INTRODUCCION En el siguiente trabajo se mostrara la instalacin de una maquina virtual y en ella un entorno de red basado en un controlador de dominio en Microsoft Windows Server (versin 2003 o 2008), y posteriormente implementar diversas configuraciones haciendo uso de las configuraciones de directivas de grupo, que se probaran en la maquina virtual configurada. La configuracin de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows, de modo que el administrador del sistema determina cuales le sern aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa. Puede implementar la seguridad de los servicios del sistema en Windows. Esto permitir controlar quin puede administrar los servicios de una estacin de trabajo, un servidor miembro o un controlador de dominio. Actualmente, la nica forma de cambiar un servicio del sistema es a travs de una configuracin de equipo de directiva de grupo. Si se implementa una Directiva de grupo en la Directiva de dominio predeterminada, la directiva se aplicar a todos los equipos del dominio. Si implementa una Directiva de grupo en la directiva Controladores de dominio predeterminada, la directiva slo se aplicar en la unidad organizativa del controlador de dominio. Puede crear unidades organizativas que contengan estaciones de trabajo a las que se puedan aplicar directivas. En este trabajo se implementaran Directivas de grupo en una unidad organizativa para modificar configuraciones, cambiar permisos en los servicios del sistema, etc. Las polticas de grupo de Directorio Activo, nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red. Las polticas de grupo se definen en dos secciones: la primera que modifica la configuracin de clientes o servidores y la segunda que configura el ambiente para los usuarios. Las polticas de grupo pueden definirse a nivel Sitio (Site), a nivel Dominio y a nivel Unidad Organizacional (OU). Las polticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio. Las polticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU. Las OUs pueden estar anidadas, las polticas se heredan hacia los niveles inferiores de OUs. En estos casos si existe la misma poltica definida en mltiples niveles se aplica la poltica ms cercana a los objetos, a menos de que explcitamente especifique lo contrario. No se recomienda utilizar polticas a nivel de sitios, a menos de que sea totalmente indispensable, ya que en un sitio donde existan mltiples dominios puede degradar el proceso de firma (logon) del usuario.

Configurar el servidor como controlador de dominio El Servicio de nombres de dominio (DNS) y DCPromo (la herramienta de la lnea de comandos que crea DNS y Active Directory) pueden instalarse manualmente o mediante el Asistente para configurar su servidor de Windows Server 2003. En esta seccin se utilizan las herramientas manuales para realizar la instalacin. Para instalar DNS y Active Directory mediante las herramientas manuales 1. Haga clic en el botn Inicio y en Ejecutar, escriba DCPROMO y, a continuacin, haga clic en Aceptar. 2. Cuando aparezca el Asistente para instalacin de Active Directory, haga clic en Siguiente para iniciar la instalacin. 3. Despus de revisar la informacin de Compatibilidad de sistema operativo, haga clic en Siguiente. 4. Seleccione Controlador de dominio para un dominio nuevo (opcin predeterminada) y, a continuacin, haga clic en Siguiente. 5. Seleccione Dominio en un nuevo bosque (opcin predeterminada) y, a continuacin, haga clic en Siguiente. 6. Para Nombre DNS completo, escriba contoso.com y, despus, haga clic en Siguiente. (Esta opcin representa un nombre completo.) 7. Haga clic en Siguiente para aceptar la opcin predeterminada Nombre NetBIOS del dominio de CONTOSO. (El nombre NetBIOS proporciona compatibilidad de bajo nivel.) 8. En la pantalla Carpetas de la base de datos y del registro, establezca la Carpeta de registro de Active Directory de forma que apunte a L:\Windows\NTDS y, a continuacin, haga clic en Siguiente para continuar. 9. Deje la ubicacin de la carpeta predeterminada para Volumen del sistema compartido y, despus, haga clic en Siguiente. 10 En la pantalla Diagnsticos de registro de DNS, haga clic en Instalar y configurar el . servidor DNS en este equipo. Haga clic en Siguiente para continuar. 11 Seleccione Permisos compatibles slo con sistemas operativos de servidor Windows . 2000 o Windows Server 2003 (opcin predeterminada) y, a continuacin, haga clic en Siguiente. 12 Escriba la contrasea para Contrasea de modo de restauracin y . Confirmar contrasea y, despus, haga clic en Siguiente para continuar. Nota: los entornos de produccin deben emplear contraseas complejas para las contraseas de restauracin de servicios de directorio.

2

Resumen de las opciones de instalacin de Active Directory 13 La Figura anterior representa un resumen de las opciones de instalacin . de Active Directory. Haga clic en Siguiente para iniciar la instalacin de Active Directory. Si se le indica, inserte el CD de instalacin de Windows Server 2003. 14 Haga clic en Aceptar para confirmar la advertencia de que se va a asignar una direccin IP . de forma dinmica a un servidor DNS. 15 Si dispone de varias interfaces de red, seleccione la interfaz de red 10.0.0.0 de la lista . desplegable Elegir conexin y, a continuacin, haga clic en Propiedades. 16 En la seccin Esta conexin utiliza los siguientes elementos, haga clic en . Protocolo Internet (TCP/IP) y luego en Propiedades. 17 Seleccione Usar la siguiente direccin IP y, a continuacin, escriba 10.0.0.2 para . Direccin IP. Presione dos veces la tecla Tab y, despus, escriba 10.0.0.1 para Puerta de enlace predeterminada. Escriba 127.0.0.1 para Servidor DNS preferido y, a continuacin, haga clic en Aceptar. Haga clic en Cerrar para continuar. 18 Haga clic en Finalizar cuando termine el Asistente para instalacin de Active Directory. . 19 Haga clic en Reiniciar ahora para reiniciar el equipo. . Para autorizar el servidor DHCP 1 Una vez reiniciado el equipo, presione Ctrl+Alt+Supr e inicie sesin en el servidor como . administrator@contoso.com. Deje en blanco el cuadro de la contrasea. 2 Haga clic en el men Inicio, seleccione Herramientas administrativas y, a continuacin, . haga clic en DHCP. 3 Haga clic en hq-con-dc-01.contoso.com. Haga clic con el botn secundario del mouse en . hq-con-dc-01.contoso.com y, despus, haga clic en Autorizar. 4 Cierre la consola de administracin de DHCP. .

3

Cmo crear una unidad organizativa 1. Inicie la sesin como Administrador. 2. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuacin, haga clic en Usuarios y equipos de Active Directory. 3. Utilice uno de los pasos siguientes: o Haga clic con el botn secundario del mouse (ratn) en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas, seleccione Agregar y, a continuacin, haga clic en Unidad organizativa. o Haga clic en Crear una unidad organizativa nueva en la barra de herramientas. o En el men Accin, seleccione Nueva y, a continuacin, haga clic en Unidad organizativa. 4. En el cuadro Nombre, escriba el nombre del objeto nuevo y, despus, haga clic en Aceptar. Se crea e inserta en la lista un icono con el nombre correspondiente. Ahora puede agregar otros objetos a la unidad organizativa, como usuarios, equipos, grupos y otras unidades organizativas. La siguiente figura muestra cmo aparecen Usuarios y equipos de Active Directory en la pantalla.

Las cuentas de usuario del dominio se pueden crear en el contenedor Users o en algn otro contenedor u OU creada para almacenar cuentas de usuario del dominio. Cada persona que tenga acceso a la red requerir una cuenta de usuario. Una cuenta de usuario hace posible:

Autentificar la identidad de la persona que se conecta a la red. Controlar el acceso a los recursos del dominio. Auditar las acciones realizadas utilizando la cuenta.

Para aadir una cuenta de usuario del dominio hay que seguir estos pasos:

4

En el Active Directory, cada cuenta de usuario tiene un nombre principal. El nombre consta de dos partes, el nombre principal de seguridad y el sufijo de nombre principal. Para las nuevas cuentas de usuario, un administrador asigna el nombre principal de seguridad. El sufijo de nombre principal predeterminado es el nombre DNS del dominio raz en el rbol de dominios. Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo que est administrando. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: " / [ ] : ; | = , + *? De esta forma un usuario identificado francisco.quinonez tendra un nombre principal tal como francisco.quinonez@electivatres.edu Luego se pone la contrasea y se confirmar la contrasea. como

5

Los grupos, contraseas y usuarios creados son: -------------------------------------Contabilidad ====================================== Iliana Quionez USER:iliana.quiones@electivatres.edu PASS:iq12345. Francisco Quionez user:francisco.quionez@electivatres.edu pass:fq12345. ====================================== -------------------------------------ventas ====================================== Marlon Valencia user: marlon.valencia@electivatres.edu pass: mv12345. Wilson Rivas user: wilson.rivas@electivatres.edu pass: wr12345. ====================================== 6

-------------------------------------mercadeo ====================================== Iliana Escobar user: iliana.escobar@electivatres.edu pass: ie12345. Francisco Escobar user: francisco.escobar@electivatres.edu pass: fe12345. ====================================== -------------------------------------informatica ====================================== Marlon Guzman user: marlon.guzman@electivatres.edu pass: mg12345. Ricardo Rivas user: ricardo.rivas@electivatres.edu pass: rr12345. ====================================== -------------------------------------gerencia ====================================== Maria Escobar user: maria.escobar@electivatres.edu pass: me12345. Allon Valencia user: allon.valencia@electivatres.edu pass: av12345. ======================================

7

Configurar un cliente de Active Directory La configuracin de los clientes del Active Directory depende de los sistemas operativos que se encuentren instalados en los equipos terminales como Windows 2000, Windows XP, Windows 98 Segunda Edicin. Se le pedir que se una a un dominio existente o a un grupo de trabajo. Si el controlador de dominio no est disponible todava en el momento de la instalacin, puede unirse a l ms adelante. Antes de comenzar el proceso, asegrese de que el equipo tiene acceso al mismo segmento de red de forma que pueda comunicarse con el dominio. Igual que al configurar el controlador de dominio adicional, debe especificar la direccin IP del servidor DNS. Los pasos siguientes describen cmo unir un equipo a un nuevo dominio. Haga clic con el botn secundario del mouse (ratn) en Mi PC y seleccione Propiedades. En el cuadro de dilogo Propiedades del sistema, haga clic en la ficha nombre del equipo. Desde el cuadro de dilogo Cambios de en el nombre de equipo, haga clic en el botn de opcin Dominio, si no est ya seleccionado. Escriba el nombre completo del dominio (en nuestro caso, "electivatres.edu").

Haga clic en Aceptar para confirmar los cambios. Se le pedir que escriba el nombre de usuario y la contrasea del dominio. Reinicie el servidor para que los cambios surtan efecto.

8

9

10

Administracin de las cuentas de usuario Especialmente en una red grande y ocupada, la gestin de las cuentas de usuario es un proceso continuo de adiciones, eliminaciones y cambios. Aunque estas tareas no son difciles, pueden consumir tiempo y es necesario gestionarlas con cuidado. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. Abrir el contenedor que almacena la cuenta de usuario. Seleccionar el Usuario que queremos administrar y pulsar el men Accin. Aparecern las siguientes opciones:

11

CONFIGURACIN DE DIRECTIVAS DE GRUPO Lo primero que debemos hacer es abrir el administrador de directivas de grupo, para ello vamos a Inicio > Todos los programas > Herramientas administrativas > Administracin de directivas de grupo.

12

Desplegamos el administrador de directivas de grupo abriendo Administracin de directivas de grupo > Dominio > Objetos de directivas de grupo. Nos posicionamos sobre Objetos de directivas de grupo y seleccionamos Nuevo.

13

CONFIGURACION DE DIRECTIVAS DE GRUPOS 1.- Cree una directiva de grupo para estandarizar el escritorio a nivel de todos los miembros del dominio con un mismo wallpaper, implementar screen saver protegido con password, y que se ejecute el screen saver despus de 10 minutos de inactividad. Adems remueva las configuraciones de Display a nivel del control panel para todo el dominio excepto para la OU Informtica. Inicie la sesin como Administrador. Abrir el administrador de directivas de grupo, para ello vamos a Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory. Una vez abierta, pulsamos con el botn derecho del ratn encima del dominio y seleccionamos la opcin Nuevo > Unidad organizativa.

Vamos a crear los usuarios del dominio. Clic derecho sobre la unidad organizativa Usuarios --> Nuevo --> Usuarios.

14

Rellenamos los datos pedidos.

Elegimos la contrasea del usuarios (debe cumplir los requisitos de seguridad). Y finalizamos.

15

Ahora toca unir el equipo al dominio. Vamos a Inicio --> Panel de Control --> Sistema --> Nombre de Equipo --> Cambiar --> Y ponemos el nombre del equipo y el nombre de dominio.

16

17

18

19

20

21

22

23

24

25

26

27

28

Actualizamos, Inicio > Ejecutar > gpupdate

Reiniciamos el equipo y al iniciar tendremos activada el inicio de sesin clsico por usuarios.

29

30

2.- Modifique las configuraciones de seguridad para establecer una poltica de contraseas para todos los usuarios del dominio con requerimientos mnimos de 8 caracteres, cambio de contraseas cada 60 das y restriccin de no uso de contraseas repetidas (3 ultimas contraseas). Haga un enforzamiento de esta directiva para asegurarse que se aplique a todo NIVEL

31

32

33

34

35

36

37

3.-Prohiba a los miembros de las OUs Ventas y Contabilidad el acceso al Control Panel.

38

39

40

41

42

43

44

45

46

47

48

49

4.- Implemente una directiva a nivel de dominio para restringir a todos los usuarios el acceso a Ejecutar comandos (Run commands) desde el botn de inicio. Como excepcin, permita que la OU informtica SI pueda tener acceso a esta configuracin. Vamos a Inicio > Herramientas administrativas > Administracin de directivas de grupo > Editor de objetos de directivas de grupo > clic derecho en Quitar el men ejecutar del men

inicio > clic en Propiedades.

Aparecer la siguiente ventana y en la ventana de Nuevo GPO poner: No run command

50

Iniciar sesion con cualquier usuario

51

Ingresar a Inicio > Todos los programas > Herramientas administrativas > Administracin de directivas de grupo > Editor de objetos de directivas de grupo > Propiedades de quitar en men Ejecutar del men inicio.

52

Iniciar sesin con cada uno de los usuarios

53

CONCLUSIONESLas polticas de grupo de Directorio Activo, nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red. Las polticas de grupo pueden definirse a nivel Sitio, a nivel Dominio y a nivel Unidad Organizacional (OU). Las polticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio. Las polticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU.

54

BIBLIOGRAFIAMicrosoft Windows 2000 Active Directory Services. Curso oficial de certificacin MCSE de la editorial Mc Graw Hill ISBN: 84-481-2889-3 http://informatica.iescuravalera.es/iflica/gtfinal/libro/c3116.html http://wiki.elhacker.net/redes/windows/crear-usuarios-y-grupos-unir-un-equipo-a-undominio-y-perfiles-moviles http://www.info-ab.uclm.es/asignaturas/42620/Clase6AdministracionDePoliticasDeGrupo.pdf

55

ANEXOS

56

57

58

59

60