UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLGICOS COMPUTACION

GUIA DE LABORATORIO # 4 NOMBRE DE LA PRCTICA: Configuracin de cuentas de usuario y unidades organizativas. LUGAR DE EJECUCION: Laboratorio de informtica N 5. TIEMPO ESTIMADO: 2 Horas 30 Minutos. MATERIA: Administracin de Servidores Comerciales. INSTRUCTOR: Ing. Edwin Edgardo Flores Alfaro.

PILET RICALDONE CICLO: 01/2013

I.

OBJETIVOS:

Que el estudiante: Defina la estructura dentro del Active Directory Crea unidades organizativas con las herramientas de AD. Crea cuentas usuarios asociadas a las unidades organizativas.

II.

INTRODUCCION TEORICA.

Directorio Activo
El Directorio Activo es el servicio de directorio en una red Windows 2008. Un servicio de directorio es un servicio de red donde se almacena la informacin de los recursos de la red para hacer ms fcil la accesibilidad de las aplicaciones y los usuarios. El servicio de directorio proporciona una manera consistente de nombrar, describir, localizar, acceder, administrar y asegura la informacin y los recursos.

El Directorio Activo proporciona la funcionabilidad al servicio de Directorio, incluyendo los medios de centralizar, administrar y controlar los accesos a los recursos de la red. El directorio Activo produce que la topologa de la red fsica y los protocolos sean transparentes para que los usuarios de una red puedan acceder a los recursos sin tener que saber dnde estn situados esos usuarios o cmo estn conectados fsicamente.

El AD organiza el directorio en secciones que permiten almacenar un gran nmero de objetos. Como resultado, el AD puede expandirse tanto como requiera la organizacin, desde un servidor con cientos de objetos hasta cientos de servidores con millones de objetos.

El AD se incluye en cada producto de las versiones de Windows 2008 server. Se dise para trabajar bien en cualquier tamao de instalacin, desde un server con cientos de objetos a miles de servidores y millones de objetos.

Windows server 2008, almacenan la informacin de la configuracin del sistema, perfiles de usuario y aplicaciones en el AD. En combinacin con las polticas de grupo, el AD permite a los administradores, administrar los servicios de red y las aplicaciones desde una localizacin central usando una interfaz de administracin consistente.

Estructura Lgica del Active Directory.

El AD tiene una estructura arbolada jerarquica que agrupa de menor a mayor los siguientes componentes: Objetos. Objetos contenedores. Unidades Organizativas. Dominios. rboles. Bosques.

Usuarios Y Grupos.
La cuenta de un usuario del dominio registra toda la informacin necesaria para su definicin en Windows Server 2008, incluyendo su nombre de usuario y contrasea (necesarios para iniciar sesin), los grupos a los que pertenece el usuario, los derechos y permisos que tiene el usuario para utilizar el equipo y la red, as como para tener acceso a sus recursos. En los controladores de dominio de Windows Server 2008, las cuentas de usuario se administran con Usuarios y equipos de Active Directory. Los objetos correspondientes a los equipos del dominio quedan incluidos en el dominio Active Directory de nuestro servidor Windows Server 2008, cuando son registrados en el mismo, tal y como vimos en el captulo correspondiente al servidor WDS; a partir de su integracin en el dominio, pueden ser incluidos en cualquier grupo al igual que haramos con los usuarios.

Sin duda alguna el tema de los grupos en Windows Server 2008, es una de las partes ms complejas de dicho sistema operativo, no tanto por alcanzar a comprender su funcionamiento, sino por poder realizar una planificacin adecuada de los grupos necesarios y su organizacin, de cara a gestionar eficazmente los recursos existentes en nuestra red y el acceso a los mismos. No se puede dar una configuracin comn y vlida para cualquier entorno de trabajo; debe ser el administrador de la red el que defina los grupos necesarios para el mejor aprovechamiento y gestin de los recursos de la red del centro.

Los grupos
En primer lugar para poder trabajar con los grupos, lo primero que hemos de hacer es crear usuarios en el dominio que puedan autenticarse desde una estacin de trabajo registrada en el dominio gestionado por el servidor Windows Server 2008; cuando un usuario es creado, ser incluido como miembro de un determinado grupo del dominio (administradores, usuarios, etc.); adems de crear a los usuarios, les asociaremos las propiedades y caractersticas que deseemos, definiendo por ejemplo su contrasea, las propiedades de cambio de la misma, o la posibilidad de acceso remoto al servidor, entre otras muchas opciones.

Los usuarios
Un usuario, al igual que una estacin de trabajo registrada en el dominio, no deja de ser un objeto en el rbol de Active Directory de nuestro servidor Windows Server 2008, de modo que un usuario o equipo pueden ser incluidos en los grupos de usuarios o equipos del dominio deseados. La creacin pura e individual de un conjunto de usuarios que tengan acceso identificado al dominio desde las estaciones de trabajo, es una labor sencilla, pero la concesin de permisos de acceso a los recursos del sistema se complica enormemente a medida que el nmero de usuarios crece; como ejemplo de ello supongamos que tenemos quince recursos compartidos a los que slo queremos dar acceso a los profesores del ricaldone; si damos acceso individual a cada profesor sobre cada recurso, y definimos un nuevo usuario profesor de nombre "RalB", deberamos acceder a cada uno de los quince recursos indicados y darle explcitamente permisos de acceso a " RalB" sobre cada recurso, uno por uno, lo cual es una labor tediosa y que adems puede implicar olvidos en la asignacin de permisos sobre alguno de los recursos a los que deberamos permitirle el acceso; aqu cobran sentido plenamente los grupos de usuarios, pues lo que haremos para lograr una eficaz gestin de nuestro dominio, no ser dar permisos individuales sobre cada uno de los quince recursos compartidos para cada profesor, sino crear un grupo de usuarios "Profesores", y dar permisos sobre dichos recursos al grupo de usuarios "Profesores", para luego incluir a cada profesor ("RalB " entre ellos) en el grupo "Profesores"; de este modo cuando definamos un nuevo usuario profesor, con incluirlo en el grupo "Profesores", de modo automtico tendr acceso a todos los recursos deseados, al estar incluido en un grupo con derechos de acceso a dichos recursos.

III.

MATERIALES Y EQUIPO.

Para la realizacin de la gua prctica se necesita lo siguiente: N Requerimiento 1 Gua de laboratorio N4. 2 Computadora con Windows 7 instalado. 3 Instalador de virtual box, VMware. 4 Imagen ISO de Windows Server 2008.

Cantidad 1 1 1 1

IV.

PROCEDIMIENTO.

Creacin de Usuarios Inicialmente trabajaremos en la creacin de las cuentas de los usuarios locales para luego crear cuentas de usuarios del dominio; Para que cada usuario tenga su funcin y pueda realizar trabajos en el server a travs de la red y bajo el dominio, ste debe registrar su equipo en el dominio de dicha red.

Windows Server 2008 tiene configuradas unas directivas de seguridad que imposibilitan que un usuario no disponga de contrasea, es ms, que requieren que dicha contrasea tenga unas caractersticas propias de longitud y complejidad que la hagan segura; aunque no sea nuestro caso, pues asociaremos contrasea a todos los usuarios del dominio, si deseramos que algn usuario pudiera autenticarse en el dominio sin contrasea alguna, deberamos modificar las directivas de seguridad del sistema; para ello accederamos a la opcin Inicio Herramientas administrativas Administracin de directivas de grupo, y en la ventana mostrada nos situamos sobre la entrada Default Domain Policy en el dominio denominado que hayamos creado dentro del bosque. Es importante no confundir las Unidades Organizativas y los Grupos de Usuarios o Equipos, pues se tiende a mezclar dichos conceptos cuando realmente no tienen nada que ver, de hecho podremos tener una Unidad Organizativa de nombre "Profesores" y un Grupo de Usuarios con el mismo nombre, teniendo ambos su finalidad y su razn de ser. Las Unidades Organizativas se trabajaran con mayor insistencia en la gua 5, cuando abordemos el tema relativo a las polticas o directivas de grupo. A continuacin vamos a definir algunos trminos que utilizaremos a continuacin con frecuencia: Grupos de mbito Local al Dominio.- Son grupos que permitirn definir y administrar el acceso a los recursos en un solo dominio. Estos grupos pueden tener como miembros a: grupos de mbito global, grupos de mbito universal, usuarios del dominio, otros grupos de mbito local de dominio, una mezcla de los anteriores. Grupos de mbito Local.- Estos grupos se utilizan para administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuarios y equipos. Grupos de mbito Universal.- Son grupos utilizados cuando la pertenencia a dicho grupo no cambian frecuentemente, ya que los cambios de pertenencia de esos grupos hacen que todos los datos de pertenencia del grupo se repliquen en todos los catlogos globales del bosque del dominio. Perfiles de usuarios.- Carpetas propias de un usuario, que incluyen bsicamente sus configuraciones personalizadas del entorno de trabajo y los documentos por l creados.

Perfil Mvil.- Perfil de usuario que se descarga desde el servidor en el equipo donde el usuario en cuestin haya iniciado sesin; cuando dicho usuario cierre sesin en el equipo cliente, los cambios en el perfil se almacenarn en el servidor en el espacio destinado para tal fin para dicho usuario. Perfil Obligatorio.- Perfil de usuario que se descarga desde el servidor en el equipo donde el usuario en cuestin haya iniciado sesin; cuando dicho usuario cierre sesin en el equipo cliente, los cambios en el perfil no se almacenarn en el servidor, de modo que el usuario dispondr del mismo perfil obligatorio cuando se valide de nuevo con sus credenciales en el equipo cliente.

Configure una mquina virtual con las siguientes caractersticas: Nombre: PiletWin2K8 HDD: 100GB. RAM: 1024 MB. RED: Bridge. Cree dos particiones de 50GB cada una. Instale el sistema operativo Windows server 2008. Creacin de Usuarios y Grupos locales. (Pase al numeral 1), despus de terminar todo el proceso contine con la siguiente lnea. Instale Active Directory utilizando el comando DCPROMO desde ejecutar. Como nombre de dominio deber poner uno de sus nombres o apellidos con extensin .com.sv Creacin de usuarios y grupos dentro del dominio de la red. (Pasa al numeral 2). Instale Windows XP para utilizarlo como cliente de red perteneciente al dominio creado.

1) Proceso de creacin de Usuarios y Grupos locales en Windows Server 2008

Despus de haber instalado Windows Server 2008 realice los siguientes pasos para crear las cuentas locales. Para crear un usuario local fuera del dominio debemos dar servidor\Configuracin\Usuarios y grupos locales\Usuario\Nuevo Usuario. clic en Inicio\Administrador del

En la siguiente pantalla debemos configurar el nombre usuario que es con el que se iniciara sesin, Nombre completo y una descripcin de dicho usuario normalmente ponemos el departamento al que pertenece. Deshabilitamos los checkbox que tienen que ver con la contrasea para que adquiera dichas propiedades, despus de realizar estos pasos simplemente damos clic en Crear para que el usuario est debidamente creado y quede establecido con una cuenta local. Como buena seal podr visualizar los campos en blanco indicando que todo sali bien y que puede seguir creando ms usuarios. Cree tres usuarios ms para avanzar con la prctica.

A continuacin de clic sobre la carpeta Usuarios y podr ver los cuatro usuarios creados, de clic derecho sobre el primer usuario creado, luego propiedades y seleccione la pestaa Miembro de. Como puede notar ste usuario automticamente es miembro del grupo Usuarios, esto podra tener sus riesgos puesto que todos los usuarios pertenecientes al grupo por defecto Usuarios pueden iniciar sesin el servidor, por lo que al iniciar sesin en el servidor estarn presentes todas las cuentas de dicho grupo.

Importante: Windows Server 2008 tiene configuradas unas directivas de seguridad que imposibilitan que un usuario no disponga de contrasea, es ms, que requieren que dicha contrasea tenga unas caractersticas propias de longitud y complejidad que la hagan segura; aunque no sea nuestro caso, pues asociaremos contrasea a todos los usuarios del dominio, si deseramos autenticar usuarios en el dominio sin contrasea alguna, debemos modificar las directivas de seguridad del sistema; para ello accederamos a la opcin Inicio\Herramientas administrativas\Administracin de directivas de grupo, y en la ventana mostrada nos situamos sobre la entrada Default Domain Policy en el dominio que hayamos creado.

Presione la combinacin de teclas Windows + L, para mostrar las cuentas de usuarios. En la siguiente imagen puede notar las cuentas de usuario con las cuales se puede iniciar sesin.

Para que esto no suceda, volvemos a Inicio\Administrador del servidor\Configuracin\Usuarios y grupos locales\Grupos\Grupos Nuevo .Damos clic derecho sobre la carpeta Grupos.

En la siguiente ventana debemos llenar los campos, Nombre de Grupo, Descripcin y de una sola vez agregamos a los usuarios creados, dando clic en el botn Agregar y en la siguiente pantalla escribimos el nombre de usuario que para este caso hemos usado EdwinF y damos clic en Comprobar nombres.

Por ltimo damos clic en Aceptar y veremos los usuarios que hemos agregado en lista.

Esto no basta para que los usuarios ya no aparezcan en el Grupo Usuarios, simplemente ahora pertenecen a dos grupos con los permisos que cada uno tenga hasta el momento. Procedemos entonces a sacar a EdwinF y AngelF del grupo Usuarios, para ello nos vamos a la carpeta Usuarios y nos vamos a las Propiedades de cada usuario, en la pestaa miembro de podr ver los grupos a los que pertenecen dichos usuarios por lo cual nicamente seleccionamos el grupo del que deseamos eliminar a cada usuarios y luego clic en el botn Quitar.

Cambie de usuario y como podr notar a excepcin del Administrador los dems usuarios ya no aparecen en el inicio de sesin del servidor.

2) Creacin de usuarios dentro del dominio Para realizar sta gua deber configurar su propio dominio con extensin .com.sv, el utilizado en esta gua es ricaldone.com.sv Vamos pues a proceder a crear los usuarios deseados para la gestin de nuestro servidor, para lo cual deberemos cargar el Directorio Activo, lo cual haremos ejecutando Inicio\Herramientas administrativas\Usuarios y equipos de Active Directory. Una vez all, daremos clic con el botn derecho sobre la carpeta Users, y seleccionaremos la opcin Usuario del men Nuevo en el men contextual desplegable correspondiente, tal y como vemos en la imagen inferior.

En la siguiente pantalla completaremos los datos solicitados, Nombre, Apellidos, Nombre completo, Nombre de inicio de sesin de usuario, como puede notar el nombre completo de inicio de sesin incluye el nombre del dominio, por lo que el nombre completo para este usuario es: salesianos@ricaldone.com.sv, luego damos clic en el botn siguiente. Configuramos la contrasea y desactivamos los checkbox, luego clic en Siguiente

Finalmente aparecer un cuadro resumen de comprobacin de los datos usuario, como todo esta correcto damos clic en finalizar, para concluir con la creacin del usuario.

Finalmente podremos comprobar la creacin de los usuarios dando clic en la carpeta Users, Cree 3 usuarios ms en ste servidor utilizando los mismos procedimientos mostrados.

Una vez completada la creacin de los usuarios, deberemos recordar a los usuarios de nuestra organizacin que deben cambiar su contrasea cuando accedan por primera vez al sistema (si es que habilitamos esta opcin), para evitar otro usuario pueda suplantar su identidad; este proceso que ser realizado por cada usuario de modo individual sobre la mquina en la cual se han validado, para poder ingresar bajo el dominio "ricaldone.com.sv". Agregue dentro del dominio a su Pc con Windows XP Clic derecho en mi PC\propiedades\Cambiar, luego escriba el nombre de su dominio que para nuestro caso es ricaldone.com.sv Y Aceptar.

El sistema al conectar con el servidor nos solicitara el usuario y contrasea con los cuales fue creado en el servidor, los escribimos y damos clic en Aceptar, para que desde ste momento sea parte

del dominio, para comprobar esto veremos en pantalla un mensaje de bienvenida y posteriormente el sistema nos pedir reiniciar para que los cambios tengan efecto.

Despus de reiniciado el equipo veremos una pantalla de inicio de sesin diferente a la acostumbrada, por lo que es una seal importante que estamos haciendo bien el proceso, damos clic en Opciones>> y seleccionamos el nombre del dominio que para nuestro caso es RICALDONE, escribimos el usuario con el que nos vamos a logear y la contrasea debida, clic en Aceptar y ya estamos dentro del dominio.

Perfiles de Usuarios
Podemos definir el perfil de un usuario como el entorno cargado por el sistema cuando un usuario inicia una sesin en un equipo. Incluye todos los valores de configuracin de usuario especficos del entorno Windows Server 2008, como elementos de programa, conexiones de red, conexiones de impresoras, escritorio, documentos, etc . Dichos perfiles de usuario se crean automticamente la primera vez que un usuario inicia una sesin en el sistema. Si en las propiedades del usuario en cuestin se le ha asociado una unidad de red del servidor como ruta de acceso a su perfil, estamos definiendo un perfil denominado perfil mvil, y que se caracteriza porque el perfil de usuario de servidor se descarga desde el servidor en el equipo local cuando un usuario inicia una sesin, y se actualiza tanto

localmente como en el servidor cuando el usuario cierra la sesin. Los perfiles de usuarios mviles estn disponibles en el servidor cuando se inicie una sesin como usuario del dominio. Los perfiles mviles, a no ser que se indique lo contrario, almacenarn los cambios en la configuracin del perfil indicados por el usuario (este tipo de perfil ser el utilizado por los profesores de nuestro centro), tales como los archivos almacenados en Mis Documentos o los iconos existentes en el Escritorio, por ejemplo. Los alumnos de nuestro centro tambin dispondrn de un perfil mvil, pero que no se actualiza cuando el usuario cierra la sesin, denominado perfil obligatorio, y que se descarga cada vez que el usuario inicia sesin. Los perfiles obligatorios son creados por un administrador y asignados a uno o varios usuarios a fin de crear perfiles de usuario invariables. Para poder definir perfiles mviles (obligatorios para los alumnos y dinmicos para los profesores), lo primero que hemos de hacer es crear una carpeta compartida donde almacenemos la totalidad de los perfiles de los usuarios del centro. Para ello crearemos en la unidad E: de nuestro servidor Windows Server 2008 una carpeta de nombre Perfiles, y posteriormente daremos clic derecho y seleccionaremos la opcin Propiedades en el men desplegable correspondiente, ubicndonos sobre la pestaa Compartir tal y como vemos en la imagen inferior, y una vez en dicha pestaa damos clic en Uso compartido avanzado.

En la nueva ventana mostrada activaremos en este instante la casilla Compartir esta carpeta, y en la caja de texto Nombre del recurso compartido escribimos el nombre Perfiles$; Despus damos clic sobre el botn Permisos. El Smbolo "$" que le sigue al nombre de una carpeta compartida, configura dicha carpeta para que no sea mostrada a los usuarios cuando stos intentan obtener la lista de carpetas compartidas del "SERVIDOR" Windows Server 2008. En la nueva ventana mostrada como resultado de la accin anterior, asignaremos al grupo Todos los permisos Control Total, Cambiar y Leer, tal y como vemos en la imagen inferior, tras lo cual completaremos el proceso pulsando sobre el botn Aceptar.

El grupo Todos debe disponer de todos los permisos para que cada usuario pueda grabar su perfil en su carpeta; esto permitira, potencialmente hablando, que cualquier usuario podra grabar lo que quisiera en la raz de la carpeta Perfiles si sabe de su existencia, de ah el hecho de incluir el smbolo "$" en el nombre asignado al recurso para que no sea visible por los usuarios; esta situacin no genera un grave problema de seguridad, pues nunca ningn usuario podr acceder a visualizar el contenido de otra carpeta de perfiles que no sea la suya propia. De vuelta a la ventana anterior pulsaremos sobre el botn Aceptar, y luego sobre Cerrar para proceder a cerrar la ventana de Propiedades de la carpeta Perfiles. Una vez creada la carpeta donde ubicaremos la carpeta de perfiles de los usuarios, vamos a proceder a crear un perfil obligatorio que ser asociado a los usuarios de nuestra organizacin. Para crear un perfil obligatorio, lo primero que debemos de tener en cuenta es que no debemos tener asignada ninguna ruta de acceso al perfil en los usuarios a los que vamos a asociarles el perfil obligatorio, damos clic con el botn derecho sobre alguno de dichos usuarios, y

seleccionamos la opcin Propiedades, al situarnos sobre la pestaa Perfil comprobaremos que la caja de texto Ruta de acceso al perfil est vaca, tal y como se ve en la imagen inferior con el usuario "EdwinF".

Una vez comprobado que no existe asociada ruta de acceso al perfil alguna para el usuario en cuestin, deberemos tener presente llegado este punto, si vamos a crear un perfil obligatorio que deba aplicarse en Windows XP Professional, Windows 2000 Professional, o bien en Windows 7 pues en funcin del Sistema Operativo del que partamos para crear el perfil correspondiente, los pasos a llevar a cabo varan ligeramente. Ya que tenemos instalado Windows XP vamos a realizar el proceso de creacin de un perfil obligatorio para Windows XP Professional. En primer lugar iniciaremos sesin en una estacin de trabajo del dominio Windows XP Professional con la cuenta del dominio del usuario para el cual deseamos crear el perfil obligatorio, para este caso utilizaremos el usuario EdwinF.

Tras validarnos correctamente en el sistema, procederemos a modificar en dicha sesin el entorno de trabajo, de modo que personalicemos el perfil que deseamos le sea mostrado a nuestros usuarios.; una vez que hayamos completado la totalidad de los cambios deseados, cerraremos la sesin de trabajo del usuario en cuestin, procediendo a autenticarnos en la misma mquina como un administrador del dominio (no el administrador de la mquina local), tal y como vemos en la imagen inferior.

Una vez autenticados con las credenciales del Administrador del dominio, iremos a Inicio\Panel de control\Rendimiento y mantenimiento\Sistema, y una vez all nos situaremos en la pestaa Opciones Avanzadas, para pulsar a continuacin sobre el botn Configuracin del apartado Perfiles de Usuario.

Otra forma quizs las ms utilizada es; Clic derecho en Mi PC\Propiedades\Opciones Avanzadas\Perfil de Usuario\Configuracin, como se muestra en la siguiente figura.

El siguiente paso consistir en pulsar sobre el botn Copiar a en la ventana de la imagen anterior, indicando como ruta de destino \\SERVIDOR\Perfiles$\usuario.man en la caja de texto correspondiente, tal y como vemos en la imagen inferior.

El siguiente paso consiste en acceder al servidor Windows Server 2008, y una vez en l, situarnos sobre la carpeta E:\Perfiles\usuario.man, pulsando en ella con el botn derecho del mouse y seleccionando la opcin Propiedades en el desplegable correspondiente. Como resultado de dicha accin se nos mostrar la siguiente ventana, en la que nos ubicaremos sobre la pestaa Seguridad, y tras ello nos situaremos sobre el grupo Todos para pulsar posteriormente sobre el botn Editar a fin poder modificar los permisos asociados a dicho grupo.

V.

INVESTIGACION COMPLEMENTARIA.

Investigacin dentro del laboratorio: Investigue cuales son las polticas de seguridad por defecto de Windows server 2008. Investigue el proceso de creacin de polticas de seguridad para la instalacin de software de forma automtica. Investigue como organizar las unidades organizativas en el servidor Windows 2008. VI. BIBLIOGRAFIA.

http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/domcntrl.mspx http://es.wikipedia.org/wiki/Windows_Server_2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/domcntrl.mspx http://www.microsoft.com/latam/technet/windowsserver/longhorn/evaluate/whitepaper.mspx http://www.guillesql.es/Articulos/Windows_Server_2008_Instalar_Directorio_Activo.aspx