Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pasos Taller Active Directory
Pasos Taller Active Directory
Contenido
2. Creacin de un dominio Active Directory .......................................................................................1
2.1 Instalacin del servicio de dominio de Active Directory ...........................................................1
Preparacin Servidor ..................................................................................................................1
Instalar un nuevo bosque de Windows Server 2012 ..................................................................1
3. Administracin del Servicio de Dominio de Active Directory .........................................................2
3.1. Trabajar con los complementos de Active Directory ...............................................................2
Crear un MMC personalizado .....................................................................................................2
Agregar complementos a una MMC ...........................................................................................3
Administrar los complementos de una MMC .............................................................................4
Preparar una consola para su distribucin a los usuarios...........................................................5
3.2. Creacin de Objetos en Active Directory .................................................................................5
Crear unidades organizativas .....................................................................................................5
Crear usuarios ............................................................................................................................6
Crear equipos .............................................................................................................................8
Crear grupos ...............................................................................................................................9
Aadir usuarios y equipos a grupos ..........................................................................................11
Buscar objetos en Active Directory ..........................................................................................12
3.3 Delegacin y seguridad de objetos de Active Directory .........................................................13
Delegar control para el soporte de cuentas de usuario ............................................................13
Vista de permisos delegados ....................................................................................................14
4. Administrar cuentas de usuario ...................................................................................................15
4.1. Automatizar creacin de cuentas de usuario ........................................................................15
Crear usuarios con una plantilla de cuenta de usuario .............................................................15
Crear un usuario con el comando DSAdd .................................................................................16
Usuarios de importacin con CSVDE ........................................................................................17
4.2 Administracin con PowerShell y el Centro de Administracin de Active Directory ..............18
Utiliza los comandos y cmdlets de Windows PowerShell .........................................................18
Identificar y explorar un Cmdlet de Windows PowerShell .......................................................19
Crear una unidad organizativa mediante New-ADOrganizationalUnit .....................................20
Navegue por Active Directory utilizando el PSDrive de Active Directory..................................20
Crear usuarios con Windows PowerShell .................................................................................21
5. Administrar Grupos ......................................................................................................................23
configuracin de
14. Haz clic en Otro Equipo e introduce SERVER01 como nombre de equipo.
15. Haz clic en finalizar.
16. Haz clic en Aceptar para cerrar el cuadro de dilogo Agregar o quitar complementos.
17. En el men Archivo, haz clic en guardar. Guarda la consola en el escritorio con el nombre
MyConsole.msc
18. Cierra la consola
Agregar complementos a una MMC
En esta prctica, agregars el Visor de eventos en la consola que se cre anteriormente. El
Visor de eventos es til para monitorear la actividad en controladores de dominio.
1. Abre MyConsole.msc.
2. En el men Archivo, haz clic en Agregar o quitar complementos
3. Selecciona Visor de eventos de la lista de complementos disponibles
4. Haz clic en Agregar para agregar el complemento a la lista de complementos
seleccionados. Se te solicitar que selecciones un equipo para administrar
5. Haz clic en Otro equipo e introduce SERVER01 como nombre de equipo
6. Ahora selecciona el complemento Usuarios y equipos de Active Directory y Dominios y
confianzas de Active Directory y agrgalos a la lista Complementos seleccionados
7. Haz clic en Aceptar para cerrar el cuadro de dilogo Agregar o quitar complementos
8. Guarda y cierra la consola.
Descripcin OU
Computadoras cliente
Grupos no administrativos
Identidades administrativas y grupos
Servidores
Crear usuarios
Ahora que has creado unidades organizativas en el dominio contoso.com, ests listo para
agregar objetos al servicio de directorio. En esta prctica crears varios usuarios en dos de
las unidades organizativas creadas previamente.
.
1. Inicia sesin en SERVER01 como administrador y abre el complemento Active Directory
usuarios y Equipos
James Fine
o Nombre: James
o Apellido: Fine
Barbara Mayer
o Nombre: Barbara
o Apellido: Mayer
o Nombre completo: Barbara Mayer
o Nombre de inicio de sesin de usuario: bmayer
o inicio de sesin anterior a Windows 2000: bmayer
Barbara Moreland
o Nombre: Barbara
o Apellido: Moreland
o Nombre completo: Barbara Moreland
o Nombre de inicio de sesin de usuario: bmoreland
o inicio de sesin anterior a Windows 2000: bmoreland
17. Repite los pasos 312 y crea una cuenta de usuario para ti en la unidad organizativa de
Cuentas de usuario.
Para el nombre de inicio de sesin de usuario, utiliza la primera inicial de tu nombre y tu
apellido paterno por ejemplo, dholme para Dan Holme. Crea una contrasea segura y
compleja.
18. Repite los pasos 312 y crea una cuenta administrativa para ti en la OU Admins.
A esta cuenta se le dar privilegios administrativos ms adelante. Para el nombre de inicio
de sesin de usuario, utiliza la primera inicial de tu nombre y tu apellido paterno seguido
por _admin por ejemplo, dholme_admin para la cuenta administrativa de Dan Holme.
Crea una contrasea compleja y segura. Marca la casilla de verificacin El usuario debe
cambiar la constrasea en el siguiente inicio de sesin.
Crear equipos
Ante de unir mquinas al dominio, se deben crear cuentas de equipo. En esta prctica
crears varios equipos en dos de las unidades organizativas que creaste previamente.
1. Inicia sesin en SERVER01 como Administrador y abre el complemento Usuarios y
equipos de Active Directory.
2. En el rbol de la consola, expande el nodo del dominio contoso.com y haz clic en la OU
Servidores.
3. Haz clic derecho en la unidad organizativa Servidores, selecciona nuevo y haz clic en la
Equipo. El cuadro de dilogo Nuevo objeto: Equipo aparece
4. En Nombre del equipo escribe: FILESERVER01.
El cuadro Nombre del equipo (anterior a Windows 2000) se llena automticamente.
5. No cambies el nombre en el cuadro Nombre del equipo (anterior a Windows 2000).
6. Toma nota de la cuenta especificada en el cuadro de texto Usuario o grupo. No cambie
este valor.
7. No selecciones la casilla de verificacin etiquetada como Asignar la cuenta de este
equipo como un equipo anterior a Windows 2000.
8. Haz clic en Aceptar.
9. Haz clic derecho en el equipo y selecciona Propiedades.
10. Examinar las propiedades que estn disponibles para un Equipo. No las cambies en este
momento.
11. Haz clic en Aceptar.
12. Repite los pasos 3 a 8 para crear objetos de equipo para los siguientes equipos:
SHAREPOINT02
EXCHANGE03
13. Repite los pasos 3 a 8 y crear los siguientes equipos en la unidad organizativa Clientes
en lugar de la OU Servidores.
DESKTOP101
DESKTOP102
LAPTOP103
Crear grupos
Es una buena prctica administrar objetos en grupos en lugar de administrarlos
individualmente. En esta prctica, se crean varios grupos en dos de las unidades
organizativas creadas previamente.
1. Inicia sesin en SERVER01 como Administrador y abre el complemento Usuarios y
equipos de Active Directory.
Gerentes de Finanzas
Ventas
APP_Office 2010
13. Repite los pasos 3 a 8 para crear los siguientes grupos de seguridad global en la unidad
organizativa Admins
Mesa de ayuda
Administradores de Windows
10
11
12
13
14
15
16
17
18
19
20
3. Crea un usuario con atributos adicionales. Escribe el siguiente comando en una lnea y
presiona Entrar.
New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Mary North"
-SAMAccountName "mary.north" -UserPrincipalName "mary.north@contoso.com"
-EmailAddress "mary.north@contoso.com" -GivenName "Mary" -Surname "North"
-Description "Representante de ventas en Australia"
-Company "Contoso, Ltd." -Department "Ventas"
-Office "Sydney" AccountPassword (ConvertTo-SecureString
-AsPlainText "Pa$$w0rd" -Force)
-ChangePasswordAtLogon $true -Enabled $true
21
22
5. Administrar Grupos
5.1. Gestin de una empresa con grupos
En esta prctica se crearn grupos, se experimentar con la pertenencia a grupos y cambiar
el tipo y mbito de un grupo.
Crear grupos
En esta prctica se crean grupos de diferentes mbitos y tipos.
1. Inicia sesin en SERVER01 como Administrador. Abre Usuarios y equipos de Active
Directory y haz clic en la OU Grupos.
Elimina el grupo Ventas.
2. Haz clic derecho en la OU Grupos, selecciona nuevo y haz clic en Grupo.
3. En el cuadro Nombre de grupo escribe Ventas.
4. En mbito de grupo selecciona Global y en Tipo de grupo Seguridad. Haz clic en Aceptar.
5. Haz clic derecho en el grupo de Ventas y elija Propiedades.
6. En la ficha Miembros, haz clic en Agregar, escribe Jeff;Tony y haz clic en Aceptar. Haz clic
en Aceptar para cerrar el cuadro de dilogo de propiedades.
7. Repite los pasos 2 a 4 para crear dos grupos de seguridad global denominados Marketing
y Consultores.
8. Repite los pasos 2 a 4 para crear un grupo de seguridad de dominio local llamado
ACL_SalesFolder_Read.
9. Abre las propiedades del grupo ACL_SalesFolder_Read.
10. En los ficha Miembros, haz clic en Agregar y agrega Ventas, Marketing y Consultores
haz clic en Aceptar.
11. Haz clic en Agregar. Escribe David Jones y haz clic en Aceptar. Haz clic en Aceptar para
cerrar el cuadro de dilogo de Propiedades.
12. Abre el cuadro de dilogo de Propiedades del grupo Marketing.
13. En los ficha Miembros, haz clic en Agregar.
14. Escribe ACL_SalesFolder_Read y haz clic en Aceptar.
23
24
25
yes -scope g
2. Abre complemento Usuarios y equipos de Active Directory para confirmar que el grupo
se cre.
Grupos de importacin con CSVDE
1. Open Bloc de notas y escribe las siguientes lneas.
objectClass,sAMAccountName,DN,member
group,Accounting,"CN=Contabilidad,OU=Grupos,DC=contoso,DC=com",
"CN=Linda Mitchell,OU=Cuentas de usuario,DC=contoso,DC=com;
CN=Scott Mitchell,OU= Cuentas de usuario,DC=contoso,DC=com"
2. Guarda el archivo en Mis documentos con el nombre "Importgroups.csv" (incluyendo las
comillas dobles para que el Bloc de notas no aada su extensin .txt).
3. Abre el smbolo del sistema y escribe el siguiente comando:
csvde -i -f "%userprofile%\documents\importgroups.csv"
4. Cambia a Usuarios y equipos de Active Directory, actualiza la vista de la OU Grupos y
verifica que el grupo se ha creado correctamente.
Modificar la pertenencia al grupo con LDIFDE
CSVDE no puede modificar la pertenencia de grupos existentes, pero LDIFDE si lo puede
hacer. En esta prctica, se utiliza LDIFDE para modificar la pertenencia del grupo
Contabilidad que ha importado previamente.
1. Abre el Bloc de notas y escribe las siguientes lneas:
dn: CN=Contabilidad,OU=Grupos,DC=contoso,DC=com
changetype: modify
add: member
member: CN=April Stewart,OU=Cuentas de usuario,dc=contoso,dc=com
member: CN=Mike Fitzmaurice,OU= Cuentas de usuario,dc=contoso,dc=com
-
26
27
28
29
8. Seleccinala ficha Objeto y marca la casilla proteger objeto contra eliminacin accidental
y haz clic en Aceptar.
9. Vuelva a abrir las propiedades del grupo.
10. En la caja Descripcin escribe PRESUPUESTO (EDITAR)
11. En la caja de Notas escribe las siguientes rutas para representar las carpetas que tienen
permisos asignados a este grupo:
\\server23\data$\finanzas\presupuesto
\\server32\data$\finanzas\proyecciones ingresos
12. Haz clic en Aceptar.
30
-addmbr "CN=Finanzas,OU=Grupos,DC=contoso,DC=com"
4. Cierra ambas ventanas smbolo de sistema
5. En Usuarios y equipos de Active directory examina los miembros del grupo
ACL_Presupuesto_Editar y asegrate de que el grupo de Finanzas fue aadido con xito.
31
Esto permite a todos los usuarios de prueba en el dominio contoso.com iniciar sesin en el
Controlador de dominio SERVER01. Esto es importante para esta prctica, pero no debes
permitir a los usuarios Iniciar sesin en los controladores de dominio en tu entorno de
produccin.
Crear objetos de equipo
En esta prctica, preparar una cuenta de un cliente y una cuenta para un servidor y
delegar la capacidad de unir los equipos al dominio.
1. Haz clic derecho en la OU de Clientes, selecciona nuevo y haz clic en Equipo
2. Aparece el cuadro de dilogo Nuevo: Equipo
3. Escribe el nombre del equipo: DESKTOP101
4. Haz clic en cambiar junto al cuadro de usuario o grupo.
5. En el cuadro de dilogo que aparece, escribe el nombre del usuario o grupo que se le
permitir unir el equipo al dominio: Selecciona Mesa de ayuda. Haz clic en Aceptar.
6. Haz clic en Aceptar para cerrar el cuadro de dilogo.
7. Haz clic derecho en la OU Servidores, selecciona nuevo y haz clic en Equipo.
8. Aparece el cuadro de dilogo Nuevo: Equipo
9. Escribe el nombre del equipo: SERVER15
10. Haz clic en cambiar junto al cuadro de usuario o grupo.
11. En el cuadro de dilogo que aparece, introduce el nombre del usuario o grupo que se le
permitir unir el equipo al dominio: Selecciona Server Admin. Haz clic en Aceptar.
12. Haz clic en Aceptar para cerrar cuadro de dilogo
32
33
34
35
36
29. En el Group Policy Management console, haz clic derecho en el dominio contoso.com y
elija vincular un GPO existente.
30. Selecciona el GPO CONTOSO Standards.
37
confianza. Haz clic en agregar. En el cuadro de dilogo sitios de confianza, haz clic en agregar
y luego haz clic en cerrar.
4. Haz clic en el enlace Mostrar todo en la parte superior de este informe de configuracin
para expandir todas las secciones del Informe. Ten en cuenta que los comentarios que se
agregaron en la configuracin de la poltica son parte del informe.
5. Colcate en el texto para la Directiva de tiempo de espera de protector de pantalla.
Ntese que el ttulo de la poltica es realmente un hipervnculo. Haz clic en el enlace para
abrir una nueva ventana que muestra el texto explicativo para la configuracin de la
Directiva.
Si tienes IE ESC habilitado, se te solicitar que confirme que deseas agregar
about:security_mmc.exe a la zona sitios de confianza. Haz clic en agregar. En el cuadro de
dilogo de sitios de confianza, haz clic en agregar y haz clic en cerrar. Si aparece un cuadro
de dilogo de Error de Script haz clic en s. Si continas teniendo problemas clic el Tiempo
de espera del protector de pantalla, abre el administrador de servidores y desactivar IE ESC.
6. En la consola de administracin de directivas de grupo, haz clic en la ficha detalles, ntese
que los comentarios de tu GPO aparecen en esta ficha junto con informacin de la versin
de GPO.
38
4. Expande el rbol de la consola para que pueda ver el OU de ingenieros. Haz clic en la OU
de Ingenieros y elije Crear un GPO en este dominio y vincularlo aqu.
5. Escribe el nombre Aplicacin Ingeniera y haz clic en Aceptar.
6. Ampliar la OU de ingenieros, haz clic derecho en el GPO y elija Editar
7. Expande Configuracin de usuario\Directivas\Plantillas administrativas\Panel de control\
Personalizacin.
8. Haz doble clic en la directiva Tiempo de espera del pantalla protector.
9. Haz clic en desactivado y haz clic en Aceptar.
10. Cierra el GPME.
11. En administracin de directivas de grupo, haz clic en la unidad organizativa de ingenieros
y haz clic en la Ficha Herencia de Directiva de grupo
12. Observa que la GPO Aplicacin Ingeniera tiene prioridad sobre la GPO CONTOSO
Standards.
El ajuste que se configur donde explcitamente desactiva el protector de pantalla, anula la
configuracin en el GPO CONTOSO Standards.
39
7. Cierra el GPME.
8. Haz clic derecho en el GPO Polticas impuestas por el dominio y elige Exigido.
9. Selecciona la OU Ingenieros y haz clic en la ficha Herencia de directivas de grupo
Observa que la GPO exigida tiene precedencia sobre las GPO vinculadas a la OU Ingenieros.
Configurar el filtrado de seguridad
Conforme pasa el tiempo, descubres que un pequeo nmero de usuarios debe ser excluido
de la poltica Tiempo de espera del protector de pantalla configurada por el GPO CONTOSO
Standards. Decides utilizar filtrado de seguridad para administrar el alcance del GPO.
1. Abre Usuarios y equipos de Active Directory crea una unidad organizativa denominada
Grupos, si es que no existe. En la OU Grupos crea un grupo de seguridad global llamado
GPO_CONTOSO Standards_Exceptions.
2. En la GPMC, expande el contenedor de objetos de directiva de grupo.
3. Haz clic derecho en el GPO Aplicacin Ingeniera y selecciona Eliminar. Haz clic en s para
confirmar.
4. En el rbol de la consola, selecciona el GPO CONTOSO Standards en el contenedor de
objetos de directiva de grupo.
5. En la ficha Delegacin, haz clic en Opciones avanzadas.
6. En el cuadro de dilogo configuracin de seguridad, haz clic en Agregar.
7. Escribe el nombre del grupo, GPO_CONTOSO Standards_Exceptions y haz clic en
Aceptar.
8. En la lista de permisos, desplcese hacia abajo y selecciona Denegar Aplicar directiva de
grupo. Haz clic en Aceptar.
9. Haz clic en s para confirmar la seleccin.
10. Nota la entrada que se muestra en la ficha Delegacin en la columna permisos vlidos
para el Grupo GPO_CONTOSO Standards_Exceptions.
11. Haz clic en la ficha mbito y examina la seccin de filtrado de seguridad.
Si cualquier usuario requiere la exencin de las polticas, puedes agregar el usuario al grupo
GPO_CONTOSO Standards_Exceptions.
40
Crear una OU de primer nivel llamada Grupos y dentro de esa OU crear una unidad
organizativa denominada Aplicaciones.
En la OU Aplicaciones, crea un grupo de seguridad global llamado APP_XML
Notepad para representar a los usuarios y a las computadoras donde se despliega
XML Notepad.
Crear una carpeta llamada Software en la unidad C de SERVER01. Dentro de esa
carpeta, crear una carpeta llamada XML Notepad. Otorga permisos al grupo
APP_XML Notepad de lectura y ejecucin. Compartir la carpeta de Software con el
nombre de recurso compartido Software y otorga al grupo Todos permiso de
comparticin de Control total.
Descargar XML Notepad en el Microsoft Download Center en
http://www.Microsoft.com/downloads/en/details.aspx?FamilyID = 72d6aa49-d
787-4118-ba5f-4f30fe913628.
Gurdelo en la carpeta de Software\XML Bloc de notas. Tome nota de la versin que
tienes descargado.
41
42
Referencias
Practicas traducidas y adaptadas del libro:
Holme, D., Ruest, N., Ruest, D., & Kellington, J. (s.f.). MCTS Self-Paced Training Kit (Exam 70-640):
Configuring Windows Server 2008 Active Directory (2nd Edition). Microsoft Press.
43