P. 1
Ejemplos de Instalacion de Politicas Active Directory

Ejemplos de Instalacion de Politicas Active Directory

|Views: 1.030|Likes:

More info:

Published by: Iliana Quiñonez Escobar on Oct 12, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

07/25/2013

pdf

text

original

INTRODUCCION En el siguiente trabajo se mostrara la instalación de una maquina virtual y en ella un entorno de red basado en un controlador de dominio en Microsoft

Windows Server (versión 2003 o 2008), y posteriormente implementar diversas configuraciones haciendo uso de las configuraciones de directivas de grupo, que se probaran en la maquina virtual configurada. La configuración de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows, de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa. Puede implementar la seguridad de los servicios del sistema en Windows. Esto permitirá controlar quién puede administrar los servicios de una estación de trabajo, un servidor miembro o un controlador de dominio. Actualmente, la única forma de cambiar un servicio del sistema es a través de una configuración de equipo de directiva de grupo. Si se implementa una Directiva de grupo en la Directiva de dominio predeterminada, la directiva se aplicará a todos los equipos del dominio. Si implementa una Directiva de grupo en la directiva Controladores de dominio predeterminada, la directiva sólo se aplicará en la unidad organizativa del controlador de dominio. Puede crear unidades organizativas que contengan estaciones de trabajo a las que se puedan aplicar directivas. En este trabajo se implementaran Directivas de grupo en una unidad organizativa para modificar configuraciones, cambiar permisos en los servicios del sistema, etc. Las políticas de grupo de Directorio Activo, nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red. Las políticas de grupo se definen en dos secciones: la primera que modifica la configuración de clientes o servidores y la segunda que configura el ambiente para los usuarios. Las políticas de grupo pueden definirse a nivel Sitio (Site), a nivel Dominio y a nivel Unidad Organizacional (OU). Las políticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio. Las políticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU. Las OU’s pueden estar anidadas, las políticas se heredan hacia los niveles inferiores de OU’s. En estos casos si existe la misma política definida en múltiples niveles se aplica la política más cercana a los objetos, a menos de que explícitamente especifique lo contrario. No se recomienda utilizar políticas a nivel de sitios, a menos de que sea totalmente indispensable, ya que en un sitio donde existan múltiples dominios puede degradar el proceso de firma (logon) del usuario.

Configurar el servidor como controlador de dominio El Servicio de nombres de dominio (DNS) y DCPromo (la herramienta de la línea de comandos que crea DNS y Active Directory) pueden instalarse manualmente o mediante el Asistente para configurar su servidor de Windows Server 2003. En esta sección se utilizan las herramientas manuales para realizar la instalación. Para instalar DNS y Active Directory mediante las herramientas manuales 1. Haga clic en el botón Inicio y en Ejecutar, escriba DCPROMO y, a continuación, haga clic en Aceptar. 2. Cuando aparezca el Asistente para instalación de Active Directory, haga clic en Siguiente para iniciar la instalación. 3. Después de revisar la información de Compatibilidad de sistema operativo, haga clic en Siguiente. 4. Seleccione Controlador de dominio para un dominio nuevo (opción predeterminada) y, a continuación, haga clic en Siguiente. 5. Seleccione Dominio en un nuevo bosque (opción predeterminada) y, a continuación, haga clic en Siguiente. 6. Para Nombre DNS completo, escriba contoso.com y, después, haga clic en Siguiente. (Esta opción representa un nombre completo.) 7. Haga clic en Siguiente para aceptar la opción predeterminada Nombre NetBIOS del dominio de CONTOSO. (El nombre NetBIOS proporciona compatibilidad de bajo nivel.) 8. En la pantalla Carpetas de la base de datos y del registro, establezca la Carpeta de registro de Active Directory de forma que apunte a L:\Windows\NTDS y, a continuación, haga clic en Siguiente para continuar. 9. Deje la ubicación de la carpeta predeterminada para Volumen del sistema compartido y, después, haga clic en Siguiente. 10 En la pantalla Diagnósticos de registro de DNS, haga clic en Instalar y configurar el . servidor DNS en este equipo. Haga clic en Siguiente para continuar. 11 Seleccione Permisos compatibles sólo con sistemas operativos de servidor Windows . 2000 o Windows Server 2003 (opción predeterminada) y, a continuación, haga clic en Siguiente. 12 Escriba la contraseña para Contraseña de modo de restauración y . Confirmar contraseña y, después, haga clic en Siguiente para continuar. Nota: los entornos de producción deben emplear contraseñas complejas para las contraseñas de restauración de servicios de directorio.

2

Resumen de las opciones de instalación de Active Directory 13 La Figura anterior representa un resumen de las opciones de instalación . de Active Directory. Haga clic en Siguiente para iniciar la instalación de Active Directory. Si se le indica, inserte el CD de instalación de Windows Server 2003. 14 Haga clic en Aceptar para confirmar la advertencia de que se va a asignar una dirección IP . de forma dinámica a un servidor DNS. 15 Si dispone de varias interfaces de red, seleccione la interfaz de red 10.0.0.0 de la lista . desplegable Elegir conexión y, a continuación, haga clic en Propiedades. 16 En la sección Esta conexión utiliza los siguientes elementos, haga clic en . Protocolo Internet (TCP/IP) y luego en Propiedades. 17 Seleccione Usar la siguiente dirección IP y, a continuación, escriba 10.0.0.2 para . Dirección IP. Presione dos veces la tecla Tab y, después, escriba 10.0.0.1 para Puerta de enlace predeterminada. Escriba 127.0.0.1 para Servidor DNS preferido y, a continuación, haga clic en Aceptar. Haga clic en Cerrar para continuar. 18 Haga clic en Finalizar cuando termine el Asistente para instalación de Active Directory. . 19 Haga clic en Reiniciar ahora para reiniciar el equipo. . Para autorizar el servidor DHCP 1 Una vez reiniciado el equipo, presione Ctrl+Alt+Supr e inicie sesión en el servidor como . administrator@contoso.com. Deje en blanco el cuadro de la contraseña. 2 Haga clic en el menú Inicio, seleccione Herramientas administrativas y, a continuación, . haga clic en DHCP. 3 Haga clic en hq-con-dc-01.contoso.com. Haga clic con el botón secundario del mouse en . hq-con-dc-01.contoso.com y, después, haga clic en Autorizar. 4 Cierre la consola de administración de DHCP. .

3

Herramientas administrativas y. a continuación. Inicie la sesión como Administrador. 3. o En el menú Acción. La siguiente figura muestra cómo aparecen Usuarios y equipos de Active Directory en la pantalla. haga clic en Aceptar. Controlar el acceso a los recursos del dominio. Utilice uno de los pasos siguientes: o Haga clic con el botón secundario del mouse (ratón) en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas. Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Ahora puede agregar otros objetos a la unidad organizativa. seleccione Agregar y.Cómo crear una unidad organizativa 1. a continuación. escriba el nombre del objeto nuevo y. 2. En el cuadro Nombre. seleccione Nueva y. grupos y otras unidades organizativas. después. a continuación. Una cuenta de usuario hace posible: • • • Autentificar la identidad de la persona que se conecta a la red. Para añadir una cuenta de usuario del dominio hay que seguir estos pasos: 4 . Las cuentas de usuario del dominio se pueden crear en el contenedor Users o en algún otro contenedor u OU creada para almacenar cuentas de usuario del dominio. Haga clic en Inicio. haga clic en Unidad organizativa. Auditar las acciones realizadas utilizando la cuenta. 4. seleccione Programas. haga clic en Usuarios y equipos de Active Directory. o Haga clic en Crear una unidad organizativa nueva en la barra de herramientas. haga clic en Unidad organizativa. equipos. Se crea e inserta en la lista un icono con el nombre correspondiente. como usuarios.

un administrador asigna el nombre principal de seguridad. Puede contener hasta 20 caracteres. excepto los siguientes: " / [ ] : . Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo que está administrando. como 5 . Para las nuevas cuentas de usuario. | = . El sufijo de nombre principal predeterminado es el nombre DNS del dominio raíz en el árbol de dominios.En el Active Directory.quinonez@electivatres. + *? De esta forma un usuario identificado francisco.edu Luego se pone la contraseña y se confirmar la contraseña.quinonez tendría un nombre principal tal como francisco. el nombre principal de seguridad y el sufijo de nombre principal. en mayúsculas o minúsculas. cada cuenta de usuario tiene un nombre principal. El nombre consta de dos partes.

edu pass: mv12345. Wilson Rivas user: wilson. contraseñas y usuarios creados son: -------------------------------------Contabilidad ====================================== Iliana Quiñonez USER:iliana.edu pass:fq12345.edu PASS:iq12345. Francisco Quiñonez user:francisco. ====================================== 6 .edu pass: wr12345.valencia@electivatres.Los grupos.quiñonez@electivatres.rivas@electivatres.quiñones@electivatres. ====================================== -------------------------------------ventas ====================================== Marlon Valencia user: marlon.

Allon Valencia user: allon.edu pass: av12345.guzman@electivatres.edu pass: ie12345.edu pass: me12345.rivas@electivatres. ====================================== 7 .escobar@electivatres.valencia@electivatres.escobar@electivatres. Francisco Escobar user: francisco.edu pass: rr12345.edu pass: mg12345. ====================================== -------------------------------------informatica ====================================== Marlon Guzman user: marlon. ====================================== -------------------------------------gerencia ====================================== Maria Escobar user: maria.edu pass: fe12345. Ricardo Rivas user: ricardo.-------------------------------------mercadeo ====================================== Iliana Escobar user: iliana.escobar@electivatres.

"electivatres. • • • Haga clic con el botón secundario del mouse (ratón) en Mi PC y seleccione Propiedades. Igual que al configurar el controlador de dominio adicional. Los pasos siguientes describen cómo unir un equipo a un nuevo dominio. Windows 98 Segunda Edición. Windows XP.edu"). 8 . haga clic en el botón de opción Dominio.  Haga clic en Aceptar para confirmar los cambios. Antes de comenzar el proceso. Se le pedirá que escriba el nombre de usuario y la contraseña del dominio. si no está ya seleccionado.Configurar un cliente de Active Directory La configuración de los clientes del Active Directory depende de los sistemas operativos que se encuentren instalados en los equipos terminales como Windows 2000. Desde el cuadro de diálogo Cambios de en el nombre de equipo. haga clic en la ficha nombre del equipo. Si el controlador de dominio no está disponible todavía en el momento de la instalación. Se le pedirá que se una a un dominio existente o a un grupo de trabajo. En el cuadro de diálogo Propiedades del sistema. asegúrese de que el equipo tiene acceso al mismo segmento de red de forma que pueda comunicarse con el dominio. Escriba el nombre completo del dominio (en nuestro caso. debe especificar la dirección IP del servidor DNS. puede unirse a él más adelante.  Reinicie el servidor para que los cambios surtan efecto.

9 .

10 .

Aparecerán las siguientes opciones: 11 . Abrir el contenedor que almacena la cuenta de usuario. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas.Administración de las cuentas de usuario Especialmente en una red grande y ocupada. eliminaciones y cambios. la gestión de las cuentas de usuario es un proceso continuo de adiciones. Aunque estas tareas no son difíciles. pueden consumir tiempo y es necesario gestionarlas con cuidado. Seleccionar el Usuario que queremos administrar y pulsar el menú Acción.

para ello vamos a “Inicio > Todos los programas > Herramientas administrativas > Administración de directivas de grupo”. 12 .CONFIGURACIÓN DE DIRECTIVAS DE GRUPO Lo primero que debemos hacer es abrir el administrador de directivas de grupo.

13 . Nos posicionamos sobre “Objetos de directivas de grupo” y seleccionamos “Nuevo”.Desplegamos el administrador de directivas de grupo abriendo “Administración de directivas de grupo > Dominio > Objetos de directivas de grupo”.

14 . Vamos a crear los usuarios del dominio. Clic derecho sobre la unidad organizativa Usuarios --> Nuevo --> Usuarios. Además remueva las configuraciones de Display a nivel del control panel para todo el dominio excepto para la OU Informática. pulsamos con el botón derecho del ratón encima del dominio y seleccionamos la opción “Nuevo > Unidad organizativa”. y que se ejecute el screen saver después de 10 minutos de inactividad. para ello vamos a “Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory”.Cree una directiva de grupo para estandarizar el escritorio a nivel de todos los miembros del dominio con un mismo wallpaper. implementar screen saver protegido con password. Abrir el administrador de directivas de grupo. Una vez abierta.CONFIGURACION DE DIRECTIVAS DE GRUPOS 1.. Inicie la sesión como Administrador.

15 . Y finalizamos.Rellenamos los datos pedidos. Elegimos la contraseña del usuarios (debe cumplir los requisitos de seguridad).

16 . Vamos a Inicio --> Panel de Control --> Sistema --> Nombre de Equipo --> Cambiar --> Y ponemos el nombre del equipo y el nombre de dominio.Ahora toca unir el equipo al dominio.

17

18

19

20 .

21 .

22 .

23 .

24 .

25 .

26 .

27 .

28 .

29 . Inicio > Ejecutar > gpupdate Reiniciamos el equipo y al iniciar tendremos activada el inicio de sesión clásico por usuarios.Actualizamos.

30 .

2. cambio de contraseñas cada 60 días y restricción de no uso de contraseñas repetidas (3 ultimas contraseñas).Modifique las configuraciones de seguridad para establecer una política de contraseñas para todos los usuarios del dominio con requerimientos mínimos de 8 caracteres.. Haga un enforzamiento de esta directiva para asegurarse que se aplique a todo NIVEL 31 .

32 .

33 .

34 .

35 .

36 .

37 .

-Prohiba a los miembros de las OU’s Ventas y Contabilidad el acceso al Control Panel. 38 .3.

39 .

40 .

41 .

42 .

43 .

44 .

45 .

46 .

47 .

48 .

49 .

Como excepción.4. Vamos a “Inicio > Herramientas administrativas > Administración de directivas de grupo > Editor de objetos de directivas de grupo > clic derecho en Quitar el menú ejecutar del menú inicio > clic en Propiedades”. permita que la OU informática SI pueda tener acceso a esta configuración.. Aparecerá la siguiente ventana y en la ventana de Nuevo GPO poner: “No run command” 50 .Implemente una directiva a nivel de dominio para restringir a todos los usuarios el acceso a “Ejecutar comandos “(Run commands) desde el botón de inicio.

Iniciar sesion con cualquier usuario 51 .

Ingresar a “Inicio > Todos los programas > Herramientas administrativas > Administración de directivas de grupo > Editor de objetos de directivas de grupo > Propiedades de quitar en menú Ejecutar del menú inicio.” 52 .

Iniciar sesión con cada uno de los usuarios 53 .

Las políticas de grupo pueden definirse a nivel Sitio. Las políticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU. Las políticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio.CONCLUSIONES Las políticas de grupo de Directorio Activo. a nivel Dominio y a nivel Unidad Organizacional (OU). 54 . nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red.

es/asignaturas/42620/Clase6AdministracionDePoliticasDeGrupo.BIBLIOGRAFIA “Microsoft Windows 2000 Active Directory Services.elhacker.iescuravalera. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3 http://informatica.uclm.pdf 55 .net/redes/windows/crear-usuarios-y-grupos-unir-un-equipo-a-undominio-y-perfiles-moviles http://www.es/iflica/gtfinal/libro/c3116.html http://wiki.info-ab.

ANEXOS 56 .

57 .

58 .

59 .

60 .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->