active directory en windows server 2008 por: fernando de ... · dar inicio a la instalación de...

ACTIVE DIRECTORY EN WINDOWS SERVER 2008

POR:

FERNANDO DE JESUS PATIÑO HERNADEZ

FICHA:

259747

INSTRUCTOR:

ANDRES MAURICIO ORTIZ MORALES

SERVICIO NACIONAL DE APRENDIZAJE SENA

MEDELLIN 2012

ACTIVE DIRECTORY

Active Directory (AD): Es el término que usa Microsoft para referirse a su

implementación de servicio de directorio en una red distribuida de computadores.

Utiliza distintos protocolos (Principalmente LDAP, DNS, DHCP, Kerberos…)

Su estructura jerargica permite a los administradores mantener una serie de objetos

relacionados con componentes de una red, como usuarios, grupos de usuarios,

permisos y asignación de recursos y políticas de acceso.

(AD) permite a los administradores establecer políticas a nivel de empresas, desplegar

programas en muchos ordenadores y aplicar actualizaciones criticas a una organización

Entera. Un (AD) almacena información de una organización en una base de datos

central, organizada y accesible. Pueden encontrarse desde directorios con cientos de

objetos para una red pequeña hasta directorios con millones de objetos.

INTALACION EN WINDOWS SERVER 2008.

Lo primero que debemos de tener en cuenta es configurar nuestro servidor DNS para

dar inicio a la instalación de Active Directory.

Para dar inicio a la instalación daremos clic en inicio y en ejecutar colocaremos de la

siguiente manera.

Aceptamos y esperamos que carguen el asistente de instalación.

Elegimos la opción de instalación modo avanzada y damos clic en siguiente.

Compatibilidad del sistema operativo damos clic en siguiente.

Elegimos “crear un dominio nuevo” el cual será nuestro árbol de dominio, y clic en

siguiente.

Procedemos a colocar nuestro dominio principal y comprobamos si nuestro dominio ya

existe.

Le damos el nombre al NetBIOS “se recomienda dar el nombre de nuestro dominio.”

Especificamos el nivel funcional de nuestro árbol en este caso (Windows Server 2008

clic en siguiente.

Ahora el sistema comprueba la configuración de nuestro DNS “recordemos que

debemos tener configurado un DNS antes de la instalación de (AD). Observamos que el

servidor DNS ya esta instalado en el servidor damos clic en siguiente.

Le damos en la opción “SI” asignare direcciones IP estáticas a todos los adaptadores de

red físico y va a trabajar con nuestro DNS.

Damos clic en “si” para la ventana de dialogo.

En este paso se seleccionan las rutas de las carpetas que alojaran datos de

configuración de nuestro árbol de dominio “Se recomienda dejar las rutas por defecto

que ofrece el sistema” y damos clic en siguiente.

Luego damos la contraseña al administrador la cual usaremos en el controlador de

dominio, clic en siguiente.

Aquí observamos la instalación resumida en breve, clic en siguiente.

Seleccionamos (reiniciar al completar) la instalación

Damos finalizar.

Una vez reiniciado nos aparecerá de la siguiente manera.

PLANEAMINETO DEL PROBLEMA

Los departamentos de la empresa ABCx se le agrego la estructura lógica de (AD)

Atraves de unidades organizativas. Cada unidad alojara otras unidades

organizativas. Las cuales permitirán acceder un control sobre los recursos de

red de cada dependencia. Estos alojamientos serán: Usuarios y grupos,

equipos, impresoras y carpetas compartidas. Es importante recordar que

dentro de cada departamento existen al menos 4 usuarios y que la información

de cada usuario en el directorio debe ser detallada.

Luego de que el equipo reinicie procedemos con la creación de la estructura

LDAP “planteada en la guía”, para ello nos vamos a:

Inicio>Herramientas administrativas>administración de directivas de grupo

accedemos al dominio ABCx.com. Allí damos clic derecho > nueva unidad organizativa,

para poder empezar a crear el árbol de unidades y subunidades organizativas.

Colocamos el nombre de la unidad organizativa que vamos a crear. Clic en aceptar.

Damos clic derecho sobre la nueva unidad organizativa “dirección general” > nueva

unidad organizativa, para crear una nueva subunidad organizativa, en este caso como

se llamarán , y así se hará con todas las subunidades organizativas que se deseen crear.

Observamos las subunidades ya creadas dentro de DIRECCION GENERAL.

De este modo continuamos creando de cada unidad su organizativa para cada

departamento.

Web y comercio electrónico.

Observamos las creadas respectiva mente.

creamos los usuarios dentro de la carpeta especifica.

Observamos la carpeta.

Desplegamos una vez terminada la creación de los de partementos.

Tenga en cuenta que dentro de cada departamento existen por lo menos 10 usuarios y que la información de cada usuario en el directorio debe ser detallada

Empezamos a crear los usuarios en cada departamento para esto nos paramos en el departamento damos clic derecho y luego en nuevo y escogemos usuario, Ingresamos los datos y luego clic en siguiente.

Le colocamos los datos y nombre de iniciar sección y siguiente. Le otorgamos la

contraseña al nuevo usuario para iniciar la sección y siguiente luego finalizar.

Observamos los usuarios creados, hacemos el mismo paso a cada uno.

Se forzará a todos los usuarios del dominio ABCx.com a cambiar su contraseña cada 15 días y el sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de contraseñas debe estar habilitada para usar un password seguro. Para realizar la configuración de las contraseñas debemos ir a inicio >herramientas administrativas>administración de directivas de grupo

Damos clic en nuestro dominio ABCx.com escogemos la opción crear una GPO en este dominio y vincularlo aquí.

Colocaremos el nombre que deseemos a la nueva GPO que se creará y luego damos

clic en aceptar.

Editaremos la nueva GPO que se ha creado. Daremos clic derecho sobre la directiva.

Acedemos y procedemos a seleccionar y habilitar la directiva que necesitemos usar,

para restringir determinada aplicación a uno o varios usuarios específicos.

Definimos la configuración de directiva y configuramos que las contraseñas expiren después de 15 días damos clic en aplicar y aceptar.

El sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de contraseñas debe estar habilitada para usar un password seguro.

Para este caso usamos la misma ruta configuración de quipo>directivas>configuración de Windows>configuración de seguridad>directivas de cuenta>directiva de contraseña. Damos clic derecho en almacenar contraseña con cifrado reversible propiedades

Activamos la directiva, habilitamos la politica de complejidad, aplicamos los

cambios y damos clic.

Ahora configuramos exigir historial de contraseña, para que el sistema recuerde las tres últimas contraseñas cambiadas por el usuario y lo hacemos mediante la siguiente ruta: Configuración de equipo>directivas>configuración de Windows>configuración de seguridad>directivas de cuenta>directiva de contraseña damos clic derecho sobre exigir historial de contraseña, clic en propiedades

Habilitamos la directriz, especificamos el número de contraseñas a recordar, aplicamos los cambios y damos click

3. A todos los usuarios, exceptuando los administradores del dominio y los usuarios del departamento de Sistemas, tendrán restringido el acceso a los siguientes componentes: - Menú Ejecutar - Panel de control - Regedit - Unidad C: (Visualizar la unidad) - Reproducción automática de medios extraibles - Cambiar la página predeterminada de Internet Explorer (Se cargará por defecto la página principal del sitio www.abc.com). - Acceso desde el navegador a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.

- Desbloquear la barra de tareas (Siempre permanecerá bloqueada) - Acceso del Lecto-escritura a cualquier medio de almacenamiento extraible. NOTA: En algunas empresas el almacenamiento se maneja solo a través de unidades de red y no se permite el uso de medios extraibles para evitar que Información confidencial sea accesible. R/ Crearemos una nueva GPO sobre Dirección General

Nombramos la GPO y damos clic en aceptar.

Damos clic derecho sobre la nueva GPO que se ha creado, para poder editarla.

Luego accedemos a Configuración de usuario > Plantillas administrativas > Menú inicio

y barra de tareas, y allí damos doble clic sobre “Quitar el menú ejecutar del menú

inicio”.

Seleccionamos la casilla “Habilitada” y damos clic en aceptar.

Ahora prohibiremos el acceso al Panel de Control, para ello vamos a: Configuración de Equipo>Politicas>Plantillas Administrativas>Panel de Control Damos clic derecho sobre “Prohibir el acceso al Panel de Control”, clic en Editar.

Seleccionamos la casilla “Habilitada” y damos clic en aceptar.

- Para ocultar la unidad C:/ vamos a: Configuración de Usuario>Politicas>Plantillas Administrativas>Componentes de Windows>Explorador de Windows Clic derecho sobre “Ocultar estas unidades específicas en mi Computadora”, clic en Editar

Habilitamos, Seleccionamos la unidad a ocultar(C:/ en este caso), aplicamos los cambios y damos click en aceptar.

- Para deshabilitar la Reproducción Automática de medios extraibles nos dirigimos a: Configuración de Usuario>Politicas>Plantillas Administrativas>Componentes

de Windows>Politicas de Reproducción Automática Clic derecho sobre “Desactivar Reproducción Automática”, clic en Editar

Ahora seleccionamos la casilla “Habilitada”, e introducimos las unidades que vamos a

desactivar la reproducción automática. En este caso las unidades de CD ROM y medios

extraíbles.

Estableceremos www.abc.com como página de inicio, para ello vamos a: Configuración de Usuario>Politicas>Ajustes de Windows>Mantenimiento de Internet Explorer>URL Clic derecho sobre “URL Importantes”, clic en propiedades

Damos clic en personalizar URL de la página principal e ingresamos la URL incluyendo http:// (www.abc.com) aplicamos los cambios y luego aceptar.

Ahora restringiremos el acceso a youtube y facebook, vamos a: Configuración de Usuario>Politicas>Ajustes de Windows>Mantenimiento de Internet Explorer>Seguridad Clic derecho sobre “Zonas de Seguridad y Clasificación de Contenido”, clic en Propiedades.

Inhabilitamos la opción de “importar las configuraciones actual de restricciones de contenido”, y damos clic en el botón de “Modificar Ajustes”

Vamos a la pestaña de “Sitios aprobados”, Ingresamos la URL del sitio y oprimimos el botón Nunca (Never), aplicamos los cambios y damos clic en

aceptar

Aquí el sistema nos hará crear una contraseña para el “Administrador de contenido” luego de esto para realizar ciertas configuraciones el sistema solicitará el ingreso de dicha contraseña.

Luego bloquear la barra de tareas iremos a: Configuración de Usuario>Politicas>Plantillas Administrativas>Escritorio Clic derecho sobre “Prevenir adicionar, arrastrar, soltar y cerrar la barra de tareas”, clic en Editar.

Habilitamos bloquear la barra de tareas aplicamos los cambios y luego aceptar.

Prohibir Lecto-escritura a cualquier medio de almacenamiento extraible para ello vamos a: Configuración de Usuario>Politicas>Plantillas Administrativas>Sistema>Acceso de Almacenamiento Extraible Clic derecho sobre “Todas las clases de medios Extraibles: Denegar todo el acceso”, clic sobre Editar.

Habilitamos, Aplicamos cambios y damos clic en aceptar.

Luego deberemos deshabilitar las restricciones anteriores para el departamento de sistemas, para ello vamos a la siguiente ruta inicio>herramientas administrativas>administración de politicas de grupo nos paramos en sistema clic derecho y crear un GPO.

Damos el nombre de limitaciones y luego aceptar.

Procedemos a editar la GPO “Limitaciones”

Vamos a : Configuracion de usuario >directivas>plantilas administrativas>menú

icnicio y barra de tareas

damos clic derecho sobre quitar el menú ejecutar sobre el menú inicio clic en

propiedades.

Deshabilitamos la Directiva, aplicamos los cambios y damos clic en aceptar.

Accedemos a Configuracion de usuario > diectivas > Plantillas administrativas > panel

de control, y luego doble clic en “prohibir el acceso al panel de control”.

Ahora seleccionamos la casilla “deshabilitada”, para poder permitir quitar esa

restriccion que se habia asignado a la unidad organizativa principal de la empresa

ABCx. Clic en aceptar.

4. los usuarios del departamento de Compras se le aplicacarán las siguientes GPOs (Adicional a las mencionadas anteriormente): No podrán visualizar los elementos del Escritorio No podrán apagar la máquina (Desde el Sistema operativo) o Quitar el administrador de tareas R/ Crearemos una nueva GPO en el departamento de Compras, en el Administrador de politicas de grupo (esta en Inicio>Herramientas Administrativas), damos click derecho sobre “Compras” y damos click en Crear una GPO en este Dominio)

Damos el nombre de limitaciones y luego aceptar.

Luego procederemos a editar nuestra GPO, y lo haremos haciendo clic derecho en

nuestra nueva gpo, y seleccionaremos la casilla Editar.

Luego ocultar todos los elementos del escritorio vamos a: Configuración de Usuario>Politicas>Plantillas Administrativas>Escritorio Clic derecho sobre “Ocultar y deshabilitar todos los elementos del escritorio”, clic en Editar.

Habilitamos, aplicamos cambios y damos clic en aceptar.

Para deshabilitar el apagado desde el S.O nos dirigimos a: Configuración de Usuario>Politicas>Plantillas Administrativas>Menú Inicio y Barra de tareas Clic derecho sobre (Remover y prevenir el acceso a los comandos apagar, reiniciar, suspender e hibernar), clic en Editar.

Habilitamos, aplicamos los cambios y damos clic en aceptar.

Para quitar el administrador de tareas vamos a: Configuración de Usuario>Politicas>Plantillas Administrativas>Sistemas>Opciones de Ctrl+Alt+Del Clic derecho sobre (quitar Administrador de Tareas), clic en propiedades.

Habilitamos, Aplicamos cambios y damos click en aceptar.

5. Dentro de cada unidad organizativa Usuarios y Grupos se creará un grupo de usuarios llamado “practicantes”. Las cuentas de los practicantes caducarán 6 meses después de su creación, los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM. Conceder al grupo practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red).

Lo primero será crear los usuarios y grupos Practicantes, para ello nos dirigiremos a cada unidad organizativa de “Usuarios y Grupos” y seleccionamos la opción crear usuario (El proceso de creación de usuarios es el mismo visto anteriormente).

Nombramos el usuario como practicantes.

Le daremos una contraseña.

Observamos los usuarios creados.

Vamos a: usuarios y grupos>luego clic derecho> sobre nuevo > luego grupo.

Nombramos el grupo como practicantes.

Luego seguimos con agregar los usuarios pertenecientes al grupo “Practicantes” para ello damos clck derecho sobre el ya mencionado praticantes y seleccionamos la opción propiedades.

Vamos a la pestaña “Miembros”, y seleccionamos “Agregar”

Damos clic en opción avanzada.

Una vez seleccionados los usuarios damos clic en el botón aceptar.

Damos clic en aplicar y luego aceptar.

Luego iremos donde cada usuario antes creados llamados practicantes y haremos lo

siguiente. Primero daremos clic derecho en propiedades.

aparecerá una ventana en la cual seleccionaremos la pestaña Cuenta. y luego

daremos clic en el botón horas de inicio de sesión.

Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM. Configuramos el tiempo y los días y luego aceptar

Dentro de la misma pestaña “Cuenta”, al final seleccionamos que la cuenta expire después de su creación.

Luego procederemos a crear la carpeta compartida (PRACTICANTES) que se montará cada vez que un usuario paracticante inicie sesión.

Luego de crear la carpeta le damos clic derecho y luego compartir.

Buscamos y damos agregar al grupo practicantes.

Luego de buscado seleccionaremos el grupo.

Seleccionamos grupos para la búsqueda ligera.

Buscaremos y seleccionaremos el grupo y damos clic en aceptar.

Clic en la opción de compartir.

Aquí verificamos la carpeta que se compartira y su respectiva ruta (Copiarla en un block de notas)

Por último iremos de nuevo donde cada usuario practicante y le daremos clic en

propiedades.

Vamos a la pestaña, en la sección de propiedades. Donde crearemos una unidad que se montara al momento del inicio de sesión y por último indicamos la ruta de la carpeta compartida, clic en aceptar

Nos aparecerá una ventana con lo siguiente y daremos clic en SI.

6. Cada vez que los usuarios del departamento Web y Comercio Electrónico inicien sesión se montarán automáticamente dos unidades de red que se mapean a carpetas compartidas en un servidor

Windows Server 2008. Note que primero debe compartir las carpetas en algún servidor (Controlador de dominio u otro) antes de montarlas automáticamente. Todos los usuarios del departamento tendrán una cuota de 1000MB sobre la unidad de red.

Lo primero será crear un grupo que contenga todos los usuarios de Web y Comercio Electrónico, esto lo haremos en la unidad organizativa del mismo nombre. Crearemos una carpeta llamada Web y la otra comercio electrónico.

Compartiremos las carpetas de modo que el grupo colaborador sea web y comercio

electrónico.

Ahora nos dirigimos a:

Inicio>Herramientas Adminisrativas>Administración de directivas de

Grupo.

Nos dirigimos a la unidad organizativa de Web y Comercio Electrónico y allí creamos una GPO.

Luego daremos clic en editar para nombrar la nueva GPO.

Vamos a: Configuración de Usuario>Preferencias>Asignación de Unidades damos click derecho en la parte derecha de la pantalla, seleccionamos: nuevo>unidad asignada.

Ingresamos la ruta de la unidad (la carpeta que creamos antes), seleccionamos su denominación, Vamos a la pestaña (comunes).

seleccionamos la última casilla “Destinatarios a nivel de elemento” y luego damos clic en destinatarios.

Damos click en nuevo artículo y luego seleccionamos grupo de seguridad.

Procedemos dando click en el botón examinar...

Seleccionamos el grupo Web y Comercio Electrónico.

Por ultimo aplicamos y aceptaremos.

Este proceso se repite para la otra unidad de red (La otra carpeta compartida), podemos ver las dos unidades de red debidamente configuradas.

Estableceremos la cuota de disco, para ello nos dirigimos a: Configuración de Equipo>Políticas>Plantillas Administrativas>Sistema>Cuotas de Disco Click derecho sobre “Habilitar cuotas de disco”, click en Editar.

Habilitamos la directiva clic en aceptar.

Ahora damos clic derecho sobre “Cuota de disco por defecto y nivel de advertencia”, clic en Editar.

Habilitamos la directiva, ahora el primer valor que se configura es el limite por defecto de la cuota de disco, el segundo es el nivel de advertencia por defecto (debe ser menor al primer valor).

Procedemos a establecer las cuotas de disco sobre las unidades de red, para ello debemos instalar un complemento en nuestro servidor, nos dirigimos al Administrador de Servidor, y en la pestaña de funciones (roles) buscamos la sección de servicios de archivo y damos clic en añadir función al servicio.

Una vez desplegada la ventana de diálogo seleccionamos la función de servidor de archivos del administrador de recursos, clic en siguiente.

En esta ventana se nos da la opcion de que el servicio a instalar monitor eluso de espacio en los volúmenes seleccionados (Recomendado) agregamos el volumen C:/ y damos clic en siguiente.

Lo siguiente es seleccionar la ruta en la que el servicio de monitoreo de almacenamiento (por asi llamarlo) guardara los reportes del mismo, clic en siguiente.

Nos muestra un resumen damos clic en instalar.

Proceso de instalación.

La instalación a sido correcta damos clic en cerrar.

Vamos al complemento que acabamos de instalar a la siguiente ruta herramientas administrativas y luego administradoras de recursos de servidor de archivos.

Nos ubicamos en cuotas, damos clic derecho y seleccionamos crear cuota.

Seleccionamos la ruta de la unidad de red donde tendra efecto la cuota de Disco.

Una vez seleccionada la ruta de la unidad de red seleccionamos la opción de definir opciones personalizadas de cuota y damos clic en opciones personalzadas.

Seleccionamos el valor de cuota establecido en la guía (1000MB) damos clic en aceptar.

Observamos el límite de espacio de almacenamiento de nuestra unidad de red, para finalizar damos clic en crear.

El sistema nos dará la opción de guardar la cuota recién creada como Una plantilla (para futuros usos), nombramos la plantilla y damos click en aceptar.

Observamos las cuotas ya creadas en las dos unidades de red.

7. Los usuarios de los departamentos de Diseño Gráfico y Comerciales Externos solo podrán iniciar sesión en los equipos que pertenecen a dicho departamento.

Vamos a añadir los equipos del dominio en los que queremos que los usuarios de Diseño gráfico y comerciales externos inicien sesión.

Nombramos el equipo y damos click en aceptar.

Luego daremos clic en propiedades.

Una vez añadido a la unidad organizativa EQUIPOS procederemos a dar clic derecho

y seleccionar la opción propiedades.

Búscamos el grupo que se vinculará con el equipo.

Una vez seleccionado el grupo aplicamos los cambios y clic en aceptar.

Procedemos a editar las cuentas de usuario de las dependencias

especificadas, clic derecho y seleccionamos propiedades.

Nos dirigimos a la pestaña cuenta y seleccionamos Iniciar Sesión.

seleccionamos el equipo que antes habíamos ingresado y aceptamos.

Luego procedemos a instalar el PDF24 damos clic en siguiente.

Luego de habre instalado correctamente el PDF24 procedemos a ir a la barra de inicio

y daremos clic sobre panel de control.

Dispositivos e Impresoras Aqui podemos ver nuestra impresora PDF virtual instalada en el equipo.

Seleccionamos la impresora y damos clic derecho en la opción compartir.

Seleccionamos propiedades.

Seleccionamos la casilla compartir chuleamos compartir impresora y luego las dos opciones que aparecen abajo como lo muestra la imagen.

Luego vamos a inicio herramientas administrativas y luego usuarios

equipos de active directory. Nos ubicamos en el dominio y luego clic

derecho y luego buscar.

En la opción buscar ponemos impresoras y luego buscar ahora. Una vez

localizada la impresora damos clic derecho y luego la opción de mover.

Seleccionamos

la impresora clic derecho y mover.

Ahora nos desplazamos, dirección general luego sistemas y nos paramos sobre impresoras y damos clic en aceptar.

Vamos al directorio donde movimos la impresora para comprobar que ha

sido un hecho.