Universidad Autnoma del Estado de Hidalgo

Escuela Superior de Tlahuelilpan 2do. Congreso Nacional en Tecnologas de la Informacin 2013

21-3-2013

Taller Active Directory con Windows Server 2012

Contenido
2. Creacin de un dominio Active Directory .......................................................................................1 2.1 Instalacin del servicio de dominio de Active Directory ...........................................................1 Preparacin Servidor ..................................................................................................................1 Instalar un nuevo bosque de Windows Server 2012 ..................................................................1 3. Administracin del Servicio de Dominio de Active Directory .........................................................2 3.1. Trabajar con los complementos de Active Directory ...............................................................2 Crear un MMC personalizado .....................................................................................................2 Agregar complementos a una MMC ...........................................................................................3 Administrar los complementos de una MMC .............................................................................4 Preparar una consola para su distribucin a los usuarios...........................................................5 3.2. Creacin de Objetos en Active Directory .................................................................................5 Crear unidades organizativas .....................................................................................................5 Crear usuarios ............................................................................................................................6 Crear equipos .............................................................................................................................8 Crear grupos ...............................................................................................................................9 Aadir usuarios y equipos a grupos ..........................................................................................11 Buscar objetos en Active Directory ..........................................................................................12 3.3 Delegacin y seguridad de objetos de Active Directory .........................................................13 Delegar control para el soporte de cuentas de usuario ............................................................13 Vista de permisos delegados ....................................................................................................14 4. Administrar cuentas de usuario ...................................................................................................15 4.1. Automatizar creacin de cuentas de usuario ........................................................................15 Crear usuarios con una plantilla de cuenta de usuario .............................................................15 Crear un usuario con el comando DSAdd .................................................................................16 Usuarios de importacin con CSVDE ........................................................................................17 4.2 Administracin con PowerShell y el Centro de Administracin de Active Directory ..............18 Utiliza los comandos y cmdlets de Windows PowerShell .........................................................18 Identificar y explorar un Cmdlet de Windows PowerShell .......................................................19 Crear una unidad organizativa mediante New-ADOrganizationalUnit .....................................20 Navegue por Active Directory utilizando el PSDrive de Active Directory..................................20 Crear usuarios con Windows PowerShell .................................................................................21 5. Administrar Grupos ......................................................................................................................23

5.1. Gestin de una empresa con grupos .....................................................................................23 Crear grupos .............................................................................................................................23 Cambiar el mbito y tipo de grupo ...........................................................................................24 5.2. Automatizar la creacin y gestin de los Grupos ..................................................................25 Administrar grupos con Windows PowerShell .........................................................................25 Crear un grupo con DSAdd .......................................................................................................25 Grupos de importacin con CSVDE ..........................................................................................26 Modificar la pertenencia al grupo con LDIFDE .........................................................................26 Modificar los miembros de un grupo con DSMod ....................................................................27 Confirma la pertenencia a un grupo con DSGet y Windows PowerShell ..................................28 Administracin de grupos en una empresa ..............................................................................29 Crear un grupo bien documentado ..........................................................................................29 Gestin de la delegacin de pertenencia a un grupo ...............................................................30 Validar la delegacin de la administracin de miembros .........................................................30 6. Configuracin de cuentas de equipo ............................................................................................31 6.1. Crear equipos y unirlos al dominio ........................................................................................31 Crear objetos de equipo ...........................................................................................................32 Delegar la capacidad de crear objetos de equipo .....................................................................32 Redirigir el contenedor predeterminado de Equipos ...............................................................33 6.2 Automatizar la creacin de objetos equipo ............................................................................33 Importando Equipos con CSVDE ...............................................................................................34 Crear un equipo con Windows PowerShell ..............................................................................34 7. Implementar una infraestructura de polticas de grupo...............................................................35 7.1 Implementar polticas de grupo .............................................................................................35 Crear, editar y configurar alcance de un objeto de directiva de grupo ....................................35 Ver los efectos de la aplicacin de polticas de grupo ..............................................................37 Explorar un GPO .......................................................................................................................37 7.2 Gestin del alcance de las polticas de grupo .........................................................................38 Crear una GPO con una configuracin de directiva que tiene prioridad sobre un escenario de conflicto ...................................................................................................................................38 Configurar la opcin forzar .......................................................................................................39 Configurar el filtrado de seguridad ...........................................................................................40 8. Administrar seguridad empresarial ..............................................................................................41

Crear una implementacin de Software GPO ...........................................................................41 Referencias.......................................................................................................................................43

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

2. Creacin de un dominio Active Directory

2.1 Instalacin del servicio de dominio de Active Directory
Preparacin Servidor 1. Configurar red de VM 2. Configuracin de post instalacin de Windows Server 3. Cambiar el nombre del servidor por SERVER01 4. No reinicies 5. Usa la siguiente configuracin de red Direccin IP: 10.0.0.11 Mscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 10.0.0.1 Servidor DNS preferido: 10.0.0.11

6. Configura la zona horaria 7. Reinicia el servidor

Instalar un nuevo bosque de Windows Server 2012 1. Ejecuta Administrador del Servidor 2. Clic en agregar funciones y caractersticas 3. Selecciona el rol Servicios de dominio de Active Directory. 4. Cuando pregunte si desea agregar caractersticas requeridas para Servicios de Dominio de Active Directory haz clic en Agregar caractersticas 5. Cuando termina la instalacin se muestra leyenda "Promover este servidor a controlador de dominio", haz clic en ella. 6. Aparece el Asistente para configuracin de Servicios de Dominio de Active Directory 7. En configuracin de implementacin, en seleccionar la operacin de

implementacin -> Agregar un nuevo bosque

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Nombre de dominio Raz: contoso.com Nivel funcional del bosque: Windows Server 2012 Nivel funcional del dominio: Windows Server 2012

8. Especificar capacidades del controlador de dominio 9. Marcar Servidor de Sistema de nombres de dominio (DNS) y Catlogo Global 10. Asigna como contrasea de modo de restauracin de servicios de directorio (DSRM): Pa$$w0rd 11. Aparece un aviso relacionado a la delegacin de DNS, haz clic en siguiente 12. Nombre de dominio NETBIOS: CONTOSO 13. Deja la ubicacin de la BD de AD, sysvol y registros de manera predeterminada 14. Se muestra un resumen, clic en siguiente, luego instalar 15. Una vez terminado se reinicia el servidor 16. Una vez reiniciado entramos al Administrador de DNS y agregamos la zona inversa

3. Administracin del Servicio de Dominio de Active Directory

3.1. Trabajar con los complementos de Active Directory
Crear un MMC personalizado En esta prctica, crears un MMC personalizado con los complementos: Active Directory usuarios y equipos, Visor de eventos y administracin de equipos. Estas herramientas son tiles para la administracin de Active Directory y controladores de dominio. 1. Inicia sesin en SERVER01 como administrador. 2. Ve a la pantalla de inicio y escribe mmc y haz clic sobre mmc. Aparece una MMC vaca. De forma predeterminada, la nueva ventana de la consola no est maximizada. Maximzala para tomar ventaja de tamao completo de la aplicacin. 3. En el men Archivo, haz clic en Agregar o quitar complemento Aparece el cuadro de dilogo Agregar o quitar complementos 4. En la lista complementos disponibles selecciona Administracin de equipos y haz clic en Agregar

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Para administrar el equipo en que se ejecuta la consola, selecciona Equipo Local. Equipo Local no se refiere nicamente a la computadora donde se va a crear la consola es decir, si ejecutas la consola desde otra computadora, la consola gestionar esa computadora.

Para especificar un equipo que se administrar con el complemento, selecciona otro Equipo, a continuacin introduce el nombre del equipo o haz clic en examinar para seleccionarlo.

14. Haz clic en Otro Equipo e introduce SERVER01 como nombre de equipo. 15. Haz clic en finalizar. 16. Haz clic en Aceptar para cerrar el cuadro de dilogo Agregar o quitar complementos. 17. En el men Archivo, haz clic en guardar. Guarda la consola en el escritorio con el nombre MyConsole.msc 18. Cierra la consola Agregar complementos a una MMC En esta prctica, agregars el Visor de eventos en la consola que se cre anteriormente. El Visor de eventos es til para monitorear la actividad en controladores de dominio. 1. Abre MyConsole.msc. 2. En el men Archivo, haz clic en Agregar o quitar complementos 3. Selecciona Visor de eventos de la lista de complementos disponibles 4. Haz clic en Agregar para agregar el complemento a la lista de complementos seleccionados. Se te solicitar que selecciones un equipo para administrar 5. Haz clic en Otro equipo e introduce SERVER01 como nombre de equipo 6. Ahora selecciona el complemento Usuarios y equipos de Active Directory y Dominios y confianzas de Active Directory y agrgalos a la lista Complementos seleccionados 7. Haz clic en Aceptar para cerrar el cuadro de dilogo Agregar o quitar complementos 8. Guarda y cierra la consola.

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Administrar los complementos de una MMC En esta prctica, cambiars el orden de los complementos, eliminars un complemento y se mostrar las extensiones de los complementos. 1. Abre MyConsole.msc. 2. En el men Archivo, haz clic en Agregar o quitar complemento 3. En la lista de complementos seleccionados, selecciona Visor de eventos. 4. Haz clic en Subir 5. Selecciona Dominios y confianzas de Active Directory. 6. Haz clic en quitar. 7. En la lista de complementos seleccionados, selecciona Administracin de equipo. 8. Haz clic en Editar extensiones. Las extensiones son complementos que existen dentro de otro complemento para proporcionar funcionalidad adicional. El complemento de administracin de equipos tiene muchos complementos familiares, cada uno de los cuales puedes activar o desactivar. 9. Haz clic en Solo habilitar las extensiones seleccionadas 10. Quita la seleccin al Visor de eventos, ya que se agreg como un complemento independiente para la consola. 11. Haz clic en Aceptar para cerrar el cuadro de dilogo de extensiones para administracin de equipos. 12. Haz clic en Aceptar para cerrar el cuadro de dilogo Agregar o quitar complementos 13. Guarda los cambios y cierra la consola

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Preparar una consola para su distribucin a los usuarios En esta prctica guardars tu consola en modo de usuario para que los usuarios no puedan agregar, quitar o modificar complementos. Es importante tener en cuenta que los usuarios de MMC son tpicamente administradores. 1. Abre MyConsole.msc 2. En el men Archivo, haz clic en Opciones 3. En modo de consola selecciona el Modo usuario: acceso completo. 4. Haz clic en Aceptar. 5. Guarda y cierra la consola 6. Abre la consola 7. Haz clic en el men Archivo. Observe que no aparece la opcin Agregar o quitar complemento 8. Cierre la consola 9. Haz clic derecho sobre el icono de la consola y haz clic en Autor. 10. Haz clic en el men Archivo. En modo de autor, aparece la opcin Agregar o quitar complemento 11. Cierra la consola

3.2. Creacin de Objetos en Active Directory

En esta prctica, crears y luego localizars objetos en Active Directory. Crears unidades organizativas, usuarios, grupos y equipos para luego crear una consulta guardada y personalizar la vista de esta consulta.

Crear unidades organizativas Por defecto los contenedores de usuarios y equipos se proveen para facilitar la configuracin y migracin de un dominio de Active Directory. Se recomienda crear unidades organizativas que reflejen el modelo administrativo y que se usen para crear y administrar

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

objetos en el servicio de directorio. En esta prctica, crears unidades organizativas para el dominio de ejemplo, contoso.com. 1. Inicia sesin como administrador en SERVER01 2. Abre el complemento Usuarios y equipos de Active Directory 3. Expande el nodo de dominio contoso.com 4. Haz clic derecho en el nodo de dominio y selecciona nuevo, haz clic en unidad organizativa. 5. Escribe el nombre de la unidad organizativa: Cuentas de usuario 6. Confirma que est seleccionada la casilla de verificacin Proteger contenedor contra eliminacin Accidental 7. Haz clic en Aceptar. 8. Haz clic derecho en la unidad organizativa y elije Propiedades. 9. En el Descripcin introduce Identidades no administrativas 10. Haz clic en Aceptar. 11. Repite los pasos 2 al 10 para crear las siguientes unidades organizativas: Nombre de OU Clientes Grupos Admins Servidores Descripcin OU Computadoras cliente Grupos no administrativos Identidades administrativas y grupos Servidores

Crear usuarios Ahora que has creado unidades organizativas en el dominio contoso.com, ests listo para agregar objetos al servicio de directorio. En esta prctica crears varios usuarios en dos de las unidades organizativas creadas previamente. . 1. Inicia sesin en SERVER01 como administrador y abre el complemento Active Directory usuarios y Equipos

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

2. En el rbol de la consola, expande el nodo del dominio, contoso.com y haz clic en la OU Cuentas de usuario 3. Haz clic derecho en la OU Cuentas de usuario, elija nuevo y a continuacin usuario. Aparece el cuadro de dilogo Nuevo objeto: Usuario 4. En nombre de pila, escribe: Dan 5. En Apellidos, escribe: Holme 6. En Nombre de inicio de sesin de usuario, escribe: dholme 7. En el Nombre de inicio de sesin de usuario (anterior a Windows 2000) escribe: dholme 8. Haz clic en siguiente. 9. Introduce una contrasea inicial del usuario en los cuadros Contrasea y Confirmar contrasea. La Directiva de contrasea predeterminada para un dominio de Active Directory requiere una contrasea de siete o ms caracteres. Adems, la contrasea debe contener tres de cuatro tipos de caracteres: maysculas (A Z), minsculas (a z), numrico (0-9) y no alfanumricos (por ejemplo,! @ # $ %). La contrasea no puede contener ningn nombre de usuario o atributo de inicio de sesin. 10. Selecciona la casilla de verificacin El usuario debe cambiar la contrasea en el siguiente inicio de sesin 11. Haz clic en siguiente. 12. Revisa el Resumen y haz clic en finalizar. 13. Haz clic derecho en el objeto de usuario que creaste y elije Propiedades. 14. Examina los atributos que se pueden configurar en el cuadro de dilogo Propiedades. No cambies las propiedades 15. Haz clic en Aceptar. 16. Repite los pasos 312 y crea los siguientes usuarios en la unidad organizativa de Cuentas de usuario, asgnales la contrasea: Pa$$w0rd. Marca la casilla de verificacin El usuario debe cambiar l contrasea en el siguiente inicio de sesin. James Fine o Nombre: James o Apellido: Fine

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

o Nombre completo: James Fine o Nombre de inicio de sesin de usuario: jfine o inicio de sesin anterior a Windows 2000: jfine Barbara Mayer o Nombre: Barbara o Apellido: Mayer o Nombre completo: Barbara Mayer o Nombre de inicio de sesin de usuario: bmayer o inicio de sesin anterior a Windows 2000: bmayer Barbara Moreland o Nombre: Barbara o Apellido: Moreland o Nombre completo: Barbara Moreland o Nombre de inicio de sesin de usuario: bmoreland o inicio de sesin anterior a Windows 2000: bmoreland

17. Repite los pasos 312 y crea una cuenta de usuario para ti en la unidad organizativa de Cuentas de usuario. Para el nombre de inicio de sesin de usuario, utiliza la primera inicial de tu nombre y tu apellido paterno por ejemplo, dholme para Dan Holme. Crea una contrasea segura y compleja. 18. Repite los pasos 312 y crea una cuenta administrativa para ti en la OU Admins. A esta cuenta se le dar privilegios administrativos ms adelante. Para el nombre de inicio de sesin de usuario, utiliza la primera inicial de tu nombre y tu apellido paterno seguido por _admin por ejemplo, dholme_admin para la cuenta administrativa de Dan Holme. Crea una contrasea compleja y segura. Marca la casilla de verificacin El usuario debe cambiar la constrasea en el siguiente inicio de sesin. Crear equipos Ante de unir mquinas al dominio, se deben crear cuentas de equipo. En esta prctica crears varios equipos en dos de las unidades organizativas que creaste previamente. 1. Inicia sesin en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory. 2. En el rbol de la consola, expande el nodo del dominio contoso.com y haz clic en la OU Servidores.

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

3. Haz clic derecho en la unidad organizativa Servidores, selecciona nuevo y haz clic en la Equipo. El cuadro de dilogo Nuevo objeto: Equipo aparece 4. En Nombre del equipo escribe: FILESERVER01. El cuadro Nombre del equipo (anterior a Windows 2000) se llena automticamente. 5. No cambies el nombre en el cuadro Nombre del equipo (anterior a Windows 2000). 6. Toma nota de la cuenta especificada en el cuadro de texto Usuario o grupo. No cambie este valor. 7. No selecciones la casilla de verificacin etiquetada como Asignar la cuenta de este equipo como un equipo anterior a Windows 2000. 8. Haz clic en Aceptar. 9. Haz clic derecho en el equipo y selecciona Propiedades. 10. Examinar las propiedades que estn disponibles para un Equipo. No las cambies en este momento. 11. Haz clic en Aceptar. 12. Repite los pasos 3 a 8 para crear objetos de equipo para los siguientes equipos: SHAREPOINT02 EXCHANGE03

13. Repite los pasos 3 a 8 y crear los siguientes equipos en la unidad organizativa Clientes en lugar de la OU Servidores. DESKTOP101 DESKTOP102 LAPTOP103

Crear grupos Es una buena prctica administrar objetos en grupos en lugar de administrarlos individualmente. En esta prctica, se crean varios grupos en dos de las unidades organizativas creadas previamente. 1. Inicia sesin en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory.

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

2. En el rbol de la consola, expande el nodo del dominio contoso.com y haz clic en la OU Grupos. 3. Haz clic derecho en la unidad organizativa Grupos, selecciona nuevo y haz clic en Grupo. El cuadro de dilogo Nuevo objeto: Grupo aparece. 4. Escribe el nombre del nuevo grupo en el cuadro de texto: Nombre de Grupo: Finanzas. 5. No cambies el nombre del grupo en el cuadro de texto: Nombre de grupo (anterior Windows 2000) 6. Selecciona el Tipo de Grupo: Seguridad. 7. Selecciona el mbito de grupo: Global. 8. Haz clic en Aceptar. Los objetos de grupo tienen varias propiedades que son tiles para configurar. Estos pueden ser especificados despus de haber creado el objeto. 9. Haz clic derecho en el grupo y elije Propiedades. 10. Examina las propiedades disponibles para el grupo. No cambies los atributos en este momento. 11. Haz clic en Aceptar. 12. Repite los pasos 3 a 8 para crear los siguientes grupos de seguridad global en la unidad organizativa Grupos: Gerentes de Finanzas Ventas APP_Office 2010

13. Repite los pasos 3 a 8 para crear los siguientes grupos de seguridad global en la unidad organizativa Admins Mesa de ayuda Administradores de Windows

10

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Aadir usuarios y equipos a grupos Ahora que has creado grupos, puedes agregar objetos como miembros de los grupos. En esta prctica, agregars usuarios y equipos a grupos. En el camino, ganars experiencia con el cuadro de dilogo Seleccionar que se utiliza en algunos procedimientos para localizar objetos en Active Directory. 1. Inicia sesin en SERVER01 como Administrador y Abre el complemento Usuarios y equipos de Active Directory. 2. Abre las propiedades de tu cuenta administrativa en la OU Admins. 3. En la ficha Miembro de, haz clic en Agregar. 4. En el cuadro de dilogo Seleccionar grupos, escribe el nombre Admins. del dominio. 5. Haz clic en Aceptar y de nuevo Aceptar para cerrar el cuadro de dilogo de propiedades de la cuenta. 6. Abre las propiedades del grupo Mesa de ayuda en la OU Admins. 7. En la ficha Miembros, haz clic en Agregar. 8. En el cuadro de dilogo escribe Barb. 9. Haz clic en Comprobar nombres. Aparece el cuadro de nombres mltiples encontrados. 10. Selecciona Barbara Mayer y haz clic en Aceptar. 11. Haz clic en Aceptar para cerrar el cuadro de dilogo Seleccionar. 12. Haz clic en Aceptar para cerrar las propiedades del grupo. 13. Abre las propiedades del grupo APP_Office 2010 en la OU Grupos. 14. En la fiche Miembros, haz clic en Agregar. 15. En el cuadro de dilogo escribe DESKTOP101. 16. Haz clic en Comprobar nombres. Aparece un cuadro de dilogo Nombre no encontrado, lo que indica que el objeto especificado podra no encontrarse. 17. Haz clic en Cancelar para cerrar el Cuadro de nombre no encontrado.

11

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

18. En el cuadro de seleccin, haz clic en Tipos de objeto. 19. Selecciona Equipos en Tipos de objeto y haz clic en Aceptar. 20. Haz clic en Comprobar nombres. El nombre se resuelve ahora que se seleccion Equipos. 21. Haz clic en Aceptar.

Buscar objetos en Active Directory Cuando necesitas encontrar un objeto en el servicio de directorio de tu dominio, a veces es ms eficiente utilizar la funcionalidad de bsqueda. En esta prctica, se utilizan tres maneras para localizar objetos en Active Directory. 1. Inicia sesin en SERVER01 y abre el complemento Usuarios y equipos de Active Directory. 2. Haz clic en el botn Encontrar objetos en los servicios de dominio de Active Directory que est en la barra de herramientas. 3. Asegrate de que en la lista desplegable En: aparece contoso.com (el nombre de dominio). 4. En el cuadro Nombre introduce Barb. 5. Haz clic en Buscar ahora. 6. Los dos usuarios llamados Barbara aparecen en los resultados de la bsqueda. 7. Cierra el cuadro de Bsqueda. 8. En el complemento Usuarios y equipos de Active Directory, haz clic derecho en Consultas guardadas, selecciona nuevo y haz clic en consulta. 9. En el cuadro Nombre, introduce Todos los usuarios. 10. En el cuadro Descripcin introduce: Todos los usuarios del dominio. 11. Haz clic en Definir consulta. 12. En la ficha Usuarios, en el cuadro Nombre, selecciona Tiene un valor 13. Haz clic en aceptar dos veces para cerrar los cuadros de dilogo. Aparecen los resultados de la consulta guardada. Note que muestra a los usuarios tanto de la OU Cuentas de usuario y la OU Admins, as tambin como los usuarios incorporados en la OU Users.

12

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

14. En el men Ver, haz clic en Agregar o quitar columnas. 15. En la lista de columnas disponibles, selecciona apellido y haz clic en Agregar. 16. En la lista de columnas mostradas, selecciona Tipo y haz clic en quitar. 17. Haz clic en Aceptar. 18. Arrastra el encabezado de la columna Apellidos para que est entre el Nombre y la Descripcin. 19. Haz clic en el encabezado de la columna Apellido para ordenarlos alfabticamente por apellido.

3.3 Delegacin y seguridad de objetos de Active Directory

En esta prctica, administrars la delegacin de tareas administrativas en el dominio contoso.com y vers el resultado de cambiar el ACL en objetos de Active Directory. Delegar control para el soporte de cuentas de usuario En esta prctica, habilitas a la mesa de ayuda para apoyar a los usuarios a restablecer su contrasea y desbloquear cuentas en la unidad organizativa Cuentas de usuario. 1. Inicia sesin en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory. 2. Expande el nodo de dominio contoso.com, haz clic derecho en la OU Cuentas de usuario, y haz clic en Delegar control para Inicia al Asistente para delegacin de Control. 3. Haz clic en siguiente. 4. En la pgina Usuarios o grupos, haz clic en Agregar. 5. En el cuadro de dilogo de seleccin, escribe Mesa de ayuda y haz clic en Aceptar. 6. Haz clic en siguiente. 7. En la pgina Tareas que se delegarn, selecciona Restablecer contraseas de usuario y forzar el cambio de contrasea. 8. Haz clic en siguiente. 9. Revisar el resumen de las acciones que se han realizado y haz clic en Finalizar.

13

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Vista de permisos delegados En esta prctica, vers los permisos que asignaste al grupo Mesa de ayuda. 1. Inicia sesin en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory. 2. Haz clic derecho en la OU Cuentas de usuario y selecciona Propiedades. La ficha Seguridad no est visible hasta que se active la opcin Caractersticas avanzadas. 3. Haz clic en Aceptar para cerrar el cuadro de dilogo de Propiedades. 4. En el men Ver, selecciona la opcin Caractersticas avanzadas. 5. Haz clic derecho en la OU Cuentas de usuario y selecciona Propiedades. 6. En la ficha Seguridad, haz clic en Opciones avanzadas. 7. En la lista de entradas de permisos, selecciona el primer permiso asignado al grupo Mesa de ayuda. 8. Haz clic en Editar 9. En el cuadro de dilogo Entrada de permiso, localice el permiso que tiene asignado y despus haz clic en Aceptar para cerrar el cuadro de dilogo. 10. Repite los pasos 7-9 para la segunda entrada de permiso asignada al grupo Mesa de ayuda. 11. Haz clic derecho en un objeto de usuario en la unidad organizativa de Cuentas de usuario y selecciona Propiedades. Repite los pasos 6-10 para examinar los permisos heredados asignados al grupo Mesa de ayuda. 12. Abre el smbolo del sistema e introduce dsacls "ou=Cuentas de usuario, dc = contoso, dc=com, y presiona Enter. 13. Localiza los permisos asignados al grupo Mesa de ayuda.

14

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

4. Administrar cuentas de usuario

4.1. Automatizar creacin de cuentas de usuario
En esta prctica, crears varias cuentas de usuario con mtodos automatizados. Crear usuarios con una plantilla de cuenta de usuario En esta prctica, se crea una plantilla de cuenta de usuario a la cual se le asignan algunas propiedades para los representantes de ventas. Luego crear una cuenta de usuario para un nuevo representante de ventas copiando la plantilla de cuenta de usuario. 1. Inicia sesin en SERVER01 como Administrador. 2. Abre el complemento Usuarios y equipos de Active Directory 3. Haz clic derecho en la unidad organizativa Cuentas de usuario, elije nuevo y luego selecciona Usuario. 4. En el cuadro Nombre de pila introduce _ventas, incluyendo guion bajo. 5. En el cuadro Apellido introduce Plantilla. 6. En el cuadro Nombre de inicio de sesin de usuario introduce _ventasplantilla. Haz clic en siguiente. 7. Escribe una contrasea compleja en los cuadros contrasea y Confirmar contrasea. 8. Selecciona la casilla La cuenta est deshabilitada. Haz clic en siguiente y en Finalizar. Nota: El guion bajo al principio del nombre de la cuenta asegura que la plantilla aparezca en la parte superior de la lista de usuarios en la unidad organizativa Cuentas de usuario. Tambin observa que el icono del objeto de usuario incluye una flecha hacia abajo, lo que indica que la cuenta est deshabilitada. 9. Haz doble clic en la cuenta de usuario _ventasplantilla para mostrar sus propiedades. 10. Haz clic en la ficha de la Organizacin 11. En el cuadro Departamento Introduce Ventas 12. En el cuadro Organizacin introduce Contoso, Ltd. 13. Haz clic en la ficha Miembro de y haz clic en Agregar. 14. Escribe Ventas y haz clic en Aceptar.

15

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

15. Haz clic en la ficha Perfil 16. En el cuadro ruta de acceso al perfil introduce \\server01\profiles\%username% y haz clic en Aceptar. Ahora has creado una cuenta de plantilla que puede copiarse para generar nuevas cuentas de usuarios para los representantes de ventas. A continuacin, crears una cuenta basada en esta plantilla. 17. Haz clic derecho en la plantilla _ventasplantilla y elije Copiar. 18. En el cuadro Nombre de pila introduce Jeff. 19. En el cuadro Apellido Ford. 20. En el cuadro Nombre de inicio de sesin de usuario introduce jeff.ford. Haz clic en siguiente. 21. Escribe una contrasea compleja en los cuadros contrasea y Confirmar contrasea. 22. Desactiva el cuadro de verificacin La cuenta est deshabilitada. 23. Haz clic en Siguiente y luego haz clic en Finalizar. 24. Abre las propiedades de la cuenta de Jeff Ford y confirmar que los atributos configurados en la plantilla fueron copiadas a la nueva cuenta. Crear un usuario con el comando DSAdd En esta prctica, se utiliza el comando DSAdd para crear una cuenta de usuario para Mike Fitzmaurice en la OU Cuentas de usuario. 1. Abre el smbolo del sistema, introduce lo siguiente y presiona Enter: dsadd user "cn=Mike Fitzmaurice,ou=Cuentas de usuario,dc=contoso,dc=com" -samid mike.fitz - pwd * -mustchpwd yes -company "Contoso, Ltd." email mike.Fitz@contoso.com 2. Se te pedir que introduces una contrasea dos veces para el usuario. Escribe una contrasea compleja de por lo menos siete caracteres, pulsa Enter. No se vern los caracteres de la contrasea que escribes. 3. Cambia al complemento Usuarios y equipos de Active Directory, actualiza la vista de la OU Cuentas de usuario y abre las propiedades de la cuenta de usuario de Mike. Confirma que las propiedades que escribiste en la lnea de comandos aparecen en la cuenta.

16

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Usuarios de importacin con CSVDE En los dos ejercicios anteriores, has creado los usuarios uno a la vez. En esta prctica, se utiliza un archivo de texto delimitado por comas para importar dos usuarios. 1. Abre el Bloc de notas y escribe las siguientes lneas: DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Cuentas de usuario,DC=contoso,DC=com",user, Jones,David,david.jones,david.jones@contoso.com "CN=Lisa Andrews,OU= Cuentas de usuario,DC=contoso,DC=com",user, Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com "CN= April Stewart,OU= Cuentas de usuario,DC=contoso,DC=com",user, Stewart,April, april.stewart, april.stewart@contoso.com "CN= Tony Krijnen,OU= Cuentas de usuario,DC=contoso,DC=com",user, Krijnen, Tony, tony.krijnen, tony.krijnen@contoso.com 2. Guarda el archivo en Mis Documentos con el nombre NewUsers.txt y cierra el Bloc de notas. 3. Cambia al smbolo del sistema. 4. Captura cd %userprofile%\Documents y presiona Enter. 5. Captura csvde -i -f NewUsers.txt -k y presiona Enter. Los cuatro usuarios son importados. Si encuentras algn error, examina el archivo de texto para problemas tipogrficos. 6. Cambiar a Usuarios y equipos Active Directory, actualiza la vista de la OU Cuentas de usuario y a continuacin, confirma que los usuarios fueron creados correctamente. 7. Examinar las cuentas para confirmar que los campos Nombre, Apellido, User principal Name y nombre de inicio de sesin anterior a Windows 2000 se llenaron de acuerdo al archivo NewUsers.txt.

17

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

4.2 Administracin con PowerShell y el Centro de Administracin de Active Directory

En esta prctica se explora Windows PowerShell y se utiliza para crear cuentas de usuario. Utiliza los comandos y cmdlets de Windows PowerShell En esta prctica, usars Windows PowerShell y utiliza los comandos con los que ya est familiarizado. 1. Inicia sesin en SERVER01 como CONTOSO\Administrador. 2. Haz clic en Powershell en la barra de tareas. 3. En la consola de Windows PowerShell, escribe dir y presiona Enter. 4. Identifica el cmdlet para que dir es un alias. Escribe Get-Alias dir, y presiona Enter. Pregunta: Para qu cmdlet es dir un alias? Respuesta: Get-ChildItem. 5. Escribe ipconfig /all y luego presiona Enter. 6. Escribe cls y presiona Enter. 7. Escribe Get-Help New-ADUser presiona Enter. Se carga el Mdulo de Active Directory para Windows PowerShell. Cierre PowerShell. 8. Abra PowerShell y escriba Import-Module ActiveDirectory presiona Enter. 9. Escriba Get-Help New-ADUser y presiona Enter. 10. Cierra Windows PowerShell. 11. Abre el Mdulo de Active Directory para Windows PowerShell de las herramientas administrativas. 12. Escribe Get-Help New-ADUser y presiona Enter. Los cmdlets de Active Directory y el proveedor estn disponibles de inmediato porque el Mdulo de Active Directory est cargado por defecto.

18

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Identificar y explorar un Cmdlet de Windows PowerShell En esta prctica, se identifica el comando necesario para crear un nuevo usuario y se explorar su documentacin. 1. Abre el Mdulo de Active Directory para Windows PowerShell y lista los cmdlets de Windows PowerShell para Active Directory. Escribe el comando siguiente y presiona Enter: Get-Command Module ActiveDirectory Alternativamente, escribe el comando siguiente y presiona Enter: Get-Command Noun AD* 2. Lista los cmdlets que realizan tareas relacionadas con los usuarios en Active Directory. Escribe el comando siguiente y presiona Enter: Get-Command Noun AD*User* Pregunta: Qu cmdlet borra un usuario? Respuesta: Remove-ADUser. 3. Mostrar el resumen de la documentacin de ayuda para el cmdlet. Escribe el comando siguiente y presiona Enter: Get-Help New-ADUser 4. Mostrar ejemplos de uso para el cmdlet. Escribe el comando siguiente y presiona Enter: Get-Help New-ADUser -examples Consejo: Puedes presionar la tecla de flecha arriba para seleccionar el comando introducido anteriormente y luego escribir el parmetro adicional. 5. Muestra ayuda detallada para el cmdlet. Escribe el comando siguiente y presiona Enter: Get-Help New-ADUser detailed

19

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Crear una unidad organizativa mediante New-ADOrganizationalUnit En esta prctica, se crea una nueva OU llamada Empleados en la OU Cuentas de usuario. Escribe el siguiente comando en una sola lnea y presiona Entrar: New-ADOrganizationalUnit -Name Empleados -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -ProtectedFromAccidentalDeletion $true Comprueba que se hayan creado utilizando Usuarios y equipos de Active Directory Navegue por Active Directory utilizando el PSDrive de Active Directory En esta prctica, navegars en Active Directory utilizando comandos que te sern familiares ya que se usan al navegar por sistemas de archivos en el smbolo del sistema. 1. Escribe cd AD: y presiona Enter. 2. Escribe cd "dc=contoso, dc=com" y presiona Enter. 3. Escribe cd "ou=Cuentas de usuario" y presiona Enter. 4. Escribe md "ou=Contratistas" presiona Enter. 5. Escribe el siguiente comando para crear una unidad organizativa denominada Servicio en la OU Cuentas de usuario New-Item -Name "ou=Servicio" -ItemType organizationalUnit 6. Escribe dir y presiona Enter. 7. Escribe cd c: y presiona Enter. 8. Abre Usuarios y equipos de Active Directory. Desplzate hasta la OU Cuentas de usuario y confirma que se crearon las unidades organizativas Empleados, Contratistas y Servicio.

20

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Crear usuarios con Windows PowerShell En esta prctica, utilizas Windows PowerShell para crear usuarios en Active Directory y luego modificar atributos de uno de los usuarios. 1. En mdulo de Active Directory para Windows PowerShell, escribe el siguiente comando en una lnea y presiona Enter: New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Mike Danseglio" -SAMAccountName "mike.danseglio" -UserPrincipalName "mike.danseglio@contoso.com" 2. Escribe los siguientes dos comandos, uno en cada lnea y presiona Enter: New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Linda Mitchell" -SAMAccountName "linda.mitchell" -UserPrincipalName "linda.mitchell @contoso.com" New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Scott Mitchell" -SAMAccountName "scott.mitchell" -UserPrincipalName "scott.mitchell @contoso.com"

3. Crea un usuario con atributos adicionales. Escribe el siguiente comando en una lnea y presiona Entrar. New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Mary North" -SAMAccountName "mary.north" -UserPrincipalName "mary.north@contoso.com" -EmailAddress "mary.north@contoso.com" -GivenName "Mary" -Surname "North" -Description "Representante de ventas en Australia" -Company "Contoso, Ltd." -Department "Ventas" -Office "Sydney" AccountPassword (ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force) -ChangePasswordAtLogon $true -Enabled $true

21

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

4. Ve a usuarios y equipos de Active Directory, actualiza la vista de la OU Cuentas de usuario. Abre las propiedades de las cuentas de usuario que acabas de crear y confirma que los atributos especificados se configuraron como se esperaba. Ten en cuenta que las cuentas de usuario para Linda Mitchell y Scott Mitchell estn deshabilitadas. No se pueden habilitar hasta que se haya especificado una contrasea. Restablece la contrasea de cada cuenta, pero no las habilites en este momento. Para restablecerla, haz clic derecho sobre cada cuenta y selecciona restablecer contrasea. 5. Cambia al mdulo de Active Directory para Windows PowerShell. 6. Escribe los siguientes comandos y presiona Enter: $user = Get-ADUser "mary.north" Set-ADUser $user -EmployeeNumber 12345 7. Escribe el comando siguiente y presiona Entrar: Get-ADUser "mary.north" | Set-ADUser -DisplayName "North, Mary" 8. Escribe el comando siguiente y presiona Entrar: Get-ADUser "mary.north" -Properties * De forma predeterminada, el cmdlet Get-ADUser devuelve slo pocos atributos ms utilizados. Puedes especificar que devuelva ciertas propiedades mediante el parmetro Properties. Un asterisco (*) devuelve todas las propiedades.

22

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

5. Administrar Grupos
5.1. Gestin de una empresa con grupos
En esta prctica se crearn grupos, se experimentar con la pertenencia a grupos y cambiar el tipo y mbito de un grupo. Crear grupos En esta prctica se crean grupos de diferentes mbitos y tipos. 1. Inicia sesin en SERVER01 como Administrador. Abre Usuarios y equipos de Active Directory y haz clic en la OU Grupos. Elimina el grupo Ventas. 2. Haz clic derecho en la OU Grupos, selecciona nuevo y haz clic en Grupo. 3. En el cuadro Nombre de grupo escribe Ventas. 4. En mbito de grupo selecciona Global y en Tipo de grupo Seguridad. Haz clic en Aceptar. 5. Haz clic derecho en el grupo de Ventas y elija Propiedades. 6. En la ficha Miembros, haz clic en Agregar, escribe Jeff;Tony y haz clic en Aceptar. Haz clic en Aceptar para cerrar el cuadro de dilogo de propiedades. 7. Repite los pasos 2 a 4 para crear dos grupos de seguridad global denominados Marketing y Consultores. 8. Repite los pasos 2 a 4 para crear un grupo de seguridad de dominio local llamado ACL_SalesFolder_Read. 9. Abre las propiedades del grupo ACL_SalesFolder_Read. 10. En los ficha Miembros, haz clic en Agregar y agrega Ventas, Marketing y Consultores haz clic en Aceptar. 11. Haz clic en Agregar. Escribe David Jones y haz clic en Aceptar. Haz clic en Aceptar para cerrar el cuadro de dilogo de Propiedades. 12. Abre el cuadro de dilogo de Propiedades del grupo Marketing. 13. En los ficha Miembros, haz clic en Agregar. 14. Escribe ACL_SalesFolder_Read y haz clic en Aceptar.

23

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

No puedes agregar un grupo de Dominio local a un grupo global. 15. Cierra todos los cuadros de dilogo abiertos. 16. Crea una carpeta llamada Ventas en la unidad C. 17. Haz clic derecho en la carpeta de Ventas, selecciona Propiedades y despus la ficha de seguridad. 18. Haz clic en editar y despus Agregar. 19. Haz clic en Opciones avanzadas y despus Buscar ahora. Note que al usar un prefijo para nombres de grupo tal como el ACL_prefijo, para grupos de acceso a recursos, los puedes encontrar rpidamente, ya que aparecen agrupados en la parte superior de la lista. 20. Cierra todos los cuadros de dilogo abiertos. 21. Ve a Usuarios y equipos de Active Directory, haz clic derecho en la unidad organizativa Grupos, haz clic en nuevo y despus en Grupo. 22. En el cuadro Nombre de grupo escriba Empleados. 23. Selecciona como mbito Dominio local y tipo de grupo Distribucin. Haz clic en Aceptar.

Cambiar el mbito y tipo de grupo En esta prctica, aprenders cmo convertir el alcance y el tipo de grupo. 1. Haz clic derecho en el grupo de Empleados y elije Propiedades. 2. Cambia el tipo de grupo a Seguridad. Haz clic en aplicar. Ten en cuenta: Puedes cambiar el mbito de un grupo de dominio Local a Global? Cmo? 3. Cambie el alcance del grupo a Universal. Haz clic en aplicar. 4. Cambio el mbito del grupo a Global. Haz clic en aplicar. 5. Haz clic en Aceptar para cerrar el cuadro de dilogo Propiedades.

24

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

5.2. Automatizar la creacin y gestin de los Grupos

En esta prctica, se utilizan comandos DS, CSVDE, LDIFDE y Windows PowerShell para realizar tareas de administracin del grupo. Elimina el grupo: Finanzas. Administrar grupos con Windows PowerShell En esta prctica, utilizars Windows PowerShell para crear un grupo. 1. Inicia sesin en SERVER01 como Administrador. 2. Abre el Mdulo Active Directory para Windows PowerShell. Escribe el siguiente comando en una sola lnea: New-ADGroup -Path "OU=Grupos, DC=contoso, DC=com" -Name "PowerShell Experts" -sAMAccountName "PowerShell Experts" -GroupCategory Security -GroupScope Global 3. Abre Usuarios y equipos de Active Directory y confirma que el grupo PowerShell Experts se cre. 4. Ve a Windows PowerShell. Escribe el siguiente comando en una sola lnea: Add-ADGroupMember -Identity "PowerShell Experts" -Members "CN=Mike Danseglio, OU=Cuentas de usuario, DC=contoso, DC=com" 5. Escribe el siguiente comando: Get-ADGroupMember identity " PowerShell Experts" 6. Escribe el siguiente comando: Get-Command *ADGroup* Crear un grupo con DSAdd En esta prctica, utilizas DSAdd para crear un grupo. DSAdd puede crear un grupo e incluso agregar miembros con un nico comando. 1. Escribe el siguiente comando en una sola lnea. Despus presiona Entrar. dsadd group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -samid Finanzas -secgrp

25

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

yes -scope g 2. Abre complemento Usuarios y equipos de Active Directory para confirmar que el grupo se cre. Grupos de importacin con CSVDE 1. Open Bloc de notas y escribe las siguientes lneas. objectClass,sAMAccountName,DN,member group,Accounting,"CN=Contabilidad,OU=Grupos,DC=contoso,DC=com", "CN=Linda Mitchell,OU=Cuentas de usuario,DC=contoso,DC=com; CN=Scott Mitchell,OU= Cuentas de usuario,DC=contoso,DC=com" 2. Guarda el archivo en Mis documentos con el nombre "Importgroups.csv" (incluyendo las comillas dobles para que el Bloc de notas no aada su extensin .txt). 3. Abre el smbolo del sistema y escribe el siguiente comando: csvde -i -f "%userprofile%\documents\importgroups.csv" 4. Cambia a Usuarios y equipos de Active Directory, actualiza la vista de la OU Grupos y verifica que el grupo se ha creado correctamente. Modificar la pertenencia al grupo con LDIFDE CSVDE no puede modificar la pertenencia de grupos existentes, pero LDIFDE si lo puede hacer. En esta prctica, se utiliza LDIFDE para modificar la pertenencia del grupo Contabilidad que ha importado previamente. 1. Abre el Bloc de notas y escribe las siguientes lneas: dn: CN=Contabilidad,OU=Grupos,DC=contoso,DC=com changetype: modify add: member member: CN=April Stewart,OU=Cuentas de usuario,dc=contoso,dc=com member: CN=Mike Fitzmaurice,OU= Cuentas de usuario,dc=contoso,dc=com -

26

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

dn: CN= Contabilidad,OU=Grupos,DC=contoso,DC=com changetype: modify delete: member member: CN=Linda Mitchell,OU=Cuentas de usuario,dc=contoso,dc=com No olvides incluir los guiones despus de cada bloque y la lnea en blanco entre los dos bloques. 2. Guarda el archivo en la carpeta de Mis documentos como "MembershipChange.ldf" (incluyendo las comillas dobles para evitar que el Bloc de notas agregue la extensin .txt). 3. Ve a smbolo del sistema 4. Escribe el comando siguiente y presiona Entrar: ldifde -i -f "%userprofile%\documents\membershipchange.ldf" 5. Utilizando Usuarios y equipos de Active Directory, confirma que la pertenencia del grupo Contabilidad cambi segn las instrucciones del archivo LDIF.

Modificar los miembros de un grupo con DSMod En esta prctica, agregars un usuario y un grupo a Finanzas, utilizando el comando DSMod. 1. Cambia a smbolo del sistema. 2. Escribe el siguiente comando en una sola lnea para cambiar la pertenencia del grupo Finanzas: dsmod group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -addmbr "CN=Tony Krijnen,OU=Cuentas de usuario,DC=contoso,DC=com" "CN=Contabilidad,OU=Grupos,DC=contoso,DC=com" 3. En Usuarios y equipos de Active Directory confirma que los miembros del grupo Finanzas son Tony Krijnen y el grupo de Contabilidad.

27

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Confirma la pertenencia a un grupo con DSGet y Windows PowerShell Evaluar la pertenencia a un grupo de manera eficaz es difcil con el complemento Usuarios y equipos de Active Directory, pero es sencillo con el comando DSGet en Windows PowerShell. En esta prctica, revisaremos los miembros de un grupo y la pertenencia a grupos de un usuario. 1. Ve al smbolo del sistema 2. Lista los miembros directos del grupo Contabilidad escribiendo el siguiente comando y presionando Enter: dsget group "CN=Contabilidad,OU=Grupos,DC=contoso,DC=com" members 3. Lista los miembros directos del grupo Finanzas escribiendo el siguiente comando y presionando Enter: dsget group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -members 4. Muestra la lista completa de miembros del grupo Finanzas escribiendo el siguiente comando y pulsando Enter: dsget group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -members -expand 5. Lista la pertenencia a un grupo directo de Scott Mitchell escribiendo el siguiente comando y pulsando Enter: dsget user "CN=Scott Mitchell,OU=Cuentas de usuario,DC=contoso,DC=com" -memberof 6. Muestra la lista completa de la pertenencia a un grupo de Scott Mitchell escribiendo el siguiente comando y pulsando Enter: dsget user "CN=Scott Mitchell,OU=Cuentas de usuario,DC=contoso,DC=com" -memberof -expand 7. Ve al Mdulo de Active Directory para Windows PowerShell, escribe lo siguiente y presiona Enter: Get-ADGroupMember "Finanzas" -recursive | Select sAMAccountName Select es un alias del cmdlet Select-Object, que toma los objetos en la tubera y selecciona una o ms propiedades de los objetos. Utilizado aqu, hace la salida del cmdlet GetADGroupMember ms legible. Prubalo sin el tubo y el cmdlet Select para ver la diferencia.

28

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Administracin de grupos en una empresa En esta prctica, aplicars las mejores prcticas de las tareas de administracin de grupo para mejorar la Administracin de grupos en el dominio contoso.com. Para realizar los ejercicios en esta prctica, es necesario tener los siguientes objetos en el dominio contoso.com: Una OU de primer nivel llamada Grupos. Un grupo de seguridad global denominado Finanzas en la OU Grupos. Una OU de primer nivel llamada Cuentas de usuario. Tener un usuario llamado Mike Danseglio en la OU de Cuentas de usuario. Llenar la informacin de la cuenta de usuario con datos de ejemplo en los campos: direccin, telfono y correo electrnico. Restablece la contrasea de la cuentapor una que conozcas. Asegrate de que la cuenta est habilitada y que el usuario no necesita cambiar la contrasea en el siguiente inicio de sesin.

Adems, asegrate de que el grupo Usuarios de dominio es un miembro del grupo Operadores de impresin, el cual puede encontrarse en el contenedor Builtin. Esto permite a todos los usuarios de la prctica Iniciar sesin en el controlador de dominio SERVER01. Esto es importante para las prcticas en este taller, pero no debes permitir que los usuarios Inicien sesin en los controladores de dominio en tu entorno de produccin.

Crear un grupo bien documentado En esta prctica crears un grupo para gestionar el acceso a la carpeta de Presupuesto y seguirs las directrices de mejores prcticas. 1. Inicia sesin en SERVER01 como Administrador y abre Usuarios y equipos de Active Directory. 2. Selecciona la OU Grupos en el rbol de la consola. 3. Haz clic derecho en la OU Grupos, selecciona nuevo y haz clic en Grupo. 4. En el cuadro nombre del grupo escribe ACL_Presupuesto_Editar 5. Selecciona como mbito Dominio Local y tipo Seguridad y haz clic en Aceptar 6. Haz clic en el men Ver y asegrate de seleccionar caractersticas avanzadas. 7. Haz clic derecho en el grupo de ACL_Presupuesto_Editar y elije Propiedades.

29

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

8. Seleccinala ficha Objeto y marca la casilla proteger objeto contra eliminacin accidental y haz clic en Aceptar. 9. Vuelva a abrir las propiedades del grupo. 10. En la caja Descripcin escribe PRESUPUESTO (EDITAR) 11. En la caja de Notas escribe las siguientes rutas para representar las carpetas que tienen permisos asignados a este grupo: \\server23\data$\finanzas\presupuesto \\server32\data$\finanzas\proyecciones ingresos 12. Haz clic en Aceptar.

Gestin de la delegacin de pertenencia a un grupo En esta prctica dars la posibilidad a Mike Danseglio de gestionar los miembros del grupo ACL_Presupuesto_Editar. 1. Abre el cuadro de dilogo Propiedades del grupo ACL_Presupuesto_Editar. 2. Abre la ficha Administrado por, haz clic en cambiar. 3. Escribe el nombre de usuario de Mike Danseglio, mike.danseglio y haz clic en Aceptar. 4. Marca la casilla El administrador puede actualizar la lista de suscripciones, clic en Aceptar Validar la delegacin de la administracin de miembros En esta prctica se probar la delegacin realizada previamente, modificando la pertenencia al grupo como el usuario Mike Danseglio. 1. Abre el smbolo del sistema y captura el siguiente comando: runas /user:Mike.dansaglio cmd.exe 2. Cuando se te solicite introduce la contrasea para Mike Danseglio. Aparece una nueva ventana de smbolo del sistema, funcionando como Mike Danseglio. 3. Escribe el siguiente comando en una sola lnea y presiona Entrar: dsmod group "CN=ACL_Presupuesto_Editar,OU=Grupos,DC=contoso,DC=com"

30

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

-addmbr "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" 4. Cierra ambas ventanas smbolo de sistema 5. En Usuarios y equipos de Active directory examina los miembros del grupo ACL_Presupuesto_Editar y asegrate de que el grupo de Finanzas fue aadido con xito.

6. Configuracin de cuentas de equipo

6.1. Crear equipos y unirlos al dominio
En esta prctica implementars las mejores prcticas para crear Computadoras y unir los sistemas al dominio. Empezars por la creacin de una estructura de OU para hospedar los nuevos objetos Equipo. Posteriormente se crearn estos objetos y delegars permisos para unir estos equipos al dominio. Delegars permisos para crear objetos Equipo y se redireccionar el contenedor por defecto. Finalmente se prepara una cuenta de equipo para unirse offline el dominio. Antes de realizar esta prctica debes tener ciertos objetos en el dominio contoso.com. Algunos de estos objetos ya fueron creados y otros se crearn. Los objetos que debes tener son: Una OU llamada Admins con una sub-OU llamada Grupos Un grupo de seguridad global en la unidad organizativa de Admins\Grupos nombrado Server Admins. Un grupo de seguridad global en la unidad organizativa de Admins\Grupos llamado Mesa de ayuda. Una OU de primer nivel llamada Cuentas de usuario. Un usuario en la unidad organizativa de Cuentas de usuario llamado Jeff Ford. El usuario es miembro de los usuarios del dominio y Server Admins. Asegrate de que la cuenta tiene una contrasea y est habilitada. Un usuario en la OU Cuentas de usuario llamada Linda Mitchell. El usuario es un miembro de Usuarios de dominio y Mesa de ayuda. Asegrate de que la cuenta tiene una contrasea y est habilitada.

Adems, si ya existe un objeto de equipo para DESKTOP101, elimnalo. Finalmente, asegrate que el grupo Usuarios de dominio es un miembro del Grupo Opers. de impresin que puedes encontrar la OU Builtin.

31

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Esto permite a todos los usuarios de prueba en el dominio contoso.com iniciar sesin en el Controlador de dominio SERVER01. Esto es importante para esta prctica, pero no debes permitir a los usuarios Iniciar sesin en los controladores de dominio en tu entorno de produccin. Crear objetos de equipo En esta prctica, preparar una cuenta de un cliente y una cuenta para un servidor y delegar la capacidad de unir los equipos al dominio. 1. Haz clic derecho en la OU de Clientes, selecciona nuevo y haz clic en Equipo 2. Aparece el cuadro de dilogo Nuevo: Equipo 3. Escribe el nombre del equipo: DESKTOP101 4. Haz clic en cambiar junto al cuadro de usuario o grupo. 5. En el cuadro de dilogo que aparece, escribe el nombre del usuario o grupo que se le permitir unir el equipo al dominio: Selecciona Mesa de ayuda. Haz clic en Aceptar. 6. Haz clic en Aceptar para cerrar el cuadro de dilogo. 7. Haz clic derecho en la OU Servidores, selecciona nuevo y haz clic en Equipo. 8. Aparece el cuadro de dilogo Nuevo: Equipo 9. Escribe el nombre del equipo: SERVER15 10. Haz clic en cambiar junto al cuadro de usuario o grupo. 11. En el cuadro de dilogo que aparece, introduce el nombre del usuario o grupo que se le permitir unir el equipo al dominio: Selecciona Server Admin. Haz clic en Aceptar. 12. Haz clic en Aceptar para cerrar cuadro de dilogo

Delegar la capacidad de crear objetos de equipo En esta prctica, se delegan permisos del menor privilegio para crear objetos de equipo. 1. En SERVER01, abre Usuarios y equipos de Active Directory 2. Haz clic en el men Ver y asegrate de seleccionar caractersticas avanzadas. 3. Haz clic derecho en Clientes y selecciona Propiedades.

32

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

4. En la ficha Seguridad, haz clic en Opciones avanzadas. 5. Haz clic en Selecciona una entidad de seguridad. 6. Escribe Mesa de ayuda y haz clic en Aceptar. 7. En Se aplica a selecciona Este objeto y todos los descendientes. 8. En la Lista de los permisos, selecciona el permiso crear equipo objetos 9. Haz clic en aceptar tres veces para cerrar todos los cuadros de dilogo. 10. Prueba la delegacin ejecutando los siguientes comandos como Linda Mitchell Runas /user:linda.mitchell cmd.exe dsadd computer CN=DESKTOP152,OU=Clientes,DC=contoso,DC=com

Redirigir el contenedor predeterminado de Equipos Es recomendado redirigir el contenedor de Equipos predeterminado para que cualquier nuevo objeto Equipo generado por unirse al dominio se genere en una OU administrada y no en el contenedor Computers. En esta prctica usars Redircmp.exe para redirigir el contenedor predeterminado de Equipos. 1. En SERVER01, abre smbolo del sistema. 2. Escribe el comando siguiente y presiona Entrar: redircmp "OU=Clientes, DC=contoso, DC=com"

6.2 Automatizar la creacin de objetos equipo

En esta prctica, implementars la automatizacin para importar y crear equipos en el dominio contoso.com. Antes de realizar la prctica asegrate de que tienes los siguientes objetos. Una OU de primer nivel llamada Clientes Una OU de primer nivel llamado Servidores

33

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Importando Equipos con CSVDE Cuando deseas crear ms de un equipo puede resultarte ms fcil importar los objetos equipo desde un origen de datos como un archivo CSV. En esta prctica, utilizas CSVDE para importar cuentas de equipo desde un archivo CSV. 1. En el Bloc de notas, escribe las siguientes lneas.
DN,objectClass,name,userAccountControl,sAMAccountName "CN=DESKTOP103,OU=Clientes,DC=contoso,DC=com",computer,DESKTOP103,4096,DESKTOP103$ "CN=DESKTOP104,OU=Clientes,DC=contoso,DC=com",computer,DESKTOP104,4096,DESKTOP104$ "CN=SERVER03,OU=Servidores,DC=contoso,DC=com",computer,SERVER03,4096,SERVER03$

2. Guardar el archivo en Mis documentos con el nombre "Computers.csv", incluyendo las comillas dobles para que no lo guarde como txt. 3. Abre el smbolo del sistema, escribe el comando siguiente y presiona Entrar: csvde -i -f "% userprofile%\documents\computers.csv" 4. Abre Usuarios y equipos de Active Directory y verifica que los objetos Equipo fueron creados con xito.

Crear un equipo con Windows PowerShell En esta prctica, se crea un equipo con Windows PowerShell. 1. Abre el mdulo de Active Directory para Windows PowerShell, escribe el siguiente comando en una sola lnea y presiona Entrar: New-ADComputer -Name "DESKTOP154" -sAMAccountName "DESKTOP154" -Path "OU=Clientes,DC=contoso,DC=com" 2. Abre Usuarios y equipos de Active Directory usuarios y equipos para confirmar que DESKTOP154 fue creado en la unidad organizativa de Clientes.

34

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

7. Implementar una infraestructura de polticas de grupo

7.1 Implementar polticas de grupo
En esta prctica implementars la configuracin del dominio contoso.com mediante polticas de grupo. Crears, configurars y establecers el alcance del GPO

Crear, editar y configurar alcance de un objeto de directiva de grupo En esta prctica, crears un GPO que implementa una poltica de seguridad establecida por la empresa Contoso, Ltd. y configurars el alcance a todos los usuarios y equipos del dominio. 1. Inicia sesin en SERVER01 como Administrador. 2. Abre la consola de Administracin de directivas de grupo desde la pantalla inicio. 3. Expande el Bosque, dominios, el dominio contoso.com y el contender de objetos de directiva de grupo. 4. Haz clic derecho en el contenedor de objetos de poltica de grupo en el rbol de la consola y selecciona Nuevo. 5. En el nombre escribe CONTOSO Standards. Clic en Aceptar. 6. Haz clic derecho en el GPO CONTOSO Standards y elije Editar Aparece el Editor de administracin de directiva de grupo. 7. Haz clic derecho en el nodo raz de la consola CONTOSO Standards y elije Propiedades. 8. Haz clic en la ficha de comentario y escribe: Polticas del corporativo Contoso. Las configuraciones aplican a todos los usuarios y equipos en el dominio. La persona responsable es: Tu nombre. Haz clic en Aceptar. En este escenario, la poltica corporativa de seguridad de IT de Contoso especfica que las computadoras no puede estar desatendidas y con sesin iniciada durante ms de 10 minutos. Para cumplir con esto, configuras un Protector de pantalla protegido con contrasea 9. Expande las plantillas Configuracin de Usuario\Directivas\Plantillas administrativas. 10. Revisa la configuracin bajo este nodo. Observa el texto explicativo de la configuracin de directivas.

35

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

11. Haz clic derecho en plantillas administrativas en el nodo Configuracin de usuario y selecciona Opciones de filtro. 12. Selecciona el cuadro de verificacin Habilitar filtros de palabras clave. 13. En el cuadro de texto Filtrar por las palabras Protector de pantalla. 14. En la lista desplegable situada junto al cuadro de texto, elija Exacta. 15. Haz clic en Aceptar. Las plantillas administrativas se filtran para mostrar solo aquellas que contienen las palabras Protector de pantalla. 16. Examina las polticas de protector de pantalla que has encontrado. 17. En el nodo Panel de control\Personalizacin, haz clic en la directiva Tiempo de espera del Protector de pantalla. Tenga en cuenta el texto explicativo en la margen izquierda del panel de detalles de la consola. 18. Haz doble clic en la directiva Tiempo de espera del Protector de pantalla de configuracin de la Directiva. 19. Revisar el texto explicativo en el cuadro de ayuda. 20. Haz clic en habilitada. 21. En el cuadro segundos, escribe 600. 22. En el cuadro comentario escribe: Poltica de seguridad corporativa de TI implementada estableciendo un tiempo de espera para la activacin del Protector de pantalla. 23. Haz clic en Aceptar. 24. Haz doble clic en la directiva de Proteger el Protector de pantalla mediante contrasea. 25. Haz clic en habilitada. 26. En el comentario escribe: Poltica de seguridad corporativa de TI protegiendo con contrasea el Protector de pantalla. 27. Haz clic en Aceptar. 28. Cierra la consola. Los cambios realizados en el GPME se guardan en tiempo real. No hay ningn comando Guardar.

36

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

29. En el Group Policy Management console, haz clic derecho en el dominio contoso.com y elija vincular un GPO existente. 30. Selecciona el GPO CONTOSO Standards.

Ver los efectos de la aplicacin de polticas de grupo En esta prctica, revisars el efecto de la configuracin de directiva de grupo y practicars la actualizacin manual de la poltica, con Gpupdate.exe. 1. En SERVER01, inicia el Panel de Control y haz clic en apariencia. 2. Haz clic en cambiar protector de pantalla. 3. Observa que puedes cambiar el tiempo de espera del protector de pantalla y la opcin para mostrar el inicio de sesin cuando se desbloquea. Cierra el cuadro de dilogo de configuracin del protector de pantalla. 4. Abre el smbolo de sistema y escribe gpupdate.exe /force/boot /logoff. Estas opciones del comando Gpupdate.exe invocan la actualizacin de Directiva de grupo ms completa. Espera hasta que el comando se ha completado. 5. Regresa a la configuracin del Protector de pantalla en el panel de control. Observa que no puedes cambiar el tiempo de espera ni mostrar el inicio de sesin al reanudar. Explorar un GPO Ahora que has visto un GPO en accin, explorars las GPO para conocer el funcionamiento interior de las Directivas de grupo. 1. En el Group Policy Management console, en el rbol de la consola bajo el Contenedor de objetos de la Directiva de grupo, selecciona el GPO de estndares de CONTOSO. 2. Clic en la ficha mbito, se muestra un informe de los vnculos de la GPO en la seccin vnculos. 3. Haz clic en la ficha de configuracin para ver un informe de la configuracin de directivas en el GPO. Si tienes la configuracin de seguridad mejorada (IE ESC) activada de Internet Explorer, se te pedir que confirmes si deseas aadir about:security_mmc.exe a su Zona de sitios de

37

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

confianza. Haz clic en agregar. En el cuadro de dilogo sitios de confianza, haz clic en agregar y luego haz clic en cerrar. 4. Haz clic en el enlace Mostrar todo en la parte superior de este informe de configuracin para expandir todas las secciones del Informe. Ten en cuenta que los comentarios que se agregaron en la configuracin de la poltica son parte del informe. 5. Colcate en el texto para la Directiva de tiempo de espera de protector de pantalla. Ntese que el ttulo de la poltica es realmente un hipervnculo. Haz clic en el enlace para abrir una nueva ventana que muestra el texto explicativo para la configuracin de la Directiva. Si tienes IE ESC habilitado, se te solicitar que confirme que deseas agregar about:security_mmc.exe a la zona sitios de confianza. Haz clic en agregar. En el cuadro de dilogo de sitios de confianza, haz clic en agregar y haz clic en cerrar. Si aparece un cuadro de dilogo de Error de Script haz clic en s. Si continas teniendo problemas clic el Tiempo de espera del protector de pantalla, abre el administrador de servidores y desactivar IE ESC. 6. En la consola de administracin de directivas de grupo, haz clic en la ficha detalles, ntese que los comentarios de tu GPO aparecen en esta ficha junto con informacin de la versin de GPO.

7.2 Gestin del alcance de las polticas de grupo

Crear una GPO con una configuracin de directiva que tiene prioridad sobre un escenario de conflicto Imagina que eres un administrador del dominio contoso.com. La GPO CONTOSO Standars ligada al dominio, configura una directiva que activa el protector de pantalla despus de 10 minutos de tiempo de espera. Un ingeniero informa que una aplicacin crtica que realiza clculos largos se bloquea cuando se inicia el protector de pantalla y el ingeniero ha pedido que no se aplique esa poltica a su equipo de ingenieros quienes utilizan la aplicacin todos los das. 1. Inicia sesin en SERVER01 como administrador. 2. Abre el complemento Usuarios y equipos de Active Directory y crea una OU dentro de la OU Cuentas de usuario llamada Ingenieros 3. Abre el Administrador de directivas de grupo.

38

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

4. Expande el rbol de la consola para que pueda ver el OU de ingenieros. Haz clic en la OU de Ingenieros y elije Crear un GPO en este dominio y vincularlo aqu. 5. Escribe el nombre Aplicacin Ingeniera y haz clic en Aceptar. 6. Ampliar la OU de ingenieros, haz clic derecho en el GPO y elija Editar 7. Expande Configuracin de usuario\Directivas\Plantillas administrativas\Panel de control\ Personalizacin. 8. Haz doble clic en la directiva Tiempo de espera del pantalla protector. 9. Haz clic en desactivado y haz clic en Aceptar. 10. Cierra el GPME. 11. En administracin de directivas de grupo, haz clic en la unidad organizativa de ingenieros y haz clic en la Ficha Herencia de Directiva de grupo 12. Observa que la GPO Aplicacin Ingeniera tiene prioridad sobre la GPO CONTOSO Standards. El ajuste que se configur donde explcitamente desactiva el protector de pantalla, anula la configuracin en el GPO CONTOSO Standards.

Configurar la opcin forzar Quieres asegurarte de que todos los sistemas reciban lo antes posible los cambios hechos en la Directiva de grupo, adems no quieres que algn otro administrador anule la poltica. 1. En la GPMC, haz clic derecho en el dominio contoso.com y elija crear un GPO en este Dominio y vincularlo aqu. 2. Ingresa el nombre Polticas impuestas por el dominio y haz clic en Aceptar. 3. Clic derecho en el GPO y elije Editar. 4. Expande Configuracin de equipo\Directivas\Plantillas Administrativas\System y haz clic en la carpeta Inicio de sesin. 5. Haz doble clic en Esperar siempre a que se inicialice la red en el inicio del equipo y el inicio de sesin. 6. Selecciona habilitado y haz clic en Aceptar.

39

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

7. Cierra el GPME. 8. Haz clic derecho en el GPO Polticas impuestas por el dominio y elige Exigido. 9. Selecciona la OU Ingenieros y haz clic en la ficha Herencia de directivas de grupo Observa que la GPO exigida tiene precedencia sobre las GPO vinculadas a la OU Ingenieros. Configurar el filtrado de seguridad Conforme pasa el tiempo, descubres que un pequeo nmero de usuarios debe ser excluido de la poltica Tiempo de espera del protector de pantalla configurada por el GPO CONTOSO Standards. Decides utilizar filtrado de seguridad para administrar el alcance del GPO. 1. Abre Usuarios y equipos de Active Directory crea una unidad organizativa denominada Grupos, si es que no existe. En la OU Grupos crea un grupo de seguridad global llamado GPO_CONTOSO Standards_Exceptions. 2. En la GPMC, expande el contenedor de objetos de directiva de grupo. 3. Haz clic derecho en el GPO Aplicacin Ingeniera y selecciona Eliminar. Haz clic en s para confirmar. 4. En el rbol de la consola, selecciona el GPO CONTOSO Standards en el contenedor de objetos de directiva de grupo. 5. En la ficha Delegacin, haz clic en Opciones avanzadas. 6. En el cuadro de dilogo configuracin de seguridad, haz clic en Agregar. 7. Escribe el nombre del grupo, GPO_CONTOSO Standards_Exceptions y haz clic en Aceptar. 8. En la lista de permisos, desplcese hacia abajo y selecciona Denegar Aplicar directiva de grupo. Haz clic en Aceptar. 9. Haz clic en s para confirmar la seleccin. 10. Nota la entrada que se muestra en la ficha Delegacin en la columna permisos vlidos para el Grupo GPO_CONTOSO Standards_Exceptions. 11. Haz clic en la ficha mbito y examina la seccin de filtrado de seguridad. Si cualquier usuario requiere la exencin de las polticas, puedes agregar el usuario al grupo GPO_CONTOSO Standards_Exceptions.

40

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

8. Administrar seguridad empresarial

En esta prctica, instalas, actualizas y eliminas el software, utilizando GPSI. Practicars la administracin de software mediante el uso de XML Notepad, un sencillo editor de XML de Microsoft. Para realizar esta prctica, debes completar los siguientes pasos: Crear una OU de primer nivel llamada Grupos y dentro de esa OU crear una unidad organizativa denominada Aplicaciones. En la OU Aplicaciones, crea un grupo de seguridad global llamado APP_XML Notepad para representar a los usuarios y a las computadoras donde se despliega XML Notepad. Crear una carpeta llamada Software en la unidad C de SERVER01. Dentro de esa carpeta, crear una carpeta llamada XML Notepad. Otorga permisos al grupo APP_XML Notepad de lectura y ejecucin. Compartir la carpeta de Software con el nombre de recurso compartido Software y otorga al grupo Todos permiso de comparticin de Control total. Descargar XML Notepad en el Microsoft Download Center en http://www.Microsoft.com/downloads/en/details.aspx?FamilyID = 72d6aa49-d 787-4118-ba5f-4f30fe913628. Gurdelo en la carpeta de Software\XML Bloc de notas. Tome nota de la versin que tienes descargado.

Crear una implementacin de Software GPO En esta prctica, crea un GPO que despliega XML Notepad a aquellos desarrolladores que requieren la aplicacin. 1. Inicia sesin en SERVER01 como Administrador. 2. Abre la consola de administracin de directivas de grupo. 3. Haz clic en el contenedor de objetos de directiva de grupo y haz clic en nuevo. 4. En el cuadro Nombre, escribe el nombre de la aplicacin (por ejemplo, XML Notepad) y haz clic en Aceptar. 5. Haz clic derecho en el GPO XML Notepad y haz clic en Editar 6. Expande Configuracin de usuario\Directivas\Configuracin de Software. 7. Clic derecho en instalacin de software, selecciona nuevo y haz clic en el paquete.

41

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

8. En el Cuadro de texto nombre de archivo, escribe la ruta de red a la carpeta de distribucin de software (por ejemplo, \\server01\software\XML Notepad) y haz clic en Abrir. Selecciona el paquete de Windows Installer (por ejemplo, XmlNotepad.msi) y haz clic en Abrir. 9. En el cuadro de dilogo implementar Software, selecciona avanzada y haz clic en Aceptar. Hay una breve pausa mientras se crea el paquete. 10. En la pestaa General, tenga en cuenta que el nombre del paquete incluye la versin por ejemplo, XML Notepad 2007. 11. En la ficha de implementacin, haz clic en Asignada. 12. Selecciona la casilla de verificacin instalar esta aplicacin durante el Inicio la sesin. 13. Selecciona Desinstalar esta aplicacin cuando est fuera del mbito de Administracin. 14. Haz clic en Aceptar. 15. Cerrar el Editor de administracin de directiva de grupo. 16. En el Group Policy Management console, selecciona la GPO XML Notepad en el Contenedor de objetos de poltica. 17. En la ficha mbito de aplicacin, en la seccin de filtrado de seguridad, selecciona los usuarios autenticados y haz clic en quitar. Haz clic en Aceptar para confirmar su accin. 18. Haz clic en Agregar. 19. Escribe el nombre del grupo que representa a usuarios y equipos a los que se debe implementar la aplicacin, por ejemplo APP_XML Notepad. 20. Haz clic en Aceptar. El GPO se filtra ahora para aplicar slo al grupo APP_XML Notepad. Sin embargo, la configuracin de GPO no se aplicar hasta que est ligado a una unidad organizativa, un sitio web o el dominio. 21. Haz clic derecho en el dominio contoso.com y haz clic en Vincular un GPO existente. 22. Selecciona XML Notepad en la lista de objetos de directiva de grupo y haz clic en Aceptar. Opcionalmente puede probar el GPO mediante la adicin de la cuenta de administrador al grupo APP_XML Notepad. Cierra la sesin y luego inicia sesin. XML Notepad se instala al iniciar sesin.

42

TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012

Referencias
Practicas traducidas y adaptadas del libro: Holme, D., Ruest, N., Ruest, D., & Kellington, J. (s.f.). MCTS Self-Paced Training Kit (Exam 70-640): Configuring Windows Server 2008 Active Directory (2nd Edition). Microsoft Press.

43