Administración de un servidor de directorio en Windows

Active Directory

INDIARA RIOS GARCIA

SEBASTIAN CORREA CARDONA

INSTALACION EN WINDOWS SERVER 2008

Nota: Se requiere una interfaz de red con una IP estática y con servidor DNS.

Para la instalación de AD (Active Directory), lo primero que debemos hacer es acceder a Inicio> ejecutar, y allí colocaremos dcpromo, así

Damos clic en aceptar, y esperamos a que carguen todos sus componentes.

Luego aparecerá el asistente de instalación y damos clic en siguiente.

Luego seleccionamos “crear nuevo dominio”, ya que anteriormente no se ha creado ningún

Dominio, y damos clic en siguiente

Ahora vamos a colocar el dominio raíz que deseamos usar para el siguiente bosque. Luego el asistente de instalación verifica si el dominio que escribimos no está en uso, y damos clic en siguiente.

Nota: Si está en uso se deberá especificar otro nombre de dominio diferente

Ahora especificamos el nombre del netbios del dominio, en este caso es ABC. Si se desea se puede colocar otro nombre, pero es recomendable usar el mismo nombre del dominio raíz para no ir a cometer errores posteriormente.

Ahora especificaremos el nivel funcional del bosque, puede ser Windows Server 2000,2003 o 2008, según sea el caso. En este caso usaremos el WS 2008.Clic en siguiente

Se recomienda tener instalado el servidor DNS previamente, en caso contrario el AD lo instalará automáticamente. Clic en siguiente

Ahora seleccionamos “No,asignare direcciones de IP Estaticas…”, porque nosotros ya le hemos asignado una dirección IP estática que será con la que va a trabajar nuestro servidor DNS

Luego damos clic en “si”, para poder crear el nuevo dominio llamado abc.com.

A continuación, dejamos la misma ruta de las carpetas que se crearán por defecto. Si se quiere se puede cambiar la ruta, pero no es recomendable. Damos clic en siguiente.

Luego asignamos la contraseña de administrador del Active Directory.

Nota: No es la misma contraseña del administrador del equipo. Si se quiere se puede poner la misma contraseña del administrador del equipo para evitar olvidos posteriores. Clic en siguiente.

Ahora nos aparecen todas las aplicaciones que se instalaran. Se debe revisar, por si hay algún error durante la configuración. Si todo está correcto, damos clic en siguiente para instalar el AD en el equipo.

Durante la instalación se debe seleccionar la casilla “Reiniciar al completar”, para poder

Finalizar la instalación de AD exitosamente en el equipo.

PLANTEAMIENTO DEL PROBLEMA

La empresa ABCx requiere el diseño e implementación de un servicio para mantener información centralizada de los recursos de la red. Se requiere entonces que la información de los objetos de la red sea almacenada en un servicio de Directorio Ligero (Active Directory) en Windows Server 2008.

En esta actividad usted debe desarollar cada uno de los pasos que se exponen a continuación:

A partir del diagrama de la figura 1 cree una estructura LDAP en la que se pueda englobar a todos los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del directorio sera usados como usuarios de correo electrónico).

A usted como grupo del departamento de Sistemas se le ha asignado la tarea de implementar una infraestructura Active Directory en la que se establecerán las siguientes directivas:

Cada departamento de la empresa ABCx será agregado a la estructura lógica de Active Directory a través de unidades organizativas. Cada unidad organizativa anidará otras unidades organizativas que permitirán tener un control sobre los recursos de red de cada dependencia. Estos contenedores serán: Usuarios y grupos, Equipos, Impresoras y Carpetas compartidas. Tenga en cuenta que dentro de cada departamento existen por lo menos 10 usuarios y que la información de cada usuario en el directorio debe ser detallada.

Se forzará a todos los usuarios del dominio abc.com a cambiar su contraseña cada 15 días y el sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de contraseñas debe estar habilitada para usar un password seguro.

Empezamos por acceder a Start > Administrative tools > Group Policy Management Allí damos clic derecho sobre el dominio abc.com, y seleccionamos “Create a GPO…”

Luego colocaremos el nombre que deseemos a la nueva GPO que se creará y luego damos clic en aceptar

Luego editaremos la nueva GPO que se ha creado. Daremos clic derecho sobre la directiva

Para que recuerde las ultimas tres contraseñas cambiadas por el usuario hacemos doble clic sobre “Enforce password history” habilitamos la opción y ponemos la cantidad deseada en nuestro caso tres.

Se forzará a todos los usuarios del dominio abc.com a cambiar su contraseña cada 15 días para esto hacemos doble clic en “Maximum password age”

La política de contraseñas debe estar habilitada para usar un password seguro.

A todos los usuarios, exceptuando los administradores del dominio y los usuarios del departamento de Sistemas, tendrán restringido el acceso a los siguientes componentes:

Menú Ejecutar

Panel de control

Regedit

Unidad C: (Visualizar la unidad)

Reproducción automática de medios extraíbles

Cambiar la página predeterminada de Internet Explorer (Se cargará por defecto la página principal del sitio www.abc.com)

Acceso desde el navegador a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.

Desbloquear la barra de tareas (Siempre permanecerá bloqueada)

Acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.

NOTA: En algunas empresas el almacenamiento se maneja solo a través de unidades de red y no se permite el uso de medios extraibles para evitar que información confidencial sea accesible.

A los usuarios del departamento de Compras se le aplicacarán las siguientes GPOs (Adicional a las mencionadas anteriormente):

No podrán visualizar los elementos del Escritorio

Quitar el administrador de tareas

Dentro de cada unidad organizativa Usuarios y Grupos se creará un grupo de usuarios llamado practicantes. Las cuentas de los practicantes caducarán 6 meses después de su creación. Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM. Conceder al grupo practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una vez

que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red).

Primero vamos ir por cada unidad organizativa y procederemos a crear un usuario y un grupo en las unidades organizativas lo podemos hacer como antes ya lo habíamos hecho.

Vamos a la unidad organizativa y le damos crear usuario, y creamos un usuario por cada OU que se llame practicantes, en este caso, practicante Dir comercial, practicante sistemas, etc. Pero primero crearemos un grupo en la unidad organizativa principal que se llame Ejemplo: practicantes sistemas.

Las cuentas de los practicantes caducarán 6 meses después de su creación

Después iremos donde cada usuario antes creados llamados practicantes y haremos lo siguiente. Primero daremos clic derecho en propiedades.

Allí nos aparecerá una ventana en la cual seleccionaremos la pestaña Account, y luego daremos clic en el botón End of en la parte de abajo donde dice Account expires.

Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM

Allí nos aparecerá una ventana en la cual seleccionaremos la pestaña Account, y luego daremos clic en Logon Hours.

Una vez estando allí, vamos a seleccionar las horas en el que el usuario podrá iniciar sesión durante toda la semana.

Allí vamos a darle la opción para que solo puedan entrar de lunes a viernes de 7:00 am a 6:00 pm, y procederemos a dar clic en Aceptar.

Conceder al grupo practicantes solo el acceso a la carpeta compartida PRACTICANTES.

Ahora procederemos a crear una carpeta compartida para que se monte automáticamente cada vez que un usuario practicante inicie sesión. Primero crearemos una carpeta dentro de documentos. Luego le daremos en la opción compartir

Seguidamente nos pedirá el grupo con el que se compartirá la carpeta, es allí donde seleccionaremos al grupo practicantes.

(Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red).

Por último iremos de nuevo donde cada usuario practicante y le daremos clic en propiedades. Seleccionamos la opción profile, allí en la parte inferior habrá una opción que dice Connect , allí seleccionaremos el nombre de la unidad que se va a montar automáticamente, en este caso la Z: en el cuadro que sigue colocaremos la ruta de la carpeta antes compartida

Luego cuando un usuario practicante inicie sesión desde un equipo cliente, en la ventana MI PC le aparecerá una unidad de red como se muestra a continuación

Cada vez que los usuarios del departamento Web y Comercio Electrónico inicien sesión se montarán automáticamente dos unidades de red que se mapean a carpetas compartidas en un servidor Windows Server 2008. Note que primero debe compartir las carpetas en algún servidor (Controlador de dominio u otro) antes de montarlas automáticamente. Todos los usuarios del departamento tendrán una cuota de 1000MB sobre la unidad de red.

Primero creamos las carpetas a compartir web y comercio electrónico.

Luego compartimos las carpetas.

Luego creamos el grupo web y comercio dentro de la OU(unidad organizativa) Web y Comercio Electronico.

Escogemos el grupo en nuestro caso web y comercio, y le damos permisos de Lectura y escritura.

Luego creamos el script para las unidades que se van a mapear.

Le damos la ruta donde guardaremos el script, en este caso lo guardaremos en una carpeta dentro del servidor. Damos clic en servidor.

Clic en la carpeta netlogon.

Luego procederemos a hacer un script con las direcciones de las carpetas compartidas, como se muestra a continuación. Lo guardamos con la extensión .bat para que se pueda ejecutar como un script

Luego vamos a ir a Administración de directivas de grupo, y creamos una GPO para el script.

Luego nos paramos en la GPO y la editamos, vamos a user configuration > Windows settings > logon. En la pestaña de scipt agregamos nuestro script.

Ahora para mantener un control de lo que se sube a la unidad de red vamos a colocar una cuota de disco de 1000 MB.

Lo vamos a hacer, primero creando una nueva GPO dentro de la unidad organizativa web y comercio electrónico. Luego vamos a editar esa nueva GPO con las siguientes directivas

Ahora para aplicarle una cuota a la unidad de red debemos de instalar primero un complemento al servidor de archivos. Así que vamos a funciones, seleccionamos el servicio del servidor de archivos y le damos agregar características. Ahora seleccionamos

Administrador de recursos del servidor de archivos.

Le damos desplegar a Administración de cuotas allí seleccionamos la opción Cuotas. Y luego vamos a dar clic derecho y le daremos crear cuota.

Luego nos aparecerá la siguiente ventana en la cual colocaremos de cuanto queremos que sea nuestra cuota de disco. Y daremos clic en aceptar

Vamos a buscar la carpeta con las carpetas compartidas anteriormente.

Antes nos aparecerá la siguiente ventana. Allí seleccionaremos la opción Guardar las propiedades personalizadas como plantilla Y colocaremos el nombre.

esto será lo que sucederá cuando el personal de web y comercio electrónico inicien sesión en un equipo dentro del dominio. De inmediato, se ejecutará el script y por ende, montará las 2 unidades de red.

Los usuarios de los departamentos de Diseño Gráfico y Comerciales Externos solo podrán iniciar sesión en los equipos que pertenecen a dicho departamento

Primero vamos a añadir los equipos del dominio en los que queremos que los usuariosde Diseño gráfico y comerciales externos inicien sesión.

En este caso sería xyz.

Una vez añadido a la unidad organizativa EQUIPOS (COMPUTER) procederemos a dar clic derecho y seleccionar la opción propiedades.

Allí vamos a colocar los grupos a los que pertenece ese equipo. Los cuáles serán Comerciales externos y Diseño gráfico.

Luego iremos a cada usuario de los departamentos de Diseño gráfico y Comerciales Externos. Y vamos a dar clic en propiedades, luego seleccionaremos la opción, “Logon on…”

Ahora vamos a probar el usuario alvaro hoyos si podrá entrar desde otro equipo en el dominio

Y esto será lo que aparecerá si este no es el equipo asignado a este usuario, en el cual está habilitado el iniciar sesión.

Las dos impresoras de la empresa, que están físicamente ubicadas en los departamentos de Sistemas y Dirección Técnica, deben publicarse en el directorio para que los

usuarios del dominio puedan encontrar fácilmente estos recursos. Para efectos prácticos use impresoras PDF (por ejemplo doPDF, aunque existen muchas más) y compartirlas.

Primero vamos a compartir nuestra impresora en el equipo inse-PC.

Le colocaremos un nombre y seleccionaremos la opción Mostrar lista en el directorio.

Luego vamos a agregar la impresora en el servidor. Vamos a la unidad organizativa y damos clic derecho, seleccionamos la opción Nuevo y luego Impresora. Esta impresora va a ser creada en la unidad organizativa Sistemas.

Allí colocaremos la dirección de donde se encuentra la Impresora.

Y ya esta creada la impresora

Luego instalamos el Print and Document Services en el server 2008.

Luego desde un equipo cliente ingresamos y verficamos que si este imprimiendo.