68510505 Ejemplos de Instalacion de Politicas Active Directory
60
INTRODUCCION En el siguiente trabajo se mostrara la instalación de una maquina virtual y en ella un entorno de red basado en un controlador de dominio en Microsoft Windows Server (versión 2003 o 2008), y posteriormente implementar diversas configuraciones haciendo uso de las configuraciones de directivas de grupo, que se probaran en la maquina virtual configurada. La configuración de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows, de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa. Puede implementar la seguridad de los servicios del sistema en Windows. Esto permitirá controlar quién puede administrar los servicios de una estación de trabajo, un servidor miembro o un controlador de dominio. Actualmente, la única forma de cambiar un servicio del sistema es a través de una configuración de equipo de directiva de grupo. Si se implementa una Directiva de grupo en la Directiva de dominio predeterminada, la directiva se aplicará a todos los equipos del dominio. Si implementa una Directiva de grupo en la directiva Controladores de dominio predeterminada, la directiva sólo se aplicará en la unidad organizativa del controlador de dominio. Puede crear unidades organizativas que contengan estaciones de trabajo a las que se puedan aplicar directivas. En este trabajo se implementaran Directivas de grupo en una unidad organizativa para modificar configuraciones, cambiar permisos en los servicios del sistema, etc. Las políticas de grupo de Directorio Activo, nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red. Las políticas de grupo se definen en dos secciones: la primera que modifica la configuración de clientes o servidores y la segunda que configura el ambiente para los usuarios. Las políticas de grupo pueden definirse a nivel Sitio (Site), a nivel Dominio y a nivel Unidad Organizacional (OU). Las políticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio. Las políticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU. Las OU’s pueden estar anidadas, las políticas se heredan hacia los niveles inferiores de OU’s. En estos casos si existe la misma política definida en múltiples niveles se aplica la política más cercana a los objetos, a menos de que explícitamente especifique lo contrario. No se recomienda utilizar políticas a nivel de sitios, a menos de que sea totalmente indispensable, ya que en un sitio donde existan múltiples dominios puede degradar el proceso de firma (logon) del usuario.
Transcript of 68510505 Ejemplos de Instalacion de Politicas Active Directory
INTRODUCCION
En el siguiente trabajo se mostrara la instalación de una maquina virtual y en ella un entorno de red basado en un controlador de dominio en Microsoft Windows Server (versión 2003 o 2008), y posteriormente implementar diversas configuraciones haciendo uso de las configuraciones de directivas de grupo, que se probaran en la maquina virtual configurada.
La configuración de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows, de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa.
Puede implementar la seguridad de los servicios del sistema en Windows. Esto permitirá controlar quién puede administrar los servicios de una estación de trabajo, un servidor miembro o un controlador de dominio. Actualmente, la única forma de cambiar un servicio del sistema es a través de una configuración de equipo de directiva de grupo.
Si se implementa una Directiva de grupo en la Directiva de dominio predeterminada, la directiva se aplicará a todos los equipos del dominio. Si implementa una Directiva de grupo en la directiva Controladores de dominio predeterminada, la directiva sólo se aplicará en la unidad organizativa del controlador de dominio. Puede crear unidades organizativas que contengan estaciones de trabajo a las que se puedan aplicar directivas. En este trabajo se implementaran Directivas de grupo en una unidad organizativa para modificar configuraciones, cambiar permisos en los servicios del sistema, etc.Las políticas de grupo de Directorio Activo, nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red. Las políticas de grupo se definen en dos secciones: la primera que modifica la configuración de clientes o servidores y la segunda que configura el ambiente para los usuarios. Las políticas de grupo pueden definirse a nivel Sitio (Site), a nivel Dominio y a nivel Unidad Organizacional (OU). Las políticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio. Las políticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU. Las OU’s pueden estar anidadas, las políticas se heredan hacia los niveles inferiores de OU’s. En estos casos si existe la misma política definida en múltiples niveles se aplica la política más cercana a los objetos, a menos de que explícitamente especifique lo contrario. No se recomienda utilizar políticas a nivel de sitios, a menos de que sea totalmente indispensable, ya que en un sitio donde existan múltiples dominios puede degradar el proceso de firma (logon) del usuario.
Configurar el servidor como controlador de dominio
El Servicio de nombres de dominio (DNS) y DCPromo (la herramienta de la línea de comandos que crea DNS y Active Directory) pueden instalarse manualmente o mediante el Asistente para configurar su servidor de Windows Server 2003. En esta sección se utilizan las herramientas manuales para realizar la instalación.
Para instalar DNS y Active Directory mediante las herramientas manuales
1. Haga clic en el botón Inicio y en Ejecutar, escriba DCPROMO y, a continuación, haga clic en Aceptar.
2. Cuando aparezca el Asistente para instalación de Active Directory, haga clic en Siguiente para iniciar la instalación.
3. Después de revisar la información de Compatibilidad de sistema operativo, haga clic en Siguiente.
4. Seleccione Controlador de dominio para un dominio nuevo (opción predeterminada) y, a continuación, haga clic en Siguiente.
5. Seleccione Dominio en un nuevo bosque (opción predeterminada) y, a continuación, haga clic en Siguiente.
6. Para Nombre DNS completo, escriba contoso.com y, después, haga clic en Siguiente. (Esta opción representa un nombre completo.)
7. Haga clic en Siguiente para aceptar la opción predeterminada Nombre NetBIOS del dominio de CONTOSO. (El nombre NetBIOS proporciona compatibilidad de bajo nivel.)
8. En la pantalla Carpetas de la base de datos y del registro, establezca la Carpeta de registro de Active Directory de forma que apunte a L:\Windows\NTDS y, a continuación, haga clic en Siguiente para continuar.
9. Deje la ubicación de la carpeta predeterminada para Volumen del sistema compartido y, después, haga clic en Siguiente.
10.
En la pantalla Diagnósticos de registro de DNS, haga clic en Instalar y configurar el servidor DNS en este equipo. Haga clic en Siguiente para continuar.
11.
Seleccione Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 o Windows Server 2003 (opción predeterminada) y, a continuación, haga clic en Siguiente.
12.
Escriba la contraseña para Contraseña de modo de restauración y Confirmar contraseña y, después, haga clic en Siguiente para continuar.
Nota: los entornos de producción deben emplear contraseñas complejas para las contraseñas de restauración de servicios de directorio.
2
Resumen de las opciones de instalación de Active Directory13.
La Figura anterior representa un resumen de las opciones de instalación de Active Directory. Haga clic en Siguiente para iniciar la instalación de Active Directory. Si se le indica, inserte el CD de instalación de Windows Server 2003.
14.
Haga clic en Aceptar para confirmar la advertencia de que se va a asignar una dirección IP de forma dinámica a un servidor DNS.
15.
Si dispone de varias interfaces de red, seleccione la interfaz de red 10.0.0.0 de la lista desplegable Elegir conexión y, a continuación, haga clic en Propiedades.
16.
En la sección Esta conexión utiliza los siguientes elementos, haga clic en Protocolo Internet (TCP/IP) y luego en Propiedades.
17.
Seleccione Usar la siguiente dirección IP y, a continuación, escriba 10.0.0.2 para Dirección IP. Presione dos veces la tecla Tab y, después, escriba 10.0.0.1 para Puerta de enlace predeterminada. Escriba 127.0.0.1 para Servidor DNS preferido y, a continuación, haga clic en Aceptar. Haga clic en Cerrar para continuar.
18.
Haga clic en Finalizar cuando termine el Asistente para instalación de Active Directory.
19.
Haga clic en Reiniciar ahora para reiniciar el equipo.
Para autorizar el servidor DHCP
1.
Una vez reiniciado el equipo, presione Ctrl+Alt+Supr e inicie sesión en el servidor como [email protected]. Deje en blanco el cuadro de la contraseña.
2.
Haga clic en el menú Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en DHCP.
3.
Haga clic en hq-con-dc-01.contoso.com. Haga clic con el botón secundario del mouse en hq-con-dc-01.contoso.com y, después, haga clic en Autorizar.
4.
Cierre la consola de administración de DHCP.
3
Cómo crear una unidad organizativa
1. Inicie la sesión como Administrador. 2. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a
continuación, haga clic en Usuarios y equipos de Active Directory. 3. Utilice uno de los pasos siguientes:
o Haga clic con el botón secundario del mouse (ratón) en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas, seleccione Agregar y, a continuación, haga clic en Unidad organizativa.
o Haga clic en Crear una unidad organizativa nueva en la barra de herramientas.
o En el menú Acción, seleccione Nueva y, a continuación, haga clic en Unidad organizativa.
4. En el cuadro Nombre, escriba el nombre del objeto nuevo y, después, haga clic en Aceptar. Se crea e inserta en la lista un icono con el nombre correspondiente. Ahora puede agregar otros objetos a la unidad organizativa, como usuarios, equipos, grupos y otras unidades organizativas.
La siguiente figura muestra cómo aparecen Usuarios y equipos de Active Directory en la
pantalla.
Las cuentas de usuario del dominio se pueden crear en el contenedor Users o en algún otro contenedor u OU creada para almacenar cuentas de usuario del dominio. Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace posible:
• Autentificar la identidad de la persona que se conecta a la red.• Controlar el acceso a los recursos del dominio. • Auditar las acciones realizadas utilizando la cuenta.
Para añadir una cuenta de usuario del dominio hay que seguir estos pasos:
4
En el Active Directory, cada cuenta de usuario tiene un nombre principal. El nombre consta de
dos partes, el nombre principal de seguridad y el sufijo de nombre principal. Para las nuevas
cuentas de usuario, un administrador asigna el nombre principal de seguridad. El sufijo de
nombre principal predeterminado es el nombre DNS del dominio raíz en el árbol de dominios.
Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo
que está administrando.
Puede contener hasta 20
caracteres, en mayúsculas
o minúsculas, excepto los
siguientes: " / [ ] : ; | = , +
* ?
De esta forma un usuario
identificado como
francisco.quinonez
tendría un nombre principal tal como [email protected]
Luego se pone la contraseña y se confirmar la contraseña.
5
Los grupos, contraseñas y usuarios creados son:
--------------------------------------
Contabilidad
======================================
Iliana Quiñonez
USER:iliana.quiñ[email protected]
PASS:iq12345.
Francisco Quiñonez
user:francisco.quiñ[email protected]
pass:fq12345.
======================================
--------------------------------------
ventas
======================================
Marlon Valencia
user: [email protected]
pass: mv12345.
Wilson Rivas
user: [email protected]
pass: wr12345.
======================================
6
--------------------------------------
mercadeo
======================================
Iliana Escobar
user: [email protected]
pass: ie12345.
Francisco Escobar
user: [email protected]
pass: fe12345.
======================================
--------------------------------------
informatica
======================================
Marlon Guzman
user: [email protected]
pass: mg12345.
Ricardo Rivas
user: [email protected]
pass: rr12345.
======================================
--------------------------------------
gerencia
======================================
Maria Escobar
user: [email protected]
pass: me12345.
Allon Valencia
user: [email protected]
pass: av12345.
======================================
7
Configurar un cliente de Active Directory
La configuración de los clientes del Active Directory depende de los sistemas operativos que se encuentren instalados en los equipos terminales como Windows 2000, Windows XP, Windows 98 Segunda Edición. Se le pedirá que se una a un dominio existente o a un grupo de trabajo. Si el controlador de dominio no está disponible todavía en el momento de la instalación, puede unirse a él más adelante.
Antes de comenzar el proceso, asegúrese de que el equipo tiene acceso al mismo segmento de red de forma que pueda comunicarse con el dominio. Igual que al configurar el controlador de dominio adicional, debe especificar la dirección IP del servidor DNS.
Los pasos siguientes describen cómo unir un equipo a un nuevo dominio.
• Haga clic con el botón secundario del mouse (ratón) en Mi PC y seleccione Propiedades.
• En el cuadro de diálogo Propiedades del sistema, haga clic en la ficha nombre del
equipo.
• Desde el cuadro de diálogo Cambios de en el nombre de equipo, haga clic en el botón
de opción Dominio, si no está ya seleccionado. Escriba el nombre completo del
dominio (en nuestro caso, "electivatres.edu").
Haga clic en Aceptar para confirmar los cambios. Se le pedirá que escriba el nombre de usuario y la contraseña del dominio.
Reinicie el servidor para que los cambios surtan efecto.
8
9
10
Administración de las cuentas de usuario
Especialmente en una red grande y ocupada, la gestión de las cuentas de usuario es un proceso continuo de adiciones, eliminaciones y cambios. Aunque estas tareas no son difíciles, pueden consumir tiempo y es necesario gestionarlas con cuidado.
Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. Abrir el contenedor que almacena la cuenta de usuario. Seleccionar el Usuario que queremos administrar y pulsar el menú Acción. Aparecerán las siguientes opciones:
11
CONFIGURACIÓN DE DIRECTIVAS DE GRUPO
Lo primero que debemos hacer es abrir el administrador de directivas de grupo, para ello vamos a “Inicio > Todos los programas > Herramientas administrativas > Administración de directivas de grupo”.
12
Desplegamos el administrador de directivas de grupo abriendo “Administración de directivas de grupo > Dominio > Objetos de directivas de grupo”.
Nos posicionamos sobre “Objetos de directivas de grupo” y seleccionamos “Nuevo”.
13
CONFIGURACION DE DIRECTIVAS DE GRUPOS
1.- Cree una directiva de grupo para estandarizar el escritorio a nivel de todos los miembros del dominio con un mismo wallpaper, implementar screen saver protegido con password, y que se ejecute el screen saver después de 10 minutos de inactividad. Además remueva las configuraciones de Display a nivel del control panel para todo el dominio excepto para la OU Informática.
Inicie la sesión como Administrador. Abrir el administrador de directivas de grupo, para ello vamos a “Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory”. Una vez abierta, pulsamos con el botón derecho del ratón encima del dominio y seleccionamos la opción “Nuevo > Unidad organizativa”.
Vamos a crear los usuarios del dominio. Clic derecho sobre la unidad organizativa Usuarios --> Nuevo --> Usuarios.
14
Rellenamos los datos pedidos.
Elegimos la contraseña del usuarios (debe cumplir los requisitos de seguridad). Y finalizamos.
15
Ahora toca unir el equipo al dominio.
Vamos a Inicio --> Panel de Control --> Sistema --> Nombre de Equipo --> Cambiar --> Y
ponemos el nombre del equipo y el nombre de dominio.
16
17
18
19
20
21
22
23
24
25
26
27
28
Actualizamos, Inicio > Ejecutar > gpupdate
Reiniciamos el equipo y al iniciar tendremos activada el inicio de sesión clásico por usuarios.
29
30
2.- Modifique las configuraciones de seguridad para establecer una política de contraseñas para todos los usuarios del dominio con requerimientos mínimos de 8 caracteres, cambio de contraseñas cada 60 días y restricción de no uso de contraseñas repetidas (3 ultimas contraseñas). Haga un enforzamiento de esta directiva para asegurarse que se aplique a todo NIVEL
31
32
33
34
35
36
37
3.-Prohiba a los miembros de las OU’s Ventas y Contabilidad el acceso al Control Panel.
38
39
40
41
42
43
44
45
46
47
48
49
4.- Implemente una directiva a nivel de dominio para restringir a todos los usuarios el acceso a “Ejecutar comandos “(Run commands) desde el botón de inicio. Como excepción, permita que la OU informática SI pueda tener acceso a esta configuración.
Vamos a “Inicio > Herramientas administrativas > Administración de directivas de grupo > Editor de objetos de directivas de grupo > clic derecho en Quitar el menú ejecutar del menú
inicio > clic en Propiedades”.
Aparecerá la siguiente ventana y en la ventana de Nuevo GPO poner: “No run command”
50
Iniciar sesion con cualquier usuario
51
Ingresar a “Inicio > Todos los programas > Herramientas administrativas > Administración de directivas de grupo > Editor de objetos de directivas de grupo > Propiedades de quitar en menú Ejecutar del menú inicio.”
52
Iniciar sesión con cada uno de los usuarios
53
CONCLUSIONES
Las políticas de grupo de Directorio Activo, nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red.
Las políticas de grupo pueden definirse a nivel Sitio, a nivel Dominio y a nivel Unidad Organizacional (OU). Las políticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio. Las políticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU.
54
BIBLIOGRAFIA
“Microsoft Windows 2000 Active Directory Services. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3
http://informatica.iescuravalera.es/iflica/gtfinal/libro/c3116.html
http://wiki.elhacker.net/redes/windows/crear-usuarios-y-grupos-unir-un-equipo-a-un-dominio-y-perfiles-moviles
http://www.info-ab.uclm.es/asignaturas/42620/Clase6-AdministracionDePoliticasDeGrupo.pdf
55
ANEXOS
56
57
58
59
60
