Semana 13

Laboratorio
Windows Server Directorio Activo

Ing. Jesus Alberto Vilchez Sandoval

Ing. Jesus Alberto Vilchez Sandoval

Laboratorio
Windows Server Directorio Activo
Duracin estimada: 90 minutos
Objetivos: Aprender a crear un controlador de dominio y servidor de directorio activo.
Introduccin
Para En una red de Microsoft Windows 2003, el servicio de directorio Active Directory proporciona la
estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red.
Para implementar y administrar una red de Windows 2003, deber comprender el propsito y la
estructura de Active Directory.
Active Directory proporciona tambin la capacidad de administrar centralmente la red de Windows
2003 Server. Esta capacidad significa que puede almacenar centralmente informacin acerca de la
empresa, por ejemplo, informacin de usuarios, grupos e impresoras, y que los administradores pueden
administrar la red desde una sola ubicacin.
Active Directory admite la delegacin del control administrativo sobre los objetos de l mismo. Esta
delegacin permite que los administradores asignen a un grupo determinado de administradores,
permisos administrativos especficos para objetos, como cuentas de usuario o de grupo.
Active Directory es el servicio de directorio de una red de Windows 2003, mientras que un servicio de
directorio es aquel que almacena informacin acerca de los recursos de la red y permite que los mismos
resulten accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una
manera coherente de nombrar, describir, localizar, tener acceso, administrar y asegurar la informacin
relativa a los recursos de red.

Ing. Jesus Alberto Vilchez Sandoval

DESARROLLO
1. PROCESO DE INSTALACION ACTIVE DIRECTORY
Inicie sesin como administrador
Colocar una direccin IP(vamos a trabajar en la red 192.168.1.0/24), para esto debemos ir a la opcin:
Inicio/paneldecontrol/conexionesdered/reddearealocal
Luego clic en la opcin de propiedades

Luego doble clic en Protocolo de Internet para configurar la direccin IP

Colocamos la direccin ip, mascara de subred tal como se muestra en la imagen. Luego cerramos la
ventana haciendo clic en aceptar.
Seleccionar la opcin Usar la siguiente direccin IP y colocar la IP, el puerto de enlace y el servidor
DNS preferido y clic en Aceptar

Ing. Jesus Alberto Vilchez Sandoval

Luego hacemos clic en:

Inicio/HerramientasAdministrativas/Asistente para configurar su servidor

Luego clic en siguiente:

Ing. Jesus Alberto Vilchez Sandoval

Nuevamente siguiente en la ventana pasos preliminares. Luego seleccionar configuracin

personalizada.

Seleccionar Active Directory

Luego En el resumen de las selecciones tambin ejecutar siguiente.

Aparecer el asistente de instalacin

Ing. Jesus Alberto Vilchez Sandoval

Damos clic en siguiente

Ahora seleccionar controlador de dominio para un nuevo dominio

Ing. Jesus Alberto Vilchez Sandoval

Seleccionamos la opcin contrlador de dominio para un nuevo bosque, luego hacemos clic en siguiente

Ing. Jesus Alberto Vilchez Sandoval

Ahora vamos a colocar el nombre del dominio, en nuestro ejemplo vamos a asumir el dominio ucv.com

Luego aparecer otra ventana solicitando el nombre NETBIOS para el dominio, es recomendable
dejarlo tal como sale por defecto. Este nombre ser para aquellos clientes que no soporten active
directory (W9x, wNT4, etc.) Este nombre no puede superar los 15 caracteres.

Ing. Jesus Alberto Vilchez Sandoval

Ahora saldrn las rutas para las carpetas de la base de datos de active directory. La base datos de
Active Directory contendr los objetos de active directory y sus propiedades, mientras que los archivos
de registro, registran las actividades del servicio del directorio

Luego una ventana permite modificar la ruta para para la carpeta SYSVOL, carpeta que ser
compartida como volumen del sistema. La base de datos, los registros y el Volumen del Sistema deben
situarse en volmenes que utilicen el sistema de archivos NTFS. Por seguridad suele ser conveniente
situarlo en un volumen distinto al del sistema operativo. Pero en esa ocasin vamos a dejarlo por
defecto.

Ing. Jesus Alberto Vilchez Sandoval

Debido a que an no se ha instalado el controlador de dominio saldr una ventaja mostrando un error
de diagnstico.
Aqu vamos a seleccionar la opcin 2. Instalar y configurar este equipo de manera que utilice este
equipo como preferido.

En la ventana de permisos compatibles solo con Windows 2000 o superior

Ing. Jesus Alberto Vilchez Sandoval

Te piden una contrasea para modo restauracin, puedes colocar cualquier contrasea ya que no ser
utilizada al momento de la conexin.

Aprobamos el resumen con clic en siguiente:

10

Ing. Jesus Alberto Vilchez Sandoval

Ahora esperamos que termine la configuracin automtica

NOTA: tambin es posible que salga un mensaje de error indicando un problema con la creacin
del GPO para el dominio. En ese caso cerramos el asistente y podemos reparar la base de datos con
los comandos

esentutl /p %SystemRoot%\security\database\secedit.sdb
esentutl /r %SystemRoot%\security\database\secedit.sdb
Luego %SystemRoot%\security, borramos el archivo Edb.log luego volvemos a cargar el
asistente con el comando dcpromo.exe

Durante la instalacin es posible que se solicite el CD

11

Ing. Jesus Alberto Vilchez Sandoval

En ese caso vamos a re direccionar a la carpeta I386 para que contine la instalacin
Si no se cuenta con la carpeta I386, vamos a utilizar el CD 2. Primero debemos montar el archivo de
imagen X13-18668.IMG. Desde VMWARE.

Clic derecho sobre la pestaa de la mquina virtual luego, Removable Devide, CD, Settings tal como se
muestra en la siguiente imagen.

Ahora en la ventana que salio elegimos utilizar imagen ISO y luego clic en browse

12

Ing. Jesus Alberto Vilchez Sandoval

Cambiamos de ISOS a All files para ver nuestra imagen y seleccionamos X13-18668

Luego clic en Ok para terminar.

Volvemos a la Mquina virtual y continuamos la instalacin desde el CD (posiblemente la instalacin

contine automticamente).

13

Ing. Jesus Alberto Vilchez Sandoval

Finalmente mandamos a reiniciar

Luego de reiniciar nos logeamos en el dominio (clic en opciones)

14

Ing. Jesus Alberto Vilchez Sandoval

2. ADMINISTRACION DE UNIDADES ORGANIZACIONALES

Nos vamos a Inicio, herramientas administrativas y a Usuarios y equipos de Active Directory

Aqu podemos apreciar el dominio cvallejos.com dentro de nuestro dominio hay varias unidades
organizacionales que el sistema carga por defecto por ejemplo Computers, donde se iran agregando los
equipos que agregamos al dominio, o users donde se ubican los usuarios heredados de sistemas
anteriores como Windows NT o 2000.
En todos los casos es mejor no crear nuestros usuarios dentro de estas unidades, sino crear nuestras
propias unidades organizacionales de acuerdo a la organizacin de nuestra empresa.

En nuestro ejercicio vamos a crear las Unidades Organizacionales Ventas, Compras, Contabilidad,
Administracin y Sistemas.

15

Ing. Jesus Alberto Vilchez Sandoval

Luego crearemos los sub unidades organizativas siguientes

SISTEMAS: Soporte, Desarrollo, Telecomunicaciones

VENTAS: Marketing, Publicidad

16

Ing. Jesus Alberto Vilchez Sandoval

3. ADMINISTRACION DE CUENTAS USUARIO Y GRUPOS

Creacin de Usuario
Ahora crear un nuevo usuario seleccionamos una unidad organizacional y con clic derecho creamos un
nuevo usuario. Complete un usuario con sus datos:

Luego colocarle contrasea (debe ser mayor de 4 dgitos y contener caracteres alfanumricos
maysculas y minsculas p.e. 123456Abc)
De esta forma podemos crear ms usuarios para la red de dominio.
Creacin de Grupos
Es una buena prctica crear por lo menos un grupo dentro de cada unidad organizacional con el
mismo nombre que la unidad de manera que los usuarios se agreguen a dicho grupo y asi poder
manejar ciertos accesos por grupos.
Haciendo clic sobre la unidad organizativa creamos el grupo

17

Ing. Jesus Alberto Vilchez Sandoval

Tambin podemos cambiar de grupo a nuestros usuarios haciendo clic derecho /propiedades sobre
nuestros usuarios y desde la pestaa miembros agregamos otros grupos.
Vamos a agregar a nuestro usuario (que por defecto tambin pertenece al grupo usuarios de dominio),
Vamos a propiedades del grupo creado y agregamos a nuestro usuario.

Crear entonces los usuarios publicista1, publicista2, tecnico1, tecnico2, programador1 y agregarlos a
sus respectivos grupos publicidad, soporte tcnico, y desarrollo respectivamente.

18

Ing. Jesus Alberto Vilchez Sandoval

4. INTEGRANDO EQUIPOS AL DOMINIO

Primero debemos configurar la tarjeta de red del computador Cliente Inicio/ejecutar/ncpa.cpl luego ir
a propiedades de la tarjeta de red. Configurar una IP de la misma red que el Servidor AD y poner la IP
del AD en el servidor DNS.

Luego clic en aceptar y cerrar.

Luego vamos a mi PC propiedades o Inicio/ejecutar/sysmd.cpl.

19

Ing. Jesus Alberto Vilchez Sandoval

Luego aceptamos y dejamos que el equipo reinicie.

Una vez reiniciado podemos presionar en opciones y veremos cmo podemos registrarnos a travs de
la base de datos local o mediante la red de dominio.

20

Ing. Jesus Alberto Vilchez Sandoval

5. CONFIGURANDO CARPETA PERSONAL

Vamos a crear carpetas de red personales en nuestro servidor para los trabajadores de una empresa.
Lo primero que debemos hacer es crear una carpeta trabajadores y luego otra carpeta compartida con
permisos usuarios de dominio control total.

Ahora vamos al panel de control de AD DS para modificar la pestaa perfil de nuestros usuarios.
Clic derecho sobre el usuario a configurar, propiedades y luego vamos a la pestaa perfil.
Colocamos en el campo conectar utilizando el nombre del servidor. Es conveniente utilizar la
variable %username%.

Al hacer clic en aceptar debe crearse automticamente una carpeta con el nombre del usuario dentro
de la carpeta personales

21

Ing. Jesus Alberto Vilchez Sandoval

Ahora podemos logearnos con el usuario en el sistema y comprobar la creacin de la conexin de la

carpeta personal.

22

Ing. Jesus Alberto Vilchez Sandoval

6. CREANDO UNIDADES DE RED

Ahora vamos a crear una unidad de red compartida para varios usuarios del dominio.
Lo primero que haremos esta vez es crear una carpeta de red para los usuarios de soporte tcnico, de
manera que adicionalmente a su carpeta personal tendrn una carpeta compartida.
Crearemos una carpeta llamada utilitarios y la compartiremos agregando solamente al grupo de
soporte tcnico asignndole control total.

Ahora vamos a la carpeta de red compartida NETLOGON (Donde deben estar todos aquellos
programas que queremos que se ejecuten en ordenadores remotos al iniciar sesin).

Crearemos un archivo .bat, al cual llamaremos utilitarios.bat con el siguiente contenido

(Reemplazando WindowsC por el nombre del servidor y Utilitarios por el nombre de la carpeta
compartida)

23

Ing. Jesus Alberto Vilchez Sandoval

Ahora vamos a las propiedades del usuario y en la pestaa de perfil en la opcin de Secuencia de
comandos de inicio de sesin y llenamos el campo con el nombre del script.

Aceptamos la configuracin y luego probamos con el usuario desde el cliente Windows XP.

24

Ing. Jesus Alberto Vilchez Sandoval

7. CREAR PERFILES MOVILES

Vamos a crear perfiles mviles que permitan mantener la configuracin del escritorio, favoritos, etc,
aunque el usuario cambie de PC.
Primero vamos a crear una carpeta Perfiles y lavamos a compartir con los usuarios del dominio con
control total igual que en los ejercicios anteriores.
Para esto vamos a ir a las propiedades de nuestro usuario en la pestaa perfil y en el campo Ruta de
Acceso al Perfil colocamos los datos del servidor y de la carpeta de los perfiles tal como se muestra en
la siguiente imagen.

Luego probamos ingresando nuevamente desde el cliente con Windows XP.

Y luego verificamos que se cre la carpeta con el perfil.

25

Ing. Jesus Alberto Vilchez Sandoval

8. DIRECTIVAS DE GRUPO
Con las directivas de grupo podemos impedir o restringir ciertas caractersticas del sistema a los
usuarios. Vamos aprobar a quitarle a nuestros usuarios la posibilidad de utilizar inicio/ejecutar.
Para ello tendremos que aplicar una directiva de grupo a una unidad administrativa. No se puede
restringir a usuarios individuales.
Vamos a la unidad organizativa Soporte Tcnico, Clic propiedades, pestaa directiva de grupo.
Nueva, cambiamos el nombre a evitar ejecutar, luego clic en editar y saldr una ventana nueva.

Esta ventana nos muestra dos opciones. 1 realizar modificaciones sobre el equipo o 2 sobre los
usuarios.
Hay una gran cantidad de opciones y de alguna forma hay que ir memorizando donde se encuentran
las distintas opciones.

Vamos a configuracin de usuario, plantillas administrativas, Men Inicio y Barra,

26

Ing. Jesus Alberto Vilchez Sandoval

Hacemos doble clic sobre la directiva y habilitamos la opcin quitar el men de ejecutar
Probamos ingresando con cualquier usuario del grupo Soporte Tcnico.

27

Ing. Jesus Alberto Vilchez Sandoval

9. PUBLICACION Y ASIGNACION DE APLICACIONES POR LA RED

Veamos cmo se distribuyen aplicaciones por la red a los equipos que se encuentran en el dominio.
Primero vamos a crear una carpeta programas en donde almacenaremos los instaladores con
extensin .msi
Compartimos la carpeta con los usuarios del dominio y permisos de lectura.
Luego vamos a configurar el servidor para la distribucin de las aplicaciones. Entramos en
Herramientas administrativas/Usuarios y equipos de AD/
Esta opcin se configurara dentro de las unidades administrativas en la pestaa directivas de grupo.

Creamos con Nuevo y a esta directiva vamos a llamarle distribucin de aplicaciones. Luego clic en
editar y luego clic en configuracin de software en configuracin de usuario. Expandimos y elegimos
instalacin de software, propiedades e indicamos la carpeta de red donde se encuentran los programas
que queremos distribuir.

28

Ing. Jesus Alberto Vilchez Sandoval

Las opciones tienen el siguiente significado

Publicar: el usuario puede elegir si quiere instalarlo.

Asignar: el programa se instala al iniciar sesin.

Ahora vamos a elegir que aplicaciones que queremos que se instalen. Hacemos clic derecho sobre
Instalacin de software luego nuevo/Paquete y seleccionamos.

Luego ingresamos desde Windows Xp y vamos a panel de control /agregar Nuevos Programas/ y
deberamos poder elegir si deseamos instalar el programa asignado.

29

Ing. Jesus Alberto Vilchez Sandoval

10. PLUS APAGAR UNA PC REMOTAMENTE

Si deseamos apagar un cliente remotamente debemos utilizar el comando

Podemos detener el apagado con el siguiente comando:

Fin.

30