controlar el acceso a los recursos de la red con los
componentes
del
modelo
de
seguridad
del
Windows.
Los
componentes claves que necesita conocer son los utilizados para

poscontroles de autenticacin y acceso.
Nota: No trabajar como administrador por que hace que el
equipo sea vulnerable a los caballos de Troya y otros riezgos
para la seguridad.
El inicio de sesin podra ser como:
Grupo de
usuarios.-
Tareas
habituales,
como
ejecutar
programas o visitar sitios de Internet, sin exponer el equipo

a riesgos innecesarios.
11
Miembros del grupo de usuarios.adems,
Tareas avanzadas y
instalar programas, agregar impresoras
y utilizar
la mayor parte de las aplicaciones.
Autenticacin
Esta
consiste
en
el
inicio
autenticacin de red. Cuando
de
la
sesin
interactivo y la
un usuario inicia una sesin en
un equipo, el proceso de inicio
de sesin interactivo autentica
el inicio de sesin del usuario, confirmando la identidad del

usuario en el equipo local y concediendo el acceso al servicio
de
directorio
Active
Directory.
Despus,
cuando
el
usuario
acceda a los recursos de la red se utilizar la autenticacin de

la red para comprobar si el usuario tiene permisos para hacerlo.
Esto funciona de la siguiente manera:
12
1.- El usuario inicia una sesin en el dominio empleando un

nombre de sesin y una contrasea.
2.- El proceso de sesin autentica el acceso del usuario. Con

una cuenta local, los usuarios se autentican localmente y se
concede acceso
al usuario y al equipo local. Con una cuenta
de
credenciales se autentican en Active Directory
dominio, los
y el usuario obtiene acceso a los recursos de la red.
3.-
Ahora
el
usuario
puede autenticarse en cualquier equipo
del dominio mediante el proceso de autenticacin de red.

las cuentas
es
de
automtico.
usuarios
deben
dominio,
Por
el
el
proceso
contrario,
proporcionar
un
con
Con
de autenticacin de red
las cuentas locales los
nombre de usuario y una
contrasea cada vez que aceda un recurso de la red.
13
Acerca de las fuentes de autenticacin

Las fuentes de autenticacin permiten importar y/o autenticar
usuarios y grupos
desde
repositorios
de
usuarios
externos.
Los usuarios y grupos pueden estar en cualquier parte de la

empresa:
Si estn en un servidor de Active Directory, crea una

fuente de autenticacin remota de Active Directory.
Si se encuentran en un servidor LDAP, cree una fuente de

autenticacin de LDAP remota.
Si se encuentran en un servidor Windows NT, cree una

fuente de autenticacin de dominio de NT remota.
14
Si estn en otros sistemas, puede escribir fcilmente su

propio proveedor de autenticacin y, a continuacin, crear una
fuente de autenticacin remota.
La
fuente
de
automticamente
autenticacin
despus
de
Plumtree
se
crea
de la instalacin para la base
de datos del portal de usuarios y grupos. Esta fuente de

autenticacin no se puede modificar ni borrar.
Sincronizacin y autenticacin de usuarios

Puede utilizar las fuentes de autenticacin para sincronizar los
usuarios y los grupos del portal con repositorios externos. Debe
ejecutar un trabajo asociado a la fuente de autenticacin para
sincronizar peridicamente los usuarios y los grupos del portal
con los del repositorio externo.
15
Tambin
puede
autenticar
utilizar
los
las
fuentes
de
autenticacin
para
usuarios del portal con las credenciales
almacenadas en dichos repositorios externos. Sin embargo, los

usuarios de usuario permanecen en el repositorio de usuarios,
no se almacenan
algn
una
usuario
cuenta
en
la
base de datos del portal. Cuando
intenta iniciar la sesin en el portal mediante

de
usuario
importada,
el
portal
confirma
la
contrasea con el repositorio de usuarios fuente. Esto significa

que la
contrasea de portal
la del repositorio fuente.
Por
del usuario siempre coincide con

ejemplo, si un usuario con una
cuenta de portal importada de NT cambia la contrasea, puede

iniciar
la
sesin
inmediatamente
en el portal con dicha
contrasea. Si ya ha iniciado la sesin

volver
en el portal, debe
a iniciarla con la nueva contrasea porque el portal ya
no podr reconocer la antigua.
Fuentes de autenticacin remotas

En Plumtree estn disponibles los proveedores de fuentes de
autenticacin remotas de Active Directory, LDAP y Dominio NT;
16
estos
proveedores
autenticar usuarios
se
pueden
y grupos
utilizar
para
importar
de los servidores asociados. Si
los usuarios y grupos estn en un sistema personalizado, como

una
base
autenticarlos
de
datos
fcilmente
personalizada,
escribiendo
su
puede
propio
importarlos y
proveedor
de
fuente de autenticacin remota utilizando el Kit de desarrollo

Web de empresa de Plumtree.
Plumtree proporciona los siguientes proveedores de fuentes de
autenticacin:
Active Directory
LDAP
Dominio NT
Sistemas que permiten el uso de Active Directory
Active
Directory
Windows Server
est
diseado
2003 y
sistemas
para
funcionar
Windows
95,
con
sistemas
Windows
98,
Windows NT, Windows XP y Windows 2000. si esta instalado el

software
necesario,
los
sistemas
Windows
95,
Windows
98,
17
Windows XP y Windows 2000 acceden a la red como cliente de

Active Directory. Los sistemas Windows NT (y los sistemas
Windows 95,
posteriores,
no
actualizados
con
el software
cliente de Active Directory) acceden a la red como si se

encontrasen en un dominio de Windows NT, siempre que el nivel
funcional del dominio de Active Directory lo permita y est
definido un dominio de Windows NT.
Equipos Windows Server 2003, Windows XP y Windows

2000 con Active Directory
Los equipos Windows XP Professional y Windows 2000 pueden

hacer uso completo de Active Directory. Estos equipos acceden
a la red como cliente de Active Directory y pueden utilizar todas
las caractersticas Active Directory.
18
Los sistemas Windows Server 2003 proporcionan servicios a

otros sistemas y pueden actuar como controladores de dominio o
servidores miembro. Un controlador de dominio se diferencia de
un servidor miembro en que ejecuta Active Directory. Puede
promocionar
servidores
miembro
controladores
de
dominio
instalando Active Directory.
Todos los equipos de Windows 2000, Windows XP y
Windows
Server 2003 que se unen a un dominio disponen de cuentas de

equipo. Al igual que otros recursos, las cuentas de equipo se
guardan en Active Directory como objetos. Puede utilizar cuentas
de equipo para controlar el acceso de la red y a sus recursos.
Un equipo puede acceder a un dominio utilizando su cuenta,
que se autentica antes de que el equipo pueda acceder a la
red.
Windows 95 y Windows 98
Los sistemas Windows 95 y Windows 98 puede trabajar con

Active Directory
de dos maneras. Pueden acceder a la red

19
como parte de un dominio de Windows NT a como parte de un

dominio de Active Directory. Ambas tcnicas dependen de una
configuracin de red especfica.
Qu beneficios se han obtenido?
Menor
tiempo
capacidad
de
de
implementacin.
instalar
un
Se
controlador
prev
de
que
dominio
la
de
replicacin a partir de dispositivos de respaldo reduzca

drsticamente el tiempo requerido para implementar Active
Directory.
20
Capacidad de administracin mejorada. Se espera que

las
funciones
Dominio,
tales
un
como
complemento
Management Console,
Renombrar
el
optimizado
Controlador de
de
Microsoft
y la funcionalidad WMI, as como
Terminal Services para la administracin remota, permita a

los miembros del equipo administrar la Intranet con mayor
facilidad.
Mayor rendimiento.
La aplicacin de esta herramienta
mejora el rendimiento del servidor WEB para la Intranet.

Adems prev que la capacidad de controlar el trfico de
replicacin ofrezca una gran ventaja en la organizacin y
ancho de banda.
Seguridad mejorada. La inclusin del protocolo Kerberos,
as como IPSec para los servicios de VPN, proporcionan
una seguridad estrecha y flexible.
Seguridad de la informacin. El control de acceso se
puede
definir
para
cada
objeto (usuarios,
servidores,
estaciones, etc.) del directorio y para cada una de las

propiedades del objeto.
Administracin basada en polticas. Establece un conjunto
de
normas de
uso
de
acceso,
comportamiento
de
los
equipos y vistas a la informacin de la empresa.
21
Capacidad de ampliacin. Los administradores tienen la

posibilidad de agregar nuevos objetos y nuevos atribitos al
esquema del Directorio Activo.
Replicacin
de
la
informacin.
Permite
actualizar
el
directorio en cualquier controlador de dominio.

Integracin con DNS (Domain Name Services). Mediante
el uso del sistema de nombres de dominio.
Consultas flexibles. Los usuarios y administradores pueden
utilizar el comando buscar, para encontrar rpidamente un
objeto en la red.
VENTAJAS Y DESVENTAJAS DE ACTIVE DIRECTORY
VENTAJAS:
Active
El
servicio
Directory
Microsoft
Active
Directory
simplifica
la
administracin de directorios de red complejos y facilita que

los usuarios localicen recursos incluso en las redes de
22
mayor
tamao.
Este
servicio
de directorios de nivel
empresarial es escalable, creado desde el principio con

tecnologas
estndar
de
Internet
est
plenamente
integrado, a nivel de sistema operativo, en Windows Server

Standard, Windows
Server
Enterprise
Windows
Server
Datacenter.
Windows Server proporciona numerosas mejoras fciles de

usar en Active Directory y nuevas funciones, incluyendo las
relaciones
cambiar
desactivar
de
el
confianza entre bosques, la posibilidad de

nombre de los dominios y la posibilidad de
atributos
y clases en el esquema para que se
puedan modificar sus definiciones.
Directiva de grupo: Consola

directivas
de
de
administracin
de
grupo
Los administradores pueden usar la Directiva de grupo para

definir la configuracin y las acciones permitidas para los
usuarios y equipos. A diferencia de las directivas locales, la
Directiva de grupo se puede utilizar para establecer directivas
23
que se aplicarn a un sitio, dominio o unidad organizativa

determinados en Active Directory. La administracin basada
en directivas, simplifica tareas como el funcionamiento de
actualizaciones del sistema, la instalacin de aplicaciones, la
creacin de perfiles de usuario y el bloqueo de sistemas de
escritorio.
La
Consola
(GPMC),
de
que
componente
administracin
seguramente
complementario
en
de
directivas
de
grupo
estar disponible como

Windows
Server
2003,
proporciona e l nuevo marco para administrar la Directiva de

grupo. Con GPMC, la Directiva de grupo se hace ms fcil
de usar, una ventaja que permitir
Directory
beneficiarse
de
sus
utilizar mejor Active
potentes
funciones
de
administracin.
Rendimiento
del
servidor
En pruebas internas, Windows Server 2003 muestra un

rendimiento
enormemente
superior
sobre
las
versiones
anteriores de los sistemas operativos de servidor Windows.
24
Por ejemplo, el rendimiento de los archivos y del servidor

Web es dos veces ms rpido que en Windows NT Server
4.0.
Mientras
que
las mejoras de rendimiento
del
SAT
pueden variar debido a una configuracin nica de redes

y equipos, Microsoft confa en que el rendimiento mejorado
de
Windows
Server
2003
ayudar
proporcionar
un
servicio ms rpido para las soluciones de red.
Restauracin
Como
parte
de
instantnea
de
volmenes
del servicio Instantnea de volmenes, esta
funcin permite que los administradores configuren copias

de datos vitales en un momento determinado, sin que se
interrumpa
el
servicio.
Estas
copias
pueden
usarse
posteriormente para restaurar el servicio, para archivo o

para restauracin. Los usuarios pueden recuperar versiones
archivadas de sus documentos, que se mantienen de forma
no visible en el servidor. La productividad queda mejorada
gracias
la
posibilidad
de recuperar documentos de una
forma ms ptima.
25
Servicios de Internet Information Server 6.0 y Microsoft .NET

Framework
Servicios de Internet Information Server (IIS) 6.0 es un servidor
Web de funciones completas que posibilita la creacin de
aplicaciones Web y servicios Web XML. La arquitectura de
IIS 6.0 ha sido completamente reconstruida, con un nuevo
modelo de proceso de tolerancia a errores que mejora
significativamente la confiabilidad de las aplicaciones y los sitios
Web.
Ahora, IIS puede aislar una aplicacin Web individual o

varios
sitios
en un proceso autocontenido (llamado un
grupo de aplicaciones) que se comunica directamente con el

ncleo del sistema operativo. Esta funcin aumenta el
rendimiento
proporcionando
la
a
la
capacidad
vez
ms
de las aplicaciones,
espacio
libre
en
los
servidores, con lo que se reducen de forma efectiva los

requisitos
de
autocontenidos
hardware.
impiden
Estos
que
una
grupos
de
aplicacin
aplicaciones
o
un
sitio
interrumpan los servicios Web XML u otras aplicaciones
26
Web
del
servidor.
IIS tambin ofrece capacidades de supervisin del estado

con el fin de descubrir, recuperar e impedir errores en las
aplicaciones
Web. En Windows Server 2003, Microsoft
ASP.NET usa de forma nativa el nuevo modelo de proceso

de IIS. Estas funciones avanzadas de deteccin y estado
de las aplicaciones tambin estn disponibles para las
aplicaciones ya existentes que se ejecuten en Internet
Information
Server
4.0
en IIS 5.0, sin que la inmensa
mayora de las aplicaciones necesiten ninguna modificacin.
Servicios
Los
Servicios
de
de
Terminal
Terminal
Server
le
permiten
Server
entregar
aplicaciones basadas en Windows, o el propio escritorio de

Windows, virtualmente a cualquier dispositivo informtico,
incluyendo aquellos dispositivos que no ejecutan Windows.
Cuando los usuarios ejecutan una aplicacin en Terminal Server,
la ejecucin de la aplicacin se produce en el servidor, y
nicamente se transmite a travs de red la informacin del
27
teclado, el mouse (ratn) y la pantalla. Los usuarios slo

ven su propia sesin individual, administrada de forma
transparente por el sistema operativo del servidor, y que
permanece independiente de cualquier otra sesin cliente.
El Escritorio remoto para administracin crea el modo de

administracin remota de los Servicios de Terminal Server de
Windows
2000.
Adems
de
las
dos
sesiones
virtuales
disponibles en el modo de administracin remota de los

Servicios
de
Terminal
Server
de
Windows
2000,
un
administrador tambin puede conectarse de forma remota a la

consola
Terminal
actual
Server
puede
de
un
mejorar
las
servidor.
capacidades
de
implementacin de software de una empresa en una gran

variedad
usando
de
las
situaciones
tecnologas
que
seran difciles de resolver
tradicionales
de
distribucin
de
aplicaciones.
28
Organizacin de clsteres (compatibilidad con ocho nodos)

Este
servicio
proporciona
una alta disponibilidad y
escalabilidad para aplicaciones vitales como bases de datos,

sistemas de mensajera y servicios de archivos e impresin.
La organizacin en clsteres funciona habilitando mltiples
servidores (nodos) para que permanezcan en comunicacin
constante. En caso de que uno de los nodos del clster no
est
disponible
debido
un
error
a que se estn
realizando tareas de mantenimiento, otro nodo comenzar

inmediatamente
denominado
estn
conmutacin
teniendo
actividades,
proporcionar
error.
Los
acceso
al
servicio
saber
que
ahora
sin
proporciona
por
servicios,
un
servidor
un
proceso
usuarios
que
continuarn sus
el
distinto
servicio
lo
(nodo).
Compatibilidad con PKI integrada utilizando Kerberos

Versin
Mediante el uso de los Servicios de Certificate Server y las

herramientas
de
administracin
de
certificados,
las
organizaciones pueden implementar su propia infraestructura

de claves pblicas (PKI). PKI permite a los administradores
implementar tecnologas basadas en estndares, como las
capacidades de inicio de sesin con tarjeta inteligente, la
autenticacin
de
clientes
(mediante
el
Nivel de sockets
seguro y la Seguridad del nivel de transporte), el correo

electrnico seguro, las firmas digitales y la conectividad segura
29
(mediante
la
Mediante
Seguridad
los
de
protocolo
Servicios
de
Internet
Certificate
(IPSec).
Server,
los
administradores pueden configurar y administrar entidades

emisoras
de certificados que emiten y revocan certificados
X.509 V3. Esto significa que las organizaciones no tienen

que depender de los servicios de autenticacin de cliente
comerciales, aunque los servicios de autenticacin de cliente
comerciales pueden estar integrados en la
de
claves
pblicas
de
la
infraestructura
organizacin.
Kerberos versin 5 es un protocolo de autenticacin de

red
estndar
compatibilidad
del
sector
ampliamente
probado.
La
con Kerberos versin 5 proporciona a los
usuarios un proceso de inicio de sesin rpido y nico

que les permite obtener el tipo de acceso que necesitan a
los recursos empresariales, as como a otros entornos
compatibles
con
este
protocolo. La compatibilidad con
Kerberos versin 5 incluye ventajas adicionales, como la

autenticacin
proporcionar
mutua
(el
autenticacin)
cliente
y el servidor deben
y la autenticacin delegada (se
hace un seguimiento integral de las contraseas del usuario).
Administracin
La
familia
desde
de
la
Windows
lnea
Server
de
comandos
proporciona
una
30
infraestructura
de
lnea
de
comandos
significativamente
mejorada, permitiendo que los administradores realicen la

mayora de las tareas de administracin sin usar una
interfaz grfica de usuario. Resulta especialmente importante
la
posibilidad
de
realizar
una
amplia gama de tareas
mediante la obtencin de acceso al almacn de informacin

habilitado por el Instrumental de administracin de Windows
(WMI). Esta funcin WMI de lnea de comandos (WMIC)
proporciona una interfaz sencilla de lnea de comandos que
interopera con comandos de utilidades y shells ya existentes y
que puede ampliarse fcilmente con secuencias de comandos
o con otras aplicaciones orientadas a la administracin.
Globalmente, la mejor funcionalidad de lnea de comandos de

la familia de Windows Server, en combinacin con secuencias
de comandos listas para su uso, rivaliza con la eficacia de otros
sistemas operativos asociados frecuentemente a un mayor costo
de propiedad. Los administradores habituados a utilizar la
lnea de comandos para administrar sistemas UNIX o Linux
31
pueden continuar realizando tareas de administracin desde la

lnea de comandos en la familia de Windows Server.
Servicios de archivos inteligentes: Sistema de archivos de

cifrado, Sistema de archivos distribuido y Servicio de
replicacin
de
archivos
El Sistema de archivos de cifrado (EFS) permite que los usuarios

cifren y descifren archivos para protegerlos de intrusos que
puedan obtener acceso fsico no autorizado a sus datos
confidenciales almacenados (por ejemplo, mediante el robo de
un
porttil
de
una
unidad
de
disco
externo).
El cifrado es transparente: Los usuarios pueden trabajar con

archivos y carpetas cifrados de la misma forma que con
cualquier otro archivo o carpeta. Si el usuario de EFS es la
misma persona que cifr el archivo o la carpeta, el sistema
descifrar automticamente el archivo o la carpeta cuando el
usuario
lo
utilice
ms
adelante.
El Sistema de archivos distribuido (DFS) simplifica la tarea de
32
administrar recursos de disco compartidos en una red. Los

administradores
pueden
asignar nombres lgicos a las
unidades compartidas en una red, en lugar de requerir que

los usuarios conozcan el nombre fsico asignado a cualquier
servidor
El
al
que
necesiten
tener
acceso.
Servicio de replicacin de archivos (FRS) es una mejora
significativa respecto a la funcin de replicacin de directorios de

Windows NT Server 4.0. Por ejemplo, FRS proporciona
replicacin de archivos de varios principales en rboles de
directorios designados entre servidores designados. FRS lo
utiliza tambin DFS para sincronizar automticamente el
contenido entre las replicaciones asignadas y Active Directory
tambin lo utiliza para sincronizar automticamente el contenido
de la informacin de los volmenes del sistema entre los
controladores de dominio.
DESVENTAJAS:
Solo es compatible con las diferentes
versiones
de
Windows
33
Cmo se implementa?
Microsoft Windows Server 2003 R2 Standard Edition
Componente
Requerimiento
Computadora y procesador
PC con al menos un procesador

de 133 MHz; se recomienda un
procesador de 550 MHz o ms
veloz; soporte para hasta cuatro
procesadores en un mismo
servidor.
Memoria
Por lo menos 128 MB de RAM; se

recomienda memoria de 256 MB o
ms hasta un mximo de 4 GB.
Disco rgido
Entre 1.25 y 2 GB de espacio

disponible en el disco rgido.
Lector
Lector de CD-ROM o DVD-ROM.
Monitor
VGA o hardware que admita la

redireccin de consola; se
recomienda un Super VGA con
resolucin 800 x 600 o superior.
Microsoft Windows Server 2003 R2 Enterprise Edition

Componente
Requerimiento

veloz; soporte para hasta ocho
servidor.
Memoria

Disco rgido
34

Lector
Monitor

Microsoft Windows Server 2003 R2 Datacenter Edition

Componente
Requerimiento
Al menos un procesador de 400

MHz; se recomienda un
procesador de 733 MHz.
Memoria
Por lo menos 512 MB de memoria

RAM; se recomienda memoria de
1 GB o ms hasta un mximo de
128 GB.
Disco rgido
1.5 GB de espacio disponible en el

disco rgido.
Otros
Mnimo: mquina con

multiprocesador de 8 vas;
mximo: mquina con
multiprocesador de 32 vas.
Microsoft Windows Server 2003 Web Edition

Componente
Requerimiento

Memoria
128 MB de memoria RAM (se

recomienda una de 256 MB; hasta
un mximo de 2 GB).
Disco rgido

disco rgido.
35
Microsoft Windows Server 2003 Standard Edition

Componente
Requerimiento

veloz (Windows Server 2003
Standard Edition admite hasta
cuatro procesadores en un mismo
servidor).
Memoria

Disco rgido

Lector
Monitor

Microsoft Windows Server 2003 Enterprise Edition

Componente
Requerimiento
Procesador de 133 MHz o

superior para PCs x86; 733-MHz
para PCs Itanium; hasta ocho
procesadores para versiones de
32 o 64 bits.
Memoria
Mnimo: 128 MB de RAM;

mximo: 32 GB para PCs x86 con
versin de 32 bits y 64 GB para
PCs Itanium con versin de 64
bits.
Disco rgido
36
disco rgido para PCs x86; 2 GB

para PCs Itanium; se necesita
espacio suplementario si la
instalacin se realiza en red.
Lector
Monitor

redireccin de consola.
Otros
Windows Server 2003 Enterprise

Edition. La versin de 64 bits es
solamente compatible con
sistemas Intel de 64 bits, y no
puede instalarse en versiones de
32 bits.
Microsoft Windows Server 2003 Datacenter Edition

Componente
Requerimiento

superior para PCs x86 o 733-MHz
para PCs Itanium. Se recomienda
uno de 733 MHz.
Memoria
Mnimo: 512 MB de memoria

RAM; Se recomienda 1 GB.
Disco rgido

disco rgido para PCs x86; 2.0 GB
para PCs Itanium.
Otros
Mnimo: mquina con

mximo: mquina con
37
Requerimientos para implementar Active Directory

Componente
Requerimiento

servidor.
Memoria

Disco rgido

Lector
Monitor


Componente
Requerimiento

servidor.
Memoria

Disco rgido
38

Lector
Monitor


Componente
Requerimiento

Memoria

128 GB.
Disco rgido

disco rgido.
Otros
Mnimo: mquina con

mximo: mquina con

Componente
Requerimiento

Memoria

un mximo de 2 GB).
Disco rgido

disco rgido.
39

Componente
Requerimiento

servidor).
Memoria

Disco rgido

Lector
Monitor


Componente
Requerimiento

32 o 64 bits.
Memoria

bits.
Disco rgido
40

Lector
Monitor

Otros

32 bits.

Componente
Requerimiento

uno de 733 MHz.
Memoria

Disco rgido

para PCs Itanium.
Otros
Mnimo: mquina con

mximo: mquina con
41
ANEXO B
Administracin Central de Capacitacin Fiscal

Administracin de Desarrollo de Herramientas Tecnolgicas
MANUAL DE USUARIO
ACTIVE DIRECTORY
MANUAL DE USUARIO
ACTIVE DIRECTORY
Elvia Raquel Ramrez Espinosa de los Monteros
Abril 2006

MANUAL DE USUARIO
ACTIVE DIRECTORY
Indice
NDICE
OBJETIVO.3
NECESIDADES DEL CLIENTE...4
DESCRIPCIN GENERAL DEL SISTEMA..5
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
OBJETIVO

Controles de acceso
Privilegios

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Permisos de acceso
Esta informacin ser de gran utilidad para la seguridad y control de

la red en la
Subadministracin de Explotacin y Anlisis de
Bases de Datos (SEABD).
NECESIDADES DEL CLIENTE
Autenticacin.
Una sola contrasea.
Contrasea segura.
Privilegios para cada usuario.
Permisos de acceso.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Administracin de equipos.
DESCRIPCIN GENERAL DE ACTIVE DIRECTORY
Esta
herramienta
cuenta
con un inicio de
podrn acceder tres grupos de usuarios:

Usuarios de dominio
Usuarios locales
Administrador
sesin con
el
cual

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Cada usuario y
grupos
tendrn diferentes privilegios en el
manejo del sistema.
Las cuentas de usuarios de dominio podrn:

Acceder a los recursos del dominio.
Crear cuentas de usuario de dominio en usuarios y equipos
de Active Directory.
Las cuentas de usuarios locales podrn:

Tener acceso al equipo local y deben autenticarse para
acceder a los recursos de la red.
Crear
cuentas de usuario locales con la utilidad Usuarios
Locales .
La cuenta Administrador (predeterminada) podr:

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Tener acceso total a archivos, directorios, servicios y otros
recursos.
Consultar, Actualizar y Validar Usuarios.
Actualizar grupos, usuarios y permisos.
Nota: La cuenta de Administrador no puede ser eliminada ni

deshabilitada.
A continuacin se describirn las pantallas a configurar dentro del

Active Directory para el manejo de seguridad tanto dentro del
controlador del dominio como de el dominio en general, de igual forma
el manejo de usuarios y servicios activos dentro del entorno de la red.
En la siguiente imagen se encuentran definidas las polticas de

cuentas de acceso al controlador del dominio, dentro de las cuales se
pueden definir los tiempos de vida de las contraseas, guardar una
bitcora de contraseas, cual es el tamao mnimo de las contraseas
y la definicin de expiracin de las mismas tanto mnimo como
mximo.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Start/Programs/admin tools/Domain Controller Security Policy/AccountPolicies
En la siguiente imagen se puede observar la definicin de los

derechos de cada usuario al acceder al controlador del dominio, es
decir, quienes y a que tendrn acceso dentro del servidor controlando
y auditando todos los movimientos que estos hagan dentro del
servidor para con ello poder detectar si los permisos son los
adecuados o existen usuarios que estn accediendo a recursos a los

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
cuales por su naturaleza o posicin dentro de la red no deberan de
acceder y con ello poder modificar los permisos como es debido.
Start/Programs/admintools/DomainControllersecurityPolicy/UserRightsAssigment

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se puede observar las opciones de seguridad
del controlador del dominio donde se puede auditar los accesos y el
uso de recursos de sistema invlidos para los usuarios no permitidos
dentro del controlador as como el bloqueo de permisos para
renombrar la cuenta de administrador o la activacin del usuario
guest o el restringir el acceso a perifricos como floppy o cd-rom.
Start/Programs/admin tools/DomainControllerSecurityPolicy/SecurityOptions

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
A continuacin se muestran las polticas de uso del visor de eventos y
se refiere a que usuarios tendrn acceso a verificarlos, grabarlos o
borrarlos para su manipulacin
Start/Programs/admin tools/DomainControllerSecurityPolicy/Settings for EventLogs

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Ya explicados las diferentes polticas de acceso al controlador de
dominio, ahora se explicara con imgenes, cuales son las polticas y
que hacer en cada una de ellas para el control del dominio en general,
es decir, cada usuario valido que se loguee dentro del dominio ser
controlado como se especifica a continuacin, estos controles incluyen
que servicios pueden tener corriendo en sus mquinas y de igual
forma dentro de la computadora a qu recursos del sistema tendrn
acceso.
Para poder llevar a cabo este tipo de administracin es necesario que
los perfiles creados en las computadoras solamente tengan usuarios
propios del dominio con caractersticas como se definieron dentro del
controlador del dominio, esto es, no todos los usuarios tendrn control
de su computadora, ya que no existe usuario local que pueda instalar
o modificar los recursos del sistema sin la autorizacin del
administrador del dominio.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se definen las polticas de contraseas para los

usuarios del dominio, definiendo tamao de la contrasea, tiempo de
expiracin y que se guarde historial de la misma.
Start/Programs/admin tools/DomainControllerSecurityPolicy/Password Policy

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se definen los tiempos de bloqueo de la
contrasea y el nmero de intentos antes de que se bloquee esta y
puedan volver a intentar loguearse al dominio.
Start/Programs/admintools/DomainControllerSecurityPolicy/AccountLockoutPolicy

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
A continuacin se muestra la configuracin de Kerberos, que sirve
para la seguridad de contraseas aplicando un nivel de encripcin
para que no sean robadas en caso de que alguien este corriendo una
prueba de software espa (snifer) dentro de la red.
Start/Programs/admin tools/DomainControllerSecurityPolicy/KerberosPolicy

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se muestra la poltica con la cual se grabaran
bitcoras de contraseas, como son: eventos de logon, privilegios de
uso, eventos de sistema, y eventos de directorios, todo esto se guarda
en la bitcora para poder hacer una auditoria de eventos en caso de
detectar algn mal uso en las cuentas de los usuarios del dominio.
Start/Programs/AdminTools/DomainControllerSecurityPolicy/AuditPolicy

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se muestra la asignacin de permisos dentro
del dominio tal como se explic en el controlador de dominio pero con
la diferencia que este aplica a las mquinas que se irn conectando al
dominio y no define permisos de acceso al servidor controlador del
dominio.

ACTIVE DIRECTORY
Start/Programs/admintools/DomainControllerSecurityPolicy/UserRightsAssignment
MANUAL DE USUARIO
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Cuando se requiere controlar a los usuarios del dominio en la siguiente
pantalla se muestra las opciones de seguridad para hacerlo, ya que
con esta se puede controlar desde perifricos hasta la combinacin de
teclas ctrl+alt+del para conectarse al dominio, cada una de las
opciones que se muestran en la imagen pueden ser manipuladas por
el administrador para poder asignar permisos o quitarlos ya sea a
grupos de trabajo a usuarios en forma individual

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Start/Programs/admin tools/DomainControllerSecurityPolicy/SecurityOptions
Esta imagen muestra la configuracin del visor de sucesos definiendo

el tamao del archivo dividido en 3 partes: Aplicacin, Seguridad y
sistema; de igual forma permite restringir a usuarios guest para que
puedan consultar estos eventos en computadoras de la red para evitar
que usuarios ajenos a la computadora pueda verificar eventos dentro
de esta y pueda hacer mal uso de la misma.

ACTIVE DIRECTORY
Start/Programs/admintools/DomainControllerSecurityPolicy/SettingsForEventLogs
MANUAL DE USUARIO
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se puede observar la lista de servicios que
sern iniciados para las computadoras en la red y es posible definir
cuando un servicio debe arrancar forzosamente, como por ejemplo: el
antivirus y as evitar que los usuarios puedan desactivarlo y se lleguen
a tener problemas de virus en la red.

ACTIVE DIRECTORY
Start/Programs/admintools/DomainControllerSecurityPolicy/SystemServices
MANUAL DE USUARIO
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
A continuacin se mostrar la configuracin de los usuarios de la red,
la creacin de los mismos y la asignacin de grupos de trabajo para
efectos de la aplicacin de polticas dentro del dominio
La siguiente imagen muestra una configuracin inicial del dominio para

la cual existen usuarios predefinidos tales como: Administrador, guest,
DnsAdmins, etc. Y es aqu donde se pueden ir agregando los usuarios
que tendrn acceso al dominio.
Start/Programs/admintools/DomainControllerSecurityPolicy/Users

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se muestra, los grupos predefinidos del

dominio dentro de los cuales se pueden ir agragando usuarios
dependiendo de los requerimientos del administrador, por omisin un
nuevo usuario siempre estar dentro del grupo Users. Cuando se
requiere la aplicacin de polticas de acceso a los recursos del dominio
es necesario la creacin de grupos de trabajo para poder delimitar
polticas de una forma mas sencilla lo cual facilita la administracin del
dominio.
Start/Programs/admintools/DomainControllerSecurityPolicy/Builtin

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se muestra como crear un usuario, para lo cual

se seguirn los pasos que aparecen a continuacin
Paso 1.- se selecciona el grupo de usuarios, se define que ser un

nuevo usuario a crear.
Start/Programs/admintools/DomainControllerSecurityPolicy/Users/New/Userr

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Paso 2 .- Dentro de esta ventana se introducen los datos del usuario
como son: Nombre, apellido y cual ser el nombre de usuario para
acceso al dominio.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Paso 3.- Definicin de contrasea y de igual forma se selecciona para
que cada ocasin que se conecte al dominio cambie su contrasea o
bien se deja que apliquen las polticas definidas en el dominio en
cuanto a la expiracin de la contrasea.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Paso 4.- En la siguiente imagen se muestra como qued configurada
la nueva cuenta de acceso,
con el nombre de usuario, nombre
completo y propiedades de la contrasea definidas con anterioridad.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
La siguiente imagen muestra las propiedades de la cuenta creada
dentro de la cual se podrn manipular tanto los datos creados, como el
poder dar de alta mas de estos para complementar el registro (como
telfono, extensin, organizacin perfil de acceso pos escritorio
remoto, etc).

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
A continuacin se muestra el grupo al cual pertenece el usuario y si se
requiere cambiarlo a otro grupo para aplicar polticas grupales

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
A continuacin se muestra la lista de grupos creados en el dominio
para poder cambiar al usuario al o los grupos deseados para que
forme parte de ellos dependiendo de los requerimientos del
administrador del dominio, o de la organizacin en general.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se muestran los servicios a controlar por el
dominio como pueden ser: IIS, SMTP, FTP, etc.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se muestra como anexar dominios de
confianza con el dominio creado, ya sea que exista otro controlador de
dominio o se hayan creados Child Domains para lo cual ser
necesario que ambos controladores de dominio tengan relaciones de
confianza lo que conlleva a una comunicacin entre usuarios de
ambos dominios.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En la siguiente imagen se muestran las propiedades del dominio el
cual tiene un mixed mode es decir fue creado para soportar sesiones
no nativas de Windows 2000 lo cual indica que usuarios con Windows
XP podrn conectarse al dominio de igual forma como uno que tenga
Windows 2000 en su computadora, es posible cambiar el modo del
controlador del dominio, sin embargo al hacerlo los usuarios que no
tengan Windows 2000 de forma nativa en su computadora no podrn
convivir en el dominio.

ACTIVE DIRECTORY
MANUAL DE USUARIO
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
En esta imagen se pueden agregar los dominios que tendrn
relaciones de confianza con el que se esta configurando creando con
esto un forest, es decir, un ambiente de varios servidores de dominio
que podrn convivir entre si y los usuarios podrn tener comunicacin
y acceso a los recursos compartidos de los dominios que pertenezcan
al forest.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
A continuacin se muestra el DNS que es de suma importancia para el
buen desempeo del dominio ya que este servicio es el encargado de
la comunicacin entre computadoras al resolver los nombres de cada
una de ellas facilitando la comunicacin, dentro de este se crean las
zonas definidas por direccionamiento IP que para las cuales se
resolvern los nombres de las computadoras y de igual forma al
manejar servicios como ISS (Pagina Web), ya que este servicio sirve
para poder encontrar las direcciones IP que tienen relacin a un
nombre de dominio.

ACTIVE DIRECTORY
MANUAL DE USUARIO
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Introduccin
Este documento ha sido diseado como una gua til para
cualquier usuario de Active Directory. Este cubre todo lo necesario
para la realizacin de las tareas administrativas fundamentales.
Puesto que el objetivo es proporcionar la mxima utilidad en una
gua. El lector podr encontrar fcilmente la informacin que
necesita para llevar acabo la tarea correcta.
En resumen, el documento est diseado para ser la gua de

referencia a la que se acuda cada vez que surjan preguntas
relativas a la administracin y manejo de Active Directory. Con
este objetivo, el texto se concentra en los
procedimientos
administrativos, en las tareas ms frecuentemente realizadas, en

ejemplos
documentados
y en las
opciones
que
son
ms
representativas, en lugar de analizar todas las disponibles. Uno de

los objetivos es que el contenido sea conciso, con el fin de que
este resulte fcil de leer.
Pgina 3

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
A quin va dirigido este Documento?
Active Directory est dirigido a:
Administradores de sistemas Windows Server.
Usuarios avanzados que tengan parte de la responsabilidad

de administracin.
Nuevos administradores.
Usuarios de Active Directory
Para incluir la mxima informacin posible fue preciso

que
el
lector
tiene
conocimientos
bsicos
de
asumir
computacin.
Teniendo eso en mente se ha prescindido de incluir captulos

enteros
dedicados
comprender
la
arquitectura
de
Active
Directory, la instalacin o como iniciar o apagar el Windows.

Pgina 4

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
OBJETIVO

Controles de acceso
Privilegios
Permisos de acceso
Esta informacin ser de gran utilidad para la seguridad

departamento.
Pgina 5
en el

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Qu es el Active Directory?
Es un servicio ampliable y escalable que permite administrar de

forma eficiente los recursos de una red.
Active
Directory
es
el corazn de Microsoft
Windows.
Prcticamente todas las tareas administrativas que lleve acabo

afectaran de alguna manera a Active Directory. Todo se basa en
protocolos estndar de Internet y ayuda a definir claramente la
estructura de la red,
almacena
informacin acerca de objetos
de la red y facilita la bsqueda y utilizacin de esa informacin

por parte de usuarios y administradores. El servicio de directorio
de Active Directory utiliza un almacn de
datos estructurado
como
jerrquica
base
de
una
organizacin
lgica
de
la
informacin del directorio.
La seguridad est integrada en Active Directory mediante la

autenticacin del inicio de sesin y el control de accesos a los
Pgina 6

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
objetos del directorio. Con un nico inicio de sesin en la red,
los administradores pueden administrar datos del directorio y de
la organizacin en cualquier punto de la red y los usuarios
autorizados de la red pueden tener acceso a recursos en
cualquier lugar de la red. La administracin basada en directivas
facilita la tarea del administrador incluso en las redes mas
complejas.
Active
Directory
proporciona estructuras lgicas y fsicas para
los componentes de la red.
Pgina 7

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Las estructuras lgicas son:
Unidades organizativas:
Un subgrupo de dominios que
suele reflejar la estructura empresarial o funcional de la

organizacin.
Dominios:
Un grupo de equipos que comparten una base
de datos de directorios comn.
rboles
de
dominios:
Uno
ms
dominios
que
comparten un espacio de nombres contiguo.
Bosques de dominios:
que
comparten
Uno o ms rboles de dominio
informacin
Pgina 8
de
directorios
comn.

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Las estructuras fsicas son:
Subredes: Un grupo de red con un rango de direcciones

IP y una mscara de red especficos.
Sitios: Una o ms subredes. Se utilizan para configurar la

replicacin y el acceso de directorios.
Active Directory emplea el sistema DNS (Domain Name System).

DNS es un servicio estndar de Internet que organiza grupos de
equipos en dominios. Los dominios DNS estn organizados en
una estructura jerrquica. La jerarqua de los dominios DNS est
definida en base a Internet y los diferentes niveles de la
jerarqua identifican equipos, dominios de organizacin y dominios
de nivel superior. DNS tambin se utiliza para asignar nombres
de host (como por ejemplo, zeta.microsoft.com) a direcciones
numricas TCP/IP (Transmisin Control Protocol/Internet Protocol)
como, por ejemplo, 192.168.19.2. A travs de DNS tambin se
Pgina 9

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
puede definir una jerarqua de dominio de de Active Directory en
funcin de Internet o sta puede ser independiente y privada.
DNS es una parte integral de la tecnologa de Active Directory

y es necesario configurar los DNS en la red antes de poder
instalar Active Directory.
Un dominio de Active Directory es simplemente un grupo de

equipos que comparte una base de datos de directorios comn.
Cada dominio presenta sus propias directivas de seguridad y
relaciones
de
confianza
con
otros
dominios.
Los
dominios
tambin pueden extenderse por ms de una ubicacin fsica, lo

que significa que un dominio puede estar formado por mltiples
sitios y dichos sitios pueden contener mltiples subredes. En la
base de datos de directorios de un dominio encontrar objetos
que definen las cuentas de usuario, grupo y equipo, adems de
los recursos compartidos, como impresora y carpetas.
Pgina 10

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Los
dominios
de
Active
Directory
DNS
tienen
finalidades
diferentes. Los dominios de Active Directory permiten administrar

cuentas, recursos, y los mecanismos de seguridad. Los dominios
DNS establecen una jerarqua de dominios que se emplea,
principalmente para la resolucin de nombres.
Para qu sirve Active Directory?

Seguridad de Active Directory
Active Directory proporciona un entorno de directorio seguro para
su
organizacin
principales
de
autenticacin
por
la
medio
de
Autoridad
dos
de
las caractersticas
de seguridad local (LSA): la
de inicio de sesin y la autorizacin de usuarios
integrados. La autenticacin del inicio de sesin y la autorizacin

del
usuario
estn
disponibles
de
forma
predeterminada
proporcionan proteccin inmediata para el acceso a la red y

para los recursos de red.
Pgina 11

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Proteger el acceso a la red
Active
Directory
usuario
requiere la confirmacin de la identidad de un
antes
de
permitir
con
el
nombre de autenticacin. De este modo, los
conocido
el
acceso a la red, en un proceso
usuarios slo tendrn que proporcionar un inicio de sesin nico

al dominio (o dominios de confianza) para obtener acceso a la
red. Una vez que Active Directory haya confirmado la identidad
del usuario, la Autoridad de seguridad local del dominio que
realiza
la
autenticacin
crear
un
testigo
de
acceso
que
establece el nivel de acceso que el usuario posee en los

recursos de red.
Active
Directory
admite una serie de protocolos estndar de
seguridad de Internet y mecanismos de autenticacin que se

usan para comprobar la identidad en el proceso de inicio de
sesin, entre los que se incluyen Kerberos V5, certificados X.509
v3, tarjetas inteligentes, infraestructura de claves pblicas (PKI,
public
key
infrastructure)
Protocolo
Pgina 12
ligero
de
acceso

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
directorios (LDAP) a travs de Nivel de sockets seguros (SSL,
Secure Sockets Layer).
La autenticacin entre dominios tiene lugar a travs de las
denominadas confianzas, que son relaciones establecidas entre
dos o ms dominios que permiten al controlador de un dominio
autenticar a los usuarios de otro dominio.
Las relaciones de confianza pueden ser transitivas o intransitivas,
si bien siempre deben estar presentes para que los usuarios de
un dominio puedan tener acceso a los recursos compartidos de
otro dominio.
Adems
de
proteger
el
acceso
de
red
travs de la
autenticacin, Active Directory protege los recursos compartidos

por medio de la autorizacin del usuario. Una vez que Active
Directory
haya
autenticado el inicio de sesin de un usuario,
los derechos de usuario asignados a ste a travs de los

grupos de seguridad, as como los permisos asignados en el
recurso
compartido,
determinarn
Pgina 13
si
el
usuario
puede
tener

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
acceso
autenticacin
ese
recurso
protege
los
en
particular.
recursos
Este
proceso
compartidos
de
de
posibles
accesos no autorizados y, al mismo tiempo, permite el acceso

nicamente a usuarios o grupos autorizados.
Seguridad
Puede controlar el acceso a los recursos de la red con los
componentes
del
modelo
de
seguridad
del
Windows.
Los
componentes claves que necesita conocer son los utilizados para

poscontroles de autenticacin y acceso.
Nota: No trabajar como administrador por que hace que el
equipo sea vulnerable a los caballos de Troya y otros riezgos
para la seguridad.
Pgina 14

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
El inicio de sesin podra ser como:
Grupo de
usuarios.-
Tareas
habituales,
como
ejecutar
programas o visitar sitios de Internet, sin exponer el equipo

a riesgos innecesarios.
Miembros del grupo de usuarios.adems,
Tareas avanzadas y
instalar programas, agregar impresoras
y utilizar
la mayor parte de las aplicaciones.

Autenticacin
Esta
consiste
en
el
inicio
autenticacin de red. Cuando
de
la
sesin
interactivo y la
un usuario inicia una sesin en
un equipo, el proceso de inicio
de sesin interactivo autentica
el inicio de sesin del usuario, confirmando la identidad del

usuario en el equipo local y concediendo el acceso al servicio
de
directorio
Active
Directory.
Despus,
cuando
el
usuario
acceda a los recursos de la red se utilizar la autenticacin de

la red para comprobar si el usuario tiene permisos para hacerlo.
Pgina 15

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Esto funciona de la siguiente manera:
1.- El usuario inicia una sesin en el dominio empleando un
nombre de sesin y una contrasea.
2.- El proceso de sesin autentica el acceso del usuario. Con
una cuenta local, los usuarios se autentican localmente y se
concede acceso
al usuario y al equipo local. Con una cuenta
de
credenciales se autentican en Active Directory
dominio, los
y el usuario obtiene acceso a los recursos de la red.

3.-
Ahora
el
usuario
puede autenticarse en cualquier equipo
del dominio mediante el proceso de autenticacin de red.

las cuentas
es
de
automtico.
usuarios
deben
dominio,
Por
el
el
proceso
contrario,
proporcionar
un
con
de autenticacin de red
las cuentas locales los
nombre de usuario y una
contrasea cada vez que aceda un recurso de la red.
Pgina 16
Con

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Acerca de las fuentes de autenticacin
Las fuentes de autenticacin permiten importar y/o autenticar
usuarios y grupos
desde
repositorios
de
usuarios
externos.
Los usuarios y grupos pueden estar en cualquier parte de la

empresa:
Si estn en un servidor de Active Directory, crea una

fuente de autenticacin remota de Active Directory.
Si se encuentran en un servidor LDAP, cree una fuente de

autenticacin de LDAP remota.
Si se encuentran en un servidor Windows NT, cree una
fuente de autenticacin de dominio de NT remota.
Si estn en otros sistemas, puede escribir fcilmente su
propio proveedor de autenticacin y, a continuacin, crear una
fuente de autenticacin remota.
La
fuente
de
automticamente
autenticacin
despus
de
Plumtree
se
crea
de la instalacin para la base
de datos del portal de usuarios y grupos. Esta fuente de

autenticacin no se puede modificar ni borrar.
Pgina 17

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Sincronizacin y autenticacin de usuarios
Puede utilizar las fuentes de autenticacin para sincronizar los
usuarios y los grupos del portal con repositorios externos. Debe
ejecutar un trabajo asociado a la fuente de autenticacin para
sincronizar peridicamente los usuarios y los grupos del portal con los
del repositorio externo.
Tambin
puede
utilizar
las
fuentes
de
autenticacin
para
autenticar a los usuarios del portal con las credenciales almacenadas

en
dichos repositorios externos. Sin
usuario
permanecen
almacenan
usuario
en
la
en
el
embargo, los usuarios de
repositorio de usuarios, no
se
base de datos del portal. Cuando algn
intenta iniciar la sesin en el portal mediante una cuenta
de usuario importada, el
portal confirma la
contrasea
con
el
repositorio de usuarios fuente. Esto significa que la contrasea de

portal del usuario siempre coincide con la del repositorio fuente.
Por ejemplo, si un usuario con una cuenta de portal importada
de
NT
cambia
la
contrasea,
puede iniciar la
sesin
inmediatamente en el portal con dicha contrasea. Si ya ha

iniciado la sesin
en el portal, debe
volver
a iniciarla con la
nueva contrasea porque el portal ya no podr reconocer la

antigua.
Pgina 18

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Fuentes de autenticacin remotas
En Plumtree estn disponibles los proveedores de fuentes de
autenticacin remotas de Active Directory, LDAP y Dominio NT;
estos
proveedores
autenticar usuarios
se
pueden
y grupos
utilizar
para
importar
de los servidores asociados. Si
los usuarios y grupos estn en un sistema personalizado, como

una
base
autenticarlos
de
datos
fcilmente
personalizada,
escribiendo
su
puede
propio
importarlos y
proveedor
de
fuente de autenticacin remota utilizando el Kit de desarrollo

Web de empresa de Plumtree.
Plumtree proporciona los siguientes proveedores de fuentes de
autenticacin:
Active Directory
LDAP
Dominio NT
Pgina 19

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Sistemas que permiten el uso de Active Directory
Active
Directory
Windows Server
est
diseado
2003 y
para
sistemas
funcionar
Windows
con
95,
sistemas
Windows
98,
Windows NT, Windows XP y Windows 2000. si esta instalado el

software
necesario,
los
sistemas
Windows
95,
Windows
98,
Windows XP y Windows 2000 acceden a la red como cliente de

Active Directory. Los sistemas Windows NT (y los sistemas
Windows 95,
posteriores,
no
actualizados
con
el
software
cliente de Active Directory) acceden a la red como si se

encontrasen en un dominio de Windows NT, siempre que el nivel
funcional del dominio de Active Directory lo permita y est
definido un dominio de Windows NT.
Pgina 20

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Equipos Windows Server 2003, Windows XP y Windows
2000 con Active Directory
Los equipos Windows XP Professional y Windows 2000 pueden

hacer uso completo de Active Directory. Estos equipos acceden
a la red como cliente de Active Directory y pueden utilizar todas
las caractersticas Active Directory.
Los sistemas Windows Server 2003 proporcionan servicios a

otros sistemas y pueden actuar como controladores de dominio o
servidores miembro. Un controlador de dominio se diferencia de
un servidor miembro en que ejecuta Active Directory. Puede
promocionar
servidores
miembro
controladores
de
dominio
instalando Active Directory.
Todos los equipos de Windows 2000, Windows XP y
Windows
Server 2003 que se unen a un dominio disponen de cuentas de

equipo. Al igual que otros recursos, las cuentas de equipo se
Pgina 21

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
guardan en Active Directory como objetos. Puede utilizar cuentas
de equipo para controlar el acceso de la red y a sus recursos.
Un equipo puede acceder a un dominio utilizando su cuenta,
que se autentica antes de que el equipo pueda acceder a la
red.
Windows 95 y Windows 98
Los sistemas Windows 95 y Windows 98 puede trabajar con

Active Directory
de dos maneras. Pueden acceder a la red
como parte de un dominio de Windows NT a como parte de un

dominio de Active Directory. Ambas tcnicas dependen de una
configuracin de red especfica.
Pgina 22

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Qu beneficios se han obtenido?
Menor tiempo de implementacin. Se prev que la capacidad
de instalar un controlador de dominio de replicacin a partir
de dispositivos de respaldo reduzca drsticamente el tiempo
requerido para implementar Active Directory.
Capacidad de administracin mejorada. Se espera que las
funciones tales como Renombrar el Controlador de Dominio,
un complemento optimizado de Microsoft Management Console,
y la funcionalidad WMI, as como Terminal Services para la
administracin remota, permita a los miembros del equipo
administrar la Intranet con mayor facilidad.
Mayor rendimiento. La aplicacin de esta herramienta mejora
el rendimiento del servidor WEB para la Intranet. Adems prev
que la capacidad de controlar el trfico de replicacin ofrezca
una gran ventaja en la organizacin y ancho de banda.
Seguridad mejorada. La inclusin del protocolo Kerberos,
as como IPSec para los servicios de VPN, proporcionan
una seguridad estrecha y flexible.
Pgina 23

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Seguridad de la informacin. El control de acceso se
puede
definir
para
cada
objeto (usuarios,
servidores,
estaciones, etc.) del directorio y para cada una de las

propiedades del objeto.
Administracin basada en polticas. Establece un conjunto
de
normas de
uso
de
acceso,
comportamiento
de
los
equipos y vistas a la informacin de la empresa.

Capacidad de ampliacin. Los administradores tienen la
posibilidad de agregar nuevos objetos y nuevos atributos al
esquema del Directorio Activo.
Replicacin
de
la
informacin.
Permite
actualizar
el
directorio en cualquier controlador de dominio.

Integracin con DNS (Domain Name Services). Mediante
el uso del sistema de nombres de dominio.
Consultas flexibles. Los usuarios y administradores pueden
utilizar el comando buscar, para encontrar rpidamente un
objeto en la red.
Pgina 24

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
VENTAJAS Y DESVENTAJAS DE ACTIVE DIRECTORY
VENTAJAS:
Active Directory
El servicio Microsoft Active Directory simplifica la administracin
de directorios de red complejos y facilita que los usuarios
localicen recursos incluso en las redes de mayor tamao. Este
servicio de directorios de nivel empresarial es escalable, creado
desde el principio con tecnologas estndar de Internet y est
plenamente integrado,
Windows
Server
nivel
de
Standard, Windows
sistema
Server
operativo,
Enterprise
en
y
Windows Server Datacenter.
Windows Server
proporciona numerosas mejoras fciles de
usar en Active Directory y nuevas funciones, incluyendo las

relaciones de confianza entre bosques, la posibilidad de cambiar
el nombre de los dominios y la posibilidad de desactivar atributos
y clases en el esquema para que se puedan
definiciones.
Pgina 25
modificar
sus

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Directiva de grupo: Consola
de
administracin
de
directivas de grupo
Los administradores pueden usar la Directiva de grupo para definir
la configuracin y las acciones permitidas para los usuarios y
equipos. A diferencia de las directivas locales, la Directiva de grupo
se puede utilizar para establecer directivas que se aplicarn a un
sitio, dominio o unidad organizativa determinados
Directory.
La
administracin
en
Active
basada en directivas, simplifica
tareas como el funcionamiento de actualizaciones del sistema, la

instalacin de aplicaciones, la creacin de perfiles de usuario y el
bloqueo de sistemas de escritorio.
La Consola de administracin de directivas de grupo (GPMC),
que
seguramente
estar
disponible
como
componente
complementario en Windows Server 2003, proporciona l nuevo

marco para administrar la Directiva de grupo. Con GPMC, la
Directiva de grupo se hace ms fcil de usar, una ventaja
que permitir utilizar mejor Active Directory y beneficiarse de sus
potentes funciones de administracin.
Pgina 26

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Rendimiento del servidor
En pruebas internas, Windows Server 2003 muestra un rendimiento
enormemente superior sobre las versiones anteriores de los
sistemas operativos de servidor Windows. Por ejemplo, el
rendimiento de los archivos y del servidor Web es dos veces ms
rpido que en Windows NT Server 4.0. Mientras que las mejoras
de rendimiento del SAT pueden variar debido a una configuracin
nica de redes y equipos, Microsoft confa en que el rendimiento
mejorado de Windows Server 2003 ayudar a proporcionar un
servicio ms rpido para las soluciones de red.
Restauracin de instantnea de volmenes
Como parte del servicio Instantnea de volmenes, esta funcin
permite que los administradores configuren copias de datos vitales
en un momento determinado, sin que se interrumpa el servicio.
Estas copias pueden usarse posteriormente para restaurar el
servicio, para archivo o para restauracin. Los usuarios pueden
recuperar versiones archivadas de sus documentos, que se
mantienen de forma no visible en el servidor. La productividad
queda
mejorada gracias
la
documentos de una forma ms ptima.
Pgina 27
posibilidad
de recuperar

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Servicios de Internet Information Server 6.0 y Microsoft .NET
Framework
Servicios de Internet Information Server (IIS) 6.0 es un servidor
Web de funciones completas que posibilita la creacin de
aplicaciones Web y servicios Web XML. La arquitectura de IIS
6.0 ha sido completamente reconstruida, con un nuevo modelo
de proceso de tolerancia a errores que mejora significativamente
la
confiabilidad
de
las
aplicaciones
los
sitios
Web.
Ahora, IIS puede aislar una aplicacin Web individual o varios

sitios en un proceso autocontenido (llamado un grupo de
aplicaciones) que se comunica directamente con el ncleo del
sistema operativo. Esta funcin aumenta el rendimiento y la
capacidad de las aplicaciones, proporcionando a la vez ms
espacio libre en los servidores, con lo que se reducen de forma
efectiva los requisitos de hardware. Estos grupos de aplicaciones
autocontenidos
impiden
que
una
aplicacin
un
sitio
interrumpan los servicios Web XML u otras aplicaciones

Web del servidor.
Pgina 28

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
IIS tambin ofrece capacidades de supervisin del estado con el
fin de descubrir, recuperar e impedir errores en las aplicaciones
Web. En Windows Server 2003, Microsoft ASP.NET usa de forma
nativa el nuevo modelo de proceso de IIS. Estas funciones
avanzadas de deteccin y estado de las aplicaciones tambin estn
disponibles para las aplicaciones ya existentes que se ejecuten en
Internet Information Server 4.0 y en IIS 5.0, sin que la inmensa
mayora de las aplicaciones necesiten ninguna modificacin.
Servicios de Terminal Server
Los Servicios de Terminal Server le permiten entregar aplicaciones

basadas en Windows, o el propio escritorio de Windows,
virtualmente a cualquier dispositivo informtico, incluyendo aquellos
dispositivos que no ejecutan Windows. Cuando los usuarios
ejecutan una aplicacin en Terminal Server, la ejecucin de la
aplicacin se produce en el servidor, y nicamente se transmite a
travs de red la informacin del teclado, el mouse (ratn) y la
pantalla. Los usuarios slo ven su propia sesin individual,
administrada de forma transparente por el sistema operativo del
servidor, y que permanece independiente de cualquier otra sesin
cliente.
Pgina 29

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
El Escritorio remoto para administracin crea el modo de
administracin remota de los Servicios de Terminal Server de
Windows
2000.
Adems
de
las
dos
sesiones
virtuales
disponibles en el modo de administracin remota de los

Servicios
de
Terminal
Server
de
Windows
2000,
un
administrador tambin puede conectarse de forma remota a la

consola actual de un servidor.
Terminal
Server
puede
mejorar
las
capacidades
de
implementacin de software de una empresa en una gran

variedad
usando
de
las
situaciones
tecnologas
que
seran difciles de resolver
tradicionales
de
distribucin
de
aplicaciones.
Organizacin de clsteres (compatibilidad con ocho nodos)

Este
servicio
proporciona
una alta disponibilidad y
escalabilidad para aplicaciones vitales como bases de datos,

sistemas de mensajera y servicios de archivos e impresin.
Pgina 30

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
La organizacin en clsteres funciona habilitando mltiples
servidores (nodos) para que permanezcan en comunicacin
constante. En caso de que uno de los nodos del clster no
est
disponible
debido
un
error
a que se estn
realizando tareas de mantenimiento, otro nodo comenzar

inmediatamente
denominado
estn
proporcionar
conmutacin
teniendo
actividades,
sin
por
servicios,
error.
Los
acceso
al
servicio
saber
que
ahora
un
proceso
usuarios
que
continuarn sus
el
servicio
lo
proporciona un servidor distinto (nodo).
Compatibilidad con PKI integrada utilizando Kerberos

Versin 5
Mediante el uso de los Servicios de Certificate Server y las
herramientas de administracin de certificados, las organizaciones
pueden implementar su propia infraestructura de claves pblicas
(PKI). PKI permite a los administradores implementar tecnologas
Pgina 31

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
basadas en estndares, como las capacidades de inicio de sesin
con tarjeta inteligente, la autenticacin de clientes (mediante el
Nivel de sockets seguro y la Seguridad del nivel de transporte), el
correo electrnico seguro, las firmas digitales y la conectividad
segura (mediante la Seguridad de protocolo Internet (IPSec).
Mediante los Servicios de Certificate Server, los administradores

pueden configurar y administrar entidades emisoras de certificados
que emiten y revocan certificados X.509 V3. Esto significa que
las organizaciones no tienen que depender de los servicios de
autenticacin de cliente comerciales, aunque los servicios de
autenticacin de cliente comerciales pueden estar integrados en
la
infraestructura de claves pblicas de la organizacin.
Kerberos versin 5 es un protocolo de autenticacin de
red
estndar del sector ampliamente probado. La compatibilidad con

Kerberos versin 5 proporciona a los usuarios un proceso de
inicio de sesin rpido y nico
Pgina 32
que les permite obtener el

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
tipo de acceso que necesitan a los recursos empresariales, as
como a otros entornos compatibles
con
este
protocolo. La
compatibilidad con Kerberos versin 5 incluye ventajas adicionales,

como la autenticacin
mutua
(el
cliente
y el servidor deben
proporcionar autenticacin) y la autenticacin delegada (se hace

un seguimiento integral de las contraseas del usuario).
Administracin desde la lnea de comandos

La familia de Windows Server proporciona una infraestructura
de lnea de comandos significativamente mejorada, permitiendo que
los administradores realicen la mayora
de
las
tareas
de
administracin sin usar una interfaz grfica de usuario. Resulta

especialmente importante la posibilidad de realizar una amplia
gama de tareas mediante la obtencin de acceso al almacn
de informacin habilitado por el Instrumental de administracin de
Windows (WMI). Esta funcin WMI de lnea de comandos (WMIC)
proporciona una interfaz sencilla de lnea de comandos que
Pgina 33

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
interopera con comandos de utilidades y shells ya existentes y que
puede ampliarse fcilmente con secuencias de comandos o con
otras
aplicaciones
orientadas
la
administracin.
Globalmente, la mejor funcionalidad de lnea de comandos de la

familia de Windows Server, en combinacin con secuencias de
comandos listas para su uso, rivaliza con la eficacia de otros
sistemas operativos asociados frecuentemente a un mayor costo de
propiedad. Los administradores habituados a utilizar la lnea de
comandos para administrar sistemas UNIX o Linux pueden
continuar realizando tareas de administracin desde la lnea de
comandos en la familia de Windows Server.
Pgina 34

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Servicios de archivos inteligentes: Sistema de archivos de
cifrado, Sistema de archivos distribuido y Servicio de
replicacin de archivos
El Sistema de archivos de cifrado (EFS) permite que los usuarios

cifren y descifren archivos para protegerlos de intrusos que puedan
obtener acceso fsico no autorizado a sus datos confidenciales
almacenados (por ejemplo, mediante el robo de un porttil o de una
unidad de disco externo).
El cifrado es transparente: Los usuarios pueden trabajar con

archivos y carpetas cifrados de la misma forma que con cualquier
otro archivo o carpeta. Si el usuario de EFS es la misma persona
que
cifr
el
archivo
la
carpeta,
el
sistema
descifrar
automticamente el archivo o la carpeta cuando el usuario lo utilice

ms adelante.
Pgina 35

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
El Sistema de archivos distribuido (DFS) simplifica la tarea de
administrar recursos de disco compartidos en una red. Los
administradores pueden asignar nombres lgicos a las unidades
compartidas en una red, en lugar de requerir que los usuarios
conozcan el nombre fsico asignado a cualquier servidor al que
necesiten tener acceso.
El
Servicio de replicacin de archivos (FRS) es una mejora
significativa respecto a la funcin de replicacin de directorios de

Windows NT Server 4.0. Por ejemplo, FRS proporciona replicacin
de archivos de varios principales en rboles de directorios
designados entre servidores designados. FRS lo utiliza tambin
DFS para sincronizar automticamente el contenido entre las
replicaciones asignadas y Active Directory tambin lo utiliza para
sincronizar automticamente el contenido de la informacin de los
volmenes del sistema entre los controladores de dominio.
Pgina 36

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
DESVENTAJAS:
Solo es compatible con las diferentes
versiones
de
Windows
Cmo se implementa?
Componente
Requerimiento

servidor.
Memoria

Disco rgido
Pgina 37

MANUAL DE USUARIO
ACTIVE DIRECTORY
Lector
Monitor


Componente
Requerimiento

servidor.
Memoria
Pgina 38
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Disco rgido

Lector
Monitor


Componente
Requerimiento

Memoria
Pgina 39

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
128 GB.
Disco rgido

disco rgido.
Otros
Mnimo: mquina con

mximo: mquina con

Componente
Requerimiento

Memoria
Pgina 40

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
un mximo de 2 GB).
Disco rgido

disco rgido.

Componente
Requerimiento

servidor).
Memoria

Pgina 41

MANUAL DE USUARIO
ACTIVE DIRECTORY
Disco rgido

Lector
Monitor


Componente
Requerimiento

32 o 64 bits.
Memoria
Pgina 42
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
bits.
Disco rgido

Lector
Monitor

Otros

Pgina 43

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
32 bits.
Componente
Requerimiento

uno de 733 MHz.
Memoria

Disco rgido

para PCs Itanium.
Otros
Mnimo: mquina con

Pgina 44

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
mximo: mquina con
Requerimientos para implementar Active Directory

Componente
Requerimiento

servidor.
Memoria

Pgina 45

MANUAL DE USUARIO
ACTIVE DIRECTORY
Disco rgido

Lector
Monitor


Componente
Requerimiento

servidor.
Pgina 46
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Memoria

Disco rgido

Lector
Monitor


Componente
Requerimiento

Pgina 47

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Memoria

128 GB.
Disco rgido

disco rgido.
Otros
Mnimo: mquina con

mximo: mquina con

Componente
Requerimiento

Pgina 48

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Memoria

un mximo de 2 GB).
Disco rgido

disco rgido.

Componente
Requerimiento

servidor).
Memoria

Pgina 49

MANUAL DE USUARIO
ACTIVE DIRECTORY
Disco rgido

Lector
Monitor


Componente
Requerimiento

32 o 64 bits.
Pgina 50
Ver 1.0

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
Memoria

bits.
Disco rgido

Lector
Monitor

Otros

Pgina 51

MANUAL DE USUARIO
Ver 1.0
ACTIVE DIRECTORY
32 bits.
Componente
Requerimiento

uno de 733 MHz.
Memoria

Disco rgido

para PCs Itanium.
Otros
Mnimo: mquina con
Pgina 52

MANUAL DE USUARIO
ACTIVE DIRECTORY
mximo: mquina con
Pgina 53
Ver 1.0
MATERIAL DE
CONSULTA
STANEK William R.,
Microsoft WINDOWS SERVER 2003,
Mc
Graw Hill, Espaa, 2004.
STANEK William R.,
Support Tools,
Mc Graw Hill, Espaa,
2004.
Federic Aunth. 07-Enero-2001.Directorio activo.11-Septiembre-2005

http://www.Microsoft.com/spain/technet/productos/directorioactivo/defa
ult.mspx
22-Agosto-2003.WidowsServer.20-Septiembre-2005.http://www.
Microsoft.com/mexico/www.microsoft.com/technet/prodtechnol/window
sserver2003/es/library/ServerHelp/a9d684f0-90b
Will Thomass.Julio
del
2000.Active Directory feature.7-octubre-
2005.www.microsoft.com/windows2000/es/server/help/active_directory
_feature.htm
Jhanna Smit.15-Diciembre-2005.Novedades de Active Directory.23Octubre-2005 www. microsoft. com/windows2000 /es/advanced/help

/sag_DNS_und_ActiveDirIntegration.htm
29-abril-2004.ServerHelp.29-Octubre-2005.www.microsoft.com/
technet/prodtechnol/windowsserver2003/es/library/ServerHelp/77a19a
e8-bff
www.microsoft.com/windows2000/es/advanced/help/sag_ADtopnode.h
tm
msdn.microsoft.com/library/SPA/vbcon/html/vboriintroductiontoactivedir
ectoryobjects.asp
www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/
ServerHelp/5712b108-176
www.microsoft.com/windows2000/es/advanced/help/sag_ADintro_12.h
tm
www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/
ServerHelp/51f178fd-18c
www.microsoft.com/windows2000/es/advanced/help/sag_adintro_1.ht
m
http://www.microsoft.com/latam/technet/articulos/windows2k/chapt-4/
GLOSARIO
Administradores (Administrators):
es un
grupo
local
que
proporciona acceso administrativo total a un equipo individual o a

un dominio en funcin de su ubicacin. Dado que esta cuenta
tiene acceso total. Solo los miembros del grupo Administradores
pueden modificar esta cuenta.
Administrador de dominio (Domain Adminis): es un grupo

global diseado para ayudarle a administrar todos los equipos de
un dominio. Este grupo tiene el control administrativo sobre todos
los equipos de un dominio.
Contraseas
maysculas
seguras:
y
es
una
cadena
que
minsculas.
Los
caracteres
diferencia
vlidos
para
entre
las
contraseas son las letras, nmeros y smbolos.
Delegacin de control: el administrador puede autorizar
DNS (Domain Name System): es un servicio estndar de Internet

que organiza grupos de equipos en dominios.
Domain Controller: es un equipo con Windows Server
que
almacena una rplica de directorio del dominio (base de datos).

Pueden existir Mltiples Domain Controllers en un solo dominio.
Dominio: es la estructura lgica en el Active Directory, que

almacena millones de objetos en el Global Catalog dentro de un
Domain Controller.
Dominios:
un grupo de equipos que comparten una base de
datos de directorios comn.
Global Catalog: es el repositorio global de almacenamiento

alojado en un Domain Controller, el cual contiene la informacin
de los objetos del directorio.
Kerberos: es un protocolo estndar de Internet para autenticar

usuarios y sistemas, es el principal mecanismo de autenticacin
de Windows Server.
NTML (NT Local Area Network [LAN] manager, NTLM): es el

principal protocolo de
autenticacin de Windows NT. Se utiliza
para autenticar equipos en un dominio de Windows NT.
Subredes: un grupo de red con un rango de direcciones IP y

una mscara de red especficos.
TCP/IP
(Transmisin
Control
Protocol/Internet
Protocolo de control de transmisin/protocolo Internet.
Protocol):
Usuarios y equipos de Active Directory (Active Directory Users

And Computers), que est diseada para administrar las cuentas
de un dominio de Active Dierectory.
Usuarios y grupos locales (Local Users And Groups), que est

diseada para administrar las cuentas de un equipo local.

Universidad Tecnológica de Querétaro

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Universidad Tecnológica de Querétaro

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD TECNOLGICA DE QUERTARO

Voluntad. Conocimiento. Servicio.

ANLISIS DE AUTENTICACIN DEL ACTIVE DIRECTORY

SERVICIO DE ADMINISTRACIN TRIBUTARIA

Reporte de Estada para Obtener

ELVIA RAQUEL RAMREZ ESPINOSA DE LOS MONTEROS

UNIVERSIDAD TECNOLGICA DE QUERTARO

Voluntad. Conocimiento. Servicio.

ANLISIS DE AUTENTICACIN DEL ACTIVE DIRECTORY

SERVICIO DE ADMINISTRACIN TRIBUTARIA

Primero que nada quiero agradecer a Dios por darme vida,

incondicional y que ha sido mi principal motor desde el da en

Deseo expresar mi ms profundo afecto y aprecio a la Ing.

Me gustara tambin reconocer la contribucin de las numerosas

Romero, Lorena Corona.

CAPTULO I ANLISIS DE AUTENTICACIN DEL ACTIVE

Servicio de Administracin Tributaria (SAT)

1.1.2 Organigrama General

1.1.3 Organigrama del rea (SEABD)

Definicin del proyecto

Eleccin de la alternativa ptima

1.5.1 Diagrama de Gantt

CAPTULO II DESARROLLO DEL PROYECTO

2.1 Descripcin detallada del plan de trabajo

2.2.1 Objetivo del sistema

2.3.2 Viabilidad econmica

2.3.4 Viabilidad tcnica

2.3.5 Anlisis de necesidades

2.3.6 Anlisis tcnico

2.3.7 Modelo de la arquitectura del Anlisis de Autenticacin

CAPTULO III CONCLUSIONES

El modelo educativo de la Universidad Tecnolgica de Quertaro

El proyecto se llev a cabo en el Servicio de Administracin

Dentro del SAT existe la Subadministracin de Explotacin y

Se cre un documento, un manual de usuario y se capacit al

En este mismo se plasmaron los objetivos y el alcance que se

AUTENTICACIN DEL ACTIVE DIRECTORY).

En el segundo captulo se exponen de forma detallada todas las

Por ltimo, en el tercer captulo se abordan temas relacionados

Servicio de Administracin Tributaria (SAT)

1.1.1 Giro de la empresa

continuacin se presenta informacin de la empresa, sta se

tom de la Intranet del Servicio de Administracin Tributaria

A partir del primero de julio de 1997 surge el Servicio de

ha ejercido la Subsecretaria de ingresos, que

por objeto dar

respuesta a demandas y necesidades

que surgen de la propia dinmica econmica y socia del pas,

actividad de recaudacin de impuestos se realice

de manera eficaz y eficiente, ante todo, en un marco de justicia

destaca la necesidad de garantizar la aplicacin

correcta y oportuna de la legislacin fiscal y aduanera de manera

De esta manera, al contar con una organizacin especializada

recaudacin de impuestos de manera eficaz y ante todo, en un

disponer de recursos necesarios para ejecutar los programas

Objetivo de la Subadministracin de Explotacin y Anlisis

Coordinar el desarrollo de sistemas de cmputo que faciliten el

1.1.2 Organigrama general

El Servicio de Administracin Tributaria (SAT) depende de la

1. Administracin General de Tecnologa de la Informacin (AGTI).

Administracin General de Evaluacin (AGE).

La Administracin General de Innovacin y Calidad, tiene a su

Administracin Central de Capacitacin Fiscal (ACCF), que est