memoria.bn.brmemoria.bn.br/pdf/093726/per093726_1960_00271.pdf · invn \«MMMM
Lab_1._Laboratorios_de_Estructura_AD_Lab_modificado20022015.pdf
-
Upload
alejandro-cardenas-diaz -
Category
Documents
-
view
226 -
download
2
Transcript of Lab_1._Laboratorios_de_Estructura_AD_Lab_modificado20022015.pdf
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
Laboratorio 1: Generacin de estructura Active Directory sobre Windows Server 2012.
1. Instalacin de Active Directory
2. En la herramienta Active Directory User and computer(Equipos y computadores de Active
Directory), deber generar la siguiente estructura:
2.1 Generar 4 unidades organizativas(2 por cada uno de los alumnos) Recuerde que las
unidades organizativas, se generan para ordenar la administracin dentro de la estructura
empresarial.
Objeto: Se denomina, a una OU(unidad organizativa), cuenta de usuario o grupo.
Las OU, que debe generar, son las siguientes:
Ventas, contabilidad, bodega, jefaturas.
1. Dentro de cada una de las OUS, deber generar 4 grupos de usuario. La nomenclatura,
respectiva ser la siguiente:
-Grupo Ventas(Grupo que se utilizar, para incorporar a todos los usuarios del departamento
de Ventas).
-Grupo Jefatura Ventas: Este Grupo definido para los jefes de rea de Ventas. Ellos tendrn
acceso de control Total sobre el servidor de archivos. Especficamente sobre el directorio
Jefevtas.
- Ventas_lectura: Este grupo se generar para incorporar a los vendedores que tendrn acceso
a una carpeta de archivos en el file server, para acceso centralizado. Los vendedores que se
incorporen a este grupo, slo tendrn acceso de lectura.
-Ventas_escritura: Este grupo se generar para incorporar a los vendedores que tendrn
acceso a una carpeta de archivos en el file server, para acceso centralizado. Los vendedores
que se incorporen a este grupo, tendrn acceso de escritura, sobre toda la documentacin de
la carpeta de vendedores.
NOTA: Los grupos de tipo Global_seguridad, se generan en Active Directory, para accesar
recursos compartidos en cualquiera de los equipos del dominio.
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
Diagrama de estructura de Dominio Estndar.
2. Usuarios a generar: A nivel de usuarios, generalmente se
estandarizan los accesos con cuentas genricas, nombre.apellido o incial
nombreapellido. Estas cuentas de usuario, permiten que se realice una conexin
centralizada desde cualquier estacin cliente(Windows xp, Windows 7 Windows 8),
con las versiones Enterprise, Ultimate Enterprise.
Para este caso, deber generar tres cuentas de usuarios. Estas son las siguientes:
-Cuenta vendedor1 y vendedor2) y cuenta jefe.Ventas..
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
3. Dentro de los grupos, anteriormente descritos, deber definir lo Siguiente:
3.1. Sobre el grupo Ventas, deber incorporar a todas las cuentas del
departamento de Ventas.
3.2. Sobre el Grupo Jefatura de ventas, deber agregar la cuenta de jefe.vtas.
3.3. Sobre el Grupo vendedores_lectura, agregar la cuenta vendedor1
3.4. Sobre el Grupo vendedores_escritura, agregar la cuenta vendedor2
Un poco de apoyo terico:
Un objeto lgico es un objeto intangible, es decir, que no se puede tocar y suele ser
una representacin de un objeto fsico de la red, como por ejemplo una persona, o un
ordenador. El objeto lgico ms comn es un Usuario y representa a un trabajador
de la empresa o a la persona que utiliza normalmente ese sistema, pero no siempre
es as, por ejemplo una carpeta compartida es un objeto del directorio y no tiene
representacin fsica o puede darse el caso por necesidad de que varias personas
trabajen con un mismo usuario
Un objeto fsico es un dispositivo de la red como una impresora, un switch, un router,
un servidor, un ordenador en definitiva, cualquier objeto conectado a la red y
administrado mediante Active Directory que disponga de su homlogo lgico en la
gran base de datos del directorio.
Y dicho esto vamos con los objetos ms comunes y que ms vamos a utilizar en
nuestra vida como administradores de sistemas.
Usuario
Un usuario del directorio va asociado a un usuario o equipo de la red segn las
necesidades de cada caso. Cuando va asociado a una persona representa a esta y nos
sirve para identificarla en el directorio y as poder asignar privilegios etc.
Grupo
Los grupos nos sirven para agrupar usuarios independientemente del contenedor en
el que se encuentren.
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
Unidad organizativa
Una unidad organizativa es un contenedor cuyos miembros se encuentran
obligadamente dentro del mismo, adems tiene la principal ventaja de que podemos
aplicar directivas directamente sobre esta y ordenar a los usuarios de la organizacin
4. Adicional a lo anterior, deber restringir a los usuarios, en su horario de trabajo, como se
indica a continuacin:
-Ventas: Horarios de conexin, desde las 08:00 hrs. a 22:00 hrs. de Lunes a Sbado.
- Contabilidad: Horarios de conexin, desde las 08:00 hrs. a 19:00 hrs. de Lunes a Viernes.
- Bodega: Horarios de conexin, desde las 08:00 hrs. a 21:00 hrs. de Lunes a Sbado.
- Jefaturas: Horarios de conexin, desde las 08:00 hrs. a 18:00 hrs. de Lunes a Viernes.
5. Servidor de archivos o File Server: El objetivo de la creacin de un servidor de archivos
en una empresa es debido a las siguientes necesidades:
- Centralizar acceso de los diferentes departamentos reas, para que compartan datos
entre los usuarios de la misma rea.
- Permitir respaldar un nico punto de acceso(en este caso el servidor, en el cual se
dejarn los archivos de cada departamento o rea o los datos propios de cada uno de
los usuarios.
NOTA: Desde el punto de vista prctico, es mucho ms eficiente, centralizar los datos de los
departamentos o reas de una empresa y los datos de cada uno de los usuarios en un nico
servidor, que tener estos ubicados en cada una de las estaciones de trabajo. Esto desde el punto
de respaldo y recuperacin de los datos. Si a modo de ejemplo, se poseen 50 usuarios
conectados a un servidor de archivos con todos los datos departamentales y datos de cada uno de
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
los usuarios, es ms fcil, respaldar un nico servidor en una tarea automatizada Nocturna, que
pasar por cada uno de las estaciones respaldando cada equipo,
6. Un servicio de archivos, se debe generar en una particin de sistema que no sea la
unidad C. Cualquier unidad extendida nos servira. Si se posee la alternativa de
adquirir un Raid independiente(se recomienda por los buenos tiempos de acceso un
Raid10 un Raid5), la alternativa sera generar el servicio de archivos en este Raid.
Generar sobre un nuevo disco Virtual(agregue un disco virtual, a travs de Vmware, de
50 GB).Sobre este Genere dos directorios:
- Una carpeta llamada departamentos y dentro una carpeta llamada Ventas, con los
subdirectorios Vendedores, promotoras, jefatura
- Una carpeta llamada Usuarios y dentro de esta un directorio con el nombre de una
cuenta genrica, que haya creado en Active Directory.
- Una vez generada la estructura de directorios detallada anteriormente, se proceder a
habilitar los accesos a los diferentes usuarios del rea a los recursos compartidos:
Tipos de permisos que posee Microsoft Windows Server, sobre particiones NTFS o de
seguridad.
En un servidor de archivos, el acceso a una carpeta puede estar determinado por dos conjuntos de
entradas de permisos: los permisos de recurso compartido definidos en una carpeta y los permisos
NTFS definidos en la carpeta (que tambin se puede definir en los archivos). Los permisos de
recurso compartido suelen utilizarse para administrar equipos con sistemas de archivos FAT32 u
otros equipos que no utilizan el sistema de archivos NTFS.
Los permisos de recurso compartido y los permisos NTFS son independientes en el sentido de que
ninguno modifica al otro. Los permisos de acceso final en una carpeta compartida se determinan
teniendo en cuenta las entradas de permiso de recurso compartido y de permiso NTFS. Se aplicarn
siempre los permisos ms restrictivos.
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
En la siguiente tabla se proponen permisos equivalentes que un administrador puede conceder al
grupo Usuarios para determinados tipos de carpetas compartidas. Tambin se pueden establecer
Los permisos de recurso compartido en Control total para el grupo Todos y usar los permisos NTFS
para restringir el acceso.
Consideraciones adicionales
Conceder a un usuario el permiso NTFS Control total en una carpeta permite a ese usuario
tomar posesin de la carpeta a menos que est restringido de alguna forma. Tenga especial
cuidado al conceder Control total.
Si desea administrar el acceso a carpetas exclusivamente mediante permisos NTFS,
establezca los permisos de recurso compartido en Control total para el grupo Todos.
Tipo de carpeta Permisos de recurso
compartido Permisos NTFS
Carpeta
pblica. Una carpeta
a la que todos
pueden tener
acceso.
Conceder el permiso
Cambiar al grupo Usuarios.
Conceder el permiso Modificar al grupo Usuarios.
Carpeta de
aplicaciones. Una
carpeta que contiene
aplicaciones que se
pueden ejecutar a
travs de la red.
Conceder el permiso Leer al
grupo Usuarios.
Conceder los permisos Leer, Leer y ejecutar y Mostrar el contenido de
la carpeta al grupo Usuarios.
Carpeta
particular. Carpeta
individual de cada
usuario. Slo el
usuario tiene acceso
a la carpeta.
Conceder el permiso Control
total a cada usuario en su
carpeta respectiva.
Conceder el permiso Control total a cada usuario en su carpeta respectiva.
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
Los permisos NTFS influyen sobre el acceso tanto local como remoto. Se aplican con
independencia del protocolo. Por el contrario, los permisos de recurso compartido slo se
aplican a recursos compartidos de red. No restringen el acceso a ningn usuario local ni a
ningn usuario de Terminal Server del equipo en el que tenga establecidos permisos de
recurso compartido. Por lo tanto, no ofrecen privacidad entre usuarios de un equipo que
utilizan varios usuarios, ni en un servidor de Terminal Server al que tienen acceso varios
usuarios.
7. Sobre la carpeta del usuario, comparta el recurso al mismo usuario. En los permisos
compartir o Share, aplicar el permiso control total al grupo Todos.
Sobre la pestaa o opcin security o seguridad, aplique el permiso slo al usuario
respectivo con Control Total o Full control.Deber sacara los grupos de sistema
CreatorOwner y System.
NOTA: De manera adicional al usuario que se le debe dar acceso, se recomienda dejar
con full acceso al administrador del dominio.
Sobre la carpeta Ventas, dar los siguientes permisos:
- Sobre Share o compartir-------Permiso control Total, al grupo Todos.
- Sobre seguridad---------Permiso Control Total al Grupo Ventas y administradores.
- En el directorio jefatura, slo quedarn con permisos en la pestaa seguridad,el grupo
jefatura de ventas y los administradores. El permiso final ser Full control.
- En el directorio Vendedores, slo quedarn con permisos en la pestaa seguridad, los
grupos vendedores_lect y Vendedores_escritura, con los permisos respectivos y los
administradores con el permiso Full control.
NOTA: Los permisos Share o compartir se aplican en el primer nivel de la comparticin.
En las estructuras o directorios internos, todo se maneja con el botn seguridad.
4. Respaldo de la estructura de Active Directory , con la herramienta Windows Backup. Con
esta herramienta, deber respaldar, todos los objetos del Directorio Activo. Es
importante tener presente , que con esta opcin, es factible respaldar todos las
opciones del registro, permisos de seguridad del Active Directory, etc.
-
Curso: Implementacin, administracin y soporte de Microsoft Windows 2012. Relator: Guillermo Aguilera I.
Para respaldar el Active Directory , deber habilitar desde la opcin caractersticas las
herramientas de copia de seguridad grfica y de lnea de comandos. Se llama System
State Data, la opcin de backup grfica del A.Directory.