manualdeinstalacindeactivedirectoryenwindowsserver2008r2-131211080915-phpapp01

63
INSTALACION Y CONFIGURACION DE DIRECTORIOS ACTIVOS EN WINDOWS SERVER 2008 R2 REALIZADO POR ANGIE VIVIANA LONDOÑO ÁLVAREZ. NILSON ANDRÉS LONDOÑO HERNANDEZ. CAMILA MARTÍNEZ LÓPEZ. TECNOLOGIA EN ADMINISTRACION DE REDES DE DATOS FICHA: 455596. INSTRUCTOR MAURICIO ORTIZ MORALES SERVICIO NACIONAL DE APRENDIZAJE (SENA) CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE) MEDELLÍN -ANTIOQUIA. 2013

Transcript of manualdeinstalacindeactivedirectoryenwindowsserver2008r2-131211080915-phpapp01

  • INSTALACION Y CONFIGURACION DE

    DIRECTORIOS ACTIVOS EN WINDOWS SERVER 2008 R2

    REALIZADO POR

    ANGIE VIVIANA LONDOO LVAREZ.

    NILSON ANDRS LONDOO HERNANDEZ.

    CAMILA MARTNEZ LPEZ.

    TECNOLOGIA EN ADMINISTRACION DE REDES DE DATOS

    FICHA: 455596.

    INSTRUCTOR

    MAURICIO ORTIZ MORALES

    SERVICIO NACIONAL DE APRENDIZAJE (SENA)

    CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL (CESGE)

    MEDELLN -ANTIOQUIA.

    2013

  • INTRODUCCIN.

    El directorio activo o Active Directory es el servicio de directorio de una red en la familia Windows, este servicio de red almacena los recursos de la red tales como, dispositivos perifricos, usuarios, archivos, bases de datos, aplicaciones, as que se convierte en un medio para de forma centralizada organizar, controlar y administrar eficientemente los recursos de red aadiendo que ayuda a monotorizar y localizar los servicios que all se encuentran. Al instalar un Directorio Activo en un sistema Windows Server en la red, convertimos a dichos equipos en Servidores de dominio o en los controladores de dominio (Domain Controllers), los dems equipos de la red se convierten en los servidores miembro del Directorio Activo para as recibir toda la informacin almacenada accesible siempre y cuando se autentique correctamente en los controladores de dominio.

  • Antes de empezar con la instalacin del Directorio Activo debemos tener configurado un Servidor DNS as como una interfaz de red configurada con una direccin IP esttica.

  • Instalacin de Active Directory DCPromo es el asistente de instalacin del servicio de Directorio Activo y es un archivo ejecutable que se encuentra en la carpeta System32 en Windows. Para ejecutar adecuadamente el Active Directory es necesario tener instalado un servidor DNS en la red, de lo contrario, si DNS no est disponible para resolucin de nombres, se pedir que se tenga un servidor DNS durante la ejecucin del DCPromo. Para empezar con la instalacin del directorio activo nos dirigimos a cargar el asistente del mismo, hay varias formas de hacerlo, una por ejemplo es ingresando a la consola del sistema dcpromo.exe dcpromo, tambin podemos ingresar el mismo comando mediante la herramienta de ejecucin en Windows, Start > Run o tecla de Windows + R.

    DCPromo empezar a instalar los servicios de dominio del Active Directory y otros componentes requeridos.

    A continuacin, tendremos el asistente de instalacin, seleccionamos Next para continuar o Cancel para cancelar la instalacin, tambin seleccionaremos el modo de instalacin avanzada para tener mayor control de la instalacin del servicio.

  • En la siguiente ventana se nos informar de las caractersticas de seguridad mejoradas y la compatibilidad con el sistema operativo, pulsamos Next para continuar.

  • Seleccionamos la opcin de crear un nuevo dominio en un nuevo bosque ya que estamos creando un nuevo controlador de dominio y no hay bosque existente en la red. Continuamos con Next.

    Proporcionamos un nombre para el nuevo dominio raz y pulsamos Next para continuar.

  • Esperamos unos instantes mientras el asistente verifica si el dominio utilizado anteriormente ya existe.

    Ingresamos el nombre de la NetBIOS del dominio (con este nombre el equipo ser identificado en la red) pulsamos Next para continuar.

    En este paso, estableceremos el nivel de funcionalidad del bosque, por cada nivel funcional el asistente mostrar una descripcin, de esta forma podemos determinar el nivel correcto para las necesidades que tengamos, cuanto ms alto sea el nivel del bosque, ms caractersticas disponibles, en nuestro caso, seleccionamos Windows

  • Server 2008 R2 y continuamos con Next.

    Esperamos que el sistema analice la existencia de DNS y su configuracin.

    Ahora, el asistente comprobar si existe un DNS instalado en el servidor local, es decir, el mismo donde se instalar el controlador de dominio, si no se tiene instalado, al final el asistente instalar un DNS. Continuamos Next.

  • En esta ventana podemos modificar el sitio en nuestro equipo donde se alojaran las bases de datos de Active Directory y los archivos de registro. Microsoft recomienda almacenar los archivos de registro en un lugar o volumen diferente del que est la base de datos. Damos clic en Next y continuamos.

  • El paso siguiente ser configurar una contrasea para la restauracin del servicio de directorio, cabe recordar que esta contrasea no es la del servicio de dominio y ser necesaria en el caso de que tenga que quitar Active Directory del servidor mediante DCPromo.

  • Ahora, el asistente nos har un breve resumen de lo hasta el momento es nuestra instalacin del Active Directory, esta configuracin puede ser exportada a un archivo de configuracin que se puede utilizar en la instalacin del Active Directory por medio de la lnea de comandos.

    Esperamos mientras se instalan todos los componentes pertinentes para la ejecucin del Active Directory como lo son la base de datos y archivos de configuracin; Marcamos la casilla de Reiniciar Ahora.

  • Luego de reiniciar podemos verificar que el equipo ya tiene su nombre de NetBIOS configurado correctamente.

    Diagrama para la implementacin de la estructura LDAP.

  • Planteamiento del problema. Directivas. 1. Cada departamento de la empresa GUSFRABA ser agregado a la estructura lgica del Active Directory a travs de unidades organizativas. Cada unidad organizativa anidar otras unidades organizativas que permitirn tener control sobre los recursos de red de cada dependencia. Usuarios y Grupos, Impresoras, Carpetas Compartidas, Equipos. Tenga en cuenta que dentro de cada departamento existen por lo menos 10 usuarios y que la informacin de cada usuario dentro del directorio debe ser detallada. Para empezar con la administracin del directorio activo nos dirigimos a Group Policy Management (Administrador de polticas de grupo) mediante Start > Administrative Tools > Group Policy Management.

  • Dentro del men del bosque ingresamos a Domains y dentro del nuestro controlador de dominio gusfraba.lab damos clic derecho y seleccionamos New Organizational Unit (Nueva unidad organizativa)

    Ingresamos el nombre de la unidad organizativa en el campo y pulsamos OK. Segn nuestro diagrama Direccin general contendr los dems departamentos.

    Dentro de la unidad organizativa DIRECCIN GENERAL creamos una nueva unidad organizativa.

  • Ingresamos el nombre de Sistemas

    Seguimos de forma secuencial estos pasos hasta completar las primeras unidades organizativas del diagrama.

    Segn nuestro diagrama, dentro de las unidades organizativas Direccin Comercial, Direccin de Marketing y Direccin Tcnica existirn otras unidades organizativas. Dentro de la unidad organizativa Direccin General creamos una nueva unidad organizativa.

  • Ingresamos el nombre de la unidad organizativa.

    Hacemos secuencialmente estos pasos hasta tener el siguiente resultado el cual corresponde a las exigencias del diagrama.

  • Cada unidad alojar otras unidades organizativas. Las cuales permitirn acceder un control sobre los recursos de red de cada dependencia. Estos alojamientos sern: Usuarios y grupos, equipos, impresoras y carpetas compartidas. Creamos de la misma manera las nuevas unidades organizativas, clic derecho sobre la unidad organizativa New Organizational Unit, nombre de la nueva unidad organizativa y OK para finalizar; Al final debemos tener una vista como la siguiente de nuestras unidades organizativas o estructura de LDAP.

  • Tenga en cuenta que dentro de cada departamento deben existir por lo menos 10 usuarios y que la informacin de cada usuario en el directorio debe ser detallada. Para la creacin de los usuarios masivamente utilizamos la herramienta de lnea de comandos dsadd, esta herramienta fue integrada con Windows Server 2008 y est disponible siempre y cuando se posea en la mquina los servicios de Active Directory instalados. La sintaxis del comando dsadd es la siguiente: dssadd user dsadd user [-samid ] [-upn ] [-fn ] [-mi ] [-ln ] [-empid ] [-pwd { | *}] [-desc ] [-office ] [-tel ] [-email ] [-mustchpwd {yes | no}] [-disabled {yes | no}] UserDN Especifica el nombre completo del usuario con el que ser agregado. SAMName Especifica el Manager (SAM) nombre de cuentas de seguridad como el nombre de cuenta SAM nico para este usuario. UPN Consiste en el nombre principal del usuario que se desea agregar.

  • FirstName Especifica el primer nombre del usuario al que se desea agregar. Initial Especifica la inicial del segundo nombre del usuario que se agregar. LastName Especifica el apellido del usuario. EmployeeID Indica el ID de empleado. Pasword Indica la contrasea del usuario. Description Aade una descripcin del usuario, si se va a ingresar una oracin como descripcin se debe aadir entre los signos comillas. Office Especifica la oficina del usuario. PhoneNumber Especifica el nmero telefnico del usuario. Email Especifica el correo electrnico del usuario. mustchpwd Especifica si el usuario debe cambiar su contrasea la prxima vez que inicie sesin, dependiendo del caso se elige yes S, no NO. disabled Especifica si la cuenta estar habilitada o deshabilitada, dependiendo de la opcin que se seleccione, yes S, no NO. Existen otras opciones para agregar ms informacin durante la creacin de un usuario, puede consultar ms sobre estas opciones en este URL.

    Existe otra forma un poco mas sencilla para crear usuarios que se hace manualmente 1por 1 y se crean de la siguiente forma.

    Nos dirigimos a cada directorio activo que dentro del mismo tiene otro directorio llamado Usuarios y grupos halli damos click derecho nuevo>usuario

  • Digitamos los datos del usuario.

    Le otorgamos una contrasea y dejamos las casillas sin chulear.

  • Y damos Finish, por lomenos debemos tener 10 usuarios en cada directorio.

    2. Se forzar a todos los usuarios del dominio gusfraba.lab a cambiar de contrasea cada 15 das y el sistema debe recordar las tres ltimas contraseas cambidas por la contrasea. La poltica de contraseas debe estar habilitada para usar un password seguro.

  • Comenzamos de la siguiente manera.

    Nos dirigimos a inicio>Administrative tolos>Group policy management.

    Creamos un nuevo GPO,damos click derecho en ABC.com y damos click en la 1 opcion que nos permite crear el GPO.

  • Le damos un nombre a la GPO y Aceptamos.

    Verificamos que la GPO se creo correctamente.

    Damos click derecho sobre la nueva GPO y damos click en editar.

    Nos dirigimos a Inicio>Editor de administracin de directivas de grupo, Dentro de configuracin de seguridad encontraremos Directiva de contraseas.

  • Se desplegarn estas opciones, damos click derecho en Vigencia mxima de la contrasea y en propiedades.

    Definimos la configuracin de directiva para que las contraseas expiren despus de 15 das damos clic en aplicar y luego aceptar.

    Ahora damos click derecho en la opcin Almacenar contraseas con cifrado reversible y vamos a sus propiedades.

    Habilitamos y damos ok.

  • Volvemos a dar click derecho pero sobre la opcin Exigir historial de contraseas.

    Habilitamos la configuracin de directivas y especificamos el nmero de contraseas a recordar, aplicamos los cambios y luego aceptar. A todos los usuarios, exceptuando los administradores del dominio y los usuarios del departamento de Sistemas, tendrn restringido el acceso a los siguientes componentes: * Men Ejecutar * Panel de control * REGEDIT * Unidad C: (Visualizar la unidad) * Reproduccin automtica de medios extrables * Cambiar la pgina predeterminada de Internet Explorer (Se cargar por defecto la pgina principal del sitio www.abc.com) * Acceso desde el navegador a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. * El administrador ser el nico con la contrasea de supervisor para el Asesor de Contenidos. * Desbloquear la barra de tareas (Siempre permanecer bloqueada) * Acceso del Lecto-escritura a cualquier medio de almacenamiento extrable.

  • Vamos a crear un nueva GPO en Direccin general, para las restricciones.

    Nombramos la GPO y Aceptamos.

    Haora vamos a Inicio>Editor de administracin de directivas de grupo Dentro de el nos dirigimos a configuracin de usuario>directivas>plantillas administrativas>men de inicio y

  • Barras de tareas.

    Buscamos la opcin Quitar el men ejecutar del men de inicio y damos click derecho en editar.

    Habilitamos y damos ok.

  • Ahora en panel de control, buscamos la opcin que dice prohibir acceso a panel de control y damos en editar.

    Habilitamos y damos ok. Para ocultar la unidad C: / para esto nos dirigimos a Configuracin de usuario> directivas>plantillas administrativas>componentes de windows>explorador de

  • Windows.

    Buscamos la opcin Ocultar estas unidades especificas en mi pc, click derecho en editar.

  • Habilitamos y damos ok. Cambiar la pgina predeterminada de Internet Explorer (Se cargar por defecto la pgina principal del sitio (www.gusfraba.com) para nos dirigimos a configuracin de usuario>directivas>configuracin de windows>mantenimiento de internet Explorer>URLs

    Damos click derecho en importar URLs y luegos click en propiedades.

    Colocamos la direccin a abrir predeterminadamente y damos ok. Ahora se va a restringir el acceso del navegador a los sitios www.facebook.com y

  • www.youtube.com para esto nos dirigimos a Configuracin de usuario>directivas> configuracin de windows>mantenimiento de internet Explorer>seguridad

    Damos click derecho en la opcin Zonas de seguridad y clasificada y propiedades.

    Habilitamos la opcin de importar las configuraciones actual de restricciones de contenido, y damos clic en el botn de Modificar Ajustes.

  • Damos click en sitios aprobados y agregamos las URLs que vamos a restringir En este caso y luego clic en nunca, aplicamos los cambios y luego aceptar.

  • Debemos crear una contrasea para el administrador de contenidos y damos aceptar. Ahora para bloquear la barra de tareas nos dirigimos a Configuracin de usuario>directivas>plantillas administrativas>escritorio>men inicio y barra de tareas.

    Buscamos la opcin Bloquear la barra de tareas, damos click derecho y editar.

    Habilitamos y damos ok.

  • Para restringir Lecto-Escritura a cualquier medio de almacenamiento extrable para ello vamos a configuracin de usuario>directivas>plantillas administrativas>sistema>acceso de almacenamiento extrable.

    Buscamos la opcin llamada Todas las clases de almacenamiento extrable. Damos click en editar.

    Habilitamos y ok.

  • Ahora deberemos deshabilitar las restricciones anteriores para SISTEMAS, entonces nos dirigiremos a Inicio>herramientas administrativas>administracin de polticas de grupo nos paramos en sistema clic derecho y crear un GPO.

    Como podemos ver ya la creamos y la nombramos limitaciones. Nos dirigimos a configuracin de usuario >directivas>plantillas administrativas>men inicio y barra de tareas Damos clic derecho sobre quitar el men ejecutar sobre el men inicio clic en Propiedades.

  • Vamos a Menu de inicio y barra de herramientas y buscamos la opcin quitar el men ejecutar del men de inicio damos click derecho y editar.

    Habilitamos y ok.

    Ahora vamos al directorio Panel de control,buscamos la opcin prohibir acceso al panel de control,click derecho y editar.

  • Deshabilitamos y aceptamos. Haora vamos a crear una nueva GPO en COMPRAS.

    La creamos y le dimos el nombre de Restricciones usuarios. Ahora ocultaremos todos los elementos de escritorio nos dirigimos a Configuracin de usuario >directivas>plantillas administrativas>escritorio

  • Buscamos el directorio Escritorio y dentro de el la opcin Ocultar y deshabilitar todos los elementos del escritorio damos click derecho y editar. Habilitamos y damos ok. Para evitar que apaguen, reinicien y suspensa el pc, nos dirigimos a Configuracin de equipo>directivas>plantillas administrativas>Men Inicio y barra de Tareas.

    Buscamos la opcin Quitar y evitar el acceso a los comandos Apagar, Reiniciar y suspender. Damos click derecho y editar. Habilitamos y damos aceptar. Ahora Quitar el administrador de tareas para esto vamos a Configuracin de usuario >directivas>plantillas administrativas>sistema>Opciones de Ctrl+Alt+Del.

  • Vamos a la opcin quitar administrador de tarea, click derecho y propiedades. Dentro de cada unidad organizativa Usuarios y Grupos se crear un grupo de usuarios llamado practicantes. Las cuentas de los practicantes caducarn 6 meses despus de su creacin. Los practicantes solo pueden iniciar sesin de lunes a viernes de 7 AM a 6 PM. Conceder al grupo Practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una Vez que cada uno de estos usuarios inicie sesin deber conectarse Automticamente a una unidad de red)

    Vamos a direccin general, click derecho y nuevo grupo.

    Creamos el grupo praticantes y damos ok.

  • Cuando ya est creado lo seleccionamos damos click derecho y propiedades.

    Vamos a la pestaa miembro y buscamos avanzadamente.

  • Damos click en Find Now y selecionamos los usuarios pertenecientes a este grupo.

    Selecionamos un usuario del grupo practicantes y damos click derecho,propiedades.

  • Vamos a la pestaa cuenta y despus en hora de inicio de sesin y se abrir esta pestaa donde podremos gestionar el horario en el que el usuario Nilson londono podr iniciar sesin. Este solo podr iniciar de 7:00 AM a 6:00 PM.

    Ahora seleccionamos que la cuenta expire en 6 meses.

  • Debemos crear una carpeta compartida vamos a mis documentos click derecho,nueva carpeta y la nombramos.

    damos click derecho sobre la carpeta y propiedades.

    Vamos a la pestaa sharing y damos click en el botom compartir.

    Damos en buscar.

  • Damos en avanzado.

    Damos click en Find now y seleccionamos el grupo practicantes.

  • Y ahora si seleccionamos el grupo practicantes.

    Vemos que nuestra carpeta quedo creada exitosamente.

    Vamos a las propiedades de un usuario, nos dirigimos a la pestaa Perfil. Indicamos la ruta de la carpeta y damos click en aplicar y luego aceptar.

  • Cada vez que los usuarios del departamento Web y Comercio Electrnico inicien sesin se montarn automticamente dos unidades de red que se mapean a carpetas compartidas en un servidor Windows Server 2008. Note que primero debe compartir las carpetas en algn servidor (Controlador de dominio u otro) antes de montarlas automticamente. Todos los usuarios del departamento tendrn una cuota de 1000MB sobre la unidad de red. Lo primero ser crear un grupo que contengan todos los usuarios web y comercio electrnico y lo haremos en la misma unidad organizativa, esto ya lo sabemos realizar. Despus de los pasos anteriores, vamos a crear dos carpetas compartidas mas. selecionamos la carpeta comercio electrnico damos click derecho propiedades, nos dirigimos a la pestaa Sharing y damos click en el botom compartir.

    Realizamos la bsqueda avanzada del grupo anteriormente creado web y comercio electrnico lo seleccionamos y le damos permisos de lectura y escritura.

  • Ahora vamos a crear una nueva GPO.

    Damos click en WEB Y COMERCIO ELECTRONICO, creamos la nueva GPO la cual nombre Unidades de red. Ahora nos dirigiremos a Configuracin de Usuario>Preferencias>Asignacin de Unidades Damos clic derecho, seleccionamos nuevo>unidad asignada

  • Ingresamos la ruta donde se encuentra la recin creada carpeta compartida web.

    Luego vamos a la pestaa comn y sealamos la opcin Destinatarios a nivel de elemnto y damos click en el botn Destinatarios

  • Damos click donde dice nuevo elemento y seleccionamos la opcin Grupo de seguridad.

    Ahora damos click en examinar, seleccionamos el grupo web y comercio electrnico y damos aceptar.

  • Ahora estableceremos la cuota de disco, para ello nos dirigimos a Configuracin de Equipo>Polticas>Plantillas Administrativas>Sistema>Cuotas de Disco

    Clic derecho sobre Habilitar cuotas de disco clic en Editar.

    Habilitamos y aceptamos.

    Haora damos click en la opcin Limite de cuota y nivel de aviso predeterminado,click

  • derecho y editar.

    Habilitamos la directriz, ahora el primer valor que se configura es el lmite por defecto de la cuota de disco, el segundo es el nivel de advertencia por defecto.

    Pasamos a establecer las cuotas de disco sobre las unidades de red, para Ello debemos instalar un complemento en nuestro servidor, nos dirigimos al Administrador de Servidor y en la pestaa de funciones buscamos la seccin de servicios de archivo (y damos clic en aadir funcin al servicio)

  • Selecionamos la opcin File Server Resource Manager y damos siguiente.

    Selecionamos el dicos C: y damos en siguiente.

    Omitimos 2 pasos mas a los cuales solo debemos dar siguiente y cerramos.

  • Ahora crearemos las cuotas de disco para ello debemos acceder al servidor de archivos del administrador de recursos para ello vamos a Inicio>Administrador del Servidor> Administrador de recursos del Servidor de Archivos.

    Vamos al directorio Cuotas, damos click derecho y creamos una nueva cuota.

  • Una vez seleccionada la ruta de la unidad de red seleccionamos la opcin de Definir opciones personalizadas de cuota y damos clic en propiedades.

    Seleccionamos el valor de cuota establecido en la gua 1000MB damos Clic en aceptar o enter.

  • Aqu el sistema nos dar la opcin de guardar la cuota recin creada como una plantilla (para futuros usos), nombramos la plantilla y damos clic en ok.

    Hacemos exatamente lo mismo procedimiento para la otra carpeta compartida COMERCIO ELECTRONICO, tambin Podemos observar las cuotas ya creadas en las dos unidades de red

    Dentro de diseo grfico creamos un nuevo equipo.

  • Damos nombre al equipo y aceptamos.

    Damos click derecho sobre el nuevo equipo y vamos a propiedades.

  • Lo asociamos al grupo disenografico.

    Selecionamos uno de los usuario pertenecientes al grupo y damos click derecho propiedades.

  • Vamos a la pestaa cuenta, damos click en el botn Iniciar sesin en.

    Seleccionamos la opcin de Los siguientes equipos, digitamos el Nombre del equipo donde dicho usuario podr iniciar sesin, clic en Aadir y por ltimo clic en Aceptar .

  • Haora Comensaremos con la instalacin de PDF24

    Una ves instalado Nos dirigimos a Inicio>panel de control>Impresoras.

    Selecionamos PDF24 y damos click derecho y propiedades.

  • Vamos a la opcin compartir y sealamos la opcin compartir esta impresora.

    Ahora nos dirigimos a Inicio>Herramientas Administrativas>Usuarios y Equipos de Active Directory para ubicar la impresora en la dependencia planteada en la gua, click derecho sobre el dominio y seleccionamos Buscar.

  • Filtramos la bsqueda para que halle solo impresoras y damos doble click en buscar.

    Verificamos si localizo la impresora, despus damos click derecho sobre ella y damos en la opcin Mover.

  • Seleccionamos el directorio donde quedar alojada la impresora en este nuestro caso Direccin General>Sistemas>Impresoras Click en Aceptar.

    y como confirmamos la impresora quedo ubicada en el departamento de sistemas.

  • CONCLUSIONES * Los directorios activos son muy flexibles y seguros. * Se puede lograr una organizacin simple y una relativamente fcil administracin. * Nos brinda una escalabilidad enorme. * Mejora el rendimiento del sistema. * La buena gestin y control en una red sobre todo mediana o grande es de gran importancia para el buen manejo y fluidez de la informacin.