Windows Server 2008 – Establecer zona

horaria
Vale, ya se que esto lo sabra hacer cualquiera, pero creo que no esta de mas… Seguro que hay alguno al que le
viene bien.
No voy a explicar mucho por eso mismo.
Lo unico que tenemos que saber es que, como acabamos de insalar “Windows Server 2008″, si no le hemos
desmarcado la opcion “do not show this windows at logon”, nos continuara abriendo la ventana de “Initial
Configuration Tools” en la que disponemos de una serie de accesos rapidos para realizar las tareas de
configuracion iniciales en un mismo sitio.
Ya sabreis que hablo de la captura que teneis a continuación.

Bueno, para realizar la tarea que nos ocupa, seleccionaremos “Set time zone” dentro del primer apartado
(Provide computer information).
A continuacion veis el aspecto de la pantalla “Date and Time” e la que disponemos de tres pestañas. Nosotros,
de momento, solo utilizaremos la primera “date and time”.
Pulsando el segundo boton “Change time zone” establezeremos la zona horaria en la que nos encontramos.
Seleccionamos el menu desplegable para que nos muestre las diferentes opciones disponibles:

Escogemos la nuestra:
Y ya lo tenemos.

En el primer boton “change date and time” podemos seleccionar la fecha y hora.

Saber simplemente que podemos seleccionar otros relojes adicionales. Esto se hace a traves de la segunda
pestaña “Additional Clocks”.

Y esta es la tercera pestaña “Internet time”

Para que podamos sincronizar nuestro reloj con servidores de internet que sirven para eso.

Windows Server 2008 – Cambiar nombre del

servidor
Bueno, de la misma forma que hemos configurado la zona horaria, ahora, en un momento vamos a cambiar el
nombre de nuestro servidor.
Tambien utilizaremos la ventana “Initial Configuration Tasks“. En el mismo apartado de “Provide Computer
Information” –> “Provide computer name and domain“.
Esto ya nos suena mas…
Pulsamos el boton “change“.

Las posibilidades que tenemos son cambiar el nombre del servidor y/o nombre del grupo de trabajo o dominio, si
es que queremos meterlo en un dominio.
En mi caso, lo que voy a hacer es simplemente cambiarle el nombre al servidor, ya que de momento no tengo
ningun dominio al que meterle.
Yo le voy a poner “SERVER01“. Cada uno como mejor le parezca, pero para seguir los articulos de esta serie
(Windows Server 2008), es mejor ponerle los mismos nombres para que luego no haya confusiones.

Tipico aviso de que debemos reiniciar para que los cambios tengan efecto.
Windows Server 2008 – Configuracion de red
Continuando con los articulos relacionados con Windows Server 2008, seguimos configurando las opciones
basicas de nuestro nuevo servidor, en este caso vamos a hacer lo propio con la configuracion de red.
Para ello, volvemos a utilizar “Initial Configuration Tasks” y en este caso hacemos “click” en “Configure
Networking” dentro del primer apartado: “Provide Computer Information“.
Si no nos sale esta ventana al inicio, podemos abrirla mediante la consola de comandos y utilizar el comando:
oobe.exe.

Seleccinamos “Local Area Connection” y en la barra de herramientas elegimos “change settings of this
connection“.

Permitimos, permitimos…
A continuacon vemos la ventana de “Local Area Connection Propieties“. Vamos, las propiedades de la
configuracion de la conexion de red de area local, para entendernos.
Nos posicionamos en “Internet Protocol Version 4 (TCP/IPv4)” y volvemos pulsamos el boton de “propieties“.

Ahora la tenemos sin configurar, como se puede observar en la captura siguiente:

Vale, como nosotros estamos configurando el servidor para hacer pruebas, no lo vamos a configurar ni en una
red empresarial ni por dchp ni nada de eso. Os recuerdo que la red que estamos montando es privada, solo se
veran entre los equipos que utilizaremos de pruebas.
A continucion podeis ver la configuracion manual que le he puesto yo, si quereis utilizar otra que os guste mas,
adelante…
Al pulsar en “Ok“, vemos el resultado en la pantalla de “Initial Configuration Tasks“, en el apartado de
Networking. Ahora aparecera configurada.

Como siempre, cuando hacemos un cambio en la configuracion de Windows que es un poco importante, nos
pedira que reiniciemos el equipo. Pues lo hacemos y punto.
Cuando volvemos a iniciar el servidor y por lo que sea no tenemos disponible la ventana “Initial configuration
Tasks” (seguramente hayamos activado “do not show this windows at logon“) podemos sacarla desde la consola
de comandos utilizando “Oobe.exe”.
Ya tenemos configurada la red.
Acordaos de la configuracion que hemos utilizado por que en proximos articulos utilizaremos esta configuracion
para que otros equipos que instalemos, vean a este como servidor de dominio. Pero eso ya es otra historia…
¿que no?

Windows Server 2008 – Instalar Active

Directory Domain Services
Antes de instalar el rol de Active Directory Domain Server en un servidor y promoverlo a servidor de dominio,
tenemos que planear la infraestructura de Active Directory.
Tenemos que tener decidido el nombre del dominio y de DNS. Un dominio solo puede tener un nombre de DNS.
Si el dominio que vamos a crear va a tener controladores de dominio de versiones anteriores a Windows Server
2008. En ese caso tendremos que configurar bien el “nivel funcional”. Si el futuro dominio solo va a tener
controladores de dominio con Windows Server 2008, tendremos que configurar el “nivel funcional”
correctamente para beneficiarnos de todas la nuevas caracteristicas de esta version de Windows.
Detallar como se implementara el DNS para soportar Active Directory. Es una buena practica implementar el DNS
para nuestros dominios Windows utilizando el servicio DNS de Windows.
La configuracion IP para el controlador de dominio. Por supuesto una IP estatica y los valores de la mascara
subred. Tambien deberemos configurar los servidores DNS para que lleve a cabo resolucion de nombres.
El nombre y contraseña de una cuenta de administrador. La contraseña debe existir y cuanto mas compleja,
mejor. Pero eso si, que podamos recordarla.
Comenzaremos desde el “Server Manager” (podemos hacerlo de mas formas). Ya sabremos que windows 2008
nos facilita la configuracion basada en roles, instalando solo los componentes que son indispensables para los
roles que ejecutara el servidor.
El el apartado de “Roles Summary” hacemos click en “Add Roles”.

Este “Add Roles Wizard” es muy intuitivo.

Pulsamos en “next”.

A continuacion tenemos una lista de los roles que le podemos añadir al servidor.
Activamos la casilla de “Active Directory Domain Services”.

Podemos leer lo que nos muestra para enterderlo un poco mejor.

Despues de pulsar en “Install”, comienza la instalacion de AD DS.
Al finalizar, nos muestra un resumen de la instalacion que ha realizado.

Volvemos al “Server Manager” y ahora podemos ver que hay un Rol instalado.

En la parte izquierda, expandimos “Roles” y seleccionamos “Active Directory Domain Services” para que nos
muestre las caracteristicas del mismo:
Vale, pues ya tenemos instalados los Servicios de Dominio del Directorio Activo.
El proximo paso sera promocionar nuestro servidor a servidor de dominio.

Windows Server 2008 – Crear un Controlador

de Dominio
Una vez que hemos instalado el rol de Servicios de Dominio de Active Directory en nuestro servidor, ahora
podemos promocionarlo para que se un controlador de dominio.
Esto tenemos que hacerlo con el comando “dcpromo.exe” como vemos en la captura siguiente:
Nos muestra el wizard correspondiente:
A continuacion seleccionamos “Create a new domain in a new forest” por que nosotros vamos a crear un nuevo
bosque y un nuevo dominio. Si este servidor no fuese el primer servidor de dominio de un bosque que ya
tenemos creado, elegiriamos la opcion “Existing forest”. Esta opcion tiene dos variantes: crear un nuevo dominio
en un bosque existente o crear un nuevo controlador de dominio en un dominio existente. Dependiendo de
nuestra situacion, elegiremos por una u otra opcion.
Podeis ver que me da un mensaje de erro para comentarme que el usuario administrador del servidor se
convertira en el administrador del dominio y parece ser que la contraseña que yo le introduje en su momento no
le gusta por que no cumple con los requisitos por que la tengo en blanco.

En un momento, pulso “control + alt + suprimir” para que me muestre la siguiente pantalla:
Selecciono “change a password…”.
Le he introducido una contraseña que le gusta.
Seguimos donde lo dejamos y ahora nos pide que introduzcamos en nombre del nuevo dominio.
Se toma su tiempo…

Ahora nos pide que seleccionemos el nivel de funcionalidad del bosque. Dado que nosotros solo tenemos un
servidor en windows 2008 y no tenemos pensado poner ningun controlador de dominio con una version anterior
a esta, seleccionamos “Windows Server 2008″.
Si no teneis claro esto de los niveles funcionales, podeis leer en un momento dado la descripcion que muestra en
cada seleccion que hagamos.
En la captura siguiente, vemos que automaticamente ha seleccionado la opcion “DNS server”. Esto quiere decir
que creara una infraestructura DNS.
La opcion de “Gobal Catalog” esta marcada pero no podemos desmarcarla, esto es por que el primer controlador
de dominio de un bosque tiene que tener instalado el Catalogo Global.
Ahora nos avisa de que el controlador tiene que tener asignada una IP estatica. Como nosotros ya se la pusimos
anteriomente en otro articulo no tenemos que hacer es seleccionar “Yes, the computer will use a dynamically
assigned IP address”.
A continuacion, nos pide que indiquemos la ubicacion de la Base de Datos de los ficheros log y de la pagina de
Sysvol. Aunque podriamos establecer otra ubicacion, de momento damos por buena la que nos sugiere por
defecto. En la practica, lo mejor seria poner cada una de estas en unidades serparadas.

Introducimos una buena contraseña para el los servicios de restauracion de los servicios de directorio activo.
Echamos un vistazo al resumen…
Se pone a trabajar…
Y ya esta, ya lo tenemos. ahora no pide que reiniciemos el servidor, pues lo hacemos sin rechistar.

Windows Server 2008 – Crear una MMC

Despues de acabar los articulos relacionados con la version Core de Windows Server 2008, vamos a continuar
con la version GUI que seguramente sera la que mas utilizaremos.

En este articulo vamos a ver como podemos crear una MMC personalizada.

En primer lugar nos logeamos en el servidor como Administrador o Administrator (segun sea nuestro caso).

Menu inicio –> Start search –> escribimos: mmc.exe y pulsamos enter.
Al ejecutar el comando mm.exe se una MMC (Microsoft Management Console) vacia.

Ahora vamos a agregar varios componentes (snap-in) desde el menu File.

Seleccionamos el menu File –> Add / Remove Snap-in…

Ahora tenemos delante de nuestrar narices el cuadro de dialogo “Add or Remove Snap-ins“.

Como podemos observar, no tenemos ningun componente o snap-in añadido.

Seleccionamos en la parte izquierda el componente “Active Directory Users and Computers“.

Para añadirlo, pulsamos el boton “Add“.

Pulsamos en el boton “OK” y nos muestra el componente que acabamos de añadir en la MMC. Extendemos el
arbol para ver mejor lo que hay por aqui…
Ahora escribimos cmd.exe en menu inicio -> Search box y pulsamos Enter.

En la linea de comandos escribimos lo siguiente:

regsrv32.exe schmmgmt.dll
Es comando lo que hace es registrar la susodicha dll para que tengamos disponible el componente (snap-in) del
Esquema del Directorio Activo (Active Directory Schema) para poder añadirlo a nuestra nueva MMC
personalizada.

Nos mostrara el siguiente mensaje una vez ejecutado el comando anterior:

Volvemos a nuestra MMC y volvemos a realizar el proceso para añadir un componente.

Seleccionamos “Active Directory Schema” y lo añadimos como hemos hecho antes.

Pulsamos “OK” y volvemos a nuestra MMC.

Volvemos a realizar el mismo proceso para añadir el componente “Computer Management”.

Al añadir este componente, nos preguntara si queremos gestionar el equipo local o un equipo remoto y en caso
de decantarnos por la segunda opcion, tendremos que especificar el nombre del equipo en cuestion.
Tenemos que tener claro que si seleccionamos Local Computer, no se refiere solo a el equipo donde estamos
creando la consola MMC, sino que se refiere al equipo desde donde la estamos ejecutando.

Bueno, por si acaso, vamos a seleccionar “Another Computer” y le indicaremos “SERVER01“.

Pulsamos en “Finish“.
Pulsamos el boton “OK” para cerrar el cuadro de dialogo “Add or Remove Snap-ins“.

Ahora que ya hemos terminado de configurar nuestra MMC, vamos a guardarla para tenerla disponible de ahora
en adelante.

En el menu File escogemos Save… o Save As…

La guardamos en el escritorio mismamente para tenerla mas a la vista y a mano.

Aqui teneis el aspecto del icono.

Windows Server 2008 – Añadir un complemento (snap-

in) a una MMC
En el articulo anterior vimos como podiamos crear una nueva MMC personalizada en la que incluiamos 3 complementos o
componentes (snap-ins).
Vale, hoy nos vamos a servir de esta MMC para añadirle otro componente, El visor de sucesos (event viewer).

En primer lugar, abrimos la MMC del articulo anterior:

Vale, seleccionamos el menu File –> Add / Remove Snap-in…

En la parte de “Available Snap-ins” (a la izquierda), seleccionanamos “Event Viewer” y pulsamos en el boton “Add >” para añadirlo a
los que ya tenemos.
Tras pulsar el boton “Add >” nos mostrara el siguiente cuadro de dialogo. Si queremos ver el visor de sucesos del equipo local
seleccionamos “Local Computer” pero en nuestro caso seleccionamos “Another Computer” y le indicamos SERVER01.

Esto lo hacemos por el motivo que os comente en el articulo anterior. Puede que utilicemos esta MMC para compartirla y ejecutarla
desde otros equipos. De esta forma no hay duda de que estamos gestionando el visor de sucesos del servidor .
Pulsamos el boton “OK”.

Ya lo tenemos en nuestra MMC.

Guardamos la MMC con los nuevos cambios.

Ya tenemos el nuevo componente “event viewer” añadido a nuestra MMC.

Windows Server 2008 – Gestionar

componentes (snap-ins) de una MMC
Esto sigue poquito a poco y sin pausa…

En el articulo anterior vimos como añadir el componente “event viewer” a una MMC que ya teniamos creada y
guardada de otro articulo.

Bien, ahora vamos a ver como podemos gestionar estos complementos para tenerlos como a nosotros nos guste.

Como siempre, abrimos la MMC que ya tenemos creada:

Menu File –> Add / Remove Snap-in…

En la lista de Snap-ins disponibles (izquierda) seleccionamos “Event viewer” y pulsamos en el botón “Add >“.

El componente “Event Viewer” (visor de sucesos) se añadira a los que ya teniamos incluidos.

Con el cursos seleccionando el “Event Viewer“, pulsamos en el boton “Move Up“. Quedaria como se muestra en
la siguiente captura:
Ahora vamos a eliminar de la lista de “Selected items” el snap-in correspondiente al “Active Directory Schema“.

Para eso, seleccionamos en la lista de la derecha “Active Directory Schema…” y pulsamos en el boton “Remove“.

El resultado se muestra a continuacion:

Vale, ahora seleccionamos en la lista de Snap-ins disponibles, “Computer Management (local)” y pulsamos en el
boton “Edit Extensions…“.

Las extensiones son complementos (snap-ins) que estan dentro de otros complementos para proveer
funcionalidades adicionales.

Por defecto la casilla “Always enable all available extentions” esta activada para que todas las extensiones esten
disponibles.
Nosotros vamos a seleccionar la opcion “enable only selected extensions” por que vamos a deseleccionar el
“event viewer” ya que lo tenemos como extension propia el la MMC.
Pues eso, quitamos la seleccion a la extension “event viewer” y pulsamos “Ok“.
Pulsamos de nuevo en “Ok“.
Y guardamos la MMC para usarla mas adelante…

Windows Server 2008 – Preparar para

distribuir una MMC
En este articulo vamos a preparar una MMC para ser distribuida y que pueda ser utilizada por otros
administradores de nuestra red.

Para ello, guardaremos la consola en modo usuario para que los usuarios no puedan añadir, borrar o modificar
los complementos (snap-ins).

Abrimos la consola MMC que ya tenemos creada de articulos anteriores.

Menu File –> Options…

Vemos el cuadro de dialogo que se muestra a continuacion:

En la pestaña “console“, en la lista deplegable “console mode:“, seleccionamos “User mode – Full access“.

Pulsamos “Ok“.
Guardamos la MMC.

Y salimos.

Si abrimos la MMC con doble click en ella y abrimos el menu File, podemos ver que faltan muchas opciones que
antes teniamos disponibles. Esto es por que en modo usuario no podemos modificar la MMC.
Ahora hacemos “click” con el boton derecho en la MMC y seleccionamos “Author“.

Ahora si volvemos a abrir el menu File, vemos que disponemos de todas las opciones de este menu y podriamos
modificar la MMC sin restricciones.

Ahora que tenemos configurada nuestra MMC y guardada en modo usuario, podemos hubicarla en un
emplazamiento en la red para que sea compartida y ejecutada por todos los administradores.

Windows Server 2008 – Crear Unidades

Organizativas
En esta ocasion vamos a crear una Unidad Organizativa (OU).
Supongo que ya lo sabras, pero por si acaso te comento que las Unidades Organizativas son contenedores
administrativos dentro del Directorio Activo que son usadas para coleccionar o agrupar objetos que comparten
unos requerimientos comunes para la administracion, configuracion o visibilidad.

Bueno, en primer lugar nos cercioramos de que estemos logeados en el servidor como administrador, si no es
asi, cerramos sesion y nos logeamos como tal.

Abrimos el complemento “Active Directory Users and Computers“. Como ya tenemos creada nuestra MMC con
este complemento de articulos anteriores, la abrimos y nos posicionamos en dicho complemento.

Expandimos el nodo del dominio.

Pulsamos boton derecho y seleccionamos “new” –> “Organizational Unit“.

A continuacion establecemos el nombre de la nueva OU. En mi caso, como soy muy original, la he llamado
“gente“, pero cada uno con su cuerpo…

Pulsamos “OK“, nos posicionamos en la OU que acabamos de crear.

Boton derecho –> properties.

En “Desctiption” escribimos una descripcion como: usuarios no administrativos.

Pulsamos Ok.

Ahora repetimos el proceso para crear las OUs: “clientes“, “grupos“, “administradores” y “servidores“.

En la captura siguiente podeis ver el resultado:

Windows Server 2008 – Crear cuentas de
usuario
Despues de aprender a crear Unidades Organizativas, vamos a ver como crear cuentas de usuario.

Para ello, tenemos que estar logeados como adiministradores en el servidor.

Abrimos nuestra, ya famosa, MMC personalizada.

Nos posicionamos dentro de “Active Directory Users and Computers” y lo expandimos.

Nos posicionamos en la OU “gente” dentro del dominio “contoso.com”.

Boton derecho –> New –> User

En el cuado de dialogo “New Object – User”, rellenamos los campos que vemos en la captura siguiente:
Al pulsar en el boton “Next” pasamos a introducir la contraseña para este usuario y activamos la casilla “User
must change password at next logon” para que el usuario establezca su contraseña la primera vez que se
identifique en el dominio.

Pulsamos en “Next”.

Y ahora en “Finish”.

Una vez creado el usuario, lo seleccionamos. Pulsamos el boton derecho del raton y seleccionamos “Properties”.
En este cuadro de dialogo podemos modificar y/o añadir otras propiedades de la cuenta de usuario.

Examinamos un poco las mismas y pulsamos en “Ok”.

Ahora que ya tenemos el usuario “Dani Gonzalez” creado, para practicar un poco mas, podemos crear los
suguientes usuarios:

Juan Gabilondo (jgabilondo)

Sara Gomez (sgomez)

Sara Garcia (sgarcia)

Oscar Abad (oabad) – Aqui creamos una cuenta con nuestro nombre, cada uno con el suyo.

Repetimos los pasos que hemos realizado antes para crar estas cuentas.

Al finalizar el proceso nos quedara algo parecido a lo siguiente:

Ahora nos posicionamos en la OU “administradores” para crear una cuenta propia con permisos administrativos.

Pulsamos boton derecho en la OU “administradores” –> New –> User.

En el cuadro de dialogo “New Object – User”, rellemanos todos los datos necesarios. Fijaos que el nombre de
esta cuenta es “oscar_admin”. Esto lo hago para diferenciarla de la cuenta de usuario normal que he creado
antes.
Pulsamos sobre el boton “Next”, introducimos la contraseña dos veces y activamos la pestaña “User must change
password at next logon”.

Es una buena practica activar esta casilla, pero tambien depende de la polica que tengamos en nuestra empresa
o entorno ya que posiblemente tengamos establecidas unas constraseñas “estandar” para los usuarios
dependiendo del cargo que ocupen o el departamento en el que trabajen. Esto a vuestra eleccion.

Pusar en “Next”.
Ahora en “Finish”.

Volvemos a la OU “administradores” y comprobamos que se ha creado la cuenta.

Bueno, con esto hemos aprendido a crear cuentas de usuario. Claro esta que hay muchas propiedades que no
hemos visto pero que podemos utilizar.

Windows Server 2008 – Crear grupos

En este articulo vamos a crear grupos para no tener que manejar los objetos de usuarios y equipos
individualmente, de esta forma haremos mas facil nuestro trabajo.
Como siempre, abrimos la consola peronalizada que ya tenemos de otros articulos.
Dentro de “Active Directory Users and Computers“, nos posicionamos en “grupos“.

Pulsamos el boton derecho del raton –> New –> Group

Rellenamos los datos necesarios en el cuadro de dialogo siguiente:

Establecemos el grupo como “global” y de seguridad (security).

Pulsamos el boton “Ok” y ya lo tenemos creado:

Echamos un vistazo a las propiedades del grupo que acabamos de crear…

Como siempre, para pacticar, creamos los grupos:

 APP_office_2007
 jefes administracion
 ventas

Todos estos dentro de la OU “grupos“.

Y ahora creamos, dentro de la OU “administradores” los siguientes grupos:

 administradores windows
  help desk

Pues ya esta. Ya hemos creado unos cuantos grupos para poder practicarnos en el articulo siguiente.

Windows Server 2008 – Crear cuentas de

equipo
Es lo que toca ahora.

Como siempre, abrimos nuestra MMC personalizada.

Acordaos de que debemos estar logueados con un usuario que tenga permisos de administrador.

Nos posicionamos en “Active Directory Users and Computers“.

Expandimos el arbol del dominio “contoso.com” y seleccionamos “servidores”.

Boton derecho con el raton –> New –> Computer.

Nos aparece ante nuestras narices el cuadro de dialogo “New Object – Computer“.

Establecemos los valores que veis en la captura siguiente. Pero no cambieis el nombre que figura en “Computer
name (pre-windows 2000)“.

Fijaos en el valor de “user or group” pero no modifacamos nada, por ahora.

Pulsamos el boton “Ok“.

Ya podemos ver que esta creado.

Seleccionamos la cuenta de equipo recien creada –> boton derecho del raton –> Properties

Le echamos un vistazo la las diferentes propiedades que tiene una cuenta de equipo pero por ahora no nos hace
falta modificar nada.
Pulsamos en el boton “Ok“.

Para practicar un poco mas con esto, creamos las cuentas de equipo para los siguiente servidores:

 Sharepoint02
 Exchange03

Windows Server 2008 – Añadir usuarios y

equipos a los grupos
Ahora que ya tenemos creados los grupos podemos añadir objetos como miembros de los grupos.

Es este tutorial añadiremos usuarios y equipos a grupos.

Como es costumbre, nos logeamos en el servidor con una cuenta con permisos de administrador.

Abrimos nuestra ya famosa consola MMC personalizada.

Extendemos “Active Directory Users and Computers“.

Dentro del dominio “contoso.com“, seleccionamos la OU “administradores” y dentro de esta seleccionamos

nuestro usuario con permisos administrativos. Te acuerda que la creamos en otro tutorial, ¿no?

Boton derecho –> propiedades.

Seleccionamos la pestaña “Member of” y pulsamos en el boton “Add“.

En el cuadro de dialogo “Select Groups” que se muesta a continuacion, escribimos “domain admins” y pulsamos
en el boton “OK“.

A continuacion volvemos a pulsar el boton “Ok” para cerrar las propiedades de esta cuenta de usuario.
Lo que hemos hecho es añadir al usuario “oscar_admin” (cada uno el vuestro) al grupo de administradores del
dominio. ¿lo veis?

Ahora seleccionamos el grupo “help desk” en la misma Unidad Organizativa y abrimos las propiedades de este
grupo.
En el caso de los grupos de usuarios, ya sabremos que son contenedores de cuentas de usuario, ¿no? Ah! por si
acaso.

Ahora lo que vamos a hacer es agregar al usuario “sara” a este grupo. Para ello, pulsamos en el boton “Add…“.

Vale, ahora escribimos el nombre del usuario a añadir, en este caso “sara” y pulsamos sobre el boton “Check
Names“.

Os acordareis que creamos dos usuarios que se llaman Sara. Uno es Sara Garcia y el otro Sara Gomez. Puesto
que el comienzo del nombre de usuario de los dos coincide con lo que hemos escrito, nos muestra las
posibilidades que tenemos:
Hemos seleccionado el usuario “sara gomez” y pulsado en “OK“.

En el siguiente cuadro de dialogo ya nos muestra el usuario que hemos seleccionado. Pulsamos “Ok“.

Y ya lo tenemos añadido al grupo “help desk“.

“Ok” y listo.
Ahora seleccionamos el grupo “APP_office 2007” y abrimos sus propiedades.

Nos posicionamos en la pestaña “Members“.

Pulsamos el boton “Add…” para añadir un objeto.

En este caso, vamos a añadir una cuenta de equipo (sobremesa101).

Escribimos “sobremesa101” y pulsamos “Check Names“.

Como somos unos fenomenos, no hemos cambiado los tipos de objetos en los que centrara su busqueda y nos
intenta buscar en “users, groups, or other objects“. Por eso el mensaje siguiente:
Pulsamos en “Cancel” para volver al cuadro de dialogo anterior.

Ahora si, pulsamos en el boton “Object Types…” para seleccionar los tipos de objetos.

En el cuadro de dialogo “Object Types” aseguraos de seleccionar la casilla correspondiente a “Computers“.

Pulsamos en “OK“.
Volvemos a pulsar en “Check Names“.

Ahora si que lo ha encontrado. Lo notamos en que ahora esta subrayado.

Pulsamos en “OK”

Vale, ya esta añadido al grupo “APP_office_2007“.

Pulsamos en “Ok” para guardarlos cambios efectuados y ya esta.

Windows Server 2008 – Encontrar objetos en

el Directorio Activo
En esta ocasion vamos a ver como podemos encontrar objetos en el Directorio Activo de Windows Server 2008.
Es mucho mas rapido utilizar estas opciones de busqueda que ir OU por OU sin saber muy bien donde esta el
objeto que necesitamos encontrar.

En primer lugar, abrimos nuestra ya querida MMC personalizada:

En la captura siguiente nos hemos posicionado en el Dominio. Vale, si os fijais, he resaltado el icono de
busqueda. Lo pulsamos.
Al pulsar el boton de busqueda nos aparecera una pantalla como la siguiente:

Nos aseguraremos que en la Lista desplegable tenemos seleccionados los tipos de objetos que queremos buscar,
en esta caso: “usuarios y grupos“.

Posteriormente tambien nos aseguraremos que tenemos seleccionado el dominio “contoso.com” que es donde
vamos a realizar la busqueda.

Bien, ahora en el campo Name, introducimos “sara” para buscar todos los usuarios o grupos que coincidan con
este nombre, por lo menos en parte.

Pulsamos en el boton “Find Now” para que realice la busqueda.

A continuacion podemos ver el resultado de la busqueda.

Nos muestra dos cuentas de usuario.

Ya veis que es muy sencillo, ¿no?

Ahora vamos a realizar la busqueda desde otro sitio.

Para ello, pulsamos en Inicio –> Network.

Si os fijais, hay un icono en la barra de herramientas “Search Active Directory”. Pulsamos sobre el…

A partir de aqui, la busqueda es la misma que en el apartado anterior.

Ahora vamos a probar otra cosilla…
En el complemento “Active Directory Users and Computers“, seleccionamos mediante boton derecho en “Saved
Queries” –> New –> Query.

A continuacion vemos la captura de “new query“.

Rellenamos los campos como vemos en la captura siguiente:

Y pulsamos en el boton “Define Query…”.

Ahora lo que hacemos es definir la buqueda que nos interesa. En nuestro caso, seleccionamos solo el valor “has a
value” en el campo “Name“. Pulsamos “Ok“.
Nos devuelve a la ventana anterior pero esta vez, si nos fijamos, ha creado una cadena que es la busqueda que
vamos a realizar.

Al cerrar el cuadro de dialogo, nos posicionamos en “usuarios” dentro de “saved queries” y vemos que en la
parte de la derecha nos muestra el resultado de esa busqueda que hemos definido. Estas busquedas estaran
guardadas y las podremos consultar cuando nos parezca.

Para poder ver mas caracteristicas en forma de columnas, seleccionamos el menu view –> Add/Remove
Columns…

En el apartado de “Available columns” seleccionamos “last name” y pulsamos en el boton “Add“.

En el apartado “Displayed columns” seleccionamos “Description” y pulsamos sobre el boton “Remove“.

Podemos hacer alguna que otra modificacion mas, si nos interesa…

Comprobamos el resultado:

Bueno, pues esto es todo por ahora.

Windows Server 2008 – Delegacion de control
En muchos casos, nos interesara que unos usuarios y un grupo de ellos tengan una serie de permisos para
realizar unas tareas concretas.

Por ejemplo, puede que tengamos un grupo “help desk” que queramos que tenga permisos para resetear las
contraseñas de los usuarios e incluso que puedan configurar una cuenta de usuario para que les pida la
contraseña la proxima vez que inician.

Esto es lo que vamos hacer en esta ocasion.

Para ello, en primer lugar, abrimos “Active Directory users and Computers” como administrador.

Ahora expandimos el nodo del dominio y hacemos “doble-click” en la unidad organizativa “gente”.

Pulsamos boton derecho sobre esta OU y selccionamos “Delegate Control“.

 Pulsamos en “next”.

Ahora pulsamos en el boton “Add…”.

Escribimos “Help Desk” y pulsamos en el boton “OK”.

Nos ha detectado un grupo con ese nombre. Pulsamos “Ok” para confirmar.
En la captura anterior podemos ver que se a añadido el grupo que hemos indicado. Podemos borrarlo o añadir
algun grupo mas. Nosotros estamos de acuerdo y pulsamos “next”.

En la siguiente captura seleccionamos “Reset user passwords and force passwords change at next logon”. Que es
lo queriamos.

Tras pulsar en “Next” nos aparecera la ultima pantalla en la que confirmaremos fulsando “Finish”.

Sencillo, ¿verdad
Windows Server 2008 – Añadir usuarios y
equipos a los grupos
Ahora que ya tenemos creados los grupos podemos añadir objetos como miembros de los grupos.

Es este tutorial añadiremos usuarios y equipos a grupos.

Como es costumbre, nos logeamos en el servidor con una cuenta con permisos de administrador.

Abrimos nuestra ya famosa consola MMC personalizada.

Extendemos “Active Directory Users and Computers“.

Dentro del dominio “contoso.com“, seleccionamos la OU “administradores” y dentro de esta seleccionamos

nuestro usuario con permisos administrativos. Te acuerda que la creamos en otro tutorial, ¿no?

Boton derecho –> propiedades.

Seleccionamos la pestaña “Member of” y pulsamos en el boton “Add“.

En el cuadro de dialogo “Select Groups” que se muesta a continuacion, escribimos “domain admins” y pulsamos
en el boton “OK“.

A continuacion volvemos a pulsar el boton “Ok” para cerrar las propiedades de esta cuenta de usuario.
Lo que hemos hecho es añadir al usuario “oscar_admin” (cada uno el vuestro) al grupo de administradores del
dominio. ¿lo veis?

Ahora seleccionamos el grupo “help desk” en la misma Unidad Organizativa y abrimos las propiedades de este
grupo.
En el caso de los grupos de usuarios, ya sabremos que son contenedores de cuentas de usuario, ¿no? Ah! por si
acaso.

Ahora lo que vamos a hacer es agregar al usuario “sara” a este grupo. Para ello, pulsamos en el boton “Add…“.

Vale, ahora escribimos el nombre del usuario a añadir, en este caso “sara” y pulsamos sobre el boton “Check
Names“.

Os acordareis que creamos dos usuarios que se llaman Sara. Uno es Sara Garcia y el otro Sara Gomez. Puesto
que el comienzo del nombre de usuario de los dos coincide con lo que hemos escrito, nos muestra las
posibilidades que tenemos:
Hemos seleccionado el usuario “sara gomez” y pulsado en “OK“.

En el siguiente cuadro de dialogo ya nos muestra el usuario que hemos seleccionado. Pulsamos “Ok“.

Y ya lo tenemos añadido al grupo “help desk“.

“Ok” y listo.
Ahora seleccionamos el grupo “APP_office 2007” y abrimos sus propiedades.

Nos posicionamos en la pestaña “Members“.

Pulsamos el boton “Add…” para añadir un objeto.

En este caso, vamos a añadir una cuenta de equipo (sobremesa101).

Escribimos “sobremesa101” y pulsamos “Check Names“.

Como somos unos fenomenos, no hemos cambiado los tipos de objetos en los que centrara su busqueda y nos
intenta buscar en “users, groups, or other objects“. Por eso el mensaje siguiente:
Pulsamos en “Cancel” para volver al cuadro de dialogo anterior.

Ahora si, pulsamos en el boton “Object Types…” para seleccionar los tipos de objetos.

En el cuadro de dialogo “Object Types” aseguraos de seleccionar la casilla correspondiente a “Computers“.

Pulsamos en “OK“.
Volvemos a pulsar en “Check Names“.

Ahora si que lo ha encontrado. Lo notamos en que ahora esta subrayado.

Pulsamos en “OK”

Vale, ya esta añadido al grupo “APP_office_2007“.

Pulsamos en “Ok” para guardarlos cambios efectuados y ya está..

Windows Server 2008 – Crear cuentas de

equipo.
Es muy recomendable crear las cuentas de equipo en el Directorio Activo antes de meter a los equipos en el
dominio, es mas, parece totalmente desaconsejable por diferentes motivos, que se meta un equipo en el
dominio sin haber creado antes su cuenta en la Unidad Organizativa correspondiente.

En este tutorial vamos a crear dos cuentas de equipo. Un equipo de sobremesa al que llamaremos
“sobremesa01” y un servidor al que llamaremos “aicsrv05“.

Vamos a comenar creando la cuenta de equipo para “sobremesa01“.

Como este equipo va a estar situado en el departamento de “administración“, lo vamos a crear es la OU

“administración“. De esta forma nos será mas útil a la hora de gestionarlos y aplicarles políticas de grupo.
Para empezar, abrimos “Active Directory Users and Computers” y seleccionamos la OU “administración” que
está dentro de la OU “equipos“.

Una vez seleccionada esta OU, pulsamos sobre el botón derecho del ratón –> New –> Computer:

A continuación nos muestra la siguiente pantalla:

En la casilla “Computer name“: Introducimos el nombre del equipo, que en este caso será “sobremesa01“.
Al hacer esto, se rellenará automáticamente la casilla “Conputer name (pre-windows 2000)” con el mismo
nombre. Es aconsejable que los dos nombres sean iguales.

Pulsamos sobre “change“:

Escribimos informática para que el grupo “informática” puedan meter este equipo en el dominio.

Pulsamos “Check Names” para verificar el nombre del grupo.

Pulsamos en “OK“.

Pulsamos de nuevo en “OK” y comprobamos que se ha creado la cuenta de usuario en la OU “administración“:

Perfecto.

Ahora crearemos la cuenta de equipo “aicsrv05” correspondiente a un nuevo servidor.

Esta cuenta la crearemos en al Unidad Organizativa “servidores”

Comprobamos:

Bien, hemos visto como crear cuentas de equipo en sus correspondientes OUs

Windows Server 2008 – Delegar la posibilidad de crear

cuentas de equipo
En este tutorial vamos a ver cómo delegar en el grupo “informatica” la posibilidad de crear cuentas de equipo.
Para ello, abrimos “Active Directory Users and Computers“.

Seleccionamos la Unidad Organizativa “equipos“, pulsamos botón derecho y seleccionamos “properties:

Nos posicionamos en la pestaña “security“.

Pulsar en el botón “Advanced“.

A continuación se muestra la ventana “Advanced Security Settings“.

En este caso lo que vamos a hacer es añadir una configuración de seguridad mas, por consiguiente, pulsamos en el botón “Add…“.
El siguiente cuadro de diálogo ya estamos acostumbrados a verlo y sabemos como funciona.

Escribimos “informatica” y pulsamos en el botón “OK“.

En la captura siguiente, fijaos que en el apartado “Apply to:” está seleccionada la opción “This object and all descendant objects“. Creo
que ya sabemos lo que quiere decir, ¿no?

También he seleccionado la opción “Allow” del permiso “Create Computer objects“, que es lo queríamos.

Al pulsar en OK, ya vemos que el grupo informática ha sido añadido en el apartado “Group or user names:” que son los grupos o
usuarios que tienen algún permiso configurado para esa Unidad Organizativa.
Windows Server 2008 – Meter un equipo (XP)
en el dominio
Esta tarea, podríamos decir que no es propia de Windows Server 2008, pero claro, debemos tener alguna
experiencia en ella y creo que no está de mas que lo veamos con un ejemplo.

Si recordáis, el tutoriales anteriores creamos una cuenta de equipo con el nombre de “sobremesa01” y la
ubicamos dentro de la Unidad Organizativa “administracion” que a su vez está dentro de “equipos“.

Pues vamos a ver un ejemplo de un equipo o máquina virtual en Windows XP y cómo meterna en el dominio.

Partimos de que ya tenemos instalado el equipo con Windows XP y hacemos logon en el con la cuenta de
adminsitrador del equipo. En mi caso, la cuenta de administrador en el equipo es “administrador“.

No creo que haga falta muchas explicaciones.

Aunque hay varias formas de llegar al mismo sitio, he preferido mostraros la forma mas larga y con el aspecto
nuevo de Windows XP aunque yo siempre le pongo el aspecto clásico. Pero bueno, es para que lo veamos.

Lo dicho, entramos en el equipo con la cuenta de “administrador“:

Panel de Control.

Rendimiento y mantenimiento.
Sistema.

Nos pocionamos en la pestaña “Nombre de equipo” y pulsamos en el botón “cambiar…”

En el siguiente cuadro de diálogo seleccionamos la opción “Dominio“.
A continuación escribimos el nombre del dominio, que en nuestro caso es “aic.local” y pulsamos “Aceptar“.

No mostrará la siguiente pantalla para que intoduzcamos una cuenta con privilegios para meter al equipo en el
dominio. Yo he usado la de “administrator” y su respectiva contraseña.

Nos avisa de que debemos reinicar.

Cerramos la ventana pulsando en aceptar.

Nos vuelve a recordar que debemos reiniciar para que los cambios tengan efecto.

Pulsamos en “Si“.

Ya tenemos el equipo “sobremesa01” en el dominio.

Cuando reinicie, entramos directamente en el dominio.

Windows Server 2008 – Mover cuentas de
equipo
Es imprescindible para el trabajo diario, saber realizar una serie de tareas como mover una cuenta de equipo de
una OU a otra.

En este tutorial vamos a ver cómo hacer esto de diferentes maneras.

La primera y mas sencilla es a través del “snap-in” de “Active Directory Users and Computers“.

Pongamos que queremos mover el equipo “sobremesa11” que está en la OU “informatica” de “equipos” a la OU
“desarrollo“.

Abrimos “Active Directory Users and Computers” y nos posicionamos en la OU “informatica” de “equipos“.

Seleccionamos la cuenta de equipo “sobremesa11“. Pulsamos el botón derecho del ratón y seleccionamos
“Move“:

A continuación nos mostrará el siguiente cuadro de diálogo.

Nos posicionamos en el OU destino. En este caso “desarrollo“.

Pulsamos “OK”
Comprobamos que el equipo “sobremesa11” ya no está en la OU “informatica“:

Y que está en la OU “desarrollo“:

Windows Server 2008 – Resetar cuentas de
equipo
En algunas ocasiones tenemos algún que otro problema con algún equipo que no nos permite hacer logon en el
dominio.

Seguramente, lo que hacemos es eliminar la cuenta del equipo y la volvemos a crear. Esto es totalmente
desaconsejable puesto que al eliminar una cuenta de equipo se elimina el SID y todos los permisos asociados a la
cuenta.

Para estos casos es mas aconsejable retear la cuenta de equipo.

A continuación muestro 4 opciones para realizar esto:

1-. Active Directory Users and Computers.

Abrimos “Active Directory Users and Computers“, nos posicionamos en la OU correspondiente y seleccionamos
el equipo al que le vamos a resetar.

Pulsamos el botón derecho del ratón y selecconamos “Reset Account“.

Nos mostrará un mensaje para que confirmemos que estamos seguros de lo que hacemos.

Ahora nos dice que ya está hecho.

Mediante este método es necesario volver a meter al equipo en el dominio y reiniciar.

Windows Server 2008 – Renombrar un equipo

Renombrar un equipo no se debe tomar a la ligera. Hay que estar bien seguro antes de realizar una tarea como
esta.

Pero bueno, supongamos que tenemos que cambiarle nombre al equipo “sobremesa01″.
Yo os comento dos opciones.

La primera es la que todos conocemos.

Abrimos las propiedades del sistemas desde panel de control y nos posicionamos en la pestaña “Nombre de
equipo”.

Pulsamos en “Cambiar” y aparecerá la siguiente pantalla:

Cambiamos el nombre y pulsamos en aceptar.

A continuación nos pedirá un nombre de usuario y contraseña con permisos para realizar esta tarea.
Tras esto nos notificará que es necesario reiniciar para que los cambios tengan efecto.

Reiniciamos y listo.

Windows Server 2008 – Deshabilitar y

habilitar cuentas de equipo
Para habilitar una cuenta de equipo u otro objeto, podemos hacerlo desde el entorno gráfico.

Abrimos “Active Directory Users and Computers” y seleccionamos el equipo que queremos deshabilitar.

Pulsamos el botón derecho del ratón y seleccionamos “Disable Account“.

Mostrará un mensaje de notificación como el siguiente:

Ahora comenta que ya está deshabilitado.

Si os fijais, el aspecto del icono de la cuenta de equipo ha cambiado. Ahora tiene una flecha hacia abajo.

Para habilitar la cuenta, el proceso es idéntico pero escogiendo la opción “Enable Account“.
Windows Server 2008 – Eliminar cuentas de
equipo
Ya sabemos lo peligroso que es eliminar una cuenta de equipo, pero para cuando estemos totalmente seguros
deberemos abrir “Active Directory Users and Computers“, posicionarnos en la cuenta que queremos eliminar,
botón derecho del ratón y seleccionar “Delete“.

Como siempre, nos muestra un mensaje de advertencia al que responderemos pulsado “Yes” si estamos
convencidos.

Comprobamos que ya no está la cuenta:

Windows Server 2008 – Crear un objeto de
politica de grupo
Empezamos a trabajar con Politicas de grupo.

En este primer articulo sobre GPOs vamos a ver como ser crea un Objeto de Politica de Grupo y para ello, en
primer lugar debemos acceder al sevidor como administrador y ejecutar “Group Policy Management“, como se
puede ver en la imagen siguiente:
Nos aparece el “Group Policy Management” o “Gestor de Politicas de Grupo” para que nos entendamos mejor.

Si nos posicionamos o abrimos el arbol al nivel de dominio “neointec.local” podemos observar que la estructura
se compone, entre otras cosas, de Unidades Organizativas.

Recordad que en las Unidades Organizativas metiamos cuentas de usuario o cuentas de equipo. Aunque tambien
podemos incluir grupos globales, las GPOs solo se pueden asignar por equipo o por usuario. Por supuesto hay
maneras de realizar filtros que ya veremos mas adelante.

A continuación nos posicionamos en “Goup Policy Objects” que, como ya abremos adivinado, contiene todas las
GPOs que existen en el dominio “Neointec.local“.

Hacemos click con el botón derecho y seleccionamos “New“.

En el siguiente cuadro de dialogo indicamos el nombre que queremos que tenga la nueva GPO y si se basa en
otra, la seleccionariamos en el apartado “Source Starter GPO“. Pero como la nuestra no se basa en ninguna otra,
dejamos ese apartado vacio y pulsamos “OK“.

Hemos creado una nueva GPO pero está vacía, o mejor dicho, tiene todas las configuraciones por defecto. Ahora
tenemos que editarla para cambiar alguna configuracion que quereamos.

Pues eso, boton derecho sobre la GPO y pulsamos “Edit…“.

A continuación nos aparece la pantalla “Group Policy Management Editor“.

Soy por supuesto que ya conoceis un poco la estructura pero os indico que en 2008 disponemos ahora del
apartado “Preferences” tanto en la configuracion de usuario como de equipo.

Antes de nada, vamos a explicar un poco para que va a servir esta GPO. Para ello nos posicionamos en la parte
izquierda de la pantalla sobre la raiz de la politica, pulsamos boton derecho y seleccionamos “Properties“.
Seleccionamos la pestaña “Comment“.

Ahora escribimos algo que indique la finalidad de esta GPO.

Cerramos con “Ok” la pantalla anterior y nos movemos por el arbol a: Computer Configuracion -> Policies ->
Windows Settings -> Security Settings -> Windows firewall with advanced security.

Nos posicionamos en “Windows firewall with advanced security” como se puede ver en la imagen siguiente:

Podemos observar la configuracion actual del comportamiento del firewall de windows.

Pulsamos sobre el enlace “Windows Firewall Properties” y nos aparecera algo parecido a lo siguiente:
Observamos que el Firewall está activado.

Bueno, pues como nosotros queremos que el firewall esté desactivado para todos los equipos que estan dentro
del dominio, seleccionamos la opcion “Off” del menu desplegable y pulsamos “Ok“.
Al cerrar la pantalla anterior con “Ok“, volvemos a ver los detalles de configuracion del Firewall que habiamos
visto antes, pero en este caso ya podemos ver que el firewall esta configurado como apagado.

Salimos con “exit” del Editor de GPOs.

El paso que debemos dar ahora es asingar o vincular la GPO que acabamos de crear a un dominio, sitio o Unidad
Organizativa.

En nuestro caso queremos que se aplique a todos y cada uno de los equipos que tenemos en el dominio, por
consiguiente seleccionamos el dominio “Neointec.local”, pulsamos el boton derecho del raton y seleccinamos
“Link and Existing GPO…”.
Tras realizar el proceso anterior, nos muestra todas las GPOs que tenemos para que seleccionemos una de ellas.

Seleccionamos “Neointec Base” y pulsamos “Ok“.

Ya vemos, en las propiedades de la GPO, en la pestaña “scope” que esta asingada al dominio “neointec.local“.

Y en la parte inferior de la parte derecha observamos que esta aplicada a todos los usuarios autentificados.

Con esto conseguimos que todos y cada uno de los equipos que entren en el dominio “Neointec.local”, tengan el
Firewall apagado o desconectado.

No tenemos que ir uno por uno, realizando esta tarea en todos los equipos.

Como habreis podido ver, el uso de GPOs tiene una potencia inmensa y es de una utilidad impresionante y casi
diria que imprescindible en toda empresa.

Windows Server 2008 – Comprobar los

efectos de aplicar una GPO
En el articulo anterior sobre Windows Server 2008 creamos y vinculamos una GPO.

Bien, ahora vamos a comprobar que se aplica a todos los equipos del dominio.
Podemos reiniciar el servidor o equipo para que se aplique la nueva configuracion de politicas, pero tambien
podemos ejecutar el siguiente comando para no tener que reiniciar el equipo:

gpupdate.exe /force /boot /logoff

Una vez ejecutado el comando anterior, abrimos la configuracion del Firewall desde el panel de control -> Check
Firewall Status y comprobarmos en la pantalla siguiente que el firewall a nivel de dominio esta apagado. Es mas,
podeis percataros de que incluso esta deshabilitado el posible cambio en ese apartado.

Esto quiere decir que lo hemos establecido por GPOs y que no podemos modificarlo desde aqui.
Algo sencillo pero imprescindible antes de aplicar una nueva GPO a todo el dominio o a una OU es realizar la
prueba en un dominio de prueba. Tambien podemos tener una Unidad Organizativa, equipos y usuarios que no
existen fisicamente para realizar estas tareas de pruebas antes de aplicarlas en produccion.

Windows Server 2008 – Moverse por GPOs

Para trabar con GPOs es imprescindible saber moverse por todo el sistema relacionado con este tema.

Para empezar, seleccionamos una GPO. Por ejemplo la que creamos el otro dia: “Neointec base”.

En la imagen siguiente, en la parte derecha de la ventas he resaltado algunos apartados que debemos conocer.

Es el caso de la la pestaña “Scope” o “ambito” para nosotros. En esta pestaña tenemos la opcion de “Links” que
se refiere a los lugares a los que esta enlazada esta GPO.

Mas abajo esta el apartado “Security Filtering” donde se definen los usuarios o grupos a los que se les va a
aplicar la GPO. En este caso vemos que se aplicara a los “Usuarios Autentificados” en el dominio.
En la pestaña “Settings” podemos ver un resumen de las politicas que estan configuradas.

Si expandimos el arbol llegamos a la politica que tenemos configurada en esta GPO:

En la pesaña “Details” vemos los detalles de la GPO. Desde el nombre del dominio en el que esta creado, El
identificador de la misma, si esta habilitada e incluso el comentario de la misma que introdujimos en otro
articulo.

Ahora, nos fijamos en el identificador unico “Unique ID” y exploramos en el disco del servidor a el directorio que
se observa en la siguiente imagen:
Exacto. Existe una carpeta cuyo nombre coincide con el identificador de la GPO.

Esto ocurre con todas las GPOs. Ya hablaremos mas sobre esto en proximos articulos.

Si accedemos a dicha carpeta podemos ver los ficheros que componen la configuracion de esta GPO:

Windows Server 2008 – Crear un repositorio

central
En este articulo vamos a crear un repositorio central para almacenar la informacion sobre las politicas de grupo
(GPOs).
Bien, en primer lugar vamos a ver la configuracion establecida hasta ahora y para ello ejecutamos el “Gestor de
Politicas de Grupo” y seleccionamos la GPO “Neointec Base”. Boton derecho y seleccionamos “Edit…”

En “User Configuration” –> “Administrative Templates“, vemos que al final de esta linea nos indica que las GPOs
estan almacenadas en “local machine“.

Ahora vamos a crear el Repositorio Central.

Exploramos el directorio \\neointec.local\sysvol\neointec.local\policies

Creamos un nuevo directorio con el nombre de “PolicyDefinitions“.

Exploramos el directorio “%systemroot%\PolicyDefinitions“:

Copiamos el contenido de este ultimo directorio:

Ahora pegamos lo que hemos copiado en el directorio que habiamos creado antes dentro de “sysvol”:
Comprobamos de nuevo el el Editor de Politicas de Grupo que ahora se almacenan las politicas un un repositorio
central (central store).

Windows Server 2008 – Enlazar una GPO

Aunque ya lo realizamos en el primer articulo sobre GPOs, vamos a dejar claro los pasos a realizar para Enlazar una GPO a un dominio,
sitio o Unidad Organizativa.

Para este ejemplo abrimos el “Group Policy Management“.

Seleccionamos, por ejemplo, la Unidad Organizativa “administracion” dentro de “equipos“.

Pulsamos el boton derecho del raton y seleccionamos “Link an Existing GPO…“.

En el cuadro de dialogo que aparece a continuacion, seleccionamos la GPO que queremos enlazar a esta OU.

Una vez hecho esto, vemos que la gpo “Neointec base” aparece enlazada a la OU “administracion“.
Y en las propiedades de la GPO, dentro de la seccion “links” de la pestaña “scope“, aparecen ahora dos ubicaciones: “administracion” y
“neointec.local“.

Windows Server 2008 – Eliminar o deshabilitar una

GPO
En ciertas ocasiones, por no decir muchas, tendremos la necesidad de deshabilitar un enlace de GPO, una GPO o incluso eliminar
cualquiera de estos dos.

Para empezar, en la imagen siguiente podemos ver los dos enlaces de la GPO “Neointec base” en las OUs de “administracion” e
“informatica“, ambas bajo la OU “equipos“.
Suponed que queremos deshabilitar, que no borrar, el enlace de esta GPO a la OU “administracion“. Bien, para ello seleccionamos el
enlace en cuestion, pulsamos boton derecho y seleccionamos “Link Enabled”. Como estaba habilitado, al seleccionarlo de nuevo, se
deshabilita.
Sabemos que un enlace esta deshabiliado o no enlazado porque el icono aparece mas tenue, como en la siguiente imagen.
Y si volvemos a pulsar boton derecho sobre dicho enlace comprobamos que ya no aparece el simbolo que aparecia antes indicando que
el enlace estaba habilitado.

Ahora, para eliminar un enlace de GPO, seleccionamos el enlace que queremos eliminar, pulsamos boton derecho del raton y
seleccionamos “Delete“.
Nos preguntara si estamos seguros de la operacion que vamos a realizar y pulsamos “OK“.

Ya no aparece el enlace de la GPO “Neointec base” bajo la OU “Informatica“.

Si selecionamos un enlace o la GPO en si misma, podemos ver dentro de la pestaña “scope” que el enlace de la OU “administracion” no
esta habilitado.

Espero que os vayais poniendo al dia con las politicas de grupo porque es una herramienta muy util para todo administrador de
sistemas.
Windows Server 2008 – Configurar la politica
de seguridad local
Ahora toca ver algo sobre seguridad de nuestros servidores dcs y las politicas locales.

En este tutorial usaremos la politica de seguridad local para permitir que un grupo de usuarios tengan acceso al
controlador de dominio mediente escritorio remoto.

Para ello utilizaremos el grupo “soporte” que creamos hace poco en otro tutorial.

Bueno, abrimos “Local Security Policy“.

Expandimos el arbol por “Security Settings –> Local Policies –> User Rights Assigment“.

No posicionamos en la politica “Allow log on though Remote Desktop Services” y nos fijamos en en la Columna
“Security Settings” aparece solo “Administrators“
Hacemos doble-click sobre esa politica y aparece el cuadro de dialogo siguiente:

Pulsamos en el boton “Add User or Group“.

Escribimos “soporte” y pulsamos “ok“.

Nos muestra las coincidencias que ha encontrado con el nombre “soporte“. A nosotros nos interesa el grupo ose
que lo seleccionamos y pulsamos “OK“.

Ahora, en el cuadro de dialogo siguiente observamos que tambien aparece el grupo “NEOINTEC\soporte“.
Tras pulsar “OK” ya tenemos hecho lo que queríamos.

Pero como en el siguiente tutorial vamos a hacer lo mismo de otra forma o con otra herramienta, volvemos a
hacer doble click y eliminamos el grupo “NEOINTEC\soporte” que acabamos de añadir.
Obeservamos que solo aparece “Administrators“.