Академический Документы
Профессиональный Документы
Культура Документы
Active
Directory 1-12
Emanuel Adrin Gabriel Stasiuc
aaaaa
Active Directory
2 A.S.I.R.
Active Directory
2 A.S.I.R.
1. La empresa consta de 20 empleados. 2. Tres de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestin de incidencias. Esta se almacenar en una carpeta a la que solo tendr acceso el departamento de sistemas. Los datos estarn en una particin o disco duro diferente a la del sistema operativo. 3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de cdigo y de documentacin, donde nicamente tendrn acceso a aquellos directorios asociados al proyecto en el que estn trabajando. 4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendr acceso a toda la documentacin y cdigo ejecutable de los proyectos. El director tendr acceso ilimitado a todos los recursos disponibles. 5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net b. Servicio DNS c. Servicio DHCP =>192.168.100.0/24 i. mbito: 192.168.100.2 192.168.100.254 ii. Servidor: 192.168.100.1 6. Todos los equipos (mquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados fsicamente a un switch.
Active Directory
2 A.S.I.R.
Comienzo de la prctica
Primero vamos a configurar las interfaces de red en nuestro Windows 2008 Server. Creamos una Red NAT para tener acceso a Internet y una Red Interna para comunicarse con los Clientes:
Active Directory
2 A.S.I.R.
Indicamos como nombre del dominio principal emanuel.gcap.net e indicamos la IP de nuestro Servidor:
Active Directory
2 A.S.I.R.
Agregamos un mbito llamado ASIR2 indicando la IP inicial, la IP final, la mscara de subred y la puerta de enlace predeterminada:
Active Directory
2 A.S.I.R.
Active Directory
2 A.S.I.R.
Active Directory
2 A.S.I.R.
Active Directory
2 A.S.I.R.
10
Establecemos como nivel funcional Windows Server 2008 ya que no agregaremos al bosque controladores de dominio inferiores a Windows Server 2008:
Active Directory
2 A.S.I.R.
11
Active Directory
2 A.S.I.R.
12
Una vez terminada la instalacin, nos pide reiniciar el equipo y podemos observar que tenemos los servicios DHCP, DNS y Active Directory instalados:
Ahora cuando iniciamos sesin nos aparece el nombre NetBios del dominio que hemos creado:
Active Directory
2 A.S.I.R.
13
1. La empresa consta de 20 empleados. Vamos a nuestro dominio creado dentro de Administrador del Servidor y vamos a crear diferentes unidades organizativas segn la estructura de nuestra empresa ASIR2.
Active Directory
2 A.S.I.R.
14
Dentro de nuestra empresa ASIR2 creamos las diferentes unidades organizativas segn la estructura de la empresa:
2. Tres de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestin de incidencias. Esta se almacenar en una carpeta a la que solo tendr acceso el departamento de sistemas. Los datos estarn en una particin o disco duro diferente a la del sistema operativo.
Active Directory
2 A.S.I.R.
15
Dentro de la Unidad Organizativa SISTEMAS creada anteriormente creamos el primer usuario ADMIN-SIS:
Active Directory
2 A.S.I.R.
16
Ahora creamos dos usuarios encargados de la gestin de incidencias llamados ENCARG-1 y ENCARG-2:
Active Directory
2 A.S.I.R.
17
Una vez creados los usuarios, creamos un grupo para poder asignarle permisos llamado sistemas de mbito global:
Introducimos dentro del grupo a los tres usuarios creados anteriormente ADMIN-SIS, ENCARG-1 y ENCARG-2:
Active Directory
2 A.S.I.R.
18
Creamos una particin nueva diferente del sistema operativo en la que vamos a crear una carpeta a la que tienen acceso solamente los 3 empleados del Grupo SISTEMAS:
Ahora creamos una carpeta en el Disco ASIR2 y dentro creamos una carpeta llamada SISTEMAS y le damos permisos al grupo sistemas sobre su carpeta:
Active Directory
2 A.S.I.R.
19
3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de cdigo y de documentacin, donde nicamente tendrn acceso a aquellos directorios asociados al proyecto en el que estn trabajando. Ahora creamos los 15 empleados dentro de la unidad organizativa DESARROLLO:
Vamos a crear 3 grupos diferentes de mbito local con 5 empleados cada uno que trabajarn en 3 proyectos distintos:
Active Directory
2 A.S.I.R.
20
Active Directory
2 A.S.I.R.
21
Ahora nos vamos a crear los directorios de cada proyecto en una carpeta llamada DESARROLLADORES:
Active Directory
2 A.S.I.R.
22
A la carpeta DESARROLLADORES le asignamos los permisos de acceso a la carpeta a los tres grupos de proyecto.
Asignamos a la carpeta PROYECTO-1 todos los permisos para el grupo PROYECTO-1 que hemos creado antes:
Asignamos a la carpeta PROYECTO-2 todos los permisos para el grupo PROYECTO-2 que hemos creado antes:
Active Directory
2 A.S.I.R.
23
Asignamos a la carpeta PROYECTO-3 todos los permisos para el grupo PROYECTO-3 que hemos creado antes:
Active Directory
2 A.S.I.R.
24
4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendr acceso a toda la documentacin y cdigo ejecutable de los proyectos. El director tendr acceso ilimitado a todos los recursos disponibles. Creamos el usuario gerente2013:
Creamos tambin un grupo llamado GERENTES para introducir a los diferentes gerentes que pueden pasar por la empresa y darlos de alta o de baja del grupo sin hacerlo carpeta por carpeta.
Active Directory
2 A.S.I.R.
25
Al grupo GERENTES le damos permisos de lectura y ejecucin sobre la carpeta DESARROLLADORES que contiene los directorios de los proyectos:
Active Directory
2 A.S.I.R.
26
Creamos tambin un grupo llamado DIRECTORES para introducir a los diferentes directores que pueden pasar por la empresa y darlos de alta o de baja del grupo sin hacerlo carpeta por carpeta.
Al grupo DIRECTORES le damos permisos de acceso a todos los recursos disponibles de la empresa ASIR2:
Active Directory
2 A.S.I.R.
27
Una vez que cada carpeta tiene los permisos asignados para cada grupo, ahora vamos a compartir la particin de datos para todos los grupos por NTFS:
Active Directory
2 A.S.I.R.
28
Hacemos una prueba para ver que todo funciona correctamente. Nos conectamos con el usuario emple-1 del PROYECTO-1 a su correspondiente carpeta y vemos que podemos acceder:
Active Directory
2 A.S.I.R.
29
Si intentamos conectarnos con el mismo usuario a la carpeta del PROYECTO-2 y vemos que no tenemos permiso:
Por ltimo, vamos a crear una carpeta para los perfiles mviles de todos los usuarios:
Vamos a Propiedades de la carpeta y la compartimos ya que dentro estarn todos los directorios de los diferentes usuarios que se conectan en el dominio emanuel.gcap.net:
Active Directory
2 A.S.I.R.
30
En compartir indicamos permiso de Copropietario para que los grupos tengan acceso a la carpeta al iniciar sesin:
Indicamos al usuario director2013 que la ruta de su perfil se encuentra en la carpeta que hemos creado anteriormente:
Active Directory
2 A.S.I.R.
31
Usamos la variable %username% para que cuando el usuario inicie sesin en el dominio emanuel.gcap.net se pueda crear un directorio en la carpeta PERFILES con el mismo nombre que tiene como usuario. De esta forma repetimos el proceso con todos los usuarios.
5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net Comprobamos que el nombre del dominio es emanuel.gcap.net:
Active Directory
2 A.S.I.R.
32
Active Directory
2 A.S.I.R.
33
ii. Servidor: 192.168.100.1 Observamos que el Servidor tiene asignada la IP fija requerida:
6. Todos los equipos (mquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados fsicamente a un switch. Cogemos un cliente Windows XP y le asignamos solamente una Red Interna para que no tenga salida a Internet:
Active Directory
2 A.S.I.R.
34
Indicamos a nuestro Cliente que la direccin del Servidor DNS es 192.168.100.1 ya que por defecto intenta conectarse a la direccin 192.168.1.1:
Nos vamos a propiedades del sistema y en la opcin cambiar el nombre del equipo podemos cambiar el nombre del equipo que queremos mostrar.
Inmediatamente nos pide un usuario y una contrasea con permisos para unirse al dominio emanuel.gcap.net:
Active Directory
2 A.S.I.R.
35
Introducimos los datos del usuario director2013 y nos da la bienvenida al unirnos al dominio:
Active Directory
2 A.S.I.R.
36
Reiniciamos el equipo:
Active Directory
2 A.S.I.R.
37
Seleccionamos el nombre de equipo ASIR2 e introducimos el usuario director2013 para ver si podemos iniciar sesin:
Comprobamos que podemos iniciar sesin con el usuario director2013 en nuestro Cliente Windows XP y creamos una carpeta de prueba en el escritorio:
Active Directory
2 A.S.I.R.
38
Al iniciar sesin comprobamos que en el Servidor Windows Server 2008 en la carpeta PERFILES se ha creado el directorio del usuario que ha iniciado sesin en el dominio:
Y observamos que la carpeta prueba que hemos creado con el perfil mvil director2013 se ha guardado una vez que hemos cerrado sesin con el usuario:
Active Directory
2 A.S.I.R.
39
Aunque ya podemos iniciar sesin en el dominio emanuel.gcap.net con cualquier usuario que pertenece al dominio, seguimos sin tener internet en el Cliente ya que solamente tenemos una Red Interna asignada que se comunica con el Controlador de Dominio y no tenemos salida al exterior:
Para ofrecer Internet a toda la red virtual que hemos creado, tenemos que agregar una funcin en nuestro Servidor llamada Servicios de acceso y directivas de redes:
Active Directory
2 A.S.I.R.
40
Active Directory
2 A.S.I.R.
41
Seleccionamos Traducir direcciones NAT para que los Clientes internos puedan conectarse a Internet:
Active Directory
2 A.S.I.R.
42
8. Se crear tambin un perfil obligatorio, llamado invitado, por si alguien ajeno a la empresa quiere usar algn equipo. Este perfil no tendr acceso a ningn otro perfil, proyecto, documentacin, etc de la empresa. Los datos de los perfiles estarn en una particin o disco duro diferente a la del sistema operativo.
Active Directory
2 A.S.I.R.
43
Nos vamos al cliente XP e iniciamos sesin con el usuario Administrador del Servidor y nos dirigimos a propiedades del sistema, opciones avanzadas y configuracin de perfiles de usuario:
Active Directory
2 A.S.I.R.
44
Seleccionamos el usuario emple1 y seleccionamos copiar a y a continuacin introducimos la ruta de nuestro Servidor hasta la carpeta OBLIGATORIO y la carpeta del usuario se llamar INVITADO.MAN:
Active Directory
2 A.S.I.R.
45
Ahora comprobamos que la carpeta INVITADO.MAN se ha copiado y creado en nuestro Servidor y en opciones de carpeta, permitimos ver archivos ocultos del sistema:
Active Directory
2 A.S.I.R.
46
Nos aparece un fichero llamado ntuser.dat y le modificamos la extensin del fichero oculto a NTUSER.MAN:
Por ltimo vamos a nuestro usuario Invitado previamente habilitado y en ruta de acceso al perfil ponemos la siguiente:
Iniciamos sesin en nuestro cliente Windows XP con el usuario Invitado del Servidor y creamos una carpeta de prueba:
Active Directory
2 A.S.I.R.
47
Cerramos sesin y nos volvemos a meter con el usuario Invitado y observamos que la carpeta no se ha guardado:
Active Directory
2 A.S.I.R.
48
10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes: a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar posibles distracciones: i. Habilitar Asistencia Remota Solicitada. Para habilitar la asistencia remota para los usuarios primero tenemos que instalar la caracterstica de asistencia remota:
Active Directory
2 A.S.I.R.
49
Ahora vamos a la Administracin de Directivas de Grupo y creamos una nueva poltica de grupo que afecta a todos los departamentos del dominio ASIR2:
Active Directory
2 A.S.I.R.
50
ii. Habilitar no permitir que se ejecute windows messenger. Buscamos en los Componentes de Windows y habilitamos que no se permita la ejecucin de Windows Messenger:
Active Directory
2 A.S.I.R.
51
Buscamos las directivas que afectan al usuario y editamos la opcin Tapiz del Escritorio:
Indicamos la ruta de un fondo previamente descargado y habilitamos el fondo para todos los usuarios:
Active Directory
2 A.S.I.R.
52
iv. Ejecutar un programa que indique la IP del equipo y un usuario en el escritorio. Descargamos la utilidad Bginfo para mostrar la IP y el usuario del Equipo:
Le indicamos que nos muestre solamente el usuario y la IP, en este caso de nuestro Servidor:
Active Directory
2 A.S.I.R.
53
Una vez guardado el script, nos vamos a la directiva de grupo de asir2 y seleccionamos ejecutar el script al iniciar sesin:
Active Directory
2 A.S.I.R.
54
Para que en el Cliente nos aparezca el fondo de pantalla junto con la informacin de Bginfo tenemos que indicar la ruta del fondo dentro del archivo de configuracin iniciar.bgi:
Active Directory
2 A.S.I.R.
55
b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).
Active Directory
2 A.S.I.R.
56
i.
Active Directory
2 A.S.I.R.
57
c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy pesados, la carpeta Mis Documentos se ubicar en una unidad de red. Se almacenar en el servidor (en una particin diferente a la del sistema operativo) llamada personales. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitar una cuota de disco de 100 Mb, ya que estos ficheros personales no estarn asociados al perfil.
i. Redireccionamiento de Mis Documentos Primero creamos otra GPO para el departamento de Software:
Active Directory
2 A.S.I.R.
58
Buscamos en la Configuracin de Windows la opcin Redireccin de Carpetas y seleccionamos la carpeta Documentos para redireccionarla:
Redirigimos la carpeta Documentos a otra carpeta previamente creada llamada personales ubicada en una particin diferente a la del sistema operativo:
Active Directory
2 A.S.I.R.
59
Active Directory
2 A.S.I.R.
60
ii. Limitar el tamao del perfil. Buscamos en Perfiles de Usuario la opcin de limitar el tamao del perfil a 100 mb:
d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le d la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarqua de aplicacin de las directivas de grupo.
i.
Active Directory
2 A.S.I.R.
61
ii.
Active Directory
2 A.S.I.R.
62
11. Instala un servicio de distribucin de software desde tu equipo servidor a las estaciones de trabajo del dominio mediante paquetes MSI: OpenOffice y Firefox. Primero instalamos la utilidad Veritas Discover en nuestro servidor Windows 2008 Server:
Active Directory
2 A.S.I.R.
63
Una vez instalada la aplicacin, asignamos permisos de acceso remoto y compartimos la carpeta Wininstall ubicada en C:\Archivos de Programa\Veritas Software\ para el grupo Administradores con permiso de lectura:
Ahora creamos una carpeta llamada SOFTADM en E:\ y dentro vamos a crear una carpeta para cada paquete MSI que vamos a generar:
Active Directory
2 A.S.I.R.
64
Compartimos la carpeta SOFTADM; dejamos por defecto el grupo Todos que ya dispone del permiso Leer y agregamos el grupo Administradores con todos los permisos:
Ahora nos conectamos con un cliente del dominio y nos autenticamos con el usuario Administrador y copiamos los ficheros previamente descargados del Servidor Windows 2008 Servidor en nuestro Escritorio:
Active Directory
2 A.S.I.R.
65
Ejecutamos la aplicacin WinInstall Discover de modo remoto, pasando a ser mostrada como resultado de dicha accin la ventana del asistente de creacin de paquetes MSI en la que pulsamos Next:
Indicamos un nombre que vamos a asociar al paquete MSI generado y la ruta donde se generar el paquete que vamos a crear:
Dejamos como unidad para guardar los ficheros temporales la que viene por defecto: C:
Active Directory
2 A.S.I.R.
66
A continuacin seleccionamos las unidades que se analizarn para la foto inicial del equipo; en nuestro caso instalaremos la aplicacin Mozilla Firefox en C:
Ahora aceptamos las propuestas de ficheros a excluir en el anlisis por defecto del disco C: y continuamos:
Active Directory
2 A.S.I.R.
67
Ahora seleccionamos el fichero de instalacin de la aplicacin Firefox que vamos a generar el paquete MSI:
Acto seguido seguimos con la instalacin tpica de forma manual del navegador Firefox:
Active Directory
2 A.S.I.R.
68
Active Directory
2 A.S.I.R.
69
Una vez completado el proceso de la foto final nos avisa que el paquete MSI se ha generado en la ruta que le hemos indicado:
Realizamos los mismos pasos con Open Office y comprobamos que los paquetes MSI se han generado:
Active Directory
2 A.S.I.R.
70
Ahora nos falta dirigirnos en nuestro Servidor Windows 2008 Server a la directiva del dominio y agregamos los paquetes MSI:
Si iniciamos sesin con gerente2013 por ejemplo, observamos que los programas ya estn instalados:
12. Instala DFS y haz una prueba de su funcionamiento. Seleccionamos solamente el Sistema de archivos distribuido (DFS):
Active Directory
2 A.S.I.R.
71
Una vez instalado el Servicio, lo abrimos desde Inicio -> Herramientas Administrativas -> Administracin de DFS
Active Directory
2 A.S.I.R.
72
Active Directory
2 A.S.I.R.
73
Una vez configurado el espacio de nombres, creamos una nueva carpeta compartida:
Active Directory
2 A.S.I.R.
74
Nos vamos a la carpeta compartida y le asignamos al usuario director2013 permisos de lectura sobre la carpeta:
Active Directory
2 A.S.I.R.
75
Comprobamos que con el usuario director2013 accedemos perfectamente al fichero creado anteriormente:
Active Directory
2 A.S.I.R.
76
Y como al usuario director2013 le hemos asignado solamente permisos de lectura comprobamos que no podemos ni crear una nueva carpeta: