Sei sulla pagina 1di 50

Administracin de un servidor de directorio en Windows Active Directory INDIARA RIOS GARCIA SEBASTIAN CORREA CARDONA INSTALACION EN WINDOWS SERVER

2008 Nota: Se requiere una interfaz de red con una IP esttica y con servidor DNS. Para la instalacin de AD (Active Directory), lo primero que debemos hacer es acceder a Inicio> ejecutar, y all colocaremos dcpromo, as

Damos clic en aceptar, y esperamos a que carguen todos sus componentes.

Luego aparecer el asistente de instalacin y damos clic en siguiente.

Luego seleccionamos crear nuevo dominio, ya que anteriormente no se ha creado ningn Dominio, y damos clic en siguiente

Ahora vamos a colocar el dominio raz que deseamos usar para el siguiente bosque. Luego el asistente de instalacin verifica si el dominio que escribimos no est en uso, y damos clic en siguiente. Nota: Si est en uso se deber especificar otro nombre de dominio diferente

Ahora especificamos el nombre del netbios del dominio, en este caso es ABC. Si se desea se puede colocar otro nombre, pero es recomendable usar el mismo nombre del dominio raz para no ir a cometer errores posteriormente.

Ahora especificaremos el nivel funcional del bosque, puede ser Windows Server 2000,2003 o 2008, segn sea el caso. En este caso usaremos el WS 2008.Clic en siguiente

Se recomienda tener instalado el servidor DNS previamente, en caso contrario el AD lo instalar automticamente. Clic en siguiente

Ahora seleccionamos No,asignare direcciones de IP Estaticas, porque nosotros ya le hemos asignado una direccin IP esttica que ser con la que va a trabajar nuestro servidor DNS

Luego damos clic en si, para poder crear el nuevo dominio llamado abc.com.

A continuacin, dejamos la misma ruta de las carpetas que se crearn por defecto. Si se quiere se puede cambiar la ruta, pero no es recomendable. Damos clic en siguiente.

Luego asignamos la contrasea de administrador del Active Directory. Nota: No es la misma contrasea del administrador del equipo. Si se quiere se puede poner la misma contrasea del administrador del equipo para evitar olvidos posteriores. Clic en siguiente.

Ahora nos aparecen todas las aplicaciones que se instalaran. Se debe revisar, por si hay algn error durante la configuracin. Si todo est correcto, damos clic en siguiente para instalar el AD en el equipo.

Durante la instalacin se debe seleccionar la casilla Reiniciar al completar, para poder Finalizar la instalacin de AD exitosamente en el equipo.

PLANTEAMIENTO DEL PROBLEMA La empresa ABCx requiere el diseo e implementacin de un servicio para mantener informacin centralizada de los recursos de la red. Se requiere entonces que la informacin de los objetos de la red sea almacenada en un servicio de Directorio Ligero (Active Directory) en Windows Server 2008. En esta actividad usted debe desarollar cada uno de los pasos que se exponen a continuacin: A partir del diagrama de la figura 1 cree una estructura LDAP en la que se pueda englobar a todos los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del directorio sera usados como usuarios de correo electrnico).

A usted como grupo del departamento de Sistemas se le ha asignado la tarea de implementar una infraestructura Active Directory en la que se establecern las siguientes directivas: Cada departamento de la empresa ABCx ser agregado a la estructura lgica de Active Directory a travs de unidades organizativas. Cada unidad organizativa anidar otras unidades organizativas que permitirn tener un control sobre los recursos de red de cada dependencia. Estos contenedores sern: Usuarios y grupos, Equipos, Impresoras y Carpetas compartidas. Tenga en cuenta que dentro de cada departamento existen por lo menos 10 usuarios y que la informacin de cada usuario en el directorio debe ser detallada.

Se forzar a todos los usuarios del dominio abc.com a cambiar su contrasea cada 15 das y el sistema debe recordar las tres ltimas contraseas cambiadas por el usuario. La poltica de contraseas debe estar habilitada para usar un password seguro.

Empezamos por acceder a Start > Administrative tools > Group Policy Management All damos clic derecho sobre el dominio abc.com, y seleccionamos Create a GPO

Luego colocaremos el nombre que deseemos a la nueva GPO que se crear y luego damos clic en aceptar

Luego editaremos la nueva GPO que se ha creado. Daremos clic derecho sobre la directiva

Para que recuerde las ultimas tres contraseas cambiadas por el usuario hacemos doble clic sobre Enforce password history habilitamos la opcin y ponemos la cantidad deseada en nuestro caso tres.

Se forzar a todos los usuarios del dominio abc.com a cambiar su contrasea cada 15 das para esto hacemos doble clic en Maximum password age

La poltica de contraseas debe estar habilitada para usar un password seguro.

A todos los usuarios, exceptuando los administradores del dominio y los usuarios del departamento de Sistemas, tendrn restringido el acceso a los siguientes componentes:

Men Ejecutar

Panel de control

Regedit

Unidad C: (Visualizar la unidad)

Reproduccin automtica de medios extrables

Cambiar la pgina predeterminada de Internet Explorer (Se cargar por defecto la pgina principal del sitio www.abc.com)

Acceso desde el navegador a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador ser el nico con la contrasea de supervisor para el Asesor de Contenidos.

Desbloquear la barra de tareas (Siempre permanecer bloqueada)

Acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.

NOTA: En algunas empresas el almacenamiento se maneja solo a travs de unidades de red y no se permite el uso de medios extraibles para evitar que informacin confidencial sea accesible.

A los usuarios del departamento de Compras se le aplicacarn las siguientes GPOs (Adicional a las mencionadas anteriormente):

No podrn visualizar los elementos del Escritorio

Quitar el administrador de tareas

Dentro de cada unidad organizativa Usuarios y Grupos se crear un grupo de usuarios llamado practicantes. Las cuentas de los practicantes caducarn 6 meses despus de su creacin. Los practicantes solo pueden

iniciar sesin de lunes a viernes de 7 AM a 6 PM. Conceder al grupo practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesin deber conectarse automticamente a una unidad de red).

Primero vamos ir por cada unidad organizativa y procederemos a crear un usuario y un grupo en las unidades organizativas lo podemos hacer como antes ya lo habamos hecho.

Vamos a la unidad organizativa y le damos crear usuario, y creamos un usuario por cada OU que se llame practicantes, en este caso, practicante Dir comercial, practicante sistemas, etc. Pero primero crearemos un grupo en la unidad organizativa principal que se llame Ejemplo: practicantes sistemas.

Las cuentas de los practicantes caducarn 6 meses despus de su creacin Despus iremos donde cada usuario antes creados llamados practicantes y haremos lo siguiente. Primero daremos clic derecho en propiedades. All nos aparecer una ventana en la cual seleccionaremos la pestaa Account, y luego daremos clic en el botn End of en la parte de abajo donde dice Account expires.

Los practicantes solo pueden iniciar sesin de lunes a viernes de 7 AM a 6 PM All nos aparecer una ventana en la cual seleccionaremos la pestaa Account, y luego daremos clic en Logon Hours. Una vez estando all, vamos a seleccionar las horas en el que el usuario podr iniciar sesin durante toda la semana. All vamos a darle la opcin para que solo puedan entrar de lunes a viernes de 7:00 am a 6:00 pm, y procederemos a dar clic en Aceptar.

Conceder al grupo practicantes solo el acceso a la carpeta compartida PRACTICANTES. Ahora procederemos a crear una carpeta compartida para que se monte automticamente cada vez que un usuario practicante inicie sesin. Primero crearemos una carpeta dentro de documentos. Luego le daremos en la opcin compartir

Seguidamente nos pedir el grupo con el que se compartir la carpeta, es all donde seleccionaremos al grupo practicantes.

(Una vez que cada uno de estos usuarios inicie sesin deber conectarse automticamente a una unidad de red). Por ltimo iremos de nuevo donde cada usuario practicante y le daremos clic en propiedades. Seleccionamos la opcin profile, all en la parte inferior habr una opcin que dice Connect , all seleccionaremos el nombre de la unidad que se va a montar automticamente, en este caso la Z: en el cuadro que sigue colocaremos la ruta de la carpeta antes compartida

Luego cuando un usuario practicante inicie sesin desde un equipo cliente, en la ventana MI PC le aparecer una unidad de red como se muestra a continuacin

Cada vez que los usuarios del departamento Web y Comercio Electrnico inicien sesin se montarn automticamente dos unidades de red que se mapean a carpetas compartidas en un servidor Windows Server 2008. Note que primero debe compartir las carpetas en algn servidor (Controlador de dominio u otro) antes de montarlas automticamente. Todos los usuarios del departamento tendrn una cuota de 1000MB sobre la unidad de red.

Primero creamos las carpetas a compartir web y comercio electrnico.

Luego compartimos las carpetas.

Luego creamos el grupo web y comercio dentro de la OU(unidad organizativa) Web y Comercio Electronico.

Escogemos el grupo en nuestro caso web y comercio, y le damos permisos de Lectura y escritura.

Luego creamos el script para las unidades que se van a mapear.

Le damos la ruta donde guardaremos el script, en este caso lo guardaremos en una carpeta dentro del servidor. Damos clic en servidor.

Clic en la carpeta netlogon.

Luego procederemos a hacer un script con las direcciones de las carpetas compartidas, como se muestra a continuacin. Lo guardamos con la extensin .bat para que se pueda ejecutar como un script

Luego vamos a ir a Administracin de directivas de grupo, y creamos una GPO para el script.

Luego nos paramos en la GPO y la editamos, vamos a user configuration > Windows settings > logon. En la pestaa de scipt agregamos nuestro script.

Ahora para mantener un control de lo que se sube a la unidad de red vamos a colocar una cuota de disco de 1000 MB. Lo vamos a hacer, primero creando una nueva GPO dentro de la unidad organizativa web y comercio electrnico. Luego vamos a editar esa nueva GPO con las siguientes directivas

Ahora para aplicarle una cuota a la unidad de red debemos de instalar primero un complemento al servidor de archivos. As que vamos a funciones, seleccionamos el servicio del servidor de archivos y le damos agregar caractersticas. Ahora seleccionamos Administrador de recursos del servidor de archivos.

Le damos desplegar a Administracin de cuotas all seleccionamos la opcin Cuotas. Y luego vamos a dar clic derecho y le daremos crear cuota.

Luego nos aparecer la siguiente ventana en la cual colocaremos de cuanto queremos que sea nuestra cuota de disco. Y daremos clic en aceptar

Vamos a buscar la carpeta con las carpetas compartidas anteriormente.

Antes nos aparecer la siguiente ventana. All seleccionaremos la opcin Guardar las propiedades personalizadas como plantilla Y colocaremos el nombre.

esto ser lo que suceder cuando el personal de web y comercio electrnico inicien sesin en un equipo dentro del dominio. De inmediato, se ejecutar el script y por ende, montar las 2 unidades de red.

Los usuarios de los departamentos de Diseo Grfico y Comerciales Externos solo podrn iniciar sesin en los equipos que pertenecen a dicho departamento Primero vamos a aadir los equipos del dominio en los que queremos que los usuariosde Diseo grfico y comerciales externos inicien sesin.

En este caso sera xyz.

Una vez aadido a la unidad organizativa EQUIPOS (COMPUTER) procederemos a dar clic derecho y seleccionar la opcin propiedades. All vamos a colocar los grupos a los que pertenece ese equipo. Los cules sern Comerciales externos y Diseo grfico.

Luego iremos a cada usuario de los departamentos de Diseo grfico y Comerciales Externos. Y vamos a dar clic en propiedades, luego seleccionaremos la opcin, Logon on

Ahora vamos a probar el usuario alvaro hoyos si podr entrar desde otro equipo en el dominio

Y esto ser lo que aparecer si este no es el equipo asignado a este usuario, en el cual est habilitado el iniciar sesin.

Las dos impresoras de la empresa, que estn fsicamente ubicadas en los departamentos de Sistemas y Direccin Tcnica, deben publicarse en el directorio para que los usuarios del dominio puedan encontrar fcilmente estos recursos. Para efectos prcticos use impresoras PDF (por ejemplo doPDF, aunque existen muchas ms) y compartirlas. Primero vamos a compartir nuestra impresora en el equipo inse-PC.

Le colocaremos un nombre y seleccionaremos la opcin Mostrar lista en el directorio.

Luego vamos a agregar la impresora en el servidor. Vamos a la unidad organizativa y damos clic derecho, seleccionamos la opcin Nuevo y luego Impresora. Esta impresora va a ser creada en la unidad organizativa Sistemas. All colocaremos la direccin de donde se encuentra la Impresora.

Y ya esta creada la impresora

Luego instalamos el Print and Document Services en el server 2008.

Luego desde un equipo cliente ingresamos y verficamos que si este imprimiendo.