SERVICIO NACIONAL DE APRENDIZAJE
SENA
ADMINISTRACIÓN DE UN SERVIDOR DE DIRECTORIO EN WINDOWS (ACTIVE DIRECTORY)
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
CESGE
APRENDIZ
LUIS FERNANDO MONTENEGRO OVIEDO
INSTRUCTOR
ANDRÉS MAURICIO ORTIZ
GESTIÓN DE REDES DE DATOS
FICHA 259747
MEDELLIN-ANTIOQUIA
2012
Para comenzar con la instalación damos clic en inicio y luego digitamos dcpromo y le damos Aceptar para iniciar su instalación y configuración, previamente teníamos ya instalado un DNS, no es necesidad instalarlo, ya que el Servicio de Directorio Activo nos instala nuestro DNS
Aquí nos muestra Cargando el asistente de instalación
Aquí vemos el asistente de instalación, escogemos la opción de usar la
instalación en modo avanzado damos clic en siguiente
Procedemos a darle siguiente
Seleccionamos crear un dominio nuevo que será nuestro árbol de dominio
(ABCx.com), luego clic en siguiente
En este paso le damos el nombre de nuestro dominio luego le damos siguiente y estará comprobando si el nuevo nombre del árbol ya se esta usando
En el siguiente paso le damos el nombre al NetBIOS se recomienda darle el
nombre de nuestro dominio
Ahora especificaremos el nivel funcional del bosque, puede ser Windows Server 2000,2003 o 2008, según sea el caso. En este caso nosotros usaremos el Windows Server 2008. Clic en siguiente.
Como lo dije anteriormente, se puede tener instalado el servidor DNS
previamente, en caso contrario el AD lo instalará automáticamente. Clic en
siguiente.
En este paso nos mostrará un mensaje, seleccionamos “Sí, el equipo usará
una dirección IP asignada dinámicamente”, porque nosotros ya le hemos
asignado una dirección IP estática que será con la que va a trabajar nuestro
servidor DNS.
Podemos ver un dialogo con unas especificaciones Luego damos clic en “si”, para poder crear el nuevo dominio llamado ABCx.com.
A continuación, dejamos la misma ruta de las carpetas que se crearán por
defecto. Si se quiere se puede cambiar la ruta, pero no es recomendable.
Damos clic en siguiente.
Luego asignamos la contraseña de administrador del Active Directory. Cabe
aclarar que No es la misma contraseña del administrador del equipo. Si se
quiere se puede poner la misma contraseña del administrador del equipo
para evitar que se olvide. Damos Siguiente
Aquí podemos observar una lista resumida de lo que se instalara y damos clic en siguiente
Luego de que termine de configurar los Servicios reiniciamos el equipo para
al completar la instalación
Al iniciar la maquina observamos que el Dominio se creó satisfactoriamente
Cada departamento de la empresa ABCx será agregado a la estructura lógica de Active Directory a través de unidades organizativas. Cada unidad organizativa anidará otras unidades organizativas que permitirán tener un control sobre los recursos de red de cada dependencia. Estos contenedores serán: Usuarios y grupos, Equipos, Impresoras y Carpetas compartidas. Empezamos accediendo a Inicio > herramientas administrativas > Usuarios y equipos de Active Directory, para poder empezar a crear las unidades organizativas, usuarios y grupos
Damos clic derecho en nuestro dominio y escogemos la opción nueva unidad organizativa y lo nombramos según nos plantea la actividad DIRECCION GENERAL
Luego de crear la unida organizativa procedemos a crear los departamentos para esto damos clic derecho en DIRECCION GENERAL luego nuevo y
luego unidad organizativa y le damos el nombre de sistema y así creamos los demás departamentos según la necesidad
En esta imagen podremos ver que ya están creados todos los departamentos
Ahora crearemos los Sub-departamentos, para ello damos clic derecho sobre uno de los departamentos y seleccionamos: nueva unidad organizativa
Procedemos a darle el nombre del contenedor tal como lo especifica la guía
Vemos que ya están creados los Sub-departamentos
En este paso crearemos los contenedores de control, para ello damos clic derecho sobre uno de los departamentos y seleccionamos: nueva unidad organizativa, le damos el nombre que se le asigno a dicho contenedor y le damos aceptar
Así se hará para todos los departamentos, se crearán los contenedores de
“usuarios y grupos”, “Equipos”, “Impresoras” y “Carpetas
compartidas”
Tenga en cuenta que dentro de cada departamento existen por lo menos 10
usuarios y que la información de cada usuario en el directorio debe ser
detallada.
Empezamos a crear los usuarios en cada departamento para esto nos paramos en el departamento Usuarios y grupos damos clic derecho y en nuevo y seleccionamos usuario
Ingresamos los datos y luego clic en siguiente
Le asignamos la contraseña al nuevo usuario y clic en siguiente
Hacemos los mismos pasos para crear todos los usuarios en cada
departamento y así nos quedarán los 10 usuarios que nos piden.
Para poder realizar la configuración de las contraseñas debemos ir a inicio >herramientas administrativas>administración de directivas de grupo
Luego damos clic derecho en nuestro dominio (ABCx.com) escogemos la opción crear una GPO en este dominio y vincularlo aquí
Nombraremos la nueva GPO en este caso la llamare pass y luego clic en aceptar
Ahora damos clic derecho sobre la GPO creada le damos clic derecho y escogemos la opción editar
Se forzará a todos los usuarios del dominio abc.com a cambiar su contraseña cada 15 días. Para aplicar la GPO seguimos la siguiente ruta configuración de equipo>directivas>configuración de Windows>configuración de seguridad>directivas de cuenta>directiva de contraseña Luego le damos clic derecho sobre vigencia máxima de contraseña
Definimos la configuración de directiva para que las contraseñas expiren después de 15 días damos clic en aplicar y luego aceptar
El sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de contraseñas debe estar habilitada para usar un password seguro. Para aplicar esta GPO usamos la misma ruta configuración de equipo>directivas>configuración de Windows>configuración de seguridad>directivas de cuenta>directiva de contraseña
Damos clic derecho en almacenar contraseña con cifrado reversible
propiedades
Habilitamos la configuración de directiva clic en aplicar luego aceptar
Ahora si podemos configurar, para que el sistema recuerde las tres últimas contraseñas cambiadas por el usuario y lo hacemos mediante la siguiente ruta: Configuración de equipo>directivas>configuración de Windows>configuración de seguridad>directivas de cuenta>directiva de contraseña Damos clic derecho sobre exigir historial de contraseña, clic en propiedades
Habilitamos la configuración de directivas y especificamos el número de contraseñas a recordar, aplicamos los cambios y luego aceptar
A todos los usuarios, exceptuando los administradores del dominio y los usuarios del departamento de Sistemas, tendrán restringido el acceso a los siguientes componentes:
Menú Ejecutar
Panel de control
REGEDIT
Unidad C: (Visualizar la unidad)
Reproducción automática de medios extraíbles
Cambiar la página predeterminada de Internet Explorer (Se cargará por defecto la página principal del sitio www.abc.com)
Acceso desde el navegador a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios.
El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.
Desbloquear la barra de tareas (Siempre permanecerá bloqueada)
Acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble.
NOTA: En algunas empresas el almacenamiento se maneja solo a través de unidades de red y no se permite el uso de medios extraíbles para evitar que información confidencial sea accesible. Lo primero que haremos es crear una GPO sobre dirección general
Nombramos la GPO en este caso la llamaré Restricciones y damos clic en aceptar
Ahora con la GPO creada nos pararemos sobre ella y le damos clic derecho
y editar
Restringiremos el menú ejecutar siguiendo la siguiente ruta: configuración de usuario>directivas>plantillas administrativas>menú de inicio y barras de tareas Damos clic derecho sobre quitar el menú ejecutar del menú inicio clic en
propiedades
habilitamos la opción, aplicamos los cambios y luego aceptar
Para restringir el panel de control vamos al a siguiente ruta:
configuración de usuario>directivas>plantillas administrativas>panel de
control
Damos clic derecho sobre prohibir el acceso al panel de control y
propiedades
Habilitamos la opción, aplicamos los cambios y clic en aceptar
Para ocultar la unidad C: / para esto seguimos la siguiente ruta : Configuración de usuario> directivas>plantillas administrativas>componentes de windows>explorador de windows Le damos clic derecho en ocultar estas unidades específicas en mi pc clic derecho en propiedades
Habilitamos y escogemos la unidad que vamos a restringir en este caso es la unidad C/ aplicamos los cambios y luego aceptar
Deshabilitar Reproducción automática de medios extraíbles para esto seguimos la siguiente ruta: Configuración de usuario>componentes de Windows>directivas de reproducción automática
Clic derecho sobre desactivar reproducción automática y clic sobre
propiedades
Habilitamos desactivar reproducción automática escogemos todas las unidades aplicamos los cambios y luego aceptar
Cambiar la página predeterminada de Internet Explorer (Se cargará por defecto la página principal del sitio (www.abc.com) para esto seguimos la siguiente ruta configuración de usuario>directivas> configuración de windows>mantenimiento de internet Explorer>dirección URL Clic derecho sobre URL importantes, propiedades
Damos clic en personalizar URL de la pagina principal e ingresamos la URL incluyendo http://(www.abc.com) aplicamos los cambios y luego aceptar
Ahora se va a restringir el acceso del navegador a los sitios “www.facebook.com y www.youtube.com” para esto seguimos la siguiente ruta: Configuración de usuario>directivas> configuración de windows>mantenimiento de internet Explorer>seguridad
Clic derecho sobre Zona de seguridad
Habilitamos la opción de “importar las configuraciones actual de restricciones de contenido”, y damos clic en el botón de “Modificar Ajustes”
Damos clic en sitios aprobados y agregamos las URLs que vamos a restringir en este caso y luego clic en nunca, aplicamos los cambios y luego aceptar
Luego debemos crear una contraseña para para el administrador de contenido y escribimos una palabra de “indicio “para que no se nos vaya a olvidar en un futuro
Aplicamos los cambios y luego aceptar
Ahora para bloquear la barra de tareas seguimos la siguiente ruta: Configuración de usuario>directivas>plantillas administrativas>escritorio>menú inicio y barra de tareas
Damos clic derecho sobre barra de tareas
Habilitamos bloquear la barra de tareas aplicamos los cambios y luego
aceptar
Para restringir Lecto-Escritura a cualquier medio de almacenamiento extraíble para ello vamos a la siguiente ruta configuración de usuario>directivas>plantillas administrativas>sistema>acceso de almacenamiento extraíble
Damos clic derecho en todas las clases de almacenamiento extraíble luego
propiedades
Habilitamos denegar el acceso a todas las clases de almacenamiento extraíble y aplicamos los cambios y luego aceptar
Ahora deberemos deshabilitar las restricciones anteriores para el departamento de sistemas, para ello vamos a la siguiente ruta Inicio>herramientas administrativas>administración de políticas de grupo nos paramos en sistema clic derecho y crear un GPO
Le damos el nombre de limitaciones y luego aceptar
Clic derecho sobre la GPO creada y clic en editar
Nos dirigimos a la siguiente ruta: configuración de usuario >directivas>plantillas administrativas>menú inicio y barra de tareas
Damos clic derecho sobre quitar el menú ejecutar sobre el menú inicio clic en
propiedades
Deshabilitamos el quitar el menú ejecutar del menú inicio aplicamos los
cambios y luego aceptar
Ahora deshabilitamos el panel del control con la siguiente ruta Configuración de usuario >directivas>plantillas administrativas>panel de control
Damos clic derecho prohibir acceso al panel de control luego propiedades
Deshabilitamos el prohibir el acceso al panel de control aplicamos los
cambios y aceptar
A los usuarios del departamento de Compras se le aplicarán las siguientes GPOs (Adicional a las mencionadas anteriormente):
No podrán visualizar los elementos del Escritorio
No podrán apagar la máquina (Desde el Sistema operativo)
Quitar el administrador de tareas
En el departamento de compras crearemos una nueva GPO Estando en administración de directivas de grupo vamos a compras clic derecho y crear una nueva GPO
Nombramos la GPO
Vamos a la GPO que se creo y damos clic en editar
Ahora ocultaremos todos los elementos de escritorio Seguimos la siguiente ruta: Configuración de usuario >directivas>plantillas administrativas>escritorio Nos paramos sobre ocultar y deshabilitar todos los elementos del escritorio clic Derecho y propiedades
Habilitamos el ocultar todos los elementos de escritorio y luego aplicamos los cambios y damos aceptar
No podrán apagar la máquina (Desde el Sistema operativo) Para esto seguimos la siguiente ruta Configuración de equipo>directivas>plantillas administrativas>Menú Inicio y barra de Tareas
Clic derecho en Quitar y evitar el acceso a los comandos apagar, Reiniciar,
Suspender luego propiedades
Seleccionamos la casilla habilitar.
Ahora Quitar el administrador de tareas para esto seguimos la siguiente ruta: Configuración de usuario >directivas>plantillas administrativas>sistema>Opciones de Ctrl+Alt+Del
Damos clic derecho en quitar administración de tareas luego propiedades
Habilitamos la directiva y luego aplicamos los cambios y aceptar
Dentro de cada unidad organizativa Usuarios y Grupos se creará un grupo de usuarios llamado practicantes. Las cuentas de los practicantes caducarán 6 meses después de su creación. Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM. Conceder al grupo practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red) Crearemos los usuarios y grupos practicantes, creamos los usuarios como se hizo en pasos anteriores Nos paramos en usuarios y grupos y luego clic derecho sobre nuevo y luego grupo
Nombraremos el grupo como practicantes
Nos paramos en usuarios y grupos luego clic derecho en practicantes y
propiedades
Escogemos la pestaña miembros y luego agregar
Damos clic en avanzado
Luego en buscar ahora y nos aparecerán la lista de usuarios,
seleccionamos a los practicantes y le damos Aceptar
Damos clic en aceptar
El siguiente paso usamos el usuario “practicante” y editar su cuenta, para ello daremos clic derecho sobre practicante 1 y seleccionamos propiedades
Vamos a la pestaña cuenta y seleccionamos hora de inicio de sesión
Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM. Para esto stablecemos el tiempo y los días y luego aceptar
Ahora seleccionamos que la cuenta expire en 6 meses
Ahora crearemos una carpeta compartida, vamos a documentos. Luego clic derecho y creamos una nueva carpeta
Después de crear la carpeta le damos clic derecho y luego compartir
Damos buscar...
Le damos clic en avanzadas…
Y por ultimo clic en Buscar Ahora hasta encontrar el grupo que necesitamos
Le damos aceptar y nuestro grupo ya está agregado
Aquí podemos observar el grupo practicantes ya esta agregado y le damos la opción como colaborador y le damos en la opción compartir
Si se le desea pueden darle clic derecho copiar vinculo a la ruta que a
continuación se señala.
Finalizando la copia le damos clic en listo
Nos dirigimos a la pestaña “Perfil”, en la última sección de “Carpeta patricularl” le damos opción de conectar elegimos la denominación de la unidad que se montara al momento del inicio de sesión y por último indicamos la ruta de la carpeta compartida a la cual previamente habíamos copiado su ruta, clic en aplicar y luego aceptar
Luego nos aparecerá una ventana con lo siguiente y daremos clic en SI.
Cada vez que los usuarios del departamento Web y Comercio Electrónico inicien sesión se montarán automáticamente dos unidades de red que se mapean a carpetas compartidas en un servidor Windows Server 2008. Note que primero debe compartir las carpetas en algún servidor (Controlador de dominio u otro) antes de montarlas automáticamente. Todos los usuarios del departamento tendrán una cuota de 1000MB sobre la unidad de red.
Lo primero será crear un grupo que contengan todos los usuarios web y comercio electrónico y lo haremos en la misma unidad organizativa
Ahora procederemos a crear dos carpetas nuevas dentro del equipo servidor.
(WEB Y COMERCIO ELECTRONICO)
Luego compartiremos las carpetas de modo que el grupo colaborador sea
web y comercio electrónico.
Luego vamos a ir a Administración de directivas de grupo.
Nos dirigimos a la unidad organizativa de Web y Comercio Electrónico y allí creamos una GPO
Podemos observar que la GPO ya está creada y damos clic derecho sobre
ella y clic en editar
Nos dirigimos a: Configuración de Usuario>Preferencias>Asignación de Unidades Damos clic derecho en la parte derecha de la pantalla, seleccionamos: nuevo>unidad asignada
Ingresamos la ruta de la unidad (la carpeta que creamos antes), Seleccionamos su denominación (Y: / en nuestro caso), Vamos a la pestaña Comunes
Una vez situados en la pestaña comunes seleccionamos la última Casilla “Destinatarios a nivel de elemento” y luego damos clic en destinatarios
Damos clic derecho en colección luego nos situamos donde dice agregar elementos de destinario y buscamos grupo de seguridad y damos clic ahí
Una vez hecho esto procedemos dando clic en el botón examinar
Seleccionamos el grupo Web y Comercio Electrónico y le damos aceptar,
Una vez seleccionado el grupo damos clic en aceptar
Aplicamos los cambios y damos clic en Aceptar
Este proceso se repite para la otra unidad de red (La otra carpeta Compartida), podemos ver las dos unidades de red debidamente configuradas
Y así así quedarán asignadas las dos unidades
Ahora estableceremos la cuota de disco, para ello nos dirigimos a: Configuración de Equipo>Políticas>Plantillas Administrativas>Sistema>Cuotas de Disco Clic derecho sobre “Habilitar cuotas de disco” clic en Editar
Habilitamos la directriz, aplicamos los cambios y damos clic en Aceptar
Dentro de la misma ruta damos clic derecho sobre “Limite de cuota y nivel de aviso predeterminados”, clic en Editar
Habilitamos la directriz, ahora el primer valor que se configura es el limite por defecto de la cuota de disco, el segundo es el nivel de advertencia por defecto.
Pasamos a establecer las cuotas de disco sobre las unidades de red, para ello debemos instalar un complemento en nuestro servidor, nos dirigimos al Administrador de Servidor y en la pestaña de funciones buscamos la sección de servicios de archivo (y damos clic en añadir funcion al servicio)
Una vez desplegada la ventana de diálogo seleccionamos la funcion de administrador de recursos del servidor de archivos, clic en siguiente
En esta ventana se nos da la opción de que el servicio a instalar monitoree el uso de espacio en los volúmenes seleccionados. Agregamos el volumen C: / y damos clic en siguiente
Lo siguiente es seleccionar la ruta en la que el servicio de monitoreo de almacenamiento (por así llamarlo) guardara los reportes del mismo (Monitoreo), clic en siguiente
Un breve resumen de lo que se instalará, clic en instalar
Proceso de instalación
Instalación completa, clic en cerrar
Ahora crearemos las cuotas de disco para ello debemos acceder al servidor de archivos del administrador de recursos para ello vamos a: Inicio>Administrador del Servidor> Administrador de recursos del Servidor de Archivos
Nos ubicamos en cuotas damos clic derecho y seleccionamos crear cuota
Seleccionamos la ruta de la unidad de red donde tendrá efecto la cuota disco
Una vez seleccionada la ruta de la unidad de red seleccionamos la opción de definir opciones personalizadas de cuota y damos clic en propiedades
Seleccionamos el valor de cuota establecido en la guía (1000MB) damos Clic en Aceptar
Ahora podemos ver el límite de espacio de almacenamiento de nuestra unidad de red, para finalizar damos clic en crear
Aquí el sistema nos dará la opción de guardar la cuota recién creada como una plantilla (para futuros usos), nombramos la plantilla y damos clic en Aceptar
Hacemos el mismo procedimiento para la otra carpeta compartida.
Podemos observar las cuotas ya creadas en las dos unidades de red
Los usuarios de los departamentos de Diseño Gráfico y Comerciales Externos solo podrán iniciar sesión en los equipos que pertenecen a dicho departamento. Primero vamos a añadir los equipos del dominio en los que queremos que
los usuarios de Diseño gráfico y comerciales externos inicien sesión.
Nombramos el equipo (EquipoDG1) y damos clic en Aceptar
Lo siguiente es hacer que el equipo pertenezca al grupo (en este caso) Diseño Gráfico, para ello damos clic derecho sobre el equipo y seleccionamos propiedades
Vamos a la pestaña “Miembro de” clic en agregar
Buscamos el grupo que se vinculará con el equipo
Una vez seleccionado el grupo aplicamos los cambios y damos clic en
Aceptar.
Ahora procedemos a editar las cuentas de usuario de las dependencias especificadas, clic derecho y seleccionamos propiedades
Nos dirigimos a la pestaña cuenta y seleccionamos Iniciar Sesión en...
Seleccionamos la opción de Los siguientes computadores, digitamos el nombre del equipo donde dicho usuario podrá iniciar sesión, clic en Añadir y por último clic en Aceptar Aplicamos los cambios y damos clic en Aceptar
Las dos impresoras de la empresa, que están físicamente ubicadas en los departamentos de Sistemas y Dirección Técnica, deben publicarse en el directorio para que los usuarios del dominio puedan encontrar fácilmente estos recursos. Para efectos prácticos use impresoras PDF (por ejemplo doPDF, aunque existen muchas más) y compártalas.
Lo primero que vamos a hacer es descargar un software de impresoras virtuales PDF hemos elegido PDF24 Creator lo descargamos de la siguiente URL: http://es.pdf24.org/pdf-creatordownload.html Recordar que se descarga en la versión para uso privado
Una vez descargado el software lo instalamos
Luego de haber instalado dicho software ahora nos dirigimos a: Inicio>Panel de Control>Dispositivos e Impresoras
Aquí podemos ver nuestra impresora PDF virtual instalada en el equipo
Damos clic derecho sobre la impresora y seleccionamos Propiedades
Vamos a la pestaña Compartir, seleccionamos la opción Compartir esta impresora y seleccionamos todas las opciones posteriores, aplicamos los cambios y damos clic en Aceptar
Ahora nos dirigimos a: Inicio>Herramientas Administrativas>Usuarios y Equipos de Active Directory Para ubicar la impresora en la dependencia planteada en la guía, clic derecho sobre el dominio y seleccionamos Buscar
Filtramos la búsqueda a solo impresoras en la casilla Buscar y damos clic en Buscar Ahora
Una vez localizada la impresora damos clic derecho sobre la misma y Seleccionamos Mover
Seleccionamos el directorio donde quedará alojada la impresora en este Caso: Dirección General>Sistemas>Impresoras
Clic en Aceptar
Confirmamos que la impresora quedó ubicada en el departamento de Sistemas