Windows server 2016

Datacenter no tenemos limite a la hora de virtualizar, pero tenemos que licenciar CAL

Standard solo podemos hacer 2 maquinas virtuales además de que tenemos que licenciar CAL

A continuación las ediciones sin hyper-v

Essencial pequeñas empresas con hasta 25 usuarios y no hay que licenciar CAL

Multipoint enfocado a “estaciones tontas” entornos académicos

Storage almacenamiento de alta disponibilidad

Limites comparado con el anterior server 2012 y VMware vSphere6

Si nos descargamos una versión evaluación y mas adelante la queremos pasar a una versión standard.
Nos vamos a la consola cmd

DISM /online /Get-CurrentEdition

De esta forma comprobamos la versión instalada actualmente

Ahora dependiendo de la versión que queramos poner:

DISM /online /Set-Edition:ServerStandard /ProductKey:WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY /AcceptEula

Una vez que termina pedirá reiniciar el equipo y ya estaría cambiada el tipo de versión.

Como recomendación no conviene hacerlo si ya tenemos configurado algun rol en el servidor.

Para activar Windows desde la línea de comandos

Cambiamos nuestra clave de producto:

Slmgr –ipk xxxxx-xxxxx---

Activar nuestra clave

Slmgr –auto
Para configurar las actualizaciones automáticas, abrimos el editor de directivas de grupo locales
gpedit.msc

Ahora nos vamos

Configuracion de equipo

Plantillas administrativas

Componentes de Windows

Windows update

Editamos Configurar actualizaciones automáticas

La habilitamos y especificamos las opciones deseadas

Crear usuarios locales

Es igual que en otras versiones de Windows server.

Equipo botón derecho y administrar, o bien en el icono de inicio con el botón derecho y administrador de equipos
Nos vamos a usuarios y grupos locales

Por defecto nos trae otras 2 cuentas deshabilitadas.

DefaultAccount La utiliza el sistema operativo para crear otras cuentas

Invitado por seguridad deshabilitada

Pinchamos con el botón derecho y le daríamos a usuario nuevo

De la misma forma podemos crear grupos en la pestaña grupos

Configurar red NIC para alta disponibilidad

En el administrador de servidor, pinchamos en servidor local, después en

Formacion de equipos NIC

Nos saldrá esta pantalla

De esta forma seleccionamos las tarjetas de red a unir, pinchamos con el botón derecho y damos a

Agregar a nuevo equipo

Tambien podemos marchar ahora las tarjetas a usar.

Pinchando en Propiedades adicionales podemos seleccionar el modo de funcionamiento de la mueva unidad de red

Modo de formación de equipos

Modo de equilibrio de carga

Adaptador en modo de espera es que uno se quede en espera por si falla alguno de los demás.

Si va a configurar un equipo NIC en una máquina virtual (VM), debes seleccionar un modo
de equipos de adaptadores de conmutador independientes y un modo de equilibrio de
carga de Hash de dirección.

Configuracion remota de equipos

Si no estamos dentro de un dominio agregamos el equipo a administrar al archivo host de Windows

C:\Windows\System32\drivers\etc>notepad hosts

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

192.168.1.101 ACSEC

Desde cmd del equipo a administgrar habilitamos WinRM en el equipo a administrar

WinRM quickconfig

Agregamos los servidores a la lista de servidores confiables

Desde powershell
Set-Item wsman:\localhost\client\TrustedHosts NOmbreServidor –Concatenate –Force

Una vez hecho esto agregamos el servidor para administrar

En este caso como aun no estamos dentro de un dominio seleccionamos DNS

Escribimos el nombre del servidor, una vez que aparece en la pantalla le damos a la flecha para agregarle y después
damos a aceptar.

Una vez que esta todo listo ya nos aparecerá en la lista de servidores y podremos administrarle de la misma forma
que el equipo local.

Pudiendo agregar o quitar roles y características.

Para administrar un nano server u otro servidor sin interfaz grafica.

Nos podemos conectar al equipo por powershell con el siguiente comando

Enter-PSSession –ComputerName 192.168.1.101 –Credential administrador

Si el equipo a administrar no esta en nuestra lista de trustedHosts hay que agregarle igual que hicimos antes

Set-Item wsman:\localhost\client\TrustedHosts NOmbreServidor –Concatenate –Force

Para ver los equipos agregados al trustedhosts de nuestro equipo

Get-Item -Path wsman:\localhost\client\TrustedHosts

Para borrar los equipos del trustedhosts

Clear-Item -Path wsman:\localhost\client\TrustedHosts –Force

Comenzando con los roles y características

Creacion de distintos tipos de volúmenes

Volúmenes simples.

Son volúmenes que se crean en un único disco, ocupando todo o solo parte del disco.

Volumenes distribuidos

El espacio puede estar distribuido en varios discos, si se unen 3 discos de 2tb se quedaría un volumen total de 6tb.

Pueden añadirse nuevos disco posteriormente para aumentar la capacidad total.

No apto para instalar sistema operativo

Volumenes seccionado

Se forman con dos o mas discos físicos, los datos se leen y escriben en paralelo, por lo que mejora el rendimiento.

El problema es que un fallo en uno de los discos provocaría la perdida de datos del volumen.
A diferencia de los volúmenes distribuidos no se pueden agregar posteriormente mas volúmenes.

Volumenes reflejado

Se forman con dos discos idénticos y trabajan como un espejo, no se suma la capacidad ni aumenta el rendimiento,
pero en caso de fallo en uno de los discos, se puede sustituir por otro sin perder la información.

Volumenes RAID-5

Combina las ventajas de los volúmenes seccionados y reflejados, ofreciendo tolerancia a fallos y un mejor
rendimiento que los volúmenes simples.

Se necesitan tres o mas discos de similares características.

El volumen final será aproximadamente dos tercios de la suma del tamaño de los discos.

Con el ejemplo anterior con 3 discos de 2tb tendríamos un volumen resultante de 4tb.

Agregando roles

Servicios de dominio de Active directoty

Una vez seleccionado los servicios de dominio de active directory, nos saldrá la siguiente ventana
La cual nos advierte de que también hay que instalar esas caracteristicas para instalar el rol que queremos instalar.

Pinchamos en agregar características, siguiente, por si queremos instalar alguna característica mas de las no
requeridas anteriormente.

Aquí nos pregunta por si queremos agregar nuestro servidor a un servidor azure en la nube, si es que no siguiente.
Esta ya es la ultima ventana antes de comenzar la instalación, nos muestra un resumen de los roles y características
que se van a instalar.

Una vez terminada la instalación pinchamos en Promover este servidor a controlador de dominio. Antiguo dcpromo

Antes de seguir hay que tener claro el nombre que se va a poner al dominio, ya que una vez configurado todo, si lo
cambias es muy posible que se ponga todo a dar por culo.

Nos pregunta por la operación a implementar.

En este caso sería agregar un nuevo bosque, lo marcamos y escribimos el nombre de nuestro dominio a añadir.

Ahora en las opciones de controlador de dominio.

Las opciones funcionales de bosque y dominio raíz, si seleccionamos el nivel de Windows server 2016 no podremos
agregar dominios anteriores, de la forma contraria perderíamos las ultimas características.
Servidor de sistema DNS es conveniente instalarlo, sin el no funciona.

Si tuviéramos mas dominios se podría instalar El controlador de dominio de solo lectura (DSRM) para tener una
replica de la base de datos del servidor principal, en modo solo lectura.

Escribimos la contraseña para la restauración, imprescindible para restaurar. j0…

En las opciones DNS el error que nos da es porque aún no tenemos instalado ningún servidor DNS , por lo que no se
puede crear la zona principar a la que la advertencia hace referencia.

Ahora nos comprueba el nombre netbios de que no coincide con ninguno en la red.

Configurar donde guardar las carpetas de la base de datos de AD, y archivos.

Mejor guardarlo en otra unidad por temas de seguridad.

Ya pinchando en siguiente nos muestra un resumen de la configuración que hemos configurado, también nos deja
exportar la configuración en prowershell.

Una vez instalado, cierra sesión automáticamente y cuando vuelve a mostrar la pantalla para ingresar la contraseña
se ve que ya puede iniciar sesión en el dominio como administrador.

Es recomendable una vez terminada la instalación hacer una serie de verificaciones para comprobar que esta todo
correcto.
En servicios vemos que los servicios de dominio de Active directoty esta en ejecución y esta puesto que arranque de
forma automática.

De la misma forma el servidor DNS, replicación DFS, servicios web de Active Directory, Net logon, servicio de hora de
Windows,

Comprobamos en nuestra ruta local \\localhost

Que se han compartido las 2 carpetas, tanto NETLOGON como SYSVOL

Verificamos que se han agredado las herramientas de Active directory que marcamos en la instalación

Nos vamos a usuarios y equipos de Active Directoy

Boton derecho sobre nuestro dominio, abrimos el maestro de operaciones y comprobamos que todo es correcto.

Asi en todas las pestañas.

Ademas si pinchamos en elevar el nivel funcional del dominio nos mostrara el nivel actual del domino, en este caso
ya esta en el nivel mas alto.
Otra de las verificaciones es irnos a la consola de sitios y servicios de Active directory

Ademals dentro del administrador DNS tenemos que comprobar que nuestras zonas

Ya solo nos quedaría comprobar el visor de sucesos para ver que no hay nada raro.

Conociendo usuarios y equipos de active directory

Tenemos multiples opciones de configuración que podemos hacer.

Cambiar dominio a administrar, siempre que tengamos una relación de confianza con el (trusted zone)

Cambiar el controlador de dominio, desde el cual podemos administrar

Estos son los contenedores que se crean por defecto en la instalación del dominio
Buildin: tenemos todos los grupos para administrar los permisos.

Computers: cuando unimos un ordenador al dominio se crea en esta carpeta por defecto.

Domain controlers: Aquí aparecen los equipos que son controladores de dominio.

ForeignSecurityPrincipals:

Managed Service Accounts: Se crean las cuentas de servicio

Users: Aquí están todos los usuarios creados en el sistema,

Ya teniendo seleccionado el dominio a administrar, tenemos mas opciones.

De la misma forma también podemos realizar la administración desde el Centro de administración de Active Direcoty
Definir una política de contraseñas:

Dentro del centro de administración de active directory nos vamos a nuestro domino, system,

Password Settings Container

Y ya tendríamos todo el panel de configuración de la política de contraseñas

Creacion de usuarios desde el Centro de administración de Active Direcoty

Nos vamos al dominio a administrar, después vamos al contenedor users, pinchamos con el botón derecho y damos
a nuevo usuario.

Rellenamos los siguientes datos…

Bueno los mas importantes son el nombre inicio de sesión UPN en el dominio, contraseña y grupo de
trabajo(miembro de) después se pueden rellenar los otros datos.
Podemos agregar directivas de configuración de contraseña asociadas directamente previamente creadas para
cuando el usuario tenga que cambiar la contraseña que cumpla con el estándar de seguridad que tengamos
impuesto.

Asi como agregar directamente unidades de red

Cuentas InetOrgPerson

Los Servicios de dominio de Active Directory (AD DS) ofrecen compatibilidad con la clase de objeto InetOrgPerson y
sus atributos asociados, según se define en la RFC (solicitud de comentarios) 2798. La clase de objeto InetOrgPerson
se usa en varios servicios de directorio que no son de Microsoft, LDAP (Protocolo ligero de acceso a directorios) y
X.500 para representar a las personas de una organización.

La compatibilidad con InetOrgPerson hace que sea más eficaz la migración de directorios LDAP a AD DS. El objeto
InetOrgPerson se deriva de la clase user. Puede funcionar como entidad de seguridad igual que la clase user. Para
obtener información acerca de cómo crear una cuenta de usuario inetOrgPerson, vea Creación de cuentas de usuario
(Usuarios y equipos de Active Directory).

Cuando el nivel funcional del dominio está establecido en Windows Server 2008 o Windows Server 2008 R2, se
puede establecer el atributo userPassword en InetOrgPerson y los objetos de usuario como la contraseña efectiva.
Esto también se puede hacer con el atributo unicodePwd.

Teoria de los grupos

¿Qué es un grupo?

Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar
como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo determinado se denominan miembros
del grupo.

Los grupos de Servicios de dominio de Active Directory (AD DS) son objetos de directorio que residen en un dominio
y en objetos contenedores de unidad organizativa (OU). AD DS proporciona un conjunto de grupos predeterminados
cuando se instala y también incluye una opción para crearlos.

Los grupos de AD DS se pueden usar para:

• Simplificar la administración al asignar los permisos para un recurso compartido a un grupo en lugar de a
usuarios individuales. Cuando se asignan permisos a un grupo, se concede el mismo acceso al recurso a
todos los miembros de dicho grupo.
 • Delegar la administración asignando derechos de usuario a un grupo una sola vez mediante la directiva de
grupo. Después, a ese grupo le puede agregar miembros que desee que tengan los mismos derechos que el
grupo.

• Crear listas de distribución de correo electrónico.

Grupos predeterminados

Los grupos predeterminados, como es el caso del grupo Administradores del dominio, son grupos de seguridad que
se crean automáticamente cuando se crea un dominio de Active Directory. Estos grupos predefinidos pueden usarse
para ayudar a controlar el acceso a los recursos compartidos y para delegar roles administrativos específicos en todo
el dominio.

A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que
autorizan a los miembros del grupo a realizar acciones específicas en un dominio, como iniciar sesión en un sistema
local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia
de seguridad puede realizar operaciones de copia de seguridad para todos los controladores de dominio del
dominio.

Cuando se agrega un usuario a un grupo, ese usuario recibe:

• Todos los derechos de usuario asignados al grupo

• Todos los permisos asignados al grupo para los recursos compartidos

Ámbito de grupo

Los grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol de dominios. Existen tres
ámbitos de grupo: local de dominio, global y universal.

Grupos locales de dominio

Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows NT,
Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012/R2 y
Windows Server 2016. A los miembros de estos grupos solo se les pueden asignar permisos dentro de un dominio.

Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio
único. Estos grupos pueden tener los siguientes miembros:

Cuentas de cualquier dominio

• Grupos globales de cualquier dominio

• Grupos universales de cualquier dominio

• Grupos locales de dominio, pero solo del mismo dominio que el grupo local de dominio primario

• Una combinación de los anteriores

Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios, puede agregar las cinco cuentas
de usuario a la lista de permisos de la impresora. Sin embargo, si posteriormente desea que esos cinco usuarios
tengan acceso a otra impresora, deberá volver a especificar las cinco cuentas en la lista de permisos para la nueva
impresora.

Grupos globales

Los miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo global primario y los
grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden
asignar permisos en cualquier dominio del bosque.

Use los grupos con ámbito Global para administrar objetos de directorio que requieran un mantenimiento diario,
como las cuentas de usuario y de equipo. Dado que los grupos con ámbito Global no se replican fuera de su propio
dominio, las cuentas de un grupo con ámbito Global se pueden cambiar frecuentemente sin generar tráfico de
replicación en el catálogo global.

Aunque las asignaciones de derechos y permisos solo son válidas en el dominio en el que se asignan, al aplicar
grupos con ámbito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a
cuentas con fines similares. De esta manera se simplifica y se racionaliza la administración de grupos entre dominios.

Por ejemplo, en una red que tenga dos dominios, Europe y UnitedStates, si hay un grupo con ámbito Global
denominado GLAccounting en el dominio UnitedStates, debería haber también un grupo denominado GLAccounting
en el dominio Europe (a menos que esa función de contabilidad (Accounting) no exista en el dominio Europe).

Grupos globales

Los grupos universales pueden tener los siguientes miembros:

Cuentas de cualquier dominio del bosque en el que reside este grupo universal

• Grupos globales de cualquier dominio del bosque en el que reside este grupo universal

• Grupos universales de cualquier dominio del bosque en el que reside este grupo universal

A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de
dominios. Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios dominios. Para ello,
agregue las cuentas a los grupos con ámbito Global y anide estos grupos dentro de los grupos que tengan ámbito
Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen ámbito Global no afectan a
los grupos con ámbito Universal.

Tipos de grupos

Hay dos tipos de grupos en AD DS: grupos de distribución y grupos de seguridad.

Puede usar grupos de distribución para crear listas de distribución de correo electrónico. Puede usar grupos de
seguridad para asignar permisos a los recursos compartidos.

Los grupos de distribución solo se pueden usar con aplicaciones de correo electrónico (como Microsoft Exchange
Server) para enviar mensajes a conjuntos de usuarios. Los grupos de distribución no tienen seguridad habilitada, lo
que significa que no pueden aparecer en las listas de control de acceso discrecional (DACL).

Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad.

Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos de la red.

Con los grupos de seguridad se puede:

• Asignar derechos de usuario a los grupos de seguridad de AD DS

Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese
grupo en el ámbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario
automáticamente cuando se instala AD DS para ayudar a los administradores a definir el rol administrativo de una
persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad en AD DS,
éste puede realizar operaciones de copia de seguridad y restauración de archivos y directorios en cada controlador
de dominio del dominio.

• Asignar permisos para recursos a los grupos de seguridad

Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quién puede tener acceso a un
recurso compartido. También determinan el nivel de acceso, como Control total. Los grupos de seguridad se pueden
usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en
objetos de dominio se asignan automáticamente para proporcionar varios niveles de acceso a los grupos de
seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio.

Identidades especiales
Además de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta Windows Server 2008
R2, Windows Server 2008 o Windows Server 2003 incluyen varias identidades especiales. Por comodidad se las suele
llamar grupos. Estos grupos especiales no tienen pertenencias específicas que se puedan modificar. Sin embargo,
pueden representar a distintos usuarios en distintas ocasiones, en función de las circunstancias. Los grupos
siguientes son identidades especiales:

• Inicio de sesión anónimo

Este grupo representa a los usuarios y servicios que obtienen acceso a un equipo y sus recursos a través de la red sin
usar un nombre de cuenta, contraseña o nombre de dominio. En los equipos con Windows NT y versiones
anteriores, el grupo Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos con
Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003, el grupo Inicio de sesión anónimo no es
miembro del grupo Todos de manera predeterminada.

• Todos

Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios.
Cuando un usuario inicia sesión en la red, se agrega automáticamente al grupo Todos.

• Red

Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a través de la red,
frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesión local en el equipo en el que
reside el recurso. Cuando un usuario obtiene acceso a un recurso dado a través de la red, se agrega
automáticamente al grupo Red.

• Interactivo

Este grupo representa a todos los usuarios que disponen de una sesión iniciada en un equipo determinado y que
están obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a
través de la red. Cuando un usuario obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesión, se
agrega automáticamente al grupo Interactivo.

Creacion de grupos desde el Centro de administración de Active Direcoty

Nos vamos al dominio a administrar, después vamos al contenedor users, pinchamos con el botón derecho y damos
a nuevo grupo.
Añadir usuarios temporalmente a un grupo
Esta es una opción nueva de Windows 2016 y tenemos que tener dominio con nivel funcional de Windows 2016 para
poder activarla.

Se activa desde powershell.

Podemos ver las características adicionales con:

Get-ADOptionalFeature -Filter *

E instalarla con:

Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet

-Target contoso.com

Despues para añadir temporalmente un usuario a un grupo, también desde powershell

Add-ADGroupMember -Identity 'administradores' -Members 'raul' -MemberTimeToLive (New-TimeSpan -Hours 1)

New-TimeSpan se puede definir en hours, minutes y days.

Creacion de unidades organizativas

Se utilizan para hacer una estructura similar a la que tenemos en la empresa, de tal forma que se puedan hacer
plantillas administrativas para cada unidad de la misma forma que se haría con la seguridad de la empresa y sus
distintos departamentos.

Para crearlas lo podemos hacer tanto desde Usuarios y equipos Active directory

Como desde el Centro de administración de Active Directory

Además podemos crear unidades organizativas dentro de otras unidades para poder aplicarlas dintintas políticas de
grupo.

Unir un equipo cliente al dominio

Primero necesitamos una versión de Windows compatible con el dominio, minimo la profesional.

Una vez creada la cuenta de usuario en nuestro dominio, la configuración en nuestro equipo cliente para unirnos al
dominio es la siguiente:

Lo primero estar en el mismo rango de red, asi como tener como servidor DNS el servidor de domino, en nuestro
caso el servidor está en la 192.168.1.99

Una vez hecho esto nos vamos a Propiedades del sistema.

Pestaña nombre equipo y cambiar.

Pinchamos en dominio, escribimos el nombre del dominio y el nombre del usuario

Cuando demos a aceptar nos pedirá nombre de usuario y clave, se necesita que el usuario con el que nos vamos a
unir al dominio sea administrador en el equipo local para hacer el cambio.

Unir cliente al dominio offline

Desde la consola powershell con el programa djoin.exe creamos un archivo de configuración con el cual uniremos el
equipo cliente al dominio.

Desde la consola powershell del servidor:

Djoin.exe /provision /domain contoso.com /machine nombre_equipo /savefile c:\archivo_config

Desde la consola powershell del cliente:

Djoin.exe /requestODJ /LoadFile c:\archivo_config /WindowsPath c:\windows\ /LocalOS

Cambiar unidad organizativa por defecto en la que se agregaran lo equipos nuevos.
Desde el centro de administración de active directory seleccionamos la unidad organizativa que queremos poner por
defecto y le damos botón derecho y propiedades.

Despues nos vamos al Editor de atributos, seleccionamos el distinguishedName y le copiamos.

Una vez echo esto nos vamos al powershell y ejecutamos:

Redircmp “OU=Equipos,OU=Contoso,DC=contoso,DC=com”

De esta forma cambiamos el contenedor por defecto

Habilitar la papelera de reciclaje en artive directory

La podemos habilitar desde el centro de administración o desde powershell

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target contoso.com