práctica active directory 1-12

aaaaa

Emanuel Adrián Gabriel Stasiuc

Práctica

Active

Directory

1-12

2

2 Active Directory 2º A.S.I.R. Emanuel Adrián Gabriel Stasiuc

Práctica Active Directory 1-12 Perteneces al departamento de sistemas de la empresa Asir2 S.A.

A fecha de 28 de Octubre de este año, se plantea una migración

del entorno corporativo a la versión de Windows Server 2008.

Esto es debido al gran auge experimentado por la empresa,

gracias al buen hacer de sus trabajadores (tus compañeros de

clase, que son unos fenómenos, como tú). Como consecuencia se

va a proceder al traslado de toda la empresa a un nuevo edificio

situado en la C/Arcos de la Frontera s/n.

Nuestra labor como analistas y técnicos de sistemas es la de

determinar los procedimientos necesarios para dicha migración

y llevarlos a cabo para tal fecha.

Suponemos que tenemos que controlar en el nuevo entorno los

mismos elementos que están actualmente en producción:

• Administración de usuarios y grupos.

• Administración de ficheros.

• Administración de discos.

• Copias de seguridad.

El trabajo consiste en realizar un informe detallado de los pasos

seguidos para la nueva implantación con el máximo nivel de

detalle (incluyendo capturas de pantalla) de los pasos seguidos

para la gestión de los servicios anteriormente citados y otros

nuevos que añadiremos.

La información necesaria para esta labor en relación al entorno

actual es la siguiente:

3 Active Directory 2º A.S.I.R. Emanuel Adrian Gabriel Stasiuc

1. La empresa consta de 20 empleados.

2. Tres de ellos pertenecen al departamento de sistemas. Donde

uno de ellos es el administrador y los otros dos son los

encargados de la gestión de incidencias.

Esta se almacenará en una carpeta a la que solo tendrá acceso el

departamento de sistemas. Los datos estarán en una partición o

disco duro diferente a la del sistema operativo.

3. 15 empleados son desarrolladores de software que tienen

acceso limitado a los repositorios de código y de documentación,

donde únicamente tendrán acceso a aquellos directorios

asociados al proyecto en el que estén trabajando.

4. Existen dos usuarios especiales correspondientes al gerente y

al director de la empresa. El gerente tendrá acceso a toda la

documentación y código ejecutable de los proyectos. El director

tendrá acceso ilimitado a todos los recursos disponibles.

5. La empresa tiene una serie de servicios que quiere seguir

manteniendo (incluidos sus nombres):

a. Controlador de Dominio => tunombre.gcap.net

b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1

6. Todos los equipos (máquinas virtuales) deben estar

conectados a un switch virtual que trabaje es la subred

192.168.100.0/24. Configura una interfaz de red para simular lo

anterior y que no tengan salida a Internet. Como si estuvieran

todos conectados físicamente a un switch.


Comienzo de la práctica

Primero vamos a configurar las interfaces de red en nuestro

Windows 2008 Server.

Creamos una Red NAT para tener acceso a Internet y una Red

Interna para comunicarse con los Clientes:

Establecemos la IP requerida a nuestro Servidor:


Ahora vamos al Administrador del Servidor y seleccionamos la

opción “Agregar funciones”:

A continuación, instalamos y configuramos el servicio DHCP:

Indicamos como nombre del dominio principal

“emanuel.gcap.net” e indicamos la IP de nuestro Servidor:


Agregamos un ámbito llamado “ASIR2” indicando la IP inicial,

la IP final, la máscara de subred y la puerta de enlace

predeterminada:


Deshabilitamos el modo sin estado DHCPv6:

Confirmamos la instalación de DHCP y comprobamos que el

servicio se ha instalado correctamente:


Ahora pasamos a instalar los servicios de dominio de

Active Directory y DNS:


Seleccionamos “Crear un dominio nuevo”:

El nombre del dominio raíz será “emanuel.gcap.net”:


Establecemos como nivel funcional

“Windows Server 2008” ya que no agregaremos al bosque

controladores de dominio inferiores a Windows Server 2008:

Seleccionamos “Servidor DNS” para instalar el servicio DNS:

A continuación nos pide introducir la contraseña del

“Administrador”:


Observamos el resumen de la instalación:

Observamos el progreso de la instalación de los Servicios

DNS y Active Directory:


Una vez terminada la instalación, nos pide reiniciar el equipo y

podemos observar que tenemos los servicios DHCP, DNS y

Active Directory instalados:

Ahora cuando iniciamos sesión nos aparece el nombre NetBios

del dominio que hemos creado:


1. La empresa consta de 20 empleados.

Vamos a nuestro dominio creado dentro de

“Administrador del Servidor” y vamos a crear diferentes

unidades organizativas según la estructura de nuestra empresa

“ASIR2”.


Dentro de nuestra empresa “ASIR2” creamos las diferentes

unidades organizativas según la estructura de la empresa:

De la misma forma creamos las diferentes unidades

organizativas restantes:

2. Tres de ellos pertenecen al departamento de

sistemas. Donde uno de ellos es el administrador y los

otros dos son los encargados de la gestión de

incidencias.

Esta se almacenará en una carpeta a la que solo tendrá

acceso el departamento de sistemas. Los datos estarán

en una partición o disco duro diferente a la del sistema

operativo.


Dentro de la Unidad Organizativa “SISTEMAS” creada

anteriormente creamos el primer usuario “ADMIN-SIS”:

Establecemos una contraseña segura al usuario “ADMIN-SIS”:

Finalizamos la creación del usuario:


Ahora creamos dos usuarios encargados de la gestión de

incidencias llamados “ENCARG-1” y “ENCARG-2”:


Una vez creados los usuarios, creamos un grupo para poder

asignarle permisos llamado “sistemas” de ámbito global:

Introducimos dentro del grupo a los tres usuarios creados

anteriormente “ADMIN-SIS”, “ENCARG-1” y “ENCARG-2”:


Creamos una partición nueva diferente del sistema operativo en

la que vamos a crear una carpeta a la que tienen acceso

solamente los 3 empleados del Grupo “SISTEMAS”:

Ahora creamos una carpeta en el Disco “ASIR2” y dentro

creamos una carpeta llamada “SISTEMAS” y le damos

permisos al grupo “sistemas” sobre su carpeta:


3. 15 empleados son desarrolladores de software que

tienen acceso limitado a los repositorios de código y de

documentación, donde únicamente tendrán acceso a

aquellos directorios asociados al proyecto en el que

estén trabajando.

Ahora creamos los 15 empleados dentro de la unidad

organizativa “DESARROLLO”:

Vamos a crear 3 grupos diferentes de ámbito local con 5

empleados cada uno que trabajarán en 3 proyectos distintos:


Dentro del grupo local “PROYECTO-1” introducimos los

primeros 5 empleados:

Creamos el grupo “PROYECTO-2” de ámbito local:

Introducimos los siguientes 5 empleados:


Creamos el grupo “PROYECTO-3” de ámbito local:

Introducimos los últimos 5 empleados:

Ahora nos vamos a crear los directorios de cada proyecto en una

carpeta llamada “DESARROLLADORES”:


A la carpeta “DESARROLLADORES” le asignamos los

permisos de acceso a la carpeta a los tres grupos de proyecto.

Asignamos a la carpeta “PROYECTO-1” todos los permisos

para el grupo “PROYECTO-1” que hemos creado antes:




4. Existen dos usuarios especiales correspondientes al

gerente y al director de la empresa. El gerente tendrá

acceso a toda la documentación y código ejecutable de

los proyectos. El director tendrá acceso ilimitado a

todos los recursos disponibles.

Creamos el usuario “gerente2013”:

Creamos también un grupo llamado “GERENTES” para

introducir a los diferentes gerentes que pueden pasar por la

empresa y darlos de alta o de baja del grupo sin hacerlo carpeta

por carpeta.


Agregamos el gerente actual en el grupo “GERENTES”:

Al grupo “GERENTES” le damos permisos de lectura y

ejecución sobre la carpeta “DESARROLLADORES” que

contiene los directorios de los proyectos:

Ahora vamos a crear al usuario “director2013”:


Creamos también un grupo llamado “DIRECTORES” para

introducir a los diferentes directores que pueden pasar por la

empresa y darlos de alta o de baja del grupo sin hacerlo carpeta

por carpeta.

Agregamos el director actual en el grupo “DIRECTORES”:

Al grupo “DIRECTORES” le damos permisos de acceso a todos

los recursos disponibles de la empresa “ASIR2”:


Una vez que cada carpeta tiene los permisos asignados para

cada grupo, ahora vamos a compartir la partición de datos para

todos los grupos por NTFS:


Hacemos una prueba para ver que todo funciona correctamente.

Nos conectamos con el usuario “emple-1” del “PROYECTO-1”

a su correspondiente carpeta y vemos que podemos acceder:


Si intentamos conectarnos con el mismo usuario a la carpeta del

“PROYECTO-2” y vemos que no tenemos permiso:

Por último, vamos a crear una carpeta para los perfiles móviles

de todos los usuarios:

Vamos a Propiedades de la carpeta y la compartimos ya que

dentro estarán todos los directorios de los diferentes usuarios

que se conectan en el dominio “emanuel.gcap.net”:


En “compartir” indicamos permiso de “Copropietario” para

que los grupos tengan acceso a la carpeta al iniciar sesión:

Indicamos al usuario “director2013” que la ruta de su perfil se

encuentra en la carpeta que hemos creado anteriormente:


Usamos la variable “%username%” para que cuando el

usuario inicie sesión en el dominio “emanuel.gcap.net” se

pueda crear un directorio en la carpeta “PERFILES” con el

mismo nombre que tiene como usuario.

De esta forma repetimos el proceso con todos los usuarios.

5. La empresa tiene una serie de servicios que quiere seguir

manteniendo (incluidos sus nombres):

a. Controlador de Dominio => tunombre.gcap.net

Comprobamos que el nombre del dominio es

“emanuel.gcap.net”:


b. Servicio DNS

Comprobamos que se han creado las zonas correctamente:

c. Servicio DHCP =>192.168.100.0/24

Observamos que el Servicio DHCP está activo:

i. Ámbito: 192.168.100.2 – 192.168.100.254

Comprobamos que el ámbito se corresponde con lo requerido:


ii. Servidor: 192.168.100.1

Observamos que el Servidor tiene asignada la IP fija requerida:

6. Todos los equipos (máquinas virtuales) deben estar

conectados a un switch virtual que trabaje es la subred

192.168.100.0/24. Configura una interfaz de red para

simular lo anterior y que no tengan salida a Internet.

Como si estuvieran todos conectados físicamente a un

switch.

Cogemos un cliente Windows XP y le asignamos solamente una

Red Interna para que no tenga salida a Internet:


Indicamos a nuestro Cliente que la dirección del Servidor DNS

es “192.168.100.1” ya que por defecto intenta conectarse a la

dirección 192.168.1.1:

Nos vamos a propiedades del sistema y en la opción

“cambiar el nombre del equipo” podemos cambiar el

nombre del equipo que queremos mostrar.

Aquí introducimos el nombre de nuestro dominio

“emanuel.gcap.net” para pertenecer al mismo.

Inmediatamente nos pide un usuario y una contraseña con

permisos para unirse al dominio “emanuel.gcap.net”:


Introducimos los datos del usuario “director2013” y nos da la

bienvenida al unirnos al dominio:

Ahora nos pide reiniciar el equipo y lo reiniciamos:


Reiniciamos el equipo:

Al reiniciar nos aparece lo siguiente:


Seleccionamos el nombre de equipo “ASIR2” e introducimos el

usuario “director2013” para ver si podemos iniciar sesión:

Comprobamos que podemos iniciar sesión con el usuario

“director2013” en nuestro Cliente Windows XP y creamos una

carpeta de prueba en el escritorio:


Al iniciar sesión comprobamos que en el Servidor Windows

Server 2008 en la carpeta “PERFILES” se ha creado el

directorio del usuario que ha iniciado sesión en el dominio:

Exploramos las carpetas que se han creado al iniciar sesión:

Y observamos que la carpeta “prueba” que hemos creado con el

perfil móvil “director2013” se ha guardado una vez que hemos

cerrado sesión con el usuario:


Aunque ya podemos iniciar sesión en el dominio

“emanuel.gcap.net” con cualquier usuario que pertenece al

dominio, seguimos sin tener internet en el Cliente ya que

solamente tenemos una Red Interna asignada que se comunica

con el Controlador de Dominio y no tenemos salida al exterior:

Para ofrecer Internet a toda la red virtual que hemos creado,

tenemos que agregar una función en nuestro Servidor llamada

“Servicios de acceso y directivas de redes”:


Seleccionamos los siguiente Servicios de Función:

Ya tenemos instalado el “servicio de acceso remoto” y el

“enrutamiento”:

Pasamos a configurar el servicio instalado:


Seleccionamos Traducir direcciones NAT para que los Clientes

internos puedan conectarse a Internet:

Seleccionamos la Interfaz con la que nos comunicamos al

exterior:

Una vez finalizada la configuración del enrutamiento

observamos lo siguiente:


Ahora comprobamos que en nuestro cliente tenemos Internet:

8. Se creará también un perfil obligatorio, llamado

“invitado”, por si alguien ajeno a la empresa quiere

usar algún equipo. Este perfil no tendrá acceso a

ningún otro perfil, proyecto, documentación, etc de la

empresa. Los datos de los perfiles estarán en una

partición o disco duro diferente a la del sistema

operativo.


Para crear el perfil obligatorio, primero habilitamos la cuenta

Invitado en el Servidor:

Creamos la carpeta “OBLIGATORIO” y la compartimos para

Todos los usuarios:

Nos vamos al cliente XP e iniciamos sesión con el usuario

Administrador del Servidor y nos dirigimos a

propiedades del sistema, opciones avanzadas y

configuración de perfiles de usuario:


Seleccionamos el usuario “emple1” y seleccionamos “copiar

a” y a continuación introducimos la ruta de nuestro Servidor

hasta la carpeta “OBLIGATORIO” y la carpeta del usuario se

llamará “INVITADO.MAN”:

Seleccionamos en “Cambiar” para permitir usar la carpeta por

el grupo “Todos”:


Ahora comprobamos que la carpeta “INVITADO.MAN” se ha

copiado y creado en nuestro Servidor y en opciones de carpeta,

permitimos ver archivos ocultos del sistema:


Nos aparece un fichero llamado “ntuser.dat” y le modificamos

la extensión del fichero oculto a “NTUSER.MAN”:

Por último vamos a nuestro usuario “Invitado” previamente

habilitado y en ruta de acceso al perfil ponemos la siguiente:

Iniciamos sesión en nuestro cliente Windows XP con el usuario

“Invitado” del Servidor y creamos una carpeta de prueba:


Cerramos sesión y nos volvemos a meter con el usuario

“Invitado” y observamos que la carpeta no se ha guardado:


10. El administrador, para optimizar el

funcionamiento de la empresa, decide incluir alguna

directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan

solicitar la asistencia remota de alguien del

departamento de sistema por alguna incidencia

(cuidado con el firewall de windows), deshabilitar

Windows Messenger, deshabilitar el uso de pendrives y

poner un fondo de escritorio corporativo para evitar

“posibles distracciones”:

i. Habilitar Asistencia Remota Solicitada.

Para habilitar la asistencia remota para los usuarios primero

tenemos que instalar la característica de asistencia remota:

Ya tenemos instalada la Asistencia Remota:


Ahora vamos a la

“Administración de Directivas de Grupo” y creamos una

nueva política de grupo que afecta a todos los departamentos

del dominio ASIR2:

Editamos la GPO-ASIR2 creada y buscamos la opción

Asistencia Remota:

Y habilitamos la “Asistencia Remota Solicitada”:


ii. Habilitar no permitir que se ejecute windows

messenger.

Buscamos en los “Componentes de Windows” y habilitamos

que no se permita la ejecución de Windows Messenger:

iii. Poner un fondo de pantalla corporativo que no

pueda cambiarse.


Buscamos las directivas que afectan al usuario y editamos la

opción “Tapiz del Escritorio”:

Indicamos la ruta de un fondo previamente descargado y

habilitamos el fondo para todos los usuarios:


iv. Ejecutar un programa que indique la IP del equipo y

un usuario en el escritorio.

Descargamos la utilidad “Bginfo” para mostrar la IP y el

usuario del Equipo:

Le indicamos que nos muestre solamente el usuario y la IP, en

este caso de nuestro Servidor:

Con la herramienta “Bginfo” guardamos la configuración en un

archivo llamado “iniciar.bgi”:


Luego creamos un script llamado “script.cmd” con la siguiente

línea de configuración:

Una vez guardado el script, nos vamos a la directiva de grupo de

asir2 y seleccionamos ejecutar el script al iniciar sesión:


Comprobamos que el script se ejecuta al iniciar sesión:

Para que en el Cliente nos aparezca el fondo de pantalla junto

con la información de Bginfo tenemos que indicar la ruta del

fondo dentro del archivo de configuración “iniciar.bgi”:

v. Deshabilitar el uso de pendrives.

Buscamos las restricciones de instalación de dispositivos

extraíbles:


Deshabilitamos la “instalación de dispositivos extraíbles”:

b. Para el Departamento de Sistemas. Que puedan

ofrecer asistencia remota a los usuarios sin necesidad

de que estos la soliciten antes (como alternativa al

escritorio remoto). El usuario puede aceptar o rechazar

ese ofrecimiento (cuidado con el firewall de windows).


i. Habilitar ofrecer asistencia remota.

Primero creamos una nueva GPO para el departamento de

Sistemas:

Habilitamos la opción de “Ofrecer Asistencia remota”:


c. Para el Departamento de Software. Con idea de que

los perfiles de usuarios no se vuelvan muy pesados, la

carpeta “Mis Documentos” se ubicará en una unidad de

red. Se almacenará en el servidor (en una partición

diferente a la del sistema operativo) llamada

“personales”. El recurso debe ser oculto para el resto.

Como consecuencia de esto, se le habilitará una cuota

de disco de 100 Mb, ya que estos ficheros personales no

estarán asociados al perfil.

i. Redireccionamiento de “Mis Documentos”

Primero creamos otra GPO para el departamento de Software:


Creamos la carpeta “personales”:

Buscamos en la “Configuración de Windows” la opción

“Redirección de Carpetas” y seleccionamos la carpeta

“Documentos” para redireccionarla:

Redirigimos la carpeta “Documentos” a otra carpeta

previamente creada llamada “personales” ubicada en una

partición diferente a la del sistema operativo:


ii. Limitar el tamaño del perfil.

Buscamos en “Perfiles de Usuario” la opción de “limitar el

tamaño del perfil” a 100 mb:

d. Para el director. Como es el jefe, dice que el puedo

usar pendrives cuando le dé la gana y que quiere el

windows messenger que le niega al resto de sus

empleados (no hay nada como ser el jefe). Recuerda la

jerarquía de aplicación de las directivas de grupo.

i. Deshabilitar no permitir que se ejecute windows

messenger.


Primero creamos otra GPO para el departamento de dirección:

Habilitamos la ejecución de Windows Messenger:

ii. Habilitar el uso de pendrives.


Habilitamos la instalación y uso de dispositivos extraíbles:

11. Instala un servicio de distribución de software desde

tu equipo servidor a las estaciones de trabajo del

dominio mediante paquetes MSI: OpenOffice y Firefox.

Primero instalamos la utilidad Veritas Discover en nuestro

servidor Windows 2008 Server:


Una vez instalada la aplicación, asignamos permisos de acceso

remoto y compartimos la carpeta Wininstall ubicada en

C:\Archivos de Programa\Veritas Software\ para el

grupo Administradores con permiso de lectura:

Ahora creamos una carpeta llamada SOFTADM en E:\ y

dentro vamos a crear una carpeta para cada paquete MSI que

vamos a generar:


Compartimos la carpeta SOFTADM; dejamos por defecto el

grupo Todos que ya dispone del permiso Leer y agregamos el

grupo Administradores con todos los permisos:

Ahora nos conectamos con un cliente del dominio y nos

autenticamos con el usuario Administrador y copiamos los

ficheros previamente descargados del Servidor Windows

2008 Servidor en nuestro Escritorio:


Ejecutamos la aplicación WinInstall Discover de modo

remoto, pasando a ser mostrada como resultado de dicha acción

la ventana del asistente de creación de paquetes MSI en la que

pulsamos Next:

Indicamos un nombre que vamos a asociar al paquete MSI

generado y la ruta donde se generará el paquete que vamos a

crear:

Dejamos como unidad para guardar los ficheros temporales la

que viene por defecto: C:


A continuación seleccionamos las unidades que se analizarán

para la foto inicial del equipo; en nuestro caso instalaremos la

aplicación Mozilla Firefox en C:

Ahora aceptamos las propuestas de ficheros a excluir en el

análisis por defecto del disco C: y continuamos:


Dejamos que la aplicación genere la foto inicial del sistema:

Ya tenemos finalizada la foto inicial:

Ahora seleccionamos el fichero de instalación de la aplicación

Firefox que vamos a generar el paquete MSI:

Acto seguido seguimos con la instalación típica de forma

manual del navegador Firefox:


Finalizamos la instalación de Mozilla Firefox:

Una vez instalado lo configuramos para todos los usuarios:


Volvemos a ejecutar la aplicación y ahora hacemos la foto final:

Una vez completado el proceso de la foto final nos avisa que el

paquete MSI se ha generado en la ruta que le hemos indicado:

Realizamos los mismos pasos con Open Office y

comprobamos que los paquetes MSI se han generado:


Ahora nos falta dirigirnos en nuestro Servidor Windows 2008

Server a la directiva del dominio y agregamos los paquetes MSI:

Si iniciamos sesión con “gerente2013” por ejemplo,

observamos que los programas ya están instalados:

12. Instala DFS y haz una prueba de su

funcionamiento.

Seleccionamos solamente el

“Sistema de archivos distribuido (DFS)”:


Indicamos que vamos a crear un espacio de nombres más

adelante:

Ya tenemos el servicio DFS instalado:

Una vez instalado el Servicio, lo abrimos desde

Inicio -> Herramientas Administrativas ->

Administración de DFS


Ahora vamos a crear un nuevo espacio de Nombres:

Indicamos el nombre de nuestro Servidor:


Asignamos un nombre para el espacio de nombres:

Seguimos la configuración con la siguiente opción:

Una vez configurado el espacio de nombres, creamos una nueva

carpeta compartida:


Le asignamos el nombre “compartida”:

Nos vamos a la carpeta “compartida” y le asignamos al

usuario “director2013” permisos de lectura sobre la carpeta:


Creamos un fichero de texto de prueba, para ver si aparece en nuestro Cliente:

Nos vamos a nuestro Cliente Windows XP y accedemos a la

Ruta de la carpeta “compartida”:

Comprobamos que con el usuario “director2013” accedemos

perfectamente al fichero creado anteriormente:


Y como al usuario “director2013” le hemos asignado

solamente permisos de lectura comprobamos que no podemos

ni crear una nueva carpeta:

práctica active directory 1-12

Education