INTRODUCCION En el siguiente trabajo se mostrara la instalación de una maquina virtual y en ella un entorno de red basado en un controlador de dominio en Microsoft

Windows Server (versión 2003 o 2008), y posteriormente implementar diversas configuraciones haciendo uso de las configuraciones de directivas de grupo, que se probaran en la maquina virtual configurada. La configuración de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows, de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa. Puede implementar la seguridad de los servicios del sistema en Windows. Esto permitirá controlar quién puede administrar los servicios de una estación de trabajo, un servidor miembro o un controlador de dominio. Actualmente, la única forma de cambiar un servicio del sistema es a través de una configuración de equipo de directiva de grupo. Si se implementa una Directiva de grupo en la Directiva de dominio predeterminada, la directiva se aplicará a todos los equipos del dominio. Si implementa una Directiva de grupo en la directiva Controladores de dominio predeterminada, la directiva sólo se aplicará en la unidad organizativa del controlador de dominio. Puede crear unidades organizativas que contengan estaciones de trabajo a las que se puedan aplicar directivas. En este trabajo se implementaran Directivas de grupo en una unidad organizativa para modificar configuraciones, cambiar permisos en los servicios del sistema, etc. Las políticas de grupo de Directorio Activo, nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red. Las políticas de grupo se definen en dos secciones: la primera que modifica la configuración de clientes o servidores y la segunda que configura el ambiente para los usuarios. Las políticas de grupo pueden definirse a nivel Sitio (Site), a nivel Dominio y a nivel Unidad Organizacional (OU). Las políticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio. Las políticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU. Las OU’s pueden estar anidadas, las políticas se heredan hacia los niveles inferiores de OU’s. En estos casos si existe la misma política definida en múltiples niveles se aplica la política más cercana a los objetos, a menos de que explícitamente especifique lo contrario. No se recomienda utilizar políticas a nivel de sitios, a menos de que sea totalmente indispensable, ya que en un sitio donde existan múltiples dominios puede degradar el proceso de firma (logon) del usuario.

Configurar el servidor como controlador de dominio El Servicio de nombres de dominio (DNS) y DCPromo (la herramienta de la línea de comandos que crea DNS y Active Directory) pueden instalarse manualmente o mediante el Asistente para configurar su servidor de Windows Server 2003. En esta sección se utilizan las herramientas manuales para realizar la instalación. Para instalar DNS y Active Directory mediante las herramientas manuales 1. Haga clic en el botón Inicio y en Ejecutar, escriba DCPROMO y, a continuación, haga clic en Aceptar. 2. Cuando aparezca el Asistente para instalación de Active Directory, haga clic en Siguiente para iniciar la instalación. 3. Después de revisar la información de Compatibilidad de sistema operativo, haga clic en Siguiente. 4. Seleccione Controlador de dominio para un dominio nuevo (opción predeterminada) y, a continuación, haga clic en Siguiente. 5. Seleccione Dominio en un nuevo bosque (opción predeterminada) y, a continuación, haga clic en Siguiente. 6. Para Nombre DNS completo, escriba contoso.com y, después, haga clic en Siguiente. (Esta opción representa un nombre completo.) 7. Haga clic en Siguiente para aceptar la opción predeterminada Nombre NetBIOS del dominio de CONTOSO. (El nombre NetBIOS proporciona compatibilidad de bajo nivel.) 8. En la pantalla Carpetas de la base de datos y del registro, establezca la Carpeta de registro de Active Directory de forma que apunte a L:\Windows\NTDS y, a continuación, haga clic en Siguiente para continuar. 9. Deje la ubicación de la carpeta predeterminada para Volumen del sistema compartido y, después, haga clic en Siguiente. 10 En la pantalla Diagnósticos de registro de DNS, haga clic en Instalar y configurar el . servidor DNS en este equipo. Haga clic en Siguiente para continuar. 11 Seleccione Permisos compatibles sólo con sistemas operativos de servidor Windows . 2000 o Windows Server 2003 (opción predeterminada) y, a continuación, haga clic en Siguiente. 12 Escriba la contraseña para Contraseña de modo de restauración y . Confirmar contraseña y, después, haga clic en Siguiente para continuar. Nota: los entornos de producción deben emplear contraseñas complejas para las contraseñas de restauración de servicios de directorio.

2

Resumen de las opciones de instalación de Active Directory 13 La Figura anterior representa un resumen de las opciones de instalación . de Active Directory. Haga clic en Siguiente para iniciar la instalación de Active Directory. Si se le indica, inserte el CD de instalación de Windows Server 2003. 14 Haga clic en Aceptar para confirmar la advertencia de que se va a asignar una dirección IP . de forma dinámica a un servidor DNS. 15 Si dispone de varias interfaces de red, seleccione la interfaz de red 10.0.0.0 de la lista . desplegable Elegir conexión y, a continuación, haga clic en Propiedades. 16 En la sección Esta conexión utiliza los siguientes elementos, haga clic en . Protocolo Internet (TCP/IP) y luego en Propiedades. 17 Seleccione Usar la siguiente dirección IP y, a continuación, escriba 10.0.0.2 para . Dirección IP. Presione dos veces la tecla Tab y, después, escriba 10.0.0.1 para Puerta de enlace predeterminada. Escriba 127.0.0.1 para Servidor DNS preferido y, a continuación, haga clic en Aceptar. Haga clic en Cerrar para continuar. 18 Haga clic en Finalizar cuando termine el Asistente para instalación de Active Directory. . 19 Haga clic en Reiniciar ahora para reiniciar el equipo. . Para autorizar el servidor DHCP 1 Una vez reiniciado el equipo, presione Ctrl+Alt+Supr e inicie sesión en el servidor como . administrator@contoso.com. Deje en blanco el cuadro de la contraseña. 2 Haga clic en el menú Inicio, seleccione Herramientas administrativas y, a continuación, . haga clic en DHCP. 3 Haga clic en hq-con-dc-01.contoso.com. Haga clic con el botón secundario del mouse en . hq-con-dc-01.contoso.com y, después, haga clic en Autorizar. 4 Cierre la consola de administración de DHCP. .

3

Se crea e inserta en la lista un icono con el nombre correspondiente. equipos. Para añadir una cuenta de usuario del dominio hay que seguir estos pasos: 4 . grupos y otras unidades organizativas. como usuarios. Inicie la sesión como Administrador. Una cuenta de usuario hace posible: • • • Autentificar la identidad de la persona que se conecta a la red. haga clic en Unidad organizativa.Cómo crear una unidad organizativa 1. 3. Cada persona que tenga acceso a la red requerirá una cuenta de usuario. seleccione Agregar y. después. 2. seleccione Nueva y. o En el menú Acción. haga clic en Unidad organizativa. 4. seleccione Programas. a continuación. Auditar las acciones realizadas utilizando la cuenta. Utilice uno de los pasos siguientes: o Haga clic con el botón secundario del mouse (ratón) en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas. a continuación. haga clic en Aceptar. Controlar el acceso a los recursos del dominio. La siguiente figura muestra cómo aparecen Usuarios y equipos de Active Directory en la pantalla. Herramientas administrativas y. Haga clic en Inicio. En el cuadro Nombre. o Haga clic en Crear una unidad organizativa nueva en la barra de herramientas. Las cuentas de usuario del dominio se pueden crear en el contenedor Users o en algún otro contenedor u OU creada para almacenar cuentas de usuario del dominio. haga clic en Usuarios y equipos de Active Directory. a continuación. escriba el nombre del objeto nuevo y. Ahora puede agregar otros objetos a la unidad organizativa.

como 5 . un administrador asigna el nombre principal de seguridad. | = . excepto los siguientes: " / [ ] : .quinonez tendría un nombre principal tal como francisco. Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo que está administrando. en mayúsculas o minúsculas. El nombre consta de dos partes.En el Active Directory. el nombre principal de seguridad y el sufijo de nombre principal. Para las nuevas cuentas de usuario. Puede contener hasta 20 caracteres. + *? De esta forma un usuario identificado francisco.edu Luego se pone la contraseña y se confirmar la contraseña.quinonez@electivatres. El sufijo de nombre principal predeterminado es el nombre DNS del dominio raíz en el árbol de dominios. cada cuenta de usuario tiene un nombre principal.

Los grupos.edu pass: mv12345.quiñones@electivatres.edu pass:fq12345.edu PASS:iq12345.rivas@electivatres. ====================================== -------------------------------------ventas ====================================== Marlon Valencia user: marlon. Francisco Quiñonez user:francisco. Wilson Rivas user: wilson. contraseñas y usuarios creados son: -------------------------------------Contabilidad ====================================== Iliana Quiñonez USER:iliana.edu pass: wr12345.valencia@electivatres. ====================================== 6 .quiñonez@electivatres.

Francisco Escobar user: francisco. ====================================== -------------------------------------informatica ====================================== Marlon Guzman user: marlon.edu pass: fe12345.edu pass: ie12345. Ricardo Rivas user: ricardo.edu pass: rr12345.escobar@electivatres.edu pass: av12345.edu pass: me12345. Allon Valencia user: allon.guzman@electivatres. ====================================== 7 . ====================================== -------------------------------------gerencia ====================================== Maria Escobar user: maria.valencia@electivatres.escobar@electivatres.-------------------------------------mercadeo ====================================== Iliana Escobar user: iliana.escobar@electivatres.rivas@electivatres.edu pass: mg12345.

Si el controlador de dominio no está disponible todavía en el momento de la instalación. Windows XP. Se le pedirá que se una a un dominio existente o a un grupo de trabajo. si no está ya seleccionado. debe especificar la dirección IP del servidor DNS. • • • Haga clic con el botón secundario del mouse (ratón) en Mi PC y seleccione Propiedades. haga clic en el botón de opción Dominio. Se le pedirá que escriba el nombre de usuario y la contraseña del dominio. asegúrese de que el equipo tiene acceso al mismo segmento de red de forma que pueda comunicarse con el dominio. Windows 98 Segunda Edición.edu"). "electivatres.  Reinicie el servidor para que los cambios surtan efecto. Escriba el nombre completo del dominio (en nuestro caso. Los pasos siguientes describen cómo unir un equipo a un nuevo dominio. puede unirse a él más adelante.Configurar un cliente de Active Directory La configuración de los clientes del Active Directory depende de los sistemas operativos que se encuentren instalados en los equipos terminales como Windows 2000. Desde el cuadro de diálogo Cambios de en el nombre de equipo. Igual que al configurar el controlador de dominio adicional.  Haga clic en Aceptar para confirmar los cambios. En el cuadro de diálogo Propiedades del sistema. Antes de comenzar el proceso. haga clic en la ficha nombre del equipo. 8 .

9 .

10 .

la gestión de las cuentas de usuario es un proceso continuo de adiciones. Abrir el contenedor que almacena la cuenta de usuario. eliminaciones y cambios. Aunque estas tareas no son difíciles. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. Seleccionar el Usuario que queremos administrar y pulsar el menú Acción.Administración de las cuentas de usuario Especialmente en una red grande y ocupada. Aparecerán las siguientes opciones: 11 . pueden consumir tiempo y es necesario gestionarlas con cuidado.

12 . para ello vamos a “Inicio > Todos los programas > Herramientas administrativas > Administración de directivas de grupo”.CONFIGURACIÓN DE DIRECTIVAS DE GRUPO Lo primero que debemos hacer es abrir el administrador de directivas de grupo.

13 .Desplegamos el administrador de directivas de grupo abriendo “Administración de directivas de grupo > Dominio > Objetos de directivas de grupo”. Nos posicionamos sobre “Objetos de directivas de grupo” y seleccionamos “Nuevo”.

Clic derecho sobre la unidad organizativa Usuarios --> Nuevo --> Usuarios. 14 . Una vez abierta. para ello vamos a “Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory”. Inicie la sesión como Administrador. y que se ejecute el screen saver después de 10 minutos de inactividad.. implementar screen saver protegido con password.CONFIGURACION DE DIRECTIVAS DE GRUPOS 1.Cree una directiva de grupo para estandarizar el escritorio a nivel de todos los miembros del dominio con un mismo wallpaper. Además remueva las configuraciones de Display a nivel del control panel para todo el dominio excepto para la OU Informática. pulsamos con el botón derecho del ratón encima del dominio y seleccionamos la opción “Nuevo > Unidad organizativa”. Abrir el administrador de directivas de grupo. Vamos a crear los usuarios del dominio.

15 . Y finalizamos.Rellenamos los datos pedidos. Elegimos la contraseña del usuarios (debe cumplir los requisitos de seguridad).

Vamos a Inicio --> Panel de Control --> Sistema --> Nombre de Equipo --> Cambiar --> Y ponemos el nombre del equipo y el nombre de dominio. 16 .Ahora toca unir el equipo al dominio.

17

18

19

20 .

21 .

22 .

23 .

24 .

25 .

26 .

27 .

28 .

Actualizamos. Inicio > Ejecutar > gpupdate Reiniciamos el equipo y al iniciar tendremos activada el inicio de sesión clásico por usuarios. 29 .

30 .

Modifique las configuraciones de seguridad para establecer una política de contraseñas para todos los usuarios del dominio con requerimientos mínimos de 8 caracteres.. cambio de contraseñas cada 60 días y restricción de no uso de contraseñas repetidas (3 ultimas contraseñas). Haga un enforzamiento de esta directiva para asegurarse que se aplique a todo NIVEL 31 .2.

32 .

33 .

34 .

35 .

36 .

37 .

-Prohiba a los miembros de las OU’s Ventas y Contabilidad el acceso al Control Panel.3. 38 .

39 .

40 .

41 .

42 .

43 .

44 .

45 .

46 .

47 .

48 .

49 .

Vamos a “Inicio > Herramientas administrativas > Administración de directivas de grupo > Editor de objetos de directivas de grupo > clic derecho en Quitar el menú ejecutar del menú inicio > clic en Propiedades”. permita que la OU informática SI pueda tener acceso a esta configuración. Aparecerá la siguiente ventana y en la ventana de Nuevo GPO poner: “No run command” 50 .Implemente una directiva a nivel de dominio para restringir a todos los usuarios el acceso a “Ejecutar comandos “(Run commands) desde el botón de inicio. Como excepción.4..

Iniciar sesion con cualquier usuario 51 .

Ingresar a “Inicio > Todos los programas > Herramientas administrativas > Administración de directivas de grupo > Editor de objetos de directivas de grupo > Propiedades de quitar en menú Ejecutar del menú inicio.” 52 .

Iniciar sesión con cada uno de los usuarios 53 .

Las políticas a nivel dominio afectan a todos objetos (usuarios y/o equipos) dentro de un dominio.CONCLUSIONES Las políticas de grupo de Directorio Activo. nos permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos los equipos y la red. Las políticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha OU. a nivel Dominio y a nivel Unidad Organizacional (OU). 54 . Las políticas de grupo pueden definirse a nivel Sitio.

elhacker.html http://wiki. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3 http://informatica.info-ab.uclm.pdf 55 .es/iflica/gtfinal/libro/c3116.iescuravalera.net/redes/windows/crear-usuarios-y-grupos-unir-un-equipo-a-undominio-y-perfiles-moviles http://www.BIBLIOGRAFIA “Microsoft Windows 2000 Active Directory Services.es/asignaturas/42620/Clase6AdministracionDePoliticasDeGrupo.

ANEXOS 56 .

57 .

58 .

59 .

60 .

Sign up to vote on this title
UsefulNot useful