1. Administración de Sistemas
Administración del Directorio Activo
I TAHISA M. D ÍAZ D ÍAZ
M ARÍA D. BATISTA G ALVÁN
E SCUELA T ÉCNICA S UPERIOR DE I NGENIERÍA I NFORMÁTICA
Universidad de La Laguna
2. R ESUMEN . El presente informe tiene como objetivo el describir el proceso seguido
para la consecución de la cuarta y última práctica de laboratorio de Administración
de Sistemas.
La finalidad de dicha práctica era familiarizarse con la gestión de Unidades Orga-
nizativas y la aplicación de Directivas de Grupos en Windows. Concretamente se
utilizaron una máquina con Windows Server 2003 como controlador de dominio y,
otra máquina, con Windows XP como cliente. Tal y como ocurrió en prácticas ante-
riores, se planteó una organización ficticia con unas características particulares que
se detallarán a lo largo del desarrollo del informe.
Finalmente, concretar que la estructura del presente informe viene determinada por
las cuestiones propuestas en la práctica, a las que se irá respondiendo y describiendo
los procesos para su consecución en el orden que se plantean.
1
3. Índice
1. Introducción 3
2. Redirección de carpetas 7
3. Directivas de grupos 10
Anexos 15
A. Opcional : Cuotas 15
2
4. 1. Introducción
El objetivo de la práctica consiste en familiarizarse con la gestión de Unidades Organizati-
vas y Directivas de Grupo en Windows. Para ello, se plantea una organización ficticia con las
siguientes características:
dc=org
dc=as07
ou=Rubik
ou=Contabilidad ou=Comercial ou=RRHH
LCont GCont LCome GCome LRRHH GRRHH
Conti, i=1,..,4 Comei, i=1,..,4 rrhhi, i=1,..,4
GCont Conti, i=1,..,4 GCome Comei, i=1,..,4 GRRHH rrhhi, i=1,..,4
Figura 1: DIT (Directory Information Tree)
La organización, ubicada físicamente en un solo edificio dispone de una red LAN que une a
todos los ordenadores. Desde el punto de vista funcional, la organización se encuentra dividida
en tres departamentos: Contabilidad, Recursos Humanos y Comercial. En la actualidad cada
uno de ellos dispone de 4 usuarios.
La organización al estar dividida en tres departamentos con distintas políticas o directivas de grupo (GPO),
bajo un punto de vista funcional, se hizo necesario crear dentro del dominio tres unidades organizativas, una
por cada departamento. Todas éstas estarán bajo la OU Rubik (nombre hipotético de la organización), que se
hizo necesario para poder aplicar aquellas GPO que requerían de la presencia de un ordenador, por lo tanto, en
dicho contenedor se introdujo el único ordenador presente en la organización. En cada unidad organizativa,
además de añadirle cuatro usuarios (cuyo nombre estará formado por las 4 primeras letras del nombre de la
OU y el número del usuario), se creó un grupo global que incluiría los 4 usuarios y un grupo local que incluiría
el grupo global (quedando la Estructura del Árbol de Directorio como se muestra en la figura 1 mediante un
Árbol de Información del Directorio).
En esta ocasión, para la creación de OU, grupos y usuarios, e incorporación de miembros a un grupo se
utilizó un “Fichero por Lotes” (.bat), a diferencia de la práctica 3 donde se mostraba mediante “VBSCript” o
mediante el “Microsoft Managament Console”.
Los comandos necesarios para la puesta en marcha del fichero, son los que se describen a continuación:
DSADD OU
Definición Agrega una unidad organizativa (OU) en el directorio.
Formato dsadd ou DN
DN Nombre distinguido
3
5. DSADD USER
Definición Crea un nuevo usuario dentro del “Active Directory”.
Formato dsadd user DN -pwd password -disabled no
-pwd Especifica que se puede establecer la contraseña para el usuario.
-disabled Especifica si dsadd deshabilita la cuenta de usuario de inicio de sesión.
DSADD GROUP
Definición Agrega un grupo en el directorio.
Formato dsadd user DN -secgrp yes/no -scope L/G
-secgrp Especifica si es grupo es de seguridad (yes) o de distribución (no).
-scope Especifica el ámbito del grupo: l para dominio local, g para global o u para universal.
DSMOD GROUP
Definición Modifica los atributos de uno o más grupos existentes en el directorio.
Formato dsadd user DN -addmbr DNuser
-addmbr Especifica que se agregue miembros, quitarlos o reemplazarlos en un grupo.
DNuser Nombre distinguido de los usuarios/grupos a añadir separados por espacios.
El fichero por lotes (“crearOrganizacion.bat”) resultante es el siguiente:
1 dsadd ou "ou=Rubik,dc=as07,dc=org"
2 dsadd ou "ou=Contabilidad,ou=Rubik,dc=as07,dc=org"
3 dsadd group "cn=LCont,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -secgrp yes -scope L
4 dsadd group "cn=GCont,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -secgrp yes -scope G
5 dsmod group "cn=LCont,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -addmbr "cn=GCont,ou=Contabilidad,ou
=Rubik,dc=as07,dc=org"
6 dsadd user "cn=cont1,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -pwd cont1 -disabled no
7 dsadd user "cn=cont2,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -pwd cont2 -disabled no
8 dsadd user "cn=cont3,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -pwd cont3 -disabled no
9 dsadd user "cn=cont4,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -pwd cont4 -disabled no
10 dsmod group "cn=GCont,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" -addmbr "cn=cont1,ou=Contabilidad,ou
=Rubik,dc=as07,dc=org" "cn=cont2,ou=Contabilidad,ou=Rubik,dc=as07,dc=org" "cn=cont3,ou=
Contabilidad,ou=Rubik,dc=as07,dc=org" "cn=cont4,ou=Contabilidad,ou=Rubik,dc=as07,dc=org"
11 dsadd ou "ou=Comercial,ou=Rubik,dc=as07,dc=org"
12 dsadd group "cn=LCome,ou=Comercial,ou=Rubik,dc=as07,dc=org" -secgrp yes -scope L
13 dsadd group "cn=GCome,ou=Comercial,ou=Rubik,dc=as07,dc=org" -secgrp yes -scope G
14 dsmod group "cn=LCome,ou=Comercial,ou=Rubik,dc=as07,dc=org" -addmbr "cn=GCome,ou=Comercial,ou=Rubik
,dc=as07,dc=org"
15 dsadd user "cn=come1,ou=Comercial,ou=Rubik,dc=as07,dc=org" -pwd come1 -disabled no
16 dsadd user "cn=come2,ou=Comercial,ou=Rubik,dc=as07,dc=org" -pwd come2 -disabled no
17 dsadd user "cn=come3,ou=Comercial,ou=Rubik,dc=as07,dc=org" -pwd come3 -disabled no
18 dsadd user "cn=come4,ou=Comercial,ou=Rubik,dc=as07,dc=org" -pwd come4 -disabled no
19 dsmod group "cn=GCome,ou=Comercial,ou=Rubik,dc=as07,dc=org" -addmbr "cn=come1,ou=Comercial,ou=Rubik
,dc=as07,dc=org" "cn=come2,ou=Comercial,ou=Rubik,dc=as07,dc=org" "cn=come3,ou=Comercial,ou=
Rubik,dc=as07,dc=org" "cn=come4,ou=Comercial,ou=Rubik,dc=as07,dc=org"
20 dsadd ou "ou=RRHH,ou=Rubik,dc=as07,dc=org"
21 dsadd group "cn=LRRHH,ou=RRHH,ou=Rubik,dc=as07,dc=org" -secgrp yes -scope L
22 dsadd group "cn=GRRHH,ou=RRHH,ou=Rubik,dc=as07,dc=org" -secgrp yes -scope G
23 dsmod group "cn=LRRHH,ou=RRHH,ou=Rubik,dc=as07,dc=org" -addmbr "cn=GRRHH,ou=RRHH,ou=Rubik,dc=as07,
dc=org"
24 dsadd user "cn=rrhh1,ou=RRHH,ou=Rubik,dc=as07,dc=org" -pwd rrhh1 -disabled no
25 dsadd user "cn=rrhh2,ou=RRHH,ou=Rubik,dc=as07,dc=org" -pwd rrhh2 -disabled no
26 dsadd user "cn=rrhh3,ou=RRHH,ou=Rubik,dc=as07,dc=org" -pwd rrhh3 -disabled no
27 dsadd user "cn=rrhh4,ou=RRHH,ou=Rubik,dc=as07,dc=org" -pwd rrhh4 -disabled no
28 dsmod group "cn=GRRHH,ou=RRHH,ou=Rubik,dc=as07,dc=org" -addmbr "cn=rrhh1,ou=RRHH,ou=Rubik,dc=as07,
dc=org" "cn=rrhh2,ou=RRHH,ou=Rubik,dc=as07,dc=org" "cn=rrhh3,ou=RRHH,ou=Rubik,dc=as07,dc=org" "
cn=rrhh4,ou=RRHH,ou=Rubik,dc=as07,dc=org"
Figura 2: Fichero por Lotes : crearOrganizacion.bat
La administración de los usuarios y grupos del departamento de Contabilidad se ha descen-
tralizado, de tal forma que existe un usuario en ese departamento que realiza estas funciones.
“Active Directory” está diseñado para soportar redes empresariales muy grandes y las redes más grandes
requieren, naturalmente, más atención y mantenimiento por parte de los administradores. Es por ello, que en
4
6. ocasiones se hace imprescindible delegar funciones específicas en algunos usuarios en determinados contene-
dores.
La delegación de control simplemente significa asignar permisos que administren el acceso a los objetos y
las propiedades en “Active Directory”.
En este caso, al usuario descentralizado (cont1), los administradores le delegarán el control sobre objetos
contenedores específicos sin otorgarles acceso completo al dominio. De hecho, los permisos permitidos serán
los de crear, borrar y administrar cuentas de usuarios, restablecer contraseñas en las cuentas de usuarios, leer
toda la información del usuario, crear, borrar y administrar grupos y modificar los miembros de un grupo.
Para hacer esto, hay que ir al menú inicio y ejecutar:
Active Directory Users and Computer → Botón Drcho OU Contabilidad → Delegate Control
El asistente pide primero que se especifique el usuario (cont1, véase figura 3(a)) al que se desea delegar
el control. Una vez que se haya hecho esto, el asistente muestra la pantalla Tipo de Objeto de “Active Directory”,
que se puede utilizar para especificar que tipos de objetos del contenedor podrá controlar el usuario (cont1)
seleccionado. En este caso, al usuario (cont1) se le ha concedido el control que se ve en la figura 3(b):
(a) User or Group (b) Tasks to Delegate
Figura 3: Delegate Control
Una vez delegado el control, se comprobó si los cambios realizados surtieron efecto. Para ello, primera-
mente se tuvo que activar la opción de “Advanced Features” (Características Avanzadas, véase la figura 4(a))
para habilitar ciertas pestañas dentro del menú de “Properties”. Una vez dentro de “Properties”, se accedió a la
pestaña “Permissions” (véase la figura 4(b)) donde se verificó que se habían concedido bien todos los derechos
delegados al usuario cont1.
5
7. (a) Advanced Features (b) Permissions
Figura 4: Comprobación de la Delegación de Control
6
8. 2. Redirección de carpetas
Todos los usuarios han de tener mapeada la unidad T: a un sistema de archivos distribuido.
La carpeta raíz del DFS apuntará al directorio compartido C:datos. Bajo esta raíz aparecerán
dos enlaces que corresponderán a los directorios C:Tempunidad1 y C:foounidad2 que han
de mostrarse en los clientes con los nombres Empleados y Ejecutivos, respectivamente.
Un Sistema de Archivos Distribuidos permite que los directorios localizados en cualquier lugar de una
red (es decir que se encuentren distribuidos físicamente) sean visualizados como un árbol de directorio único,
sin necesidad de que los usuarios sepan en que servidor reside cada uno de los archivos.
Existen dos formas de implementar un Sistema de Archivos Distribuidos: como un sistema de archivos
distribuidos independiente (standalone DFS) o como un sistema de archivos distribuido basado en dominios. En
este caso, el utilizado fue el DFS basado en dominios, que entre sus ventajas más destacadas se encuentran
que:
Posibilidad de almacenar la topología del DFS en Active Directory.
Permite la organización de los recursos compartidos, al mismo tiempo que administrar una mejor dispo-
nibilidad y tolerancia a errores, con el añadido de la funcionalidad de equilibrio de carga.
La topología DFS incluye al menos dos elementos:
Un nodo raíz que corresponde al punto de entrada.
Una serie de nodos hijos que apuntan a diferentes carpetas compartidas (destinos).
De manera general, al crear una topología DFS lo primero que hay que hacer es crear un nodo raíz bajo el
que se crearán los nodos hijos. A continuación se explicará el proceso para llevar a cabo una implementación
de dicha topología.
Se da por supuesto que las carpetas exigidas en el enunciado, previamente han sido creadas en las rutas
correspondientes y compartidas. Por tanto, para crear una topología DFS se siguieron los pasos descritos a
continuación.
C REAR LA RAÍZ DEL DFS:
a) Se abre la consola DFS siguiendo la ruta:
Start → Administrative Tools → Distributed File System
b) En el menú “Action” se selecciona “New Root” y posteriormente “Next” (véase figura 5).
Figura 5: New Root
7
9. c) Se marca “Domain Root” para crear una raíz del DFS basada en dominios.
d) Se escribe o selecciona el nombre del dominio donde se quiere crear la raíz del DFS (as07.org).
e) Se escribe o busca (“Browse”) el nombre de DNS del servidor que mantendrá la raíz DFS (ord07.as07.org).
f) Se introduce el nombre para la raíz del DFS en el cuadro “Root Name” (Datos) que verán los usuarios
cuando abran la raíz del DFS, y si se desea se puede introducir comentarios en el cuadro “Comments”.
g) Se busca (“Browse”) o escribe la ruta del archivo existente que será usado como raíz (C:datos).
h) Aparece una ventana de información con las características introducidas dando la posibilidad de revi-
sarlas. Finalmente, se presiona “Finish” para crear la raíz del DFS.
C REAR NODOS HIJOS :
En el panel de árbol de la izquierda de la consola, se selecciona la raíz del DFS a la que agregar los vínculos
del DFS y en el menú Action se selecciona la New Link para asignar un nuevo nodo hijo a la raíz del DFS:
Link Name
Se le asigna un nombre (Empleados) al vínculo, éste será el nombre que los usuarios verán cuando
recorran la topología DFS.
Path to target
Se indica una ruta UNC correspondiente a la ubicación de la carpeta compartida a la que quiera apuntar
en el cuadro (Ord07unidad1).
Comments
Si se desea se introducen los comentarios que verán los usuarios.
Amount of time clients cache this referral in seconds
Establece el tiempo que los clientes mantendrán en caché esta referencia antes de comprobar si la
referencia aún es válida. En este caso, no se modificó.
Este último paso se realizó dos veces, para vincular C:Tempunidad1 y C:foounidad2 como Empleados
y Ejecutivos respectivamente (véase las figuras 6). El resultado final fue una raíz del DFS denominada Datos
que apuntaba al directorio C:datos de la que colgaban los dos vínculos (Empleados y Ejecutivos) nombrados.
Figura 6: Nodos Hijos
8
10. M APEAR U NIDAD AL DFS:
El siguiente paso fue mapear la unidad T: al sistema de archivos distribuidos, de la siguiente manera:
Se crea un archivo, con el nombre unidad.bat con el siguiente código:
1 net use T: as07.orgDatos
Se crea una directiva nueva:
• Siempre a la hora de aplicar una directiva habrá que dirigirse a la consola Active Directory Users
and Computers para seleccionar a quién se le aplicará.
• En la unidad organizativa Rubik en “Properties” se selecciona la pestaña “Group Policy”.
• Se crea una nueva directiva presionando “New” y se le da el nombre deseado (Map).
• Se presiona “Edit” y aparece la consola Group Policy Object Editor donde se establecerá la política.
• Navegando por el panel de árbol izquierdo se sigue la siguiente ruta:
User Configuration → Windows Settings → Scripts → Logon
• Se presiona sobre “Show Files” y en la carpeta que se abre se introduce el archivo unidad.bat
creado previamente. Se cierra la ventana (véase la figura 7).
• Se presiona sobre el botón “Add”, elegimos el archivo que hemos introducido: unidad.bat (véase
la figura 7), luego a OK y aplicamos la política.
Figura 7: Mapear Unidad
9
11. 3. Directivas de grupos
Todos los usuarios de la organización han de cumplir forzosamente las siguientes restric-
ciones:
Longitud mínima de la contraseña: 5 caracteres.
Cambio de contraseña cada 6 meses.
Estas dos restricciones relacionadas con el password requieren, para poder ser efectivas, definirlas desde
el propio dominio. Esto es debido, a que las políticas de contraseñas son comunes para todos los usuarios
dentro del dominio (as07.org).
Se editó la política “Default Domain Policy” y se añadió estás dos restricciones siguiendo los pasos si-
guiente:
Computer Config → Windows Settings → Security Settings → Account Policies → Password
Policy → Minimum pwd length = 3 y Maximum pwd age = 180
No les debe aparecer el menú “archivo” del “Explorador de Windows”.
En esta ocasión, se creó una nueva GPO (que se denominó “HideMenuFile”) dentro del contenedor
Rubik, ya que es común a todos los proyectos de la organización. Aunque es cierto, que esta política
no requiere de la presencia del computador dentro del contenedor, funciona correctamente en caso de
que existiese, y es por ello, que no se hizo necesario la creación de otro contenedor hijo de Rubik donde
poder aplicar esta política.
Los pasos a seguir para editar la política “HideMenuFile” creada, y así, poder realizar la tarea de ocultar
el menú “archivo” son:
User Configuration → Administrative Templates → Windows Components → Windows Explo-
rer → Remove File menu from WE = Enabled
Los usuarios del Departamento de Contabilidad, excepto aquél designado para el control
de usuario y grupos han de cumplir las siguientes restricciones:
Redirección de la carpeta “Mis documentos” a un directorio personal bajo C:home del
servidor.
En primer lugar se crea la carpeta home bajo la ruta C: y se comparte dando control total a todos los
usuarios del dominio (Domain Users).
A continuación se crea una nueva directiva de grupo en la OU Contabilidad, tal y como se ha hecho
hasta ahora, con el nombre “MyDoc” y se edita buscando la correspondiente directiva bajo la ruta:
User Configuration → Windows Settings → Folder Redirection → My Documents
En “Properties” de Folder Redirection aparece una ventana emergente, donde la primera pestaña “Tar-
get” se configura de la siguiente manera (véase la figura 8):
10
12. • Setting
Se selecciona “Basic - Redirect everyone’s folder to the same location” con el fin de que todas las
carpetas de documentos de los usuarios se redirijan a la misma ruta.
• Target folder location
Bajo esta opción se selecciona “Create a folder for each user under the root path” para que cada vez
que el usuario inicie sesión se cree, en la ruta definida a continuación, una carpeta con su nombre.
• Root Path
Se define el recurso (el directorio home creado previamente) bajo el que se crearán las carpetas
de los usuarios hacia donde se redirigirá su carpeta de Mis Documentos. Por lo definimos con su
nombre UNC: as07.orghome.
La siguiente pestaña, “Settings” se queda como está por defecto, aunque se comenta brevemente que
significan las opciones en el orden que aparecen en la figura 8:
• La primera opción: sirven básicamente para que los usuarios tengan derechos exclusivos sobre su
carpeta Mis documentos.
• La segunda, para que el contenido que en el momento de aplicar la directiva se encontraba bajo
la ruta local, pase a la nueva ruta en el servidor una vez el usuario inicie sesión.
• La tercera opción, bajo “Policy Removal”, indica lo que ocurrirá al eliminar la política, si se quedan
en el servidor (opción marcada) o si se redireccionan nuevamente a su máquina local.
• La cuarta opción indica que hacer con la carpeta Mis imágenes de cada usuario, si convertirla en
subcarpeta de Mis Documentos (opción marcada), o no aplicarle ninguna política.
Figura 8: Redirección de Mis Documentos
11
13. Ocultar la unidad C: en “Mi PC”.
Se crea una nueva directiva de grupo en la OU Contabilidad, con el nombre “HideC” y se edita buscando
la correspondiente directiva bajo la ruta:
User Configuration → Administrative Templates → Windows Component → Windows Explore
→ Hide these specified drive in
Se habilita marcando “Enabled” y en “Pick of the following combinations” se selecciona “Restrict C drive
Only”, de esta manera la unidad C: no aparecerá en Mi PC para los usuarios de Contabilidad.
Para que ninguna de estas directivas se aplique al usuario designado para el control de usuario y grupos
(cont1) se realiza lo siguiente:
• En las propiedades de la OU Contabilidad, en la pestaña “Group Policy”, donde se han creado
hasta ahora las directivas, se selecciona primero una de las directivas y en las propiedades de
dicha directiva hay que dirigirse a la pestaña “Security”.
• En “Add” se añade a cont1 y en los permisos se le deniega “Apply Group Policy” tal y como se
muestra en la figura 9.
• Se hace lo mismo con la directiva restante.
Figura 9: No aplicar políticas a usuarios (cont1)
Los usuarios del Departamento de Recursos Humanos:
No les ha de aparecer la opción “Ejecutar” en el “Menú de Inicio”. Además, un usuario
(rrhh1) de este departamento ha sido designado como administrador de directivas de
grupo para su departamento, de tal manera que ha de tener la capacidad de modificar
las directivas aplicadas al mismo.
12
14. Para no mostrar Ejecutar en el Menú de inicio se ha de crear y modificar en la OU RRHH una nueva
directiva, a la que se nombra “HideRun”. La directiva a habilitar en el Group Policy Object Editor se
encuentra bajo:
User Configuration → Administrative Templates → Start New → Remove Run menu from
Start menu = Enable
Como el enunciado indica que un usuario debe quedar designado como administrador de directivas en
su departamento, el primer paso es activar la vista como características avanzadas, en el caso de no estar
activa:
View → Advanced Features
Tal como se muestra en la figura 10 se tuvo que modificar el permiso otorgado a esta directiva para el
usuario (rrhh1), al cual se le otorgó el permiso de “write” y “read”. Para conseguir esto, se situó en la
directiva de la OU RRHH siguiendo los siguientes pasos:
OU RRHH Properties → Security → Add (rrhh1)
Figura 10: Permisos de Políticas
Los usuarios del Departamento de Comercial:
El tamaño del perfil no ha de superar los 10 MB.
Para cumplir con el enunciado, y que los usuarios del departamento Comercial no excedan el tamaño
de su perfil de 10MB, se ha de crear y modificar en la OU Comercial una nueva directiva, a la que se
nombra “ProfileSize”. La directiva a habilitar en el Group Policy Object Editor se encuentra bajo:
13
15. User Configuration → Administrative Templates → System → User Profile Size
Además de habilitarla se configura el tamaño como se indica junto algunas opciones opcionales que se
creyó conveniente marcar, como informar al usuario con un mensaje si se excede del tamaño establecido
y cada cuantos minutos mostrarlo (véase la figura 11).
Figura 11: Limitar Tamaño del Perfil
14
16. ANEXOS
A. Opcional : Cuotas
En un entorno de red en el que los usuarios guardan sus datos en los servidores, es interesante llevar un
control de cantidad de espacio requerido por cada usuario. Con dicha finalidad se establecerán cuotas para los
usuarios de la organización.
Hay dos maneras de asignarles cuotas a los usuarios, una es con la herramienta de Cuotas de Disco que
ofrece Windows y se establece en las unidades de disco de manera individual, y la otra, es a través de las
políticas de grupo y a todas las unidades NTFS del Sistema. En nuestro caso, se eligió esta segunda opción
porque se supuso que sería la opción correcta para cumplir con la finalidad de la práctica, que es trabajar con
las directivas de grupo y las unidades organizativas. Pero finalmente, se comprendió la utilidad de hacerlo a
través de las directivas, ya que en lugar de ir usuario a usuario asignando cuotas, se puede hacer de una vez
seleccionando la OU donde se encuentran los usuarios a los que se le desea aplicar. Aunque la utilidad también
varía dependiendo de las necesidades de la empresa, puesto que si no se desea que todas las unidades NTFS
del servidor se configuren con las mismas características o no todos los usuarios tengan el mismo límite, las
directivas no serían la opción más adecuada o al menos no por sí solas, habría que combinar ambas maneras.
Figura 12: Cuotas de Disco
Para la directiva de Cuotas es necesario tener la computadora dentro de la OU Rubik, a la que se le aplicará
la directiva. Por lo que en Active Directory Users and Computer , en las propiedades de dicha unidad organizativa
se crea una nueva directiva Quota y se edita siguiendo:
Computer Configuration → Administrative Templates → System → Disk Quotas
Una vez allí se habilitan diversas directivas tal y como se muestra en la figura 12. Principalmente se
configura y habilita la directiva Default quota limit and warning level para establecer el límite y el nivel de
15
17. advertencia tal y como se muestra en la figura 12, dando un 1GB de disco y estableciendo 900MB como límite
de advertencia. Decir que para que esta configuración surta efecto, es necesario habilitar la directiva Enabled
disk quotas. El resto de opciones se corresponden, si se habilitan, con opciones como restringir el acceso al
disco si el usuario que excede la cuota, registrar eventos cuando se exceda el límite o el nivel de advertencia o
aplicar cuotas a unidades extraíbles.
16