Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ADParteI PDF
ADParteI PDF
CONCEPTOS GENERALES:
Antes de nada, y para entender las explicaciones que siguen, vamos a definir algunos
conceptos que hay que tener muy claros:
Servidor: Ordenador que forma parte de una red y provee servicios a otros
ordenadores de esa red a los cuales se denomina clientes.
Grupo de trabajo: Es una forma de agrupar ordenadores que sólo nos ofrece la
posibilidad de compartir recursos en la red. Cada ordenador del grupo se encarga de
forma individual de realizar el control de acceso a los recursos que pone a disposición de
los demás. Esta forma de agrupación se usa en redes con pocos ordenadores y no
permite la administración centralizada de los recursos ni otras posibilidades tales como
la movilidad de los usuarios en la red (perfiles móviles) o la definición de normas que se
aplicarán a los usuarios y equipos de nuestra red (políticas o directivas de grupo)
Dominio: Es una forma de agrupación de ordenadores cuyo objetivo fundamental es
que la seguridad de la red este centralizada en uno o más servidores. En ocasiones, la red
es demasiado grande para crear sólo un dominio, por lo que aparecen múltiples
dominios, cada uno de ellos con servidores que controlan los recursos de su dominio
(pensad en una multinacional con sedes en distintos países). En nuestro centro educativo
sólo necesitaremos un dominio con un servidor principal y otro de reserva por si el
primero falla.
Directorio Activo (Active Directory): es un servicio de directorio (base de datos)
utilizado para guardar información relativa a los recursos de red de un dominio. El
Directorio Activo permite a los administradores establecer políticas a nivel de empresa,
desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una
organización entera. Un Directorio Activo almacena información de una organización en
una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios
Activos con cientos de objetos para una red pequeña hasta Directorios Activos con
millones de objetos. Un Directorio Activo (DA) es una estructura jerárquica de objetos.
Los objetos se enmarcan en tres grandes categorías. — recursos (Ej: impresoras),
servicios (Ej: correo electrónico), y usuarios (cuentas, o usuarios y grupos). El DA
proporciona información sobre los objetos, los organiza, controla el acceso y establece la
seguridad.
Definidos los anteriores conceptos, vamos a intentar determinar cuál es la mejor forma
de usar Windows 2003 Server en nuestro centro educativo. Para ello, hemos de tener en
cuenta que un ordenador en el que se ejecute Windows 2003 puede desempeñar tres
funciones distintas en una red:
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 2
Una vez instalado Windows 2003 Server en nuestro servidor, y antes de nada,
deberemos realizar las siguientes acciones en el orden que aparecen:
1. Instalarle un antivirus.
3. Configurar las propiedades de red asignando una IP, máscara, puerta de enlace y
servidores DNS de forma que nos podemos conectar a Internet desde él.
sea necesario hasta que comprobemos que no quedan actualizaciones por instalar.
Hacer esto ahora, nos ahorrará quebraderos de cabeza en el futuro.
Una vez hechas las anteriores acciones pasaremos a instalar Active Directory. A título
de curiosidad se indican los requisitos mínimos que debe tener la máquina en la que vamos
a instalarlo:
• Una partición o un volumen con formato NTFS (se entiende que la creamos
cuando instalamos 2003 Server). La partición NTFS se requiere para la carpeta
SYSVOL. Lo lógico es instalar el sistema operativo en una partición no muy grande
y organizar el resto del disco duro del servidor con una o más particiones para
guardar datos.
3. Pulsamos siguiente.
4. Pulsamos siguiente.
7. Llegado este punto deberemos indicar el nombre del dominio que estamos creando.
Tenemos tres posibilidades a la hora de nombrar un dominio: utilizar el mismo
nombre que el dominio que tenemos registrado en Internet, utilizar un subdominio
de éste o utilizar un nombre distinto para el dominio de Windows. En nuestro caso
utilizaremos la tercera opción. Ej: “manjon.local”. Es importante poner .local .org
.com .es .edu... Pulsamos siguiente.
10. Crea la carpeta compartida del volumen del sistema. Esta estructura se replica para
todos los controladores de dominio que montemos en nuestro dominio. Contiene las
siguientes carpetas: La carpeta compartida SYSVOL que contiene la información de
las políticas de grupo y la carpeta compartida Net Logon, que contienen los logon
scripts para computadoras en las que no esta instalado Windows 2003 Server.
11. Nos aparecerá un error de diagnostico del servicio DNS ya que Active Directory
necesita de DNS para funcionar. Elegiremos la última opción que aparece por
defecto en la que se nos propone que este mismo servidor sea configurado como
servidor DNS: “Instalar y configurar este equipo de manera que utilice este
servidor DNS como el preferido”. Pulsamos siguiente.
12. Elegimos los permisos que nos vienen marcados por defecto (2000 o 2003) y
pulsamos siguiente.
15. Para completar la instalación nos pedirá introducir el CD de Windows 2003 Server
para copiar algunos ficheros. Si estamos instalando 2003 Server en una máquina
virtual podemos introducir el CD físico o bien conectar al CD virtual una imagen
.iso de 2003, indicando su ruta en los settings de la máquina virtual. Pulsamos
aceptar. Ahora comenzará un proceso que tardará varios minutos y tras el cual se
nos pedirá que reiniciemos.
Si todo va bien el controlador de dominio estará instalado. Para comprobarlo
podemos ir a “Mis sitios de red” y observar que nos aparece el dominio que hemos
creado y que el único equipo que de momento tenemos es el servidor. Además en
Inicio => Programas => Herramientas administrativas habrán aparecido varios
complementos más relacionados con Active Directory siendo el que más usaremos
el de “Usuarios y equipos de Active Directory”.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 6
POLÍTICAS DE GRUPO:
Una vez instalado el paquete (gpmc.msi) deberemos reiniciar aunque no nos lo pide.
Podemos comprobar que podemos acceder a dicha herramienta desde Inicio => Programas
=> Herramientas administrativas => Administración de directivas de grupo
Nota: Aquellos que descargasteis la versión en inglés podéis desinstalar el paquete acudiendo a Inicio =>
Configuración => Panel de control => Agregar o quitar programas y desinstalarlo para posteriormente instalar
la versión en español.
Este paquete nos permitirá gestionar las políticas o directivas de grupo de nuestro
dominio que no son más que normas que aplicamos a nuestro sistema para definir como
queremos que funcionen determinadas cosas. La consola de administración de directivas
grupo nos permite cambiar la definición de normas que ya existen o crear otras nuevas. Las
políticas de grupo se pueden aplicar a nivel de Sitio, Dominio y Unidad organizativa,
entendidos estos como contenedores de objetos del dominio organizados jerárquicamente.
Nosotros usaremos los dos últimos niveles para aplicar nuestras normas.
La aplicación de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio,
Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de
Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica
a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos
equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una
Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del
contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.
Situados sobre la “Default Domain Policy” haremos clic con el botón derecho y
daremos a Editar. Aparecerá el editor de objetos de directiva de grupo y en él recorreremos
el siguiente camino:
Configuración del Equipo => Configuración de seguridad => Directivas de cuenta =>
Directivas de contraseñas => Las contraseñas deben cumplir los requerimientos de
complejidad => Deshabilitar / Longitud mínima de la contraseña = 0 caracteres
Una vez resuelto el problema de las contraseñas, el siguiente paso que nos debemos
plantear es qué estructura organizativa queremos dar al dominio de nuestro centro, antes
incluso de crear el primer usuario. Iremos entonces a la consola de “Usuarios y Equipos de
Active Directory” para crear una estructura funcional. Al abrir dicha consola aparecen una
serie de carpetas que han sido creadas por defecto al convertir nuestro servidor en un
controlador de dominio:
Carpeta Descripción
Representa el dominio administrado: manjon.local
Dominio
Contendrá todos los equipos CLIENTES que se unan posteriormente a nuestro
Computers / Equipos
dominio.
Domain Controlers / Contiene todos los controladores de dominio que existen en nuestro dominio. Por
Controladores de Dominio ahora sólo tenemos uno.
Contiene todos los usuarios del dominio, incluyendo a los grupos de usuarios y
Users / Usuarios
usuarios que están definidos por defecto en 2003 Server
Builtin Contiene todos los grupos de usuarios definidos por defecto en 2003 Server
No tendremos otros dominios ni relaciones de confianza entre ellos por lo que no
ForeignSecurityPrincipals
nos afecta ni tenemos que tocar nada aquí.
Realmente, raras veces nos va a hacer falta tocar estas carpetas por lo que crearemos
las nuestras propias para organizar nuestros usuarios, equipos y recursos compartidos de la
forma que más nos convenga. Estas carpetas contenedoras de objetos que crearemos
reciben el nombre de “Unidades Organizativas” (UO).
De un primer análisis, podemos deducir que al menos nos hacen falta dos unidades
organizativas principales para agrupar a nuestros usuarios: alumnos y profesores. Para
crear una nueva UO nos situamos en el icono que representa al dominio y con el botón
derecho elegimos Nuevo… => Unidad organizativa. Ponemos el nombre y aceptamos.
Situados sobre la unidad organizativa donde queramos crear un nuevo usuario,
pulsamos con el botón derecho y elegimos Nuevo… => Usuario. Indicaremos su nombre y
el nombre del inicio de sesión y la contraseña que queremos para ese usuario.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 10
Al hacer doble clic sobre el usuario que acabamos de crear podremos ver y definir
todas sus propiedades organizadas en distintas pestañas:
Puede que nos convenga agrupar varios usuarios que van a disfrutar de los mismos
privilegios en un grupo. Por ejemplo, podemos agrupar a todos los profesores de un mismo
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 11
departamento en un mismo grupo. Para crear un grupo nos posicionaremos sobre la unidad
organizativa sobre la que queremos crear el grupo y con el botón derecho del ratón
elegiremos Nuevo… => Grupo. Pondremos el nombre, nos cercioraremos de que estamos
creando un grupo de Seguridad Global y aceptaremos. Si quisiéramos que este grupo
contuviese a otros Grupos tendríamos que crear un grupo de Seguridad Local.
Al hacer doble clic en el grupo recién creado podemos decir qué usuarios serán
miembros de ese grupo haciendo clic en la pestaña Miembros y pulsando Agregar. Basta
con escribir los nombres de los usuarios separados por un punto y coma. También podemos
hacer clic en Avanzadas y hacer una búsqueda para que nos aparezcan los usuarios del
dominio y desde ahí agregarlos.
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 12
Para iniciar sesión en la máquina cliente como un usuario del dominio, deberemos
indicarlo expresamente en Conectarse a: donde diremos que nos conectaremos a nuestro
nombre de dominio (en este caso MANJON). Obsérvese que aquí vemos el nombre
NetBios del dominio y no el completo (manjon.local).
Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte I 13
Cuando iniciemos sesión, se creará un perfil local (en el disco duro de la máquina
cliente). Esto quiere decir que todo el espacio de trabajo de este usuario se almacenará
localmente, incluidos sus documentos personales. Puede que esto nos convenga o no
dependiendo de las características de nuestros usuarios.
Lo más normal en este tipo de entornos es que el espacio de trabajo del usuario
(perfil de usuario) y sus documentos no residan en la máquina local sino que ambos se
almacenen en la red. Esto facilita la movilidad del usuario dentro del centro ya que podrá
iniciar sesión en cualquier equipo cliente teniendo disponibles sus documentos y su
espacio de trabajo (escritorio, favoritos…) desde la red. También facilita la realización de
las copias de seguridad de esos documentos y que habrán de ser programadas por el
administrador del dominio.
Los perfiles móviles y la forma de guardar los documentos de los usuarios en la red, serán
tratados en la segunda parte de este documento.
Nota: Para saber más o recordar cosillas, podéis echar mano del curso de “Redes de Área
Local: Aplicaciones y servicios en Windows” del CNICE, dónde se explican muchos de los
conceptos y procedimientos aquí citados.