~ SENATI SISTEMAS OPERATIVOS DE RED TAREA N°8. ADMINISTRA UNIDADES ORGANIZATIVAS Y USUARIOS. 1. EQUIPOS Y MATERIALES. * Un Computador (Hardware recomendado minimo: Microprocesador de 2 GHz, memoria RAM de 2 GB, disco duro de 80 GB, unidad de DVD-ROM, monitor Super VGA (800 x 600) o con una resolucién mayor, Teclado, Mouse de Microsoft o dispositivo seftalador compatible) * Sistema operativo Windows 7. * Sistema operativo de red Windows 2008 Server. * Software de virtualizacién Oracle VM VirtualBox (programa freeware) 2. ORDEN DE EJECUCION. * Crear, gestionar, trasladar y eliminar unidades organizativas. * Crear, gestionar, trasladar y eliminar cuentas de usuarios locales. 3. OPERACION. 3.1. CREAR, GESTIONAR, TRASLADAR Y ELIMINAR UNIDADES ORGANIZATIVAS. Crear Unidades Organizativas. * En esta parte del manual vamos a crear una Unidad Organizativa (OU) aprovechando la consola MMC. Cabe recordar que las Unidades Organizativas son contenedores administrativos dentro del Directorio Activo y que son utilizados para recopilar 0 agrupar objets que comparten unas caracteristicas comunes para la administracién, configuracién o visibilidad en una misma arquitectura de red. * Los pasos previos a la creacién de una unidad organizativa es asegurarse que estamos logeados con una cuenta de administrador en el servidor, de no ser asi, cambiamos de sesién e ingresamos como tal. * Una vez iniciada la sesién de administrador abrimos el complemento de “Usuarios y Equipos de Active ESCUELA DE TECNOLOGIAS DE LA INFORMACION 134~ SENATI SISTEMAS OPERATIVOS DE RED Directory’, que ya tenemos creado en nuestro escritorio, nuestra MMC la abrimos y nos posicionamos en dicho complemento. * Una vez en la ventana de la consola del MMC (Consola Senatinos), nos dirigimos sobre el area izquierda de la ventana, ubicamos el nombre de nuestro dominio SENATINOS y nos posicionamos sobre él, podemos observar en el Area del centro sus cinco (05) carpetas principales, desde donde empezaremos la creacién de las Unidades Organizativas Descrosin Defaut contre fering. Defaut contne fer dom. Defaut contane fer 8c. Default conte for eat. ‘+ Pulsamos botén derecho del mouse sobre el dominio y se desplegara un mend, de cual seleccionamos la opcin Nuevo y dentro de esta opcién Unidades organizativas. * De inmediato aparecera una ventana donde debemos establecer el nombre de la nueva Unidad organizativa. Para el ejercicio, la llamaremos Alumnos. También deshabilitamos la casilla, Proteger contenedor contra acion accidental, en esta ventana damos clic en el botén Aceptar. DE LA INFORMACION 135 ESCUELA DE TECNOLO!SENATI SISTEMAS OPERATIVOS DE RED * La accién anterior nos regresara a la consola Senatinos, y en ella nos posicionamos en la unidad organizativa que acabamos de crear. * Damos clic derecho sobre la Unidad Organizativa Alumnos y escogemos de las opciones del ment la de Propiedades. * En la ventana de Propiedades escogemos la ficha Deseripcién y escribimos una breve descripcién que identifique a los usuarios pertenecientes a la unidad organizativa, terminado pulsamos el botén Aceptar, con lo que la unidad organizativa queda creada en la Consola MMC. 2x) Gener | Adrteado por | COM | Decpaes © LUMNOS UMP cate Fbenan- Se0e CENTRAL z * Se requiere repetir el procedimiento para crear cuatro unidades organizativas, simplemente repita el proceso para crearlas y némbrelas como: “Instructores*, “Administrativos*, “Soporte” y “Supervisién’. * Otra manera de crear una unidad organizativa 0 conjunto de usuarios, en nuestro dominio, es a través del acceso via botén: ESCUELA DE TECNOLOGIAS DE LA INFORMACION 136SENATI SISTEMAS OPERATIVOS DE RED jo/Configura n/Panel de control/Herramientas administrativas/Usuarios y equipos de Active Directory”. * Pulsaremos con el bot6n derecho del ratén sobre nuestro servidor (dominio), seleccionaremos "Nuevo" y a continuacién ejecutaremos "Unidad Organizativa", y desde aqui repetimos todo el proceso antes explicado. * La siguiente ventana muestra las cuatro (04) nuevas Unidades Organizativas creadas con sus respectivos nombres. 2 sein ens a) Creacién de Equipos bajo el Dominio. * Crearemos nuevos equipos en nuestro dominio, a continuacién siga el siguiente procedimiento, habra la consola MMC y dirljase al dominio SENATINOS, clic derecho sobre el escoja la opcién Nuevo y dentro de Nuevo la opcién Equipo. * De inmediato saldré la ventana Nuevo objeto - Equipo, donde se debe de especificar el nombre del equipo para el sistema operativo actual y para versiones anteriores. Completamos la informacién requerida y damos clic en el botén Aceptar. * En la consola MMC Senatinos, se podra apreciar los cuatro (04) nuevos equipos creados en el dominio Senatinos: ESCUELA DE TECNOLOGIAS DE LA INFORMACION 137~ SENAT SISTEMAS OPERATIVOS DE RED i Ral consis [tee [Deserpasn 15 J Unaroey enpcs de Ache recta SERIES] admnevaties Und gone 3 Cored parddes ames Undadorgan... ALMNOSOUA PR #3 emescm Baste ste 18 BP Admnstracin del egupo (local) computers Conteedor ——_Defaut container for uo. [il Donan Conta. Undd organ... Default eantaine fr dm. TE Feregsseart.. entenedor Oeasteatane fr ea tosis Und rm Seco Fae Beene Fake HSeco3 cane cos aioe [ilscowe und ora Mover equipos entre Unidades Organizativas. * Para ejecutar esta operacién, haga clic en Inicio/Herramientas administrativas y, a continuacién, en Usuarios y equipos de Active Directory. + En el panel de navegacién, haga clic en el dominio Senatinos oo air ORO GEMS er oe eaeom re Teese * En el panel de resultados, haga clic con el botén secundario en PCOty, a continuacién, haga clic en Mover, y direcciono el equipo a la Unidad Organizativa Soporte. * En el cuadro de didélogo Mover, haga clic en Soporte y, a continuacién, en Aceptar. Quedando culminada la operacién. Crear una unidad organizativa. Para la creacién de unidades organizativas en Windows Server 2008, siga los siguientes pasos: ESCUELA DE TECNOLOGIAS DE LA INFORMACION 138~ SENATI SISTEMAS OPERATIVOS DE RED * Dirljase a Inicio/Herramientas administrativas/Usuarios y equipos de Active Directory. * Expanda el nodo del dominio, como se muestra en la figura. Cee ecivo Accin Ver Ayuda esa ClO ss/batearae [Dy Ussanes yeqapns de Active Dect [Nombre Too. Descipcn Bi consitas uardads [Rainros — Gupodesep, = season recive Uno Seca * Dirljase al dominio y pulse sobre él con el botén derecho del mouse y seleccione Nuevo/Unidad Organizativa. tebe = Toes armes capo de sep. B neneoks [rrooran teredor_Defaut cont . Padorgane... defeuternt] Combi clini decom. | (eCvNe Deut * De inmediato se abrira la ventana Nuevo objeto-Unidad Organizativa, aqui estableceremos el nombre de la nueva unidad organizativa, para nuestro ejemplo la llamaremos, PNI, desactivamos la casilla Protege contenedor contra eliminacién accidental y pulsamos sobre el botén Aceptar. ESCUELA DE TECNOLOGIAS DE LA INFORMACION 139~ SENATI SISTEMAS OPERATIVOS DE RED * A continuacién nos posicionamos sobre la unidad organizativa PNI que acabamos de crear, y sobre ella pulsamos clic derecho y nos vamos a su opcién Propiedades. * Se abrir la ventana Propiedades de PNI, en ella, sobre el campo Descripcién escribimos una breve descripcién que identifique a los miembros de dicha unidad organizativa, en este caso son usuarios no administradores y pulsamos sobre el botén Aceptar. * Ahora repetimos el proceso para crear las siguientes unidades organizativas Instructores, Secretaria y Soporte el resultado sera el que se muestra en pantalla. * De esta manera damos por culminado la operacién de creacién de unidades organizativas en un dominio. 3.2. CREAR, GESTIONAR, TRASLADAR Y ELIMINAR CUENTAS DE USUARIOS. Ahora que tenemos creadas nuestras unidades organizativas vamos a gestionarlas, creando dentro de ellas usuarios. El procedimiento para ello es el siguiente: * Abra la consola de Usuarios y equipos de Active Directory y expanda el dominio de tal forma que se pueda apreciar las unidades organizativas creadas, * Ubiquese sobre una determinada unidad organizativa, como por ejemplo en la UO PNI, y haga clic derecho sobre ella. Y seleccione la opcién Nuevo y dentro de esta la opcién Usuario. * Se abriré el cuadro de dialogo con titulo [|] Usuarios y equpes de Active Direct| 8 [a] Consultes querdades Nuevo objeto — Usuario, rellene los || © 3 SSuwos con campos como se muestra en la captura. : 2 pomae Y pulse sobre el bot6n Siguiente. © il] Domain Controters 1 [El ForeignSecurityPrincpals ESCUELA DE TECNOLOGIAS DE LA INFORMACION 140~ SENATI SISTEMAS OPERATIVOS DE RED Nome de inicio de sesiin de usuato foeavie [@senstines.com = [Nome de inicio de sesin de usuatofarteor a Windows 2000) Seams pee * Al pulsar sobre el botén Siguiente pasara a la ventana donde debe introducir la contrasefia para este nuevo usuario y deje activa la casilla El usuario debe cambiar la contrasefia al iniciar una sesién de nuevo para que el usuario establezca su contrasefia la primera vez que se identifique en el dominio. * Por Ultimo damos clic sobre el botén Siguiente y luego le decimos Finalizar. * Verifique el nuevo usuario creado en la unidad organizativa PNI Dirfjase al usuario, haga clic derecho sobre él y elija la opcién Propiedades, en este cuadro de dialogo usted podré modificar y/o afiadir otras propiedades de la cuenta de usuario. Vuelva a crear cuatro usuarios mas en esta unidad organizativa. Trasladar o mover unidades organizativas. Usuarios y equipos de Active Directory sélo puede mover unidades organizativas dentro del mismo dominio. * Abra Usuarios y equipos de Active Directory. ESCUELA DE TECNOLOGIAS DE LA INFORMACION 141~ SENATI SISTEMAS OPERATIVOS DE RED * Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacién, haga doble clic en Usuarios y equipos de Active Directory. * En el arbol de la consola, haga clic con el botén derecho del mouse en la unidad organizativa que desee mover. (Usuarios y equipos de Active Directory/nodo de dominio/unidad organizativa). * Haga clic en Mover y, a continuacién, haga clic en la carpeta a la que desea mover la unidad organizativa y por ultimo haga clic sobre el botén Aceptar. Verifique que la unidad organizativa Instructores ahora se encuentre dentro de la unidad organizativa Soporte. Eliminar unidades organizativas. Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio 0 del grupo Administradores de organizacion de Active Directory, o bien debe tener delegada la autoridad correspondiente. * Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacién, haga doble clic en Usuarios y equipos de Active Directory. ESCUELA DE TECNOLOGIAS DE LA INFORMACION 142~ SENATI SISTEMAS OPERATIVOS DE RED * En el drbol de la consola, haga clic con el bot6n secundario del mouse sobre la |" =inhamspenninnioninnsets unidad organizativa que desee eliminar. + Haga clic en Eliminar. + Se mostrara el siguiente mensaje de advertencia que nos preguntara sobre si estamos seguros de la eliminacién de la unidad organizativa. Haga clic sobre el bot6n Si. ME ed std seguro de que desea elimnar Unidad organizativa con el ‘nombre PNT? En el caso de que la unidad organizativa seleccionada contenga otros objetos, Usuarios y equipos de Active Directory le preguntaran si desea continuar 0 cancelar la operacién. Si continéa con la eliminacién, también se eliminaran todos los objetos de la unidad organizativa. Verifique que la unidad organizativa PNI ya no se encuentre dentro del dominio Senatinos. Delegar el control de una unidad organizativa. Para delegar el control de una unidad organizativa siga los siguientes pasos: * Abra Usuarios y equipos de Active Directory. * Ubiquese sobre la unidad organizativa a la cual quiere Delegar Control Haga clic derecho sobre ella y elija Delegar Control. ESCUELA DE TECNOLOGIAS DE LA INFORMACION 143,~ SENATI SISTEMAS OPERATIVOS DE RED * Se iniciara el Asistente para delegacién de control, en esta ventana haga clic sobre el botén Siguiente. Se abrira la siguiente ventana sobre la cual presione el bot6n Agregar. Asistente para delegacén de control © Crear, etminar y administrar cuentas de usuano © Crear. eiminar y administrar grupos ZO Modficar la pertenencia de un grupo C1 Admnistrar vinculos de drectva de grupo Generar conjurto resutante de drectivas (planeamiento) * Luego en la ventana Seleccionar Usuarios, equipos y grupos, en el area de Escriba los nombres de objetos que desea seleccionar, coloque por ejemplo el nombre de uno de los usuarios anteriormente creados y haga clic en comprobar nombres. Sener ee to de colo [Peat Gupr.oPrcpos de egatd regain “Theade shit. 72 Usuarios, Eaubas Ect ont ett ue deve secre ie: fate Divi devia @renatns con) Conpotarrentes * Luego aparecerd la siguiente pantalla que nos indica al objeto encontrado luego de la comprobacién del nombre, por ultimo aqui haga clic sobre el botén Aceptar. * Posteriormente el usuario aparecerd agregado y listo para la delegacién en esa ventana haga clic en el botén Siguiente. * Accontinuacién aparece las diferentes opciones de Tareas a delegar, solo bastara con activar las casillas para seleccionar estas delegaciones. Aqui haga clic sobre el Siguiente Por ultimo el asistente mostrara la pantalla de finalizacién, haga clic sobre el botén Finalizar para dar por concluido la delegacién de control. DE LA INFORMACION 144 ESCUELA DE TECNOLO!~ SENATI SISTEMAS OPERATIVOS DE RED 4. FUNDAMENTOS TEORICOS. Unidades organizativas Se define a la Unidad Organizativa como un tipo de objeto organizador del directorio de gran utilidad dentro de un dominio. El Active Directory tiene a las unidades organizativas como contenedores en los se pueden albergar usuarios, grupos, equipos e incluso otras unidades organizativas. Teniendo en cuenta que una unidad organizativa solo puede contener objetos del mismo dominio y mas no de otros dominios. Las unidades organizativas vienen a ser los ambitos o unidades mas minimas en las cuales se pueden asignar arreglos y caracteristicas, es decir configurar Directiva de Grupo o en la que se permite asignar y delegar la administracion. Con estos objetos (unidades organizativas), se pueden crear contenedores pertenecientes a un dominio con la intencién que representen un arreglo légico y jerarquico dentro de la red. De esta manera se permite gestionar configuraciones tanto de cuentas de usuarios como de recursos. El grafico representa, la capacidad de las unidades organizativas para albergar otras unidades organizativas. La construccién de esta jerarquia de contenedores pueden ser extendida de acuerdo a los requerimientos para una mejor administracién del dominio, esto permite que las unidades organizativas contribuyan a la disminucién del ntimero de dominios necesarios en una red. Un ejemplo de uso de las_unidades organizativas, es para crear un arreglo administrativo que pueda crecer a cualquier tamafio. Un usuario en un dominio puede tener privilegios de administracién para todas las unidades organizativas 0 sélo para una de ellas. El administrador de una unidad ESCUELA DE TECNOLOGIAS DE LA INFORMACION 145~ SENATI SISTEMAS OPERATIVOS DE RED organizativa no necesariamente tendra la administracion sobre cualquier otra unidad organizativa de su dominio. Cuentas de usuarios y equipos. En el Active Directory las cuentas de usuario y las cuentas de equipo de simbolizan una entidad fisica (persona o un equipo). Las cuentas de usuario se pueden manejar como cuentas de servicio dedicadas para ciertas aplicaciones. A estas cuentas también se les llama principales de seguridad, es decir, son objetos que pertenecen al directorio a los que en forma automaticamente se le asigna identificadores de seguridad (SID), con el fin de que puedan acceder a los recursos del dominio. Utilidad de la cuenta de usuario o de equipo. Estas cuentas se utilizan para: + Las cuentas de usuario permite que un usuario inicie una sesién en equipos y dominios con una identidad verificada por el dominio. Cada usuario del dominio debe tener su propia cuenta de usuario y su propia contrasefia Unica, de esta manera se aumenta la seguridad, evitando de que los usuarios fisicos compartan la misma cuenta. + Una vez de que el usuario ha sido autenticado, se le puede denegar o autorizar el uso de los recursos del dominio segin los permisos que le hayan sido otorgados. + Active Directory crea un objeto de principal de seguridad externo en el dominio local para representar cada principal de seguridad de un dominio de confianza externo. + Active Directory permite auditar las acciones realizadas con la cuenta de usuario 0 de equipo con el fin de supervisar la seguridad de las cuentas. ESCUELA DE TECNOLOGIAS DE LA INFORMACION 146~ SENATI SISTEMAS OPERATIVOS DE RED Cuentas de usuario del Active Directory. Al crear el dominio se crean de manera automética en el Active Directory tres cuentas de usuario integradas. Cada cuenta integrada tiene una combinacién diferente de derechos y permisos, estas cuentas son las siguientes: * Administrador: La cuenta Administrador tiene los derechos y permisos mas amplios sobre el dominio. * Invitado: tiene derechos y permisos limitados. Cuenta Administrador. Este tipo de cuenta es aquella que tiene el control total sobre el dominio y puede asignar derechos de usuario y permisos de control de acceso a otros usuarios segun requerimiento de la red. Sélo usaran esta cuenta usuarios que requieran credenciales administrativas. Se debe considerar aplicar contrasefia segura para este tipo de cuenta. Esta cuenta se crea al instalar un nuevo dominio con el Asistente para instalacién de Active Directory. Cuenta Invitado. La cuenta Invitado sélo la utilizan los usuarios que no poseen una cuenta real en el dominio. Un usuario con su cuenta deshabilitada (pero no eliminada) también puede utilizar la cuenta Invitado. La cuenta Invitado no requiere ninguna contrasefia. Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De forma predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados del dominio, que permite a un usuario iniciar una sesion en un dominio. La cuenta Invitado est deshabilitada de forma predeterminada, y se recomienda que permanezca asi. ESCUELA DE TECNOLO! DE LA INFORMACION 147~ SENATI SISTEMAS OPERATIVOS DE RED Cuenta Asistente de ayuda. Se trata de la cuenta principal que se utiliza para establecer una sesién de Asistencia remota. La cuenta se crea automaticamente al solicitar una sesién de Asistencia remota, y tiene limitado el acceso al equipo. El servicio Administrador de sesién de Ayuda de escritorio remoto administra la cuenta Asistente de ayuda, que se eliminara automaticamente si no hay solicitudes de Asistencia remota pendientes. 5. PREGUNTAS, EJERCICIOS Y ACTIVIDADES DE INVESTIGACION. * Crear 5 usuarios que deban cambiar su contrasefia en su primer inicio de sesi6n y con una vigencia de contrasefia de 10 dias. * Crear 5 usuarios que tengan el acceso al dominio entre 8 a.m. y 1 p.m. * Crear 5 usuarios que su clave 0 contrasefia solo sean de 4 cifras y sin complejidad alguna. * Crear unidades organizativas que administren a los usuarios creados anteriormente. ESCUELA DE TECNOLOGIAS DE LA INFORMACION 148