01 - Windows 2003 Dominios

Windows 2003 dominios
IES San Clemente Ver. 2.6 (29-11-2005)
WINDOWS 2003
Profesor: Carlos Carrin lvarez

1
WINDOWS 2003
Acptanse suxestins, correccin de erros, etc en carrion@edu.xunta.es. Indicar no asunto o ttulo do pdf e a versin. Autorzase a reproducin total ou parcial deste documento, mencionando sempre a fonte.
WINDOWS 2003 NDICE

8.- Dese 8.- Deseo do esquema a implantar con AD 8.1- Implantaci dese 8.1- Implantacin do deseo en Windows 2003 9.- Instalaci 9.- Instalacin de AD en Windows 2003 10.10.- Usuarios Grupos e OU en AD 11.11.- Crear carpetas restantes do esqueleto 12.- Afinar permisos en carpetas 12.13.- Configuraci 13.- Configuracin das cotas de disco 14.14.- Delegar control 15.15.- Publicar impresoras 16.estaci 16.- Introducir unha estacin no dominio 16.1- Xesti 16.1- Xestin remota do dominio 16.216.2- Publicar impresora do cliente en AD 17.sesi 17.- Iniciar sesin no cliente 18.18.- Directivas 18.1.18.1.- Plantillas de seguridade 18.2.- Instalaci 18.2.- Instalacin remota de software 19.- Partici 19.- Particins de AD 20.operaci 20.- Mestres de operacins 21.- Relaci 21.- Relacins de confianza 22.subdominios, 22.- Crear subdominios, rbores, etc
WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Desexase crear un dominio para un instituto, no que se dan as seguintes circunstancias, xerais: - Os usuarios (Pas, profes alumnos) deben ter cadanseu nome de usuario e contrasinal e carpeta de usuario. - Cada usuario debe acceder automaticamente dende calquera PC a sa carpeta e as que se describen abaixo. - Os profesores e o alumnado que lle imparte clase deben ter unha carpeta comn na que o profesor poida deixar material para o seu alumnado. Nesas carpetas alumnado s ter lectura e o profesor que a creou control total, o resto do profesorado lectura. - O alumnado debe ter unha carpeta na que poidan intercambiar informacin, que se borre s luns. - O profesorado debe ter unha carpeta na que intercambiar informacin, deixar informacin do seu departamento, acceder as actas, etc. - As oficinistas debe ter unha carpeta na que poidan almacenar a informacin da oficina e mesmo tempo que poida ser lida polo profesorado, para poder coller formularios, etc. - A direccin debe ter unha carpeta que s os seus membros poidan acceder e organizada por cargos. - Cada usuario debe ter un perfil mbil (escritorio, pxina de inicio, impresoras instaladas, etc.). Isto , un usuario configura nun PC a pxina de inicio do navegador web como www.edu.xunta.es, se este usuario vai a outro PC debe seguir tendo esa pxina como pxina de inicio. - Os alumnos non poden crear/eliminar nada na sa carpeta propia, senn nas subcarpetas que fan referencia s mdulos que cursa. - Os profesores van poder acceder en modo lectura s carpetas dos alumnos s que lle imparten clase. - O administrador pode acceder en modo control total a cada carpeta. - Cada usuario debe ter distintas cotas en funcin de si almacena na sa carpeta, nunha comn, ou noutra calquera
Descrici Descricin problema

Antes de instalar Active Directory hai que ter claro o deseo do que se desexa implantar: Este deseo atinxe a varios parmetros: 1.- Nome de dominio 2.- Nomes de grupos e usuarios 3.- Esquema de carpetas O dominio pode ser un nico dominio, unha rbore ou un bosque, todo depende do tamao da organizacin. Estudarase mis adiante. Neste caso, vaise crear un s dominio: dominioXX.ga, onde XX toma valores en (00, 01, 02, etc.) dominioXX.ga, Xeralmente cando se instala un dominio privado, que non vai estar cara internet o nome de dominio debera ser dominioXX.local.
Dese Deseo previo
Nome de dominio
DominioXX.ga
DomiXX.ga
SubXX.DominioXX.ga rbore
SubXX.DomiXX.ga rbore
Bosque

Os grupos caracterzanse polo mbito que identifica o alcance de aplicacin do grupo nos dominios ou bosques.
MBITO DO GRUPO Local de dominio Global Universal PROCEDENCIA DOS MEMBROS Calquera dominio Dominio no que se crea o grupo Calquera dominio CONCESIN DE PERMISOS- APLICACIN EN... Recursos do dominio no que se crea o grupo Recursos de calquera dominio Recursos de calquera dominio
s organizaci Nomes de grupos e a sa organizacin
Os grupos van ser todos globais. Comezan por G-, por das razns: para saber que foron creado como globais e para que aparezan todos xuntos hora de ordenar tdolos grupos.
Grupo Grupo
G-Alum G-1DAI-Alum G-1ASI-Profes G-Usuarios G-Profes G-1DAI-Profes G-Outros-Profes G-Pas G-Direccion G-Instaladores Profes que imparten a 1 de DAI Profes do centro que non imparten nin en DAI nin en ASI Persoal de administracin e servizos Profes que pertencen equipo de direccin Usuarios que nun momento dado teen a posibilidade de instalar aplicacins
<Profes de 1 de DAI>
Grupos para resolver problema
Grupo
G-1ASI-Alum Alumnos/as de 1 de ASI Alumnos/as de 1 de DAI
Descricin
Usuarios
<Alumnos/as de 1 de ASI>
<Alumnos/as de 1 de DAI> <Profes de 1 de ASI>
Profes que imparten a 1 de ASI
<Profes> <Oficinistas> <Profes> <Usuarios>

O esquema seguinte amosa como deberan estar organizadas as carpetas que van conter a informacin do Instituto. Aquelas carpetas que parecen entre < > indican que a van existir moitas carpetas.
Raz
Esquema de carpetas
Usuarios
Comun
Comunprofes
Perfiles
Pas
Alumnos
Profes
_Borrase_Os_Luns 1ASI
1DAI
_Borrase_Os_Luns
Departamentos
Oficina
Direccin
Actas
<Usuarios>
<Pas>
1ASI
1DAI
<Profes> Profes>
<M <Mdulos>
<M <Mdulos>
<Departamentos>
<Cargos>
<Alumnos> <M <Mdulos>

O enunciado peda que se desexaban aplicar cotas distintas para un mesmo usuario en funcin de onde almacenara informacin. Por exemplo pode interesar que un profesor tea lmites de espazo distintos: - Na sa carpeta persoal - Para a informacin que deixa para o seu alumnado en comun - Para a informacin que deposita en comunprofes. - Para o seu perfil mbil. Se se crean tdalas carpetas de segundo nivel (usuarios, comun, comunprofes e perfiles) na mesma unidade non se vai poder realizar asignacins de cotas distintas para un mesmo usuario. Co cal cada unha desas carpetas debe residir nunha unidade de volume distinta (U:, S:, T: e P:), todas elas NTFS.
Raz
Escoller as unidades onde se vai crear o esquema.
U:
Usuarios
S: Comun
T:
Comunprofes
P:
Perfiles
Pas
Alumnos
Profes
_Borrase_Os_Luns
1ASI
1DAI
_Borrase_Os_Luns
Departamentos
Oficina
Direccin
Actas
<Usuarios>
<Pas >
1ASI
1DAI
<Profes> Profes>
<M <Mdulos>
<M <Mdulos>
<Departamentos >
<Cargos >

Como os usuarios van acceder a esta estrutura remotamente hai que sleccionar cales son as carpetas que se van compartir e con que nome.
Raz
Carpetas compartidas
Usuarios
Comun Profes$ Profes$
Comun
ComunProfes$ ComunProfes$
Comunprofes
Perfiles$
Perfiles
Pas$
Alumnos
Pas
Alumnos
Profes
1DAI
_Borrase_Os_Luns
Departamentos
Oficina
Direccin
Actas
<Usuarios>
<Pas>
1ASI
1DAI
<Profes> Profes>
<M <Mdulos>
<M <Mdulos>
<Departamentos>
<Cargos>

Xa se indicou, cando se estudaron os permisos nunha carpeta, que cando esta accedida remotamente aplcanse os permisos mis restritivos das das ACLs (Interseccin), polo tanto na ACL de compartir vaise dar permiso o grupo Todos de Control Total e realizarase o afine do que pode facer cada usuario nunha carpeta na ACL de seguridade afine seguridade. afine
Raz
Permisos para as carpetas (ACL de seguridade e de compartir)
Usuarios ACL Seguridade Administrador CT G-Usuarios LX G-Instaladores D
Comun
Comun
Comunprofes
Perfiles$
Perfiles
ACL Seguridade Administrador CT G-Usuarios LX G-Instaladores D
ACL Compartir Todos CT
Pas$
Alumnos
Profes$ Profes$
ACL Seguridade Administrador CT G-Profes LX G-Pas LX G-Instaladores D
ACL ACL Seguridade Administrador CT Compartir G-Usuarios M Todos CT G-Instaladores D
Pas
Alumnos
Profes
1DAI
_Borrase_Os_Luns
Departamentos
Oficina
Direccin
Actas
<Usuarios>
<Pas>
1ASI
1DAI
<Profes> Profes>
<M <Mdulos>
<M <Mdulos> CT LX M LXE D
<Departamentos>
<Cargos>
= Control Total = Lectura e execucin = Modificar = Lectura Execucin e Escritura = Tdolos permisos denegados
10

Prestar atencin s permisos das carpetas finais da rbore.
Permisos nas subcarpetas de usuarios
Raz
CT LX M LXE D
Usuarios
Comun
Comun
Comunprofes
Perfiles$
Perfiles
Pas$
ACL Seguridade ACL Compartir Administrador CT Todos CT G-Pas LX G-Instaladores D
Alumnos
ACL Seguridade ACL Compartir Administrador CT Todos CT G-Profes LX G-Alumnos LX G-Instaladores D ACL Seguridade Administrador CT G-1DAI-Alum LX G-1DAI-Profes LX
Profes$ Profes$
ACL Seguridade ACL Compartir Administrador CT Todos CT G-Profes LX G-Instaladores D
Pas
Alumnos
Profes
<Pas>
ACL Seguridade Administrador CT <pas> LXE Creator Owner CT
1ASI
ACL Seguridade Administrador CT G-1ASI-Alum LX G-1ASI-Profes LX
1DAI
<Profes> Profes>
ACL Seguridade Administrador CT <profe> LXE Creator Owner CT
<Alumnos> ACL Seguridade Administrador CT <Alumno> LXE Creator Owner CT G-1ASI-Profes LX
ACL Seguridade Administrador CT <Alumno> LX G-1ASI-Profes LX
ACL Seguridade Administrador CT <Alumno> LX G-1DAI-Profes LX
<Alumnos> ACL Seguridade Administrador CT <Alumno> LXE Creator Owner CT G-1DAI-Profes LX
<M <Mdulos>
<M <Mdulos>
11

Permisos nas subcarpetas de comun
Raz
Usuarios
Comun
Comun ACL Compartir Todos CT
Comunprofes
Perfiles$
Perfiles
_Borrase_Os_Luns
ACL Seguridade Administrador CT G-Usuarios LXE Creator owner CT
1ASI
ACL Seguridade Administrador CT G-Profes LX G-Alumnos LX
1DAI
CT LX M LXE D
<M <Mdulos>
ACL Seguridade Administrador CT G-1ASI-Profes LXE Creator Owner CT G-Profes LX G-Alumnos LX
<M <Mdulos>
ACL Seguridade Administrador CT G-1DAI-Profes LXE Creator Owner CT G-Profes LX G-Alumnos LX
12

Permisos nas subcarpetas de comunprofes
Raz
CT LX M ou C LXE D
= Control Total = Lectura e execucin = Modificar, Cambio = Lectura Execucin e Escritura = Tdolos permisos denegados
Usuarios
Comun
Comun
Comunprofes
Perfiles$
Perfiles
_Borrase_Os_Luns ACL Seguridade Administrador CT G-profes C G-Pas C
Departamentos ACL Seguridade Administrador CT G-profes LX
Oficina ACL Seguridade Administrador CT G-Pas M G-Profes LX
Direccin ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT
Actas ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT G-Usuarios LX
<Departamentos> ACL Seguridade Administrador CT G-profes LXE Creator owner CT
<Cargos> ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT
13

Permisos nas subcarpetas de perfiles
Raz
Usuarios
Comun
Comun
Comunprofes
Perfiles$
Perfiles ACL Compartir Todos CT
ACL Seguridade Administrador CT G-Usuarios C G-Instaladores D
A primeira vez que un usuario inicia sesin en calquera ordenador crearase a sa carpeta, onde se almacenar o seu perfil mbil. Os permisos desa carpeta que os pon o sistema son: <Usuario> CT e nada mis.
<Usuarios>
CT LX M LXE D C
= Control Total = Lectura e execucin = Modificar = Lectura Execucin e Escritura = Tdolos permisos denegados = Cambio
14

Case tdalas carpetas son creadas polo administrador, salvo as que se indican abaixo.
Raz
Carpetas creadas polo sistema.
Usuarios
Comun
Comunprofes
Perfiles
Pas
Alumnos
Profes
1DAI
_Borrase_Os_Luns
Departamentos
Oficina
Direccin
Actas
<Usuarios>
<Pas>
1ASI
1DAI
<Profes> Profes>
<M <Mdulos>
<M <Mdulos>
<Departamentos>
<Cargos>
Estas carpetas poden ser creadas polo sistema No momento de dar de alta o usuario. Explicarase mis adiante cando e como
Estas carpetas cranse a primeira vez que un usuario inicia sesin nun equipo
15
WINDOWS 2003 8.1- Implantacin do deseo en Windows 2003

Poderase crear unha unidade chamada raz e logo montar nela 4 unidades, cadansa nunha carpeta cos nomes de abaixo. Nesta ocasin decidiuse asignar unha letra de unidade a cada volume.
Raz
CREAR AS UNIDADES DE DISCO QUE VA ALBERGAR O ESQUEMA.
U:
Usuarios
S: Comun
T:
Comunprofes
P:
Perfiles
16

Este pdese crear en modo grfico ou en modo texto con scripts. Recomndase este ltimo, pois as pdese tirar abaixo e volver a levantalo en cuestin de segundos. Neste ltimo caso aconsllase unha carpeta onde ir creando tdolos scripts, numeralos e ter arquivos con variables globais.
CREAR ESQUELETO.
17

Cranse as 4 carpetas do primeiro nivel dentro de cada unidade.
CREAR CARPETAS PRIMEIRO NIVEL.
18

Mrense os bucles do script
CREAR CARPETAS USUARIOS.
19

Realizar con scripts
COMPARTIR AS SUBCARPETAS DE USUARIOS.
20

Realizar con modo grfico ou consultar o realizado polo script.
COMPARTIR AS SUBCARPETAS DE USUARIOS.
As ACLs de compartir de cada unha dos tres recursos deben conter Todos --> Control Total.
21

Pdese facer en modo grfico ou cun script.
COMPARTIR COMUN E CREAR AS SUBCARPETAS.
Comun
1DAI
<M <Mdulos>
<M <Mdulos>
22

Pdese facer en modo grfico ou cun script.
COMPARTIR COMUNPROFES E CREAR AS SUBCARPETAS.
23

Pdese facer en modo grfico ou cun script. Non esquecer dar permisos de control total a Todos na ACL de compartir
COMPARTIR PERFILES.
Perfiles
<Usuarios>
Estas carpetas sern creados polo sistema cando o usuario inicie sesin por primeira vez.
24

O FEITO ATA AGORA.
Tdolos arquivos usados para crear o esqueleto.
25
WINDOWS 2003 9.- Instalacin de AD en Windows 2003

A promocin a controlador de dominio pdese realizar usando o asistente ou co comando Dcpromo usado neste caso. Dcpromo,
PROMOCIONAR A CONTROLADOR PRINCIPAL DE DOMINIO
Inicio -> Executar
Asistente
26

VERSI COMPATIBILIDADE CON VERSINS POSTERIORES DO WINDOWS
Algunhas pantallas de configuracin soen traer unha axuda explicativa, que en moitos casos aconsellable consultar para entender o que est a suceder.
27

Escoller se crear un controlador de dominio novo ou se crear un adicional para un xa existente.
CONTROLADOR DE DOMINIO NOVO OU ADICIONAL
2K3-00 1 Controlador de dominio para Dominio-00.ga
2K3-00-COPIA 2 Controlador de dominio para Dominio-00.ga
28

As imaxes amosan o que cada opcin, como anda non se ten nada dbese escoller a primeira
Dominio-00.ga
BOSQUE NOVO, SUBDOMINIO OU NOVA RBORE
Dominio novo nun bosque novo
Dominio-00.ga
Subdominio novo nunha rbore existente
Sub-00.Dominio-00.ga
Domi.es
Dominio-00.ga
rbore nova en bosque existente. Xa existe dominio-00.ga
29

Nesta instalacin o servidor de DNS non est instalado.
INFORMACI INFORMACIN SOBRE O DNS
Se o equipo est configurado para obter a IP e o DNS automaticamente o programa mostra a pantalla superior preguntando se xa existe un servidor DNS na rede configurado para albergar novo dominio. Escollendo a segunda opcin instalar o DNS no equipo e crear a zona para este dominio. Se o equipo ten configurada unha IP manual e non ten o servidor DNS instalado amosa a seguinte pantalla
Escoller o nome de zoa COMPLETA do dominio que se vai xestionar.
Para manter a compatibilidade coas versins previas de Windows 2000, que usaba NETBIOS
O asistente, non atopa o servidor de DNS onde est apuntando cliente DNS. Deste xeito instala o DNS neste equipo e crea a zona para este dominio. Esta pantalla aparecera despois das diapositivas da transparencia seguinte.
30

ONDE SE VAN GARDAR OS ARQUIVOS DE ACTIVE DIRECTORY (AD).
Hai que indicar onde se gardar o arquivo NTDS.dit que o que contn toda a informacin do AD, usuarios, grupos, impresoras, informacin sobre o bosque, rbores, dominios, etc. en resumidas contas unha base de datos de obxectos. Este arquivo estudarase mis adiante. No rexistro almacnase un seguimento das actividades realizadas no servizo de AD.
A carpeta SYSVOL contn informacin do dominio que se replicar nos demais controladores de dominio, se existen. Tamn almacena tdolos arquivos s que os clientes deben ter acceso, p.e. Comandos de inicio de sesin, verase mis adiante.
31

RESTAURACI NIVEL DE SEGURIDADE E CONTRASINAL DE RESTAURACIN DO AD.
Se no dominio vai haber servidores NT mesturados con 2003 dbese seleccionar a primeira opcin. No primeiro caso un acceso annimo nun sistema podera acceder a ler a informacin de usuarios e da sa pertenza a grupos e no segundo caso isto non sera posible.
32

Ler detidamente a mensaxe de resumo: -Nome dominio, - Carpetas de configuracin - Que pasa co DNS - Contrasinal do novo administrador.
OPCI INSTALACI RESUMO DAS OPCINS ESCOLLIDAS E COMEZO DA INSTALACIN
O dominio instalndose
33

Como non est instalado pide que se instale o servizo. Hai que introducir o CD. Finalmente hai que reiniciar o equipo.
INSTALACI FINALIZACI INSTALACI INSTALACIN DO SERVIDOR DNS E FINALIZACIN DA INSTALACIN DE AD
34

Non hai xestin de usuarios locais, agora hai informacin sobre o dominio no servidor de DNS
INSTALACI CONSECUENCIAS TRAS A INSTALACIN DE ACTIVE DIRECTORY
A aplicacin Configure o seu servidor mostra que agora xa est instalado o servidor de DNS e o Active Directory
Non hai xestin de usuarios LOCAIS, tdolos usuarios son do DOMINIO. Os usuarios e grupos locais que se crearon antes de promocionar a dominio o equipo pasronse AD
35

ACTIVE DIRECTORY
Unidades Organizativas
Borrar os 2 grupos e usuarios anteriores a AD.
GRUPO DE TRABALLO: Pepe debe entrar nos tres ordenadores, Implica dar de alta a PEPE nos tres. Tdalas estacins traballan de igual a igual. As credenciais de pepe comprbanse en local
DOMINIO: Pepe debe entrar nos tres ordenadores (clientes) Dse de alta s no servidor de dominio. As estacins dependen do dominio. As credenciais de pepe comprbanse no servidor
As unidades organizativas serven para conter obxectos do dominio. Sinalar: Users: Users contn os usuarios e grupos preinstalados no AD e os que eran locais. Computers: Computers contn os ordenadores (clientes) que dependen do dominio. Controlers: dominio, Domain Controlers Contn os controladores de dominio neste caso s un.
36

CONFIGURACI CONFIGURACIN ACTUAL DO DNS.
Rexistro SOA, quen o 1 xestor desta zoa
Obsrvese o tipo de zoa e as actualizacins dinmicas.
Rexistro NS, tdolos ordenadores que xestionan esta zoa
37

NOVOS REXISTROS DNS: rexistros de servizo (SRV).
Cliente IP: 10.3.2.0 /8 Servidor DNS: 10.3.1.0
Servidor IP: 10.3.1.0 /8 Servidor DNS: 10.3.1.0
Os rexistros SRV indican en que ordenador e porto se atopa un servizo determinado. Neste caso o servizo Kerberos est no ordenador 2k3-00.dominio00.ga e no porto 88 dese ordenador. Queda para o alumno estudar a funcin dos 38 campos prioridade e peso.
Un usuario desexa validarse no dominio (por defecto sase kerberos). O cliente debe saber quen o servidor de Kerberos, para iso debe consultar servidor DNS.

NETLOGON.DNS ARQUIVO NO QUE SE ALMACENAN AS ZOAS INTEGRADAS EN AD: NETLOGON.DNS
Deixase para o alumno a interpretacin desta lia.
39
WINDOWS 2003 10.- Usuarios Grupos e OU en AD

OBSERVACI OBSERVACINS PREVIAS
Para implantar todo o esquema anterior, non preciso ter moitos coecementos sobre a estrutura lxica e fsica de AD ( Catlogo Global, mestres, esquema, LDAP, X.500, sitios, etc.). Este conceptos explicaranse cando xa se tea soltura con AD. O usuario xa debe saber: - Que os clientes deben apuntar seu servidor DNS IP do servidor DNS que ten a informacin sobre o dominio. Neste caso os servidor de DNS e o controlador de dominio estn no mesmo equipo, pero non ten porque ser as. - Non hai xestin de usuarios locais, agora hai informacin sobre o dominio no servidor de DNS. O usuario debe ampliar coecementos sobre: - Os usuarios e grupos instalados por defecto no sistema - Niveis Funcionais de dominio - Unidade organizativas - Sntase X.500 Isto irase explicando a medida que se precise.
40

Na OU (Unidade Organizativa) Users, unha vez borrados Noa, Pepe, Homes e Mulleres, existen unha serie de usuarios e grupos creados instalar o dominio. Fixarse no usuario administrador e nos grupos Admins. del dominio e Usuarios del dominio
USUARIOS E GRUPOS POR DEFECTO
41

Os dous grupos son globais e conteen usuario administrador como membro, no caso do segundo a algn usuario mis
GRUPOS ADMINS. E USUARIOS DEL DOMINIO
42

Lembrar s grupos dos que se falou na fase de deseo, agora identificaranse uns usuarios exemplo para realizar a actividade. Notar: Como todo usuario que pertence a G-Direccion debe pertencer a un grupo dos profes. Como A profesora Ana da nos dos cursos.
USUARIOS DO SISTEMA
Os usuarios anda que aparezan das veces na seguinte tboa s se crean unha vez e logo asgnanse s grupos que corresponda.
Grupo Grupo Grupo
G-1ASI-Alum G-Alum G-1DAI-Alum G-1ASI-Profes G-Usuarios G-Profes G-1DAI-Profes G-Outros-Profes G-Pas G-Direccion G-Instaladores Profes que imparten a 1 de DAI Profes do centro que non imparten nin en DAI nin en ASI Persoal de administracin e servizos Profes que pertencen equipo de direccin Usuarios que nun momento dado teen a posibilidade de instalar aplicacins Alumnos/as de 1 de DAI Profes que imparten a 1 de ASI
Descricin
Alumnos/as de 1 de ASI
Nome
Pia Sonia
Rosa Uxio Ana Xan Roi Ana
Nome completo
Paz Paz, Pa Rial Rial, Sonia
Teo Teo, Rosa Brea Brea, Uxo
Lois Lois, Ana Rguez Prez, Xan Lpez Lpez, Roi

Lois Lois, Ana
Noa Trini Sol Noa Roi
Pin Lores, Noa Pan Pan, Trini Cao Cao, Sol Pin Lores, Noa Lpez Lpez, Roi -------
43

Cando un grupo contn a outros grupos como membros e non s usuarios. Como se dixo, os grupos a crear sern Globais, pois ben, se non se cambia o Nivel Funcional do Dominio que se acaba de instalar, este non deixa aniar grupos globais dentro de grupos globais. Crear dous grupos Globais G-A e G-B e tratar de meter o grupo G-B dentro do grupo G-A.
ANI ANIAMENTO DE GRUPOS
EXEMPLO
O alumno debe buscar a diferenza entre grupo de Seguridade e Grupo de Distribucin.
44

Meter o grupo G-B como membro de G-A
ANI ANIAMENTO DE GRUPOS
G-B non aparece como posible membro
45

AD ten varios niveis funcionais que determinan cales son as caractersticas dispoibles e as versins de (NT, 2000, 2003) que poden actuar como controladores de dominio. Os posibles niveis funcionais de dominio son 5. A seguinte tboa mostra unha breve descricin. Na seguinte transparencia mstranse mis caractersticas. Observar as 7 primeiras
Caracter Caractersticas
Como se chega a cada modo
NIVEIS FUNCIONAIS DE DOMINIO
Windows NT4
Instalando Windows NT4
Windows 2000 Mixto (Por defecto)

Instalando Windows 2000 ou Windows 2003, en mbolos dous casos o modo no que est o AD unha vez rematado de instalar. Actualizando NT a 2000
Windows 2000 Nativo

Subindo o nivel funcional desde 2000 Mixto
Windows Server 2003 Versi Versin Preliminar

Actualizando un NT4 a 2003 directamente
Windows Server 2003

Subindo o Nivel dende 2000 Mixto ou 2000 Nativo
Sistemas Operativos
NT4
2000 e 2003
2000 e 2003
2003
2003
46

CARACTER CARACTERSTICAS DOS NIVEIS FUNCIONAIS DE DOMINIO. Observar as 7 primeiras
Caracter Caractersticas
Observaci Observacins Controladores de dominio soportados Obxectos por dominio Tipos de grupo Grupos seguridade aniados ani Conversi Conversin de grupos Cambio de nome de dominio Protocolos de autenticaci autenticacin Historial SID Rplica de pertenza a grupos Mximo de sitios por dominio Rplica con varios mestres PDC NT4 BDC NT4 e NT3.51 < 40.000 (< 20.000 Contas usuario) Global Local Non Non Non NTLM Non Lista completa de pertenza a grupos Non dispoible Non
Windows NT4
Windows 2000 Mixto (Por defecto)

Modo por defecto 2000 2003 BDC NT4 Recomndase < 40.000 (< 20.000 Contas usuario) Global Local Non Non Non NTLM, Kerberos Non Lista completa de pertenza a grupos 300 Si
Windows 2000 Nativo

2000 2003 Millns Universal Global de dominio Local de dominio Local Si Si Non Kerberos Permite migracin de contas dun dominio a outro Lista completa de pertenza a grupos 300 Si
Windows Server 2003 Versi Versin Preliminar

NT4 actualizado a 2003 NT 4 2003 Millns Global Local Non Non Non NTLM, Kerberos Non S os cambios de pertenza 300 Si
Windows Server 2003
2003 Millns Universal Global de dominio Local de dominio Local Si Si Si Kerberos Permite migracin de contas dun dominio a outro S os cambios de pertenza 3.000 Si
47

OS AMBITOS DOS GRUPOS E OS NIVEIS FUNCIONAIS.
MBITO DO GRUPO Local de dominio Global Universal PROCEDENCIA DOS MEMBROS Calquera dominio Dominio no que se crea o grupo Calquera dominio CONCESIN DE PERMISOS- APLICACIN EN... Recursos do dominio no que se crea o grupo Recursos de calquera dominio Recursos de calquera dominio
A tboa da esquerda xa foi presentada nunha transparencia previa. A tboa inferior amosa as relacins dos mbitos dos grupos cos niveis funcionais. Uffff, estdese moi detidamente!!!!!!!!!!!!!!!!!!
Membros
Nivel Funcional 2000 nativo 2003 mbito universal Contas, Grupos Globais e Grupos Universais de calquera dominio. Non existen nestes niveis funcionais. Universais de calquera dominio Locais de calquera dominio mbito global Contas do mesmo dominio. Grupos Globais do mesmo dominio. mbito local de dominio Contas de calquera dominio Grupos Globais de calquera dominio Grupos Universais de calquera dominio Grupos Locais do mesmo dominio. Contas de calquera dominio Grupos globais de calquera dominio. Locais do dominio.
2000 mixto Preliminar 2000 nativo 2003
Contas do mesmo dominio.
P Pode ser Membro de / Pdese Agregar a

Universais de calquera dominio Locais de calquera dominio Globais do mesmo dominio
Asignar permisos en
Calquera 2000 nativo 2003 Recursos de calquera dominio Local de dominio. Global, sempre que non existan outros grupos Universais como membros. Recursos de calquera dominio Recursos do mesmo dominio Universal, sempre que non tean como membro a outro grupo con mbito local de dominio.
Converter en:
Universal, sempre que no sexan membros de outro grupo con mbito global.
48

Visto o anterior s resta subir o nivel funcional do dominio, neste caso vaise subir a Windows server 2003. Unha vez elevado o nivel do dominio non se poder baixar.
ELEVAR O NIVEL FUNCIONAL DO DOMINIO
49

Meter agora o grupo G-B como membro de G-A. E despois borralos.
ANI ANIAMENTO DE GRUPOS UNHA VEZ ELEVADO O NIVEL FUNCIONAL
G-B aparece como posible membro
50

Serven para agrupar os distintos obxectos da organizacin, as pdese ter: -Unha OU para os ordenadores cliente do instituto e esta OU pode estar dividida en varias que fagan referencias a ubicacin dos ordenadores nas aulas (aula 1, aula 2, etc.). - Outra OU pode conter s usuarios, e dentro desta dividila en varias OU (profes, alumnos, etc). Unha OU pode conter ordenadores, usuarios, impresoras, mis OU, etc, e todo iso mesturado. Sobre as OU aplcanse as polticas da rede (Directivas), p.e, interesa que os alumnos non poidan acceder a C: Non confundir as OU cos grupos de usuarios. As primeiras son para organizar os obxectos e aplicar directivas e os segundos son para asignar permisos s recursos (carpetas, impresoras, etc.) Obsrvese o seguinte exemplo que pronto se explicar como se constre.
UNIDADES ORGANIZATIVAS (OU)
OU que vai conter ordenadores do instituto. Est dividida en salas porque mellor interesa que nos ordenadores da Sala 1 pidase cambiar a hora do sistema, mais non nos da Sala 2.
OU que vai conter s usuarios do instituto. Est dividida en profes e alumnos porque mellor interesa que os segundos non tean acceso o disco C: de calquera ordenador cliente. Para que sexa efectivo as OU deben conter s usuarios S NON S OS GRUPOS S QUE PERTENCEN ESES USUARIOS.
51

As OU pdense crear en modo grfico ou con utilidades (Neste caso vaise usar a utilidade de comandos CSVDE). Para este segundo caso preciso ter unhas nocins sobre o estndar X.500 Active Directory almacena a informacin sobre os obxectos (usuarios, equipos, dominio, OU, etc) no arquivo NTDS.dir (NT Directory Services). Nesta base de datos xerrquica almacnase a informacin seguindo as recomendacins X.500 (RFC 1274, 1275, 1276, 1360, 1777, 1778, 2116, 2605, 3352, etc). Cada obxecto identifcase de forma nica usando a notacin de cadea de X.500, vxase o exemplo. Todos eses obxectos hai que almacenalos no arquivo NTDS.dit. Cada un deses obxectos identifcase de forma inequvoca polo Nome Distinguido (DN). (Psese cando se fala de carpetas do que se denomina ruta absoluta)
Dominio00.ga Usuarios Ordenadores DN DN DN DN DN DN DN DN DN DN dc=Dominio00, dc=ga
ESTANDAR X.500 DE ISO
NTDS.dit Arquivo NTDS.dit
ou=Usuarios, dc=Dominio00, dc=ga ou=Ordenadores, dc=Dominio00, dc=ga ou=Profes, ou=Usuarios, dc=Dominio00, dc=ga ou=Alumnos, ou=Usuarios, dc=Dominio00, dc=ga cn=Xan, ou=Profes, ou=Usuarios, dc=Dominio00, dc=ga cn=Mon, ou=Alumnos, ou=Usuarios, dc=Dominio00, dc=ga cn= Noa Lois, ou=Alumnos, ou=Usuarios, dc=Dominio00, dc=ga ou=Sala3, ou=Ordenadores, dc=Dominio00, dc=ga cn=S3eq01, ou=Sala3, ou=Ordenadores, dc=Dominio00, dc=ga
Profes
Alumnos
Sala3
Xan
Mon
Noa Lois
S3eq01
DN DC OU CN
Distinguish Name Domain Controller Organizational Unit Name Common Name
Chaves X.500
52

Desafortunadamente non existe moita documentacin sobre esta utilidade. Serve para importar e exportar datos de Active Directory (AD) Os parmetros para importar un arquivo que contn obxectos para introducir en AD son: csvde -i -f <arquivo en formato csv> -k. Para exportar igual pero sen o parmetro i. Na seguinte transparencia mstrase a exportacin actual do AD a un arquivo. Outra utilidade semellante LDIFDE pero os arquivos cos que traballa teen outro formato.
UTILIDADE CSVDE
53

Mostrar os atributos DN, ObjectClass, CN e Description dos obxectos tipo usuario. Ollo o obxecto Computer unha subclase do obxecto User, por iso aparece no listado.
EXEMPLO DA UTILIDADE CSVDE
54

vista dos tipos de usuarios que se teen poden crearse unha soa OU que contea tdolos usuarios, pero se se desexa distinguir entre usuarios o mellor e crera unha OU para cada tipo (profes, alumnos, pas, especiais). Tamn pode interesar distinguir entre o tipo de alumnado (1ASI e 1 DAI).
CREAR UNIDADES ORGANIZATIVAS (OU)
Grupo
Grupo
G-Alum
Grupo
G-1ASI-Alum G-1DAI-Alum G-1ASI-Profes
Descricin
Alumnos/as de 1 de ASI Alumnos/as de 1 de DAI Profes que imparten a 1 de ASI Profes que imparten a 1 de DAI Profes do centro que non imparten nin en DAI nin en ASI Persoal de administracin e servizos Profes que pertencen equipo de direccin Usuarios que nun momento dado teen a posibilidade de instalar aplicacins
G-Usuarios G-Profes G-1DAI-Profes G-Outros-Profes G-Pas G-Direccion G-Instaladores
55

Crear primeiro a OU usuarios e logo dentro desta de forma semellante as demais OU. Fixarse na estrutura de rbore final.
GR CREAR UNIDADES ORGANIZATIVAS EN MODO GRFICO.
56

Notar que se crea un OU ordenadores no dominio. Mirar o arquivo xerado e a variable dominio no arquivo inferior.
CREAR OU CON CSVDE.
57

EXECUCI RESULTADO DA EXECUCIN DE CSVDE.
58

GR CREAR GRUPOS DE PROFESORES EN MODO GRFICO.
Grupo Grupo
G-Alum G-1DAI-Alum G-1ASI-Profes G-Usuarios G-Profes G-1DAI-Profes G-Outros-Profes G-Pas G-Direccion G-Instaladores Profes que imparten a 1 de DAI Profes do centro que non imparten nin en DAI nin en ASI Persoal de administracin e servizos Profes que pertencen equipo de direccin Usuarios que nun momento dado teen a posibilidade de instalar aplicacins Alumnos/as de 1 de DAI Profes que imparten a 1 de ASI
Grupo
G-1ASI-Alum Alumnos/as de 1 de ASI
Descricin
Crear o Grupo Global G-1ASI-Profes e poerlle unha descricin
59

Crealos como antes e poer a sa descricin. Meter no grupo G-Profes s seus membros.
CREAR O RESTO DOS GRUPOS DE PROFES.
Os grupos poden crearse en calquera OU, pois eles non se ven afectados polas polticas que se lle asignen a cada OU, pero mellor telos organizados. As polticas S AFECTARN S USUARIOS QUE SE CREEN NAS OU AFECTAR
60

Lembrar a estrutura na que se van crear as carpetas Home dos usuarios profesores. Para dar de alta s usuarios e Home Home asociarlle carpetas s interesa o nome co que foron compartidas estas, non en que lugar fsico se atopan.
Raz
GR CREAR OS USUARIOS PROFESORES DE MODO GRFICO.
Usuarios
Comun
Comunprofes
Perfiles$
Perfiles
Pas$
Alumnos
Pas
Alumnos
Profes
1DAI
_Borrase_Os_Luns
Departamentos
Oficina
Direccin
Actas
<Usuarios>
<Pas>
1ASI
1DAI
<Profes> Profes>
<M <Mdulos>
<M <Mdulos>
<Departamentos>
<Cargos>
O sistema crear aqu unha carpeta HOME para cada usuarios profesor NO MOMENTO DE SER DADO DE ALTA. ALTA O formato da carpeta Ordenador\profes$ username% \\Ordenador\profes$\%username%
Nesta outra carpeta crearse unha carpeta por cada usuario NO MOMENTO EN QUE ESTE SESI INICIE SESIN POR PRIMEIRA VEZ. O formato : Ordenador\Perfiles$\ Username% \\Ordenador\Perfiles$\%Username%
61

Lembrar s usuarios profesores.
Grupo Grupo
CREAR A USUARIA PROFESORA ANA.

Grupo
G-1ASI-Profes G-Usuarios G-Profes G-1DAI-Profes G-Outros-Profes G-Direccion
Descricin
Profes que imparten a 1 de ASI Profes que imparten a 1 de DAI Profes do centro que non imparten nin en DAI nin en ASI Profes que pertencen equipo de direccin
Nome
Ana Xan Roi Ana
Nome completo
Lois Lois, Ana
Noa Noa Roi
Pin Lores, Noa Pin Lores, Noa Lpez Lpez, Roi
abc123.
62

Descricin, grupos e perfil.
PERSONALIZAR A USUARIA PROFESORA ANA.
Dobre CLIC
Cando o usuario entre por primeira vez, crearase unha carpeta (perfil mbil) co seu nome en perfiles$. %username% = variable que se substite polo nome de usuario username% Cada vez que o usuario inicie sesin executarase o script profes.bat. profes.bat. No momento en que se acepte esta pantalla crearase unha carpeta para Ana en profes$. Logo cada vez que Ana inicie sesin nun cliente ter en Meu PC unha unidade L: conectada sa carpeta de usuario (HOME).
63

Carpeta HOME, ...
RESULTADO FINAL DESPOIS DE PERSONALIZAR A USUARIA PROFESORA ANA.
Agora xa ten descricin En profes est a carpeta de ANA, mentres que en perfiles nada, isto porque anda non iniciou sesin.
64

Crear usuario XAN copiando de ANA, deste xeito cpiase as Fichas Perfil e Membro de entre outras, mesmo tempo que crea a carpeta HOME de XAN.
COPIAR UN USUARIO.
65

copiar o campo descricin non se copia. Na ficha Membro de dbense axustar s grupos os que pertence. Polo demais no proceso de copia xa se creou o HOME de Xan.
ACCI PERSONALIZACI RESULTADO DA ACCIN ANTERIOR E PERSONALIZACIN DE XAN.
A descricin non foi copiada hai que poela
Esta ficha foi totalmente copiada
Copironse os grupos os que pertenca Ana, s que xa se quitou o grupo G-1DAI-Profes cal non pertenca Xan
66

M CREAR A ROI E NOA CO MTODO ANTERIOR.
67

PERMISOS POR DEFECTO DAS CARPETAS HOME CREADAS POLO SISTEMA.
O propio usuario ten control total. Pero tamn est o grupo Usuarios, cousa que non interesa. Isto solucionarase cando se afinen os permisos de cada carpeta.
O propietario de cada obxecto e o grupo administradores.
68

Deste xeito crase un arquivo con tdolos datos de cada usuario e logo crgase no sistema, de tal xeito que xa crea usuarios e carpetas persoais. Pero introduce s usuario na OU Users e non na que nos interesara. O aconsellable usar os comandos CSVDE, Ldifde e outros que xa veen con Windows 2003, que permiten entre outras cousas, indicar cal a unidade organizativa.
Grupo
G-Usuarios
(kit CREAR USUARIOS PAS COA UTILIDADE ADDUSERS (kit recursos de Windows NT)
Grupo
G-Pas
Grupo
Descricin
Persoal de administracin e servizos
Nome
Trini Sol
Nome completo
Pan Pan, Trini Cao Cao, Sol
Crase unha planilla no EXCEL, no OpenOffice, etc. Cada columna un campo do usuario
Ficheiro exportado a csv, separado cada campo por ;
69

Crear na carpeta Crear sistema unha carpeta Usuarios e nela copiar a utilidade addusers e os arquivos de usuario anteriores.
(kit CREAR USUARIOS COA UTILIDADE ADDUSERS (kit recursos de Windows NT)
70

Observar os parmetros de addusers e o resultado da sa execucin..
(kit EXECUTAR A UTILIDADE ADDUSERS (kit recursos de Windows NT)
Se se mira a axuda de addusers di que /s sase para indicar cal o separador dos campos. No arquivo pas.csv o separador o punto e coma ;
71

Observar quen ten permisos sobre unha das carpetas creadas e quen o propietario.
CARPETAS HOME RESULTANTES.
Carpetas de usuarios creadas
O administrador non ten permisos para ver a ACL de seguridade nin para ver Propietario. Quen si pode facer isto usuario propietario da carpeta. O administrador pode tomar posesin e logo asignar os permisos que desexe.
72

Creronse na OU Users. Addusers non da opcin de escoller OU, porque estas non existan en NT. Seleccionar os usuarios e o grupo e arrastralos para a OU PAS
OS USUARIOS E GRUPO PAS EN AD.
73

Todo igual que feito de modo grfico salvo que na ficha Contas non crea o nome de usuario @dominio00.ga
PROPIEDADE DOS USUARIOS PAS CREADOS CON ADDUSERS.
Non crea un nome usuario UPN (sol@dominio00.ga s crea o nome sol@dominio00.ga) sol@dominio00.ga para versins previas a 2000. Pero anda as pdese iniciar sesin sen problemas
74

Ben se poda facer en modo grfico ou con addusers, pero vaise volver usar a utilidade CSVDE, que permite crear grupos e usuarios en OU e crear grupos aniados, cousas que non permite Addusers. Pero non vai ser ouro todo o que reluce, o traballo con CSVDE complexo e ademais non crea a carpeta HOME de usuario, pero darase unha solucin. Os cadros que non estn en negro na seguinte tboa son os que restan por realizar. Hai que crear e aidar grupos e despois usuarios. Quedan 5 grupos por crear.
Grupo Grupo Grupo
G-1ASI-Alum G-Alum G-1DAI-Alum G-1ASI-Profes G-Usuarios G-Profes G-1DAI-Profes G-Outros-Profes G-Pas G-Direccion G-Instaladores Profes que imparten a 1 de DAI Profes do centro que non imparten nin en DAI nin en ASI Persoal de administracin e servizos Profes que pertencen equipo de direccin Usuarios que nun momento dado teen a posibilidade de instalar aplicacins Alumnos/as de 1 de DAI Profes que imparten a 1 de ASI
CREAR O RESTO DOS GRUPOS E OS USUARIOS ALUMNOS.
Descricin
Nome
Pia Sonia
Rosa Uxio Ana Xan Roi Ana
Nome completo

Lois Lois, Ana
Noa Trini Sol Noa Roi
Pin Lores, Noa Pan Pan, Trini Cao Cao, Sol Pin Lores, Noa Lpez Lpez, Roi -------
75

Interpretar cal a razn de que as lias cunha frecha rematan en coma , e porque csvde ten o parmetro -k
CREAR O RESTO DOS GRUPOS E OS USUARIOS ALUMNOS.
76

Comprobar que se crearon tdolos grupos que faltaban nas OU correspondentes e que teen os Grupos Membros.
N EXECUTAR O ESCRIPT N 12.
77

Neste exemplo s hai catro usuarios, pero s veces son 300 ou 600 alumnos para ser introducidos en 10 ou mis OU. Realizar esta ardua tarefa en modo grfico levara moito tempo e cometeranse moitos erros. Facelo con Addusers adiantara bastante o proceso, pero con CSVDE anda que un engorro facilita moitos as cousas. Neste caso vaise votar man dunha folla de clculo para realizar tdolos pasos.
Grupo Grupo Grupo
G-1ASI-Alum G-Usuarios G-Alum G-1DAI-Alum Usuarios Alumnos/as de 1 de DAI
CREAR S USUARIOS ALUMNOS.
Descricin
Nome
Pia Sonia
Rosa Uxio
Nome completo
Pas$
Alumnos
Profes$ Profes$
Pas
Alumnos
Profes
<Pas>
1ASI
1DAI
<Profes> Profes>
O alumnado debe ter os seus HOMES nestas carpetas.
\\ordenador\Alumnos\<Curso>\%Username% ordenador\Alumnos\<Curso>\ Username% 78

Nun documento de follas de clculo vanse crear varias follas, das delas servirn de base para obter os datos que se precisen nas outras. A primeira folla (Dominio) conter os datos xenricos do dominio e do nome do servidor
C CREAR PLANILLA NUNHA FOLLA DE CLCULO.
Estes datos sern para usar nas frmulas das demais follas
79

Obter os datos do XADE e ordenalos por curso (ANO DE MATRCULA) e por estudos, grupo, apelido1,apelido2 e nome. Crear unha nova folla (Orixinal) similar inferior para despois construr o arquivo para CSVDE. Desta folla sairn o resto dos datos para construr o arquivo para CSVDE.
C CREAR PLANILLA NUNHA FOLLA DE CLCULO.
Datos obtidos do XADE ou con Xenlis.
O nome de usuario debe escollelo o administrador e que non se repita
Creados polo administrador S cuestin de crear a primeira lia de cada entrada e logo copiala.
80

Noutra folla (Alumnos) do mesmo documento crear a estrutura do arquivo para CSVDE apoindose nas follas creadas previamente Unha vez construda toda a lia so cuestin de copiala tantas veces como usuarios resten.
CREAR PLANILLA PARA CSVDE.
Fixarse que o DN constrese cos datos das follas Orixinal e Base. Se se mira na cela H2 de Orixinal est o nome de usuario Pia. Tdalas columnas se constren as cando non levan un dato constante, como pode ser o valor User na columna ObjectClass. O alumno debe indagar cal o cometido da propiedade UserAccountControl Recomndase mirar detidamente na folla de clculo cada propiedade e consultar a sa misin en, google ou en:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/attributes_global.asp
81

Gardar a folla anterior en formato CSV (separando os campos por comas) e
GARDAR EN FORMATO CSV EN ALUMNOS.CSV
82

Unha vez que se creen os alumnos introduciranse nos grupos correspondentes. A seguinte planilla indica como meter nos grupos a cada usuario. Esta foi construda de xeito similar a anterior s que en vez de dicir a que grupo pertence cada usuario, faise revs dise que usuarios ten cada grupo. Esta planilla dar lugar a AlumGrupos.Csv
CREAR PLANILLA PARA METER S ALUMNOS NOS GRUPOS CORRESPONDENTES
83

A seguinte folla creouse de xeito similar s anteriores. Como CSVDE non crea o HOME do usuario, buscouse esta orixinal solucin. Esta planilla dar lugar documento de TEXTO AlumHomeDir.bat
CREAR PLANILLA PARA CREAR OS DIRECTORIOS HOME DE CADA ALUMNO.
84

Aproveitando o traballo feito nas follas anteriores pdese construr unha lista cos nomes de usuario para o profesorado.
LISTADOS DOS NOMES DE USUARIO DO ALUMNADO PARA O PROFESORADO.
85

Vxanse os tres documentos que se deben copiar a Crear sistema\Usuarios
RES RESME DO REALIZADO.
86

Vxanse os tres documentos que se deben copiar a Crear sistema\Usuarios
CREAR OS USUARIOS ALUMNOS.
O alumno debe interpretar o significado da entrada 0 sinalada cunha frecha.
87

Comprobar que a execucin do script foi correcta. Se non aparecen os usuarios premer F5 sobre a OU en cuestin
SITUACI SITUACIN ACTUAL DE AD.
88

O script debeu crear as carpetas HOME de cada usuario.
DIRECTORIOS HOME DE CADA USUARIO.
89

O script debeu crear as carpetas HOME de cada usuario.
SCRIPTS USADOS ATA AGORA.
90

Cando se deron de alta os usuarios indicouse que cando o usuario inicie sesin debe executarse un script de inicio de sesin (profes.bat, pas.bat, alumnos.bat) .
SESI SECUENCIAS DE COMANDO DE INICIO DE SESIN.
Lembrar que os profes deberan poder acceder s carpetas dos seus alumnos, a comunprofes, etc. Pois, nestes arquivos escribiranse comandos net que se executarn iniciar sesin o usuario, deste xeito o usuario ter en Meu PC unha serie de recursos conectados automaticamente.
91

.
SESI SECUENCIAS DE COMANDO DE INICIO DE SESIN.

Raz
Usuarios
Comun
Comunprofes
Perfiles$
Perfiles
Pas$
Alumnos
Pas
Alumnos
Profes
_Borrase_Os_Luns
1ASI
1DAI
_Borrase_Os_Luns
Departamentos
Oficina
Direccin
Actas
<Usuarios>
<Pas>
1ASI
1DAI
<Profes> Profes>
<Mdulos> <M
<Mdulos> <M
<Departamentos>
<Cargos>
Un profesor iniciar sesin debera ter en Meu PC: - A sa carpeta persoal - O recurso compartido Alumnos - O recurso compartido Comun - O recurso compartido ComunProfes$ Un PAS iniciar sesin debera ter en Meu PC: - A sa carpeta persoal - O recurso compartido Comun - O recurso compartido ComunProfes$ Un alumno iniciar sesin debera ter en Meu PC: - A sa carpeta persoal - O recurso compartido Comun
A carpeta persoal de cada usuario conectase automaticamente a L: , pero as demais hai que conectalas mediante arquivos de comandos de inicio de sesin
92

Dbense crear tres arquivos bat (profes.bat, pas.bat, alumnos.bat). Na seguinte transparencia indcase onde se gardan. O conectarse de xeito automtico estas unidades o usuario non ten que andar navegando pola rede en busca dos recurso compartidos.
Un profesor iniciar sesin debera ter en Meu PC: - A sa carpeta persoal - O recurso compartido Alumnos - O recurso compartido Comun - O recurso compartido ComunProfes$
SESI ARQUIVOS DE COMANDOS DE INICIO DE SESIN.
Un PAS iniciar sesin debera ter en Meu PC: - A sa carpeta persoal - O recurso compartido Comun - O recurso compartido ComunProfes$
Un alumno iniciar sesin debera ter en Meu PC: - A sa carpeta persoal - O recurso compartido Comun
93

Cando se instalou o AD haba unha carpeta chamada SYSVOL que era onde se gardaran os arquivos s que os clientes deberan ter acceso. Dentro de sysvol existe unha carpeta chamada scripts e compartida como NETLOGON que a onde os ordenadores clientes van a buscar os arquivos de inicio de sesin.
NETLOGON
94
WINDOWS 2003 11.- Crear carpetas restantes do esqueleto

Cada vez xa vai quedando menos para rematar de configurar o noso instituto.
Raz
M CREAR AS CARPETAS DE MDULOS DOS ALUMNOS
Usuarios Pas$ Alumnos
Comun
Comun
Comunprofes
Perfiles$
Perfiles
Profes$ Profes$
Pas
Alumnos
Profes
<Pas>
1ASI
1DAI
<Profes> Profes>
Hai que crear s mdulos para cada alumno do sistema. Como non poda ser de outra maneira farase con un script
95
WINDOWS 2003 11.- Crear carpetas restantes do esqueleto

semellante a cando se crearon en comun.
M SCRIPT PARA CREAR AS CARPETAS DE MDULOS DOS ALUMNOS
96
WINDOWS 2003 12.- Afinar permisos en carpetas

Afinar os permisos das carpetas. Este proceso pode comezarse de abaixo cara arriba, pero mellor de arriba cara a baixo e ir propagando permisos.
ACL Seguridade Administrador CT G-Usuarios LX G-Instaladores D Usuarios
Permisos nas subcarpetas de usuarios
Raz
CT LX M LXE D
Comun
Comun
Comunprofes
Perfiles$
Perfiles
Pas$
ACL Seguridade ACL Compartir Administrador CT Todos CT G-Pas LX G-Instaladores D
Alumnos
ACL Seguridade ACL Compartir Administrador CT Todos CT G-Profes LX G-Alumnos LX G-Instaladores D ACL Seguridade Administrador CT G-1DAI-Alum LX G-1DAI-Profes LX
Profes$ Profes$
ACL Seguridade ACL Compartir Administrador CT Todos CT G-Profes LX G-Instaladores D
Pas
Alumnos
Profes
<Pas>
ACL Seguridade Administrador CT <pas> LXE Creator Owner CT
1ASI
ACL Seguridade Administrador CT G-1ASI-Alum LX G-1ASI-Profes LX
1DAI
<Profes> Profes>
ACL Seguridade Administrador CT <profe> LXE Creator Owner CT
<Alumnos> ACL Seguridade Administrador CT <Alumno> LXE Creator Owner CT G-1ASI-Profes LX
ACL Seguridade Administrador CT <Alumno> LX G-1ASI-Profes LX
ACL Seguridade Administrador CT <Alumno> LX G-1DAI-Profes LX
<Alumnos> ACL Seguridade Administrador CT <Alumno> LXE Creator Owner CT G-1DAI-Profes LX
<M <Mdulos>
<M <Mdulos>
97

Comezarase afinando os permisos dos mdulos de Pia. Seleccionalos todos dunha vez. Primeiro hai que romper a herdanza.
m Permisos nos mdulos de PIA
98

Agregar os usuarios/grupos e configurar os permisos.
m Permisos nos mdulos de PIA
99

O proceso anterior moi laborioso, pois hai que ir usuario por usuario e logo ir subindo na rbore (imaxinar 100 ou mis usuarios). Para solucionar o problema dos permisos existe unha utilidade chamada CACLS.
(Change UTILIDADE PARA CAMBIAR PERMISOS: CACLS (Change ACLS)
100

UTILIDADE PARA TOMAR POSESION: TAKEOWN
Algunas das carpetas anteriores (As dos usuarios PAS) foron creadas con ADDUSERS e o administrador non tia permisos para nada, se desexa cambiar os permisos desas carpetas debe tomar posesin. Pode facelo dende o modo grfico ou coa utilidade TAKEOWN Comezarase tomando posesin de todo, para curarse en sade
101

AFINAR PERMISOS DE USARIOS E SUBCARPETAS.
Tras a execucin do script observar as ACLS de algunhas carpetas.
102

Tras a execucin do script observar as ACLS dalgunhas carpetas (PAS e Trini).
GDENEGAR PERMISOS A G-INSTALADORES EN USARIOS E SUBCARPETAS.
103

Tras a execucin do script observar as ACLS dalgunhas carpetas (PAS e Trini).
CONFIGURAR PERMISOS EN PAS E SUBCARPETAS.
104

Tras a execucin do script observar as ACLS dalgunhas carpetas (Profes e Ana).
CONFIGURAR PERMISOS EN PROFES E SUBCARPETAS.
105

Este script mis complexo. Observar o Mdulo FOL de Pia
CONFIGURAR PERMISOS EN ALUMNOS E SUBCARPETAS.
106

Permisos nas subcarpetas de comun
Raz
Usuarios
Comun
Comun ACL Compartir Todos CT
Comunprofes
Perfiles$
Perfiles
_Borrase_Os_Luns
ACL Seguridade Administrador CT G-Usuarios LXE Creator owner CT
1ASI
1DAI
CT LX M LXE D
<M <Mdulos>
ACL Seguridade Administrador CT G-1ASI-Profes LXE Creator Owner CT G-Profes LX G-Alumnos LX
<M <Mdulos>
ACL Seguridade Administrador CT G-1DAI-Profes LXE Creator Owner CT G-Profes LX G-Alumnos LX
107

COM CONFIGURAR PERMISOS DE COMN E DAS SUBCARPETAS.
Nun s arquivo tdolos permisos de comun e das sas subcarpetas. Mirar os permisos p.e. Do mdulo RCT de ASI Por qu s se deu permiso de escritura a G-1ASI-Profes?
108

Permisos nas subcarpetas de comunprofes
Raz
CT LX M LXE D C
= Control Total = Lectura e execucin = Modificar = Lectura Execucin e Escritura = Tdolos permisos denegados = Modicicar
Usuarios
Comun
Comun
Comunprofes
Perfiles$
Perfiles
_Borrase_Os_Luns ACL Seguridade Administrador CT G-Profes C G-Pas C
Departamentos ACL Seguridade Administrador CT G-profes LX
Oficina ACL Seguridade Administrador CT G-Pas M G-Profes LX
Direccin ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT
Actas ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT G-Usuarios LX
<Departamentos> ACL Seguridade Administrador CT G-profes LXE Creator owner CT
<Cargos> ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT
109

CONFIGURAR PERMISOS DE COMUNPROFES E DAS SUBCARPETAS.
Nun s arquivo tdolos permisos de ComunProfes e das sas subcarpetas. Mirar os permisos p.e. do Dept. de Ingls. Buscar diferenzas entre a px. 240 e o que fai o script.
110

Permisos nas subcarpetas de perfiles
Raz
Usuarios
Comun
Comun
Comunprofes
Perfiles$
ACL Seguridade Administrador CT G-Usuarios C G-Instaladores D
A primeira vez que un usuario inicia sesin en calquera ordenador crearase a sa carpeta, onde se almacenar o seu perfil mbil. Os permisos desa carpeta que os pon o sistema son: <Usuario> CT e nada mis.
<Usuarios>
CT LX M LXE D C
= Control Total = Lectura e execucin = Modificar = Lectura Execucin e Escritura = Tdolos permisos denegados = Modicicar
111

Este script o mais sinxelo de todos
CONFIGURAR PERMISOS DE PERFILES.
112
WINDOWS 2003 13.- Configuracin das cotas de disco

Habilitar cotas de disco para Perfiles (S para monitorizar), Comun (Lmite 10 MB) e ComunProfes (Lmite 20 MB)
Raz
GR CONFIGURAR AS COTAS DE DISCO MODO GRFICO.
U:
Usuarios
S: Comun
T:
Comunprofes
P:
Perfiles
113

Pretndese que os alumnos e os PAS tea de lmite 10 MB e os profes 20. Se se desexa facer de forma cmoda o mellor e usar a utilidade FSUTIL QUOTA.
CONFIGURAR AS COTAS DE DISCO PARA USUARIOS
114

Obsrvese como agora se poden agrupar os usuarios por nome.
RESULTADO OBTIDO
115

SCRIPTS USADOS ATA O DE AGORA
116
WINDOWS 2003 14.- DELEGAR CONTROL

Un usuario pode realizar operacins sobre OU do AD sen ser un administrador. Para iso dbeselle delegar o control sobre unha OU, neste caso os profesores de 1 de ASI van poder restablecerlle os contrasinais alumnado de 1 de ASI.
DELEGAR CONTROL
117

Pero. Como saber cales son as OU que teen algunha delegacin de control. As OU teen unha ACL igual que as carpetas que indican que o que pode facer cada usuario/grupo nela. Para ver as ACLs de cada OU hai que activar as Caractersticas avanzadas de AD.
DELEGAR CONTROL
Non hai ningunha ficha de seguridade. Aumentaron o nmero de OU.
118

Unha vez delegado un control este pdese ver na ACL de seguridade da OU 1ASI.
DELEGAR CONTROL
Na ACL da OU 1ASI aparece o grupo G-1ASI-Profes con permisos especiais
Os permisos especiais de G-1ASI-Profes sobre 1ASI
119

Permitir que ANA poida introducir estacins no dominio. Por defecto os administradores son os que poden introducir estacins no dominio (Dar de alta un PC no dominio). Para iso, preciso dar permisos usuaria ANA sobre a OU computers.
DELEGAR CONTROL
120

Agora ANA poder meter estacins clientes (XP, 2000 prof.) no dominio. Por agora anda non hai ningunha estacin metida: a OU computers est baleira.
DELEGAR CONTROL
Ana ten permisos de creacin e eliminacin de obxectos secundarios na OU Computers. Estes permisos poden poerse directamente sen usar o asistente de delegacin de control.
121
WINDOWS 2003 15.- PUBLICAR IMPRESORAS

INSTALAR IMPRESORA NO SERVER E PUBLICALA NO DOMINIO
Seleccionar unha impresora calquera.
122

Configurar a impresora e compartila. Poer a ubicacin tal e como se indica.
123

Mirar se se publica no dominio e configurar a ACL de seguridade como se indica.
Quitouse o grupo Todos e pxose G-profes con CT
124
WINDOWS 2003 16.- INTRODUCIR UNHA ESTACIN NO DOMINIO

Antes de introducila no dominio dbese configurar o cliente DNS do cliente para que apunte a IP do servidor DNS que ten a informacin sobre o dominio onde se desexa introducir. Iniciar sesin cun administrador local.
ESTACI INTRODUCIR UNHA ESTACIN NO DOMINIO
Cliente IP: 10.3.2.0 Mask: 255.0.0.0 Servidor DNS: 10.3.1.0
Servidor IP: 10.3.1.0 Mask: 255.0.0.0 Servidor DNS: 10.3.1.0
125

O equipo que se vaia introducir no dominio pode ter un S.O. Windows 2000 (Prof, Server), XP, Windows 2003. No caso dos server (2000 server e 2003) non deben ter instalado o AD, ou sexa que son servidores pero sen executar dcpromo.
Observar os membros dos grupos administradores e usuarios locais antes de meter a estacin no dominio
126

Ir a propiedades de Meu PC. Tratar de meter a estacin no dominio con ANA. Para introducir unha estacin nun dominio (Dala de alta, algo parecido que se fai cun usuario) dbense ter permisos na OU Computers de Escritura. O equipo est, inicialmente, nun grupo de traballo: DSF.
Ana pode meter estacins no dominio, pero anda non iniciou sesin nunca, polo tanto non ten cambiado o contrasinal. Por iso da ese erro.
127

Volver a intentalo, pero co usuario administrador (do dominio).
O nome do equipo di XP a secas e nada mis.
Fixarse que en dominio ponse o nome DNS (dominio00.ga) e non o nome NETBIOS (dominio00). Neste ltimo caso o proceso de introducin levara mis tempo, pois tera que andar buscando por toda a rede quen o servidor de AD que xestiona ese dominio.
128

No servidor aparece na OU Computers de AD. A este novo obxecto tamn se lle asignou un SID. Tamn aparece no DNS
A zoa permite actualizacin seguras, pois est integrada en AD.
129

A sesin pdese iniciar con calquera dos usuarios locais da Estacin ou cos usuarios dados de alta no dominio.
SESI INICIAR SESIN POR PRIMEIRA VEZ NO CLIENTE
O cliente oferta a posibilidade de iniciar sesin con usuarios do propio cliente XP (este equipo) ou con usuarios que proceden do dominio (dominio00.ga)
Usuarios dados de alta no dominio
Usuarios dados de alta localmente no equipo
Ollo nos dous casos existe un usuario administrador, pero non o mesmo usuario, ademais os seus contrasinais poden ser distintos.
Cliente IP: 10.3.2.0 Mask: 255.0.0.0 Servidor DNS: 10.3.1.0
Servidor IP: 10.3.1.0 Mask: 255.0.0.0 Servidor DNS: 10.3.1.0
130

Neste caso vaise iniciar sesin co administrador do dominio (podera ser con outro usuario, pero para realizar funcins de administracin no cliente). Mirar quen forma parte dos grupos administradores e usuarios e o novo nome do equipo.
SESI INICIAR SESIN POR PRIMEIRA VEZ NO CLIENTE
Esta a razn pola que os administradores do dominio poden administrar este equipo.
Os usuarios do dominio van poder iniciar sesin, porque pertencen grupo usuarios local da mquina.
131

Lembrar que os G-1ASI-Profes tian un control delegado (poder modificar o contrasinal dos alumnos de 1ASI), pero como vai poder acceder un profesor AD?.
ADMINISTRAR O AD DENDE UN CLIENTE XP.
Na carpeta i386 de calquera CD de instalacin de Windows 2003, est un paquete de ferramentas de administracin de 2003 (ADMINPAK) que se poden instalar nun cliente XP, 2000 prof. NON FAI FALLA INSTALALOS NUN CLIENTE 2003 OU 2000 SERVER, POIS ESES XA TEEN TDALAS UTILIDADES INSTALADAS, SO QUE HAI QUE CHAMALAS DENDE O MMC
132
WINDOWS 2003 16.1- XESTIN REMOTA DO DOMINIO

Agora dende o XP xa se pode acceder o AD, cada usuario vai poder realizar cousas en funcin das ACLs sobre as OU.
ADMINISTRAR O AD DENDE UN CLIENTE XP.
133
WINDOWS 2003 16.2.- PUBLICAR IMPRESORA DE CLIENTE NO AD

igual que se fixo no server, vaise instalar un impresora (a cor) no cliente e publicala no dominio hora de compartila.
INSTALAR IMPRESORA NO CLIENTE E PUBLICALA NO DOMINIO
134

igual que se fixo no server, vaise instalar un impresora (a cor) no cliente e publicala no dominio hora compartila( proceso que se fai por defecto). Fixarse na ubicacin.
135

Revisar a configuracin da impresora.
Por defecto o grupo Todos ten s a posibilidade de imprimir.
136
WINDOWS 2003 17.- INICIAR SESIN NO CLIENTE

Ana: abc123.
Grupo
SESI INICIAR SESIN COA PROFESORA ANA POR PRIMEIRA VEZ.

Grupo Grupo
G-1ASI-Profes G-Usuarios G-Profes G-1DAI-Profes G-Outros-Profes
Descricin
Profes que imparten a 1 de ASI Profes que imparten a 1 de DAI Profes do centro que non imparten nin en DAI nin en ASI
Nome
Ana Xan Roi Ana
Nome completo
Lois Lois, Ana
Noa
Pin Lores, Noa
Volver a poerlle o mesmo contrasinal abc123. Non deixa repetir contrasinal. Activouse unha directiva que indica:
137

Poer contrasinal novo: abc123..

Ana entrar por primeira vez viselle executar o seu script de inicio de sesin: profes.bat, que est en netlogon do servidor.
138

Mirar Meu Pc, (Unidades, cotas, etc) e probar que pode e non pode facer en cada caso. Probar a crear unha carpeta no mdulo Fol de Pia de 1ASI
139

mesmo tempo entrar como administrador no servidor. Mirar como se creou en perfiles unha carpeta para Ana, cal o administrador non ten acceso.
Perfiles$
ACL Seguridade Administrador CT G-Usuarios C G-Instaladores D Ana Perfiles ACL Compartir Todos CT
ACL Seguridade Ana CT
Ana entrou por primeira vez neste cliente. Mirar o que sucede en \\ordenador\perfiles$
140

Ana vai configurar pxina de inicio do internet explorer e o mesmo tempo instalar unha impresora de rede.
Perfiles$
ACL Seguridade Administrador CT G-Usuarios C G-Instaladores D Ana Perfiles ACL Compartir Todos CT
CONFIGURACI ESTABLECER CONFIGURACINS PARA SEMPRE.
2 Cando Ana inicie sesin neste posto copiarselle da carpeta \\ordenador\perfiles$\ana o perfil e seguir tendo a mesma pxina de inicio que no outro PC. O mesmo coa impresora.
1 Ana ten iniciada a sesin neste cliente, e configura a sa pxina de inicio e a sa impresora por defecto. Cando peche eses cambios no perfil de Ana copiaranse carpeta \\ordenador\perfiles$\ana
141

Ana vai instalar unha impresora de rede, fixarse como aparecen publicadas no directorio activo na columna ubicacin.
142

Ana vai instalar unha impresora de rede, fixarse como aparecen publicadas no directorio activo na columna ubicacin.
Dobre clic
143

Iniciar sesin con Pia e cambiarlle o contrasinal (blanco por defecto non activarse en CSVDE contrasinal abc123.). Poerlle abc123... Observar o que pasa na carpeta perfiles do servidor.
ENTRAR COMO UNHA ALUMNA: PIA
Perfiles$
ACL Seguridade Administrador CT G-Usuarios C G-Instaladores D Ana
Pia
ACL Seguridade Pia CT
Pia entrou por primeira vez neste cliente. Mirar o que sucede en \\ordenador\perfiles$
144

Mirar o que ten en Meu PC. E ademais pode acceder a C: da mquina cliente, cousa que non interesa, solucionarase nun futuro con directivas.
A alumna Pia pode acceder a C: do cliente.
145

Pia desexa instalar a impresora da sala de servidores.
Pia non de G-Profes e por iso lle pide un nome de usuario para validarse, pois ela non ten permisos.
146

Os meus documentos est en local, pero cando Pia peche sesin copiarase todo Meus documentos carpeta do perfile de Pia que esta no servidor. Deste xeito se Pia ten 100 MB en Meus documentos pechar sesin debe esperar a que se copien eses 100 MB, mesmo cando a inicie noutro equipo. Solucionarase con directivas.
Por defecto as aplicacins gardan en Meus documentos e esta carpeta estn en local non nun servidor, polo tanto cando Pia cerre sesin copiarase todo isto seu perfil.
147

Ubicacin da carpeta Meus documentos.
En documents and settings existe unha carpeta por cada usuario que entra no sistema
148

Permitir mostrar ocultos, ....
PROPIEDADES DUNHA CARPETA
Activar mostrar carpetas ocultas, Desactivar buscar auto... Carpetas e impresoras de rede. Desactivar Utilizar uso compartido simple de arquivos
149

Na carpeta c:\Documents and settings\Pia almacnase o perfil de Pia. Se este mbil cpiase do servidor cando Pia inicia sesin no equipo e cpiase servidor cando Pia pecha sesin. Nesta carpeta almacnase, entre outras cousas, os favoritos de Pia, os seus documentos, as cousas que tea no escritorio, un acceso directo s documentos usados recentemente, historial de pxina visitadas en internet, etc...
PERFIL DUN USUARIO: PIA
Se aqu se crea algo, aparecer no escritorio de Pia, non no de outro usuario.
Os favoritos de internet de Pia Almacn por defecto dos documentos de Pia.
150

Pia crea dentro de c:\documents and settings\pia\escritorio. Esta aparecer no seu escritorio
Se Pa crease a carpeta no propio escritorio, esta aparecer na carpeta correspondente do seu perfil.
151

Mis informacin sobre o perfil de Pa.
O documento creado por Pa previamente. Onde se almacena o historial das pxinas de internet visitadas por Pa. navegar por internet vaise gardando informacin (texto, imaxes, etc) das pxinas visitadas.
152

Na carpeta Documents and settings existen das carpetas especiais: -Default User cando un usuario inicia sesin por primeira vez nun equipo a sa carpeta de perfil cpiase con contido de Default User: default user. -All users se interesa, por exemplo, poer un acceso directo calculadora no escritorio para tdolos usuarios que usan All users: a mquina (usuarios que xa iniciaron sesin ou que a iniciarn nun futuro) aconsellable e poer o acceso directo na carpeta escritorio de All users, pois todo canto a estea aparecer para tdolos usuarios da mquina.
DEFAULT USER e ALL USERS
153
WINDOWS 2003 18.- DIRECTIVAS

As directivas aplicadas sobre unha OU ou sobre o dominio divdese en Configuracin de equipo (para aplicar s equipos que estean na OU ou dominio e nas sas ramas), e Configuracin de usuario (aplicarase s usuarios da OU ou dominio e nas sas ramas). As directivas de dominio afectan a todo o dominio, pois del colga toda OU. Afecta tanto a equipos como a usuarios, pois esas OU conteen deses tipos de obxectos.
AS DIRECTIVAS POR DEFECTO NO DOMINIO
154

Directivas de contrasinal para todos os equipos do dominio includo o controlador principal.
AS DIRECTIVAS POR DEFECTO NO DOMINIO
A directiva de bloqueo de conta foi modificada polo administrador.
155

Observar a configuracin da directiva de contraseas
AS DIRECTIVAS POR DEFECTO NA OU CONTROLADORES DE DOMINIO

Cando unha directiva non est definida aplcase o que indique a mesma directiva aplicada nun obxecto superior, neste caso no dominio. A axuda de cada directiva da unha descricin e indica cales son os valores predeterminados.
156

Que todo usuario do dominio tea por pxina de inicio www.edu.xunta.es e que non poida modificar a configuracin no internet explorer. Crearase un novo contedor de directivas para estas directivas.
CREAR UNHA DIRECTIVA PARA TODO O DOMINIO
Esta directiva de usuario e non de equipo e aplcase a todo usuario que estea no dominio salvo que nalgunha OU inferior se indique o contrario.
157

Finalmente falta deshabilitar a ficha do Explorer onde se configura a pxina de inicio.
CREAR UNHA DIRECTIVA PARA TODO O DOMINIO
158

Evitar que os usuarios poidan entrar en carpetas inferiores anda que tean permisos nelas se non o teen nas superiores. Esta directiva est aplicada sobre a OU Domain Controllers
CREAR UNHA DIRECTIVA PARA O CONTROLADOR PRINCIPAL DE DOMINIO.
Por defecto as e como est configurada esta directiva sobre os controladores de dominio. Hai que quitar a todos e usuarios autentificados.
159

T TE PERMITIR QUE TDOLOS USUARIOS TEAN DOCUMENTOS VINCULADO MEUS DOCUMENTOS CO SEU HOME.
Deste xeito os usuarios anda que garden en Meus documentos en realidade estarano a facer no seu HOME e non na carpeta do seu perfil local. Esta directiva est aplicada sobre a OU Usuarios, hai que crear o contenedor. Os grupos G-Instaladores e Administradores non teen HOME
160

IMPEDIR ALUMNADO ACCEDER A C: DO CLIENTE
Esta directiva aplcase sobre a OU alumnos.
161

UBICACI UBICACIN DOS CONTEDORES DE DIRECTIVAS.
En sysvol almacnanse as directivas para que os clientes poidan acceder a elas.
162

GPUPDATE.
Cando se modifican directivas estas poden non ser aplicadas ata un tempo de 90 minutos para forzar a aplicacin das directivas s hai que executar GPUDATE. O alumno dar dereitos o profesor ROI para entrar no servidor de dominio fisicamente e sen reiniciar o profesor Roi debe entrar.
163

ENTRAR COMO ANA NO CLIENTE XP
Comprobar: -que Meus documentos apunta seu home. -- que o explorador web ten por pxina de inicio www.edu.xunta.es e que non se pode modificar.
A pxina de inicio www.edu.xunta.es e non deixa modificala.
164

IMPEDIR ACCESO A F:
O alumno debe realizar as tarefas oportunas para que na ltima imaxe da transparencia 270 apareza Restrinxir s unidade F:
165
WINDOWS 2003 18.1- PLANTILLAS DE SEGURIDADE

Co sistema veen varias plantillas con niveis de seguridade distintas. Neste caso vaise crear unha nova que que os ordenadores clientes non amosen ultimo usuario que entrou. Usar o complemento Plantillas de seguridade
CREAR UNHA PLANTILLA DE DIRECTIVAS PARA APLICAR A UNHA OU QUE CONTEA EQUIPOS NTE CONTE
166

O sistema xa ven cun conxunto de plantillas predeterminadas. P.e. HiSecDc.inf (Alta seguridade para controlador de dom.)
Plantillas predeterminadas.
167

Crear a plantilla que nos ocupa: Que non apareza o ltimo nome de usuario que entrou nun equipo. Poderase modificar unha existente, pero esa ven con mis directivas, e s nos interesa a do enunciado.
168

Observar a plantilla creada (Modificar nos equipos nos que se aplique unha entrada no rexistro).
A DIRECTIVA CREADA.
169

Esta aplicarase sobre a OU ordenadores (Que ter os equipos da organizacin).
APLICAR A PLANTILLA CREADA.
170
WINDOWS 2003 18.2.- INSTALACIN REMOTA DE SOFTWARE

INSTALACI .msi msi. OBTER UN ARQUIVO DE INSTALACIN .msi. Moitas das aplicacins veen empaquetas con extesin .msi. Pero hai veces nas que se desexa instalara unha aplicacin remotamente e esta non ven empaquetada neste formato. Afortunadamente pdese xerar. Nestes exemplos vaise xerar unha para o winrar. 1.- Hai que crear unha carpeta compartida dende a que se vai distribur o sw a instalar. Neste caso creouse no servidor unha carpeta compartida chamada software con ACL de seguridade por defecto e ACL de compartir Todos CT. 2.- Dbese dispoer dun equipo cliente (neste exemplo xp) cunha instalacin limpa (s sistema operativo e Service Packs). Pois nel vaise construr o empaquetado msi do winrar, este farase por diferenzas. 1.- Faise unha imaxe do PC. 2.- Instlase a aplicacin (win rar, neste caso) 3.- Faise unha nova imaxe do PC 4.- Xenrase o msi co resultado da diferenza entre o paso 3 e o 1. 3.- Instalar unha aplicacin que permita realizar os pasos previos. Para este caso escolleuse WinInstall Le de Seagate Software. (Esta ven no cd do 2000 server - VALUEADD\3RDPARTY\MGMT e non co 2003).
A carpeta compartida
Instalacin de WinInstall LE nun cliente XP.
171

A instantnea antes unha foto do sistema antes de instalar a aplicacin.
ANTES CREAR INSTANTANEA ANTES.
Lanzar Veritas Discover Nome da aplicacin e onde se almacenar o paquete Onde se vai almacenar a foto.
En que unidade se vai instalar a aplicacin.
172

Indicar que directorios exclur da foto.
ANTES CREAR INSTANTANEA ANTES.
Instantnea Antes creada
173

Instalar o winrar (se o instalable se copia a C: despois da foto anterior, dbese borrar e baleirar a papeleira depois de instalar a aplicacin, pois senn o instalable tamn se empaquetar)
INSTALAR WINRAR
Instalar o WinRar
174

Crea unha foto do sistema tras a instalacin e logo coas diferenzas entre despois e antes crea o msi en \\2k3-00\software.
DESPOIS CREAR INSTANTANEA DESPOIS.
Remate do proceso e d un aviso sobre un acceso directo.
175

No servidor onde se creou a carpeta debe estar o empaquetado de win rar 2-71.
.msi msi. O ARQUIVO EMPAQUETADO .msi.
176

S se poden publicar aplicacins para usuarios e asignalas para usuarios e equipos. Dito de outra maneira, a un equipo s se lle pode asignar unha aplicacin e os usuarios asignalas e publicalas. As diferenzas estn na seguinte tboa. APLICACI APLICACINS PUBLICADAS USUARIOS Dispo Dispoibilidade so software Instalaci Instalacin do software Instalaci aplicaci Instalacin da aplicacin abrir extensi un arquivo con extensin asociada programa Eliminaci Eliminacin do sw polo usuario
Despois do seguinte inicio de sesin Mediante Agregar e quitar programas Si
APLICACI PUBLICAR / ASIGNAR APLICACINS.
ASIGNADAS USUARIOS
Despois do seguinte inicio de sesin A primeira vez que se use Si
EQUIPOS
Despois do seguinte reinicio O sw xa est instalado O sw xa est instalado
Agregar e quitar programas
Si, pero s durante a sesin. Dispoible no seguinte inicio de sesin.
S polos administradores locais do equipo
177

Na OU ordenadores est o equipo XP e viselle asignar a aplicacin empaquetada do WinRar 2.71. Para iso crease un novo contedor de directivas Instalar sw e logo configurase a directiva Instalacin de software de equipo.
APLICACI ASIGNAR UNHA APLICACIN OU ORDENADORES
178

Seleccionar en \\ordenador\software o paquete .msi. Non ofrece a posibilidade de publicar a aplicacin.
Se se move o ordenador XP da OU ordenadores que desinstale a aplicacin.
Distintas pantallas de configuracin da distribucin, unha delas a de actualizacins, por se esta aplicacin reempraza a algunha versin anterior de winrar.
179

A directiva cun paquete de distribucin de software..
180

Dbese reiniciar o equipo (consultar tboa anterior) para que no inicio do equipo se instale a aplicacin.
INSTALACI INSTALACIN NO EQUIPO CLIENTE
Antes de iniciar sesin con calquera usuario aplcanse as directivas de equipo. Iniciar sesin con calquera usuario e comprobar como est instalado o Win Rar.
181

A aplicacin (winrar) inciase coma calquera outra que fose instalada na mquina.
APLICACI LANZAR A APLICACIN
182

desinstalar a aplicacin pdense escoller das opcins:
APLICACI DESINSTALAR A APLICACIN.
Opcins de desinstalacin da aplicacin: 1.- Que a desinstale de tdolos equipos nos que est instalada no prximo reinicio de equipo. 2.- Que a deixe quedar nos equipos que xa est instalada, pero que non se instale en ningn equipo mis. Reiniciar o equipo (XP) e comprobar que desinstala a aplicacin. Entrar no XP e comprobar que non est instalada. (Poden quedar iconos soltos)
183

Nesta ocasin viselle publicar alumnado a aplicacin Win Rar, non s outros usuarios.
APLICACI PUBLICAR UNHA APLICACIN PARA USUARIOS: OU ALUMNOS
184

Nesta ocasin viselle publicar alumnado a aplicacin Win Rar, non s outros usuarios.
APLICACI PUBLICAR UNHA APLICACIN PARA USUARIOS: OU ALUMNOS
Ofrece a posibilidade de publicar ou asignar aplicacin.
185

Antes de que un alumno instale a aplicacin, por parte de algn alumno, dbese dar permiso de CT s usuarios do equipo nos arquivos (todos eles) que se indican na imaxe.
PERMISOS.
186

Entrar con usuario alumno (Pa por exemplo) e agregar a aplicacin publicada en Agregar e quitar programas
APLICACI INSTALAR A APLICACIN
187

APLICACI LANZAR A APLICACIN
188

O alumno debe actualizar a publicacin para s alumnos ltima versin de Winrar.
ACTUALIZAR O SOFTWARE
189
WINDOWS 2003 19.- PARTICINS DE AD

Cando se instalou o AD unha das pantallas de configuracin preguntaba onde se desexaba gardar a Base de Datos de AD (transparencia 140). A base de datos chmase NTDS.DIT e est , por defecto, en c:\windows\ntds. Este arquivo copiado no momento de promover o equipo a controlador de dominio de c:\windows\system32. O arquivo est dividido en varios anacos e cada un almacena informacin de distinto tipo, cada un deses anacos chmase PARTICIN DE AD ou PARTICI AD. CONTEXTO DE AD Todo controlador de dominio ten ese arquivo, pero non ten porque ter tdalas particins. Para xestionar cada particin existen distintos programas.
PARTICI O ARQUIVO NTDS.DIT E AS PARTICINS
190

O esquema e como definir nunha BD as tboas que a compoen (Obxectos en AD) e os seus campos (Atributos). Para xestionar o esquema dbese instalar o compoente (utilidade de mmc) que o xestiona.
O ESQUEMA DE AD
191

Con este complemento pdense ver tdolos obxectos (clases) que compoen o AD e os atributos que ten cada clase. O alumno debe crear unha clase (obxecto) mesa onde se poidan rexistrar as medidas (alto, ancho, fondo) e o material.
O ESQUEMA DE AD
IDENTIFICACI IDENTIFICACIN DE OBXECTO: Cada obxecto do esquema debe ser nico. Cada organizacin debe rexistrarse en ISO ou ANSI, estes asnalle un nmero. Logo cada organizacin asigna un nmero para cada obxecto creado. 1.- ISO 2.- ANSI 840.- Estados unidos xxxx.- Empresa
192

Serve para ver as particins (anacos ou contextos de nome) nos que est dividido AD, ou o que o mesmo NTDS.DIT Para instalar a utilidade dbese instalar o paquete SUPTOOLs que ven no CD de 2003: \support\tools\suptools.msi Con este paquete veen moitas mais utilidades que a indicada.
A UTILIDADE ADSI Edit
193

Hai que conectarse servidor e indicar que particin ou contexto de nome (Naming Context) se desexa seleccionar.
A UTILIDADE ADSI Edit
Particins do dominio (anacos do arquivo NTDS.DIT)
194

PARTICI O ARQUIVO NTDS.DIT E AS PARTICINS
PARTICI PARTICINS NDTS.DIT Cont Contn
Info sobre o dominio (Usuarios, grupos equipos, etc) Info sobre a configuracin de todo o bosque, sitios e conexins de replicacin O esquema para todo o bosque
Rplicas
Automaticamente en todo controlador do mesmo dominio Automaticamente por todo dominio do bosque. Automaticamente por todo dominio do bosque.
Realizar cambios en:

Calquera controlador de dominio do mesmo dominio Calquera controlador de dominio da empresa Nun s controlador de todo o bosque chamado MESTRE DE ESQUEMAS Ningn controlador pode modificar o GC, pois este constrese automaticamente. de s lectura.
Admin Adminstrase con:

Usuarios e equipos de AD, ADSI Edit
Directorio de dominio Directorio de configuraci configuracin Directorio de esquema
Complemento Esquema
Cat Catlogo global (GC)
Unha copia parcial de tdalas particins de dominio, isto contn tdolos obxectos do bosque, pero non tdolos atributos dese obxecto. As si se precisa coecer a que grupo pertence un usuario, non se precisa preguntarllo o equipo que xestiona. Almacenar informacin sobre as aplicacins. P.e. do DNS cando se integra en AD.
Existe no primeiro controlador de dominio de todo o bosque e coa utilidade Sitios e servizos de Active Directory,pdese indicar en que outros controladores se desexa unha copia
Sitios e servizos de Active Directory
Directorio de aplicaci aplicacins
Segundo se configure con NTDSutil
Calquera controlador de dominio.
NTDSutil (lia de comandos)
195
WINDOWS 2003 20.- MESTRES DE OPERACINS

AD un sistema multimestre, isto , permite que en calquera controlador de dominio se poida escribir na BD NTDS.dit. Un mestre aquel que ten encargada a xestin dunha parte do dominio. Existen 5 mestres. Mestres N de mestres
1 por bosque
MULTIMESTRE
Funci Funcin
o nico que ten permisos para escribir no esquema (hai que ser membro do grupo Admins. do esquema)
Repl Replcase en
Todos os demais controladores (Todos teen unha copia do esquema, pero s nun se modifica) Por todo o bosque
Admin Adminstrase con / Transferir con:

Complemento esquema.
Esquemas
1 por bosque
Nomes de dominio
1 por dominio
Para agregar dominios novos a un bosque ou eliminar existentes. Se este mestre non est dispoible non se poder agregar / eliminar. Realzase cada vez que se executa dcpromo o novo controlador porase en contacto co mestre para rexistrarse / borrarse O mestre RID do dominio emite un conxunto de RIDs (Identificadores relativos cos que se vai construr o SID) para cada controlador que tea o dominio. As SID= N Identificador do dominio + RID emitido.
Confianzas e dominios de Active Directory
Por todo o dominio
RID
1 por dominio
Emulador PDC Infraestructura

1 por dominio
Para poder coexistir con controladores BDC (Windows NT). Para sincronizar os contrasinais: un cambio de contrasinal nun controlador de dominio envase mestre PDC e este replcao s demais. Se un usuario cambia de CN (common name) hai que reflectilo en tdolos grupos os que pertence de distinto dominio.
Por todo o dominio
Usuarios e equipos de Active Directory.
Todos os controladores de dominio do bosque.
196
WINDOWS 2003 20.- MESTRES DE OPERACINS

Exemplo da xestin do mestre de RID, PDC e Infraestrutura. Se se desexase cambiar mestre de algunha desas funcins terase que premer en cambiar e seleccionar o novo mestre.
MULTIMESTRE
197
WINDOWS 2003 21.- RELACINS DE CONFIANZA

EST PODER VALIDARSE DENDE UN CLIENTE QUE EST NOUTRO DOMINIO.
Obsrvese o exemplo o dominio PastorXX.ga ten un usuario pepe cunha directiva que lle impide ver C:. Por outra banda existe un subdominio de PastorXX.ga chamado cantonXX.pastorXX.ga que ten unha estacin no dominio (xpDXX.cantonXX.pastorXX.ga). Pepe poderase sentar nesa estacin e validarse no seu dominio (pastorXX.ga) como se o estivera nunha estacin que dependese do seu dominio (xpDXX.pastorXX.ga). O mesmo pasa con Noa. Tdolos dominios que pertencen mesmo bosque establecen relacins de confianza entre eles. Estas relacins son transitivas: Se A confa en B e B confa en C entn A confa en C. Tamn se podera establecer unha relacin de confianza explcita entre A e C. As relacins de confianza adminstranse coa utilidade Dominios e confianzas de Active Directory.
PastorXX.ga ServerAXX DNS Server
(Ten info sobre tdolos dominios do bosque)
User: Pepe
Directiva: Ocultar MI-PC
Neste posto, pdense validar: Pepe (SEN MI PC) Noa
IP:10.3.1.0/8 DNS:10.0.0.1 xpBXX.pastorXX.ga
cantonXX.pastorXX.ga ServerEXX User: Noa DNS:10.3.1.0
Nestes postos, pdense validar:
Pepe (NON TEN MI PC) Noa
xpDXX.cantonXX.pastorXX.ga
198
WINDOWS 2003 21.- RELACINS DE CONFIANZA

Crear dous dominios en dous bosques distintos. Os usuarios galicaXX.ga podern conectarse seu dominio dende postos conectados a pastorXX.ga pero non viceversa.
PastorXX.ga Neste posto, pdense validar: Pepe (SEN MI PC) ROI(Pola rel. confian) ServerAXX DNS Server
RELACI ESTABLECER UNHA RELACIN DE CONFIANZA UNIDIRECCIONAL
1 4
Relacin de Confianza Unidireccional
galiciaXX.ga
3 2
ServerFXX DNS Server
User: Pepe
Os usuarios de galicia.ga pdense validar nos equipos de pastorXX.ga. Pero non revs. Neste posto, pdense validar: ROI Pero non: Pepe(Non hai relac de confian.)
User: Roi IP:10.3.2.0/8 DNS:12.3.2.0
xpBXX.pastorXX.ga
IP:10.3.1.0/8 DNS:10.0.0.1
xpEXX.galiciaXX.ga
2
199
WINDOWS 2003 22.- CREAR SUBDOMINIOS, RBORES, ETC.

Crear dos dominios en dous bosques distintos. Os usuarios galicaXX.ga podern conectarse seu dominio dende postos conectados a pastorXX.ga per non viceversa.
PastorXX.ga
RELACI ESTABLECER UNHA RELACIN DE CONFIANZA UNIDIRECCIONAL
Dar de alta no DNS a: cantonXX.pastorXX.ga e permitir actualizacins dinmicas
ServerAXX DNS Server

User: Pepe
Neste posto, pdense validar: Pepe (SEN MI PC) Noa
IP:10.3.1.0/8 DNS:10.0.0.1 xpBXX.pastorXX.ga
cantonXX.pastorXX.ga
pastor-00.ga
canton-00.Pastor-00.ga
Seleccionar que se desexa crear un dominio secundario e poerlle por nome cantonXX.pastorXX.ga. Non esquecer que cliente DNS debe apuntar servidor DNS de arriba. O resto (dar usuarios de alta, equipos, etc) igual a ter un s dominio.
ServerEXX User: Noa DNS:10.3.1.0
Pepe (NON TEN MI PC) Noa
200
BOSQUE DE DOMINIOS CON 2 RBORES.
WINDOWS 2003
Relacins de confianza automticas e transitivas rbore sermaticaXX.ga

sermaticaXX.ga ServerBXX ServerCXX Parello User: Rosa
DNS:10.3.1.0 Directiva: C Inaccesible
BOSQUE: cunha soa rbore sen subdominios nin parellos
rbore pastorXX.ga con dous subdominios

PastorXX.ga Neste posto, pdense validar: Rosa (SEN C:) Pepe (SEN MI PC) Ana Noa ROI(Pola rel. confian) ServerAXX DNS Server
(Ten info sobre tdolos dominios do bosque) Relacin de Confianza Unidireccional
rbore galiciaXX.ga
galiciaXX.ga
1 4
3 2
ServerFXX DNS Server
User: Rosa
DNS:10.3.1.0 Directiva: C Inaccesible
User: Pepe
Os usuarios de galicia.ga pdense validar nos equipos de pastorXX.ga. Pero non revs nin nos subdominios de pastorXX.ga nin noutras rbores do bosque
User: Roi IP:10.3.2.0/8 DNS:12.3.2.0
xpBXX.pastorXX.ga xpAXX.sermaticaXX.ga A informacin sobre cada dominio est almacenada no Servidor de DNS de ServerAXX
IP:10.3.1.0/8 DNS:10.0.0.1
xpEXX.galiciaXX.ga Neste posto, pdense validar: ROI Pero non: Pepe(Non hai relac de confian.) Rosa Ana Noa
Neste posto, pdense validar: Rosa (NON ACCEDE A C:) Pepe (NON TEN MI PC) Ana Noa ROI (Non entrara)
palaveaXX.pastorXX.ga ServerDXX User: Ana DNS:10.3.1.0
cantonXX.pastorXX.ga ServerEXX User: Noa DNS:10.3.1.0
xpCXX.palaveaXX.pastorXX.ga
Rosa (NON ACCEDE A C:) Pepe (NON TEN MI PC) Ana Noa Pero non ROI
xpDXX.cantonXX.pastorXX.ga
201
WINDOWS 2003 23.- BIBLIOGRAFA.

t Active Directory para Microsofr Windows 2003 Referencia tcnica
McGraw-Hill ISBN:84-481-3954-2 Stan Reimer Mike Mulcare 2003
Gu (Running Running) Gua Completa Microsoft Windows 2003 (Running)

McGraw-Hill ISBN:84-481-3953-4 Charlie Russel Sharon Crawford Jason Gerend 2003
202
WINDOWS 2003 23.- FALTA

MMC xestin AD nun 2003 Nova tboa sintese das das dos mestres e particins Instalacin php.msi asignada usuario FS Parellos, sub, arbore, bosque. Xestion procesos, memoria Von newman Perfiles locais batch
203

01 - Windows 2003 Dominios

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

01 - Windows 2003 Dominios

Uploaded by

Copyright:

Available Formats

Windows 2003 dominios

IES San Clemente Ver. 2.6 (29-11-2005)

Profesor: Carlos Carrin lvarez

WINDOWS 2003 NDICE

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Descrici Descricin problema

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Dese Deseo previo

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

s organizaci Nomes de grupos e a sa organizacin

Grupos para resolver problema

Profes que imparten a 1 de ASI

<Profes> <Oficinistas> <Profes> <Usuarios>

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

<Alumnos> <M <Mdulos>

<Alumnos> <M <Mdulos>

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Escoller as unidades onde se vai crear o esquema.

<Alumnos> <M <Mdulos>

<Alumnos> <M <Mdulos>

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Comun Profes$ Profes$

<Alumnos> <M <Mdulos>

<Alumnos> <M <Mdulos>

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Permisos para as carpetas (ACL de seguridade e de compartir)

Usuarios ACL Seguridade Administrador CT G-Usuarios LX G-Instaladores D

ACL Seguridade Administrador CT G-Usuarios LX G-Instaladores D

ACL Compartir Todos CT

ACL Seguridade Administrador CT G-Profes LX G-Pas LX G-Instaladores D

ACL Compartir Todos CT

ACL ACL Seguridade Administrador CT Compartir G-Usuarios M Todos CT G-Instaladores D

<M <Mdulos> CT LX M LXE D

<Alumnos> <M <Mdulos>

<Alumnos> <M <Mdulos>

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Permisos nas subcarpetas de usuarios

ACL Seguridade Administrador CT G-Usuarios LX G-Instaladores D

ACL Seguridade Administrador CT <pas> LXE Creator Owner CT

ACL Seguridade Administrador CT G-1ASI-Alum LX G-1ASI-Profes LX

ACL Seguridade Administrador CT <profe> LXE Creator Owner CT

<Alumnos> ACL Seguridade Administrador CT <Alumno> LXE Creator Owner CT G-1ASI-Profes LX

ACL Seguridade Administrador CT <Alumno> LX G-1ASI-Profes LX

ACL Seguridade Administrador CT <Alumno> LX G-1DAI-Profes LX

<Alumnos> ACL Seguridade Administrador CT <Alumno> LXE Creator Owner CT G-1DAI-Profes LX

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Permisos nas subcarpetas de comun

Comun ACL Compartir Todos CT

ACL Seguridade Administrador CT G-Usuarios LX G-Instaladores D

ACL Seguridade Administrador CT G-Usuarios LXE Creator owner CT

ACL Seguridade Administrador CT G-Profes LX G-Alumnos LX

ACL Seguridade Administrador CT G-Profes LX G-Alumnos LX

ACL Seguridade Administrador CT G-1ASI-Profes LXE Creator Owner CT G-Profes LX G-Alumnos LX

ACL Seguridade Administrador CT G-1DAI-Profes LXE Creator Owner CT G-Profes LX G-Alumnos LX

WINDOWS 2003 8.- Deseo do esquema a implantar con AD

Permisos nas subcarpetas de comunprofes

ACL Seguridade Administrador CT G-Profes LX G-Pas LX G-Instaladores D

ACL Compartir Todos CT

_Borrase_Os_Luns ACL Seguridade Administrador CT G-profes C G-Pas C

Departamentos ACL Seguridade Administrador CT G-profes LX

Oficina ACL Seguridade Administrador CT G-Pas M G-Profes LX

Direccin ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT

Actas ACL Seguridade Administrador CT G-Direccion LXE Creator owner CT G-Usuarios LX

<Departamentos> ACL Seguridade Administrador CT G-profes LXE Creator owner CT