PRACTICA: ACTIVE DIRECTORY

Curso: 2 ASIR Módulo: ADMINISTRACIÓN DE SISTEMAS OPERATIVOS Autor: José Povedano Romero

-1-

PRÁCTICA ACTIVE DIRECTORY

Perteneces al departamento de sistemas de la empresa Asir2 S.A. A fecha de 28 de

Octubre de este año, se plantea una migración del entorno corporativo a la versión

de Windows Server 2008. Esto es debido al gran auge experimentado por la em-

presa, gracias al buen hacer de sus trabajadores (tus compañeros de clase, que son

unos fenómenos, como tú).

Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edi-

ficio situado en la C/Arcos de la Frontera s/n Nuestra labor como analistas y técni-

cos de sistemas es la de determinar los procedimientos necesarios para dicha mi-

gración y llevarlos a cabo para tal fecha.

Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos

que están actualmente en producción:

• Administración de usuarios y grupos.

• Administración de ficheros.

• Administración de discos.

• Copias de seguridad.

El trabajo consiste en realizar un informe detallado de los pasos seguidos para la

nueva implantación con el máximo nivel de detalle (incluyendo capturas de panta-

lla) de los pasos seguidos para la gestión de los servicios anteriormente citados y

otros nuevos que añadiremos.

La información necesaria para esta labor en relación al entorno actual es la si-

guiente:

1. La empresa consta de 20 empleados.

2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el ad-

ministrador y los otros dos son los encargados de la gestión de incidencias. Esta

se almacenará en una carpeta a la que solo tendrá acceso el departamento de

sistemas. Los datos estarán en una partición o disco duro diferente a la del sis-

tema operativo.

3. 15 empleados son desarrolladores de software que tienen acceso limitado a los

repositorios de código y de documentación, donde únicamente tendrán acceso a

aquellos directorios asociados al proyecto en el que estén trabajando.

4. Existen dos usuarios especiales correspondientes al gerente y al director de la

empresa. El gerente tendrá acceso a toda la documentación y código ejecutable.

de los proyectos. El director tendrá acceso ilimitado a todos los recursos dispo-

nibles.

5. La empresa tiene una serie de servicios que quiere seguir manteniendo(inclui-

dos sus nombres):

Autor: José Povedano Romero ADMINISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.

-2-

a. Controlador de Dominio => tunombre.gcap.net

b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1

6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch

virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red

para simular lo anterior y que no tengan salida a Internet. Como si estuvieran

todos conectados físicamente a un switch.

7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para

el resto de los usuarios, salvo para los dos usuarios del punto anterior.

8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien

ajeno a la empresa quiere usar algún equipo. Este perfil no tendrá acceso a nin-

gún otro perfil, proyecto, documentación, etc de la empresa. Los datos de los

perfiles estarán en una partición o disco duro diferente a la del sistema opera-

tivo.

9. El servidor tiene una partición donde se almacena tanto el código fuente,

ejecutables y documentación de cada uno de los proyectos.

10. El administrador, para optimizar el funcionamiento de la empresa, decide in-

cluir alguna directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia

remota de alguien del departamento de sistema por alguna incidencia

(cuidado con el firewall de windows), deshabilitar Windows Messenger,

deshabilitar el uso de pendrives y poner un fondo de escritorio

corporativo para evitar “posibles distracciones”:

i. Habilitar Asistencia Remota Solicitada.

ii. Habilitar no permitir que se ejecute windows messenger.

iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.

iv. Ejecutar un programa que indique la ip del equipo y un usuario

en el escritorio.

v. Deshabilitar el uso de pendrives.

b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a

los usuarios sin necesidad de que estos la soliciten antes (como

alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese

ofrecimiento (cuidado con el firewall de windows).

i. Habilitar ofrecer asistencia remota.


-3-

c. Para el Departamento de Software. Con idea de que los perfiles de

usuarios no se vuelvan muy pesados, la carpeta “Mis Documentos” se

ubicará en una unidad de red. Se almacenará en el servidor (en una

partición diferente a la del sistema operativo) llamada “personales”. El

recurso debe ser oculto para el resto. Como consecuencia de esto, se le

habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales no

estarán asociados al perfil.

i. Redireccionamiento de “Mis Documentos”

ii. Limitar el tamaño del perfil.

d. Para el director. Como es el jefe, dice que el puedo usar pendrives

cuando le de la gana y que quiere el windows messenger que le niega al

resto de sus empleados (no hay nada como ser el jefe). Recuerda la

jerarquía de aplicación de las directivas de grupo.

i. Deshabilitar no permitir que se ejecute windows messenger.

ii. Habilitar el uso de pendrives.

e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más

amigable”.

No olvides que no se pueden aplicar directivas de grupo a grupos del domi-

nio.

11. Instala un servicio de distribución de software desde tu equipo servidor a las

estaciones de trabajo del dominio mediante paquetes MSI:

a. OpenOffice.

b. Firefox.

Crea tú mismo estos paquetes con alguna utilidad.

12. Instala DFS y haz una prueba de su funcionamiento.


-4-

DESARROLLO:

Tendremos que configurar las interfaces de red de nuestro servidor Windows 2008 Ser-

ver, una de ellas será una NAT para la conexión a internet y otra una red interna que

forme nuestra propia red y se comunique con el resto de máquinas de nuestra red local.

La interfaz de internet al ser NAT configuraremos la IP de forma automática, en la red

interna asignaremos una IP estática.

A continuación procederos a instalar y configurar los servicios DHCP Y DNS para nuestro

servidor Windows 2008 Server:

Tendremos que instalar el servicio DNS para que se pueda sincronizar cuando instalemos

Active Directory:


-5-

Instalamos y Configuramos DHCP:

Definimos:


-6-

Una vez configurado nuestro servicio DHCP, Pasamos a instalar Active Directory:

Ejecutamos dcpromo:

Hacemos la instalación en modo avanzado, marcamos la casilla y continuamos:


-7-

Creamos un nuevo dominio en un bosque nuevo:


-8-

Contraseña: ASIR2povedano


-9-

1. La empresa consta de 20 empleados.

Creamos 20 empleados para la empresa:


-10-

Contraseña: ASIRemp1

A continuación creamos de igual forma los 20 empleados:

2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el ad-

ministrador y los otros dos son los encargados de la gestión de incidencias. Esta

se almacenará en una carpeta a la que solo tendrá acceso el departamento de

sistemas. Los datos estarán en una partición o disco duro diferente a la del sis-

tema operativo.


-11-

Para organizarlo de una forma más estructurada creamos unidades organizativas:

Creamos el departamento de Sistemas:


-12-

Añadimos 3 empleados; uno de ellos será el administrador y los otros dos encargados

Cogemos 3 empleados de los 20 creados y los renombramos (uno como administrador de

sistemas y dos encargados).

Creamos los datos en una nueva partición para almacenar el directorio sistemas:


-13-

Una vez montado con formato NTFS nos quedaría de la siguiente forma:

Creamos el directorio Sistemas:

Creamos un grupo llamado sistemas a la hora de otorgar permisos al directorio.


-14-

En este grupo meteremos a los 2 encargados, ya que el administrador estaría dentro del

grupo de administradores del dominio.

Por ultimo asignamos los permisos por grupos al directorio sistemas:


-15-

3. 15 empleados son desarrolladores de software que tienen acceso limitado a los

repositorios de código y de documentación, donde únicamente tendrán acceso a

aquellos directorios asociados al proyecto en el que estén trabajando.

Formado por 15 de los empleados que creamos anteriormente:


-16-

Crearemos un grupo para agrupar a todos los desarrolladores de software:

Como dice el enunciado cada empleado de software (desarrollador) tendrá un acceso li-

mitado dependiendo del proyecto al que estén asociados, por ello crearemos grupos en

función a proyectos que serán grupos locales:

Por ejemplo crearemos 2 proyectos donde repartiremos a los desarrolladores:


-17-

Una vez creados usuarios y grupos dentro de la estructura organizativa software

Creamos el directorio Software:

Damos permisos limitados a todos los usuarios de software (desarrolladores).


-18-

Dentro del directorio Software, crearemos los directorios proyecto1 y proyecto2, a los

cuales solo tendrán permisos el administrador y los usuarios pertenecientes a cada pro-

yecto:

Deshabilitamos la herencia de permisos, para que a cada proyecto solo puedan acceder

los desarrolladores asociados a ese proyecto.


-19-

Los permisos del directorio proyecto1 quedarían de la siguiente manera:

Hacemos de igual forma con el proyecto2:


-20-

4. Existen dos usuarios especiales correspondientes al gerente y al director de la

empresa. El gerente tendrá acceso a toda la documentación y código ejecutable.

de los proyectos. El director tendrá acceso ilimitado a todos los recursos dispo-

nibles.

Por último los dos empleados restantes de los 20 que creamos (empleado19 y em-

pleado20) serán el gerente y el director:

Asociamos para estos dos usuarios permisos:


-21-


-22-

5. La empresa tiene una serie de servicios que quiere seguir manteniendo(inclui-

dos sus nombres):

a. Controlador de Dominio => tunombre.gcap.net

b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1

Modificamos la IP del servidor, así como DHCP y DNS para la nueva IP:

Rango DHCP:


-23-

6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch

virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red

para simular lo anterior y que no tengan salida a Internet. Como si estuvieran

todos conectados físicamente a un switch.

El resto de equipos (clientes) tendrán una interfaz de red interna, sin salida a internet

(sin interfaz de red de tipo NAT).

Esta interfaz interna le asignaremos una IP automática que le proporcionará el servidor

DHCP de nuestro servidor y por lo tanto estarán todos los equipos clientes conectados

al servidor formando una red local

7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para

el resto de los usuarios, salvo para los dos usuarios del punto anterior.

Creamos el directorio donde almacenaremos los distintos perfiles de los usuarios.

Compartimos el directorio PERFILES con todos:


-24-

Fijamos la ruta donde se creara el perfil para cada usuario:

Comprobamos desde un cliente Windows, que recibe la configuración DHCP establecida

desde el servidor.


-25-

Y definimos en el cliente nuestro dominio creado en el servidor para poder iniciar sesión

con los usuarios del dominio.


-26-

Para iniciar sesión accedemos con un usuario del dominio, por ejemplo empleado1:

Comprobamos que el logueo de sesión ha sido realizado correctamente:

Una vez el cliente ha conectado con el dominio, nos pide reiniciar el cliente.

Posteriormente podremos iniciar sesión con un usuario del dominio:


-27-


-28-

En el servidor se nos creará un directorio con el perfil del usuario con el que hemos ini-

ciado sesión:

Si intentamos acceder no nos dejará puesto que no tiene un propietario por defecto, para

ello accedemos a las propiedades de la carpeta y a la pestaña seguridad:

Y ya podremos entrar:


-29-

Creamos con uno de los usuarios de sistemas una carpeta de red hacia la carpeta sistemas

del servidor y comprobamos que podemos acceder a su contenido, mientras que si la

creamos para la carpeta software no (ya que los usuarios de sistemas no tienen acceso al

directorio software, debido a los permisos que configuramos).

De igual forma comprobamos que están bien definidos los permisos que hemos definido

para todos los usuarios del dominio.

Ahora definimos internet a toda la red virtual para ello primero vamos a instalar el rol

de enrutamiento:

Una vez instalado lo configuramos:


-30-


-31-

Ahora desde el cliente comprobamos que podemos acceder a internet:


-32-

8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno

a la empresa quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro

perfil, proyecto, documentación, etc de la empresa. Los datos de los perfiles

Estarán en una partición o disco duro diferente a la del sistema operativo.

Como hicimos con los perfiles, creamos un directorio para los perfiles obligatorios en el

servidor y lo compartimos para todos los usuarios con permisos de lectura y escritura:

A continuación habilitamos el usuario invitado que por defecto esta deshabilitado.


-33-

Ahora con el Administrador local del cliente Windows XP, accedemos a propiedades del

sistema y a la pestaña opciones avanzadas para configurar los perfiles de usuario.


-34-

Seleccionamos algún usuario, por ejemplo empleado1 y damos a “copiar a”:

En permitido usar, lo cambiamos para todos.


-35-

Pulsamos en aceptar y si no nos da ningún error, la carpeta INVITADO.MAN se habrá

copiado al servidor dentro de la carpeta que creamos llamada INVITADO.

Y cambiamos uno de los archivos ocultos que contiene “ntuser.dat” por “ntuser.man”:

Configuramos Opciones de carpeta para poder ver los archivos ocultos:


-36-


-37-

Por último cambiamos la ruta del perfil del usuario invitado que habilitamos antes por la

de INVITADO.MAN:

Iniciamos sesión en el cliente con la cuenta Invitado (sin contraseña):


-38-

Comprobamos que si realizamos algún cambio con la cuenta de invitado, y volvemos a

iniciar sesión con ella, los cambios no se habrán realizado.

Tras Iniciar sesión nuevamente con Invitado:

10. El administrador, para optimizar el funcionamiento de la empresa, decide in-

cluir alguna directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan solicitar la asistenciaremota

de alguien del departamento de sistema por alguna incidencia (cuidado con el

firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de

pendrives y poner un fondo de escritorio corporativo para evitar “posibles dis-

tracciones”:

i. Habilitar Asistencia Remota Solicitada.

Instalamos en el servidor la característica asistencia remota.


-39-

Una vez instalada accedemos a la Administración de Políticas de grupo (GPO).

Creamos un nuevo GPO para toda la organización montada.

Una vez creada la editamos y habilitamos la asistencia remota solicitada:


-40-

ii. Habilitar no permitir que se ejecute windows messenger.

Accedemos a componentes de Windows y buscamos la directiva:

iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.

Ahora nos vamos a las directivas que afectan a la configuración de usuario y estable-

cemos en el apartado escritorio, un fondo corporativo:


-41-

iv. Ejecutar un programa que indique la ip del equipo y un usuario

en el escritorio.

Este programa es Bginfo, el cual descargaremos gratuitamente de la página oficial de

Microsoft:


-42-

Lo ejecutamos y configuramos para que muestre la IP y el usuario que ha iniciado sesión:

El resultado sería el siguiente:

v. Deshabilitar el uso de pendrives.

Volvemos a las directivas que afectan a la configuración del equipo y en el apartado sis-

temas y dispositivos, impedimos la instalación de pendrives.


-43-

b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota

a los usuarios sin necesidad de que estos la soliciten antes (como

alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese

ofrecimiento (cuidado con el firewall de windows).

i. Habilitar ofrecer asistencia remota.

Puesto que las nuevas directivas que vamos a configurar solo van a afectar al de-

partamento de sistemas, crearemos un nuevo GPO exclusivo para sistemas.


-44-

c. Para el Departamento de Software. Con idea de que los perfiles de

usuarios no se vuelvan muy pesados, la carpeta “Mis Documentos” se

ubicará en una unidad de red. Se almacenará en el servidor (en una

partición diferente a la del sistema operativo) llamada “personales”. El

recurso debe ser oculto para el resto. Como consecuencia de esto, se le

habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales no

estarán asociados al perfil

Como ya hicimos con sistemas, creamos un GPO para Sofware:

A continuación creamos la carpeta “Personales” y Redirigimos la carpeta “Docu-

mentos” a la carpeta que hemos creado, en una partición diferente a la del sistema

operativo.


-45-

Una vez creada la carpeta “personales” en la partición de ASIR, accedemos a

editar el GPO de Software y en configuración de usuario establecemos redirección

de la carpeta “documentos” a la nueva carpeta que hemos creado “personales”.


-46-

ii. Limitar el tamaño del perfil.

d. Para el director. Como es el jefe, dice que el puedo usar pendrives

cuando le de la gana y que quiere el windows messenger que le niega al

resto de sus empleados (no hay nada como ser el jefe). Recuerda la

jerarquía de aplicación de las directivas de grupo.

Definimos una nueva GPO, Para una nueva unidad organizativa que llamaremos direc-

ción donde estará presente solamente el director para aplicar las siguientes configuracio-

nes (Uso de Windows Messenger y Uso de Pendrives).

Y pasamos a editar:


-47-

i. Deshabilitar no permitir que se ejecute windows messenger.

ii. Habilitar el uso de pendrives.


-48-

11. Instala un servicio de distribución de software desde tu equipo servidor a las

Estaciones de trabajo del dominio mediante paquetes MSI:

a. OpenOffice.

b. Firefox.

Crea tú mismo estos paquetes con alguna utilidad.


-49-

12. Instala DFS y haz una prueba de su funcionamiento.

Instalamos DFS, desde Administración del servidor:

Aunque nos da la opción de crear un espacio de nombres, lo crearemos una vez este ins-

talado DFS.

Una vez instalado, pasaremos a crear un espacio de nombres y a configurarlo:


-50-


-51-

Documents

PRACTICA: ACTIVE DIRECTORY