Professional Documents
Culture Documents
Ofrece un mecanismo para manejar todos los elementos de una red, incluidos ordenadores,
grupos, usuarios, dominios, políticas de seguridad, y cualquier tipo de objetos definidos para el
usuario, de una manera centralizada. Esta capacidad significa que puede almacenar
centralmente información acerca de una organización (información de usuarios, grupos e
impresoras), y permitirle a los administradores, administrar la red desde una sola ubicación.
Active Directory admite la delegación del control administrativo sobre los objetos de él mismo.
Esta delegación permite que los administradores asignen a un grupo determinado de
administradores, permisos administrativos específicos para objetos, como cuentas de usuario
o de grupo.
Al instalar el directorio activo en uno o más Windows server de determinada red, estos
ordenadores se convierten en los Controladores de Dominio. Los demás equipos se convierten
pues, en clientes del servicio del directorio, con lo cual reciben toda la información
almacenada en los controladores.
Una de las principales ventajas ofrecidas por el servicio de directorio activo, es que permite
separar la estructura lógica de una organización de la estructura física, lo cual permite
independizar la estructuración de dominios de la topología que interconecta los sistemas, y
ESQUEMA DE INSTALACIÓN
HOMERO
telematica.net
192.168.130.250
LISA
Dir Ip: 192.168.130.246
BART
plataformas
192.168.130.125
MARGE
Dir Ip: 192.168.130.248
INSTALACIÓN
1. Cambiar el SSID de una las máquinas virtuales del Windows server, empleando para ello la
herramienta newsid, la cual se encuentra disponible en el siguiente enlace:
ftp://ftp.icesi.edu.co/cmontoya/tools.
2. Definimos que el controlador de dominio va a ser el mismo DNS, por lo tanto debe
asignarse una IP estática a este equipo. El protocolo IPV6 debe ser desactivado porque en el
momento de crear el controlador de dominio genera un error.
4. Activar las actualizaciones dinámicas, para el correcto funcionamiento del directorio activo.
Hacemos click en next, para iniciar con la configuración del controlador de dominio.
Escogemos la opción “Crear un nuevo dominio en un nuevo bosque”, ya que estamos creando
el controlador de dominio raíz del bosque, denominado telematica.net.
Ahora el asistente nos indica dónde serán almacenados las bases de datos y los archivos de
registro. Damos click en next.
Ahora se debe indicar un password para la cuenta de administrador del dominio (Password1).
En este momento se inicia la configuración de los servicios del directorio activo. Este proceso
lleva algunos minutos. Cuando esta configuración culmine, el equipo debe ser reiniciado.
6. Configuración del equipo Windows XP para que haga parte del dominio telematica.net.
A continuación cambiamos el nombre del equipo. Para ello nos dirigimos a Propiedades del
Sistema, seleccionamos la pestaña “Computer Name”, y damos clic en change.
En el campo “Computer name” asignamos el nuevo nombre del equipo: “LISA”. En miembro
del dominio, colocamos “telematica.net”, y hacemos click en more.
Cuando se modifica el nombre, el sufijo dns y el miembro del dominio, el sistema pide el
usuario y la contraseña del dominio (telematica.net) para poder definir el equipo como
miembro de ese dominio.
Una vez reiniciado el equipo debemos seleccionar el dominio telematica.net con el mismo
usuario y contraseña del dominio al que fue inscrito el equipo (Administrator, Password2).
Lo primero que se debe hacer es cambiar el Servidor DNS del equipo, el cual será HOMERO
(192.168.130.250).
En este momento se debe reiniciar el equipo para que el cambio de nombre surja efecto.
Para configurar este equipo como controlador de dominio se ejecuta, igual que con HOMERO,
el comando dcpromo.
Una vez se inicia el asistente, seguimos los procedimientos iniciales igual que con el primer
controlador de dominio. Al llegar a la opción de elegir el tipo del controlador de dominio,
elegimos la opción “Existing Forest” (Bosque existente) y luego la opción “Create a new
domain in an existing forest” (Crear un nuevo dominio en un bosque existente). Esto se debe a
que el nuevo controlador de dominio va a ser hijo del dominio telematica.net y se hará cargo
de un subdominio nuevo (plataformas).
Ahora se debe especificar el nombre del dominio al cual va a pertenecer el nuevo nodo
(telematica.net) y las credenciales, es decir, la cuenta con la que se ingresa al dominio padre
(usuario: Administrator, contraseña: Password2).
En este momento se debe especificar el FQDN del dominio padre (telematica.net) y el nombre
del dominio hijo (plataformas). En la parte inferior se puede observar como automáticamente
se asigna el FQDN del dominio hijo (plataformas.telematica.net).
En este paso debemos especificar opciones adicionales del controlador de dominio. En este
caso solo seleccionamos la opción Global Catalog ya que el controlador de dominio padre ya
es el DNS Server.
A continuación el asistente nos muestra la ubicación donde se almacenaran las bases de datos
y los archivos de registro.
En este paso se debe especificar la contraseña que tendrá el Administrador del dominio. La
contraseña asignada es Password3.
Una vez dado click en el paso anterior, el asistente empieza a configurar el controlador de
dominio y luego presenta la confirmación de dicho proceso indicando que se instaló
correctamente el directorio activo para el dominio plataformas.telematica.net.
El siguiente paso para hacer efectiva la instalación del controlador de dominio es reiniciar el
equipo.
A continuación cambiamos el nombre del equipo. Para ello nos dirigimos a Propiedades del
Sistema, seleccionamos la pestaña “Computer Name”, y damos clic en change.
Cuando se modifica el nombre, el sufijo DNS y el miembro del dominio, el sistema pide el
usuario y la contraseña del dominio (plataformas) para poder definir el equipo como miembro
de ese dominio.
Una vez reiniciado el equipo debemos seleccionar el dominio plataformas con el mismo
usuario y contraseña del dominio al que fue inscrito el equipo (Administrator, Password3).
9. Políticas de grupo.
Para probar las G.P.O. vamos a crear una política de grupo en el Group Policy Management.
Lo primero que debemos realizar es crear un grupo. Para esto vamos a Start – Administrative
Tools -- Active Directory Users and Computers.
En esta ventana damos clic en “Crear un Nuevo Grupo”.
Ahora crearemos otro usuario llamado usuario3, siguiendo el mismo procedimiento descrito
anteriormente.
Ahora añadiremos el usuario2 al grupo Estudiantes. Para esto, damos clic derecho sobre el
usuario, seleccionamos la opción “Add to Group” y buscamos el grupo al cual queremos que
pertenezca el usuario.
Ahora nos dirigimos al Group Policy Management. Para ello hacemos clic en Start –
Administrative Tools – Group Policy Management.
Una vez creada la GPO, removemos de la pestaña Scope “Autheticated users”, el cual es un
grupo que contiene a todos los usuarios que se autentican sobre el controlador de dominio.
Esto lo realizamos porque queremos que las políticas que vamos a crear se apliquen
únicamente al grupo Estudiantes creado anteriormente.
Ahora añadiremos el grupo sobre el cual queremos aplicar las GPO: Estudiantes. Para esto
hacemos clic en Add y en la nueva ventana que se despliega buscamos el grupo.
Ahora, para editar las políticas de grupo seleccionamos la política que deseamos modificar,
damos clic derecho sobre ella y escogemos la opción “Edit”, para abrir el Group Policy
Management Editor.
En el Group Policy Management Editor se pueden encontrar tanto las políticas de seguridad
del equipo como las del usuario. Para el usuario vamos a configurar algunas políticas de
seguridad del menú inicio y la barra de tareas.
Para modificar la política, damos doble clic sobre ella y escogemos la acción que deseamos que
realice. Por ejemplo, para remover el enlace de búsqueda del menú inicio, habilitamos la
política.
Otra política que vamos a aplicar a este grupo, es quitar el “Run” del menú de inicio. Para esta
acción habilitamos la política.
Ahora podemos observar que las dos políticas ya han sido configuradas.
Para poder que se actualicen los cambios de las políticas se necesita ejecutar el comando
gpudate.
Con esto, se puede apreciar que al iniciar sesión con usuario2, no aparecen en el menú de
inicio, ni el run ni el search. Por el contrario, al iniciar sesión con usuario3, el menú de inicio no
se ve afectado, debido a que estas políticas se vincularon al grupo Estudiantes, el cual contenía
únicamente al usuario2 y no al usuario3.
BIBLIOGRAFÍA
http://www.microsoft.com/spain/windowsserver2008/roles/apps_ad.mspx
http://www.ordenadores-y-portatiles.com/directorio-activo.html
http://fferrer.dsic.upv.es/cursos/Integracion/html/ch01s02.html
http://multingles.net/docs/GPOS.htm
http://www.creangel.com/drupal/?q=node/100