Beruflich Dokumente
Kultur Dokumente
Laboratorio
Windows Server Directorio Activo
Laboratorio
Windows Server Directorio Activo
Duracin estimada: 90 minutos
Objetivos: Aprender a crear un controlador de dominio y servidor de directorio activo.
Introduccin
Para En una red de Microsoft Windows 2003, el servicio de directorio Active Directory proporciona la
estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red.
Para implementar y administrar una red de Windows 2003, deber comprender el propsito y la
estructura de Active Directory.
Active Directory proporciona tambin la capacidad de administrar centralmente la red de Windows
2003 Server. Esta capacidad significa que puede almacenar centralmente informacin acerca de la
empresa, por ejemplo, informacin de usuarios, grupos e impresoras, y que los administradores pueden
administrar la red desde una sola ubicacin.
Active Directory admite la delegacin del control administrativo sobre los objetos de l mismo. Esta
delegacin permite que los administradores asignen a un grupo determinado de administradores,
permisos administrativos especficos para objetos, como cuentas de usuario o de grupo.
Active Directory es el servicio de directorio de una red de Windows 2003, mientras que un servicio de
directorio es aquel que almacena informacin acerca de los recursos de la red y permite que los mismos
resulten accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una
manera coherente de nombrar, describir, localizar, tener acceso, administrar y asegurar la informacin
relativa a los recursos de red.
DESARROLLO
1. PROCESO DE INSTALACION ACTIVE DIRECTORY
Inicie sesin como administrador
Colocar una direccin IP(vamos a trabajar en la red 192.168.1.0/24), para esto debemos ir a la opcin:
Inicio/paneldecontrol/conexionesdered/reddearealocal
Luego clic en la opcin de propiedades
Colocamos la direccin ip, mascara de subred tal como se muestra en la imagen. Luego cerramos la
ventana haciendo clic en aceptar.
Seleccionar la opcin Usar la siguiente direccin IP y colocar la IP, el puerto de enlace y el servidor
DNS preferido y clic en Aceptar
Seleccionamos la opcin contrlador de dominio para un nuevo bosque, luego hacemos clic en siguiente
Ahora vamos a colocar el nombre del dominio, en nuestro ejemplo vamos a asumir el dominio ucv.com
Luego aparecer otra ventana solicitando el nombre NETBIOS para el dominio, es recomendable
dejarlo tal como sale por defecto. Este nombre ser para aquellos clientes que no soporten active
directory (W9x, wNT4, etc.) Este nombre no puede superar los 15 caracteres.
Ahora saldrn las rutas para las carpetas de la base de datos de active directory. La base datos de
Active Directory contendr los objetos de active directory y sus propiedades, mientras que los archivos
de registro, registran las actividades del servicio del directorio
Luego una ventana permite modificar la ruta para para la carpeta SYSVOL, carpeta que ser
compartida como volumen del sistema. La base de datos, los registros y el Volumen del Sistema deben
situarse en volmenes que utilicen el sistema de archivos NTFS. Por seguridad suele ser conveniente
situarlo en un volumen distinto al del sistema operativo. Pero en esa ocasin vamos a dejarlo por
defecto.
Debido a que an no se ha instalado el controlador de dominio saldr una ventaja mostrando un error
de diagnstico.
Aqu vamos a seleccionar la opcin 2. Instalar y configurar este equipo de manera que utilice este
equipo como preferido.
Te piden una contrasea para modo restauracin, puedes colocar cualquier contrasea ya que no ser
utilizada al momento de la conexin.
10
NOTA: tambin es posible que salga un mensaje de error indicando un problema con la creacin
del GPO para el dominio. En ese caso cerramos el asistente y podemos reparar la base de datos con
los comandos
esentutl /p %SystemRoot%\security\database\secedit.sdb
esentutl /r %SystemRoot%\security\database\secedit.sdb
Luego %SystemRoot%\security, borramos el archivo Edb.log luego volvemos a cargar el
asistente con el comando dcpromo.exe
11
En ese caso vamos a re direccionar a la carpeta I386 para que contine la instalacin
Si no se cuenta con la carpeta I386, vamos a utilizar el CD 2. Primero debemos montar el archivo de
imagen X13-18668.IMG. Desde VMWARE.
Clic derecho sobre la pestaa de la mquina virtual luego, Removable Devide, CD, Settings tal como se
muestra en la siguiente imagen.
Ahora en la ventana que salio elegimos utilizar imagen ISO y luego clic en browse
12
Cambiamos de ISOS a All files para ver nuestra imagen y seleccionamos X13-18668
13
14
Aqu podemos apreciar el dominio cvallejos.com dentro de nuestro dominio hay varias unidades
organizacionales que el sistema carga por defecto por ejemplo Computers, donde se iran agregando los
equipos que agregamos al dominio, o users donde se ubican los usuarios heredados de sistemas
anteriores como Windows NT o 2000.
En todos los casos es mejor no crear nuestros usuarios dentro de estas unidades, sino crear nuestras
propias unidades organizacionales de acuerdo a la organizacin de nuestra empresa.
En nuestro ejercicio vamos a crear las Unidades Organizacionales Ventas, Compras, Contabilidad,
Administracin y Sistemas.
15
16
Luego colocarle contrasea (debe ser mayor de 4 dgitos y contener caracteres alfanumricos
maysculas y minsculas p.e. 123456Abc)
De esta forma podemos crear ms usuarios para la red de dominio.
Creacin de Grupos
Es una buena prctica crear por lo menos un grupo dentro de cada unidad organizacional con el
mismo nombre que la unidad de manera que los usuarios se agreguen a dicho grupo y asi poder
manejar ciertos accesos por grupos.
Haciendo clic sobre la unidad organizativa creamos el grupo
17
Tambin podemos cambiar de grupo a nuestros usuarios haciendo clic derecho /propiedades sobre
nuestros usuarios y desde la pestaa miembros agregamos otros grupos.
Vamos a agregar a nuestro usuario (que por defecto tambin pertenece al grupo usuarios de dominio),
Vamos a propiedades del grupo creado y agregamos a nuestro usuario.
Crear entonces los usuarios publicista1, publicista2, tecnico1, tecnico2, programador1 y agregarlos a
sus respectivos grupos publicidad, soporte tcnico, y desarrollo respectivamente.
18
19
20
Ahora vamos al panel de control de AD DS para modificar la pestaa perfil de nuestros usuarios.
Clic derecho sobre el usuario a configurar, propiedades y luego vamos a la pestaa perfil.
Colocamos en el campo conectar utilizando el nombre del servidor. Es conveniente utilizar la
variable %username%.
Al hacer clic en aceptar debe crearse automticamente una carpeta con el nombre del usuario dentro
de la carpeta personales
21
22
Ahora vamos a la carpeta de red compartida NETLOGON (Donde deben estar todos aquellos
programas que queremos que se ejecuten en ordenadores remotos al iniciar sesin).
(Reemplazando WindowsC por el nombre del servidor y Utilitarios por el nombre de la carpeta
compartida)
23
Ahora vamos a las propiedades del usuario y en la pestaa de perfil en la opcin de Secuencia de
comandos de inicio de sesin y llenamos el campo con el nombre del script.
Aceptamos la configuracin y luego probamos con el usuario desde el cliente Windows XP.
24
25
8. DIRECTIVAS DE GRUPO
Con las directivas de grupo podemos impedir o restringir ciertas caractersticas del sistema a los
usuarios. Vamos aprobar a quitarle a nuestros usuarios la posibilidad de utilizar inicio/ejecutar.
Para ello tendremos que aplicar una directiva de grupo a una unidad administrativa. No se puede
restringir a usuarios individuales.
Vamos a la unidad organizativa Soporte Tcnico, Clic propiedades, pestaa directiva de grupo.
Nueva, cambiamos el nombre a evitar ejecutar, luego clic en editar y saldr una ventana nueva.
Esta ventana nos muestra dos opciones. 1 realizar modificaciones sobre el equipo o 2 sobre los
usuarios.
Hay una gran cantidad de opciones y de alguna forma hay que ir memorizando donde se encuentran
las distintas opciones.
26
Hacemos doble clic sobre la directiva y habilitamos la opcin quitar el men de ejecutar
Probamos ingresando con cualquier usuario del grupo Soporte Tcnico.
27
Creamos con Nuevo y a esta directiva vamos a llamarle distribucin de aplicaciones. Luego clic en
editar y luego clic en configuracin de software en configuracin de usuario. Expandimos y elegimos
instalacin de software, propiedades e indicamos la carpeta de red donde se encuentran los programas
que queremos distribuir.
28
Ahora vamos a elegir que aplicaciones que queremos que se instalen. Hacemos clic derecho sobre
Instalacin de software luego nuevo/Paquete y seleccionamos.
Luego ingresamos desde Windows Xp y vamos a panel de control /agregar Nuevos Programas/ y
deberamos poder elegir si deseamos instalar el programa asignado.
29
Fin.
30