REDES DE DOMINIO EN WINDOWS
Transcript of REDES DE DOMINIO EN WINDOWS
![Page 1: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/1.jpg)
1
REDES DE DOMINIO EN WINDOWS
Pancracio Jesús García Ramos / Francisco Pablo Otero Gómez Jorge Fernández García / Pelayo Fernández Feito
Grupo: PGR
Descripción breve Un breve vistazo a Red de Dominios en Windows, creación de usuarios y grupos, recursos
compartidos
![Page 2: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/2.jpg)
2
ÍNDICE INTRODUCCIÓN ....................................................................................................................................... 3
¿QUÉ ES UN DOMINIO? .......................................................................................................................... 3
¿QUE ES UN GRUPO DE TRABAJO?: ........................................................................................................ 5
GRUPOS DE ACTIVE DIRECTORY .............................................................................................................. 6
USUARIOS: .............................................................................................................................................. 7
COMPARTICIÓN DE RECURSOS Y PERMISOS: ......................................................................................... 7
¿CÓMO CREAR UN DOMINIO? ............................................................................................................ 8
BACKUP DOMAIN CONTROLLER (BDC): ................................................................................................ 16
CREACIÓN DE USUARIOS Y GRUPOS EN ACTIVE DIRECTORY PARA EL DOMINIO: ................................ 23
Active Directory Users and Computers ............................................................................................. 23
DSAC(Centro administrativo de directorio activo) ........................................................................... 26
ESTABLECER EL DOMINIO EN EL DISPOSITIVO DE LOS USUARIOS CREADOS ....................................... 32
LIMITACIÓN EL INICIO DE SESIÓN EN MÁQUINAS ESPECÍFICAS: ...................................................... 34
Compartir un recurso desde Windows Server: ..................................................................................... 38
Computer Management ................................................................................................................... 38
File and storage services ................................................................................................................... 44
CREACIÓN SUBDOMINIO: ..................................................................................................................... 60
CREACIÓN USUARIO SUBDOMINIO: ................................................................................................. 65
CREACIÓN GRUPO LOCAL SUBDOMINIO: ......................................................................................... 67
VISUALIZACIÓN DEL GRUPO: ............................................................................................................ 70
BIBLIOGRAFÍA: ....................................................................................................................................... 72
![Page 3: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/3.jpg)
3
INTRODUCCIÓN A la hora de trabajar en una organización podemos establecer un dominio para lograr un trabajo
más cómodo de nuestros empleados de una manera sencilla manteniendo los niveles de seguridad
requeridos. En este documento se presentan algunas técnicas para la creación de un dominio, la
administración de los usuarios/grupos y por último la compartición de los recursos para hacer el
trabajo más cómodo y sencillo a nuestra organización.
¿QUÉ ES UN DOMINIO? Un Dominio de Windows es una forma de administrar de manera centralizada distintos recursos
disponibles en una red (usuarios, equipos, servidores, impresoras...). Además, nos permite aplicar
directrices y políticas de seguridad que garanticen la seguridad de los ordenadores pertenecientes a
ese dominio, esto es, por ejemplo, las contraseñas. Es decir, el administrador del dominio no conoce
las contraseñas de cada usuario, pero puede forzar a dichos usuarios a que ésta tenga una
determinada longitud o cualquier otra característica.
Un dominio se puede caracterizar por:
• Miles de ordenadores pueden formar parte de un dominio.
• Diferentes redes locales pueden albergar a ordenadores que se encuentran bajo un mismo
dominio.
• Cualquier cuenta dentro de un dominio puede iniciar sesión en un ordenador bajo ese
mismo dominio simplemente utilizando sus credenciales de acceso.
• Existe un administrador. Es decir, es una cuenta que tiene un mayor nivel de privilegio para
realizar cambios en las demás cuentas que existen en el domino.
• Se suelen utilizar en entornos corporativos para controlar mejor la red y los recursos
compartidos.
• Active Directory: Los servicios de dominio de Active Directory (AD DS) son las funciones
principales de Active Directory que administran usuarios y equipos y permiten a los
administradores de sistemas organizar los datos en jerarquías lógicas.
• Controlador de dominio: Es un servidor que responde a peticiones de autenticación y
verifica usuarios en redes de ordenadores. El controlador, guarda todos los datos
organizados y securizados.
○ Beneficios
▪ Manejo de usuarios centralizado
▪ Permite compartición de recursos para archivos, impresoras.
▪ Federated configuration for redundancy (FSMO)
▪ Pueden ser distribuidos y replicados a lo largo de redes amplias.
▪ Encriptación de los datos de los usuarios.
▪ Pueden ser reforzados y bloqueados para mejorar la seguridad.
○ Limitaciones:
▪ Objetivos para cyber ataques
▪ Posibilidad de ser hackeados
▪ Los usuarios y el SO tienen que mantenerse para ser estable, seguro
y que esté actualizado.
▪ Requisitos de hardware/software
![Page 4: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/4.jpg)
4
▪ La red es dependiente del tiempo que esté el controlador del
dominio activo.
Por último, un dominio tiene como objetivo ofrecer unas garantías de seguridad, así como unos
servidores donde los usuarios pueden realizar copias de seguridad de documentos críticos
relacionados con el trabajo diario.
Subdominio: Permite la separación de porciones de tu empresa que son lo suficientemente
extensas como para garantizar su propia jerarquía dedicada sin pasar por todos los problemas de
configurar un nuevo servidor con un nuevo dominio.
Arboles de dominios: Colección de uno o más de dominios que comparten un espacio de nombres
contiguo.
Bosque: Es una agrupación de varios árboles de dominio Active Directory y posee un único
esquema1. El primer dominio instalado en un bosque se llama dominio raíz del bosque.
A la hora de la creación de un bosque hay que tener en cuenta lo siguiente:
● Necesidad de dominios adicionales con diferentes políticas de seguridad o
segregación de la conectividad de la red
● Si hay requerimientos legales (normativas) que requieren la separación de los
dominios en el bosque.
Modelos de diseños de bosques:
● Modelo organizacional:
○ Aporta autonomía a los usuarios y recursos dentro del bosque
○ Aísla los servicios y los datos de cualquiera ajeno al bosque
○ Relaciones de confianza entre los bosques que pueden permitir el acceso a
algunos recursos que se encuentran en los bosques externos.
● Modelo de recursos:
○ Los usuarios conviven en la organización del bosque
○ Los recursos residen en uno o más bosques adicionales
○ Únicamente cuentas de usuario administrativas viven en los bosques de
recursos
○ La confianza permite la compartición de recursos con los usuarios
○ Proporciona aislamiento del servicio, de este modo si un bosque se cae, los
otros bosques continuarán estando operativos.
● Modelo de acceso restringido:
○ No existe confianza con otros bosques
○ Usuarios de otros bosques no pueden acceder a los recursos
○ Los usuarios necesitan un segundo ordenador para acceder al bosque
restringido
1 Esquema: Es la definición de atributos y clases que forman parte de un directorio distribuido y es similar a los campos y las
tablas de una base de datos. Incluyen un conjunto de reglas que determinan el tipo y formato de los datos que se pueden
añadir o incluir en la base de datos.
![Page 5: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/5.jpg)
5
○ Pueden ser contenidos en una red completamente separada si es necesario.
● Mejores prácticas:
○ Cuando sea posible unificar a un único bosque
○ Securizar los recursos y los datos a través de GPO (Administración directiva
de grupos) y aplicar un modelo menos privilegiado
○ Use GPOs para limitar a los usuarios la posibilidad de crear nuevas carpetas
sin seguir un conjunto de procesos
○ Asignar a tus administradores de dominio una segunda cuenta, que usarán
cuando es requerido por el proceso de gestión de cambios
○ Si posees varios bosques AD con relaciones de confianza, hay que
considerar la unificación
○ Si necesitas crear un bosque de acceso restringido, hay que asegurarse de
que está verdaderamente restringido. Un bosque de acceso restringido
debería ser un castillo negro.
¿QUE ES UN GRUPO DE TRABAJO?: En los grupos de trabajo cada equipo se usa de forma totalmente individual, desde la gestión,
configuración, seguridad que tiene implementada etc. Cada máquina es independiente a las demás
en los usuarios que tiene creados, y su método de autentificación se realizada en cada máquina de
forma independiente. Por esto último, a la hora de conectarse a otras máquinas (carpetas
compartidas, por ejemplo) saltará introducir el usuario y la contraseña.
Los grupos de trabajo se caracterizan por:
• No existe un administrador. Es decir, no existe un equipo que mande sobre otros, cada uno
es un individual y realiza su jerarquía individual.
• El máximo de ordenadores pertenecientes a un grupo de trabajo son 20 ordenadores
![Page 6: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/6.jpg)
6
• Todos los ordenadores que formen un grupo de trabajo tienen que estar conectados a la
misma red local o a la misma subred
• Cada ordenador puede tener más de una cuenta asociada y solo podrá iniciar sesión desde
ese ordenador perteneciente al grupo de trabajo.
GRUPOS DE ACTIVE DIRECTORY Los grupos se utilizan para reunir las cuentas de usuario en unidades
administrables simplificando el mantenimiento de la administración de la red.
A priori, podemos diferenciar dos grupos:
• Grupos de distribución, utilizados para crear listas de distribución de correo electrónico.
• Grupos de seguridad, utilizados para asignar características a los recursos compartidos.
o Por un lado, permiten asignar derechos de usuarios a grupos de seguridad
en AD. Estos derechos de usuario determinan qué acciones pueden llevar a cabo
los miembros del grupo en el ámbito de un dominio o bosque.
o También permiten asignar permisos a grupos de seguridad en recursos. Los
permisos se asignan al grupo de seguridad sobre un recurso compartido.
Determinan quien tiene acceso al recurso y el nivel de acceso.
Podemos hacer otra clasificación, en función del ámbito del grupo.
• Grupos de dominio local: pueden tener miembros con cuentas de cualquier dominio de
grupos globales o universales, de grupos locales… Pero solo del mismo dominio que el
grupo local del dominio primario.
Grupos globales: los miembros de estos grupos pueden incluir cuentas del mismo dominio
que el grupo global primario y de los grupos globales del mismo dominio que el grupo global
primario. A los miembros de estos grupos se les pueden asignar permisos en cualquier
dominio del bosque. Los grupos globales se usan para administrar objetos de directorio que
requieran un mantenimiento diario, ya que no replican fuera de su propio dominio y por ello
se pueden cambiar frecuentemente sin generar tráfico de replicación en el catálogo global
![Page 7: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/7.jpg)
7
USUARIOS: Un usuario es una persona que utiliza un ordenador o un servicio de red, en este caso un Dominio.
En Active Directory existen diferentes roles dentro de los usuarios que determinan las funciones
que pueden desarrollar. Estos roles son:
• Administrador: La cuenta Administrador tiene control total del dominio. Puede asignar
derechos de usuario y permisos de control de acceso a los usuarios del dominio según sea
necesario. Esta cuenta solo se debe usar para las tareas que requieran credenciales
administrativas. Es recomendable que configure esta cuenta con una contraseña segura.
Además, esta cuenta no se puede eliminar ni quitar del grupo Administradores, pero si
cambiar el nombre y deshabilitar para prevenir la entrada de usuarios maliciosos.
• Usuario: La cuenta de Usuario representa al cliente que utiliza el domino.
• Invitado: La cuenta de Invitado representa aquellos usuarios que no tienen una cuenta en
el dominio pero que pueden acceder a él a través de esta cuenta.
• Asistente de ayuda: La cuenta Asistente de ayuda es la cuenta principal para establecer
una sesión de Asistencia remota. Esta cuenta se crea automáticamente al solicitar una
sesión de Asistencia remota. Tiene acceso limitado al equipo. El servicio Administrador de
sesión de Ayuda de escritorio remoto administra la cuenta Asistente de ayuda. La cuenta
se elimina automáticamente si no hay solicitudes de Asistencia remota pendientes.
COMPARTICIÓN DE RECURSOS Y PERMISOS: En los dominios de Windows se pueden compartir múltiples recursos ya sean fichero, carpetas,
impresoras...En este apartado vamos a ver como compartir dichos recursos y establecer permisos ya
sea a usuarios u grupos, pero antes hay que tener en cuenta que los recursos acabados en ‘$’ se
comparten de manera oculta, es decir, son accesibles, pero no aparecen en el buscador. Algún
ejemplo son los recursos Letra_de_unidad$(D$, C$...) el directorio del sistema ADMIN$ entre otros.
Por otro lado, de manera standard, el dominio comparte los recursos:
▪ NETLOGON: necesario para la validación de recursos
▪ SYSVOL: es un directorio compartido donde todos los usuarios del dominio tienen los
derechos de acceder al sysvol y su contenido es de solo lectura. Es usado para distribuir la
política y los scripts de logon a los miembros del dominio. Replica las políticas de grupo de
un controlador de dominio a otro en un dominio.
![Page 8: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/8.jpg)
8
¿CÓMO CREAR UN DOMINIO? Para crear un dominio se necesita un sistema operativo Windows Server ya sea 2019,
2022...Nosotros utilizamos Windows Server 2019 y para los usuarios Windows 10 Pro.
Una vez iniciado el sistema Windows Server se nos abrirá el programa Active Directory donde será
nuestro centro de operaciones y manejaremos el servidor desde aquí. Primero entramos en “Server
Manager” y hacemos clic en “Add Roles and Features”
Se nos abrirá un wizard bastante intuitivo donde tendremos que seguir los pasos que dejamos en
estas capturas de pantalla.
![Page 9: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/9.jpg)
9
Si no está seleccionado de manera automática, seleccionamos la opción de “Role-bases or feature-
bases installation”
Seleccionamos el servidor deseado en nuestro caso WINSERVER01 y clicamos en Next
![Page 10: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/10.jpg)
10
Seleccionamos “Servicios de dominio de Active Directory” para que el servidor nos permita crear el
dominio deseado
Añadimos las características que nos indica Active Directory
![Page 11: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/11.jpg)
11
Se mostrará un resumen de lo anterior y si estamos satisfechos clicamos en “Install”.
Se nos pedirá reiniciar el sistema.
Una vez reiniciado el sistema en Active Directory se nos mostrará una alerta donde se mostrará que
tenemos que configurar el Servicios de dominio. Clicamos en dicha alerta
![Page 12: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/12.jpg)
12
Añadimos el nombre del domino raíz siendo asodomain.com. Por buenas prácticas no se
recomiendan el uso de dominios que no se tengan registrados, incluso TLD genéricos como .local (la
ICANN los está vendiendo actualmente) porque podría convertirse en propiedad de otra compañía.
Establecemos el nivel de funcionalidades del dominio con Windows Server 2016 seleccionamos las
capacidades DNS y Global Catalog y por último establecemos una contraseña para el dominio.
![Page 13: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/13.jpg)
13
Global Catalog permite a los usuarios y a las aplicaciones encontrar objetos en un árbol de dominio,
proporcionando uno o más atributos del objeto. Contiene una copia de cada objeto de AD pero con
solo un pequeño número de atributos.
Deshabilitamos la opción de DNS delegations. Esta opción nos permite expandir el espacio de
nombres DNS. Por ejemplo, se pueden crear subdominios adicionales como este y oeste. Luego,
estos se pueden almacenar en diferentes servidores DNS. Esto permite que esa parte del espacio de
nombres DNS sea administrada por diferentes personas, por ejemplo, por diferentes
administradores de TI. Algo que en nuestro caso no vamos a necesitar.
![Page 14: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/14.jpg)
14
Verificamos el nombre NetBIOS.
Seleccionamos la ruta donde vamos a guardar los diferentes archivos del domino. Nosotros las
dejamos por defecto.
![Page 15: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/15.jpg)
15
Esta pantalla nos presenta un resumen de lo anterior si está todo correcto le damos a “next” e
“install”.
![Page 16: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/16.jpg)
16
Comprobamos que nuestro dominio está correctamente configurado con lo anterior. Se puede ver
en esta imagen que el servidor WINSERVER01 tiene el dominio asodomain.com
BACKUP DOMAIN CONTROLLER (BDC): Por seguridad se recomienda la creación de un controlador de dominio de respaldo.
Cualquier fallo de hardware puede dejar inoperativo al servidor.
El proceso de instalación es muy parecido que para la creación de un dominio:
![Page 17: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/17.jpg)
17
Seleccionamos la opción de añadir un controlador de dominio a un dominio existente. Le damos
a Select e introducimos las credenciales del usuario que tenga permiso para realizar la
operación.
Indicamos las capacidades que usaremos que son DNS y el Global Catalog.
![Page 18: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/18.jpg)
18
![Page 19: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/19.jpg)
19
Seleccionamos el controlador de dominio del cual estamos haciendo respaldo
![Page 20: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/20.jpg)
20
Comprobamos las opciones elegidas
Se comprueban los prerrequisitos y se realiza la operación
![Page 21: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/21.jpg)
21
ASIGNAR IPS ESTÁTICAS:
Una vez creado el dominio, hay que asignar a Windows Server una IP estática para que los
usuarios puedan acceder a él para eso seguimos los siguientes pasos:
1. Click “Start Menu” > “Control Panel” > “Network and Sharing Center” o “Network and
Internet” > “Network and Sharing Center”.
2. Click “Change adapter settings”.
3. Click derecho en “Wi-Fi” o “Local Area Connection”.
4. Click “Properties”.
5. Select “Internet Protocol Version 4 (TCP/IPv4)”.
6. Click “Properties”.
7. Select “Use the following IP address”.
8. Introducimos la “IP address”, “Subnet mask”.
9. Click “OK”
![Page 22: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/22.jpg)
22
También hay que establecer el servidor DNS en “Use the following DNS server Addresses” con la
misma IP establecida anteriormente para nuestro servidor de dominio. En nuestro caso todo
quedaría así:
![Page 23: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/23.jpg)
23
CREACIÓN DE USUARIOS Y GRUPOS EN ACTIVE DIRECTORY PARA EL
DOMINIO: Antes de poder acceder con nuestro sistema operativo Windows a un dominio, el administrador
de dicho dominio tiene que crearnos una cuenta en él. A continuación, se muestran unas capturas
con 2 métodos para realizar la tarea:
Active Directory Users and Computers Empezamos en Active Directory en la sección de Server Manager, seleccionamos Tools y
Active Directory Users and Computers
Se nos abrirá esta pestaña donde tenemos nuestro dominio, en este caso asodomain.com, en él
en el fichero de Users podemos crear las cuentas para los usuarios.
![Page 24: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/24.jpg)
24
Establecemos el nombre del usuario y una contraseña. La contraseña puedes hacer que el usuario
la cambie en el siguiente inicio de sesión, que no pueda cambiarla, que nunca expire y deshabilitar
la cuenta. En nuestro caso seleccionamos que nunca expire
![Page 25: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/25.jpg)
25
Pantalla resumen con la configuración final.
![Page 26: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/26.jpg)
26
Podemos observar que el usuario se ha creado correctamente.
DSAC(Centro administrativo de directorio activo) Abrimos la herramienta dsac(Centro administrativo de directorio activo)
![Page 27: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/27.jpg)
27
Seleccionamos el dominio
Para crear usuario seleccionamos new -> user
![Page 28: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/28.jpg)
28
Especificamos los datos que consideremos oportunos del usuario.
(Ponemos que nunca expire porque estamos en un modo de demostración, además se debería
hacer que el usuario la cambiase la primera vez que se logease)
Aquí se puede ver el usuario
![Page 29: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/29.jpg)
29
Para crear grupo seleccionamos new y luego grupo
![Page 30: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/30.jpg)
30
Le indicamos los datos del usuario, le indicamos que el alcance del grupo sea global para que
puedan acceder a toda la zona del dominio.
![Page 31: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/31.jpg)
31
Añadimos el usuario previamente creado al grupo
![Page 32: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/32.jpg)
32
ESTABLECER EL DOMINIO EN EL DISPOSITIVO DE LOS USUARIOS
CREADOS Una vez creadas las cuentas en el dominio el usuario puede utilizarlas para iniciar sesión desde su
dispositivo. Pero previamente tiene que unirse al domino, para eso, en System Properties
seleccionamos la última opción que nos permite cambiar el dominio o grupo de trabajo y
ponemos el dominio deseado.
Se nos pedirá iniciar sesión con una cuenta existente en el dominio.
![Page 33: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/33.jpg)
33
Por último, reiniciamos el equipo e iniciamos sesión con la cuenta
Una vez hecho reboot iniciamos sesión con la cuenta del dominio:
![Page 34: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/34.jpg)
34
Por otro lado, en Windows Server desde Active Directory se pueden ver las máquinas de los
usuarios asociados al dominio:
LIMITACIÓN EL INICIO DE SESIÓN EN MÁQUINAS ESPECÍFICAS: Como hemos mencionado anteriormente, en un dominio se puede iniciar sesión con una cuenta
en cualquier dispositivo, pero eso se puede cambiar si se desea. Vamos a limitar el usuario
(user002) que es dueño de la máquina aso2 para que solo pueda iniciar sesión en su dispositivo.
Empezamos en Active Directory en la sección de Server Manager, ahí clicamos en Tools Active
Directory Administrative Center
![Page 35: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/35.jpg)
35
Se nos abrirá una pantalla como la siguiente en el seleccionamos nuestro dominio, users y clic
derecho en el usuario que queremos limitar su inicio de sesión y finalmente elegimos propierties.
Se nos abre una ficha del usuario donde se puede ver bastante información de él. Nos vamos a la
sección Log on to.., seleccionamos la opción The following computer, ponemos el nombre del
dispositivo donde puede acceder al dominio, clicamos en Add y finalmente en OK.
![Page 36: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/36.jpg)
36
Para mirar el nombre de la máquina del usuario en la sección de Active Directory Users and
Computers.
![Page 37: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/37.jpg)
37
Comprobación de inicio de sesión del usuario user002 en la máquina aso3, que pertenece al
usuario003:
![Page 38: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/38.jpg)
38
Compartir un recurso desde Windows Server: Existen varias formas de compartir recursos en un Dominio, os presentamos 2 de ellas:
Computer Management Creamos el recurso a compartir en nuestro caso una carpeta llamada WINSERVER01FOLDER con
un archivo txt dentro para jugar un poco con él:
Entramos en Active Directory en Server Manager y seleccionamos Tools -> Computer
Management
![Page 39: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/39.jpg)
39
Una vez dentro nos vamos a Shared Folders -> Shares. Dentro de esta sección damos clic derecho
y seleccionamos New Share...
A partir de aquí, se nos abrirá un wizard que nos guía en el proceso para compartir un recurso.
Seleccionamos el recurso anteriormente creado para compartirlo en el dominio y clicamos en
Next.
![Page 40: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/40.jpg)
40
En la siguiente pestaña nos permite establecer los permisos en dicho archivo compartido.
En nuestro caso seleccionamos “Customize permissions” donde se nos abre una nueva pestaña.
Tendremos que ir Security y añadir a Todos los recursos clicando en edit y seleccionando
posteriormente add allí escribimos todos y posteriormente clicar en check names:
![Page 41: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/41.jpg)
41
Una vez permitido en la sección Security que todo el mundo pueda acceder al recurso compartido
nos vamos a Shared Permissions y establecemos los usuarios o grupos que queremos que puedan
acceder al recurso:
![Page 42: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/42.jpg)
42
Por último, en la pestaña de permisos clicamos en Finish
Nos debería aparecer el recurso creado en la sección de Computer Management del Active
Directory. Cabe destacar que en Clint Connections, como su nombre indica podemos ver todas las
conexiones a ese recurso.
![Page 43: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/43.jpg)
43
Ahora para comprobar los permisos nos dirigimos a user001 que es el que permitimos acceder al
recurso. Para llegar a dicho recurso nos vamos a la maquina cliente del usuario y nos dirigimos a
red y seleccionamos el servidos de dominio en este caso WINSERVER01 donde vamos a poder ver
las carpetas compartidas:
Y como veis podemos acceder a ese recurso:
Ahora vamos a intentar acceder a dicha carpeta con un usuario que no tiene permisos en este
caso user003. Nos dirigimos al mismo sitio e intentamos abrir el recurso.
![Page 44: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/44.jpg)
44
Antes mencionamos que los recursos compartidos con un ‘$’ están ocultos se puede acceder,
pero no aparecen a los diferentes usuarios. Para mostraros esto hemos creado de la misma forma
un recurso, pero al final del nombre establecimos dicho carácter.
En el dispositivo del usuario no aparece el recurso:
File and storage services
Seleccionamos File and storage services
![Page 45: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/45.jpg)
45
Vamos a shares
![Page 46: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/46.jpg)
46
Hacemos botón derecho new share
Seleccionamos la opción quick
![Page 47: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/47.jpg)
47
Le especificamos la ruta de la carpeta a compartir
Le indicamos el nombre con el que va a ser compartida
![Page 48: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/48.jpg)
48
Activamos el access-based-enumeration y caching of share
Procedemos a modificar los permisos de la carpeta a compartir
![Page 49: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/49.jpg)
49
Deshabilitamos herencia y eliminamos que puedan acceder los miembros del grupo Users
Seleccionamos add para añadir el grupo greengroup
![Page 50: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/50.jpg)
50
![Page 51: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/51.jpg)
51
![Page 52: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/52.jpg)
52
![Page 53: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/53.jpg)
53
![Page 54: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/54.jpg)
54
Seleccionamos Active Directory Users and Computers para realizar la compartición de la carpeta
![Page 55: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/55.jpg)
55
Indicamos el nombre del recurso (greengroup) que se mostrará en el Active Directory
![Page 56: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/56.jpg)
56
Para la visualización del recurso compartido accedemos a network y seleccionamos Search
Active Directory
![Page 57: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/57.jpg)
57
Mapeamos la carpeta
![Page 58: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/58.jpg)
58
![Page 59: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/59.jpg)
59
![Page 60: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/60.jpg)
60
CREACIÓN SUBDOMINIO:
Seleccionamos añadir la opción de añadir un nuevo dominio a un bosque existente
![Page 61: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/61.jpg)
61
![Page 62: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/62.jpg)
62
![Page 63: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/63.jpg)
63
Seleccionamos la delegación de DNS
![Page 64: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/64.jpg)
64
![Page 65: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/65.jpg)
65
CREACIÓN USUARIO SUBDOMINIO:
![Page 66: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/66.jpg)
66
![Page 67: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/67.jpg)
67
CREACIÓN GRUPO LOCAL SUBDOMINIO:
![Page 68: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/68.jpg)
68
![Page 69: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/69.jpg)
70
VISUALIZACIÓN DEL GRUPO: Mostramos que el grupo esta correctamente realizado dentro del controlador del subdominio
Y vemos que desde el subdominio se puede acceder al grupo GREENGROUP que creamos en el
dominio principal
![Page 70: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/70.jpg)
71
En el controlador de Dominio principal vemos que no se encuentra el grupo creado en el
subdominio
![Page 71: REDES DE DOMINIO EN WINDOWS](https://reader035.fdocumento.com/reader035/viewer/2022070220/62be08dc2a717a262579fb74/html5/thumbnails/71.jpg)
72
BIBLIOGRAFÍA: USUARIOS:
https://forsenergy.com/es-es/dsac/html/536c96f9-5efc-4dab-8d81-632047d83d25.htm
RESTRINGIR INICIO DE SESIÓN:
https://blog.ragasys.es/restringir-inicio-de-sesion-de-usuarios-de-active-directory-a-equipos-
especificos
USO COMPARTIDO DE RECURSOS:
https://guimi.net/monograficos/G-Servidores_Windows/G-SWnode17.html
https://manuelfrancoblog.wordpress.com/2017/04/29/compartir-recursos-entre-dominios/
https://www.educatica.es/sistemas-operativos/sistemas-operativos-en-red/ws2016-
recursos-compartidos/ws2016-publicar-recursos-compartidos-en-active-directory/
BUENAS PRACTICAS:
https://www.varonis.com/blog/active-directory-domain-naming-best-practices/
RODC(READ-ONLY-DOMAIN-CONTROLLER):
https://www.windowstechno.com/what-is-rodc-read-only-domain-controller/
SUBDOMINIO:
http://somebooks.es/anadir-subdominio-dominio-existente-windows-server-2016-parte-1/
BOSQUES:
https://www.varonis.com/blog/active-directory-forest/
DELEGACIÓN DNS:
https://www.microsoftpressstore.com/articles/article.aspx?p=2756482&seqNum=2
SYSVOL:
https://www.windowstechno.com/what-is-sysvol-folder-in-active-directory/
BACK-UP DOMINIO:
https://thesolving.com/es/sala-de-servidores/agregar-un-backup-domain-controller-a-un-
dom inio-active-directory-existente/