Prctica

Active
Directory 1-9
Emanuel Adrin Gabriel Stasiuc

aaaaa

Active Directory

2 A.S.I.R.

Emanuel Adrin Gabriel Stasiuc

Prctica Active Directory 1-6

Perteneces al departamento de sistemas de la empresa Asir2 S.A. A fecha de 28 de Octubre de este ao, se plantea una migracin del entorno corporativo a la versin de Windows Server 2008. Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores (tus compaeros de clase, que son unos fenmenos, como t). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/Arcos de la Frontera s/n. Nuestra labor como analistas y tcnicos de sistemas es la de determinar los procedimientos necesarios para dicha migracin y llevarlos a cabo para tal fecha. Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que estn actualmente en produccin: Administracin de usuarios y grupos. Administracin de ficheros. Administracin de discos. Copias de seguridad. El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva implantacin con el mximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos para la gestin de los servicios anteriormente citados y otros nuevos que aadiremos. La informacin necesaria para esta labor en relacin al entorno actual es la siguiente:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

1. La empresa consta de 20 empleados. 2. Tres de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestin de incidencias. Esta se almacenar en una carpeta a la que solo tendr acceso el departamento de sistemas. Los datos estarn en una particin o disco duro diferente a la del sistema operativo. 3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de cdigo y de documentacin, donde nicamente tendrn acceso a aquellos directorios asociados al proyecto en el que estn trabajando. 4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendr acceso a toda la documentacin y cdigo ejecutable de los proyectos. El director tendr acceso ilimitado a todos los recursos disponibles. 5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net b. Servicio DNS c. Servicio DHCP =>192.168.100.0/24 i. mbito: 192.168.100.2 192.168.100.254 ii. Servidor: 192.168.100.1 6. Todos los equipos (mquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados fsicamente a un switch.

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

Comienzo de la prctica
Primero vamos a configurar las interfaces de red en nuestro Windows 2008 Server. Creamos una Red NAT para tener acceso a Internet y una Red Interna para comunicarse con los Clientes:

Establecemos la IP requerida a nuestro Servidor:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

Ahora vamos al Administrador del Servidor y seleccionamos la opcin Agregar funciones:

A continuacin, instalamos y configuramos el servicio DHCP:

Indicamos como nombre del dominio principal emanuel.gcap.net e indicamos la IP de nuestro Servidor:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

Agregamos un mbito llamado ASIR2 indicando la IP inicial, la IP final, la mscara de subred y la puerta de enlace predeterminada:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

Deshabilitamos el modo sin estado DHCPv6:

Confirmamos la instalacin de DHCP y comprobamos que el servicio se ha instalado correctamente:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

Ahora pasamos a instalar los servicios de dominio de Active Directory y DNS:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

Seleccionamos Crear un dominio nuevo:

El nombre del dominio raz ser emanuel.gcap.net:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

10

Establecemos como nivel funcional Windows Server 2008 ya que no agregaremos al bosque controladores de dominio inferiores a Windows Server 2008:

Seleccionamos Servidor DNS para instalar el servicio DNS:

A continuacin nos pide introducir la contrasea del Administrador:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

11

Observamos el resumen de la instalacin:

Observamos el progreso de la instalacin de los Servicios DNS y Active Directory:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

12

Una vez terminada la instalacin, nos pide reiniciar el equipo y podemos observar que tenemos los servicios DHCP, DNS y Active Directory instalados:

Ahora cuando iniciamos sesin nos aparece el nombre NetBios del dominio que hemos creado:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

13

1. La empresa consta de 20 empleados. Vamos a nuestro dominio creado dentro de Administrador del Servidor y vamos a crear diferentes unidades organizativas segn la estructura de nuestra empresa ASIR2.

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

14

Dentro de nuestra empresa ASIR2 creamos las diferentes unidades organizativas segn la estructura de la empresa:

De la misma forma creamos las diferentes unidades organizativas restantes:

2. Tres de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestin de incidencias. Esta se almacenar en una carpeta a la que solo tendr acceso el departamento de sistemas. Los datos estarn en una particin o disco duro diferente a la del sistema operativo.

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

15

Dentro de la Unidad Organizativa SISTEMAS creada anteriormente creamos el primer usuario ADMIN-SIS:

Establecemos una contrasea segura al usuario ADMIN-SIS:

Finalizamos la creacin del usuario:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

16

Ahora creamos dos usuarios encargados de la gestin de incidencias llamados ENCARG-1 y ENCARG-2:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

17

Una vez creados los usuarios, creamos un grupo para poder asignarle permisos llamado sistemas de mbito global:

Introducimos dentro del grupo a los tres usuarios creados anteriormente ADMIN-SIS, ENCARG-1 y ENCARG-2:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

18

Creamos una particin nueva diferente del sistema operativo en la que vamos a crear una carpeta a la que tienen acceso solamente los 3 empleados del Grupo SISTEMAS:

Ahora creamos una carpeta en el Disco ASIR2 y dentro creamos una carpeta llamada SISTEMAS y le damos permisos al grupo sistemas sobre su carpeta:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

19

3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de cdigo y de documentacin, donde nicamente tendrn acceso a aquellos directorios asociados al proyecto en el que estn trabajando. Ahora creamos los 15 empleados dentro de la unidad organizativa DESARROLLO:

Vamos a crear 3 grupos diferentes de mbito local con 5 empleados cada uno que trabajarn en 3 proyectos distintos:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

20

Dentro del grupo local PROYECTO-1 introducimos los primeros 5 empleados:

Creamos el grupo PROYECTO-2 de mbito local:

Introducimos los siguientes 5 empleados:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

21

Creamos el grupo PROYECTO-3 de mbito local:

Introducimos los ltimos 5 empleados:

Ahora nos vamos a crear los directorios de cada proyecto en una carpeta llamada DESARROLLADORES:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

22

A la carpeta DESARROLLADORES le asignamos los permisos de acceso a la carpeta a los tres grupos de proyecto.

Asignamos a la carpeta PROYECTO-1 todos los permisos para el grupo PROYECTO-1 que hemos creado antes:

Asignamos a la carpeta PROYECTO-2 todos los permisos para el grupo PROYECTO-2 que hemos creado antes:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

23

Asignamos a la carpeta PROYECTO-3 todos los permisos para el grupo PROYECTO-3 que hemos creado antes:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

24

4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendr acceso a toda la documentacin y cdigo ejecutable de los proyectos. El director tendr acceso ilimitado a todos los recursos disponibles. Creamos el usuario gerente2013:

Creamos tambin un grupo llamado GERENTES para introducir a los diferentes gerentes que pueden pasar por la empresa y darlos de alta o de baja del grupo sin hacerlo carpeta por carpeta.

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

25

Agregamos el gerente actual en el grupo GERENTES:

Al grupo GERENTES le damos permisos de lectura y ejecucin sobre la carpeta DESARROLLADORES que contiene los directorios de los proyectos:

Ahora vamos a crear al usuario director2013:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

26

Creamos tambin un grupo llamado DIRECTORES para introducir a los diferentes directores que pueden pasar por la empresa y darlos de alta o de baja del grupo sin hacerlo carpeta por carpeta.

Agregamos el director actual en el grupo DIRECTORES:

Al grupo DIRECTORES le damos permisos de acceso a todos los recursos disponibles de la empresa ASIR2:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

27

Una vez que cada carpeta tiene los permisos asignados para cada grupo, ahora vamos a compartir la particin de datos para todos los grupos por NTFS:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

28

Hacemos una prueba para ver que todo funciona correctamente. Nos conectamos con el usuario emple-1 del PROYECTO-1 a su correspondiente carpeta y vemos que podemos acceder:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

29

Si intentamos conectarnos con el mismo usuario a la carpeta del PROYECTO-2 y vemos que no tenemos permiso:

Por ltimo, vamos a crear una carpeta para los perfiles mviles de todos los usuarios:

Vamos a Propiedades de la carpeta y la compartimos ya que dentro estarn todos los directorios de los diferentes usuarios que se conectan en el dominio emanuel.gcap.net:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

30

En compartir indicamos permiso de Copropietario para que los grupos tengan acceso a la carpeta al iniciar sesin:

Indicamos al usuario director2013 que la ruta de su perfil se encuentra en la carpeta que hemos creado anteriormente:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

31

Usamos la variable %username% para que cuando el usuario inicie sesin en el dominio emanuel.gcap.net se pueda crear un directorio en la carpeta PERFILES con el mismo nombre que tiene como usuario. De esta forma repetimos el proceso con todos los usuarios.

5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net Comprobamos que el nombre del dominio es emanuel.gcap.net:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

32

b. Servicio DNS Comprobamos que se han creado las zonas correctamente:

c. Servicio DHCP =>192.168.100.0/24 Observamos que el Servicio DHCP est activo:

i. mbito: 192.168.100.2 192.168.100.254 Comprobamos que el mbito se corresponde con lo requerido:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

33

ii. Servidor: 192.168.100.1 Observamos que el Servidor tiene asignada la IP fija requerida:

6. Todos los equipos (mquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados fsicamente a un switch. Cogemos un cliente Windows XP y le asignamos solamente una Red Interna para que no tenga salida a Internet:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

34

Indicamos a nuestro Cliente que la direccin del Servidor DNS es 192.168.100.1 ya que por defecto intenta conectarse a la direccin 192.168.1.1:

Nos vamos a propiedades del sistema y en la opcin cambiar el nombre del equipo podemos cambiar el nombre del equipo que queremos mostrar.

Aqu introducimos el nombre de nuestro dominio emanuel.gcap.net para pertenecer al mismo.

Inmediatamente nos pide un usuario y una contrasea con permisos para unirse al dominio emanuel.gcap.net:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

35

Introducimos los datos del usuario director2013 y nos da la bienvenida al unirnos al dominio:

Ahora nos pide reiniciar el equipo y lo reiniciamos:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

36

Reiniciamos el equipo:

Al reiniciar nos aparece lo siguiente:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

37

Seleccionamos el nombre de equipo ASIR2 e introducimos el usuario director2013 para ver si podemos iniciar sesin:

Comprobamos que podemos iniciar sesin con el usuario director2013 en nuestro Cliente Windows XP y creamos una carpeta de prueba en el escritorio:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

38

Al iniciar sesin comprobamos que en el Servidor Windows Server 2008 en la carpeta PERFILES se ha creado el directorio del usuario que ha iniciado sesin en el dominio:

Exploramos las carpetas que se han creado al iniciar sesin:

Y observamos que la carpeta prueba que hemos creado con el perfil mvil director2013 se ha guardado una vez que hemos cerrado sesin con el usuario:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

39

Aunque ya podemos iniciar sesin en el dominio emanuel.gcap.net con cualquier usuario que pertenece al dominio, seguimos sin tener internet en el Cliente ya que solamente tenemos una Red Interna asignada que se comunica con el Controlador de Dominio y no tenemos salida al exterior:

Para ofrecer Internet a toda la red virtual que hemos creado, tenemos que agregar una funcin en nuestro Servidor llamada Servicios de acceso y directivas de redes:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

40

Seleccionamos los siguiente Servicios de Funcin:

Ya tenemos instalado el servicio de acceso remoto y el enrutamiento:

Pasamos a configurar el servicio instalado:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

41

Seleccionamos Traducir direcciones NAT para que los Clientes internos puedan conectarse a Internet:

Seleccionamos la Interfaz con la que nos comunicamos al exterior:

Una vez finalizada la configuracin del enrutamiento observamos lo siguiente:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

42

Ahora comprobamos que en nuestro cliente tenemos Internet:

8. Se crear tambin un perfil obligatorio, llamado invitado, por si alguien ajeno a la empresa quiere usar algn equipo. Este perfil no tendr acceso a ningn otro perfil, proyecto, documentacin, etc de la empresa. Los datos de los perfiles estarn en una particin o disco duro diferente a la del sistema operativo.

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

43

Para crear el perfil obligatorio, primero habilitamos la cuenta Invitado en el Servidor:

Creamos la carpeta OBLIGATORIO y la compartimos para Todos los usuarios:

Nos vamos al cliente XP e iniciamos sesin con el usuario Administrador del Servidor y nos dirigimos a propiedades del sistema, opciones avanzadas y configuracin de perfiles de usuario:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

44

Seleccionamos el usuario emple1 y seleccionamos copiar a y a continuacin introducimos la ruta de nuestro Servidor hasta la carpeta OBLIGATORIO y la carpeta del usuario se llamar INVITADO.MAN:

Seleccionamos en Cambiar para permitir usar la carpeta por el grupo Todos:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

45

Ahora comprobamos que la carpeta INVITADO.MAN se ha copiado y creado en nuestro Servidor y en opciones de carpeta, permitimos ver archivos ocultos del sistema:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

46

Nos aparece un fichero llamado ntuser.dat y le modificamos la extensin del fichero oculto a NTUSER.MAN:

Por ltimo vamos a nuestro usuario Invitado previamente habilitado y en ruta de acceso al perfil ponemos la siguiente:

Iniciamos sesin en nuestro cliente Windows XP con el usuario Invitado del Servidor y creamos una carpeta de prueba:

Active Directory

2 A.S.I.R.

Emanuel Adrian Gabriel Stasiuc

47

Cerramos sesin y nos volvemos a meter con el usuario Invitado y observamos que la carpeta no se ha guardado: