You are on page 1of 15

ACTIVEDIRECTORY

Introduccin
ElDirectorioActivo(ActiveDirectory)eslapiezaclavedelsistemaoperativo"Windows2008 Server";sinlmuchasdelasfuncionalidadesfinalesdeestesistemaoperativoservidorqueiremos viendo (las directivas de grupo, las jerarquas de dominio, control centralizado de cuentas de usuario,demquina,recursoscompartidos,...),nofuncionaran. ElservicioActiveDirectoryproporcionalacapacidaddeestablecerunnicoiniciodesesinyun repositoriocentraldeinformacinparatodasuinfraestructura,loquesimplificaampliamentela administracindeusuariosyequipos,proporcionandoademslaobtencindeunaccesomejoradoa los recursos en red. Es un servicio de directorio, en el cual se puede resolver nombres de determinadosrecursos. ActiveDirectory(ADdeahoraenadelante)eselserviciodedirectorioincluidocon"Windows 2008 Server", y amplia las caractersticas de los anteriores servicios de directorio basados en Windows,agregandocaractersticascompletamentenuevas.ADesseguro,distribuido,particionado yreplicado.Estdiseadoparafuncionarperfectamenteenunainstalacindecualquiertamao, desdeslounservidorconalgunoscientosdeobjetos,hastamltiplesservidoresymillonesde objetos. LascuentasdeusuariosquegestionaActiveDirectorysonalmacenadasenlabasededatosSAM (SecurityAccountsManager),peroADnosloalmacenainformacinsobrelosusuarios,sinoque tambin mantiene informacin sobre servidores, estaciones de trabajo, recursos, aplicaciones, directivas de seguridad, etc. Estas caractersticas explican que AD sea ampliamente utilizado empresarialmentecomoDC,apesardequelosorgenesdeWindowsnosonlosdeunsistemaen red. Existe una alternativa libre (Samba + OpenLDAP), aunque su configuracin es mucho ms compleja.EnlanuevaversindeSamba(Samba4)yassesoportaADcomoserviciodedirectorio. Todoestolodejamosparaesteveranito,ylohablamosenseptiembre:). AntesdecomenzarelprocesodeinstalacindeAD,vamosdefinirunaseriedetrminosconlos quenosencontraremosendichoproceso: ControladordeDominio.esunequipo"Windows2008Server"conADinstaladoque almacena,mantieneygestionalabasededatosdeusuariosyrecursosdelared. Nombre de Dominio de una mquina. Son las denominaciones asignadas a los ordenadoresdelared,"hosts",y"routers",queequivalenasudireccinIP. rboldeDominio.Eselconjuntodedominiosformadoporelnombrededominioraz (por ejemplo "AMETSIS.EDU") y el resto de dominios cuyos nombres constituyen un espacio contiguo con el nombre raz (por ejemplo si tuviramos un subdominio "DPTO_LENGUA",senombraracomo"DPTO_LENGUA.AMETSIS.EDU",yformaraun rboldedominiosconeldominioraz).

BosquederbolesdeDominios.Eselconjuntoderbolesdedominioquenoconstituyen un espacio de nombres contiguo (si nuestro servidor administrara otro dominio raz de nombre"SERAGUL.EDU",estenuevodominio,juntoconelanterior"AMETSIS.EDU", formaranelbosquederbolesdedominios).

Promocionar(oascender)unservidorWindows2008Servera ControladordeDominio
Hasta ahora heusadoel dominio AMETSIS (palabrasistema alrevs).Ahora voyausar el dominioSERAGUL(palabralugaresalrevs).Porcambiarunpoco:). 1. InicioEjecutardcpromo 2. Trashaceresto,elsistemacompruebasielserviciodedirectorioActiveDirectoryest instalado.Encasonegativoinstalalosbinariosdelservicio.Unavezinstaladoelservicio, seiniciaelasistentedeinstalacindeServidordeDominio. 3. UsarlainstalacinenModoavanzado. 4. En la ventana Compatibilidad de Sistema Operativo seguir adelante. (Lectura del documentosobreAutenticacindeclientesenWindowsNT4.0y2000). 5. EnlaventanaElegirunaconfiguracindeimplementacin,Crearundominionuevoen unbosquenuevo. 6. EnAsigneunnombrealdominiorazdelbosque,indicaunnombreFQDNdeldominio. Porejemplo,enmicasousarseragul.dom(tpuedeselegireltuyopropio). 7. AceptarelnombreNetBIOSpropuesto.EnmicasoSERAGUL. 8. EnEstablecerelniveldefuncionalidaddelbosque,hayquetenerencuentaconquinse va a entender el DC. Si se va a agregar al dominio otros DC de versiones anteriores (WindowsServer2000o2003),habrquemantenerlacompatibilidad,acambiodeperder ciertasfuncionalidadesnicasde2008.NosotroselegiremosWindowsServer2008. 9. En Opciones adicionales del Controlador de Dominio, seleccionamos DNS. El DC necesitautilizarunservidorDNS,quevamosainstalarenelmismoservidor. 10. SenosinformadequetenemosIPdinmicaenalgunadenuestrasinterfaces.Probablemente serefierealaconfiguracinIpv6.Debemosasegurarnosdequenuestraconfiguracinipv4 esestticayquetenemosconectividad.Siesas,podemoshacerclicenS,elequipousar unadireccinIPasignadadinmicamente... 11. LeeatentamentelaadvertenciaNosepuedecrearunadelegacinDNSporquelazona primaria autoritativa.... Nos habla de resolucin de nombres de nuestro dominio desde fuera(otrosdominios).Aunnohemosconfiguradolazona,yporellonocontamosconun SOAparapoderserautoritativos.ContinuamoshaciendoclicenSi. 12. EnUbicacindelaBasedeDatoshacemosclicenSiguiente.Enestaventanasenos informasobredondeseguardarn: 1. Lasbasesdedatos:Contienenlosobjetos(queveremosmsadelante)deADysus propiedades. 2. Losficherosderegistro:Contienenunregistrodelasactividadesdelserviciode directorio. 3. ElvolumenSysvol:Contienelainformacindeldominioquesereplicaalrestode controladores. 13. Introducimosunacontraseasegura,hacemosclicensiguiente.

14. Una ventana nos muestra un resumen con la configuracin elegida. En el MCTS se recomiendahacerunacopiadeestetextoypegarloenunficherodetexto.Hacemosclicen siguiente. 15. El asistente comienza a configurar AD y una vez finalizado, nos propone reiniciar el sistema.

IniciarsesinenelnuevoDC.
ObservaquetuDC,eslaprimeramquinaeneldominio.Porello,eneliniciodesesinsepropone al administrador del dominio (a partir de ahora DA) iniciar con el usuario Administrador del Dominioseragul.dom,esdecirSERAGUL\Administrador(quenoeselmismoqueelusuario Administradordelequipo). CmopodemosiniciarsesinennuestramquinaconelAdministradorlocaldelamquina?La solucin es emplear el nombre UNC (Universal Name Convention) del administrador local. SupongamosquelamquinasellamaW20081.Entalcaso,elnombreUNCdeladministrador local,serW20081\Administrador.AntesdeintroducirelnombreUNCdeladministrador local,debemoselegirlaopcinCambiardeusuario,yasenlaentradaUsuario,introducimos W20082\Administradoryenlacontrasea,lapropiadeladministradorlocal. Dichoesto,iniciaremossesinconelusuarioadministradordeldominio. ComprobarlainstalacindeAD 1. 2. 3. 4. 5. Iniciasesinconelusuarioadministradordedominio. InicioHerramientasAdministrativasVisordeeventos. DesplicagaRegistrosdeAplicacionesyServiciosdelpanelizquierdo. EligeServiciodeDirectorio. Haciendoclicsobrecualquierevento,puedesversusdetalles.Puedescopiarypegarenun documentodetextoparareferenciasposteriores. 6. Puedesfiltrarloseventos,haciendoclicderechosobreServiciodeDirectorioenelpanel izquierdoyseleccionandolaopcinFiltrarregistroactual.Estefiltronoeleminaregistros, sinoquesolorestringelosquesemuestran. 7. ParacomprobarqueADsehainstaladocorrectamente,buscaeventosrelacionadosalIDde evento1000(InstalacincompletadadeAD)yalevento1394(IntentodeactualizarlaBase deDatosdeADencurso).Compruebatambinlosmensajesdeerror.

ConfigurarlainteraccindeDNSconAD
ConfigurarDNSintegradoconADtienesusventajas.Porejemplo,lareplicacindezonapasaaser algotrivial.ADgestionalareplicacinentrelosDCdeundominio,yDNSvaenellote.Tambin sepuedeutilizarDynDNSdeformaqueseautomaticepartedelmantenimientodeDNS. 1. InicioHerramientasAdministrativasDNS 2. EnelnombredelnodoDNS(nombredelamquina),clicderechoPropiedades. 3. ActivalapestaaSeguridad.Ahorasepuedenespecificarlosusuariosygruposquetiene accesoparamodificarlaconfiguracindelservidorDNS.Unavezcreemosnuevosusuarios/ grupos,podrsaadirlosaquconlospermisosnecesarios.Acepta.

4. AhoravmonosalasZonasdebsquedadirectaenelpanelizquierdo,yhazclicderecho sobreeldominioquecreaste(enmicasoseragul.dom)yeligelaopcinpropiedades. 5. EnlapestaaGeneralcompruebaqueeltipoesDatosalmacenadosenActiveDirectory. Sinoestuvieseestaopcinseleccionada,utilizaelbotnCambiarenlaopcintipo. 6. EnlapestaaActualizacionesdinmicas,asegratedequeestseleccionadalaopcin Sloconseguridad,paraquelasactualizacionesdinmicassoloseanllevadasacabopor cuentasyprocesosautenticadosporAD. 7. Unavezms,enlapestaaSeguridadpuedesasignarpermisosparausuarios/grupossobre estazona.

UnirunclienteWindowsaundominioAD
Elprocedimientoessimilaralqueempleamoscuandounimos clientes Windowsaundominio Samba.Esdecir,desdeSistemaenelpaneldecontrol,elegimosCambiarnombre.Unavez indiquemos el dominio, nos pedir una contrasea con los permisos necesarios para unir una mquinanuevaaldominio.UtilizaremoslacuentadelDA. UnavezunidoelPCaldominio,podemoscomprobarquedichamquinayahasidoagregadaala basededatosdeAD.Paracomprobarlo,siguelossiguientespasos: 1. InicioHerramientasAdministrativasUsuariosyGruposdeActiveDirectory. 2. En el panel izquierdo, desplegar el nodo del dominio, y hacer clic sobre la carpeta Computers.Aqudebeaparecerelnombredelamquinaunida. 3. Adems,silaDNSutilizadaporelclienteWindowseslacorrecta(esdecir,laDNSque hemosincluidoconelDC),elclientetratardeactualizarlaDNS,ydeberaaparecerun registrodetipoAenlazona. Yaqueestamos,siteatreves,sirvedichaconfiguracinmedianteDHCP.Sesuponesqueya controlasesteservicio.Comojueguesconelloescosatuya. NOTA:ParaqueDHCPpuedeactuarenunentornoAD,debesautorizarlo.Parahaceresto, enlaconsoladeadministracindeDHCP,sobreelnodoservidor botnderecho Autorizar.Recuerdatambinquedebes configurar elmbitoDHCPParaqueactualice DNS. 4. Sinoaparece,pruebaaejecutaripconfig/registerdns.Sinoseregistra,ponteencontacto conelAdministradordelDominio...quecasualmenteerest.

Crearunacuentadeusuariodeldominio
AhorapuedesiniciarunasesineneldominioutilizandoelusuarioAdministradordeldominio(en micasoSERAGUL\Administrador).Peroestosolosernecesarioenalgunoscasosenquenecesites permisosespeciales.Losusuariosnoemplearnestacuenta,asquedebemoscrearunaparacada unodeellos. 1. InicioHerramientasAdministrativasUsuariosyGruposdeActiveDirectory. 2. Enelpanelizquierdo,desplegarelnododeldominio,yhacerclicsobrelacarpetaUsers. Enelpanelderecho,hacerclicderechoyelegirNuevousuario. 3. CompletarelnombrecompletoconapellidosyenlaentradaNombredeiniciodesesin delusuario,introducirelnombredeusuario.Siguiente.

4. Aadir unacontrasea yseleccionar la opcin adecuada. Por ejemplo El usuario debe cambiarlacontraseaaliniciarunasesindenuevo. Ahoraesposibleiniciarunasesinenunamquinadeldominioutilizandoesteusuario.

UnirunclienteLinuxaundominioAD
LatecnologadelossistemasUNIXengeneral,yLinuxenparticularesradicalmentediferenteala de lossistemasWindowsdeMicrosoft.YahemossaboreadoestoconSamba,especialmente si hemoshecholaprcticareto.Poreso,unirunamquinaLinuxaundominioWindowssueledar bastantes dolores de cabeza a un administrador. En Internet podeis encontrar mltiples procedimientosparaintegrarLinuxenundominioWindows.Yoosvoyahablardeunsoftware bastantenuevo:Likewiseopen. Lasecuenciadecomandosaseguir,seralasiguiente: #sudoaptgetupdate #sudoaptgetinstalllikewiseopen #sudodomainjoinclijoinnombre_completo(fqdn)_del_dominio Usuario_con_permisos_para_agregar_al_dominio #sudoupdaterc.dlikewiseopendefaults #sudo/etc/init.d/likewiseopenstart Puedequedespusdeinstalaryreiniciarobservesalgunosproblemasdeconsistenciaenelsistema dearchivos.PulsandoCtrl+Dserestaurareldisco. Noesnecesarioeditarningunarchivodeconfiguracionnisimilar.Solamentereiniciarelterminaly luegoprobardeiniciarsesionconDOMINIO\Usuario(SERAGUL\Administradorenmicaso). Ahora para acceder a un recurso compartido (por ejemplo una carpeta compartida llamada software en el PC XP1) desde nautilus, en la barra de direcciones escribimos smb://XP1/software.Sitenemoslospermisosadecuados,podremosaccederalrecurso. UnidadesOrganizativas(OU) UnaUnidadOrganizativaesungrupolgicodeobjetosAD.Sirvecomocontenedordentrodelcual se puden crear otros objetos, pero no forman parte del espacio de nombres DNS. Se utilizan solamenteconfinesdeorganizacindeldominio(esdecir,hacerlavidadelDAmssencilla).Una OUpuedecontenerlossiguientestiposdeobjetos(yalgunosotros): Usuarios Grupos Mquinas Carpetascompartidas Contactos Impresoras OtrosOus

LacaractersticamstildeunaOUesquepuedecontenerotrosobjetosOU,demodoqueelDA puedeagruparjerrquicamentelosrecursos.OtrosbeneficiosdelosOUson: Suestructuraesflexibleyfacilmentemodificable. LosobjetoshijoheredanlaconfiguracindelaOU. Sepuedenaplicardirectivasdegrupo(polticas)aunaOU. LaformadeplanificarlajerarquadeOusdependedelaorganizacin.Sepuededarunenfoqueen basearolesdedepartamento,porejemplo.Oencambiosepuedeaplicarunenfoquebasadoen ubicacionesfsicas,comoeselcasosiguiente:

CrearunaestructuradeOUs
1. InicioHerramientasAdministrativasUsuariosyGruposdeActiveDirectory. 2. Clicderechosobreelnombredeldominiolocal,yelegirNuevo UnidadOrganizativa. Aparecerunaventana.Observaqueensupartesuperiorseindicaelcontexto(enmicaso seragul.dom)indicandoqueesunaOUdenivelsuperior(yaquenoestdentrodeotraOU). 3. IntroduceelnombredelaOU.PorejemploContabilidad.Desactivaelbotndechequeo Protegercontenedorcontraeliminacinaccidental.Aceptar. ParacrearotrasOU'sdentrodelaOUContabilidad,debesseguirelmismoprocesoperohaciendo clicderechosobreelOUenelquequierescrearelnuevoOUhijo.

AdministrarOU's
Merefieroenestaseccinamover,borraryrenombrarOU's.Resultamuyintuitivoyaquetodose consigueatravsdelmencontextualasociadoalaOUcorrespondiente.

Renombrar OU
1. AbrirlaherramientaadministrativadeUsuariosyEquiposdeActiveDirectory.Localizar laOUamodificar,yhacerclicderechoenl. 2. Enelmencontextual,elegirRenombrarymodificarelnombre.

Mover OU
1. AbrirlaherramientaadministrativadeUsuariosyEquiposdeActiveDirectory.Localizar laOUamodificar,yhacerclicderechoenl. 2. Elegirlaopcinmover,yseleccionarlanuevaubicacinenelrboldelaventanaMover objetodentrodelcontenedor.

Eliminar
El proceso para eliminar una OU es similar a los puntos anteriores. Sin embargo si olvidaste desactivarelbotndechequeoProtegerOUcontraeliminacinaccidentalobtendrsunerroral intentarborrar.ParapoderdesactivarestaopcinunavezcreadalaOU,debesseguirlossiguientes pasos: 1. 2. 3. 4. VerCaractersticasavanzadas ClicderechosobrelaOUyelegirpropiedades. AbrirlapestaaObjetoydesmarcarlacasilla. VerDesactivarCaractersticasavanzadas.

ObjetosdeAD
Ya hemos visto anteriormente como crear una cuenta de usuario. En realidad la creacin de cualquierobjetosigueelmismoprocedimiento.Cambianlosparmetrosdeconfiguracin.

Vamos a publicar una carpeta compartida:


1. AbrimoslaherramientaadministrativadeusuariosygruposdeAD.Nosubicamossobreun OUquehayamoscreadoanteriormente(enmicasoseragul.dom\contabilidad\planta1),y hacemosclicderechoyelegimosCarpetacompartida.

2. Indicamos el nombre con el que se compartir la carpeta en el dominio, as como la ubicacinrealdelacarpeta,especificadoennotacinUNC.Porejemplo,podemosllamar Softwarealacarpetacompartidaqueseencuentraen\\XP1\softwareoficina.Aceptar. Lapreguntaquesurgees...Entonces,sinopublicounacarpetaenAD,Nopuedoaccederaella? EnrealidadnoesnecesariopublicarunrecursocompartidoenAD.Perohacindolo,podremos obtenerinformacinsobrelalpreguntaraldirectorio.Comparandoconlaguiatelefnica:el hechodequeuntelfononoaparezcaenlaguadetelfono,nomeimpidellamaraesenmero. Perosinoconozcoeltelfono,nopodrencontrarloenlagua.

Mover objetos de AD
Paramoverunobjeto,elprocesoessimilaramoverunaOU.Sobreelobjeto,hacerclicderecho sobreelobjetoyseleccionarmover.Finalmenteelegirlanuevaubicacinenelrbolquesemuestra enlaventanaMoveryaceptar.

Borrar un objeto de AD
El borrado de objetos en AD es irreversible. Cada objeto tiene un identificador nico, compuestopor: Elidentificadordeldominio,oSID.Porejemplo,elSIDdeundominiopodraserS1521 10043363481177238915682003 (verhttp://technet.microsoft.com/enus/library/cc778824(WS.10).aspx). Elidentificadorrelativodelobjeto,oRID.Porejemplo,512. Deestemodo,elSIDdelobjetoseraS152110043363481177238915682003512.

Cuandoelobjetoseborraysevuelveacrearotroconsumismonombre,suSIDcambia(yaquees nicoparacadaobjeto)porloqueaunquesunombrecoincida,setratadeunobjetodiferente.Antes deborrarunobjeto,hayquetenerlomuyclaro. Unejemplo.Lospermisosdeunciertorecursoespropiedaddepparker.PeterParkerabandona laempresa,porloqueeliminamosalusuariopparker.Entoncesrecordamosqueesteusuarioes necesarioporquePeterParkerdebedevolverantesdeirseciertosficherosimportantesrelativosa unproyectoencurso.Entoncesvolvemosacrearalusuariopparker...peroresultaqueelRIDde estenuevousuariopparkeresdiferentedeloriginal.Porloquenoservirdenada.

Resetear una cuenta de mquina


EntreunamquinaquesehaunidoaldominioyelDC,seempleaunaclave(clavemaestra)para protegerlacomunicacinentrelamquinayelDC. NOTA:EsteprocesosevioanteriormenteeneldocumentoAutenticacindeclientesenWindows NT4.0y2000(estcolgadoenlapginayexplicadoenclase).

Estaclavecambiacada30das.Porello,silaclavemaestraquecontieneunamquinaylaquese almacenaenelDCparaestamquinanocoinciden,lamquinaesincapazdecomunicarseconel DC, y por tanto es incapaz de acceder al dominio. Para restablecer la comunicacin entre la mquinayelDC,sesigueelsiguienteprocedimiento: 1. Localizarelobjetoequipoeneldominio,empleandolaherramientaadministrativapara usuariosygruposdeAD. 2. Hacerclicderechosobrelamquinayseleccionarlaopcinrestablecercuenta.Aceptar 3. Ahorahayquereconectarlamquinaaldominio.Paraelloiniciamossesinconunacuenta deadministradorlocal,yunimosalamquinaaungrupodetrabajodenombreelque queramos.Reiniciamos.ApartirdeaquseguimoselprocesoexplicadoenelapartadoUnir unclientewindowsaundominioAD.

CrearyadministrarobjetosenAD:Grupos
MuchagentesequedaconlosOU'synovenecesariocreargrupos.Parailustrarsuutilidadvamosa plantearesteejemplo: Elusuariojpeinadopertenecealdepartamentodecontabilidad,yesunauxiliaradministrativo. Con esta categora tiene acceso a 30 recursos compartido del departamento. Pero jpeinado promocionaypasaaseradministrativo,conloqueahoratienepermisodeaccesoaotros45 recursosnuevos.Esdecir,paracadarecursonuevoalqueaccedehayquedarlepermiso.Sienvez de esto contamos con un grupo llamado Auxiliares administrativos y otro grupo llamado Administrativos, a los que se han asignado los permisos adecuados, basta con cambiar a jpeinadodeungrupoaotro.

Crear un grupo.
1. EnlaherramientaadministrativadeusuariosyequiposdeAD,hacerclicderechosobreun OUquehayamoscreadopreviamente(enmicaso,porejemplo,seragul.dom\contabilidad),y elegimos Nuevo Grupo. Como nombre del grupo elegimos uno acorde con la funcionalidaddelgrupo(enmicasocrearelgrupoauxiliaresadministrativos. 2. Enelmbitodelgrupo,elegimosglobalyeneltipoSeguridad. 3. Despusdebemoseditarsuspropiedadesyagregarlosusuariosogruposquepertenezcanal grupo. NOTA: En la ventanaanterior semencionaneltipodegrupo yelmbitodelgrupo. Su significadoeselsiguiente: Tipodegrupo: Gruposdeseguridad:paraasignarderechosypermisos. Gruposdedistribucin:parausoconelcorreoelectrnico. mbitodelgrupo: Gruposdedominiolocal:seusanparadarpermisosdentrodeunsolodominio.Esdecir, unrecursocompartido(carpeta,impresora)eneldominio,solopuedeseraccedidodesde elmismodominio.

Grupos globales: se usan para dar permisos dentro del bosque al que pertenece el dominio.Puedeincluirotrosgruposycuentasquepertenezcanalmismodominioenque escreado. Gruposuniversales:Aligualquelosgruposglobales,seusanparadarpermisosdentro delbosquealquepertenecedominio.Ladiferenciaestenqueincluirgruposycuentas decualquierdominiodelbosque.

DirectivasdeGrupo
Las Directivas de Grupo se basan en plantillas administrativas amigables con opciones de configuracin del sistema al que seaplicarn. Por ejemplo, unaopcin llamada Requerir una configuracinespecficadeWallpapermodificarelregistrodelsistemaaadiendounaentrada quemantengadichovalor. LamayoradeopcionesdelasDirectivasdeGrupotienetresvaloresposibles: Activado:Indicaqueestaopcinhasidoconfigurada. Desactivado:Indicaqueestaopcinhasidodesactivada. Sinconfigurar:Indicaqueestaopcinnohasidoactivadanidesactivada.AlelegirSin configurar,elDirectivadeGruponoespecificaningunaopcin,ypuedequeotraopcin tomeprecedencia. LasprincipalesopcionesquesepuedenconfigurarenlasDirectivasdeGrupodeusuariosyequipos sonlassiguientes: Configuracindesoftware. ConfiguracindeWindows. Plantillasadministrativas. AlmacncentralADMX. Plantillasdeseguridad.

GPO's
LosObjetosdeDirectivadeGrupo(GPO)encapsulanlaconfiguracindelosficherosdeDirectiva deGrupo,parasimplificarsuadministracin.Porejemplo,podemostenerdiferentesdirectivasde grupoparausuariosyequiposendiferentesdepartamentos.Basndonosenestaidea,sepuedecrear una GPO para los miembros del departamento Ventas y otra GPO para los miembros del departamentoIngeniera,yaplicarcadaGPOasuOUcorrespondiente. SepuedenaplicarconfiguracionesdeDirectivadeGrupotantoadominioscomoaOU's. Existeunarelacindeherenciapordefecto.Esdecir,unaGPOaniveldeOUquenoespecifique una opcin, la hereda de otra OU superior o del dominio. En caso de conflicto entre las configuracionesdelasGPOadistintosniveles,siempreprevaleceladelnivelmsespecfico. Parasabermssobredirectivasdegrupo,puedesconsultarelsiguienteenlace:

http://social.technet.microsoft.com/Forums/esES/wsades/thread/35d227cb8d344ac1903391b5645a027b

CrearDirectivasdeGrupo Vamos a suponer el siguiente ejemplo. Los usuarios de Contabilidad de la planta 1 estn constantemente instalando programitas innecesarios para hacer cosas innecesarias, generando constantemente problemas al administrador. Lo primero es avisar de que El uso inapropiado conllevarelbloqueodelamquina. Ladirectivadegrupoquevamosacrear,informaa los usuariosdeesto. LasGPOsecreanenlaConsoladeAdministracindeDirectivasdeGrupo(GPMC).Paracrearun GPOusandoelGPMChayqueseguirlossiguientespasos: 1. InicioEjecutarEscribirmmcyAceptar. 2. EnlanuevaventanaConsola:menArchivo Agregaroquitarcomplemento.Enla nuevaventana,elegirAdministracindeDirectivadeGrupoyhacerclicenAgregar. Aceptar. 3. Ahora el GPMC ya est disponible. Inicio Herramientas administrativas Administracindedirectivasdegrupo. 4. EnelpanelizquierdodeGPMCdesplegarBosque Dominios tunombrededominio (enmicasoseragul.dom).AhorasobreunaOUcreadapreviamente,hacerclicderechoy elegirCrearunaGPOenestedominioyvincularloaqu. 5. Cuando la ventana Nueva GPO aparece, introducimos el nombre Mensaje de advertencia.Aceptar. 6. LanuevaGPOapareceenelpanelderecho.Hacemosclicderechosobreellayelegimos editar. 7. Aparece el editor de administracin de directivas de grupo. En el panel izquierdo, expandimos lo siguiente: Configuracin de equipo Directivas Configuracin de seguridadDirectivaslocalesDirectivaslocalesOpcionesdeseguridad. 8. En el panel derecho, buscamos Inicio de sesin interactivo: texto de mensaje para los usuariosqueintentaninicarunasesin.Hacemosdobleclicsobredichaentrada. 9. En la ventana hacemos clic en la casilla Definir esta configuracin de directiva en la plantilla.Despusescribimosenlaentradadetextolosiguiente:Elusoparafinesno autorizadosdeesteordenadorpuedesuponerelbloqueoinmediatodelmismo..Aceptar. 10. Cerramoseleditor. 11. En la ventana Administracin de directivas de grupo, refrescamos mediante el botn Actualizar. Laprximavezqueintentemosinicarsesin(Ctrl+Alt+Supr)enunclientepertenecientealaOU seragul.dom\contabilidad\planta1(enmicaso)senosmostrarelmensaje.

Enlazar Directivas de Grupo con AD


Ahoravamosasuponerquehabitualmentesedaelproblemasiguiente.Losusuariosllenansus escritoriosdebasuraquenousan.EstoralentizalamquinayfinalmentellamanalDA.ElDA,que noquiereperdermseltiempoconesto,decidebloquearlosescritoriosdelosusuarios. Alserunproblemageneralizado,vamosacrearprimeroladirectiva,ydespuslavincularemosa aquellosOU'squelorequieran.

1. EnelpanelizquierdodelaventanaAdministracindeDirectivasdeGrupodesplegamos losnodosBosqueDominiosTunombrededominioObjetosdedirectivadegrupo yhacemosclicderechosobreelltimoyelegimoslaopcinnuevo. 2. Ponemos el texto Escritorio bloqueado como nombre a la GPO y aceptamos. Ahora aparecerenelpanelderecho. 3. HacemosclicderechosobrelaGPOyelegimoslaopcineditar. 4. En la seccin de configuracin de usuario, elegimos Plantillas Administrativas Escritorio. Buscamos en el panel derecho la opcin Ocultar y Desactivar todos los elementosdelescritorio.HacemosdobleclicsobreellayseleccionamosHabilitado.Ya podemoscerrareleditordelaGPO. 5. Ahora,unavezcreadalaGPO,vamosvincularlaaunaOU.Enmicaso,lavoyavinculara seragul.org\contabilidad\planta1.EnelpanelizquierdodelaventanaAdministracinde directivasdegrupo,hacemosclicderechoenlaOUseleccionada,yelegimosVinculara un GPO existente. En la ventana que aparece, seleccionamos el GPO Escritorio bloqueado(quehemoscreadopreviamente). 6. FinalementeactualizamoslanuevaconfiguracinhaciendoclicenelbotnActualizardel AdministradordeDirectivasdeGrupo. AhorayapodemosiniciarsesinenunamquinapertenecientealaOUalaquevinculamosla GPO,ycomprobarcomoelescritorioestbloqueado.

ReplicacinAD
HaydosrazonesporlasqueteneralmenosdosDCpordominio:Toleranciaafallosyrendimiento. Estonosiempreesposibleporlimitacinderecursos.ParaagregarunsegundoDCaundominio AD,sedebenseguirlossiguientespasos: 1. 2. 3. 4. InicioEjecutarEscribirdcpromoyaceptar. EsperaraqueseinstalenlosbinariosdeActiveDirectory Seleccionarelmododeinstalacinavanzada.Siguiente. EnElegirunaconfiguracindeimplementacin,elegirBosqueexistenteyAgregarun controladordedominioaundominioexistente. 5. En Credenciales de red indicamos en primer lugar el nombre del dominio donde instalaremos el DC (enmi caso seragul.dom). Despus elegimos las credenciales que emplearemosparalainstalacin.ParaellohacemosclicenEstablecereintroducimoslas credencialesdeladministradordeldominio(enmicasoSERAGUL\Administradorysu correspondientecontrasea). NOTA1:Observaquealintroducirelusuarioycontrasea,enlaparteinferiordelaventanase nosinformadequedichousuariopertenecealdominioquehayamosespecificado.Poreso,noes necesarioespecificarSERAGUL\Administrador(enmicaso),sinosolamenteAdministrador. NOTA2:EsnecesarioqueelnuevocontroladordedominiotengadefinidocomoDNSpreferida,la DNSdelDCexistenteeneldominio.Enotrocaso,serincapazderesolvereldominio(enmicaso) seragul.dom. 1. EnSeleccioneundominioelegimoseldominioenelqueestamosinstalandodelDC.

2. EnSeleccioneunsitiodejamoselsitioindicadopordefecto,llamadoDefaultFirstSite NameyaqueenprincipionovamosautilizarSites(aestudiarenveranito). NOTA:LosSitesoSitiospermitenindicarleaActiveDirectorylamejormaneradereplicarse atravsdelared.Estoestpensadopararedescuyaconexineslentaydebenreplicarlabasede datosdeActiveDirectory.Enciertasubicacionesnoesnecesarioreplicartodalabasededatos.La formadedefinirestoesmedianteSitiosdeActiveDirectory.Ennuestrocontextodeejemplo,el dominioestubicadoenunaLAN,quehabitualmenteestarbienconectadas. 1. EnOpcioneshabitualesdelControladordeDominio,podemosdejaractivadalaopcin Catlogoglobal.PodemosdejardesactivadalaopcinControladordeDominiodeSolo Lectura(RODC). NOTA 1: Un Catlogo global es una base de datos que contiene toda la informacin perteneciente a todos los dominios del entrono Active Directory. Su objetivo es acelerar las bsquedasenentornosADconmltiplesdominiosrepartidosporzonasremotas.Enestecontexto, unabsquedaqueincluyaatodoslosdominiospodrallevarmuchotiempo.Elcatlogoglobal incluyeunndicedelainformacindeAD,demodoquelasbsquedassesimplificanyaceleran. En el paso anterior, podemos deshabilitar la funcionalidad de Catlogo global por varias razones: 1. Uncatlogoglobalestpensadoparaacelerarbsquedasentredominios.Demomentosolo tenemosuno. 2. Engeneral,bastaconunCatlogoglobalpordominio. 3. Elcatlogoglobalpuederalentizarelfuncionamientodelservidor. 4. ElotroDCexistenteeneldominioyaesunCatlogoglobal. Sin embargo,sidesactivamos estaopcin(catlogoglobal)deberemoshacer algunoscambios (transferirelroldemaestrodeinfraestructuradesdeelotroDCaeste).Paraprofundizarenel tema,puedesleersobreFuncionesFSMOenlasiguientepgina: http://support.microsoft.com/default.aspx?scid=kb;es;197132. Nosotrosporsimplicidad,vamosahacerquetodosnuestrosDCseancatlogoglobal. NOTA2:UnRODCesunDCdesololectura.SurazndeserestrelacionadaconDC'subicados en lugares remotos, con conexiones lentas, que necesiten un DC pero que no cuenten en sus instalacionesconunAdministradorquelomantenga. 1. A continuacin se nos informa de que tenemos una IP dinmica (ipv6). Siempre que tengamosipv4esttica,nohabrproblema.Seguimosadelante. 2. Tambinsenosinformadequetendremosquecrearunadelegacinmanualparaquese puedaresolvernuestrodominio(seragul.domenmicaso)desdefuera.HacemosclicenS. 3. EnInstalardesdeelmediodejamosseleccionadalacasillaReplicarlosdatosdelared desdeuncontroladordedominioexistente.Siguiente. 4. En Controlador de dominio origen, seleccionamos Usar este controlador de dominio especfico y seleccionamos manualmente el nombre del controlador desde donde transferiremoslosregistros.Siguiente. 5. En Ubicacin de la base de datos, los archivos de registro y SYSVOL, dejamos la configuracinpordefecto.Siguiente.

6. En Contrasea de Admin. del modo de restauracin del servicio de directorio introducimos una contrasea. No tiene por qu ser la misma que la de (en mi caso) SERAGUL\Administrador.Siguiente. 7. FinalmenteobtenemosunresumendelaconfiguracindelDC.HacemosclicenSiguiente. 8. Apartirdeestemomento,elserviciodedirectorioempiezaaconfigurarse. 9. Finalmentereiniciamos. Ahora ya podemos comprobar que cualquier cambio que realicemos en un DC se replica automticamenteenelotroDC,yaqueestamosenunentornomultimaster.

ACTIVIDADES 1. AsciendeunservidorWindows2008ServeraDCconlassiguientecaractersticas: 1. Eldominioserunodetueleccin. 2. CreadosOU'srelacionadosconfuncionesdedepartamento(porejemploContabilidad yProyectos). 3. Encadadepartamentohaydosgruposdeempleados.Porejemplo,eneldeContabilidad estarn los administrativos y los auxiliares administrativos. Del mismo modo en el departamentodeOperaciones,podranestarlosdirectoresdeproyectoylostcnicos. 1. Creaungrupodeusuariosparacadagrupo. 2. CreatambinunaOUparacadagrupo. 3. Crea un usuario para cada departamento. Por ejemplo, los usuarios auxiliar, administrativo,dproyectoytcnico. 2. Une un cliente Windows al dominio. Utilizars esta mquina para representar a los diferentesusuarios.Compruebaquepuedesaccederutilizandolosdiferentesusuarios. NOTA:Siquieresutilizarmsmquinas,pontedeacuerdocontuscompaerosparaemplear variasmquinasclientes. 3. ConfiguraunservicioDHCP.Puedeshacer,porejemplo,quecadadepartamentotengauna configuracindiferente.NoolvidesautorizarelservicioDHCPenAD. 4. CompruebaquelaDNSseactualizacorrectamenteanteuncambiodeipdelamquina cliente. 5. Existirnvariascarpetascompartidas.Aqutienesunejemplo.Definettuspropiascarpetas ypermisos. NOTA:Elservidordearchivospuedeser(paraestaprctica)elmismoDC,uotramquina (incluidoelcliente).Encualquiercasodebesaccederalascarpetascompartidasviared (rutaUNC). Carpetas Planificacinproy. Directoresdeproy. Departamentos Tcnicos Administrativos Auxiliaresadmin. RWX RX ProyectoA Expedientes Solicitudes RWX RWX RX RX RWX RX RWX RWX

6. Creaycomparteestascarpetasyasgnaleslospermisosadecuados.Creadentrodecada carpetaficherosdeprueba,ycompruebaque,empleandocadausuario,lospermisossonlos correctos. NOTA:Paralocalizarlosrecursos,noesnecesariorecordarsuubicacin.Elserviciode directorio nos permite realizar bsquedas por el directorio. Para hacer una bsqueda, dirgeteamissitiosderedyseleccionalaopcinBuscarenActiveDirectory. 7. DefineunadirectivadegrupoparaelgruposdeusuariosAuxiliaresadministrativosque impidaaestosusuariosmodificarlaconfiguracindelapantalla:EnelGPMCeditala directivadegrupoConfiguracindeusuariodirectivasplantillasadministrativas paneldecontrolpantallaOcultarlafichaconfiguracin. 8. CreatambinunaGPOsinenlazar,paraqueunusuarionopuedanimodificarsuescritorio (vistoanteriormente)nicompartircarpetasenred(enelGPMC,creaunanuevadirectivay edtala Configuracindeusuario directivas plantillasadministrativas Carpetas compartidas).UnavezcreadaenlzalaalgrupodeTcnicos. 9. EmpleaunasegundamquinaWindowsServer2008.Promocionaestesegundoservidora DCeneldominioqueestsempleando.Compruebalareplicacin.HazcambiosencadaDC paracomprobarloscambiosenelotro.

You might also like