Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I

1

ACTIVE DIRECTORY - SEMINARIO TIC 08/09
CONCEPTOS GENERALES:
Antes de nada, y para entender las explicaciones que siguen, vamos a definir algunos conceptos que hay que tener muy claros: Servidor: Ordenador que forma parte de una red y ordenadores de esa red a los cuales se denomina clientes. provee servicios a otros

Grupo de trabajo: Es una forma de agrupar ordenadores que sólo nos ofrece la posibilidad de compartir recursos en la red. Cada ordenador del grupo se encarga de forma individual de realizar el control de acceso a los recursos que pone a disposición de los demás. Esta forma de agrupación se usa en redes con pocos ordenadores y no permite la administración centralizada de los recursos ni otras posibilidades tales como la movilidad de los usuarios en la red (perfiles móviles) o la definición de normas que se aplicarán a los usuarios y equipos de nuestra red (políticas o directivas de grupo) Dominio: Es una forma de agrupación de ordenadores cuyo objetivo fundamental es que la seguridad de la red este centralizada en uno o más servidores. En ocasiones, la red es demasiado grande para crear sólo un dominio, por lo que aparecen múltiples dominios, cada uno de ellos con servidores que controlan los recursos de su dominio (pensad en una multinacional con sedes en distintos países). En nuestro centro educativo sólo necesitaremos un dominio con un servidor principal y otro de reserva por si el primero falla. Directorio Activo (Active Directory): es un servicio de directorio (base de datos) utilizado para guardar información relativa a los recursos de red de un dominio. El Directorio Activo permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Directorio Activo almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios Activos con cientos de objetos para una red pequeña hasta Directorios Activos con millones de objetos. Un Directorio Activo (DA) es una estructura jerárquica de objetos. Los objetos se enmarcan en tres grandes categorías. — recursos (Ej: impresoras), servicios (Ej: correo electrónico), y usuarios (cuentas, o usuarios y grupos). El DA proporciona información sobre los objetos, los organiza, controla el acceso y establece la seguridad.

Definidos los anteriores conceptos, vamos a intentar determinar cuál es la mejor forma de usar Windows 2003 Server en nuestro centro educativo. Para ello, hemos de tener en cuenta que un ordenador en el que se ejecute Windows 2003 puede desempeñar tres funciones distintas en una red:

máscara. Una vez instalado Windows 2003 Server en nuestro servidor. pero que no actúa como controlador de dominio. deberemos realizar las siguientes acciones en el orden que aparecen: 1. Conectarse a “Windows Update” para descargar e instalar todas las actualizaciones que corrijan los posibles fallos de seguridad o mejoren la funcionalidad del software instalado en nuestro servidor. impresoras…) para así facilitarnos la administración de nuestra red. 4.Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 2 • • • Controlador de dominio: Es un servidor que se encarga de la seguridad de un dominio. Todo dominio necesita al menos un controlador. equipos y recursos compartidos (carpetas. el cual nos permitirá centralizar a nuestros usuarios. administra de forma centralizada toda la información correspondiente a usuarios y recursos de su dominio. La razón de desinstalar esto es por la comodidad de no tener que pasar el tercer grado cuando nos conectamos a Internet desde el servidor. Tendríamos por tanto un Servidor Independiente. Normalmente no usaremos el servidor para navegar y vosotros mismos podéis comprobar lo molesto que resulta el hecho de conectarnos a un sitio cuando esta característica está habilitada. puerta de enlace y servidores DNS de forma que nos podemos conectar a Internet desde él. Puede realizar funciones de servidor de aplicaciones. Un servidor al que le acabamos de instalar 2003 Server no puede ofrecernos apenas servicios ya que por defecto no vienen instalados y es miembro de un grupo de trabajo. nuestro servidor se convertirá en un Controlador de Dominio. es decir. Desinstalar la “Configuración de seguridad mejorada de Internet Explorer”. deberemos instalar el servicio de Directorio Activo (Active Directory). y antes de nada. de impresión. etc. Como mucho. Reiniciar y conectarse a “Windows Update” tantas veces como . Para obtener funcionalidad plena de un servidor con el sistema operativo de red Windows 2003 Server. Para ello nos iremos a Panel de control => Agregar o quitar programas => Componentes de Windows y desmarcaremos la casilla “Configuración de seguridad mejorada de Internet Explorer”. Instalarle un antivirus. Al instalar Active Directory. Servidor independiente: Es cuando un servidor se incorpora a un grupo de trabajo en lugar de a un dominio. 3. podemos usarlo para albergar en él carpetas sin límite de usuarios conectados a las mismas y que compartiremos con las máquinas del grupo de trabajo. Para ello iremos al menú de inicio y pulsaremos “Windows Update”. Configurar las propiedades de red asignando una IP. 2. Servidor miembro: Es un equipo en el que se ejecuta Windows 2003 y pertenece al dominio.

La partición NTFS se requiere para la carpeta SYSVOL. • TCP/IP instalado (también lo hemos indicado en la instalación de 2003). • Una partición o un volumen con formato NTFS (se entiende que la creamos cuando instalamos 2003 Server). Enterprise Edition o Datacenter Edition. nos ahorrará quebraderos de cabeza en el futuro. Lo lógico es instalar el sistema operativo en una partición no muy grande y organizar el resto del disco duro del servidor con una o más particiones para guardar datos. 200 MB para la base de datos de Active directory y 50 MB para los logs de transacciones del directorio activo (las máquinas que nos mandará el ISFTIC cumplen de sobra con los requisitos de hardware). • Privilegios necesarios para crear el dominio (somos administradores de la máquina).Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 3 sea necesario hasta que comprobemos que no quedan actualizaciones por instalar. Una vez hechas las anteriores acciones pasaremos a instalar Active Directory. A título de curiosidad se indican los requisitos mínimos que debe tener la máquina en la que vamos a instalarlo: • Microsoft Windows Server 2003 Standar Edition. Hacer esto ahora. . • 250 Megabytes de espacio de disco.

Ej: “manjon. Pulsamos siguiente. 5. 4. 7.local”.edu. Nosotros vamos a crear un dominio nuevo por lo que escogeremos esta opción y seguiremos adelante.org .local . . Nos preguntará que tipo de dominio queremos crear e indicaremos “Dominio en un nuevo bosque”. Ir a las propiedades de red e indicar como servidor DNS la propia IP del servidor. Pulsamos siguiente. Llegado este punto deberemos indicar el nombre del dominio que estamos creando. Ir a Inicio => Ejecutar y escribir el comando dcpromo. Este mismo servidor nos prestará el servicio de DNS: 2.. 6. Pulsamos siguiente. En nuestro caso utilizaremos la tercera opción.es . 8. que en nuestro ejemplo sería MANJON. Por lo tanto deberemos recurrir a su nombre Netbios.Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 4 PASOS PARA INSTALAR ACTIVE DIRECTORY: 1. Ahora nos da la opción de crear un dominio nuevo o añadir un controlador adicional a un dominio existente. Es importante poner . 9. 3. Nos preguntará por la ubicación de la base de datos de Active Directory. Dejamos la ubicación que viene por defecto y pulsamos siguiente. no van a reconocer el nombre del dominio tal como lo hemos escrito. Pulsamos siguiente. utilizar un subdominio de éste o utilizar un nombre distinto para el dominio de Windows.. Tenemos tres posibilidades a la hora de nombrar un dominio: utilizar el mismo nombre que el dominio que tenemos registrado en Internet. Si en la red tenemos equipos con sistemas operativos antiguos. Pulsamos siguiente.com .

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 5 10. Cuando llegamos al último paso. pulsamos siguiente. . 15. Para comprobarlo podemos ir a “Mis sitios de red” y observar que nos aparece el dominio que hemos creado y que el único equipo que de momento tenemos es el servidor. Ahora comenzará un proceso que tardará varios minutos y tras el cual se nos pedirá que reiniciemos. Pulsamos siguiente. por lo que sólo podemos usar la cuenta del administrador local. 14. el asistente nos mostrará un resumen de la configuración que hemos establecido en los pasos anteriores. 11. Si alguna cosa no es correcta. cuya contraseña coincide con la del administrador local. Si estamos instalando 2003 Server en una máquina virtual podemos introducir el CD físico o bien conectar al CD virtual una imagen . Además en Inicio => Programas => Herramientas administrativas habrán aparecido varios complementos más relacionados con Active Directory siendo el que más usaremos el de “Usuarios y equipos de Active Directory”. En el siguiente paso deberemos introducir la contraseña del usuario Administrador que se utilizará en el caso que necesitamos restaurar el directorio ante algún desastre. indicando su ruta en los settings de la máquina virtual. Nos aparecerá un error de diagnostico del servicio DNS ya que Active Directory necesita de DNS para funcionar. Elegimos los permisos que nos vienen marcados por defecto (2000 o 2003) y pulsamos siguiente. Tras poner esta contraseña. 12.iso de 2003. Contiene las siguientes carpetas: La carpeta compartida SYSVOL que contiene la información de las políticas de grupo y la carpeta compartida Net Logon. se permite modificar la contraseña del administrador local. 13. Elegiremos la última opción que aparece por defecto en la que se nos propone que este mismo servidor sea configurado como servidor DNS: “Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido”. no puede estar funcionando el servicio Active Directory. este será el momento de corregirla yendo hacia atrás. Esta estructura se replica para todos los controladores de dominio que montemos en nuestro dominio. Pulsamos aceptar. Pulsamos siguiente. • Al crear el dominio. que contienen los logon scripts para computadoras en las que no esta instalado Windows 2003 Server. Crea la carpeta compartida del volumen del sistema. se crea el usuario Administrador del equipo (Administrador local) y se establece su contraseña. Para completar la instalación nos pedirá introducir el CD de Windows 2003 Server para copiar algunos ficheros. ya que al restaurar el dominio. • Además. Si todo va bien el controlador de dominio estará instalado. se crea la cuenta Administrador del dominio. Esto es lógico. ya que será la que se utilice en el caso de que sea necesario restaurar el dominio. En este punto debemos tener unas cuantas cosas claras: • Al instalar el sistema operativo.

el sistema nos va a decir que no cumple con los requisitos de seguridad de contraseñas. incluidos los objetos equipo y usuario de cada contenedor. si especifica de manera explícita una Directiva de Grupo para un contenedor secundario. Con esto nos aparecerán las propiedades de dicho dominio. Para ello. Esto significa que. Optaremos por esta segunda opción.Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 6 POLÍTICAS DE GRUPO: Lo siguiente que haremos será instalar la nueva consola de administración de políticas de grupo la cual podremos descargar en español del siguiente sitio: http://www. La consola de administración de directivas grupo nos permite cambiar la definición de normas que ya existen o crear otras nuevas.microsoft. entendidos estos como contenedores de objetos del dominio organizados jerárquicamente. En este momento nos damos cuenta que hay una norma en nuestro dominio (política o directiva de grupo) que define como han de ser las contraseñas de los usuarios. si se ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel. la cambiaremos para que acepte contraseñas más flexibles. dicha directiva suplantará a la del contenedor primario. Las políticas de grupo se pueden aplicar a nivel de Sitio.msi) deberemos reiniciar aunque no nos lo pide. Podemos comprobar que podemos acceder a dicha herramienta desde Inicio => Programas => Herramientas administrativas => Administración de directivas de grupo Nota: Aquellos que descargasteis la versión en inglés podéis desinstalar el paquete acudiendo a Inicio => Configuración => Panel de control => Agregar o quitar programas y desinstalarlo para posteriormente instalar la versión en español. es que si intentamos poner nuestra típica contraseña “123456”. Situados en el icono que representa nuestro dominio (manjon. Dominio y Unidad Organizativa. hay una política por defecto llamada “Default Domain Policy”. Dominio y Unidad organizativa. Este paquete nos permitirá gestionar las políticas o directivas de grupo de nuestro dominio que no son más que normas que aplicamos a nuestro sistema para definir como queremos que funcionen determinadas cosas. la cual vamos a cambiar para arreglar nuestro problema. abrimos la consola de administración de directivas de grupo o bien nos vamos a “Usuarios y equipos de Active Directory” en Herramientas Administrativas. Ejemplo de modificación de una directiva de grupo existente que se aplica a todo el dominio: El primer problema que nos vamos a encontrar cuando decidamos crear un usuario en nuestro dominio.com/downloads/details. y se sumará a la anterior si no lo son. Sin embargo. Nosotros usaremos los dos últimos niveles para aplicar nuestras normas. Como la definición de esa norma nos resulta poco práctica a la hora de asignar contraseñas a usuarios. si es que son contradictorias. La aplicación de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio. Haremos clic en la .aspx?displaylang=es&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887 Una vez instalado el paquete (gpmc. esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor primario.local) haremos clic con el botón derecho. En el dominio.

Aparecerá el editor de objetos de directiva de grupo y en él recorreremos el siguiente camino: Configuración del Equipo => Configuración de seguridad => Directivas de cuenta => Directivas de contraseñas => Las contraseñas deben cumplir los requerimientos de complejidad => Deshabilitar / Longitud mínima de la contraseña = 0 caracteres La propagación de las políticas en el directorio lleva un pequeño tiempo. Este comando no es efectivo para todos los casos en que definimos una política. .Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 7 pestaña “Directiva de grupo” y pulsaremos “Abrir”. Se nos abrirá entonces la Consola de Administración de directivas de grupo: Situados sobre la “Default Domain Policy” haremos clic con el botón derecho y daremos a Editar. por ejemplo para políticas de distribución de software. Para que las políticas se apliquen de forma inmediata podemos usar el comando gpupdate en el servidor.

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 8 .

De un primer análisis. Realmente.Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 9 DEFINICIÓN DE LA ESTRUCTURA DEL DOMINIO. UNIDADES ORGANIZATIVAS. pulsamos con el botón derecho y elegimos Nuevo… => Usuario. Contiene todos los usuarios del dominio. Estas carpetas contenedoras de objetos que crearemos reciben el nombre de “Unidades Organizativas” (UO). raras veces nos va a hacer falta tocar estas carpetas por lo que crearemos las nuestras propias para organizar nuestros usuarios. CREACIÓN DE USUARIOS Y GRUPOS: Una vez resuelto el problema de las contraseñas. antes incluso de crear el primer usuario. Para crear una nueva UO nos situamos en el icono que representa al dominio y con el botón derecho elegimos Nuevo… => Unidad organizativa. incluyendo a los grupos de usuarios y usuarios que están definidos por defecto en 2003 Server Contiene todos los grupos de usuarios definidos por defecto en 2003 Server No tendremos otros dominios ni relaciones de confianza entre ellos por lo que no nos afecta ni tenemos que tocar nada aquí. podemos deducir que al menos nos hacen falta dos unidades organizativas principales para agrupar a nuestros usuarios: alumnos y profesores. el siguiente paso que nos debemos plantear es qué estructura organizativa queremos dar al dominio de nuestro centro.local Contendrá todos los equipos CLIENTES que se unan posteriormente a nuestro dominio. Iremos entonces a la consola de “Usuarios y Equipos de Active Directory” para crear una estructura funcional. Contiene todos los controladores de dominio que existen en nuestro dominio. Al abrir dicha consola aparecen una serie de carpetas que han sido creadas por defecto al convertir nuestro servidor en un controlador de dominio: Carpeta Dominio Computers / Equipos Domain Controlers / Controladores de Dominio Users / Usuarios Builtin ForeignSecurityPrincipals Descripción Representa el dominio administrado: manjon. . Ponemos el nombre y aceptamos. Situados sobre la unidad organizativa donde queramos crear un nuevo usuario. Indicaremos su nombre y el nombre del inicio de sesión y la contraseña que queremos para ese usuario. equipos y recursos compartidos de la forma que más nos convenga. Por ahora sólo tenemos uno.

También podemos indicar que el usuario no pueda cambiar su contraseña. aunque también podemos indicar que la contraseña sea para siempre (“La contraseña no caduca nunca”).Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 10 Por defecto el usuario deberá cambiar la contraseña que nosotros le ponemos la primera vez que inicia sesión. podemos agrupar a todos los profesores de un mismo . Por ejemplo. el usuario se creará pero no podrá iniciar sesión hasta que la cuenta no sea habilitada de nuevo. al igual que las políticas de grupo que se aplicarán. Todas estas decisiones. Al hacer doble clic sobre el usuario que acabamos de crear podremos ver y definir todas sus propiedades organizadas en distintas pestañas: Puede que nos convenga agrupar varios usuarios que van a disfrutar de los mismos privilegios en un grupo. corren a cargo del administrador. Si deshabilitamos la cuenta.

. Al hacer doble clic en el grupo recién creado podemos decir qué usuarios serán miembros de ese grupo haciendo clic en la pestaña Miembros y pulsando Agregar. nos cercioraremos de que estamos creando un grupo de Seguridad Global y aceptaremos. También podemos hacer clic en Avanzadas y hacer una búsqueda para que nos aparezcan los usuarios del dominio y desde ahí agregarlos.Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 11 departamento en un mismo grupo. Pondremos el nombre. Si quisiéramos que este grupo contuviese a otros Grupos tendríamos que crear un grupo de Seguridad Local. Basta con escribir los nombres de los usuarios separados por un punto y coma. Para crear un grupo nos posicionaremos sobre la unidad organizativa sobre la que queremos crear el grupo y con el botón derecho del ratón elegiremos Nuevo… => Grupo.

Los mismos usuarios que previamente hemos dado de alta en “Usuarios y Equipos de Active Directory” o el administrador del dominio son los usuarios que tienen potestad para realizar esta acción. Para iniciar sesión en la máquina cliente como un usuario del dominio. se nos dará la bienvenida al dominio y se nos pedirá que reiniciemos el equipo.local). Tras unos segundos.Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 12 UNIR UN EQUIPO CLIENTE AL DOMINIO: Para unir un equipo cliente al dominio. deberemos hacer login en dicho equipo con un usuario con privilegios para realizar esta acción (preferentemente como administrador). deberemos indicarlo expresamente en Conectarse a: donde diremos que nos conectaremos a nuestro nombre de dominio (en este caso MANJON). botón derecho del ratón => Propiedades => Pestaña Nombre del Equipo => Botón Cambiar => Elegiremos Dominio y escribiremos el nombre completo del dominio al que queremos unirlo (Ejemplo: manjon.local). . haremos clic en Mi PC. Obsérvese que aquí vemos el nombre NetBios del dominio y no el completo (manjon. Se nos pedirá que nos autentifiquemos como un usuario con privilegios para realizar esta acción.

dónde se explican muchos de los conceptos y procedimientos aquí citados. . incluidos sus documentos personales. se creará un perfil local (en el disco duro de la máquina cliente). También facilita la realización de las copias de seguridad de esos documentos y que habrán de ser programadas por el administrador del dominio. Esto quiere decir que todo el espacio de trabajo de este usuario se almacenará localmente. favoritos…) desde la red. serán tratados en la segunda parte de este documento. Esto facilita la movilidad del usuario dentro del centro ya que podrá iniciar sesión en cualquier equipo cliente teniendo disponibles sus documentos y su espacio de trabajo (escritorio. Lo más normal en este tipo de entornos es que el espacio de trabajo del usuario (perfil de usuario) y sus documentos no residan en la máquina local sino que ambos se almacenen en la red. podéis echar mano del curso de “Redes de Área Local: Aplicaciones y servicios en Windows” del CNICE. Puede que esto nos convenga o no dependiendo de las características de nuestros usuarios. Nota: Para saber más o recordar cosillas.Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 13 Cuando iniciemos sesión. Los perfiles móviles y la forma de guardar los documentos de los usuarios en la red.

Sign up to vote on this title
UsefulNot useful