Your SlideShare is downloading. ×
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Practica 2003 server_acitve_directory_fran_gavilan
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Practica 2003 server_acitve_directory_fran_gavilan

1,207

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,207
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
96
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. PrácticaActiveDirectoryAdministración de SistemasOperativosFrancisco Javier Gavilán Escriche2ºA
  • 2. Práctica Active Directory Francisco Javier Gavilán EscricheINDICEObjetivos..........................................................................................................................................2Instalación de Active/Directory .......................................................................................................5Punto 1 .............................................................................................................................................7Punto 2 .............................................................................................................................................8Punto 3 .............................................................................................................................................9Punto 4 ...........................................................................................................................................10Punto 5 ...........................................................................................................................................11 Instalación DNS .........................................................................................................................11 Instalación DHCP ......................................................................................................................13Punto 6 ...........................................................................................................................................15Asociar dominio ............................................................................................................................16Punto 7 ...........................................................................................................................................17Punto 8 ...........................................................................................................................................20Punto 9 ...........................................................................................................................................23Punto 10 .........................................................................................................................................25Punto 11 .........................................................................................................................................40Punto 12 .........................................................................................................................................46 1
  • 3. Práctica Active Directory Francisco Javier Gavilán EscricheObjetivosPerteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 deOctubre de este año, se plantea una migración del entorno corporativo a la versión deWindows 2003 Server.Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sustrabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como consecuenciase va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/ Arcos de laFrontera s/nNuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientosnecesarios para dicha migración y llevarlos a cabo para tal fecha.Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que estánactualmente en producción:· Administración de usuarios y grupos.· Administración de ficheros.· Administración de discos.· Copias de seguridad.y añadir otros másEl trabajo consiste en realizar un informe detallado de los pasos seguidos para la nuevaimplantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasosseguidos para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos.La información necesaria para esta labor en relación al entorno actual es la siguiente:1. La empresa consta de 20 empleados.2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador ylos otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta ala que solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o discoduro diferente a la del sistema operativo.3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios decódigo y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados alproyecto en el que estén trabajando.4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. Elgerente tendrá acceso a toda la documentación y código ejecutable C.F.G.S de Administraciónde Sistemas Informáticos en Red Administración de Sistemas Operativos de los proyectos. Eldirector tendrá acceso ilimitado a todos los recursos disponibles. 2
  • 4. Práctica Active Directory Francisco Javier Gavilán Escriche5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos susnombres):a. Controlador de Dominio => midominio.localb. Servicio DNSc. Servicio DHCP =>192.168.100.0/24 i. Ámbito: 192.168.100.2 – 192.168.100.254 ii. Servidor: 192.168.100.16. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabajees la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que notengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch.7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto de losusuarios, salvo para los dos usuarios del punto anterior.8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresaquiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil, proyecto,documentación, etc de la empresa. Los datos de los perfiles estarán en una partición o disco durodiferente a la del sistema operativo.9. El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables ydocumentación de cada uno de los proyectos.10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir algunadirectiva de grupo en el sistema. Son las siguientes:a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien deldepartamento de sistema por alguna incidencia (cuidado con el firewall de windows),deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritoriocorporativo para evitar “posibles distracciones”: i. Habilitar Asistencia Remota Solicitada. ii. Habilitar no permitir que se ejecute windows messenger. iii. Poner un fondo de pantalla corporativo que no pueda cambiarse. iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio. v. Deshabilitar el uso de pendrives.b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sinnecesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puedeaceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows). i. Habilitar ofrecer asistencia remota.c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muypesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se almacenará en elservidor (en una partición diferente a la del sistema operativo) llamada “personales”. El recursodebe ser oculto para el resto. Como consecuencia de esto, se le C.F.G.S de Administración deSistemas Informáticos en Red Administración de Sistemas Operativos habilitará una cuota dedisco de 100 Mb, ya que estos ficheros personales no estarán asociados al perfil. 3
  • 5. Práctica Active Directory Francisco Javier Gavilán Escriche i. Redireccionamiento de “Mis Documentos” ii. Limitar el tamaño del perfil.d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le dé la gana y quequiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser eljefe). Recuerda la jerarquía de aplicación de las directivas de grupo. i. Deshabilitar no permitir que se ejecute windows messenger. ii. Habilitar el uso de pendrives.e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”.No olvides que no se pueden aplicar directivas de grupo a grupos del dominio.11. Instala un servicio de distribución de software desde tu equipo servidor a las estaciones detrabajo del dominio mediante paquetes MSI: a. OpenOffice. b. Firefox.Crea tú mismo estos paquetes con alguna utilidad.12. Instala DFS y haz una prueba de su funcionamiento.Crearemos diferentes entradas en nuestro blog a medida que vayamos completando los diferentesapartados: • 1-6 •7 •8 •9 • 10 • 11 • 12 4
  • 6. Práctica Active Directory Francisco Javier Gavilán EscricheInstalación de Active/DirectoryAntes de empezar a hacer la práctica punto por punto debemos de instalar el active/directory yaque es necesario su instalación para poder agregar usuarios, grupos, directivas de grupo a nuestrodominio.Vamos a inicio, a ejecutar e introducimos dcpromo y proseguimos con la instalación y nospedirá el nombre de nuestro nuevo dominio, el cual hemos decidido denominarlomidominio.local.A continuación expongo pantallazos de los pasos más significativos en la instalación deActive/Directory: 5
  • 7. Práctica Active Directory Francisco Javier Gavilán EscricheUna vez finalizada la instalación podemos proceder a la creación de usuarios y grupos, así comoa la instalación de los demás servicios como son el DNS y el DHCP, pero ahora mismo nosvamos en la creación de todos los miembros de la empresa en la que vamos a trabajar. 6
  • 8. Práctica Active Directory Francisco Javier Gavilán EscrichePunto 1La empresa consta de 20 empleadosHe decidido estructurar los usuarios y grupos de active directory de la siguiente manera:La empresa consta de 20 empleados, los cuales (la gran mayoría) van a estar distribuidos entredos departamentos que vamos a crear: departamento de software y departamento de sistemasHemos tenido que crear 15 usuarios destinados a llevar el control del departamento de softwaredenominados Empleado1 hasta Empleado15, 3 usuarios que van a pertenecer al departamento desistemas que van a ser el propio administrador del dominio y 2 encargados de llevar las posiblesincidencias que se puedan dar en el departamento denominados Encargado1 y Encargado2 yluego también hemos tenido que crear 2 usuarios especiales para la ocasión llamados Director YGerente. En la imagen actual podemos comprobar la existencia del usuario Gerente, Director ytambién la existencia de un usuario invitado que lo crea el sistema y lo usaremos más adelante.Aunque no se aprecie en la imagen también he creado los grupos software y sistemas en loscuales van a ir los diferentes usuarios que hemos creado. 7
  • 9. Práctica Active Directory Francisco Javier Gavilán EscrichePunto 23 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador ylos otros dos son los encargados de la gestión de incidencias. Esta se almacenará en unacarpeta a la que solo tendrá acceso el departamento de sistemas. Los datos estarán en unapartición o disco duro diferente a la del sistema operativo.A continuación he creado en un disco duro alternativo (más detalles en el punto 9) una serie decarpetas en las cuales se van a almacenar la información necesaria tanto para los usuarios delgrupo software como para los usuarios del grupo sistemas. De momento lo que hecho es otorgarpermisos a la carpeta Sistemas a los usuarios Administrador de midominio.local (control total),encargado1 y encargado2 (les he dado permisos de cambiar y leer) 8
  • 10. Práctica Active Directory Francisco Javier Gavilán EscrichePunto 315 empleados son desarrolladores de software que tienen acceso limitado a los repositoriosde código y de documentación, donde únicamente tendrán acceso a aquellos directoriosasociados al proyecto en el que estén trabajando.Así es como quedaría la distribución de los empleados dentro del grupo software y otorgándolescontrol total dentro de la carpeta software a todos sus respectivos empleadosHe decidido estructurar el departamento de Software en 3 proyectos, los cuales cada uno de ellosva a tener una serie de documentaciones y de repositorios a los cuales solo va a tener acceso unacantidad limitada de usuarios de software. A continuación expongo una captura de cómoquedaría la organización de las carpetas. 9
  • 11. Práctica Active Directory Francisco Javier Gavilán EscricheAl proyecto 1 solamente podrán acceder Director, Administrador y los empleados del 1 al5 con permisos de control total y también el gerente pero solo con permisos de lectura.Al proyecto 2, la misma estructura de usuarios salvo que en vez de que sean los empleados del 1al 5, solo acceden del 6 al 10.En el proyecto3 los mismos usuarios que en los casos anteriores pero solamente podrán teneracceso los empleados del 11 al 15.Punto 4Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. Elgerente tendrá acceso a toda la documentación y código ejecutable C.F.G.S deAdministración de Sistemas Informáticos en Red Administración de Sistemas Operativosde los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles.Al estar todos los usuarios metidos dentro de dos grupos (grupo software y grupo sistemas) puesautomáticamente lo que hacemos es meter a estos dos usuarios dándole a director permisos decontrol total y a gerente permisos de lectura, quedaría la estructura de permisos de la siguientemanera:Otra manera posible de administrar los permisos a los usuarios sería agregando el grupo enteroen vez de todos los usuarios como lo tengo en las imágenes, lo que pasa es que he dejado así laorganización de los usuarios por la estructura que había utilizado en ejercicios anteriores.Únicamente hemos agregado ambos usuarios con permisos de control total al director y permisosde solo lectura al gerente. 10
  • 12. Práctica Active Directory Francisco Javier Gavilán EscrichePunto 5La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos susnombres):a. Controlador de Dominio => midominio.localb. Servicio DNSc. Servicio DHCP =>192.168.100.0/24 i. Ámbito: 192.168.100.2 – 192.168.100.254 ii. Servidor: 192.168.100.1Instalación DNSNos vamos a la siguiente ruta:Inicio/Panel de control /Agregar o quitar Programas/Agregar o quitar componentes de WindowsAhora pulsamos en Servicios de Red y posteriormente en detalles y escogemos la opción“Sistema de Nombres de dominio DNS”. Esta instalación prácticamente es automática y apenashay que hacer nada. Después la zona directa te la crea automática por lo que únicamente voy aponer capturas de pantalla de la creación de la zona inversa. Como puntualización he de decirque he tenido que configurar la IP del sistema manualmente dejando los parámetros tal y comose muestran. 11
  • 13. Práctica Active Directory Francisco Javier Gavilán Escriche 12
  • 14. Práctica Active Directory Francisco Javier Gavilán EscricheInstalación DHCPNos vamos a la siguiente ruta:Inicio/Panel de control /Agregar o quitar Programas/Agregar o quitar componentes de WindowsAhora pulsamos en Servicios de Red y posteriormente en detalles y escogemos la opción“Protocolo de configuración dinámica de host (DHCP)”Después nos saldrá una interfaz similar a ésta en la cual vamos a tener que agregar un nuevoámbito y establecer la IP fija al servidor.Clickamos con el botón derecho del ratón sobre nuestro dominio y elegimos la opción “Ámbitonuevo” y vamos configurando los parámetros tal y como los muestro a continuación: 13
  • 15. Práctica Active Directory Francisco Javier Gavilán Escriche 14
  • 16. Práctica Active Directory Francisco Javier Gavilán EscricheUna vez terminado este apartado paso a mostrar cómo quedaría el DHCP ya configurado, he dedecir que para el correcto funcionamiento de nuestro servidor DHCP será necesario reiniciar elservicio, así como también en pinchando en propiedades de nuestro dominio habrá un par deopciones llamadas Autorizar y actualizar que también nos van a ser de gran ayuda para hacerfuncionar el DHCP con éxito y pueda repartir direcciones IP a clientes de manera correcta.Punto 6Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual quetrabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular loanterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamentea un switch.En mi caso he decidido compartir todas las máquinas virtuales con las que estamos trabajando enred interna en host only (Vmnet7) en el rango 100. 15
  • 17. Práctica Active Directory Francisco Javier Gavilán EscricheAsociar dominioPara que haya una conexión entre nuestro servidor y cliente mediante nuestro dominio creadopreviamente en el servidor tendremos que vincular en el cliente el dominio en el cual vamos aquerer que se conecten nuestros clientes. Para ello vamos a propiedades del sistema/nombre deequipo/cambiar y colocamos el nombre de nuestro dominio de la siguiente manera (nos pedirá unusuario y contraseña, le indicamos la de nuestro administrador de 2003 y su respectivacontraseña): 16
  • 18. Práctica Active Directory Francisco Javier Gavilán EscrichePunto 7Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto delos usuarios, salvo para los dos usuarios del punto anterior.Primero vamos a establecer los permisos para una carpeta que vamos a crear en nuestro discoduro virtual adicional llamada “Perfiles” y en la cual vamos a establecer los permisos de talforma que el administrador y el director tengan control total, los grupos de sistemas y softwaretengan control para cambiar y leer y los usuarios invitado y gerente tengan solamente permisosde lectura.Para crear un perfil móvil es necesario indicar la ruta del perfil que queremos que se conecte, lacual indicaremos con el nombre de nuestro servidor seguido de la carpeta en la que estánasociados los usuarios (en este caso perfiles$), seguido de la variable %username% para quedetecte automáticamente el nombre del usuario. 17
  • 19. Práctica Active Directory Francisco Javier Gavilán EscricheEn este caso en concreto he decidido hacerlo para el Empleado1, acto seguido nos vamos a lacarpeta perfiles donde van a estar asociados todos nuestros perfiles mediante los cuales vamos apoder iniciar sesión en nuestros clientes.Y aquí pues tienen que estar presentes todos los usuarios que pretenden tener acceso a un clientemediante el dominio que hemos generado anteriormente (vamos a hacer el mismo proceso contodos y cada uno de los usuarios pertenecientes a los grupos software y sistemas).Una vez que ya hemos creado dichos perfiles móviles, podemos darles uso en nuestro cliente XPcon el nombre del usuario y su respectiva contraseña que hemos introducido cuando hemoscreado los usuarios. En un perfil móvil el objetivo es que el usuario que accede pueda modificarsu interfaz o incluso efectuar el guardado y modificación de archivos o carpetas y que cuandovuelva a iniciar sesión desde otro ordenador esos cambios que ha hecho el usuario se quedenaplicados.Para comprobar que el perfil móvil del Empleado1 está bien creado, hago una serie de cambiosen el escritorio estando en la sesión del Empleado1, cierro sesión, vuelva a abrir sesión con elmismo usuario y como se puede comprobar el perfil funciona correctamente. 18
  • 20. Práctica Active Directory Francisco Javier Gavilán EscricheTambién es bueno hacer otra comprobación, accediendo a la carpeta perfiles del servidor y siaccedemos a su interior y observamos que se ha generado una carpeta de ese usuario con el quenos hemos logeado, de esta forma sabremos que hemos hecho el perfil móvil de forma correcta. 19
  • 21. Práctica Active Directory Francisco Javier Gavilán EscrichePunto 8Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a laempresa quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil,proyecto, documentación, etc de la empresa. Los datos de los perfiles estarán en unapartición o disco duro diferente a la del sistema operativo.Para crear un perfil obligatorio debemos de iniciar sesión en el cliente con el usuario quequeremos crearle el perfil obligatorio (en este caso el usuario Invitado que se crea por defecto enel dominio), después cerramos sesión y abrimos sesión como Administrador. Hacemos click enel botón derecho en MiPC después en propiedades, opciones avanzadas y configuración de losperfiles del usuario, en ese mismo momento aparece el perfil del invitado con el que nos hemoslogeado antes, pinchamos en él y le damos a copiar y después escribimos lo siguiente en la barraque nos sale:*Dar en la carpeta seguridad y en la carpeta Perfiles (Propiedades de perfiles/Seguridad)introducimos al usuario invitado creado por nosotros, de esta manera una vez iniciemos sesióncomo este usuario y después con el administrador del sistema nos saldrá automáticamente en laPropiedades del sistema/Opciones avanzadas/Configuración/Perfiles de usuarioCon esta acción conseguiremos que se copie una carpeta en el servidor con el contenido delusuario invitado y para transformar a este usuario para que acceda como perfil obligatoriodebemos de hacer una pequeña modificación en un archivo de esa carpeta, simplementerenombrando la extensión del archivo ntuser.dat a ntuser.man 20
  • 22. Práctica Active Directory Francisco Javier Gavilán EscricheTambién cabe decir que hay que introducir a los usuarios que vayan a tener un perfil obligatorioen los permisos de la carpeta perfiles (le daremos permisos de solo lectura) como se puedecomprobar en la captura de pantalla en el apartado de los perfiles móviles.Ahora, al igual que en el paso de perfil móvil tenemos que acceder a la ruta del perfil del usuarioInvitado e introducir lo siguiente: 21
  • 23. Práctica Active Directory Francisco Javier Gavilán EscricheUna vez efectuados todos los cambios debemos de hacer la correspondiente comprobación elcliente. Al iniciar sesión, hacemos una serie de cambios y lo dejamos todo desorganizadoCerramos sesión y volvemos a entrar como invitado, como podemos comprobar los cambios nose han quedado guardados, lo cual quiere decir que la realización de este perfil obligatorio se hallevado a cabo de manera satisfactoria. 22
  • 24. Práctica Active Directory Francisco Javier Gavilán EscrichePara una mayor comprobación iniciamos sesión en el cliente (esta vez como Administrador) ynos vamos a la configuración de los perfiles del usuario dentro las propiedades del sistema yvemos como el usuario “invitado del dominio” se le ha otorgado un perfil obligatorio:Punto 9El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables ydocumentación de cada uno de los proyectos.Para poder guardar toda la información referente al código fuente, proyectos, documentación,repositorios, etc. Hemos decidido crear un disco duro virtual nuevo (E:) mediante vmware yposteriormente con el administrador de disco de 2003 server.Nos vamos a Inicio/Herramientas Administrativas/Administración de equiposDespués nos saldrá un asistente para configurar la nueva partición, darle formato NTFS, nombrede la nueva partición. 23
  • 25. Práctica Active Directory Francisco Javier Gavilán EscricheA continuación muestro el contenido que hemos tenido que ir creando dentro de dicha partición: 24
  • 26. Práctica Active Directory Francisco Javier Gavilán EscrichePunto 10El administrador, para optimizar el funcionamiento de la empresa, decide incluir algunadirectiva de grupo en el sistema. Son las siguientes:a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota dealguien del departamento de sistema por alguna incidencia (cuidado con el firewall dewindows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner unfondo de escritorio corporativo para evitar “posibles distracciones”:i. Habilitar Asistencia Remota Solicitada.Únicamente lo que debemos de hacer es pinchar en las propiedades de nuestro dominio asir.comy seleccionamos la opción de directiva de grupo. La política por defecto que se crea en eldominio la modificaremos y para ello le damos a editar, nos envía al menú editor de objetos dedirectivas de grupo y vamos por la siguiente ruta /configuración del equipo/Plantillasadministrativas/Sistema/ Asistencia Remota y habilitamos la opción Asistencia remotasolicitada. 25
  • 27. Práctica Active Directory Francisco Javier Gavilán Escricheii. Habilitar no permitir que se ejecute windows messenger.Para habilitar la opción no permitir que se ejecute windows messenger deberemos de ir por lasiguiente ruta: /configuración del equipo/Plantillas administrativas/componenteswindows/windows messenger 26
  • 28. Práctica Active Directory Francisco Javier Gavilán Escricheiii. Poner un fondo de pantalla corporativo que no pueda cambiarse.Para establecer un fondo de pantalla corporativo para todos aquellos clientes que se conecten anuestro dominio deberemos de ir por la siguiente ruta: /configuración del usuario/Plantillasadministrativas/Escritorio/Active Desktop y le damos a opciones en la opción “Papel Tapiz deActive Desktop” y aquí pues vamos a habilitar la opción para el fondo corporativo, así como leindicaremos también la ruta donde se ubica el fondo corporativo que queremos establecer paralos usuarios y el estilo que queramos que use dicho papel tapiz: 27
  • 29. Práctica Active Directory Francisco Javier Gavilán EscricheY podemos comprobar iniciando sesión con cualquier usuario (en este caso he iniciado sesióncon el empleado2 del departamento de software) y podemos ver como se aplica el fondo depantalla corporativo para todas las personas que se quieran conectar a nuestro dominioiv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.Para llevar a cabo este paso vamos a instalar una aplicación de escritorio llamada “Monitorapp”que la podemos descargar gratuitamente de cualquier web de descarga de programas comosoftonic y vamos a configurar este programa para que cuando cualquier integrante pertenecienteal dominio quiera iniciar sesión en él le aparezcan diversos datos de interés tales como el nombrede usuario, IP desde la que se conecta al sistema…No va a ser necesario llevar a cabo ninguna instalación del programa debido a que es portable.Ubicamos el programa dentro de nuestro Windows 2003 Server. Posteriormente vamos al editorde objetos de directiva de grupo de nuestro dominio y seguimos la siguiente ruta: Configuracióndel usuario/Plantillas Administrativas/Sistema/Inicio de Sesión y pulsamos en la opción“Ejecutamos estos programas cuando el usuario inicie la sesión” 28
  • 30. Práctica Active Directory Francisco Javier Gavilán EscricheDentro de las propiedades de esta directiva deberemos de hacer click en habilitada yposteriormente darle a “Mostrar”He de decir que he tenido que crear una carpeta MonitorApp dentro de la ubicación del servidor(E: ) en la cual he alojado el programa y en dicha carpeta le he tenido que asignar permisosdeterminados a todos los usuarios del dominio en función del área en que cada uno trabaja o desu nivel de importancia en el sistema.Ahora iniciamos sesión con cualquier usuario y vemos como en la esquina superior derecha de lapantalla nos muestra una serie de datos de gran relevancia para nosotros. 29
  • 31. Práctica Active Directory Francisco Javier Gavilán Escrichev. Deshabilitar el uso de pendrives.Windows 2003 no trae ninguna directiva mediante la cual se pueda deshabilitar el uso dependrives y para ello será preciso deshabilitar dos directivas que trae Windows 2003 por defecto.A continuación vamos a crear un grupo en el que cual vamos a introducir todos aquellos gruposy usuarios que no queramos que utilicen sus dispositivos USB en los ordenadores de nuestrodominio.Creamos un grupo llamado “DenegacionUSB” y después metemos en su interior a todos losusuarios del dominio salvo al administrador. 30
  • 32. Práctica Active Directory Francisco Javier Gavilán EscricheAhora nos vamos a la siguiente ubicación: C:WINDOWSinf y tendremos que modificar lospermisos de las dos directivas que se ven remarcadas en la siguiente imagen: usbstor.inf yusbstor.PNF 31
  • 33. Práctica Active Directory Francisco Javier Gavilán EscricheAhora haremos una comprobación en el cliente para que se pueda ver como al tener conectado eldispositivo USB al ordenador el sistema es incapaz de mostrarlo al usuario: 32
  • 34. Práctica Active Directory Francisco Javier Gavilán EscricheVemos como en la imagen del propio cliente aparece el icono en la esquina inferior derecha asícomo también en el programa de virtualización vmware pero no aparece en las unidadesubicadas en MiPC*En caso de que diese algún tipo de problema porque ya estuviera instalado con anterioridad eldispositivo usb en el sistema tendremos que modificar mediante un regedit el registro“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesUsbStor y poner el valorhexadecimal de Start a 4.b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuariossin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). Elusuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows). i. Habilitar ofrecer asistencia remota.Para realizar este apartado es necesario crear unidades organizativas para poder asignar de esaforma directivas de grupo ya que no se pueden asignar directivas de grupo a grupos creados en elactive directory. Creamos la unidad organizativa Sistemas y en su interior movemos a todos losusuarios del grupo Sistemas (Administrador, Encargado1 y Encargado2). Así que pinchamos conel botón derecho en propiedades de la nueva unidad organizativa creada y nos vamos a directivade grupo. Evidentemente al haber creado una unidad organizativa no tenemos todavía ningunadirectiva de grupo y por lo tanto creamos una con el nombre que queramos, después la editamosy buscamos la opción de ofrecer asistencia remota (/configuración del equipo/Plantillasadministrativas/Sistema/ Asistencia Remota) y habilitamos dicha opción. 33
  • 35. Práctica Active Directory Francisco Javier Gavilán Escrichec. Para el Departamento de Software. Con idea de que los perfiles de usuarios no sevuelvan muy pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Sealmacenará en el servidor (en una partición diferente a la del sistema operativo) llamada“personales”. El recurso debe ser oculto para el resto. Como consecuencia de esto, se leC.F.G.S de Administración de Sistemas Informáticos en Red Administración de SistemasOperativos habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales noestarán asociados al perfil.i. Redireccionamiento de “Mis Documentos”Nuevamente tendremos que crear unidad organizativa, esta vez llamada software en la cualmeteremos a los 15 empleados del departamento de software y justo como en el procedimientoanterior, deberemos de irnos a la opción de directivas de grupo, crear una nueva y editarlaaplicándola los cambios anteriormente expuestos en el enunciado. 34
  • 36. Práctica Active Directory Francisco Javier Gavilán EscricheEn el primer apartado nos encontramos con el redireccionamiento de la carpeta Mis documentos,para que cada usuario que inicie sesión en el cliente tenga su propia carpeta mis documentos yésta a su vez nos aparezca en nuestro servidor. Para ello deberemos de crear una nueva carpetallamada Personales en la cual se van a guardar las carpetas Mis Documentos de todos losusuarios que inicien sesión con su cuenta.Deberemos de ir primero a la carpeta Personales y aplicarle los permisos para los usuarios quequeramos (en mi caso he metido a todos los empleados de software, junto con los dos encargadosde incidencias del departamento de sistemas, a todos ellos les damos permisos de control totalsino el redireccionamiento no tendrá éxito).Acto seguido debemos de ir a la unidad organizativa del departamento de software, crear unanueva y editarla En configuración del usuario / Configuración de Windows / Redireccionamientode carpeta y aquí deberemos de abrir las propiedades de la carpeta Mis Documentos 35
  • 37. Práctica Active Directory Francisco Javier Gavilán EscricheComprobación del redireccionamiento de la carpeta Mis documentos a Personales$ de tal formaque cada usuario que inicie sesión en el cliente XP se le creará automáticamente una carpeta consu nombre y en su interior una llamada Mis Documentos para que de esa forma pueda guardarinformación en su interiorii. Limitar el tamaño del perfil.Para la opción de limitar el tamaño del perfil en la misma directiva de grupo del apartadoanterior buscamos la opción de limitar el tamaño del perfil ubicado en /Configuración delusuario /Plantillas Administrativas / Sistema / Perfiles de usuario. 36
  • 38. Práctica Active Directory Francisco Javier Gavilán EscricheAccedemos a las propiedades de limitar el tamaño del perfil y habilitamos dicha opción a y a suvez modificamos el campo de tamaño máximo del perfil, el enunciado pide 100MB pero no dejaponer más de 30000 Kbs. 37
  • 39. Práctica Active Directory Francisco Javier Gavilán Escriched. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le dé la gana yque quiere el windows messenger que le niega al resto de sus empleados (no hay nada comoser el jefe). Recuerda la jerarquía de aplicación de las directivas de grupo.i. Deshabilitar no permitir que se ejecute windows messenger.Para realizar este apartado es preciso hacer una directiva de grupo tan solo para el usuariodirector y en la cual debemos de crear una nueva directiva de grupo y modificarla tal y comohemos venido haciendo con las demás hasta el momento. Accedemos a la opción No permitirque se ejecute Windows Messenger con la ruta /Configuración del equipo/Plantillasadministrativas / componentes de windows /Windows Messenger 38
  • 40. Práctica Active Directory Francisco Javier Gavilán Escricheii. Habilitar el uso de pendrives.Para poder habilitar el uso de pendrives solamente al usuario director lo único que deberemos dehacer es sacarlo del grupo de DenegacionUSB que creamos anteriormente para la deshabilitaciónde USB, con esta acción tan sencilla conseguiremos que el director pueda ver el contenido de lospendrives y el resto de los usuarios del dominio no.e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”.Instalamos la consola de administración de directivas de grupo descargando primero el programadesde la página de Microsoft.http://www.microsoft.com/download/en/details.aspx?id=21895Ahora cuando vayamos a acceder a la administración de directivas de grupos nos aparecerá unanueva interfaz más intuitiva para poder trabajar con las GPO. 39
  • 41. Práctica Active Directory Francisco Javier Gavilán EscricheSi no nos convence este sistema de administración de directivas de grupo siempre podemosdesinstalarlas en agregar o quitar programas.Punto 11Instala un servicio de distribución de software desde tu equipo servidor a las estaciones detrabajo del dominio mediante paquetes MSI:a. OpenOffice.b. Firefox.Los paquetes MSI (Microsoft Installer) se definen como instaladores de Microsoft, a saber,aquellos paquetes de software que contienen la información necesaria para automatizar suinstalación, minimizando la intervención manual del usuario, ya que toda la información iríacontenida en el propio fichero "msi".Normalmente estos paquetes los suele facilitar el distribuidor del software para facilitar lainstalación de una aplicación concretaVamos a crear una carpeta dentro de nuestra partición del servidor a la que le vamos a darpermisos de solo lectura (en mi caso voy a crear una llamada “programas”)A esta carpeta programas le vamos a ciertos permisos para que el administrador del sistematenga control total y el resto de usuarios solamente tengan permisos de lectura. 40
  • 42. Práctica Active Directory Francisco Javier Gavilán EscricheAhora vamos a descargar los paquetes que queremos que se distribuyan por todos los puestos deldominio.Openoffice  http://es.openoffice.org/Firefox  http://www.mozilla.org/es-ES/firefox/new/Para crear estos paquetes utilizaremos la herramienta: “WinINSTALL LE”, la cual podremosdescargar del siguiente enlace:http://es.softpicks.net/download/WinINSTALL-LE_es-183409.htmEl tutorial de instalación es bastante intuitivo y sencillo. Una vez terminemos la instalacióntendremos el programa estará ubicado en Inicio/Todos los programas.Ahora nos vamos a la ubicación C.Archivos de programaScalableWinInstall y asignamos a lacarpeta Winstall permisos de lectura al grupo Administradores tal y como se contempla en lasiguiente imagen:También cabe mencionar que dentro de la carpeta programas, creada anteriormente tendremosque crear en su interior dos carpetas más: una para openoffice y otra para mozilla Firefox.Abrimos el programa y pulsamos con el botón derecho sobre “Windows Installer Packages” yseleccionaremos la opción “Packages Directory” para seleccionar la ruta de la compartida 41
  • 43. Práctica Active Directory Francisco Javier Gavilán EscricheUna vez finalizado el paso anterior, pulsaremos de nuevo en “Windows Installer Packages” peroesta vez le daremos a la opción “Run Discover” pulsamos en OK y nos llevará a una especie deinterfaz de instalación. En la siguiente pantalla tendremos que especificar el nombre delprograma y automáticamente se nos irá auto rellenando la casilla de la ubicación del paquete. 42
  • 44. Práctica Active Directory Francisco Javier Gavilán EscricheDespués seleccionaremos todos los discos en los que se van a producir cambios durante lainstalación del programa, en nuestro caso será en C:Ahora completamos la instalación pulsando en siguiente varias veces hasta finalizar el proceso,momento en el cual nos fabricará el paquete, este proceso conlleva varios minutos de duración…Una vez finalizado el proceso tendremos dos alternativas, por un lado podremos seleccionar elarchivo que queremos instalar o pinchar en cancelar e instalar el programa como se hacenormalmente (esta opción es la que vamos a utilizar).Ahora vamos a proceder a instalar Openoffice como si fuera un programa normal hasta quefinalice la instalaciónUna vez instalado “Openoffice”, volvemos a Wininstalll, pinchamos de nuevo en “WindowsInstaller Packages” y posteriormente en run discover, le damos a OK y nos saldrá la siguienteinterfaz para crear el snapshot 43
  • 45. Práctica Active Directory Francisco Javier Gavilán Escriche 44
  • 46. Práctica Active Directory Francisco Javier Gavilán EscricheDespués nos saldrá un mensaje diciendo que el proceso se ha realizado bien pero nos da unmensaje de advertencia.Nos dirá que el snapshot ha sido todo un éxito y la ubicación de dicho paquete .msiAhora nos vamos a la ruta E:ProgramasOpenoffice y vemos como se ha creado correctamente 45
  • 47. Práctica Active Directory Francisco Javier Gavilán EscricheVamos a la configuración de la directiva del dominio y hacemos la siguiente ruta “Configuraciónde equipo/Configuración de software/Instalación de software” pulsaremos botón derecho yseleccionaremos “Nuevo paquete”, seleccionaremos el paquete “Openoffice.msi” y después enasignadoAhora cuando iniciemos sesión con el cliente se nos instalará el programa automáticamente.*El procedimiento es igual tanto para openoffice como para Firefox por eso he decidido describirel proceso de solo uno de ellos.Punto 12Instala DFS y haz una prueba de su funcionamiento.Nos vamos a Inicio/Herramientas Administrativas/Administre su servidor y pulsamos enAgregar o quitar función, en siguiente, después en servidor de archivos y después en siguientehasta que acabe el proceso.Inicio/Herramientas Administrativas/Sistema de archivos distribuido 46
  • 48. Práctica Active Directory Francisco Javier Gavilán EscrichePulsaremos en acción y después en nueva raíz y seguiremos una serie de pasosLe indicamos el nombre de nuestro dominio: 47
  • 49. Práctica Active Directory Francisco Javier Gavilán EscricheDespués le indicamos el nombre del servidor host para la raíz que vamos a crear:En esta ocasión le vamos a decir el nombre de la raíz así como algún comentario que queramosañadirleVemos como se ha creado correctamente 48
  • 50. Práctica Active Directory Francisco Javier Gavilán EscrichePincharemos con el botón derecho del ratón en nuestro dominioDFS y posteriormente en nuevovínculo. Le damos a “Examinar” seleccionaremos el recurso de la red que queremos almacenaren la carpeta que hemos creado (DFS) para el Sistema distribuido. En mi caso, he almacenado lacarpeta “programas” de la red, en la cual tengo almacenados los paquetes “.msi” de Firefox yOpenofficeAhora vamos a comprobar que se ha vinculado el sistema de archivos distribuido a la carpeta“programas” perfectamente. 49

×