IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA ACTIVE DIRECTORY

(WINDOWS SERVER)

Maicol muñoz
José David Salazar

Instructor:
Felipe Londoño

Código:
35442

Administración de Redes

Centro de Gestión Empresarial

SENA

2011
 IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA ACTIVE DIRECTORY
(WINDOWS SERVER)

Objetivos:
- Realizar una implementación práctica de la infraestructura de Active Directory
- Comprender el concepto de administración centralizada de recursos de red

SOLUTIONS S.A. tiene 3 sucursales distribuidas en todo el país. Actualmente la

administración de la red se realiza de manera descentralizada, es decir, cada
departamento administra sus propios recursos de red.

La nueva junta directiva de la empresa ha decidido centralizar la administración de

los recursos de la red e implementar un dominio local en Windows Server 2008,
mediante una infraestructura ACTIVE DIRECTORY.

Las sucursales son:

 Medellín
 Bogotá
 Cali

presente problemas tener una copia de los usuarios, grupos, cuentas de

estaciones etc.

vez las siguientes unidades organizativas:

- Equipos: Portátiles y de Escritorio.

- Usuarios: Cada sucursal deberá contener por lo menos 10 usuarios
- Impresoras: Una impresora en la sucursal principal
- Carpetas compartidas: en equipos y en un servidor FTP
- Grupos

*Cada cuenta de usuario que se cree tenga la contraseña por defecto, pero debe
forzarse cambiar la contraseña al siguiente inicio de sesión para que la contraseña
sea personal.

Por cada sucursal habrá una carpeta compartida reservada en el controlador de

dominio. Más adelante se definirán los permisos para los usuarios.
- A continuación se muestra cómo se distribuirán los 10 usuarios para cada
sucursal:

- ponga 2 cuentas de usuario y agregarlos al grupo de administradores del

dominio, para cada sucursal (Asignar lo nombres que deseen). Los
administradores del dominio tienen control total sobre éste.

- ponga 2 cuentas de usuario para los nuevos aprendices practicantes de cada

sucursal (Asignar lo nombres que deseen) y permitirles únicamente:

-Iniciar sesión solo de lunes a viernes, de 8 AM a 6PM

-Ningún privilegio administrativo
-Iniciar sesión solo en los equipos de Escritorio
-Conceder al grupo aprendices solo el acceso a la carpeta compartida
PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá
conectarse automáticamente a una unidad de red).
-No podrán abrir el menú Ejecutar del menú Inicio

NOTA: Los aprendices pertenecen al grupo aprendices

Los otros 6 son Usuarios del dominio y se les permitirá:

- Acceder a la impresora compartida

- Acceder a la carpeta compartida que le corresponde dentro de la unidad
Organizativa de la sucursal. (Una vez que cada uno de estos usuarios inicie sesión
deberá conectarse automáticamente a una unidad de red)
- No podrán acceder al panel de control
- No podrán abrir el menú Ejecutar del menú Inicio

Desarrollo

1- Instalar en controlador de dominio

-A continuación mostrare los pasos para instalar el controlador de dominio
siguiendo los siguientes pasos.
El controlador de dominio instala el DNS y le crea las zonas directa automática/ lo
único que tiene que hacer es crearle la zona inversa.

-Poner una dirección ip estática.

-Inicio-ejecutar-dcpromo.exe
Siguiente el dominio raíz será soluctions.local
Aquí pondré la contraseña para el administrador de controlador de dominio yo
recomendaría poner la contraseña de equipo administrador. Recuerde que esa
contraseña no distingue entre (may, min, num).
Después de haber instalado la directiva iremos a la siguiente ruta
-inicio-herramientas administrativa-usuarios y equipos de active directory

Cada sucursal formará parte de una unidad organizativa que contendrá a su vez
las siguientes unidades organizativas:

-Equipos: Portátiles y de Escritorio.

-Usuarios: Cada sucursal deberá contener por lo menos 10 usuarios
-Impresoras: Una impresora en la sucursal principal
-Carpetas compartidas: en equipos y en un servidor FTP
-Grupos
-Todo lo que hare en el siguiente manual será en la sucursal Medellín ya con lo
mostrado lo harán después con las otras sucursales. (Bogotá, Cali)

A continuación se muestra cómo se distribuirán los 10 usuarios para cada

sucursal:

Como crear una unidad organizativa

-clic derecho – nuevo- unidad organizativa

Como crear usuario

Clic derecho-nuevo-usuario
En una maquina cliente de dominio

-primero en mi PC propiedades cambiar nombre de usuario y ese usuario lo

Unimos a el dominio
Impresoras: Una impresora en la sucursal principal

Como compartir la impresora

1. Lo en una maquina descargamos el software PDFcreator que nos permite crear

impresora virtuales.
2. instalamos y la impresora esta en
Inicio-panel de control-impresoras

Le damos clic derecho compartir

Lo compartimos y le damos el nombre luego nos vamos nuestro actory directory
Y hacemos lo siguientes:

-para agregar una nueva impresora clic derecho en impresora-nuevo-impresora

Le damos la ruta siguiente:
\\ La dirección de servidor donde esta lo compartido\el nombre de lo
compampartida

Para las siguientes cuestiones seguimos los pasos a continuación

Todo lo que hare a continuación será para la sucursal Medellín ya que para Cali y
para Bogotá es lo mismo.

2- coger 2 cuentas de usuario y agregarlos al grupo de administradores del

dominio, para cada sucursal (Asignar lo nombres que deseen). Los
administradores del dominio tienen control total sobre éste.
Bueno acá muestra que David y josa son administradores de dominio

A continuación mostrare como agregarlos a administradores de dominio

Doble clic en el usuario-miembro de-

Luego-le damos agregar-avanzadas-buscar ahora

Buscamos administradores de dominio.
Le damos aceptar-aplicar-aceptar

Lo mismo es para Cali y Bogotá

3-Coger 2 cuentas de usuario para los nuevos aprendices practicantes de cada

Sucursal (Asignar lo nombres que deseen) y permitirles únicamente:

Los usuarios aprendices son Juan y luis.

¿Iniciar sesión solo de lunes a viernes, de 8 AM a 6PM?

-doble clic en el usuario-cuenta-hora de inicio de sesión

Le damos
Aceptar-aplicar-aceptar

¿Ningún privilegio administrativo?

R// por defecto cuando uno crea el usuario viene ya con ningún derecho
administrativo
¿Iniciar sesión solo en los equipos de Escritorio?
R//
Doble clic en el usuario-cuenta-iniciar sesión en

Le damos aceptar
Le dimos el nombre de equipo donde nada más se puede iniciar sesión nada en
ese equipo. Para hacer la prueba puede coger otra máquina cliente, al ahora de
iniciar sesión no podrá acceder.
¿Conceder al grupo aprendices solo el acceso a la carpeta compartida
PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá
conectarse automáticamente a una unidad de red).?

R// 1.debemos poner los dos usuarios aprendices a un grupo que lo llamaremos
aprendices

En grupo de la sucursal Medellín-clic derecho en equipo-nuevo-equipo

Luego agregamos los usuarios aprendices a grupo (grupo aprendices Medellín)

Clic derecho en el usuario-agregar grupo-avanzadas-buscar ahora (grupo

aprendices Medellín)
Aceptar
2. crear una carpeta en mis documentos y luego la vamos a compartir

Clic derecho-compartir

Avanzadas-buscar ahora-buscamos el grupo (grupo de usuario Medellín)

Compartir

Luego le damos clic derecho propiedades la carpeta-compartir-uso compartido-

Habilitamos las casillas

Esto se hace es para que la ruta de la carpeta compartida quede más corta para
copiarla

Luego vamos a la carpeta compartida de la sucursal y crearnos otra carpeta

compartida
Aceptar

Para compartir una unidad de red

En la carpeta compartida damos clic derecho-conectar a una unidad de red

En esa ruta y letra se les darás a los usuarios aprendices de grupo aprendices.
En el perfil de usuario perteneciente al grupo.

Aplicar y aceptar

¿No podrán abrir el menú Ejecutar del menú Inicio?

1- Nos vamos a inicio-herramientas administrativas-administración de

directivas de grupo
2- Desplegamos la unidad organizativa que dice dominios y le hacemos clic
derecho en el dominio-crear un GPO en este dominio y vincularlo aquí
Aceptar

Luego le damos clic derecho en la GPO creada-editar

Estado ahí en configuración de usuario-desplegamos-directivas-plantillas
administrativas-menú inicio y barra de tareas

Buscamos quitar en menú ejecutar del menú inicio

Le damos clic derecho-propiedades- y los habilitamos

Nos vamos a las directivas de grupo.
Hacemos clic derecho en la GPO creada y le damos exigido

Por último y los mas importante agregar el grupo aprendices Medellín a la GPO
para que le aplique estas directivas a dicho grupo. Estoces hacemos doble clic en
la GPO
A continuación vamos a quitar usuarios autentificados

Agregamos el grupo donde esta los usuarios en donde se le va a aplicar estas

GPO

Avanzadas-buscar ahora (grupo aprendices medellin) y también será para Bogotá

y Cali ósea que tenemos que agregar los grupos correspondientes de Bogotá y
Cali.
Aceptar

La GPO como dice el taller también se debe aplicar a los grupo de Cali y Bogotá
pero yo le muestro el proceso en Medellín por como ya sabe para las otras
sucursales es el mismo proceso.

NOTA: cuando compartimos la impresora esa impresora es para las tres

sucursales
Pero todavía no tiene usuario compartido más adelante los agregaremos.

Vamos a hacer pruebas ingresados en una maquina cliente con un usuario

perteneciente al grupo (grupo aprendices Medellín) y miramos si nos compartió la
carpeta compartida por una unidad de red y que nos no muestre el menú ejecutar
en la barra de inicio.
I

Miramos que nos

compartió en una
unidad de red

Y miramos el menú ejecutar

No se ve el menú
ejecutar en inicio
NOTA: verifique si está bien hecho los pasos anteriores

Coger 2 cuentas de usuario para los nuevos aprendices practicantes de cada

sucursal (Asignar lo nombres que deseen) y permitirles únicamente:

-Iniciar sesión solo de lunes a viernes, de 8 AM a 6PM

-Ningún privilegio administrativo
-Iniciar sesión solo en los equipos de Escritorio
-Conceder al grupo aprendices solo el acceso a la carpeta compartida
PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá
conectarse automáticamente a una unidad de red).
-No podrán abrir el menú Ejecutar del menú Inicio
-Los aprendices pertenecen al grupo aprendices

3- Los otros 6 son Usuarios del dominio y se les permitirá:

-Acceder a la impresora compartida
-Acceder a la carpeta compartida que le corresponde dentro de la unidad
Organizativa de la sucursal. (Una vez que cada uno de estos usuarios inicie sesión
deberá conectarse automáticamente a una unidad de red)
-No podrán acceder al panel de control
-No podrán abrir el menú Ejecutar del menú Inicio

R//
Lo primero seria mirar si los 6 usuarios pertenezcan a un grupo (crear el grupo
dentro la unidad organizativa de grupos)
 -Acceder a la carpeta compartida que le corresponde dentro de la unidad
Organizativa de la sucursal. (Una vez que cada uno de estos usuarios inicie sesión
deberá conectarse automáticamente a una unidad de red)

1. crear la carpeta compartida

Luego la compartimos

Clic derecho en la carpeta-compartir

Quitamos el administrador y agregamos el grupo de los usuario restantes de
Medellín

Crearemos la carpeta compartida

Luego la compartimos con una unidad de red
Clic derecho-conectar con una unidad de red

Para conectar la unidad

de red

Le especificamos
con cual
Luego nos vamos para el grupo de usuarios restantes Medellín

Y a cada usuario le especifica a cual unidad de red se va a conectar y le damos la

ruta de la carpeta compartida

Esto son los

usuarios
pertenecientes a
este grupo

Ahora mostraremos el ejemplo de cómo conecta el usuario

Estoces seleccionaremos 1 clic derecho-propiedades-perfil-conectar

Según como agregamos la ruta a la

carpeta compartida se la damos a cada
usuario de dicho grupo
Ahora haremos el siguiente punto.

-No podrán acceder al panel de control

-No podrán abrir el menú Ejecutar del menú Inicio

1- Nos vamos a administración de directiva de grupo

Clic derecho en el dominio y agregamos la GPO

En la GPO hacemos clic derecho en editar

En configuración de usuario

Desplegamos-directivas-plantillas administrativas
En menú inicio y barra de tareas

Buscamos quitar el menú ejecutar de menú inicio

Lo habilitamos dándole clic derecho-

propiedades-habilitar

Y buscamos denegar el panel de control

Po último hacemos la prueba de todo ingresando como un usuario de grupo
restantes

Y miramos

1 que nos haya compartido la carpeta compartida por una unidad de red

Vemos que nos compartir

la unidad de red.

2. miramos que nos haya denegado el menú ejecutar y el panel de control

 Como podemos ver nos está el
ejecutar y el panel de control

Recuerde que todo esto se hizo con la sucursal Medellín ya que lo mismo será
para Bogotá y Cali.

Ahora haremos el controlador de dominio suplente ósea migrar el servidor actory

Directory en otra máquina distinta a la red.

1. Utilizaremos DSL para que haga la función de router.

-La maquina que tiene el controlador de dominio principal tiene la dirección

192.168.1.2 con su Gateway 192.168.1.1.

-la maquina que tendrá la copia de controlador de dominio principal 172.16.0.2

y la Gateway será 172.16.0.1.

- El DSL tendrá la Gateways de las dos maquina.

-La máquina de controlador de dominio principal con la siguiente dirección.

 Este es el controlador de
dominio principal.

Luego el DSL lo pondremos como router.

El DSL debe de tener 2 adaptadores de red para que comunique las 2

maquinas.

Hay esta los adaptadores de red donde

está por red interna

Adaptador 1=maida donde está la

192.168.1.1

Adaptador2=20 donde está la

172.16.0.1

Para que el las dos maquina se puedan comunica haremos los siguiente el
DSL
 1. Ingresamos el siguiente comando

Para encaminar las direcciones

Luego especificaremos la interfaces que harán el papel de Gateway

Es la Gateway Para el controlador

de dominio principal

Es la Gateway para la copia de controlador

de dominio
 En La maquina 2 la copia de controlador de dominio donde trabajara con la
siguiente dirección

Recuerde que debe estar por red interna 20 para que se pueda comunicar con el
DSL que funciona como router y tenga vista con el controlador de dominio
principal.
Luego unimos la maquina a dominio por la siguiente ruta

Inicio-clic derecho propiedades en equipo-cambiar configuración y miramos el

pantallazo

Después de reiniciar
Instalaremos la copia de controlador de dominio.
Crearemos un bosque existe como ya unimos la maquina a dominio estoces
todo será siguiente
Después de le damos finalizar
 En la maquina del controlador de dominio principal lo vemos así

Ahora nos vamos para la copia de controlador de dominio y como ya lo

tenemos enlazado tiene que queda todo lo que vallamos haciendo

Fin

Conceptos:
Servidor de directorio:
Es una aplicación o un conjunto de aplicaciones que almacena y organiza la
información sobre los usuarios de una red de ordenadores, sobre recursos de red,
y permite a los administradores gestionar el acceso de usuarios a los recursos
sobre dicha red. Además, los servicios de directorio actúan como una capa de
abstracción entre los usuarios y los recursos compartidos.

Dominio:
Un dominio o nombre de dominio es el nombre que identifica un sitio web. Cada
dominio tiene que ser único en Internet. Por ejemplo, "www.masadelante.com" es
el nombre de dominio de la página web de Mas adelante. Un solo servidor web
puede servir múltiples páginas web de múltiples dominios, pero un dominio sólo
puede apuntar a un servidor.

Active Directory :
es el servicio de directorio de una red de Windows 2003. Este servicio de
directorio es un servicio de red que almacena información acerca de los recursos
de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos,
de forma que se convierte en un medio de organizar, controlar y administrar
centralizadamente el acceso a los recursos de la red.

DNS:
(Domain Name System). Servicio de nombres de dominio que permite la
administración de los nombres de ordenadores. Este servicio constituye el
mecanismo de asignación y resolución de nombres (traducción de nombres
simbólicos a direcciones IP) en Internet.

Kerberos :Protocolo utilizado para la autenticación de usuarios y máquinas.

LDAP :(Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de

acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden
y modifican la información existente en el directorio.

Arbol:

Un árbol es un conjunto de uno o más dominios que comparten un espacio de

nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras
de árbol jerárquicas.

El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un
dominio a un árbol existente este pasa a ser un dominio secundario (o hijo). Un
dominio inmediatamente por arriba de otro dominio en el mismo árbol de dominio
es su padre. Todos los dominios que tengan un dominio raíz común se dice que
forman un espacio de nombres contiguo.

Los dominios secundarios (hijos) pueden representar entidades geográficas

(valencia, madrid, barcelona), entidades administrativas dentro de la organización
(departamento de ventas, departamento de desarrollo ...), u otras delimitaciones
específicas de una organización, según sus necesidades.

Los dominios que forman un árbol se enlazan mediante relaciones de confianza

bidireccionales y transitivas. La relación padre-hijo entre dominios en un árbol de
dominio es simplemente una relación de confianza. Los administradores de un
dominio padre no son automáticamente administradores del dominio hijo y el
conjunto de políticas de un dominio padre no se aplican automáticamente a los
dominios hijo.

Por ejemplo, en la Universidad Politécnica de Valencia cuyo dominio actual de

Active Directory es upv.es se crean dos nuevos departamentos: DSIC y DISCA.
Con el fin de permitir la administración de los dominios por parte de los técnicos de
los respectivos departamentos, se decide agregar dos nuevos dominios a su árbol
de dominios existente en lugar de crear dos unidades organizativas en el dominio
existente. Los dominios resultantes, dsic.upv.es y disca.upv.es forman un espacio
de nombres contiguo, cuya raíz es upv.es. El administrador del dominio padre
(upv.es) puede conceder permisos para recursos a cuentas de cualquiera de los
tres dominios del árbol, pero por defecto no los puede administrar.

Bosque:

Un bosque es un grupo de árboles que no comparten un espacio de nombres

contiguo, conectados a través de relaciones de confianza bidireccionales y
transitivas. Un dominio único constituye un árbol de un dominio, y un árbol único
constituye un bosque de un árbol. Los árboles de un bosque aunque no forman un
espacio de nombres común, es decir, están basados en diferentes nombres de
dominio raíz de DNS, comparten una configuración, un esquema de directorio
común y el denominado catálogo global.

Es importante destacar que, aunque los diferentes árboles de un bosque no

comparten un espacio de nombres contiguo, el bosque tiene siempre un único
dominio raíz, llamado precisamente dominio raíz del bosque; dicho dominio raíz
será siempre el primer dominio creado por la organización.

Añadir nuevos dominios a un bosque es fácil. Sin embargo, existen ciertas

limitaciones que hemos de tener en cuenta al respecto:

*No se pueden mover dominios de Active Directory entre bosques.

*Solamente se podrán eliminar dominios de un bosque si este no tiene dominios

hijo.

*Después de haber establecido el dominio raíz de un árbol, no se pueden añadir

dominios con un nombre de nivel superior al bosque.

*No se puede crear un dominio padre de un dominio existente.

En general, la implementación de bosques y árboles de dominio permite mantener

convenciones de nombres tanto contiguos como discontiguos, lo cual puede ser
útil en organizaciones con divisiones independendientes que quieren mantener
sus propios nombres DNS.

Finalmente, debemos relacionar estos conceptos con el procedimiento para crear

un dominio. Esto se hace mediante la ejecución de un asistente denominado
dcpromo en el sistema Windows 2003 Server que queramos promocionar a
controlador de dominio. En concreto, este asistente nos permite elegir entre las
siguientes opciones de instalación:

1. DC adicional de un dominio existente o DC para un dominio nuevo

(creación de un dominio).
2. En el segundo caso, el dominio (nuevo) puede ser un dominio secundario
de otro dominio existente (es decir, un subdominio en un árbol de dominios
ya creado), o bien el dominio principal (raíz) de un nuevo árbol de dominios.
3. En este segundo caso, el dominio raíz puede ser de un bosque existente
(agregamos una raíz nueva a un bosque) o de un nuevo bosque (creación
del bosque). Por tanto, el primer dominio que creemos en una organización
siempre será un dominio nuevo de un árbol nuevo de un bosque nuevo.

Unidad organizativa:

Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio

Activo que puede contener a otros objetos del directorio. Es decir, es un
contenedor de otros objetos, de forma análoga a una carpeta o directorio en un
sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo
pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido,
de impresora compartida, etc., además de otras unidades organizativas. Es decir,
mediante unidades organizativas podemos crear una jerarquía de objetos en el
directorio (lo cual se asemeja otra vez a un sistema de archivos típico de
Windows). Los objetos ubicados dentro de una unidad organizativa pueden
moverse más tarde a otra, si fuera necesario. Sin embargo, un objeto no puede
copiarse: cada objeto es único en el directorio, y su existencia es independiente de
la unidad organizativa a la que pertenece.

Grupo:

De forma análoga a los usuarios globales, existen grupos que son almacenados
en el Directorio Activo y que por tanto son visibles desde todos los ordenadores
del dominio (y, en algunos casos, también de otros dominios del bosque). En el
directorio pueden crearse dos tipos de grupos: grupos de distribución y grupos de
seguridad. Los primeros se utilizan exclusivamente para crear listas de distribución
de correo electrónico, mientras que los segundos son los que se utilizan con fines
administrativos. Por este motivo, a partir de ahora nos referiremos exclusivamente
a los grupos de seguridad.