Beruflich Dokumente
Kultur Dokumente
Datacenter no tenemos limite a la hora de virtualizar, pero tenemos que licenciar CAL
Standard solo podemos hacer 2 maquinas virtuales además de que tenemos que licenciar CAL
Essencial pequeñas empresas con hasta 25 usuarios y no hay que licenciar CAL
Una vez que termina pedirá reiniciar el equipo y ya estaría cambiada el tipo de versión.
Slmgr –auto
Para configurar las actualizaciones automáticas, abrimos el editor de directivas de grupo locales
gpedit.msc
Configuracion de equipo
Plantillas administrativas
Componentes de Windows
Windows update
Equipo botón derecho y administrar, o bien en el icono de inicio con el botón derecho y administrador de equipos
Nos vamos a usuarios y grupos locales
De esta forma seleccionamos las tarjetas de red a unir, pinchamos con el botón derecho y damos a
Pinchando en Propiedades adicionales podemos seleccionar el modo de funcionamiento de la mueva unidad de red
Adaptador en modo de espera es que uno se quede en espera por si falla alguno de los demás.
Si va a configurar un equipo NIC en una máquina virtual (VM), debes seleccionar un modo
de equipos de adaptadores de conmutador independientes y un modo de equilibrio de
carga de Hash de dirección.
C:\Windows\System32\drivers\etc>notepad hosts
192.168.1.101 ACSEC
WinRM quickconfig
Desde powershell
Set-Item wsman:\localhost\client\TrustedHosts NOmbreServidor –Concatenate –Force
Escribimos el nombre del servidor, una vez que aparece en la pantalla le damos a la flecha para agregarle y después
damos a aceptar.
Una vez que esta todo listo ya nos aparecerá en la lista de servidores y podremos administrarle de la misma forma
que el equipo local.
Son volúmenes que se crean en un único disco, ocupando todo o solo parte del disco.
Volumenes distribuidos
El espacio puede estar distribuido en varios discos, si se unen 3 discos de 2tb se quedaría un volumen total de 6tb.
Volumenes seccionado
Se forman con dos o mas discos físicos, los datos se leen y escriben en paralelo, por lo que mejora el rendimiento.
El problema es que un fallo en uno de los discos provocaría la perdida de datos del volumen.
A diferencia de los volúmenes distribuidos no se pueden agregar posteriormente mas volúmenes.
Volumenes reflejado
Se forman con dos discos idénticos y trabajan como un espejo, no se suma la capacidad ni aumenta el rendimiento,
pero en caso de fallo en uno de los discos, se puede sustituir por otro sin perder la información.
Volumenes RAID-5
Combina las ventajas de los volúmenes seccionados y reflejados, ofreciendo tolerancia a fallos y un mejor
rendimiento que los volúmenes simples.
El volumen final será aproximadamente dos tercios de la suma del tamaño de los discos.
Con el ejemplo anterior con 3 discos de 2tb tendríamos un volumen resultante de 4tb.
Agregando roles
Una vez seleccionado los servicios de dominio de active directory, nos saldrá la siguiente ventana
La cual nos advierte de que también hay que instalar esas caracteristicas para instalar el rol que queremos instalar.
Pinchamos en agregar características, siguiente, por si queremos instalar alguna característica mas de las no
requeridas anteriormente.
Aquí nos pregunta por si queremos agregar nuestro servidor a un servidor azure en la nube, si es que no siguiente.
Esta ya es la ultima ventana antes de comenzar la instalación, nos muestra un resumen de los roles y características
que se van a instalar.
Una vez terminada la instalación pinchamos en Promover este servidor a controlador de dominio. Antiguo dcpromo
Antes de seguir hay que tener claro el nombre que se va a poner al dominio, ya que una vez configurado todo, si lo
cambias es muy posible que se ponga todo a dar por culo.
En este caso sería agregar un nuevo bosque, lo marcamos y escribimos el nombre de nuestro dominio a añadir.
Las opciones funcionales de bosque y dominio raíz, si seleccionamos el nivel de Windows server 2016 no podremos
agregar dominios anteriores, de la forma contraria perderíamos las ultimas características.
Servidor de sistema DNS es conveniente instalarlo, sin el no funciona.
Si tuviéramos mas dominios se podría instalar El controlador de dominio de solo lectura (DSRM) para tener una
replica de la base de datos del servidor principal, en modo solo lectura.
En las opciones DNS el error que nos da es porque aún no tenemos instalado ningún servidor DNS , por lo que no se
puede crear la zona principar a la que la advertencia hace referencia.
Ahora nos comprueba el nombre netbios de que no coincide con ninguno en la red.
Ya pinchando en siguiente nos muestra un resumen de la configuración que hemos configurado, también nos deja
exportar la configuración en prowershell.
Una vez instalado, cierra sesión automáticamente y cuando vuelve a mostrar la pantalla para ingresar la contraseña
se ve que ya puede iniciar sesión en el dominio como administrador.
Es recomendable una vez terminada la instalación hacer una serie de verificaciones para comprobar que esta todo
correcto.
En servicios vemos que los servicios de dominio de Active directoty esta en ejecución y esta puesto que arranque de
forma automática.
De la misma forma el servidor DNS, replicación DFS, servicios web de Active Directory, Net logon, servicio de hora de
Windows,
Verificamos que se han agredado las herramientas de Active directory que marcamos en la instalación
Ademas si pinchamos en elevar el nivel funcional del dominio nos mostrara el nivel actual del domino, en este caso
ya esta en el nivel mas alto.
Otra de las verificaciones es irnos a la consola de sitios y servicios de Active directory
Ademals dentro del administrador DNS tenemos que comprobar que nuestras zonas
Ya solo nos quedaría comprobar el visor de sucesos para ver que no hay nada raro.
Cambiar dominio a administrar, siempre que tengamos una relación de confianza con el (trusted zone)
Estos son los contenedores que se crean por defecto en la instalación del dominio
Buildin: tenemos todos los grupos para administrar los permisos.
Computers: cuando unimos un ordenador al dominio se crea en esta carpeta por defecto.
Domain controlers: Aquí aparecen los equipos que son controladores de dominio.
ForeignSecurityPrincipals:
De la misma forma también podemos realizar la administración desde el Centro de administración de Active Direcoty
Definir una política de contraseñas:
Dentro del centro de administración de active directory nos vamos a nuestro domino, system,
Nos vamos al dominio a administrar, después vamos al contenedor users, pinchamos con el botón derecho y damos
a nuevo usuario.
Bueno los mas importantes son el nombre inicio de sesión UPN en el dominio, contraseña y grupo de
trabajo(miembro de) después se pueden rellenar los otros datos.
Podemos agregar directivas de configuración de contraseña asociadas directamente previamente creadas para
cuando el usuario tenga que cambiar la contraseña que cumpla con el estándar de seguridad que tengamos
impuesto.
Cuentas InetOrgPerson
Los Servicios de dominio de Active Directory (AD DS) ofrecen compatibilidad con la clase de objeto InetOrgPerson y
sus atributos asociados, según se define en la RFC (solicitud de comentarios) 2798. La clase de objeto InetOrgPerson
se usa en varios servicios de directorio que no son de Microsoft, LDAP (Protocolo ligero de acceso a directorios) y
X.500 para representar a las personas de una organización.
La compatibilidad con InetOrgPerson hace que sea más eficaz la migración de directorios LDAP a AD DS. El objeto
InetOrgPerson se deriva de la clase user. Puede funcionar como entidad de seguridad igual que la clase user. Para
obtener información acerca de cómo crear una cuenta de usuario inetOrgPerson, vea Creación de cuentas de usuario
(Usuarios y equipos de Active Directory).
Cuando el nivel funcional del dominio está establecido en Windows Server 2008 o Windows Server 2008 R2, se
puede establecer el atributo userPassword en InetOrgPerson y los objetos de usuario como la contraseña efectiva.
Esto también se puede hacer con el atributo unicodePwd.
¿Qué es un grupo?
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar
como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo determinado se denominan miembros
del grupo.
Los grupos de Servicios de dominio de Active Directory (AD DS) son objetos de directorio que residen en un dominio
y en objetos contenedores de unidad organizativa (OU). AD DS proporciona un conjunto de grupos predeterminados
cuando se instala y también incluye una opción para crearlos.
• Simplificar la administración al asignar los permisos para un recurso compartido a un grupo en lugar de a
usuarios individuales. Cuando se asignan permisos a un grupo, se concede el mismo acceso al recurso a
todos los miembros de dicho grupo.
• Delegar la administración asignando derechos de usuario a un grupo una sola vez mediante la directiva de
grupo. Después, a ese grupo le puede agregar miembros que desee que tengan los mismos derechos que el
grupo.
Grupos predeterminados
Los grupos predeterminados, como es el caso del grupo Administradores del dominio, son grupos de seguridad que
se crean automáticamente cuando se crea un dominio de Active Directory. Estos grupos predefinidos pueden usarse
para ayudar a controlar el acceso a los recursos compartidos y para delegar roles administrativos específicos en todo
el dominio.
A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que
autorizan a los miembros del grupo a realizar acciones específicas en un dominio, como iniciar sesión en un sistema
local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia
de seguridad puede realizar operaciones de copia de seguridad para todos los controladores de dominio del
dominio.
Ámbito de grupo
Los grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol de dominios. Existen tres
ámbitos de grupo: local de dominio, global y universal.
Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows NT,
Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012/R2 y
Windows Server 2016. A los miembros de estos grupos solo se les pueden asignar permisos dentro de un dominio.
Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio
único. Estos grupos pueden tener los siguientes miembros:
• Grupos locales de dominio, pero solo del mismo dominio que el grupo local de dominio primario
Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios, puede agregar las cinco cuentas
de usuario a la lista de permisos de la impresora. Sin embargo, si posteriormente desea que esos cinco usuarios
tengan acceso a otra impresora, deberá volver a especificar las cinco cuentas en la lista de permisos para la nueva
impresora.
Grupos globales
Los miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo global primario y los
grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden
asignar permisos en cualquier dominio del bosque.
Use los grupos con ámbito Global para administrar objetos de directorio que requieran un mantenimiento diario,
como las cuentas de usuario y de equipo. Dado que los grupos con ámbito Global no se replican fuera de su propio
dominio, las cuentas de un grupo con ámbito Global se pueden cambiar frecuentemente sin generar tráfico de
replicación en el catálogo global.
Aunque las asignaciones de derechos y permisos solo son válidas en el dominio en el que se asignan, al aplicar
grupos con ámbito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a
cuentas con fines similares. De esta manera se simplifica y se racionaliza la administración de grupos entre dominios.
Por ejemplo, en una red que tenga dos dominios, Europe y UnitedStates, si hay un grupo con ámbito Global
denominado GLAccounting en el dominio UnitedStates, debería haber también un grupo denominado GLAccounting
en el dominio Europe (a menos que esa función de contabilidad (Accounting) no exista en el dominio Europe).
Grupos globales
Cuentas de cualquier dominio del bosque en el que reside este grupo universal
• Grupos globales de cualquier dominio del bosque en el que reside este grupo universal
• Grupos universales de cualquier dominio del bosque en el que reside este grupo universal
A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de
dominios. Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios dominios. Para ello,
agregue las cuentas a los grupos con ámbito Global y anide estos grupos dentro de los grupos que tengan ámbito
Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen ámbito Global no afectan a
los grupos con ámbito Universal.
Tipos de grupos
Puede usar grupos de distribución para crear listas de distribución de correo electrónico. Puede usar grupos de
seguridad para asignar permisos a los recursos compartidos.
Los grupos de distribución solo se pueden usar con aplicaciones de correo electrónico (como Microsoft Exchange
Server) para enviar mensajes a conjuntos de usuarios. Los grupos de distribución no tienen seguridad habilitada, lo
que significa que no pueden aparecer en las listas de control de acceso discrecional (DACL).
Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad.
Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos de la red.
Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese
grupo en el ámbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario
automáticamente cuando se instala AD DS para ayudar a los administradores a definir el rol administrativo de una
persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad en AD DS,
éste puede realizar operaciones de copia de seguridad y restauración de archivos y directorios en cada controlador
de dominio del dominio.
Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quién puede tener acceso a un
recurso compartido. También determinan el nivel de acceso, como Control total. Los grupos de seguridad se pueden
usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en
objetos de dominio se asignan automáticamente para proporcionar varios niveles de acceso a los grupos de
seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio.
Identidades especiales
Además de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta Windows Server 2008
R2, Windows Server 2008 o Windows Server 2003 incluyen varias identidades especiales. Por comodidad se las suele
llamar grupos. Estos grupos especiales no tienen pertenencias específicas que se puedan modificar. Sin embargo,
pueden representar a distintos usuarios en distintas ocasiones, en función de las circunstancias. Los grupos
siguientes son identidades especiales:
Este grupo representa a los usuarios y servicios que obtienen acceso a un equipo y sus recursos a través de la red sin
usar un nombre de cuenta, contraseña o nombre de dominio. En los equipos con Windows NT y versiones
anteriores, el grupo Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos con
Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003, el grupo Inicio de sesión anónimo no es
miembro del grupo Todos de manera predeterminada.
• Todos
Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios.
Cuando un usuario inicia sesión en la red, se agrega automáticamente al grupo Todos.
• Red
Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a través de la red,
frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesión local en el equipo en el que
reside el recurso. Cuando un usuario obtiene acceso a un recurso dado a través de la red, se agrega
automáticamente al grupo Red.
• Interactivo
Este grupo representa a todos los usuarios que disponen de una sesión iniciada en un equipo determinado y que
están obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a
través de la red. Cuando un usuario obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesión, se
agrega automáticamente al grupo Interactivo.
Get-ADOptionalFeature -Filter *
E instalarla con:
-Target contoso.com
Para crearlas lo podemos hacer tanto desde Usuarios y equipos Active directory
Una vez creada la cuenta de usuario en nuestro dominio, la configuración en nuestro equipo cliente para unirnos al
dominio es la siguiente:
Lo primero estar en el mismo rango de red, asi como tener como servidor DNS el servidor de domino, en nuestro
caso el servidor está en la 192.168.1.99
Cuando demos a aceptar nos pedirá nombre de usuario y clave, se necesita que el usuario con el que nos vamos a
unir al dominio sea administrador en el equipo local para hacer el cambio.
Redircmp “OU=Equipos,OU=Contoso,DC=contoso,DC=com”