Explicamos cómo agregar un equipo con sistema operativo Microsoft Windows XP ó Microsoft Windows 7 a un dominio formado por un equipo servidor con Microsoft Windows Server 2003. Mostramos los requisitos tanto para el servidor como para los equipos clientes que se agregarán al dominio, indicamos cómo crear un usuario en el dominio (Active Directory) y las distintas directivas de contraseñas. Indicamos las ventajas y desventajas principales de pertenecer a un dominio.

• ¿Por qué agregar equipos cliente con Windows XP ó Windows 7 a un dominio Windows Server 2003 ó Windows Server 2008?.
• Requisitos iniciales para validación en dominio Windows Server.
  • Servidor con Windows Server 2003 ó Windows Server 2008.
  • Servidor promocionado a controlador de dominio (Active Directory).
  • Disponer de una red LAN y todos los equipos conectados a la red, incluido el servidor.
  • Servidor de DNS, equipo controlador de dominio.
  • Configuración de red equipo cliente.
  • Sistema operativo para el equipo cliente que agregaremos al dominio Windows.
• Crear los usuarios de los equipos clientes en el servidor Windows Server 2003, establecer directivas de contraseñas.
  • Alta de usuarios en el dominio, servidor con Active directory.
  • Directiva de cuenta, directiva de contraseñas, caducidad, historial, longitud mínima.
• Obtener datos necesarios para agregar equipos cliente a un dominio Windows.
• Agregar equipo con Windows XP a dominio Windows Server 2003.
• Agregar equipo con Windows 7 a dominio Windows Server 2003.
• Recomendaciones importantes para los equipos clientes agregados al dominio Windows.
• Artículos relacionados.
• Créditos.

¿Por qué agregar equipos cliente con Windows XP ó Windows 7 a un dominio Windows Server 2003 ó Windows Server 2008?

En una organización con 10 ó más equipos es recomendable disponer de un dominio Windows con al menos un servidor controlador de dominio con Windows Server 2000, Windows Server 2003 ó Windows Server 2008 y todos los equipos agregados a este dominio. La ventaja principal es que, de esta forma, es posible aplicar directivas de seguridad y configuración a los equipos de nuestra organización de forma automática y centralizada. Así podremos tener los equipos clientes "controlados" sin necesidad de ir equipo por equipo aplicando las políticas de seguridad y configuración.

Otra gran ventaja de disponer de un dominio Windows es que nos ayudará a cumplir la Ley de Protección de Datos (LOPD) pues, al validar los equipos en el dominio Windows, los usuarios y contraseñas se "almacenan" en el servidor y no en el equipo cliente. De esta forma es posible, mediante directivas, controlar la caducidad de contraseñas, la fortaleza de contraseñas y auditar los accesos (aciertos y fallos). Todo ello de forma centraliza en el servidor (o servidores) controladores del dominio.

Por el motivo anterior, conseguimos otra ventaja y es que, dado que los usuarios y contraseñas quedan almacenadas en el servidor controlador de dominio (o servidores) cualquier usuario podrá iniciar sesión en cualquier equipo de la organización sin que se haya creado el usuario en el equipo local, puesto que los equipos agregados al dominio realizan la validación (comprobación de las credenciales de usuario y contraseña) en el servidor y no en el equipo local. Esto supone una gran ventaja pues nos evitará tener que crear las cuentas de usuario que vayan a usar el equipo en el propio equipo, mejorando así la movilidad. Por supuesto, para que este método sea lo más adecuado posible lo "ideal" es que todos los datos de los usuarios residan en un servidor de almacenamiento y no en el equipo local. Así cualquier usuario podrá acceder a sus datos desde cualquier equipo de la organización.

Por ejemplo, el tener un dominio y los equipos (PCs) de los usuarios agregados en este dominio permite en nuestra organización aplicar una política de homogeneización de la configuración de los equipos cliente: fondo de escritorio (papel tapiz) con el logotipo de la empresa, página de inicio del navegador oficial de la organización, uso obligatorio de un proxy de red, denegar el acceso a dispositivos de almacenamiento extraíbles (para evitar propagación de los típicos virus de autorun en pendrives), ejecutar scripts de configuración al inicio y al finalizar la sesión, instalar (distribuir) aplicaciones de forma desatendida en los equipos cliente agregados al dominio, impedir el uso de determinadas aplicaciones, ... Todo ello de forma centralizada, desde el servidor, aplicando las directivas oportunas, sin necesidad de acceder ni físicamente ni por control remoto a los equipos clientes.

Sin duda son muchas las ventajas de disponder de un dominio Windows y todos los equipos de la organización validados (agregados) en él.

Para indicar alguna desventaja, podríamos decir que, puesto que es necesario un equipo servidor (al menos) con Windows Server 2003 ó Windows Server 2008 se necesitará un desembolso económico en hardware (un servidor, aunque este servicio no necesita muchos recursos) y en licencias del sistema operativo. Para una organización con unos 300 equipos clientes es recomendable que el servidor de Windows Server 2003 / 2008 sea dedicado, es decir, que sólo se use con este fin: dominio de Windows (promocionado a controlador de dominio con Active Directory). Aunque con unos 300 usuarios también es recomendable disponer de un segundo controlador de dominio para mantener una copia del catálogo global (base de datos de Active Directory).

Otra desventaja de disponder de un dominio y los equipos agregados y validados en él es que si sólo disponemos de un servidor controlador de dominio y éste sufre una caída (por avería física, por "cuelgue" del sistema operativo o por avería de la electrónica de red) los usuarios que intenten validar (iniciar sesión) en sus equipos no podrán hacerlo pues el controlador de dominio para validación del usuario y contraseña no estará disponible. Por ello recomendamos disponer de dos controladores de dominio (al menos), el "secundario" podría dedicarse a otro fin además de la validación (almacenamiento de datos, servidor de base de datos, etc.).

Requisitos iniciales para validación en dominio Windows Server

Servidor con Windows Server 2003 ó Windows Server 2008

El primer requisito indispensable para que los equipos de los usuarios de nuestra organización sean agregados a un dominio Windows es, precisamente, disponer de uno o varios servidores pertenecientes a un dominio Windows con un controlador de dominio y Active Directory. En el siguiente artículo explicamos cómo instalar el sistema operativo Microsoft Windows Server 2003, necesario para montar un dominio Windows:

Instalar Windows Server 2003 Enterprise

En este otro artículo explicamos cómo instalar Windows Server 2008 que también sirve, por supuesto, para montar un dominio Windows:

Instalar y testear Windows Server 2008 Enterprise Release Candidate

Servidor promocionado a controlador de dominio (Active Directory)

El servidor con Windows Server 2003 ó Windows Server 2008 debe estar promocionado a controlador de dominio. En el siguiente artículo explicamos cómo promocionar un servidor con Windows Server 2003 a controlador de dominio (Active Directory), requisito necesario para montar un dominio Windows, pues al promocionar un equipo a controlador de dominio, si es el primero, se creará el dominio para validar los equipos:

Promocionar el servidor a Controlador de Dominio (Active Directory)

Disponer de una red LAN y todos los equipos conectados a la red, incluido el servidor

Otro de los requisitos evidentes es disponer de una red LAN y todos los equipos conectados a la misma red que los servidores, pues a partir de ahora la identificación de usuario (validación de crendenciales) se realizará a través de la red en el servidor y no en el equipo cliente.

Servidor de DNS, configuración de red, equipo controlador de dominio

El equipo servidor promocionado a controlador de dominio con Active Directory, con el que hemos creado el dominio Windows, debe ser servidor de DNS (es lo recomendable). Si el servidor no tiene activo este servicio o si no lo tenemos en otro servicor lo podemos activar desde "Agregar o quitar programas", pulsando en "Agregar o quitar componentes de Windows":

Seleccionaremos "Servicios de red" y pulsaremos "Detalles":

Marcaremos el subcomponente "Sistema de nombres de dominio (DNS)" y pulsaremos "Aceptar" (es posible que nos solicite el CD de instalación de Windows Server 2003):

Tras instalar el servicio de Servidor de DNS, desde el menú "Inicio" - "Herramientas administrativas" podremos seleccionar "DNS":

Desde donde podremos ver el estado y configurar el servidor de DNS (Domain Name System) que traduce nombres de equipo DNS en direcciones IP: zonas de búsqueda directa, zonas de búsqueda inversa, sucesos de DNS:

Por supuesto, el servidor controlador de dominio no debe tener activada la opción de "Obtener una dirección IP automáticamente", debe tener una IP fija (estática), por ejemplo 192.168.1.125. Además, este servidor, como servidor de DNS preferido en laconfiguración de la red tendrá su propia IP pues él mismo es servidor de DNS:

Configuración de red equipo cliente

Es muy recomendable que los equipos clientes tengan como DNS primaria la IP del servidor controlador de dominio (que será servidor de DNS). Accederemos a la configuración de red del equipo desde "Conexiones de red", pulsando con el botón derecho del ratón sobre "Conexión de área local" y sleccionando "Propiedades":

Seleccionaremos "Protocolo Internet (TCP/IP)" y pulsaremos en "Propiedades":

En "Servidor DNS preferido" introduciremos la IP del servidor controlador de dominio de nuestra red (en nuestro ejemplo 192.168.1.125):

Nota: si usamos un servidor DHCP y los equipos clientes tienen habilitada la opción "Obtener la dirección del servidor DNS automáticamente" deberemos establecer en el servidor DHCP, en el ámbito correspondiente, como servidor DNS primario la IP del servidor controlador de dominio. De esta forma en los equipos clientes se configurará este DNS de forma automática.

Sistema operativo para el equipo cliente que agregaremos al dominio Windows

En cuanto a los equipos cliente, es suficiente con que dispongan de un sistema operativo Microsoft Windows XP, Microsoft Windows Vista ó Microsoft Windows 7. A continuación mostramos tres artículos sobre cómo instalar estos sistemas operativos:

• Instalar Windows XP Service Pack 3, configurar Windows XP.
• Instalar Windows Vista Beta 2, testear Windows Vista.
• Instalar Microsoft Windows 7 Ultimate virtualizado en VMware Server 2.0.1.
• Instalar Microsoft Windows 7 Ultimate Beta 1 Build 7000.

Obtener datos necesarios para agregar equipos cliente a un dominio Windows

Necesitaremos dos datos principales para agregar un equipo cliente con Windows XP, Windows Vista ó Windows 7 a un dominio Windows Server: la IP del servidor de DNS (normalmente coincidirá con la IP del controlador de dominio) y el nombre del dominio. Para obtener estos datos accederemos al servidor controlador de dominio con Windows Server 2003 ó Windows Server 2008, pulsaremos en el botón "Inicio" - "Panel de control" - "Sistema":

En la pestaña "Nombre de equipo" de la ventana de Propiedades del sistema, en Dominio podremos consultar y anotar el nombre del dominio Windows que hemos montado al promocionar el primer servidor a controlador de dominio. En nuestro caso el dominio se llama "dominioajpdsoft.com":

También podremos obtener este dato desde una ventana de MS-DOS (línea ó shell de comandos), introduciendo el siguiente comando que mostrará el valor de la variable de entorno USERDNSDOMAIN:

set USERDNSDOMAIN

Desde el shell de comandos también podremos obtener la IP del servidor (si es el servidor de DNS) que necesitaremos para configurar la red de los equipos cliente que agregaremos al dominio, el comando a ejecutar es:

ipconfig

Anotaremos la "Dirección IP". Por supuesto, también podemos obtenerla en el modo gráfico, desde las propiedades de red:

Crear los usuarios de los equipos clientes en el servidor Windows Server 2003, establecer directivas de contraseñas

Alta de usuarios en el dominio, servidor con Active directory

Uno de los requisitos fundamentales para agregar los equipos informáticos de nuestra organización a un dominio Windows es crear los usuarios que usarán cada equipo. Dichos usuarios se crearán en el servidor controlador de dominio con Windows Server 2003, pues a partir de este momento ya no se usarán usuarios locales de los equipos, los usuarios y sus credenciales (contraseña) quedarán guardados de forma centralizada únicamente en el servidor promocionado a controlador de dominio con Active Directory. Por lo tanto será en el servidor donde creemos todos los usuarios que iniciarán sesión en los equipos informáticos de nuestra empresa.

Además, la Ley de Protección de Datos (LOPD) obliga a que no se usen usuarios genéricos (un mismo usuario y contraseña compartida por varias personas) sino que se utilice un usuario y contraseña por cada persona de la organización. Por ello, el primer paso antes de agregar un equipo informático a un dominio Microsoft Windows será crear los usuarios que iniciarán sesión en estos equipos.

Para crear un usuario en Active Directory accederemos al servidor con un usuario miembro del grupo administradores (con permisos de administrador), abriremos "Usuarios y equipos de Active Directory" (que podremos encontrar en "Inicio" - "Herramientas administrativas"). Desde "Usuarios y equipos de Active Directory" podremos crear unidades organizativas (carpetas contenedoras) para ordenar y guardar los usuarios de nuestra organización por departamentos. Por ejemplo, podremos tener las siguientes unidades organizativas (se crean pulsando con el botón derecho sobre "dominioajpdsoft.com" y seleccionado "Nuevo" - "Unidad organizativa"): uoFacturacion, uoContabilidad, uoDesarrollo, uoMarketing, ... En realidad, las unidades organizativas son como "carpetas" donde podremos estructurar los usuarios para administrarlos de forma más sencilla. Podremos, por ejemplo, aplicar directivas de seguridad diferentes a cada unidad organizativa. No son obligatorias pero recomendamos usarlas.

Si hemos creado unidades organizativas, para crear un usuario en Active Directory, pulsaremos con el botón derecho del ratón sobre la unidad organizativa donde queramos crear el usuario y seleccionaremos "Nuevo" - "Usuario":

Introduciremos los datos del usuario, el más importante es "Nombre de inicio de sesión de usuario" que será el nick (usuario) que introducirá la persona en el equipo cliente para iniciar sesión. Pulsaremos "Siguiente" para continuar:

A continuación introduciremos la contraseña para el usuario, se recomienda, para cumplir la LOPD y por seguridad, introducir una contraseña "estándar" y obligar al usuario a que cambie la contraseña e introduzca una suya propia que sea personal e intransferible (que nadie, salvo él, la sepa). Por ejemplo, introduciremos como contraseña "11223344" y marcaremos la opción "El usuario debe cambiar la contraseña al iniciar una sesión de nuevo". De esta forma, cuando el usuario inicie sesión por primera vez en su equipo deberá introducir la anterior y se le solicitará y obligará a que cambie la contraseña por una nueva:

Por último el asistente para crear un nuevo usuario en Active Directory nos mostrará el resumen de las opciones seleccionadas para el nuevo usuario, si son correctas pulsaremos "Finalizar":

Tras crear el usuario, podremos establecer los grupos de seguridad de los que será miembro. Para ello pulsaremos con el botón derecho del ratón sobre el usuario y seleccionaremos "Propiedades":

En la pestaña "Miembro de" de la ventana de Propiedades del usuario podremos agregar los grupos de seguridad a los que pertenecerá. Por ejemplo, para hacer un usuario administrador del dominio pulsaremos en "Agregar":

Introduciremos el grupo de seguridad al que pertenecerá el usuario (o varios grupos separados por punto y coma) y pulsaremos "Aceptar". En nuestro caso, como ejemplo, agregaremos el usuario "facturacion" al grupo de seguridad "Admins. del dominio" por lo que lo convertiremos en administrador del dominio. Obviamente esto es un ejemplo, no conviene agregar usuarios a este grupo pues tendrán todos los permisos administrativos sobre el servidor y sobre todos los equipos clientes agregados al dominio:

De esta forma el usuario será miembro de los grupos de seguridad que hayamos elegido, en función de estos grupos de seguridad tendrá más o menos permisos sobre los equipos del dominio. Por defecto, un usuario sólo pertenecerá al grupo de seguridad "Usuarios del dominio", con este grupo es suficiente para iniciar sesión en cualquier equipo cliente agregado al dominio y realizar las tareas típicas de navegación, correo electrónico, ofimática, etc.:

Directiva de cuenta, directiva de contraseñas, caducidad, historial, longitud mínima

Además de crear los usuarios para los equipos clientes en el dominio, podremos indicar las directivas de seguridad para establecer el nivel de complejidad de las contraseñas, cifrado, historial, longitud mínima, vigencia máxima (caducidad). Para ello accederemos al servidor controlador de dominio, pulsaremos en "Inicio" - "Herramientas administrativas" - "Directiva de seguridad de dominio". En esta ventana, accederemos a "Configuración de seguridad" - "Directivas de cuenta" - "Directiva de contraseñas":

Para activar una directiva haremos doble clic sobre ella, por ejemplo "Las contraseñas deben cumplir los requerimientos de complejidad" y marcaremos "Habilitada". De esta forma, la directiva quedará activa y se aplicará a todos los usuarios de todos los equipos que hayamos agregado al dominio:

A continuación mostramos las directivas de contraseñas disponibles y una descripción de cada una de ellas:

• Almacenar contraseñas usando cifrado reversible: esta configuración de seguridad determina si el sistema operativo almacena contraseñas con el cifrado reversible. Esta directiva proporciona compatibilidad para aplicaciones que usan protocolos que exigen el conocimiento de la contraseña del usuario para propósitos de autenticación. Almacenar contraseñas con el cifrado reversible es fundamentalmente lo mismo que almacenar versiones de texto simple de las contraseñas. Por esta razón, esta directiva no debería habilitarse nunca, a menos que los requisitos de la aplicación tengan más importancia que la necesidad de proteger la información de contraseñas. Se exige esta directiva cuando se usa la autenticación CHAP (Protocolo de autenticación por desafío mutuo) a través de acceso remoto o IAS (Servicios de autenticación Internet). También se exige cuando se usa la autenticación implícita en Internet Information Services (IIS). El valor predeterminado es: deshabilitada.
• Forzar el historial de contraseñas: esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas. Esta directiva permite a los administradores mejorar la seguridad ya que garantiza que no se reutilicen continuamente contraseñas antiguas. El valor predeterminado: 24 en controladores de dominio, 0 en servidores independientes. Nota: de manera predeterminada, los equipos miembros usan la configuración de sus controladores de dominio. Para mantener la eficacia del historial de contraseñas, no permita que las contraseñas se cambien inmediatamente después de haberlas cambiado habilitando también la configuración de directiva de seguridad Vigencia mínima de la contraseña.
• Las contraseñas deben cumplir los requerimientos de complejidad: esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad. Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos:
  • No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos.
  • Tener una longitud mínima de seis caracteres.
  • Incluir caracteres de tres de las siguientes categorías: mayúsculas (de la A a la Z), minúsculas (de la a a la z), dígitos de base 10 (del 0 al 9), caracteres no alfanuméricos (por ejemplo, !, $, #, %).
• Longitud mínima de la contraseña: esta configuración de seguridad determina el número mínimo de caracteres que debe contener la contraseña de una cuenta de usuario. Puede establecer un valor comprendido entre 1 y 14 caracteres, o puede indicar que no se exija contraseña alguna estableciendo el número de caracteres en 0. El valor predeterminado: 7 en controladores de dominio, 0 en servidores independientes.
• Vigencia máxima de la contraseña: esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseñas para que expiren tras un número de días comprendido entre 1 y 999, o puede especificar que las contraseñas no expiren nunca estableciendo el número de días en 0. Si la vigencia máxima de la contraseña está comprendida entre 1 y 999 días, la vigencia mínima deberá ser menor que la vigencia máxima. Si la vigencia máxima de la contraseña se establece en 0, la vigencia mínima de la contraseña podrá ser cualquier valor entre 0 y 998 días. Nota: como recomendación de seguridad, se aconseja hacer que las contraseñas expiren a los 30-90 días, en función del entorno. De este modo, un atacante contará con tiempo limitado para apropiarse la contraseña de un usuario y obtener acceso a los recursos de la red. El valor predeterminado: 42.
• Vigencia mínima de la contraseña: esta configuración de seguridad determina el período de tiempo (en días) en que debe usarse una contraseña antes de que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 días, o puede permitir que se realicen cambios de forma inmediata estableciendo el número de días en 0. La vigencia mínima de la contraseña debe ser menor que la vigencia máxima de la contraseña, salvo que esta última esté establecida en 0, lo que indica que las contraseñas no expirarán nunca. Si la vigencia máxima se establece en 0, la vigencia mínima podrá establecerse en cualquier valor comprendido entre 0 y 998. Configure la vigencia mínima de la contraseña de modo que sea mayor que 0 si desea que sea efectiva la configuración Exigir historial de contraseñas. Sin una vigencia mínima, los usuarios pueden reutilizar las contraseñas repetidamente hasta llegar a una contraseña favorita antigua. La configuración predeterminada no sigue esta recomendación, de modo que un administrador puede especificar una contraseña para un usuario y, a continuación, pedir al usuario que la cambie cuando inicie sesión. Si el historial de contraseñas se establece en 0, el usuario no tiene que elegir una nueva contraseña. Esta es la razón de que Exigir historial de contraseñas se establezca en 1 de manera predeterminada. El valor predeterminado: 1 en controladores de dominio, 0 en servidores independientes.

Agregar equipo con Windows XP a dominio Windows Server 2003

Para agregar un equipo con Microsoft Windows XP deberemos cumplir los requisitos del servidor y del equipo cliente indicados aquí y deberemos obtener los datos necesarios como explicamos aquí.

Arrancaremos el equipo cliente con Microsoft Windows XP, iniciaremos sesión en el equipo con un usuario administrador del equipo local a ser posible. Accederemos al botón "Inicio" - "Panel de control":

Haremos doble clic en "Sistema" (también es posible con la combinación de teclas Windows + Pausa):

Desde la pestaña "Nombre de equipo" pulsaremos en el botón "Cambiar":

En "Miembro de" marcaremos la opción "Dominio" e introduciremos el nombre del dominio Windows Server al que queremos agregar el equipo cliente, en nuestro caso "dominioajpdsoft.com". Pulsaremos "Aceptar":

Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores:

Si todo es correcto mostrará un mensaje con el texto "Bienvenido al dominio dominioajpdsoft.com":

Nos indicará con otro mensaje que debemos reiniciar el equipo para que los cambios tengan efecto:

Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:

Nos mostrará un cuadro de diálogo indicando si queremos reinciar ahora el equipo, pulsaremos "Sí" para reiniciarlo:

Tras el primer reinicio nos solicitará usuario y contraseña, antes de introducirlo, pulsaremos en el botón "Opciones":

En "Conectarse a" nos aparecerá el dominio al que hemos agregado el equipo, lo seleccionaremos. A partir de ahora deberemos introducir un usuario y contraseña del dominio (no del equipo local) por lo que debe estar creado en el servidor:

Tras introducir usuario y contraseña en la ventana anterior de Inicio de sesión de Windows el equipo realizará la comprobación de las credenciales (usuario y contraseña) en el equipo servidor controlador de dominio. En nuestro caso usaremos el usuario creado aquí llamado "facturacion". Si son correctas las credenciales se iniciará sesión:

Puesto que hemos marcado para el usuario "facturacion" la opción de que en el próximo inicio de sesión se le solicite un cambio de contraseña, en el arranque nos mostrará este mensaje:

Con el texto: Necesita cambiar su contraseña la primera vez que inicie la sesión.

Introduciremos la nueva contraseña para el usuario "facturacion". Esta nueva contraseña sólo debe conocerla la persona que utilizará en adelante el usuario con el que se está iniciando sesión. Una vez cambiada, la contraseña quedará almacenada en el servidor controlador de dominio (Active Directory) y no en el equipo local:

Además, si hemos aplicado alguna directiva de contraseñas, obligaremos a los usuarios a cumplir con los requisitos de complejidad marcados por las directivas, si no los cumplen mostrará un mensaje como este (el mensaje variará en función de la directiva de seguridad infringida):

Con el texto: La contraseña debe tener al menos 4 caracteres, no puede repetir ninguna de las 24 contraseñas anteriores y debe tener una antigüedad de al menos 1 días. Escriba una contraseña diferente. Escriba una contraseña que cumpla con estos requisitos en ambos cuadros de texto.

Si todo es correcto, mostrará una aviso al usuario indicando que la contraseña se ha cambiado correctamente:

Si es el primer inicio de sesión que se realiza en el equipo local con el usuario actual del dominio, se creará su perfil de usuario (escritorio y demás carpetas del perfil):

De esta forma, los usuarios y contraseñas quedarán guardados sólo en el servidor y no en los equipos locales. Además, por defecto, el usuario con el que se inicia sesión (creado en el servidor) por defecto será una cuenta limitada y en el equipo cliente agregado al dominio no podrá realizar tareas de administración. Por ejemplo, si volvemos a mostrar las Propiedades del sistema, veremos que no aparecen todas las opciones y algunas sólo aparecen para consulta y no son modificables:

Con esta medida evitaremos que un usuario pueda instalar software indeseado o innecesario, tampoco podrá modificar la configuración del equipo y será más difícil que el equipo sea infectado por un virus, pues el usuario con que se ha iniciado sesión, por defecto, es limitado. Esto redundará en un ahorro para la empresa en mantenimiento informático, con este método los equipos no necesitarán mantenimiento (limpieza de malware, spyware, adware, virus, etc.).

Como ya hemos comentado, una vez que el equipo es miembro del dominio, se le aplicarán de forma automática las directivas que hayamos establecido en el servidor. A partir de este momento este equipo podrá ser administrado y configurado de forma automática y centralizada en el servidor. Se le aplicarán, por ejemplo, las directivas de contraseñas para el usuario que inicia sesión.

Tras agregar el equipo al dominio, aparecerá automáticamente en "Computers", en "Usuarios y equipos de Active Directory":

Desde el servidor podremos aplicar directivas de seguridad tanto a los usuarios como a los equipos. A partir de este momento, cualquier usuario puede iniciar sesión en cualquier equipo de la empresa (siempre que esté agregado al dominio).

Agregar equipo con Windows 7 a dominio Windows Server 2003

Para agregar un equipo con Microsoft Windows 7 a un dominio deberemos cumplir los requisitos del servidor y del equipo cliente indicados aquí y deberemos obtener los datos necesarios como explicamos aquí.

Iniciaremos sesión en el equipo, a ser posible con un usuario con permisos de administrador. Pulsaremos en el botón "Iniciar" - "Panel de control":

Pulsaremos en "Sistema" (también podemos abrir esta ventana pulsando las teclas Windows + Pausa):

En la ventana de Sistema, en la sección "Configuración de nombre, dominio y grupo de trabajo del equipo", pulsaremos en "Cambiar configuración":

En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos en el botón "Cambiar":

En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar":

Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores:

Si todo es correcto, nos mostrará un mensaje con el texto "Se unió correctamente al dominio dominioajpdsoft.com":

Nos avisará de que debemos reiniciar el equipo para aplicar los cambios:

Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:

Pulsaremos "Reiniciar ahora" para reinciar el equipo y agregarlo definitivamente al dominio:

Tras el arranque del equipo, pulsaremos Control + Alt + Supr:

Para iniciar sesió por primera vez validando en el dominio pulsaremos en "Cambiar de usuario":

Pulsaremos en "Otro usuario":

Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior nos indicará el dominio donde se iniciará sesión: "Iniciar sesión en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura:

nombre_usuario@nombre_dominio

Por ejemplo, para iniciar sesión con el usuario "alonso" en el dominio "ajpdsoft" introduciríamos "alonso@ajpdsoft".

Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para iniciar sesión:

Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo local sino en el dominio de Windows Server. Por ello se aplicarán las directivas establecidas en el dominio para el usuario de caducidad de contraseña, complejidad, cifrado, historial, etc.

Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con un usuario de Active Directory:

En el servidor con Windows Server 2003 controlador de dominio, en Usuarios y equipos de Active Directory podremos ver el equipo agregado, en "Computers":

Recomendaciones importantes para los equipos clientes agregados al dominio Windows

Una de las recomendaciones más importantes para los equipos clientes validados (agregados) en el dominio Windows Server es deshabilitar los usuarios locales de los equipos. Si no deshabilitamos los usuarios locales cualquier persona podría iniciar sesión sin validar en el equipo, algo que no es recomendable. En el caso de un equipo con Microsoft Windows 7 pulsaremos en el botón "Iniciar", en "Equipo" pulsaremos con el botón derecho del ratón y seleccionaremso "Administrar":

En la ventana de Administración de equipos seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios", en la parte derecha aparecerán todos los usuarios del equipo local, para deshabilitarlos y que no puedan ser usados pulsaremos con el botón derecho del ratón sobre ellos (uno a uno), seleccionaremos "Propiedades":

En la pestaña "General" marcaremos la opción "La cuenta está deshabilitada" y pulsaremos "Aceptar":

Con esto impediremos que una persona pueda iniciar sesión con un usuario local del equipo y lo obligamos a que valide siempre con un usuario del dominio.

Por seguridad recomendamos que también se deshabilite el usuario administrador. Por tareas de mantenimiento, para los administradores de los equipos, podríamos crear un usuario local en todos los equipos, hacerlo miembro del grupo de seguridad "Administradores" y establecer una contraseña segura que ningún usuario sepa (salvo los administradores del sistema). De esta forma tendremos un usuario local en todos los equipos con el mismo nombre por si en algún momento queremos sacar el equipo del dominio o por si la red falla y no tenemos acceso al servidor, en este caso sólo se podría iniciar sesión sin validar en el dominio, de forma local con este usuario.

Por último, hay que tener en cuenta que las versiones de "Home" de Windows XP, Windows Vista y Windows 7 no permiten validación en dominio Windows. Estas versiones de estos sistemas operativos no sirven para ser agregadas a un dominio.

Artículos relacionados

• Instalación de Windows Server 2003 Enterprise Edition SP2.
• Instalar y testear Windows Server 2008 Enterprise Release Candidate.
• Instalar y configurar servicio de Terminal Server en Windows 2003.
• Instalar, activar, configurar el servicio de DHCP en Windows 2000/2003.
• El proceso de arranque en Windows Server 2003.
• El Rastreador de sucesos de apagado de Windows Server 2003.
• Promocionar servidor Windows 2003 a controlador principal de dominio.
• Despromoción de controlador de dominio, desinstalación Active Directory.
• Las cuotas de disco en Windows Server 2003, limitar espacio por usuario Windows.
• Montar un servidor FTP en un equipo con Microsoft Windows 7.
• Instalación de Microsoft Windows 7 Ultimate virtualizado en VMware Server 2.0.1.
• Instalación, configuración de Samba y Swat, compartir carpeta en Linux Ubuntu.
• Cómo conectar dos equipos en red por el puerto paralelo con Windows 98 y XP.
• Cómo instalar y configuar SSH en GNU Linux Ubuntu con OpenSSH.
• Instalación y configuración de Windows XP Service Pack 3.
• Instalación de Microsoft Windows 7 Ultimate virtualizado en VMware Server 2.0.1.
• Instalar impresoras en Active Directory, auditar impresoras.
• Artículos del Proyecto AjpdSoft sobre los sistemas operativos de Microsoft Windows.
• AjpdSoft Obtención datos Active Directory.
• AjpdSoft Aviso Cambio IP Pública.
• AjpdSoft Validación LDAP.
• AjpdSoft Inventario PCs.
• AjpdSoft Enciclopedia - Definición LAN.
• AjpdSoft Enciclopedia - Definición IP.
• Obtener datos usuario Active Directory Windows - Visual Basic.
• Cómo validar en un servidor LDAP con PHP, obtener datos servidor LDAP desde PHP.
• Configurar Linux para que valide en un dominio Microsoft Active Directory.

Créditos

Artículo realizado íntegramente por Alonsojpd miembro fundador del proyecto AjpdSoft.