Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONCEPTOS GENERALES:
Antes de nada, y para entender las explicaciones que siguen, vamos a definir algunos
conceptos que hay que tener muy claros:
Servidor: Ordenador que forma parte de una red y provee servicios a otros
ordenadores de esa red a los cuales se denomina clientes.
Grupo de trabajo: Es una forma de agrupar ordenadores que slo nos ofrece la
posibilidad de compartir recursos en la red. Cada ordenador del grupo se encarga de
forma individual de realizar el control de acceso a los recursos que pone a disposicin de
los dems. Esta forma de agrupacin se usa en redes con pocos ordenadores y no
permite la administracin centralizada de los recursos ni otras posibilidades tales como
la movilidad de los usuarios en la red (perfiles mviles) o la definicin de normas que se
aplicarn a los usuarios y equipos de nuestra red (polticas o directivas de grupo)
Dominio: Es una forma de agrupacin de ordenadores cuyo objetivo fundamental es
que la seguridad de la red este centralizada en uno o ms servidores. En ocasiones, la red
es demasiado grande para crear slo un dominio, por lo que aparecen mltiples
dominios, cada uno de ellos con servidores que controlan los recursos de su dominio
(pensad en una multinacional con sedes en distintos pases). En nuestro centro educativo
slo necesitaremos un dominio con un servidor principal y otro de reserva por si el
primero falla.
Directorio Activo (Active Directory): es un servicio de directorio (base de datos)
utilizado para guardar informacin relativa a los recursos de red de un dominio. El
Directorio Activo permite a los administradores establecer polticas a nivel de empresa,
desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una
organizacin entera. Un Directorio Activo almacena informacin de una organizacin en
una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios
Activos con cientos de objetos para una red pequea hasta Directorios Activos con
millones de objetos. Un Directorio Activo (DA) es una estructura jerrquica de objetos.
Los objetos se enmarcan en tres grandes categoras. recursos (Ej: impresoras),
servicios (Ej: correo electrnico), y usuarios (cuentas, o usuarios y grupos). El DA
proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la
seguridad.
Definidos los anteriores conceptos, vamos a intentar determinar cul es la mejor forma
de usar Windows 2003 Server en nuestro centro educativo. Para ello, hemos de tener en
cuenta que un ordenador en el que se ejecute Windows 2003 puede desempear tres
funciones distintas en una red:
Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I 2
Una vez instalado Windows 2003 Server en nuestro servidor, y antes de nada,
deberemos realizar las siguientes acciones en el orden que aparecen:
1. Instalarle un antivirus.
3. Configurar las propiedades de red asignando una IP, mscara, puerta de enlace y
servidores DNS de forma que nos podemos conectar a Internet desde l.
sea necesario hasta que comprobemos que no quedan actualizaciones por instalar.
Hacer esto ahora, nos ahorrar quebraderos de cabeza en el futuro.
Una vez hechas las anteriores acciones pasaremos a instalar Active Directory. A ttulo
de curiosidad se indican los requisitos mnimos que debe tener la mquina en la que vamos
a instalarlo:
Una particin o un volumen con formato NTFS (se entiende que la creamos
cuando instalamos 2003 Server). La particin NTFS se requiere para la carpeta
SYSVOL. Lo lgico es instalar el sistema operativo en una particin no muy grande
y organizar el resto del disco duro del servidor con una o ms particiones para
guardar datos.
3. Pulsamos siguiente.
4. Pulsamos siguiente.
7. Llegado este punto deberemos indicar el nombre del dominio que estamos creando.
Tenemos tres posibilidades a la hora de nombrar un dominio: utilizar el mismo
nombre que el dominio que tenemos registrado en Internet, utilizar un subdominio
de ste o utilizar un nombre distinto para el dominio de Windows. En nuestro caso
utilizaremos la tercera opcin. Ej: manjon.local. Es importante poner .local .org
.com .es .edu... Pulsamos siguiente.
10. Crea la carpeta compartida del volumen del sistema. Esta estructura se replica para
todos los controladores de dominio que montemos en nuestro dominio. Contiene las
siguientes carpetas: La carpeta compartida SYSVOL que contiene la informacin de
las polticas de grupo y la carpeta compartida Net Logon, que contienen los logon
scripts para computadoras en las que no esta instalado Windows 2003 Server.
11. Nos aparecer un error de diagnostico del servicio DNS ya que Active Directory
necesita de DNS para funcionar. Elegiremos la ltima opcin que aparece por
defecto en la que se nos propone que este mismo servidor sea configurado como
servidor DNS: Instalar y configurar este equipo de manera que utilice este
servidor DNS como el preferido. Pulsamos siguiente.
12. Elegimos los permisos que nos vienen marcados por defecto (2000 o 2003) y
pulsamos siguiente.
15. Para completar la instalacin nos pedir introducir el CD de Windows 2003 Server
para copiar algunos ficheros. Si estamos instalando 2003 Server en una mquina
virtual podemos introducir el CD fsico o bien conectar al CD virtual una imagen
.iso de 2003, indicando su ruta en los settings de la mquina virtual. Pulsamos
aceptar. Ahora comenzar un proceso que tardar varios minutos y tras el cual se
nos pedir que reiniciemos.
Si todo va bien el controlador de dominio estar instalado. Para comprobarlo
podemos ir a Mis sitios de red y observar que nos aparece el dominio que hemos
creado y que el nico equipo que de momento tenemos es el servidor. Adems en
Inicio => Programas => Herramientas administrativas habrn aparecido varios
complementos ms relacionados con Active Directory siendo el que ms usaremos
el de Usuarios y equipos de Active Directory.
Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I 6
POLTICAS DE GRUPO:
Una vez instalado el paquete (gpmc.msi) deberemos reiniciar aunque no nos lo pide.
Podemos comprobar que podemos acceder a dicha herramienta desde Inicio => Programas
=> Herramientas administrativas => Administracin de directivas de grupo
Nota: Aquellos que descargasteis la versin en ingls podis desinstalar el paquete acudiendo a Inicio =>
Configuracin => Panel de control => Agregar o quitar programas y desinstalarlo para posteriormente instalar
la versin en espaol.
Este paquete nos permitir gestionar las polticas o directivas de grupo de nuestro
dominio que no son ms que normas que aplicamos a nuestro sistema para definir como
queremos que funcionen determinadas cosas. La consola de administracin de directivas
grupo nos permite cambiar la definicin de normas que ya existen o crear otras nuevas. Las
polticas de grupo se pueden aplicar a nivel de Sitio, Dominio y Unidad organizativa,
entendidos estos como contenedores de objetos del dominio organizados jerrquicamente.
Nosotros usaremos los dos ltimos niveles para aplicar nuestras normas.
La aplicacin de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio,
Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de
Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica
a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos
equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explcita una
Directiva de Grupo para un contenedor secundario, dicha directiva suplantar a la del
contenedor primario, si es que son contradictorias, y se sumar a la anterior si no lo son.
Situados sobre la Default Domain Policy haremos clic con el botn derecho y
daremos a Editar. Aparecer el editor de objetos de directiva de grupo y en l recorreremos
el siguiente camino:
Configuracin del Equipo => Configuracin de seguridad => Directivas de cuenta =>
Directivas de contraseas => Las contraseas deben cumplir los requerimientos de
complejidad => Deshabilitar / Longitud mnima de la contrasea = 0 caracteres
Una vez resuelto el problema de las contraseas, el siguiente paso que nos debemos
plantear es qu estructura organizativa queremos dar al dominio de nuestro centro, antes
incluso de crear el primer usuario. Iremos entonces a la consola de Usuarios y Equipos de
Active Directory para crear una estructura funcional. Al abrir dicha consola aparecen una
serie de carpetas que han sido creadas por defecto al convertir nuestro servidor en un
controlador de dominio:
Carpeta Descripcin
Representa el dominio administrado: manjon.local
Dominio
Contendr todos los equipos CLIENTES que se unan posteriormente a nuestro
Computers / Equipos
dominio.
Domain Controlers / Contiene todos los controladores de dominio que existen en nuestro dominio. Por
Controladores de Dominio ahora slo tenemos uno.
Contiene todos los usuarios del dominio, incluyendo a los grupos de usuarios y
Users / Usuarios
usuarios que estn definidos por defecto en 2003 Server
Builtin Contiene todos los grupos de usuarios definidos por defecto en 2003 Server
No tendremos otros dominios ni relaciones de confianza entre ellos por lo que no
ForeignSecurityPrincipals
nos afecta ni tenemos que tocar nada aqu.
Realmente, raras veces nos va a hacer falta tocar estas carpetas por lo que crearemos
las nuestras propias para organizar nuestros usuarios, equipos y recursos compartidos de la
forma que ms nos convenga. Estas carpetas contenedoras de objetos que crearemos
reciben el nombre de Unidades Organizativas (UO).
De un primer anlisis, podemos deducir que al menos nos hacen falta dos unidades
organizativas principales para agrupar a nuestros usuarios: alumnos y profesores. Para
crear una nueva UO nos situamos en el icono que representa al dominio y con el botn
derecho elegimos Nuevo => Unidad organizativa. Ponemos el nombre y aceptamos.
Situados sobre la unidad organizativa donde queramos crear un nuevo usuario,
pulsamos con el botn derecho y elegimos Nuevo => Usuario. Indicaremos su nombre y
el nombre del inicio de sesin y la contrasea que queremos para ese usuario.
Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I 10
Al hacer doble clic sobre el usuario que acabamos de crear podremos ver y definir
todas sus propiedades organizadas en distintas pestaas:
Puede que nos convenga agrupar varios usuarios que van a disfrutar de los mismos
privilegios en un grupo. Por ejemplo, podemos agrupar a todos los profesores de un mismo
Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I 11
departamento en un mismo grupo. Para crear un grupo nos posicionaremos sobre la unidad
organizativa sobre la que queremos crear el grupo y con el botn derecho del ratn
elegiremos Nuevo => Grupo. Pondremos el nombre, nos cercioraremos de que estamos
creando un grupo de Seguridad Global y aceptaremos. Si quisiramos que este grupo
contuviese a otros Grupos tendramos que crear un grupo de Seguridad Local.
Al hacer doble clic en el grupo recin creado podemos decir qu usuarios sern
miembros de ese grupo haciendo clic en la pestaa Miembros y pulsando Agregar. Basta
con escribir los nombres de los usuarios separados por un punto y coma. Tambin podemos
hacer clic en Avanzadas y hacer una bsqueda para que nos aparezcan los usuarios del
dominio y desde ah agregarlos.
Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I 12
Para iniciar sesin en la mquina cliente como un usuario del dominio, deberemos
indicarlo expresamente en Conectarse a: donde diremos que nos conectaremos a nuestro
nombre de dominio (en este caso MANJON). Obsrvese que aqu vemos el nombre
NetBios del dominio y no el completo (manjon.local).
Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I 13
Cuando iniciemos sesin, se crear un perfil local (en el disco duro de la mquina
cliente). Esto quiere decir que todo el espacio de trabajo de este usuario se almacenar
localmente, incluidos sus documentos personales. Puede que esto nos convenga o no
dependiendo de las caractersticas de nuestros usuarios.
Nota: Para saber ms o recordar cosillas, podis echar mano del curso de Redes de rea
Local: Aplicaciones y servicios en Windows del CNICE, dnde se explican muchos de los
conceptos y procedimientos aqu citados.