Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Introducción
El Directorio Activo (Active Directory) es la pieza clave del sistema operativo "Windows 2008
Server"; sin él muchas de las funcionalidades finales de este sistema operativo servidor que iremos
viendo (las directivas de grupo, las jerarquías de dominio, control centralizado de cuentas de
usuario, de máquina, recursos compartidos, ...), no funcionarían.
El servicio Active Directory proporciona la capacidad de establecer un único inicio de sesión y un
repositorio central de información para toda su infraestructura, lo que simplifica ampliamente la
administración de usuarios y equipos, proporcionando además la obtención de un acceso mejorado a
los recursos en red. Es un servicio de directorio, en el cual se puede resolver nombres de
determinados recursos.
Active Directory (AD de ahora en adelante) es el servicio de directorio incluido con "Windows
2008 Server", y amplia las características de los anteriores servicios de directorio basados en
Windows, agregando características completamente nuevas. AD es seguro, distribuido, particionado
y replicado. Está diseñado para funcionar perfectamente en una instalación de cualquier tamaño,
desde sólo un servidor con algunos cientos de objetos, hasta múltiples servidores y millones de
objetos.
Las cuentas de usuarios que gestiona Active Directory son almacenadas en la base de datos SAM
(Security Accounts Manager), pero AD no sólo almacena información sobre los usuarios, sino que
también mantiene información sobre servidores, estaciones de trabajo, recursos, aplicaciones,
directivas de seguridad, etc. Estas características explican que AD sea ampliamente utilizado
empresarialmente como DC, a pesar de que los orígenes de Windows no son los de un sistema en
red.
Existe una alternativa libre (Samba + OpenLDAP), aunque su configuración es mucho más
compleja. En la nueva versión de Samba (Samba 4) ya sí se soporta AD como servicio de directorio.
Todo esto lo dejamos para este “veranito”, y lo hablamos en septiembre :).
Antes de comenzar el proceso de instalación de AD, vamos definir una serie de términos con los
que nos encontraremos en dicho proceso:
• Controlador de Dominio. es un equipo "Windows 2008 Server" con AD instalado que
almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red.
• Nombre de Dominio de una máquina. Son las denominaciones asignadas a los
ordenadores de la red, "hosts", y "routers", que equivalen a su dirección IP.
• Árbol de Dominio. Es el conjunto de dominios formado por el nombre de dominio raíz
(por ejemplo "AMETSIS.EDU") y el resto de dominios cuyos nombres constituyen un
espacio contiguo con el nombre raíz (por ejemplo si tuviéramos un subdominio
"DPTO_LENGUA", se nombraría como "DPTO_LENGUA.AMETSIS.EDU", y formaría un
árbol de dominios con el dominio raíz).
• Bosque de Árboles de Dominios. Es el conjunto de árboles de dominio que no constituyen
un espacio de nombres contiguo (si nuestro servidor administrara otro dominio raíz de
nombre "SERAGUL.EDU", este nuevo dominio, junto con el anterior "AMETSIS.EDU",
formarían el bosque de árboles de dominios).
Promocionar (o ascender) un servidor Windows 2008 Server a
Controlador de Dominio
1. Inicio → Ejecutar → “dcpromo”
2. Tras hacer esto, el sistema comprueba si el servicio de directorio Active Directory está
instalado. En caso negativo instala los binarios del servicio. Una vez instalado el servicio,
se inicia el asistente de instalación de Servidor de Dominio.
3. Usar la instalación en Modo avanzado.
4. En la ventana “Compatibilidad de Sistema Operativo” seguir adelante. (Lectura del
documento sobre “Autenticación de clientes en Windows NT4.0 y 2000”).
5. En la ventana “Elegir una configuración de implementación”, “Crear un dominio nuevo en
un bosque nuevo”.
6. En “Asigne un nombre al dominio raíz del bosque”, indica un nombre FQDN del dominio.
Por ejemplo, en mi caso usaré seragul.dom (tú puedes elegir el tuyo propio).
7. Aceptar el nombre NetBIOS propuesto. En mi caso “SERAGUL”.
8. En “Establecer el nivel de funcionalidad del bosque”, hay que tener en cuenta con quién se
va a entender el DC. Si se va a agregar al dominio otros DC de versiones anteriores
(Windows Server 2000 o 2003), habrá que mantener la compatibilidad, a cambio de perder
ciertas funcionalidades únicas de 2008. Nosotros elegiremos Windows Server 2008.
9. En “Opciones adicionales del Controlador de Dominio”, seleccionamos DNS. El DC
necesita utilizar un servidor DNS, que vamos a instalar en el mismo servidor.
10. Se nos informa de que tenemos IP dinámica en alguna de nuestras interfaces. Probablemente
se refiere a la configuración Ipv6. Debemos asegurarnos de que nuestra configuración ipv4
es estática y que tenemos conectividad. Si es así, podemos hacer clic en “Sí, el equipo usará
una dirección IP asignada dinámicamente...”
11. Lee atentamente la advertencia “No se puede crear una delegación DNS porque la zona
primaria autoritativa...”. Nos habla de resolución de nombres de nuestro dominio desde
fuera (otros dominios). Aun no hemos configurado la zona, y por ello no contamos con un
SOA para poder ser autoritativos. Continuamos haciendo clic en Si.
12. En “Ubicación de la Base de Datos” hacemos clic en Siguiente. En esta ventana se nos
informa sobre donde se guardarán:
1. Las bases de datos: Contienen los objetos (que veremos más adelante) de AD y sus
propiedades.
2. Los ficheros de registro: Contienen un registro de las actividades del servicio de
directorio.
3. El volumen Sysvol: Contiene la información del dominio que se replica al resto de
controladores.
13. Introducimos una contraseña segura, hacemos clic en siguiente.
14. Una ventana nos muestra un resumen con la configuración elegida. En el MCTS se
recomienda hacer una copia de este texto y pegarlo en un fichero de texto. Hacemos clic en
siguiente.
15. El asistente comienza a configurar AD y una vez finalizado, nos propone reiniciar el
sistema.
Iniciar sesión en el nuevo DC.
Observa que tu DC, es la primera máquina en el dominio. Por ello, en el inicio de sesión se propone
al administrador del dominio (a partir de ahora DA) iniciar con el usuario Administrador del
Dominio seragul.dom, es decir “SERAGUL\Administrador” (que no es el mismo que el usuario
Administrador del equipo).
¿Cómo podemos iniciar sesión en nuestra máquina con el Administrador local de la máquina? La
solución es emplear el nombre UNC (Universal Name Convention) del administrador local.
Supongamos que la máquina se llama W20081. En tal caso, el nombre UNC del administrador
local, será “W20081\Administrador”. Antes de introducir el nombre UNC del administrador
local, debemos elegir la opción “Cambiar de usuario”, y así en la entrada “Usuario”, introducimos
“W20082\Administrador” y en la contraseña, la propia del administrador local.
Dicho esto, iniciaremos sesión con el usuario administrador del dominio.
Comprobar la instalación de AD
1. Inicia sesión con el usuario administrador de dominio.
2. Inicio → Herramientas Administrativas → Visor de eventos.
3. Desplicaga “Registros de Aplicaciones y Servicios” del panel izquierdo.
4. Elige “Servicio de Directorio”.
5. Haciendo clic sobre cualquier evento, puedes ver sus detalles. Puedes copiar y pegar en un
documento de texto para referencias posteriores.
6. Puedes filtrar los eventos, haciendo clic derecho sobre “Servicio de Directorio” en el panel
izquierdo y seleccionando la opción “Filtrar registro actual”. Este filtro no elemina registros,
sino que solo restringe los que se muestran.
7. Para comprobar que AD se ha instalado correctamente, busca eventos relacionados al ID de
evento 1000 (Instalación completada de AD) y al evento 1394 (Intento de actualizar la Base
de Datos de AD en curso). Comprueba también los mensajes de error.
Configurar la interacción de DNS con AD
Configurar DNS integrado con AD tiene sus ventajas. Por ejemplo, la replicación de zona pasa a ser
algo trivial. AD gestiona la replicación entre los DC de un dominio, y DNS va en el lote. También
se puede utilizar DynDNS de forma que se automatice parte del mantenimiento de DNS.
1. Inicio → Herramientas Administrativas → DNS
2. En el nombre del nodo DNS (nombre de la máquina), clic derecho → Propiedades.
3. Activa la pestaña “Seguridad”. Ahora se pueden especificar los usuarios y grupos que tiene
acceso para modificar la configuración del servidor DNS. Una vez creemos nuevos usuarios/
grupos, podrás añadirlos aquí con los permisos necesarios. Acepta.
4. Ahora vámonos a las “Zonas de búsqueda directa” en el panel izquierdo, y haz clic derecho
sobre el dominio que creaste (en mi caso “seragul.dom”) y elige la opción propiedades.
5. En la pestaña “General” comprueba que el tipo es “Datos almacenados en Active Directory”.
Si no estuviese esta opción seleccionada, utiliza el botón “Cambiar” en la opción tipo.
6. En la pestaña “Actualizaciones dinámicas”, asegúrate de que está seleccionada la opción
“Sólo con seguridad”, para que las actualizaciones dinámicas solo sean llevadas a cabo por
cuentas y procesos autenticados por AD.
7. Una vez más, en la pestaña “Seguridad” puedes asignar permisos para usuarios/grupos sobre
esta zona.
Unir un cliente Windows a un dominio AD
Una vez unido el PC al dominio, podemos comprobar que dicha máquina ya ha sido agregada a la
base de datos de AD. Para comprobarlo, sigue los siguientes pasos:
1. Inicio → Herramientas Administrativas → Usuarios y Grupos de Active Directory.
2. En el panel izquierdo, desplegar el nodo del dominio, y hacer clic sobre la carpeta
“Computers”. Aquí debe aparecer el nombre de la máquina unida.
3. Además, si la DNS utilizada por el cliente Windows es la correcta (es decir, la DNS que
hemos incluido con el DC), el cliente tratará de actualizar la DNS, y debería aparecer un
registro de tipo A en la zona.
Ya que estamos, si te atreves, sirve dicha configuración mediante DHCP. Se supones que ya
controlas este servicio. Como juegues con ello es cosa tuya.
NOTA: Para que DHCP puede actuar en un entorno AD, debes autorizarlo. Para hacer esto,
en la consola de administración de DHCP, sobre el nodo servidor → botón derecho →
Autorizar. Recuerda también que debes configurar el ámbito DHCP Para que actualice
DNS.
4. Si no aparece, prueba a ejecutar “ipconfig /registerdns”. Si no se registra, “ponte en contacto
con el Administrador del Dominio”... que casualmente eres tú.
Crear una cuenta de usuario del dominio
Ahora puedes iniciar una sesión en el dominio utilizando el usuario Administrador del dominio (en
mi caso SERAGUL\Administrador). Pero esto solo será necesario en algunos casos en que necesites
permisos especiales. Los usuarios no emplearán esta cuenta, así que debemos crear una para cada
uno de ellos.
1. Inicio → Herramientas Administrativas → Usuarios y Grupos de Active Directory.
2. En el panel izquierdo, desplegar el nodo del dominio, y hacer clic sobre la carpeta “Users”.
En el panel derecho, hacer clic derecho y elegir “Nuevo usuario”.
3. Completar el nombre completo con apellidos y en la entrada “Nombre de inicio de sesión
del usuario”, introducir el nombre de usuario. Siguiente.
4. Añadir una contraseña y seleccionar la opción adecuada. Por ejemplo “El usuario debe
cambiar la contraseña al iniciar una sesión de nuevo”.
Ahora es posible iniciar una sesión en una máquina del dominio utilizando este usuario.
Unir un cliente Linux a un dominio AD
La tecnología de los sistemas UNIX en general, y Linux en particular es radicalmente diferente a la
de los sistemas Windows de Microsoft. Ya hemos saboreado esto con Samba, especialmente si
hemos hecho la práctica “reto”. Por eso, unir una máquina Linux a un dominio Windows suele dar
bastantes dolores de cabeza a un administrador. En Internet podeis encontrar múltiples
procedimientos para integrar Linux en un dominio Windows. Yo os voy a hablar de un software
bastante nuevo: Likewise open.
La secuencia de comandos a seguir, sería la siguiente:
# sudo aptget update
# sudo aptget install likewiseopen
# sudo domainjoincli join nombre_completo(fqdn)_del_dominio →
→ Usuario_con_permisos_para_agregar_al_dominio
# sudo updaterc.d likewiseopen defaults
# sudo /etc/init.d/likewiseopen start
Puede que después de instalar y reiniciar observes algunos problemas de consistencia en el sistema
de archivos. Pulsando Ctrl+D se restaurará el disco.
No es necesario editar ningun archivo de configuracion ni similar. Solamente reiniciar el terminal y
luego probar de iniciar sesion con “DOMINIO\Usuario” (“SERAGUL\Administrador” en mi caso).
Ahora para acceder a un recurso compartido (por ejemplo una carpeta compartida llamada
“software” en el PC “XP1”) desde nautilus, en la barra de direcciones escribimos
“smb://XP1/software”. Si tenemos los permisos adecuados, podremos acceder al recurso.
Unidades Organizativas (OU)
Una Unidad Organizativa es un grupo lógico de objetos AD. Sirve como contenedor dentro del cual
se puden crear otros objetos, pero no forman parte del espacio de nombres DNS. Se utilizan
solamente con fines de organización del dominio (es decir, hacer la vida del DA más sencilla). Una
OU puede contener los siguientes tipos de objetos (y algunos otros):
• Usuarios
• Grupos
• Máquinas
• Carpetas compartidas
• Contactos
• Impresoras
• Otros Ous
La característica más útil de una OU es que puede contener otros objetos OU, de modo que el DA
puede agrupar jerárquicamente los recursos. Otros beneficios de los OU son:
• Su estructura es flexible y facilmente modificable.
• Los objetos hijo heredan la configuración de la OU.
• Se pueden aplicar directivas de grupo (políticas) a una OU.
La forma de planificar la jerarquía de Ous depende de la organización. Se puede dar un enfoque en
base a roles de departamento, por ejemplo. O en cambio se puede aplicar un enfoque basado en
ubicaciones físicas, como es el caso siguiente:
Crear una estructura de OUs
1. Inicio → Herramientas Administrativas → Usuarios y Grupos de Active Directory.
2. Clic derecho sobre el nombre del dominio local, y elegir Nuevo → Unidad Organizativa.
Aparecerá una ventana. Observa que en su parte superior se indica el contexto (en mi caso
seragul.dom) indicando que es una OU de nivel superior (ya que no está dentro de otra OU).
3. Introduce el nombre de la OU. Por ejemplo “Contabilidad”. Desactiva el botón de chequeo
“Proteger contenedor contra eliminación accidental”. Aceptar.
Para crear otras OU's dentro de la OU “Contabilidad”, debes seguir el mismo proceso pero haciendo
clic derecho sobre el OU en el que quieres crear el nuevo OU hijo.
Administrar OU's
Me refiero en esta sección a mover, borrar y renombrar OU's. Resulta muy intuitivo ya que todo se
consigue a través del menú contextual asociado a la OU correspondiente.
Renombrar OU
1. Abrir la herramienta administrativa de “Usuarios y Equipos de Active Directory”. Localizar
la OU a modificar, y hacer clic derecho en él.
2. En el menú contextual, elegir “Renombrar” y modificar el nombre.
Mover OU
1. Abrir la herramienta administrativa de “Usuarios y Equipos de Active Directory”. Localizar
la OU a modificar, y hacer clic derecho en él.
2. Elegir la opción “mover”, y seleccionar la nueva ubicación en el árbol de la ventana “Mover
objeto dentro del contenedor”.
Eliminar
El proceso para eliminar una OU es similar a los puntos anteriores. Sin embargo si olvidaste
desactivar el botón de chequeo “Proteger OU contra eliminación accidental” obtendrás un error al
intentar borrar. Para poder desactivar esta opción una vez creada la OU, debes seguir los siguientes
pasos:
1. Ver → Características avanzadas
2. Clic derecho sobre la OU y elegir “propiedades”.
3. Abrir la pestaña “Objeto” y desmarcar la casilla.
4. Ver → Desactivar “Características avanzadas”.
Objetos de AD
Ya hemos visto anteriormente como crear una cuenta de usuario. En realidad la creación de
cualquier objeto sigue el mismo procedimiento. Cambian los parámetros de configuración.
1. Abrimos la herramienta administrativa de usuarios y grupos de AD. Nos ubicamos sobre un
OU que hayamos creado anteriormente (en mi caso “seragul.dom\contabilidad\planta1”), y
hacemos clic derecho y elegimos “Carpeta compartida”.
2. Indicamos el nombre con el que se compartirá la carpeta en el dominio, así como la
ubicación real de la carpeta, especificado en notación UNC. Por ejemplo, podemos llamar
“Software” a la carpeta compartida que se encuentra en “\\XP1\softwareoficina”. Aceptar.
La pregunta que surge es... Entonces, si no publico una carpeta en AD, ¿No puedo acceder a ella?
En realidad no es necesario publicar un recurso compartido en AD. Pero haciéndolo, podremos
obtener información sobre él al preguntar al directorio. Comparando con la guia telefónica: el
hecho de que un teléfono no aparezca en la guía de teléfono, no me impide llamar a ese número.
Pero si no conozco el teléfono, no podré encontrarlo en la guía.
Mover objetos de AD
Para mover un objeto, el proceso es similar a mover una OU. Sobre el objeto, hacer clic derecho
sobre el objeto y seleccionar mover. Finalmente elegir la nueva ubicación en el árbol que se muestra
en la ventana “Mover” y aceptar.
Borrar un objeto de AD
• El identificador del dominio, o SID. Por ejemplo, el SID de un dominio podría ser S1521
10043363481177238915682003
( ver http://technet.microsoft.com/enus/library/cc778824(WS.10).aspx ).
• El identificador relativo del objeto, o RID. Por ejemplo, 512.
• De este modo, el SID del objeto sería S152110043363481177238915682003512.
Cuando el objeto se borra y se vuelve a crear otro con su mismo nombre, su SID cambia (ya que es
único para cada objeto) por lo que aunque su nombre coincida, se trata de un objeto diferente. Antes
de borrar un objeto, hay que tenerlo muy claro.
Un ejemplo. Los permisos de un cierto recurso es propiedad de “pparker”. Peter Parker abandona
la empresa, por lo que eliminamos al usuario pparker. Entonces recordamos que este usuario es
necesario porque Peter Parker debe devolver antes de irse ciertos ficheros importantes relativos a
un proyecto en curso. Entonces volvemos a crear al usuario “pparker”... pero resulta que el RID de
este nuevo usuario pparker es diferente del original. Por lo que no servirá de nada.
Entre una máquina que se ha unido al dominio y el DC, se emplea una clave (clave maestra) para
proteger la comunicación entre la máquina y el DC.
NOTA: Este proceso se vio anteriormente en el documento “Autenticación de clientes en Windows
NT4.0 y 2000” (está colgado en la página y explicado en clase).
Esta clave cambia cada 30 días. Por ello, si la clave maestra que contiene una máquina y la que se
almacena en el DC para esta máquina no coinciden, la máquina es incapaz de comunicarse con el
DC, y por tanto es incapaz de acceder al dominio. Para restablecer la comunicación entre la
máquina y el DC, se sigue el siguiente procedimiento:
1. Localizar el objeto “equipo” en el dominio, empleando la herramienta administrativa para
usuarios y grupos de AD.
2. Hacer clic derecho sobre la máquina y seleccionar la opción “restablecer cuenta”. Aceptar
3. Ahora hay que reconectar la máquina al dominio. Para ello iniciamos sesión con una cuenta
de administrador local, y unimos a la máquina a un grupo de trabajo de nombre el que
queramos. Reiniciamos. A partir de aquí seguimos el proceso explicado en el apartado “Unir
un cliente windows a un dominio AD”.
Crear y administrar objetos en AD: Grupos
Mucha gente se queda con los OU's y no ve necesario crear grupos. Para ilustrar su utilidad vamos a
plantear este ejemplo:
El usuario jpeinado pertenece al departamento de contabilidad, y es un auxiliar administrativo.
Con esta categoría tiene acceso a 30 recursos compartido del departamento. Pero jpeinado
promociona y pasa a ser administrativo, con lo que ahora tiene permiso de acceso a otros 45
recursos nuevos. Es decir, para cada recurso nuevo al que accede hay que darle permiso. Si en vez
de esto contamos con un grupo llamado “Auxiliares administrativos” y otro grupo llamado
“Administrativos”, a los que se han asignado los permisos adecuados, basta con cambiar a
jpeinado de un grupo a otro.
Crear un grupo.
1. En la herramienta administrativa de usuarios y equipos de AD, hacer clic derecho sobre un
OU que hayamos creado previamente (en mi caso, por ejemplo, seragul.dom\contabilidad), y
elegimos Nuevo → Grupo. Como nombre del grupo elegimos uno acorde con la
funcionalidad del grupo (en mi caso crearé el grupo “auxiliares administrativos”.
2. En el ámbito del grupo, elegimos “global” y en el tipo “Seguridad”.
3. Después debemos editar sus propiedades y agregar los usuarios o grupos que pertenezcan al
grupo.
• Tipo de grupo:
◦ Grupos de seguridad: para asignar derechos y permisos.
◦ Grupos de distribución: para uso con el correo electrónico.
• Ámbito del grupo:
◦ Grupos de dominio local: se usan para dar permisos dentro de un solo dominio. Es decir,
un recurso compartido (carpeta, impresora) en el dominio, solo puede ser accedido desde
el mismo dominio.
◦ Grupos globales: se usan para dar permisos dentro del bosque al que pertenece el
dominio. Puede incluir otros grupos y cuentas que pertenezcan al mismo dominio en que
es creado.
◦ Grupos universales: Al igual que los grupos globales, se usan para dar permisos dentro
del bosque al que pertenece dominio. La diferencia está en que incluir grupos y cuentas
de cualquier dominio del bosque.
Directivas de Grupo
Las Directivas de Grupo se basan en plantillas administrativas amigables con opciones de
configuración del sistema al que se aplicarán. Por ejemplo, una opción llamada “Requerir una
configuración específica de Wallpaper” modificará el registro del sistema añadiendo una entrada
que mantenga dicho valor.
La mayoría de opciones de las Directivas de Grupo tiene tres valores posibles:
• Activado: Indica que esta opción ha sido configurada.
• Desactivado: Indica que esta opción ha sido desactivada.
• Sin configurar: Indica que esta opción no ha sido activada ni desactivada. Al elegir “Sin
configurar”, el Directiva de Grupo no especifica ninguna opción, y puede que otra opción
tome precedencia.
Las principales opciones que se pueden configurar en las Directivas de Grupo de usuarios y equipos
son las siguientes:
• Configuración de software.
• Configuración de Windows.
• Plantillas administrativas.
• Almacén central ADMX.
• Plantillas de seguridad.
GPO's
Los Objetos de Directiva de Grupo (GPO) encapsulan la configuración de los ficheros de Directiva
de Grupo, para simplificar su administración. Por ejemplo, podemos tener diferentes directivas de
grupo para usuarios y equipos en diferentes departamentos. Basándonos en esta idea, se puede crear
una GPO para los miembros del departamento “Ventas” y otra GPO para los miembros del
departamento “Ingeniería”, y aplicar cada GPO a su OU correspondiente.
Se pueden aplicar configuraciones de Directiva de Grupo tanto a dominios como a OU's.
Existe una relación de herencia por defecto. Es decir, una GPO a nivel de OU que no especifique
una opción, la hereda de otra OU superior o del dominio. En caso de conflicto entre las
configuraciones de las GPO a distintos niveles, siempre prevalece la del nivel más específico.
Para saber más sobre directivas de grupo, puedes consultar el siguiente enlace:
http://social.technet.microsoft.com/Forums/esES/wsades/thread/35d227cb8d344ac1903391b5645a027b
Crear Directivas de Grupo
Las GPO se crean en la Consola de Administración de Directivas de Grupo (GPMC). Para crear un
GPO usando el GPMC hay que seguir los siguientes pasos:
1. Inicio → Ejecutar → Escribir “mmc” y Aceptar.
2. En la nueva ventana “Consola”: menú Archivo → “Agregar o quitar complemento”. En la
nueva ventana, elegir “Administración de Directiva de Grupo” y hacer clic en “Agregar”.
Aceptar.
3. Ahora el GPMC ya está disponible. Inicio → Herramientas administrativas →
Administración de directivas de grupo.
4. En el panel izquierdo de GPMC desplegar “Bosque → Dominios → tu nombre de dominio
(en mi caso seragul.dom). Ahora sobre una OU creada previamente, hacer clic derecho y
elegir “Crear una GPO en este dominio y vincularlo aquí”.
5. Cuando la ventana “Nueva GPO” aparece, introducimos el nombre “Mensaje de
advertencia”. Aceptar.
6. La nueva GPO aparece en el panel derecho. Hacemos clic derecho sobre ella y elegimos
“editar”.
7. Aparece el “editor de administración de directivas de grupo”. En el panel izquierdo,
expandimos lo siguiente: Configuración de equipo → Directivas → Configuración de
seguridad → Directivas locales → Directivas locales → Opciones de seguridad.
8. En el panel derecho, buscamos “Inicio de sesión interactivo: texto de mensaje para los
usuarios que intentan inicar una sesión”. Hacemos doble clic sobre dicha entrada.
9. En la ventana hacemos clic en la casilla “Definir esta configuración de directiva en la
plantilla”. Después escribimos en la entrada de texto lo siguiente: “El uso para fines no
autorizados de este ordenador puede suponer el bloqueo inmediato del mismo.”. Aceptar.
10. Cerramos el editor.
11. En la ventana “Administración de directivas de grupo”, refrescamos mediante el botón
“Actualizar”.
La próxima vez que intentemos inicar sesión (Ctrl+Alt+Supr) en un cliente perteneciente a la OU
“seragul.dom\contabilidad\planta 1” (en mi caso) se nos mostrará el mensaje.
Ahora vamos a suponer que habitualmente se da el problema siguiente. Los usuarios llenan sus
escritorios de basura que no usan. Esto ralentiza la máquina y finalmente llaman al DA. El DA, que
no quiere perder más el tiempo con esto, decide bloquear los escritorios de los usuarios.
Al ser un problema generalizado, vamos a crear primero la directiva, y después la vincularemos a
aquellos OU's que lo requieran.
1. En el panel izquierdo de la ventana “Administración de Directivas de Grupo” desplegamos
los nodos “Bosque → Dominios → Tu nombre de dominio → Objetos de directiva de grupo”
y hacemos clic derecho sobre el último y elegimos la opción nuevo.
2. Ponemos el texto “Escritorio bloqueado” como nombre a la GPO y aceptamos. Ahora
aparecerá en el panel derecho.
3. Hacemos clic derecho sobre la GPO y elegimos la opción editar.
4. En la sección de configuración de usuario, elegimos “Plantillas Administrativas →
Escritorio”. Buscamos en el panel derecho la opción “Ocultar y Desactivar todos los
elementos del escritorio”. Hacemos doble clic sobre ella y seleccionamos “Habilitado”. Ya
podemos cerrar el editor de la GPO.
5. Ahora, una vez creada la GPO, vamos vincularla a una OU. En mi caso, la voy a vincular a
“seragul.org\contabilidad\planta 1”. En el panel izquierdo de la ventana “Administración de
directivas de grupo”, hacemos clic derecho en la OU seleccionada, y elegimos “Vincular a
un GPO existente”. En la ventana que aparece, seleccionamos el GPO “Escritorio
bloqueado” (que hemos creado previamente).
6. Finalemente actualizamos la nueva configuración haciendo clic en el botón “Actualizar” del
“Administrador de Directivas de Grupo”.
Ahora ya podemos iniciar sesión en una máquina perteneciente a la OU a la que vinculamos la
GPO, y comprobar como el escritorio está bloqueado.
Replicación AD
Hay dos razones por las que tener al menos dos DC por dominio: Tolerancia a fallos y rendimiento.
Esto no siempre es posible por limitación de recursos. Para agregar un segundo DC a un dominio
AD, se deben seguir los siguientes pasos:
1. Inicio → Ejecutar → Escribir “dcpromo” y aceptar.
2. Esperar a que se instalen los binarios de Active Directory
3. Seleccionar el modo de instalación avanzada. Siguiente.
4. En “Elegir una configuración de implementación”, elegir “Bosque existente” y “Agregar un
controlador de dominio a un dominio existente”.
5. En “Credenciales de red” indicamos en primer lugar el nombre del dominio donde
instalaremos el DC (en mi caso “seragul.dom”). Después elegimos las credenciales que
emplearemos para la instalación. Para ello hacemos clic en “Establecer” e introducimos las
credenciales del administrador del dominio (en mi caso “SERAGUL\Administrador” y su
correspondiente contraseña).
NOTA 1: Observa que al introducir el usuario y contraseña, en la parte inferior de la ventana se
nos informa de que dicho usuario pertenece al dominio que hayamos especificado. Por eso, no es
necesario especificar “SERAGUL\Administrador” (en mi caso), sino solamente “Administrador”.
NOTA 2: Es necesario que el nuevo controlador de dominio tenga definido como DNS preferida, la
DNS del DC existente en el dominio. En otro caso, será incapaz de resolver el dominio (en mi caso)
“seragul.dom”.
1. En “Seleccione un dominio” elegimos el dominio en el que estamos instalando del DC.
2. En “Seleccione un sitio” dejamos el sitio indicado por defecto, llamado “DefaultFirstSite
Name” ya que en principio no vamos a utilizar “Sites” (a estudiar en veranito).
NOTA: Los “Sites” o “Sitios” permiten indicarle a Active Directory la mejor manera de replicarse
a través de la red. Esto está pensado para redes cuya conexión es lenta y deben replicar la base de
datos de Active Directory. En ciertas ubicaciones no es necesario replicar toda la base de datos. La
forma de definir esto es mediante “Sitios” de Active Directory. En nuestro contexto de ejemplo, el
dominio está ubicado en una LAN, que habitualmente estará “bien conectadas”.
1. En “Opciones habituales del Controlador de Dominio”, podemos dejar activada la opción
“Catálogo global”. Podemos dejar desactivada la opción “Controlador de Dominio de Solo
Lectura (RODC)”.
NOTA 1: Un “Catálogo global” es una base de datos que contiene toda la información
perteneciente a todos los dominios del entrono Active Directory. Su objetivo es acelerar las
búsquedas en entornos AD con múltiples dominios repartidos por zonas remotas. En este contexto,
una búsqueda que incluya a todos los dominios podría llevar mucho tiempo. El catálogo global
incluye un índice de la información de AD, de modo que las búsquedas se simplifican y aceleran.
En el paso anterior, podemos deshabilitar la funcionalidad de “Catálogo global” por varias
razones:
1. Un catálogo global está pensado para acelerar búsquedas entre dominios. De momento solo
tenemos uno.
2. En general, basta con un “Catálogo global” por dominio.
3. El catálogo global puede ralentizar el funcionamiento del servidor.
4. El otro DC existente en el dominio ya es un “Catálogo global”.
Sin embargo, si desactivamos esta opción (catálogo global) deberemos hacer algunos cambios
(transferir el rol de “maestro de infraestructura” desde el otro DC a este). Para profundizar en el
tema, puedes leer sobre “Funciones FSMO” en la siguiente página:
http://support.microsoft.com/default.aspx?scid=kb;es;197132 .
Nosotros por simplicidad, vamos a hacer que todos nuestros DC sean catálogo global.
NOTA 2: Un RODC es un DC de solo lectura. Su razón de ser está relacionada con DC's ubicados
en lugares remotos, con conexiones lentas, que necesiten un DC pero que no cuenten en sus
instalaciones con un Administrador que lo mantenga.
1. A continuación se nos informa de que tenemos una IP dinámica (ipv6). Siempre que
tengamos ipv4 estática, no habrá problema. Seguimos adelante.
2. También se nos informa de que tendremos que crear una delegación manual para que se
pueda resolver nuestro dominio (seragul.dom en mi caso) desde fuera. Hacemos clic en “Sí”.
3. En “Instalar desde el medio” dejamos seleccionada la casilla “Replicar los datos de la red
desde un controlador de dominio existente”. Siguiente.
4. En “Controlador de dominio origen”, seleccionamos “Usar este controlador de dominio
específico” y seleccionamos manualmente el nombre del controlador desde donde
transferiremos los registros. Siguiente.
5. En “Ubicación de la base de datos, los archivos de registro y SYSVOL”, dejamos la
configuración por defecto. Siguiente.
6. En “Contraseña de Admin. del modo de restauración del servicio de directorio”
introducimos una contraseña. No tiene por qué ser la misma que la de (en mi caso)
“SERAGUL\Administrador”. Siguiente.
7. Finalmente obtenemos un resumen de la configuración del DC. Hacemos clic en Siguiente.
8. A partir de este momento, el servicio de directorio empieza a configurarse.
9. Finalmente reiniciamos.
ACTIVIDADES
1. Asciende un servidor Windows 2008 Server a DC con las siguiente características:
1. El dominio será uno de tu elección.
2. Crea dos OU's relacionados con funciones de departamento (por ejemplo “Contabilidad”
y “Proyectos”).
3. En cada departamento hay dos grupos de empleados. Por ejemplo, en el de Contabilidad
estarán los administrativos y los auxiliares administrativos. Del mismo modo en el
departamento de Operaciones, podrían estar los directores de proyecto y los técnicos.
1. Crea un grupo de usuarios para cada grupo.
2. Crea también una OU para cada grupo.
3. Crea un usuario para cada departamento. Por ejemplo, los usuarios “auxiliar”,
“administrativo”, “dproyecto” y “técnico”.
2. Une un cliente Windows al dominio. Utilizarás esta máquina para representar a los
diferentes usuarios. Comprueba que puedes acceder utilizando los diferentes usuarios.
NOTA: Si quieres utilizar más máquinas, ponte de acuerdo con tus compañeros para emplear
varias máquinas clientes.
3. Configura un servicio DHCP. Puedes hacer, por ejemplo, que cada departamento tenga una
configuración diferente. No olvides autorizar el servicio DHCP en AD.
4. Comprueba que la DNS se actualiza correctamente ante un cambio de ip de la máquina
cliente.
5. Existirán varias carpetas compartidas. Aquí tienes un ejemplo. Define tú tus propias carpetas
y permisos.
NOTA: El servidor de archivos puede ser (para esta práctica) el mismo DC, u otra máquina
(incluido el cliente). En cualquier caso debes acceder a las carpetas compartidas via red
(ruta UNC).
Carpetas
Planificación proy. Proyecto A Expedientes Solicitudes
Directores de proy. RWX RWX RX RX
Técnicos RX RWX
Departamentos
Administrativos RX RWX RWX
Auxiliares admin. RWX
6. Crea y comparte estas carpetas y asígnales los permisos adecuados. Crea dentro de cada
carpeta ficheros de prueba, y comprueba que, empleando cada usuario, los permisos son los
correctos.
NOTA: Para localizar los recursos, no es necesario recordar su ubicación. El servicio de
directorio nos permite realizar búsquedas por el directorio. Para hacer una búsqueda,
dirígete a “mis sitios de red” y selecciona la opción “Buscar en Active Directory”.
7. Define una directiva de grupo para el grupos de usuarios “Auxiliares administrativos” que
impida a estos usuarios modificar la configuración de la pantalla: En el GPMC edita la
directiva de grupo → Configuración de usuario → directivas → plantillas administrativas →
panel de control → pantalla → Ocultar la ficha configuración.
8. Crea también una GPO sin enlazar, para que un usuario no pueda ni modificar su escritorio
(visto anteriormente) ni compartir carpetas en red (en el GPMC, crea una nueva directiva y
edítala → Configuración de usuario → directivas → plantillas administrativas → Carpetas
compartidas). Una vez creada enlázala al grupo de “Técnicos”.
9. Emplea una segunda máquina Windows Server 2008. Promociona este segundo servidor a
DC en el dominio que estás empleando. Comprueba la replicación. Haz cambios en cada DC
para comprobar los cambios en el otro.