ADMINISTRACIÓN DE UN SERVICIO DE DIRECTORIO EN WINDOWS

SERVER (ACTIVE DIRECTORY)

ANA CAROLINA VILLADA LASSO

ANDRÉS MAURICIO ORTIZ MORALES

INSTRUCTOR

FICHA 1355081

GESTIÓN DE REDES DE DATOS

SENA CESGE
MEDELLÍN
2017
Cree un dominio llamado con su nombre: sunombre.local y organice la estructura
lógica según el diagrama anterior. Organice esta estructura a partir de Unidades
Organizativas (UO) como se muestra el diagrama, estas UO anidaran a su vez otras
Unidades Organizativas (Usuarios, Grupos, Computadores y Servidores). Cada
Unidad organizativa de usuarios debe de tener al menos 5 usuarios.

Para realizar este trabajo fue necesario cambiarle el nombre al servidor, eso se hizo de la
siguiente manera: Clic derecho en MI PC y propiedades, en la ventana se busca donde
dice “Cambiar Configuración”, se cambia el nombre, se reinicia el Pc y listo.

Se debe crear una Zona nueva…

La cual se llamará “Carolina.local”.

Se crearán los registros, uno será un registro Host (A), donde va el nombre del servidor
con la IP del servidor, y el segundo un fqdn, en mi caso “www”, con el nombre del
servidor y el dominio, es decir “carolina.carolina.local”.
Al Instalar el Active Directory en el servidor, En la parte superior derecha aparece una
bandera con un triángulo como de alerta, daremos clic en el y nos aparecerá que la
configuración de éste, está pendiente, por lo que daremos clic a “Promover este
servidor a controlador de dominio”.

La primera ventana que aparece nos pedirá que elijamos una opción según el caso, en
este, se debe elegir “Agregar un nuevo bosque”, y en Nombre de dominio Raíz,
escribiremos nuestro dominio DNS.

En la siguiente ventana nos pedirá asignar una contraseña.

En la siguiente, nos mostrará el nombre de dominio NetBIOS, El cual lo necesitaremos

para un punto más adelante, a la hora de unir el equipo cliente al dominio.

Daremos siguiente hasta llegar a la ventana donde se encuentra el botón de Instalar.

En la parte superior derecha del Administrador del servidor, donde dice Herramientas,
desplegaremos las opciones y buscaremos una llamada “ Usuarios y equipos de Active
Directory”.

Veremos nuestro árbol creado “Carolina.local”, daremos clic derecho en él y Nuevo:

Unidad Organizativa.

Crearemos 4 allí, las cuales corresponderán a las 4 ciudades solicitadas (Bogotá,

Medellín, Barranquilla, Cali).
Ahora las Unidades Organizativas de los contratos correspondientes a cada ciudad, se
deben crear dando clic derecho en la respectiva ciudad y no en el árbol “Carolina.local”.

Quedará de la siguiente manera:

Ahora realizaremos las unidades organizativas (usuario, grupo, pc, servidor) en cada
contrato de todas las ciudades, del mismo modo debe ser dando clic derecho en cada
contrato y ya no en las ciudades.
Para crear los usuarios se realizará el mismo proceso en todos los contratos, para ello
iremos a la Unidad organizativa “Usuario” creada anteriormente, daremos clic derecho
en ella y Nuevo: Usuario.

Nos pedirá el Nombre de pila, por lo general el “Nombre de inicio de sesión de usuario”,
es el mismo que este.

Igualmente nos pedirá una contraseña, la cual debe cumplir con ciertos requerimientos
de seguridad, Como una letra mayúscula y ciertos números, En todos los usuarios que
creemos (5 por contrato), Seleccionaremos la opción “El usuario debe cambiar la
contraseña en el siguiente inicio de sesión” ya que es una directiva que se pide en un
punto más adelante.
Cada usuario debe de tener una carpeta compartida en el servidor y el nombre
debe de ser su nombre de usuario. Esta carpeta se debe de montar como una
unidad de red al momento de iniciar sesión. También se debe de crear una carpeta
compartida pública.

En el Disco Local C:, Crearemos dos carpetas, una será la Pública, y la otra donde
estarán las 40 carpetas de los usuarios, “CarpetaUsuarios”.

En ambas carpetas daremos clic derecho y Propiedades, y las compartiremos en la

pestaña “Compartir”.

Ahora en herramientas, en el Administrador del servidor “Administración de Directivas

locales” Crearemos una nueva GPO, dándole clic derecho a cualquiera de las ciudades,
ya que igualmente tendremos que vincularla a las otras 3. Esta GPO se hace con el fin de
asignar las unidades de red a las carpetas compartidas.
Cuando aparezca creada, daremos clic en ella y en “editar”.
Buscaremos la siguiente ruta: Configuración de usuario  Preferencias 
Configuración de Windows  Asignación de Unidades.

Allí daremos clic derecho y Nuevo: unidad asignada.

Se nos abrirá una ventana, en la cual debemos Poner la ruta de una de las carpetas, en
este caso será la que contiene todas las carpetas de los usuarios, “CarpetaUsuarios”, para
saber su ruta, se da clic derecho en la carpeta, Propiedades y nuevamente en la pestaña
Compartir, donde dice “Ruta de acceso de red”, esa será la ruta que deberemos copiar.
Como estamos asignando la unidad de red a la carpeta que contiene todas las carpetas de
los usuarios debemos agregar una variable para que de tal modo reconozca todos los
usuarios, y no tener que crear una por una 40 veces, la variable es “%UserName%”.

En cambio para la carpeta pública, Copiaremos la ruta que se encuentra en la pestaña

Compartir, tal cual está. Para cada una asignaremos una letra, y en la de pública
seleccionaremos al final de la ventana “Mostrar esta unidad” y “mostrar todas las
unidades”.
Es momento de unir el equipo cliente al dominio. Para ello daremos clic derecho en Mi
Pc y Propiedades, en “cambiar configuración”, seleccionaremos la opción “Dominio”, y
escribiremos lo que nos apareció en NETBIOS, a la hora de instalar el Active Directory.
En mi caso fue “CAROLINA0”.

Se nos abrirá una ventana en la cual debemos escribir el usuario Administrador del
servidor y la contraseña, una vez realizado nos debe aparecer el siguiente cuadro,
informándonos que se ha unido al dominio exitosamente.
Se reinicia el equipo, y al aparecer los usuarios seleccionaremos “Otro usuario”, e
ingresaremos con uno de los usuarios creados anteriormente, nos pedirá que debemos
cambiar la contraseña y lo haremos.
Una vez dentro, Iremos a Equipo, y allí deberán estar ambas carpetas compartidas, una
con el nombre del usuario y otra Publica.

Cree una Directiva de Grupo (GPO) por ciudad y asígnela a cada unidad
organizativa.

Como en un punto anterior, la creación de las unidades de red de las carpetas

compartidas, deberemos crear una GPO y vincularla a todas las ciudades, Recordar que
esta no se puede crear dando clic derecho en el Árbol “Carolina.local”, si no en alguna
de las ciudades. Después de crearla clic en Editar, y procederemos a asignar las
directivas.

o Todos los usuarios recibirán un login banner que diga “Bienvenido a

sunombre.local, solo el personal autorizado tiene acceso a los recursos
de este dominio“.

Seguiremos la siguiente ruta: Configuración del equipo  Directivas  Configuración

de Windows  Configuración de Seguridad  Directivas locales  Opciones de
Seguridad. Allí buscaremos la directiva llamada “Inicio de sesión interactivo: texto del
mensaje para los usuarios que intentan iniciar sesión”.
Al abrirla nos aparecerá una ventana y un recuadro en el cual debemos digitar el banner
que se desea y Aceptar.

o Se debe deshabilitar el Menú Ejecutar.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Menú Inicio y barra de tareas. Allí buscaremos la directiva llamada
“Quitar el menú Ejecutar del menú inicio”.

Habilitaremos en la ventana que se nos abre y listo.

 o Se debe deshabilitar el Panel de control.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Panel de control. Allí buscaremos la directiva llamada “Prohibir el
acceso a Configuración de PC y a panel de control”.

Habilitaremos en la ventana que se nos abre y listo.

o Se debe deshabilitar el REGEDIT.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Sistema. Allí buscaremos la directiva llamada “Impedir el acceso a
herramientas de edición del registro.”.
Habilitaremos en la ventana que se nos abre, en Opciones seleccionaremos “sí” y listo.

o Se debe deshabilitar la reproducción automática de medios extraíbles.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Componentes de Windows  Directivas de reproducción
automática.

Allí buscaremos la directiva llamada “Desactivar reproducción automática”.

Habilitaremos en la ventana que se nos abre, en Opciones seleccionaremos “Unidades de

CD-ROM y medios extraíbles” y listo.
 o Se debe deshabilitar el acceso al administrador de procesos.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Sistema  opciones de Ctrl+Alt+Supr. Allí buscaremos la directiva
llamada “Quitar Administrador de tareas”.

o La página principal de la compañía debe estar predeterminada en

todos los navegadores: www.sunombre.local.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Componentes de Windows  Internet Explorer.

Allí buscaremos la directiva llamada “Deshabilitar el cambio de configuración de la

página principal”.
Habilitaremos en la ventana que se nos abre, en Opciones escribiremos la página
principal “www.carolina.local” y listo.

o El papel tapiz debe de ser el mismo para todos los usuarios y este no
puede ser modificado por el mismo.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Active desktop  Active desktop. Allí buscaremos la directiva
llamada “Tapiz del escritorio”.

Habilitaremos en la ventana que se nos abre, en Opciones escribiremos la ruta de la

imagen, es decir, el tapiz que estará en el escritorio, esta imagen debe estar en una
carpeta compartida para todos los usuarios, de lo contrario los usuarios no encontrarán la
imagen y no será efectiva esta directiva. Y listo.
 Cree una GPO por cada ciudad y asegúrese que cumpla con lo siguiente:

Las siguientes GPO de contraseñas, se realizarán en la misma ruta.

o La contraseña debe de cumplir con las políticas básicas de seguridad.

Seguiremos la siguiente ruta: Configuración de usuario  Configuración de Windows 

Configuración de seguridad  Directivas de cuenta  Directiva de contraseñas. Allí
buscaremos la directiva llamada “La contraseña debe cumplir los requisitos de
complejidad”.

Habilitaremos en la ventana que se nos abre y listo.

o Forzar cambio de contraseña cada dos mes

“Vigencia máxima de la contraseña”.

Habilitaremos en la ventana que se nos abre, escribiremos los dos meses en días (61) y
listo.
 o Forzar a que la contraseña sea segura

“Longitud mínima de la contraseña”.

Habilitaremos en la ventana que se nos abre, escribiremos 14 caracteres y listo.

o Forzar a que se guarde el historial de contraseñas.

“Longitud mínima de la contraseña”.

Habilitaremos en la ventana que se nos abre, escribiremos de 1 en adelante y listo.

o Cree un usuario administrador para cada contrato de la ciudad.

En la ventana de Usuarios y equipos de Active Directory, en cada contrato crearemos un
usuario normalmente como los hemos creado en puntos anteriores.

El usuario se debe llamar administrador seguido de algo más, ya que el usuario

“Administrador” solamente, ya existe. Asignaremos la contraseña y listo.

Luego de crear todos los usuarios administradores en cada contrato, daremos clic
derecho en todos los contratos, y clic en Delegar control…

En la ventana que se nos abre, agregaremos el usuario administrador correspondiente del

contrato.
En la siguiente ventana seleccionaremos todas las tareas y listo.


o Se debe de configurar una cuota en disco para todos los usuarios de
2GB.

Seguiremos la siguiente ruta: Configuración del equipo  Directivas  Plantillas

administrativas  Sistema  Cuotas de disco.

Allí buscaremos la directiva llamada “Especificar el límite de cuota y nivel de aviso

predeterminados”.

Habilitaremos en la ventana que se nos abre, escribiremos en valor 2 y en Unidades GB

y listo.
 • La GPO de la ciudad de Bogotá debe cumplir además con lo siguiente:

Para crear la GPO se hace clic derecho en la Unidad organizativa de Bogotá y Nueva
GPO… es la primera opción, y listo, se da clic derecho en ella y “Editar”.

o No se puede ver los archivos o directorios que se encuentran en el

escritorio. o
Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas
administrativas  Active desktop. Allí buscaremos la directiva llamada “Ocultar y
deshabilitar todos los elementos del escritorio”.

Habilitaremos en la ventana que se nos abre y listo.

o No se permite ejecutar el administrador de tareas

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Sistema  opciones de Ctrl+Alt+Supr. Allí buscaremos la directiva
llamada “Quitar Administrador de tareas”.
Habilitaremos en la ventana que se nos abre y listo.
o No se permite apagar o reiniciar la maquina desde el sistema.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Menú Inicio y barra de tareas. Allí buscaremos la directiva llamada
“Quitar evitar el acceso a los comandos apagar, reiniciar y suspender”.

Habilitaremos en la ventana que se nos abre y listo.

• La GPO de la ciudad de Cali debe de cumplir con lo siguiente:

Para crear la GPO se hace clic derecho en la Unidad organizativa de Cali y Nueva
GPO… es la primera opción, y listo, se da clic derecho en ella y “Editar”.

o Los usuarios deben de tener perfil móvil de las carpetas (Mis

Documentos y Escritorio). La información de estas carpetas debe
almacenarse en el servidor.

Crearemos un grupo en la unidad organizativa de Cali, clic derecho en ella Nuevo:

Grupo.
Asignamos el nombre y Aceptar.

Agregaremos todos los usuarios de los dos contratos de Cali al grupo.

Ahora crearemos una carpeta para los perfiles móviles en este caso se llamará igual.
Una vez creada daremos clic derecho en ella y Propiedades.
Daremos clic en la pestaña Compartir, y clic en compartir.

La compartiremos con el Grupo que creamos anteriormente y le daremos permisos de

Lectura y escritura.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Configuración

de Windows  Redirección de carpetas.

Allí Encontraremos todas las carpetas por defecto del sistema, escogeremos “Mis
documentos” y “Escritorio”, daremos clic derecho en ambas y Propiedades.

En Configuración deberá estar seleccionado Básico, Y en ubicación de carpeta de

destino “Crear una carpeta para cada usuario en la ruta raíz”.
Y en la Ruta de acceso raíz, será la ruta de la carpeta creada anteriormente “Perfiles
móviles”, recuerda que la ruta se obtiene dando clic derecho en la carpeta, propiedades y
en Compartir.
En la carpeta de perfiles móviles, deben estar carpetas con el mismo nombre de los
usuarios de los contratos de Cali.

Seguiremos la siguiente ruta: Configuración de equipo  Directivas  plantillas

administrativas  Sistema  Perfiles de usuario. Allí buscaremos la directiva llamada
“Establecer ruta de perfil móvil para todos los usuarios conectados a este equipo”.

Habilitaremos en la ventana que se nos abre y en opciones escribiremos la ruta de la

carpeta de Perfiles móviles, seguido de la siguiente variable “%USERNAME%”. Allí
mismo explica el uso de esta variable.
Seguiremos la siguiente ruta: Configuración de equipo  Directivas  Configuración
de Windows  Configuración de seguridad  Directivas locales  Asignación de
derechos. Allí buscaremos la directiva llamada “Permitir el inicio de sesión local”.

En la ventana que se abre deberemos agregar lo siguiente:

Ahora seleccionaremos la GPO de Cali y ubicaremos el “Filtrado de seguridad”, Allí

están agregados los usuarios autentificados, debemos quitar el privilegio de delegación a
este.
Y agregaremos nuestro grupo.

Y ahora iremos a ambos contratos, y en la unidad organizativa “Usuario”, que es donde

se encuentran los usuarios, los seleccionaremos a excepción del Administrador, clic
derecho y Propiedades.

En la pestaña “Perfil”, Seleccionaremos donde dice Ruta de acceso del perfil y

escribiremos la ruta de la Carpeta de perfiles móviles e igualmente agregaremos la
variable “%UserName%”
Por ultimo en el cliente buscamos la carpeta Vinculos, y allí deberá estar las carpetas
“Escritorio” y “Mis documentos”, con un pequeño icono verde con flechas, esto indica que la
sincronización se hizo correctamente, y si abrimos nuestro usuario en otra computadora todo
lo que se encuentre en ambos archivos debe estar allí.

Ahora en el servidor, en la carpeta de perfiles móviles, a medida de que iniciemos sesión

con los usuarios, en ella se creará una segunda carpeta con un V2, y allí se encontrará
todo lo que almacenemos allí.

o La configuración del proxy en el navegador no puede ser modificado por

los usuarios.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Componentes de Windows  Internet Explorer.
Allí buscaremos la directiva llamada “Impedir el cambio de configuración del proxy”.

Habilitaremos en la ventana que se nos abre y listo.

o Deshabilite el acceso de lectura-escritura a dispositivos extraíbles.

Seguiremos la siguiente ruta: Configuración de usuario  Directivas  Plantillas

administrativas  Sistema  Acceso de almacenamiento extraíble. Allí buscaremos la
directiva llamada “Discos extraíbles: denegar acceso de lectura”. Y “Discos extraíbles:
denegar acceso de Escritura”.

Habilitaremos en las ventanas que se nos abren y listo.

La GPO de la ciudad de Barranquilla debe de cumplir con lo siguiente:

Para crear la GPO se hace clic derecho en la Unidad organizativa de Barranquilla y

Nueva GPO… es la primera opción, y listo, se da clic derecho en ella y “Editar”.
 o Todos los usuarios deben de tener predeterminado en el escritorio los
programas Wordpad, Paint e Internet Explorer al momento de iniciar
sesión.

Seguiremos la siguiente ruta: Configuración de usuario  Preferencias

Configuración de windows  Accesos directos

Allí daremos clic derecho y Nuevo: Acceso directo.

Se nos abrirá una ventana en la cual debemos indicar una ruta del acceso directo, con
todas las aplicaciones se hacen los mismos pasos para saber su ruta.
Abrimos el internet explorer, en el icono de la barra de herramientas, daremos clic
derecho, Se nos desplegarán unas opciones entre las cuales nuevamente aparecerá
“Internet explorer”, allí daremos clic derecho y propiedades.

Hacemos clic en la pestaña acceso directo y donde dice Destino: esa será la ruta que
debemos copiar para poner en la ventana del acceso directo.
Se escribirá dicha ruta donde dice “Ruta de destino”, y en Iniciar en: escribiremos la
misma ruta pero eliminaremos la última parte, en este caso el explore.exe.

o Los usuarios pueden iniciar sesión solo en la franja horaria 8:00 AM a

6:00 PM.

Lo siguiente se realizará en ambos contratos de Barranquilla, Nos dirigimos a la

unidad organizativa “Usuario”, y seleccionaremos todos menos el administrador,
clic derecho y clic en propiedades.
Daremos clic en la pestaña Cuenta, allí seleccionaremos la opción de Horas de sesión y
clic en el botón Horas de sesión.

Seleccionaremos el rango de hora deseado con azul , en este caso de 8 a 6. Y Aceptar.

La GPO de la ciudad de Medellín debe cumplir además con lo siguiente:

o Todos los usuarios del contrato 5 de la sede Medellín se deberán incluir

dentro del grupo de administradores locales de los equipos unidos al
dominio.

Primero crearemos un grupo en la unidad organizativa de Medellín.

Abrimos el grupo creado y en “miembro de”. Agregaremos administradores.

En miembros, agregaremos todos los usuarios del contrato 5 de Medellín.

Y en administrado por pondremos un usuario del contrato 5 y listo.

 o Todos los usuarios de la sede Medellín deberán tener acceso al
administrador de procesos de manera restringida.

Entramos a la GPO de Medellín, y seguiremos la ruta Usuarios  Directivas 

Plantillas administrativas  Sistema  Opciones de ctrl + alt + spr. Seleccionamos la
directiva de quitar el administrador de tareas y la habilitamos.

Como podemos ver al darle clic derecho en la barra de tareas no nos deja iniciar el
administrador de tareas.