Parte 4 – Creación de los recursos compartidos necesarios, creación de usuarios, asignación de carpetas base y de perfil, introducción de políticas de grupo
Comenzamos la parte 4 con la preparación para la creación de los usuarios, es decir, creamos los recursos compartidos para los perfiles y la unidad principal de los usuarios. En este caso he elegido recursos compartidos ocultos, que no son visibles posteriormente en el entorno de red o con «net view» en la consola. Los recursos compartidos ocultos tienen un signo $ al final del nombre del recurso compartido.
Crea dos directorios en una unidad de tu servidor, uno con el nombre Perfil y otro con el nombre Usuario.
Para compartir estos directorios, abrimos la administración del ordenador a través de «Inicio» => «Administración» y navegamos en el árbol de la izquierda hasta «Carpetas compartidas» => «Recursos compartidos». Haciendo clic con el botón derecho del ratón en «Compartidos» aparece el menú contextual.
![]() |
Nuevo recurso compartido |
Ahora introduzca los datos necesarios.
![]() |
Nueva acción |
A continuación establecemos los permisos para este recurso compartido.
![]() |
Permisos para el recurso compartido |
Añade «Usuario de Dominio» y «Administrador de Dominio» y da a ambos grupos acceso completo. Sólo entonces elimine «TODOS» de los permisos del recurso compartido y haga clic en Aceptar.
![]() |
Permisos para compartir |
Ahora repite esto con el directorio «Usuario» y establece los permisos exactamente de la misma manera que para el directorio del perfil.
Ahora podemos crear el primer usuario en el Directorio Activo. Para ello, inicie el complemento «Usuarios y equipos de Active Directory» a través de «Inicio» => «Administración» y vaya a «Usuarios» en el árbol de la izquierda. Haga clic con el botón derecho en la entrada «Usuarios» y seleccione «Nuevo» => «Usuario» en el menú contextual.
![]() |
Crear nuevo usuario |
Crear un usuario es casi autoexplicativo. Se cambia «TestUser» por un nombre de usuario utilizable, por supuesto.
![]() |
Nueva cuenta |
Ahora asigna una contraseña, que debe tener al menos 7 caracteres y contener una letra mayúscula y/o un número. Las partes de nombres no están permitidas, según la política de complejidad de contraseñas de Windows Server 2003.
![]() |
Asignar contraseña |
Una vez creado el usuario, éste aparece en el contenedor «Usuarios» de la parte derecha. Haga doble clic en el usuario para abrir el cuadro de diálogo de propiedades, donde podrá cambiar a la pestaña «Perfil» y realizar los siguientes ajustes.
![]() |
Especifique la ruta del perfil y la carpeta base |
La variable %USERNAME% se sustituye por el nombre de usuario real, que puede comprobar abriendo de nuevo las propiedades del usuario.
Haga clic en Aceptar para guardar estos ajustes, lo que completa la configuración del primer usuario por el momento: La ruta del perfil permite conectarse a cualquier ordenador de la red, ya que el usuario dispone ahora de un perfil guardado en el servidor. La carpeta base también está disponible desde cualquier ordenador de la red. En el siguiente paso, la carpeta «Mis documentos», por ejemplo, se redirige a esta ruta a través de la política de grupo (ya que, por defecto, se almacena en la ruta del perfil y, por lo tanto, el inicio/cierre de sesión puede tardar bastante tiempo).
Además, definiremos los permisos de los usuarios en los clientes mediante políticas de grupo, es decir, mediante políticas de grupo definiremos si y qué usuario obtiene derechos de administrador en qué cliente, etc.
La Consola de Gestión de Políticas de Grupo, o GPMC para abreviar, es la mejor manera de editar las políticas de grupo. Se puede descargar de Microsoft, pero cuidado, está disponible en diferentes idiomas y versiones. La versión que necesitamos actualmente es GPMC 1.01 SP1 alemán.
Por favor, instálela directamente en el servidor. Cómo administrar el dominio desde un cliente será el tema de uno de los próximos artículos.
![]() |
Consola de administración de directivas de grupo |
Puede encontrar la GPMC después de la instalación en Inicio => Administración => Gestión de directivas de grupo.
![]() |
Consola de Administración de Políticas de Grupo |
No utilice la «Default Domain Policy» y la «Default Domain Controllers Policy» – una configuración incorrecta puede paralizar todo el dominio. Sólo la complejidad de las contraseñas debe y puede ser controlada exclusivamente a través de la «Default Domain Policy», para todo lo demás creamos nuestros propios Group Policy Objects, GPOs para abreviar.
Para crear una nueva política, haga clic con el botón derecho del ratón en el contenedor «Objetos de directiva de grupo» => «Nuevo». Nombre la nueva GPO de acuerdo con su función:
![]() |
Nueva GPO |
Para editar la GPO en el listado de la derecha, haga clic con el botón derecho del ratón en el objeto «Redirección de carpetas» y seleccione «Editar».
![]() |
Editar GPO |
Como puede ver, las políticas de grupo se dividen en configuración de equipo y configuración de usuario, es decir, las políticas que se establecen en configuración de equipo tienen efecto en todos los equipos para los que este GPO es válido, independientemente del usuario que haya iniciado sesión.
![]() |
Editar GPO |
Las políticas establecidas en Configuración de usuario tienen efecto en todos los equipos en los que un usuario determinado inicia sesión, y sólo para ese usuario.
Aquí queremos configurar una redirección de carpetas, que es una configuración de usuario:
![]() |
Editar GPO |
Haciendo clic con el botón derecho en «Mis Documentos» => «Propiedades» aparece el diálogo de opciones, que se configura de la siguiente manera:
![]() |
Editar GPO |
En la pestaña «Configuración», realice los siguientes ajustes y confirme con OK.
![]() |
Editar GPO |
Ahora cierre el Editor de Objetos de Política de Grupo y vuelva a la GPMC. Ahora tenemos que vincular la nueva GPO y definir para quién debe ser válida.
En el contenedor «Objetos de directiva de grupo», seleccione la entrada «Redirección de carpetas» y, a continuación, haga clic en la pestaña «Delegación» de la ventana de la derecha.
![]() |
Delegar GPO |
Ahora haz clic en «Avanzado» en la esquina inferior derecha. Asegúrese de que en «Usuarios autenticados» la marca de verificación de «Aplicar política de grupo» está en «Permitir».
![]() |
Aplicar GPO |
Para los administradores de dominio, sin embargo, la marca de verificación no debe estar activada.
![]() |
No aplicar GPO para administradores de dominio |
Ahora el GPO está configurado, pero aún no está vinculado, es decir, aún no está activo. Para vincularla, tome la GPO «Redirección de carpetas» y arrástrela a la entrada «midominio.local» o a la entrada que corresponda a su nombre de dominio mientras mantiene pulsado el botón izquierdo del ratón.
![]() |
Enlazar GPO |
Antes de iniciar sesión con el usuario recién creado desde un cliente por primera vez, se debe crear un recurso compartido de datos (o varios) en el servidor, que luego estará disponible desde el cliente a través de «Conectar unidad de red» o a través del script de inicio de sesión.
Para ello, creamos una nueva carpeta en el servidor (que luego compartiremos) y le damos un nombre, por ejemplo, Datos, luego iniciamos la administración del ordenador y navegamos en el árbol de la izquierda hasta «Carpetas compartidas» => «Datos compartidos». La creación de un nuevo recurso compartido para la carpeta «Datos» se realiza de la misma manera que el uso compartido de las carpetas de perfil y base, con la única diferencia de que el nombre del recurso compartido NO lleva el signo $ añadido.
![]() |
Crear nueva carpeta |
Los permisos de compartición se establecen exactamente igual que para las carpetas de perfil y básica.
Ahora es el momento de iniciar sesión en el dominio por primera vez desde el cliente con el usuario recién creado. Una vez iniciada la sesión, los directorios del servidor tendrán el siguiente aspecto:
![]() |
Carpeta de perfil |
![]() |
Carpeta de usuario |
![]() |
Archivos propios |
Además, en el cliente verás una unidad U: en Mi PC/Explorer que está directamente conectada al servidor – es la carpeta base que introdujimos en las propiedades del usuario al crearlo.
Ahora tendrá sentido que repita los pasos mostrados aquí y cree primero todos los usuarios necesarios para su red, así como los datos compartidos necesarios en el servidor. Además, deberías pensar qué usuario obtiene qué permisos en qué ordenador y qué unidades de red deberían conectarse por usuario – todos los puntos que se establecen a través de la política de grupo en la Parte 5.
Hasta entonces, recomendamos la lectura del proyecto web de Mark Heitbrink www.gruppenrichtlinien.de – al menos para aquellos que quieran regular más a través de GPOs en el futuro.