INSTALACION Y CONFIGURACION

DE
DIRECTORIOS ACTIVOS EN WINDOWS SERVER 2008 R2

REALIZADO POR

ANGIE VIVIANA LONDOÑO ÁLVAREZ.

NILSON ANDRÉS LONDOÑO HERNANDEZ.

CAMILA MARTÍNEZ LÓPEZ.

TECNOLOGIA EN ADMINISTRACION DE REDES DE DATOS

FICHA: 455596.

INSTRUCTOR

MAURICIO ORTIZ MORALES

SERVICIO NACIONAL DE APRENDIZAJE (SENA)

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE)

MEDELLÍN -ANTIOQUIA.

2013
INTRODUCCIÓN.

El directorio activo o Active Directory es el servicio de directorio de una red en la familia

Windows, este servicio de red almacena los recursos de la red tales como, dispositivos
periféricos, usuarios, archivos, bases de datos, aplicaciones, así que se convierte en un
medio para de forma centralizada organizar, controlar y administrar eficientemente los
recursos de red añadiendo que ayuda a monotorizar y localizar los servicios que allí se
encuentran.

Al instalar un Directorio Activo en un sistema Windows Server en la red, convertimos a

dichos equipos en Servidores de dominio o en los controladores de dominio (Domain
Controllers), los demás equipos de la red se convierten en los servidores miembro del
Directorio Activo para así recibir toda la información almacenada accesible siempre y
cuando se autentique correctamente en los controladores de dominio.
Antes de empezar con la instalación del Directorio Activo debemos tener configurado
un Servidor DNS así como una interfaz de red configurada con una dirección IP
estática.
Instalación de Active Directory

DCPromo es el asistente de instalación del servicio de Directorio Activo y es un archivo

ejecutable que se encuentra en la carpeta System32 en Windows. Para ejecutar
adecuadamente el Active Directory es necesario tener instalado un servidor DNS en la
red, de lo contrario, si DNS no está disponible para resolución de nombres, se pedirá
que se tenga un servidor DNS durante la ejecución del DCPromo.
Para empezar con la instalación del directorio activo nos dirigimos a cargar el asistente
del mismo, hay varias formas de hacerlo, una por ejemplo es ingresando a la consola
del sistema dcpromo.exe ó dcpromo, también podemos ingresar el mismo comando
mediante la herramienta de ejecución en Windows, Start > Run o tecla de Windows +
R.

DCPromo empezará a instalar los servicios de dominio del Active Directory y otros
componentes requeridos.

A continuación, tendremos el asistente de instalación, seleccionamos Next para

continuar o Cancel para cancelar la instalación, también seleccionaremos el modo de
instalación avanzada para tener mayor control de la instalación del servicio.
En la siguiente ventana se nos informará de las características de seguridad mejoradas
y la compatibilidad con el sistema operativo, pulsamos Next para continuar.
Seleccionamos la opción de crear un nuevo dominio en un nuevo bosque ya que
estamos creando un nuevo controlador de dominio y no hay bosque existente en la red.
Continuamos con Next.

Proporcionamos un nombre para el nuevo dominio raíz y pulsamos Next para continuar.
Esperamos unos instantes mientras el asistente verifica si el dominio utilizado
anteriormente ya existe.

Ingresamos el nombre de la NetBIOS del dominio (con este nombre el equipo será
identificado en la red) pulsamos Next para continuar.

En este paso, estableceremos el nivel de funcionalidad del bosque, por cada nivel
funcional el asistente mostrará una descripción, de esta forma podemos determinar el
nivel correcto para las necesidades que tengamos, cuanto más alto sea el nivel del
bosque, más características disponibles, en nuestro caso, seleccionamos Windows
Server 2008 R2 y continuamos con Next.

Esperamos que el sistema analice la existencia de DNS y su configuración.

Ahora, el asistente comprobará si existe un DNS instalado en el servidor local, es decir,

el mismo donde se instalará el controlador de dominio, si no se tiene instalado, al final
el asistente instalará un DNS. Continuamos Next.
En esta ventana podemos modificar el sitio en nuestro equipo donde se alojaran las
bases de datos de Active Directory y los archivos de registro. Microsoft recomienda
almacenar los archivos de registro en un lugar o volumen diferente del que está la base
de datos. Damos clic en Next y continuamos.
El paso siguiente será configurar una contraseña para la restauración del servicio de
directorio, cabe recordar que esta contraseña no es la del servicio de dominio y será
necesaria en el caso de que tenga que quitar Active Directory del servidor mediante
DCPromo.
Ahora, el asistente nos hará un breve resumen de lo hasta el momento es nuestra
instalación del Active Directory, esta configuración puede ser exportada a un archivo de
configuración que se puede utilizar en la instalación del Active Directory por medio de la
línea de comandos.

Esperamos mientras se instalan todos los componentes pertinentes para la ejecución

del Active Directory como lo son la base de datos y archivos de configuración;
Marcamos la casilla de Reiniciar Ahora.
Luego de reiniciar podemos verificar que el equipo ya tiene su nombre de NetBIOS
configurado correctamente.

Diagrama para la implementación de la estructura LDAP.

Planteamiento del problema.

Directivas.

1. Cada departamento de la empresa GUSFRABA será agregado a la estructura lógica

del Active Directory a través de unidades organizativas. Cada unidad organizativa
anidará otras unidades organizativas que permitirán tener control sobre los recursos de
red de cada dependencia. Usuarios y Grupos, Impresoras, Carpetas Compartidas,
Equipos. Tenga en cuenta que dentro de cada departamento existen por lo menos 10
usuarios y que la información de cada usuario dentro del directorio debe ser detallada.

Para empezar con la administración del directorio activo nos dirigimos a Group Policy
Management (Administrador de políticas de grupo) mediante Start > Administrative
Tools > Group Policy Management.
Dentro del menú del bosque ingresamos a Domains y dentro del nuestro controlador de
dominio gusfraba.lab damos clic derecho y seleccionamos New Organizational Unit
(Nueva unidad organizativa)

Ingresamos el nombre de la unidad organizativa en el campo y pulsamos OK. Según

nuestro diagrama Dirección general contendrá los demás departamentos.

Dentro de la unidad organizativa DIRECCIÓN GENERAL creamos una nueva unidad

organizativa.
Ingresamos el nombre de Sistemas

Seguimos de forma secuencial estos pasos hasta completar las primeras unidades
organizativas del diagrama.

Según nuestro diagrama, dentro de las unidades organizativas Dirección Comercial,

Dirección de Marketing y Dirección Técnica existirán otras unidades organizativas.

Dentro de la unidad organizativa Dirección General creamos una nueva unidad

organizativa.
Ingresamos el nombre de la unidad organizativa.

Hacemos secuencialmente estos pasos hasta tener el siguiente resultado el cual

corresponde a las exigencias del diagrama.
Cada unidad alojará otras unidades organizativas. Las cuales permitirán acceder un
control sobre los recursos de red de cada dependencia. Estos alojamientos serán:
Usuarios y grupos, equipos, impresoras y carpetas compartidas.

Creamos de la misma manera las nuevas unidades organizativas, clic derecho sobre la
unidad organizativa New Organizational Unit, nombre de la nueva unidad organizativa y
OK para finalizar; Al final debemos tener una vista como la siguiente de nuestras
unidades organizativas o estructura de LDAP.
Tenga en cuenta que dentro de cada departamento deben existir por lo menos 10
usuarios y que la información de cada usuario en el directorio debe ser detallada.

Para la creación de los usuarios masivamente utilizamos la herramienta de línea de

comandos dsadd, esta herramienta fue integrada con Windows Server 2008 y está
disponible siempre y cuando se posea en la máquina los servicios de Active Directory
instalados.

La sintaxis del comando dsadd es la siguiente:

dssadd user dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn
<FirstName>] [-mi <Initial>] [-ln <Last Name>] [-empid <EmployeeID>] [-pwd
{<Password> | *}] [-desc <Description>] [-office <Office>] [-tel <PhoneNumber>] [-email
<Email>] [-mustchpwd {yes | no}] [-disabled {yes | no}]

UserDN Especifica el nombre completo del usuario con el que será agregado.
SAMName Especifica el Manager (SAM) nombre de cuentas de seguridad como el
nombre de cuenta SAM único para este usuario.
UPN Consiste en el nombre principal del usuario que se desea agregar.
FirstName Especifica el primer nombre del usuario al que se desea agregar.
Initial Especifica la inicial del segundo nombre del usuario que se agregará.
LastName Especifica el apellido del usuario.
EmployeeID Indica el ID de empleado.
Pasword Indica la contraseña del usuario.
Description Añade una descripción del usuario, si se va a ingresar una oración como
descripción se debe añadir entre los signos comillas.
Office Especifica la oficina del usuario.
PhoneNumber Especifica el número telefónico del usuario.
Email Especifica el correo electrónico del usuario.
mustchpwd Especifica si el usuario debe cambiar su contraseña la próxima vez que
inicie sesión, dependiendo del caso se elige yes SÍ, no NO.
disabled Especifica si la cuenta estará habilitada o deshabilitada, dependiendo de la
opción que se seleccione, yes SÍ, no NO.

Existen otras opciones para agregar más información durante la creación de un

usuario, puede consultar más sobre estas opciones en este URL.

Existe otra forma un poco mas sencilla para crear usuarios que se hace manualmente
1por 1 y se crean de la siguiente forma.

Nos dirigimos a cada directorio activo que dentro del mismo tiene otro directorio
llamado Usuarios y grupos halli damos click derecho nuevo>usuario
Digitamos los datos del usuario.

Le otorgamos una contraseña y dejamos las casillas sin chulear.

Y damos Finish, por lomenos debemos tener 10 usuarios en cada directorio.

2. Se forzará a todos los usuarios del dominio gusfraba.lab a cambiar de contraseña

cada 15 días y el sistema debe recordar las tres últimas contraseñas cambidas por la
contraseña. La política de contraseñas debe estar habilitada para usar un password
seguro.
Comenzamos de la siguiente manera.

Nos dirigimos a inicio>Administrative tolos>Group policy management.

Creamos un nuevo GPO,damos click derecho en ABC.com y damos click en la 1 opcion

que nos permite crear el GPO.
Le damos un nombre a la GPO y Aceptamos.

Verificamos que la GPO se creo correctamente.

Damos click derecho sobre la nueva GPO y damos click en editar.

Nos dirigimos a Inicio>Editor de administración de directivas de grupo, Dentro de

configuración de seguridad encontraremos Directiva de contraseñas.
Se desplegarán estas opciones, damos click derecho en Vigencia máxima de la
contraseña y en propiedades.

Definimos la configuración de directiva para que las contraseñas expiren

después de 15 días damos clic en aplicar y luego aceptar.

Ahora damos click derecho en la opción Almacenar contraseñas con cifrado reversible
y vamos a sus propiedades.

Habilitamos y damos ok.

Volvemos a dar click derecho pero sobre la opción Exigir historial de contraseñas.

Habilitamos la configuración de directivas y especificamos el número de contraseñas a

recordar, aplicamos los cambios y luego aceptar.

A todos los usuarios, exceptuando los administradores del dominio y los

usuarios del departamento de Sistemas, tendrán restringido el acceso a los
siguientes componentes:

* Menú Ejecutar
* Panel de control
* REGEDIT
* Unidad C: (Visualizar la unidad)
* Reproducción automática de medios extraíbles
* Cambiar la página predeterminada de Internet Explorer (Se cargará por
defecto la página principal del sitio www.abc.com)
* Acceso desde el navegador a los siguientes sitios: www.facebook.com
y www.youtube.com por URL, para todos los usuarios.
* El administrador será el único con la contraseña de supervisor para el
Asesor de Contenidos.
* Desbloquear la barra de tareas (Siempre permanecerá bloqueada)
* Acceso del Lecto-escritura a cualquier medio de almacenamiento
extraíble.
Vamos a crear un nueva GPO en Dirección general, para las restricciones.

Nombramos la GPO y Aceptamos.

Haora vamos a Inicio>Editor de administración de directivas de grupo Dentro de el nos

dirigimos a configuración de usuario>directivas>plantillas administrativas>menú de
inicio y
Barras de tareas.

Buscamos la opción Quitar el menú ejecutar del menú de inicio y damos click derecho
en editar.

Habilitamos y damos ok.

Ahora en panel de control, buscamos la opción que dice prohibir acceso a panel de
control y damos en editar.

Habilitamos y damos ok.

Para ocultar la unidad C: / para esto nos dirigimos a Configuración de usuario>

directivas>plantillas administrativas>componentes de windows>explorador de
Windows.

Buscamos la opción Ocultar estas unidades especificas en mi pc, click derecho en

editar.
Habilitamos y damos ok.

Cambiar la página predeterminada de Internet Explorer (Se cargará por

defecto la página principal del sitio (www.gusfraba.com)
para nos dirigimos a configuración de usuario>directivas>configuración de
windows>mantenimiento de internet Explorer>URLs

Damos click derecho en importar URLs y luegos click en propiedades.

Colocamos la dirección a abrir predeterminadamente y damos ok.

Ahora se va a restringir el acceso del navegador a los sitios www.facebook.com y

www.youtube.com” para esto nos dirigimos a Configuración de usuario>directivas>
configuración de windows>mantenimiento de internet Explorer>seguridad

Damos click derecho en la opción Zonas de seguridad y clasificada… y propiedades.

Habilitamos la opción de importar las configuraciones actual de restricciones

de contenido, y damos clic en el botón de Modificar Ajustes.
Damos click en sitios aprobados y agregamos las URLs que vamos a restringir
En este caso y luego clic en nunca, aplicamos los cambios y luego aceptar.
Debemos crear una contraseña para el administrador de contenidos y damos aceptar.

Ahora para bloquear la barra de tareas nos dirigimos a Configuración de

usuario>directivas>plantillas administrativas>escritorio>menú inicio y barra de tareas.

Buscamos la opción Bloquear la barra de tareas, damos click derecho y editar.

Habilitamos y damos ok.

Para restringir Lecto-Escritura a cualquier medio de almacenamiento
extraíble para ello vamos a configuración de usuario>directivas>plantillas
administrativas>sistema>acceso de almacenamiento extraíble.

Buscamos la opción llamada Todas las clases de almacenamiento extraíble…. Damos

click en editar.

Habilitamos y ok.
Ahora deberemos deshabilitar las restricciones anteriores para SISTEMAS, entonces
nos dirigiremos a Inicio>herramientas administrativas>administración de políticas de
grupo nos paramos en sistema clic derecho y crear un GPO.

Como podemos ver ya la creamos y la nombramos limitaciones.

Nos dirigimos a configuración de usuario >directivas>plantillas administrativas>menú

inicio y barra de tareas Damos clic derecho sobre quitar el menú ejecutar sobre el menú
inicio clic en
Propiedades.
Vamos a Menu de inicio y barra de herramientas y buscamos la opción quitar el menú
ejecutar del menú de inicio damos click derecho y editar.

Habilitamos y ok.

Ahora vamos al directorio Panel de control,buscamos la opción prohibir acceso al panel

de control,click derecho y editar.
Deshabilitamos y aceptamos.

Haora vamos a crear una nueva GPO en COMPRAS.

La creamos y le dimos el nombre de Restricciones usuarios.

Ahora ocultaremos todos los elementos de escritorio nos dirigimos a

Configuración de usuario >directivas>plantillas administrativas>escritorio
Buscamos el directorio Escritorio y dentro de el la opción Ocultar y deshabilitar todos
los elementos del escritorio… damos click derecho y editar.
Habilitamos y damos ok.

Para evitar que apaguen, reinicien y suspensa el pc, nos dirigimos a Configuración de
equipo>directivas>plantillas administrativas>Menú Inicio y barra de Tareas.

Buscamos la opción Quitar y evitar el acceso a los comandos Apagar, Reiniciar y

suspender.
Damos click derecho y editar.
Habilitamos y damos aceptar.

Ahora Quitar el administrador de tareas para esto vamos a Configuración de usuario

>directivas>plantillas administrativas>sistema>Opciones de Ctrl+Alt+Del.
Vamos a la opción quitar administrador de tarea, click derecho y propiedades.

Dentro de cada unidad organizativa Usuarios y Grupos se creará un grupo de usuarios

llamado practicantes. Las cuentas de los practicantes caducarán 6 meses después de
su creación. Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6
PM. Conceder al grupo
Practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una Vez que
cada uno de estos usuarios inicie sesión deberá conectarse Automáticamente a una
unidad de red)

Vamos a dirección general, click derecho y nuevo grupo.

Creamos el grupo praticantes y damos ok.

Cuando ya esté creado lo seleccionamos damos click derecho y propiedades.

Vamos a la pestaña miembro y buscamos avanzadamente.

Damos click en Find Now y selecionamos los usuarios pertenecientes a este grupo.

Selecionamos un usuario del grupo practicantes y damos click derecho,propiedades.

Vamos a la pestaña cuenta y después en hora de inicio de sesión y se abrirá esta
pestaña donde podremos gestionar el horario en el que el usuario Nilson londono podrá
iniciar sesión.
Este solo podrá iniciar de 7:00 AM a 6:00 PM.

Ahora seleccionamos que la cuenta expire en 6 meses.

Debemos crear una carpeta compartida vamos a mis documentos click derecho,nueva
carpeta y la nombramos.

damos click derecho sobre la carpeta y propiedades.

Vamos a la pestaña sharing y damos click en el botom compartir.

Damos en buscar.
Damos en avanzado.

Damos click en Find now y seleccionamos el grupo practicantes.

Y ahora si seleccionamos el grupo practicantes.

Vemos que nuestra carpeta quedo creada exitosamente.

Vamos a las propiedades de un usuario, nos dirigimos a la pestaña Perfil.

Indicamos la ruta de la carpeta y damos click en aplicar y luego aceptar.
Cada vez que los usuarios del departamento Web y Comercio Electrónico inicien sesión
se montarán automáticamente dos unidades de red que se mapean a carpetas
compartidas en un servidor Windows Server 2008. Note que primero debe compartir las
carpetas en algún servidor (Controlador de dominio u otro) antes de montarlas
automáticamente. Todos los usuarios del
departamento tendrán una cuota de 1000MB sobre la unidad de red.

Lo primero será crear un grupo que contengan todos los usuarios web y
comercio electrónico y lo haremos en la misma unidad organizativa, esto ya lo sabemos
realizar.

Después de los pasos anteriores, vamos a crear dos carpetas compartidas mas.
selecionamos la carpeta comercio electrónico damos click derecho propiedades, nos
dirigimos a la pestaña Sharing y damos click en el botom compartir.

Realizamos la búsqueda avanzada del grupo anteriormente creado web y comercio

electrónico lo seleccionamos y le damos permisos de lectura y escritura.
Ahora vamos a crear una nueva GPO.

Damos click en WEB Y COMERCIO ELECTRONICO, creamos la nueva GPO la cual

nombre Unidades de red.

Ahora nos dirigiremos a Configuración de Usuario>Preferencias>Asignación de

Unidades
Damos clic derecho, seleccionamos nuevo>unidad asignada
Ingresamos la ruta donde se encuentra la recién creada carpeta compartida “web”.

Luego vamos a la pestaña común y señalamos la opción Destinatarios a nivel de

elemnto y damos click en el botón Destinatarios…
Damos click donde dice nuevo elemento y seleccionamos la opción Grupo de
seguridad.

Ahora damos click en examinar, seleccionamos el grupo web y comercio electrónico y

damos aceptar.
Ahora estableceremos la cuota de disco, para ello nos dirigimos a Configuración de
Equipo>Políticas>Plantillas Administrativas>Sistema>Cuotas de Disco

Clic derecho sobre Habilitar cuotas de disco clic en Editar.

Habilitamos y aceptamos.

Haora damos click en la opción Limite de cuota y nivel de aviso predeterminado,click

derecho y editar.

Habilitamos la directriz, ahora el primer valor que se configura es el límite por

defecto de la cuota de disco, el segundo es el nivel de advertencia por defecto.

Pasamos a establecer las cuotas de disco sobre las unidades de red, para
Ello debemos instalar un complemento en nuestro servidor, nos dirigimos al
Administrador de Servidor y en la pestaña de funciones buscamos la sección
de servicios de archivo (y damos clic en añadir función al servicio)
Selecionamos la opción File Server Resource Manager y damos siguiente.

Selecionamos el dicos C: y damos en siguiente.

Omitimos 2 pasos mas a los cuales solo debemos dar siguiente y cerramos.
Ahora crearemos las cuotas de disco para ello debemos acceder al servidor
de archivos del administrador de recursos para ello vamos a Inicio>Administrador del
Servidor> Administrador de recursos del Servidor de Archivos.

Vamos al directorio Cuotas, damos click derecho y creamos una nueva cuota.
Una vez seleccionada la ruta de la unidad de red seleccionamos la opción de
Definir opciones personalizadas de cuota y damos clic en propiedades.

Seleccionamos el valor de cuota establecido en la guía 1000MB damos

Clic en aceptar o enter.
Aquí el sistema nos dará la opción de guardar la cuota recién creada como
una plantilla (para futuros usos), nombramos la plantilla y damos clic en ok.

Hacemos exatamente lo mismo procedimiento para la otra carpeta compartida

COMERCIO ELECTRONICO, también Podemos observar las cuotas ya creadas en las
dos unidades de red

Dentro de diseño gráfico creamos un nuevo equipo.

Damos nombre al equipo y aceptamos.

Damos click derecho sobre el nuevo equipo y vamos a propiedades.

Lo asociamos al grupo disenografico.

Selecionamos uno de los usuario pertenecientes al grupo y damos click derecho

propiedades.
Vamos a la pestaña cuenta, damos click en el botón Iniciar sesión en.

Seleccionamos la opción de Los siguientes equipos, digitamos el

Nombre del equipo donde dicho usuario podrá iniciar sesión, clic en Añadir y
por último clic en Aceptar .
Haora Comensaremos con la instalación de PDF24

Una ves instalado Nos dirigimos a Inicio>panel de control>Impresoras.

Selecionamos PDF24 y damos click derecho y propiedades.

Vamos a la opción compartir y señalamos la opción compartir esta impresora.

Ahora nos dirigimos a Inicio>Herramientas Administrativas>Usuarios y Equipos de

Active Directory para ubicar la impresora en la dependencia planteada en la guía, click
derecho sobre el dominio y seleccionamos Buscar.
Filtramos la búsqueda para que halle solo impresoras y damos doble click en buscar.

Verificamos si localizo la impresora, después damos click derecho sobre ella y damos
en la opción Mover.
Seleccionamos el directorio donde quedará alojada la impresora en este nuestro caso
Dirección General>Sistemas>Impresoras Click en Aceptar.

y como confirmamos la impresora quedo ubicada en el departamento de sistemas.

CONCLUSIONES

* Los directorios activos son muy flexibles y seguros.

* Se puede lograr una organización simple y una relativamente fácil administración.
* Nos brinda una escalabilidad enorme.
* Mejora el rendimiento del sistema.
* La buena gestión y control en una red sobre todo mediana o grande es de gran
importancia para el buen manejo y fluidez de la información.