Diplomado

Windows Server 2008 y 2008 R2

Contenido
1
Contempla Contenidos de los Siguientes Curso de
Microsoft:

70-640 Windows Server 2008 Active Directory

70-642 Windows Server 2008 Network Infrastructure
70-643 Windows Server 2008 Application Infrastructure
70-646 Windows Server 2008 Server Administrator
70-647 Windows Server 2008 Enterprise Administrator
Windows Server 2008 R2 Training
Caracteristicas:

Relacionadas al Control
Relacionadas a la Flexibilidad
Relacionadas a la Proteccion
Power Shell
Publicacion Web
RODC
Manejo de Servidor Simplificado
Server Core
Servicios de Terminal
Virtualizacion
Proteccion de Acceso a la Red (NAP)
Failover Clustering
Algunas Mejoras:

Virtualizacion
Seguridad
Fuerte Aislamiento
Rendimiento
Administracion Simplificada
Administracion del Servidor
 Administracion de Impresion
 Consola del administrador del servidor.
 Asistentes de administrador de servidor.
 Tareas de configuracion inicial.
Seguridad y Cumplimiento de directivas
 Proteccion de acceso a redes.
 Seguridad avanzada de firewall de windoiws.
 Cifrado de unidad BitLocker.
 PKI de empresa (PKIView)
 Criptografia de nueva generacion (CNG)
 Controladores de dominio de solo lectura.
 Aislamiento de servidor y dominio.
Algunas Mejoras:

Acceso Centralizado de Aplicaciones

 Servicios de Terminal Server.
 Inicio de sesion unico.
 RemoteApp de servicios de Terminal Server.
 TS Gateway.
 Acceso web de servicios de TS.

Alta Disponibilidad en Windows Server 2008

 Cluster de Conmutacion por error.
 Equilibrio de carga de red.
 Copia de Seguridad de Windows.
BitLocker

Permite mantener a salvo todo, desde documentos hasta contraseñas, ya que cifra
toda la unidad en la que Windows y sus datos residen. Una vez que se activa
BitLocker, se cifran automáticamente todos los archivos almacenados en la unidad.

Enterprise PKI (PKIView)

Enterprise PKI proporciona una vista del estado del entorno de PKI de la red. La
visualización de las distintas CA y su estado de mantenimiento actual permite a los
administradores administrar las jerarquías de CA y solucionar posibles errores de CA
con facilidad y eficacia. En concreto, Enterprise PKI indica la validez o accesibilidad de
las ubicaciones de acceso a la información de entidad emisora (AIA) y los puntos de
distribución de las listas de revocación de certificados (CRL).
Standard Edition

Esta versión está diseñada para satisfacer las necesidades de las pequeñas y
medianas organizaciones.
Si se utiliza para apoyar las funciones de red estándar.
La versión de 32 bits admite hasta 4 GB de memoria RAM física y hasta 4
procesadores.
La versión de 64 bits admite hasta 32 GB de memoria RAM física y hasta 4
procesadores.
Enterprise Edition

Esta versión está diseñada para satisfacer las necesidades de las grandes
organizaciones.
Soporta conmutación por error (failover clustering) y Active Directory Federation
Services (ADFS)
La versión de 32 bits admite hasta 64 GB de memoria RAM física y hasta 8
procesadores.
La versión de 64 bits compatible con hasta 2 TB de memoria RAM física y hasta 8
procesadores.
Datacenter Edition

Esta versión está diseñada para satisfacer las necesidades de las

organizaciones de gran tamaño.
Viene con derechos de virtualizacion ilimitados.
Solo puede ser comprada OEM.
La versión de 32 bits admite hasta 64 GB de RAM y hasta 32 procesadores.
La versión de 64 bits compatible con hasta 2 TB de memoria RAM física y hasta
64 procesadores.
Windows Web Server 2008

Esta versión está diseñada para funcionar específicamente como un servidor

Web.
La versión de 32 bits admite hasta 4 GB de memoria RAM física y hasta 4
procesadores.
La versión de 64 bits admite hasta 32 GB de memoria RAM física y hasta 4
procesadores.
Sistemas Basados ​en Itanium

Esta versión está diseñada para ser utilizada estrictamente con el procesador
Intel Itanium de 64 bits.
La versión de 64 bits compatible con hasta 2 TB de memoria RAM física y hasta
64 procesadores.
Direccionamiento IP
Que debemos de tener en cuenta

1.- Cantidad de Host

Estaciones
Portátiles (Lan y Wireless)
Servidores
Switches, Routers, AP, cámaras
Teléfonos, Ipads
Visitantes

2.- Cantidad de Sub-Redes

Sucursales
Vlans
Visitantes
 Convenciones de Nombres

Todos los Nombres de Servidores serán nombrados de acuerdo al siguiente formato:

PPCC-FFFFSS
PP: País
CC: Ciudad
FFFF: Función
SS: Secuencia

Todos los Nombres de los Host serán nombrados de acuerdo al siguiente formato:

PPCC-DEPSS-SO

PP: País
CC: Ciudad
DEP: Departamento
SS: Secuencia
SO: Sistema Operativo
Se usarán guiones entre los campos relacionados con la ubicación y los códigos de
función para facilitar la lectura de los nombres de servidores.
Los nombres de función pueden incluir números
DS – Controlador de Dominio Secundario
Notas:

Al asignar nombres a estaciones y servidores, ten en cuenta lo siguiente: Caracteres

no permitidos en nombres NetBIOS de Servidores y estaciones:

•backslash (\)
•slash mark (/)
•colon (:)
•asterisk (*)
•question mark (?)
•quotation mark (")
•less than sign (<)
•greater than sign (>)
•vertical bar (|)
•Windows 2000 no permite nombres de solo números

Mínimo de Caracteres: 1
Máximo de Caracteres: 15
Todas las Descripciones de Equipo para Servidores será de acuerdo al siguiente
formato:
PPCCORG-FFFFSS-SO-BI
PP: País
CC: Ciudad
ORG: Organización
FFFF: Función
SS: Secuencia
SO: Sistema Operativo
BI: Bit 32/64

Todas las Descripciones de Equipo para los Host será de acuerdo al siguiente formato:

PPCCORG-DEPATPSS-SO-BI
PP: País
CC: Ciudad
ORG: Organización
DEPA: Departamento
TP: Tipo de Host
SS: Secuencia
SO: Sistema Operativo
BI: Bit 32/64
 Sistema Operativo Siglas Bit
Windows XP XP 32
Windows 7 W7 64
Windows 8 W8
Windows 2008 Server Standard 2K8S
Windows 2008 Server Enterprice 2K8E

Windows 2008 Server Core 2K8SC

Windows 2008 Server Standard R2 2K8SR2
Windows 2008 Server Enterprice R2 2K8ER2
Windows 2008 Server 2K8

Ejemplo:
VEMA-DC01
 Tipo de Host Siglas
PC de Escritorio PC
Impresora IM
Laptop LA
Access Point AP
Router RO

Swicth SW
Virtualizacion con Vmware Workstation
Crear Nueva Maquina Virtual
Instalar VMware Tools
Cambiar el Network Adapter a VMnet3
Switch Virtuales
Instalación de Windows 2008 Server
Instalacion de las Herramientas de
VMware
Clonar un Servidor Virtual
1.- Copiamos la carpeta donde esta la Maquina virtual en otra Carpeta

2.- Ejecuto el Archivo Sysprep

El Escenario Globomantics
Lo que se necesita …
Selección Espacio de Nombre
 Tipos de Nombres de Dominio

Nombre Interno Nombre Externo

Globomantics.local Globomantics.com

Globomantics.com Globomantics.com

Lan.Globomantics.com Globomantics.com

No se debe utilizar el mismo Nombre para el Domino Interno y Externo

(Extensión)
Configuracion Inicial
¿ Que es Active Directory ?
Sin Active Directory
Sin Active Directory los Usuarios tienen que crearce en cada PC de la Red
(Queda guardado en la Base de Datos Local por PC), habria que repetir este
proceso por cada PC de la Red.
Si existe un servidor de correo o archivo hay crear el usuario en dichos
servidores.
Al cambiar la clave del usuario habia que actualizarla en todas la PC y
Servidores.
 Con Active Directory

Los usuarios de la red se crean en la Base de Datos Active Directory, en los PC se

establece una relacion de confianza entre el PC y la Base de Datos (se conoce como
pegar la maquina al dominio), todos los usuarios centralizado. Se puede replicar entre
servidores.
 Estructura Definida en AD

Los dominios son la unidad administrativa central.

El primer dominio que se crea es el dominio raiz o la raiz del bosque.
Con el asistente de instalacion de Active Directory puede crear dominios y
controladores de dominio.
Promover Controlador de Dominio
La mejor forma es hacerlo desde DCPROMO
Árbol Globlomantics
Solucion de Problemas de Instalacion de AD
Error
Acceso denegado al crear o agregar controladores de dominio
Solucion
No ha iniciado sesion como Usuario Administrador
Error
Los nombres de dominio DNS o NetBios no so unicos
Solucion
No se deben repetir los Nombres de Dominio o NetBios
Error
No se puede contactar con el dominio.
Solucion
Esencial el funcionamiento del DNS, verificar que los registros esten (Zona Inversa y
Directa.
Error
Espacio de disco insuficiente.
Solucion
Reservar por lo menos a 2 gb.
Comprobar Instalacion de Active Directory
%systemroot%/sysvol
Actualizar un Windows Server 2003 a
Windows 2008 Server

Nota: Solo Servidores Sin Roles Instalados

Es Equipo debe terner Acceso a Internet
Cambiamos el Default-First-Site-Name por el Nombre real
NY
En Servidor NY-DC01-2K8
Configuración del Servicio DNS

Domain Name Services

Cambiamos el DNS preferido por la IP del Servidor 192.168.10.201
En las opciones avanzadas, pestaña DNS, colocamos el Sufijo DNS y verificamos que
este tildada la opcion
Nombre de Dominio
Explicar que al hacer nslookup se verifica la
consulta Reversa

Explicar que es una Zona Directa y una Zona

Inversa
Explicar todas las Zonas, y Rutas Internas: Casos especiales, crear zonas con
dominio externo
La coloco 192.168. para poder crear sub-redes.
Existe un Dominio (triangulo) donde hay una IP principal 192.168.10.0 y varias sucursales
conectadas por VPN u otro tipo de conexión dedicada, donde las IP serán 192.168.20.0,
192.168.30.0, 192.168.40.0, 192.168.50.0, habría que crear una zona reversa para cada
una, no es la idea. Se crea 192.168.
Luego de Ejecutar ipconfig ejecutamos nslookup y poder ver que ya aparece el Servidor
Predeterminado. Al actualizar ya aparece la IP 192.168.10.201 del servidor principal
En que tarjeta de red o dirección va a escuchar al cliente
Reenviadores: servidores de internet de DNS que tiene grandes bases de datos en cache
para resolver DNS externo – OPENDNS (208.67.220.220 / 208.67.222.222) – Google
(8.8.8.8 / 8.8.4.4)
Eliminar registros obsoletos.
Supervisor: La tilde se utilizar para probar el DNS si esta correcto y la consulta recursiva para
cuando hay internet verificar que busca una pagina.
Vamos a la Zona Directa, verificamos lo que esta en el recuadro y presionamos clic en
caducidad
Configuramos caducidad y borrado. Para el caso de DNS publico es importante configurar
el TTL (cuanto tiempo quiero que permanezca en cache un registro DNS.
Se utiliza cuando se configura un segundo servidor para transferir zonas. Un servidor le
permite a otro copiar Zonas de AD
Se debe configurar también en la Zona Reversa
No aparece toda la información. Para que aparezca
Aparecen todas la opciones
Aparecen todas la opciones. Mostrar algunos para ver que tienen fecha de eliminación
de registros obsoletos.
Ipconfig /displaydns: Ver lo registros de cache que tiene una maquina
Ipconfig /flushdns: Vaciar la cache
DNSCmd: es una herramienta de soporte DNS que permite a los
administradores realizar muchas tareas administrativas DNS en el
servidor DNS desde el simbolo de sistema.
DNSLint: es una utilidad que puede ejecutar una serie de consultas para
ayudar a diagnosticar problemas comunes de la resolucion de Nombres DNS

Nota: hay que instalarlo porque no viene con Windows Server 2008
Aquí se guarda el cache, cuando navegamos en
una pagina la misma aparece aquí.

Aquí se eliminan si cambia una pagina web.

Explicar otras opciones.
Verificar los Roles FSMO
En un dominio de AD se pueden agregar varios controladores de dominio, cuando
creamos un usuario el mismo va a ser replicado a los demas controladores de dominio
presentes. Si se esta cambiando la clave de un usuario en 2 PC la que se escriba de
ultimo sera la que se utilice. FSMO no es multimaestro.
Se Activa el schmmgmt, porque por defecto viene inactivo..
Regsvr32 schmmgmt.dll
Roles de FSMO. Usamos el MMC para abrir una consola.
Mover el maestro de un servidor a otro. Ideal para migración de Dominio
Otros roles. Aquí se ven los servidores que tienen el servicio FSMO en el dominio.
RID: Rol que genera los ID de todas la cuentas de usuarios, grupo de seguridad que se
están generando en el dominio.
Controlador Principal de Domino: Rol para Emular el domain controler.
Infraestructura: Se encarga de actualizar los security principal de los grupos de usuarios,
por ejemplo cuando tenemos 2 dominio se agrega un usuario en A se replica en B.
Ver quien es catalogo global
Comando para saber que servidores tienen el rol de FSMO y saber si los roles están
funcionando.
Netdom query /domain:globomantics.local fsmo
Elevando el Nivel Funcional
Primero se le eleva el nivel funcional al dominio y luego al Bosque.
Antes de Elevarlos hay que verificar que los dominio estén bajo la misma versión.
Hay que actualizarlos o migrarlos.
Elevar el nivel funcional del Bosque.
Chequear el Rol. Verifica los servicios de AD para las mejores practicas de microsoft.
Recomendaciones para el
mejor uso. Ver algunas.
Snap Ins Básicos de Active Directory
Primera Consola de Administracion: Usuarios y Equipos de Active Directory
Explicar Cambiar Dominio y Cambiar el Controlador de Dominio.
Cambiar entre controlador de dominio entre sucursales.
Explicarlos todos.
Builtin: Cuentas de grupos que tenia este servidor cuando se promovio como controlador
de dominio.
ForeignSecurityPrincipals: ID de los usuarios que estamos agregando y pertenecen a
otro controlador de dominio.
Managed Service Accounts: (Nuevo para W2008) Donde se guardan unos tipos de
cuentas de servicios.
Nota: Se recomienda no sacar el Controlador de dominio de la OU Domain Controllers
Explicar aquí todo lo que se puede crear.
Primera Consola de Administracion: Sitios y Servicios de Active Directory
Se mapea la topoligia fisica a AD. Para que sepa como va a realizar la replicacion.
Explicar algunas de las opciones.
Subnets: Subredes, si tenemos varias ciudades cada ciudad debe tener un rango de IP.
Se Asocia la IP 172.16.0.X a COMD
Inter-Site Transports: Cuando replicamos el AD entre controladores de dominio
tenemos 2 protocolos. IP (usando conexion TCP/IP normal) o SMTP (Se puede utilizar
cuando hay conectividad entre VPN pero los servidores no se ven directamente.
Nombre del Sitio (COMD)
Se ve nombre de Nerbios, se eleva el
nivel funcional del bosque,
Instalando WINS
 Resuelven los nombres
NETBIOS en direcciones IP.
Botón derecho para mostrar los registros. Se Asignan valores en la NIC del servidor.
Instalando DHCP
En que NIC se va a configurar el DHCP
Ejemplo de configuración de Ámbitos. Una empresa de varios pisos y sub-red.
Vamos a omitir para ver como se autoriza el DHCP y en la siguiente pantalla
presionamos el botón instalar
Autorizar DHCP y Refrescar
Explicar opciones. Primero en Servidor y Luego en IPV4
Explicar las pestañas. Son nuevas opciones para Windows 2008 Server
Activar Name Protection.
Permitir o denegar acceso de un PC a la red por la dirección MAC, se tilda aquí y en
Filtros se agregan las MAC.
Cuando recibe una solicitud de IP antes de asignarla verifica que nadie en la red la haya
colocado manualmente a un PC.
Una forma de tener 2 servidores de DHCP en la Red, donde uno tenga el 80% de las
Direcciones IP, y otro el 20%, en el de que uno de los Servidores falle el servidor que esta
de respaldo podrá asignar direcciones.
0x1 Broadcast
0x2 Solo hable con servidor de WINS
0x8 Nodo Hibrido
Conectar Equipo con Windows 7 al Dominio
 La primera vez que se conecta
al Dominio se debe ingresar con
el Usuario Administrador
Conectar Equipo con Windows XP al Dominio
 Windows Deployment Services <WDS>
Servicios de Implementacion de Windows
Simplificando la Instalación de Servicios de Implementación de Windows

Es una herramienta de Microsoft diseñada especialmente para Windows Server. Es el

sucesor de Remote Installation Services (RIS) . WDS está destinado a ser utilizado
para el despliegue de forma remota en Windows Vista, Windows XP, Windows 7 y
Windows Server 2008, pero también es compatible con otros sistemas operativos
porque a diferencia de su predecesor RIS, que era un método para la automatización
de la proceso de instalación, WDS utiliza en particular el Windows Imaging Format
(WIM). WDS se incluye como una función de servidor en todas las versiones de 32 bits
y 64 bits de Windows Server 2008, y se incluye como un componente instalable
opcionalmente con Service Pack 2 de Windows Server 2003.
Requisitos WDS :

Active Directory
DNS
DHCP
Una partición NTFS para el almacenamiento de imágenes
Verificamos que los Archivos Boot.wim y Install.wim esten dentro del CD de Windows
Server 2008 en la Carpeta SOURCES.
 Creamos 2 Nuevas Maquinas
Virtual y Reiniciamos la Primera
Reiniciamos la Segunda
Maquina Virtual
Como indicamos a partir del 2do. Equipo
comienzan a Instalarse los Dos a la vez.
 Los Equipos se agregan
Automaticamente al Dominio
Kit de Instalación Automatizada de Windows
(AIK) para Windows 7
Instalar la función WDS.
Implementar 2 servidores con WDS.
Crear un archivo de respuesta con WAIK
Implementar un servidor utilizando el archivo de respuesta.
Creamos una Nueva Maquina
Virtual
Carpeta DAL-DC1-2K8
Server Core
 ¿ Que es Server Core?

No GUI (No tiene Entorno Grafico).

Reduce Requerimientos de Espacio en Disco
Se puede gestionar a través de línea de comandos o de forma remota a través de
Servicios de Terminal Server

Beneficios de la Instalacion de Server Core

¿Por qué utilizar Server Core?

Reducido mantenimiento. Sin Aplicaciones instaladas
Reduce las Superficie de ataque. Sólo los servicios básicos y los archivos
Manejo reducido
Menos espacio de disco. Menos archivos instalados
Bajos requerimientos de memoria
Servicios de Medios de Transmision
Instalar Server Core de Windows Server 2008.
Instalar la utilidad Core Configurador.
Configurar Server Core mediante la utilidad Core Configurador.
Acceso remoto a Core Server mediante RSAT en un cliente de
Windows 7.
Configurar Escritorio remoto para que podamos acceder a todos
nuestros servidores desde un equipo cliente.
Colocamos en la Unidad de CD el Software CoreConfigurator
Gestión Remota

Hay 2 opciones generales en lo que respecta a la gestión remota:

Herramientas de Administración Remota del Servidor (Remote Server Administration

Tools / RSAT)
Escritorio Remoto (Remote Desktop)

Herramientas de Administración Remota del Servidor (RSAT)

Sustituye a la antigua Adminpak.

Se puede descargar desde el Centro de descarga de Microsoft.
En caso de ser utilizado para la administración remota mediante la consola de
administración de Microsoft (MMC).

Escritorio Remoto

Se sitúa en el escritorio real del servidor remoto.

Se debe utilizar cuando no se puede administrar mediante RSAT.
Ir a la Web de Descargas de Microsoft y buscar RSAT para
Descargar
Este error es porque se instalo el Windows Server 2008 R2 x64 en Core
En Windows Server 2008 Enterprice x86
Este Error es porque no se ha activado la Transferencia de Zonas
Escritorio
Remoto
Crear un Escritorio Remoto Predeterminado
 En Server Core
Shutdown /s => Apagar el Equipo
Shutdown /r => Apagar y Reinicia el Equipo
Controladores de Dominio de Sólo Lectura (RODC)
Read Only Domain Controllers (RODC)
¿Que es RODC?
Beneficios de RODC.
¿Dónde se puede usar un RODC?
Instalación de un RODC en una sucursal.
Configuración de una directiva de replicación de contraseñas.
Uso separado de Rol Administrativo
 ¿Qué es un RODC?

Un RODC es un controlador de dominio adicional para un dominio que hospeda

particiones de sólo lectura de la base de datos de Active Directory. Un RODC está
diseñado principalmente para su implementación en un entorno de sucursal. Por lo
general, las sucursales tienen relativamente pocos usuarios, escasa seguridad física,
poco ancho de banda a un sitio del concentrador y escaso conocimiento de TI local.
La siguiente figura ilustra el entorno de sucursal del RODC.
Un RODC es un controlador de dominio
adicional para un dominio que hospeda
particiones de sólo lectura de la base de
datos de Active Directory. Un RODC está
diseñado principalmente para su
implementación en un entorno de sucursal.
Por lo general, las sucursales tienen
relativamente pocos usuarios, escasa
seguridad física, poco ancho de banda a un
sitio del concentrador y escaso
conocimiento de TI local.
Beneficios de RODC

RODC proporciona 3 principales beneficios de seguridad que satisfagan

las necesidades de muchas sucursales.

Por defecto RODC no mantiene propiedades de contraseñas para

cualquier usuario.
No se pueden hacer cambios a la base de datos de AD en el RODC.
RODC tiene un Grupo de Administrador Local que permite a los usuarios
de la sucursal administrar el equipo sin tener privilegios en el dominio.
¿Dónde se puede usar un RODC?
Como regla general, los RODC se deben implementar en el perímetro de la red. En este
contexto, el perímetro de la red puede ser una sucursal, la extranet o cualquier
ubicación en la que el controlador de dominio se implemente principalmente para
admitir una aplicación que requiera el acceso a directorios. Los RODC se han diseñado
para ser colocados en ubicaciones que requieran servicios de autenticación rápidos,
confiables y sólidos. Sin embargo, es posible que estas ubicaciones tengan requisitos
de seguridad que impidan la implementación de un controlador de dominio grabable.
Además de las limitaciones de seguridad física que suelen encontrarse en sucursales,
es posible que las organizaciones implementen un RODC para requisitos
administrativos especiales. Por ejemplo, es posible que sea necesario ejecutar una
aplicación de línea de negocio (LOB) en un controlador de dominio.
Para administrar la aplicación, el propietario de la aplicación LOB debe iniciar sesión en
el controlador de dominio de manera interactiva o mediante Terminal Services. Al
implementar la nueva característica de separación de la función de administrador, los
RODC ofrecen un mecanismo seguro para conceder a los usuarios de dominio no
administrativos el derecho de iniciar sesión en el controlador de dominio sin poner en
peligro la seguridad de AD DS. Además, cualquier dato de AD DS que se alterare
localmente no podrá replicarse fuera del RODC.
Las siguientes figuras ilustran el perímetro de la red en la actualidad con controladores
de dominio que ejecutan el sistema operativo Microsoft Windows® 2000 Server o
Windows Server 2003, y esa misma red con los RODC que ejecutan Windows Server
2008.
Instalar un Controlador de Dominio Sólo Lectura.
Configurar una Directiva de Replicación de Contraseñas.
Echar un vistazo a la Separación del Rol Administrativo.
Instalamos el Windows 2008 Server, realizamos configuración Básica y lo
Agregamos al Dominio. Luego ingresamos para continuar con la configuración.
Nombre del Servidor: DAL-DC1-2K8
Dsmgmt
Facilita la administración de particiones de aplicación de servicios de directorio ligero de
Active Directory (AD LDS), administrar y controlar operaciones de maestro único
flexibles (FSMO) y limpieza de metadatos que queda por abandonados de los
controladores de dominio de Active Directory y las instancias de AD LDS. (Los
controladores de dominio y las instancias de AD LDS son aquellas que se quitan de la red
sin desinstalarlos.)

Dsmgmt es una herramienta de línea de comandos que está integrada en Windows

Server 2008. Está disponible si tiene instalada la función de servidor de AD LDS. Para
utilizar dsmgmt, debe ejecutar el comandodsmgmt desde un símbolo del sistema con
privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic
en Inicio, haga clic en símbolo del sistemay, a continuación, haga clic enEjecutar
como administrador.
RODC: USO DE LA UTILIDAD DSMGMT.EXE PARA GESTIONAR LOS
ADMINISTRADORES LOCALES

Uno de los beneficios de del RODC es que se puede agregar administradores locales
que no tienen acceso completo al dominio de administración. Esto les da la habilidad
para administrar el servidor, pero no agregar o cambiar los objetos de Active Directory
a menos que se delegan las funciones. La adición de este tipo de usuario se realiza
mediante la utilidad dsmdmt.exe en el símbolo del sistema. El siguiente gráfico
muestra algunos comandos como:

añadiendo papeles locales

mostrando papeles locales

Recuerde, un RODC no tiene todas las capacidades de un controlador de dominio

grabable. En consecuencia, un RODC no puede servir de catálogo global, maestros de
operaciones, o un servidor cabeza de puente.
Agregar una Cuenta a un Rol Local
Para configurar una cuenta como administrador local debemos:
 
Ingresamos Local Roles y presionamos ENTER.
Ingresamos Add <DOMAIN>\<user> <rol>.
 
Por ejemplo: Add DILUX\pdiloreto Administrators suponiendo que:
 
DILUX es el dominio.
Pdiloreto es el usuario.
Administrators es el rol.
Listar Roles

Para conocer los roles disponibles, debemos hacer lo siguiente:

 
Ingresamos Local Roles.
Ingresamos List Roles.
 
Para conocer el contenido, es decir los usuarios, de un rol específico, debemos
hacer lo siguiente:
 
Ingresamos Local Roles.
Ingresamos Show Role <rol>
 
Por ejemplo: Show Role Administrators suponiendo que:
 
Administrators es el rol.
Eliminar una cuenta de un Rol Local

Para eliminar una cuenta como administrador local debemos:

 
Ingresamos Local Roles y presionamos ENTER.
Ingresamos Remove <DOMAIN>\<user> <rol>.
 
Por ejemplo: Remove DILUX\pdiloreto Administrators suponiendo que:
 
DILUX es el dominio.
Pdiloreto es el usuario.
Administrators es el rol.
Usuarios y Grupos
Uso de la Directiva de Grupo para simplificar la
Administración de Redes
(GPO)
Revisión a Active Directory
Estructura Lógica de la Red Globomantics
Objetos de Active Directory
Active Directory – Confianzas
¿Qué es un Directiva de Grupo GPO?
Globomantics Escenario
Herramienta de Administración de Directivas de Grupo - Crear y vincular
GPO
Configuración de GPO - Editar "Bloquear la Instalación de Dispositivos
Extraíbles" Configuración GPO
Configuración de GPO - Editar "Desactivar Agregar / Quitar programas”
Configuración de GPO - Editar "Crear Acceso Directo en el Escritorio"
Configuración de GPO - Editar “Fondos de Escritorio”
Configuración de GPO - Editar “Direccionar Carpeta Mis Documentos“
Configuración de GPO - Editar “Colocar Titulo al Explorador de Internet”
GPO de Inicio
Cómo conseguir aplicar GPO?
Excepción a las reglas
Globomantics Escenario
Forzadas y Filtrado de seguridad
Bloquear la Herencia
Modelado de Directivas de Grupo y Resultados
Configuración de Contraseña de Objetos (PSO)
Revisión Active Directory

La Estructura lógica de Active Directory se compone de bosques, árboles y

dominios.
La Estructura física de Active Directory se compone de sitios y controladores
de dominio.
La base de datos de Active Directory se compone de una estructura
jerárquica de los objetos. Estos objetos pueden ser o bien objetos de
contenedor que se utilizan para contener otros objetos u objetos hoja que
representan una entidad de red y no tienen otros objetos.
Active Directory - Estructura Lógica

Dominios: Actúa como los contenedores administrativos principales en AD.

Arboles: Un espacio de nombres que contiene uno o más dominios.
Bosque: Un montón de árboles. Considerado como la parte superior de la
jerarquía de Active Directory.
Estructura
Active Directory está basado en una serie de estándares llamados X.500, aquí se
encuentra una definición lógica a modo jerárquico.
Dominios y subdominios se identifican utilizando la misma notación de las
zonas DNS, razón por la cual Active Directory requiere uno o más servidores
DNS que permitan el direccionamiento de los elementos pertenecientes a la red,
como por ejemplo el listado de equipos conectados; y los componentes lógicos
de la red, como el listado de usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un usuario
pertenece a un dominio, será reconocido en todo el árbol generado a partir de
ese dominio, sin necesidad de pertenecer a cada uno de los subdominios.
A su vez, los árboles pueden integrarse en un espacio común denominado
bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre
ellos) y establecer una relación de «trust» o confianza entre ellos. De este modo
los usuarios y recursos de los distintos árboles serán visibles entre ellos,
manteniendo cada estructura de árbol el propio Active Directory.
Estructura Lógica de Globomantics
Active Directory - Estructura Física

Controladores de Dominio: Estos son los equipos que contienen copias de la

base de datos de Active Directory.

Sitios: Representar los lugares físicos que contienen los controladores de

dominio. Todos los controladores de dominio de un sitio deben estar
conectados a través de una conexión de red de alta velocidad.

Diferentes sitios están separados normalmente por una conexión WAN.

Estructura Física de Globomantics
Objetos de Active Directory

Active Directory se basa en una estructura jerárquica de objetos. Los objetos se

enmarcan en tres grandes categorías. — recursos (p.ej. impresoras), servicios
(p.ej. Correo electronico), y usuarios (cuentas, o usuarios y grupos). El AD
proporciona información sobre los objetos, los organiza, controla el acceso y
establece la seguridad.

Cada objeto representa una entidad individual — ya sea un usuario, un equipo,

una impresora, una aplicación o una fuente compartida de datos— y sus
atributos. Los objetos pueden contener otros objetos. Un objeto está
unívocamente identificado por su nombre y tiene un conjunto de atributos—las
características e información que el objeto puede contener—definidos por y
dependientes del tipo. Los atributos, la estructura básica del objeto, se definen
por un esquema, que también determina la clase de objetos que se pueden
almacenar en el AD.
Active Directory - Confianzas
Confianza Transitiva
Las Confianzas transitivas son confianzas automáticas de dos vías que existen entre
dominios en Active Directory.
Confianza Explícita
Las Confianzas explícitas son aquellas que establecen las relaciones de forma manual para
entregar una ruta de acceso para la autenticación. Este tipo de relación puede ser de una o
dos vías, dependiendo de la aplicación.
Las Confianzas explícitas se utilizan con frecuencia para acceder a dominios compuestos
por ordenadores con Windows NT 4.0.
Confianza de Acceso Directo
La Confianza de acceso directo es, esencialmente, una confianza explícita que crea accesos
directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite
incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de
espera para la autenticación.
Confianza entre Bosques
La Confianza entre bosques permite la interconexión entre bosques de dominios, creando
relaciones transitivas de doble vía. En Windows 2000, las confianzas entre bosques son de
tipo explícito, al contrario de Windows Server 2003.
Active Directory - Confianzas

Confianza de Bosque: Crea una relación de confianza entre todos los dominios
en un bosque con todos los dominios de otro bosque.

Confianza Federativa: Una confianza de bosque cruz en la que la

comunicación se realiza a través de Internet y a través de una aplicación web
como SharePoint Server.

Confianza Federativa: se implementan mediante los Servicios de federación de

Active Directory (AD FS) función.
¿Qué es un Directiva de Grupo (GPO)?

Directiva de Grupo es una característica de Windows, familia de Sistemas

Operativos. Directiva de grupo es un conjunto de reglas que controlan el medio
ambiente de trabajo de cuentas de usuario y cuentas de equipo.
Directiva de grupo proporciona la gestión centralizada y configuración de
sistemas operativos, aplicaciones y configuración de los usuarios en un entorno
de Active Directory.
En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios
pueden y no pueden hacer en un sistema informático. Aunque la Directiva de
Grupo es más frecuente en el uso de entornos empresariales, es también común
en las escuelas, las pequeñas empresas y otros tipos de organizaciones más
pequeñas. Directiva de grupo a menudo se utiliza para restringir ciertas
acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo:
Bloquear el acceso al Administrador de tareas, restringir el acceso a
determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.
Orden de procesamiento para la configuración de la política
Las Directivas de Grupo se procesan en el orden siguiente:
Objetos Local Group Policy: Se aplica a los ajustes en la política local el equipo
(acceso ejecutando gpedit.msc). Anteriores a Windows Vista, sólo había una política
de grupo local almacenado por computadora. En la actualidad hay grupo de pólizas
individuales ajustables por cuenta de una máquina de Windows Vista y 7.
Sitio: A continuación, el ordenador procesa todas las políticas de grupo que se
aplican al sitio que se encuentran actualmente al equipo. Si las políticas son
múltiples vinculados a un sitio de estos se procesan en el orden establecido por el
administrador utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las
políticas con la menor orden de vínculos se procesa en último lugar y tiene la mayor
prioridad.
Dominio: Cualquier políticas aplicadas en el nivel de dominio (ámbito de la política
por defecto) se procesan a continuación. Si las políticas son múltiples vinculados a
un dominio de estos se procesan en el orden establecido por el administrador
utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las políticas con el
fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad.
Unidad Organizativa: Último grupo de políticas asignado a la unidad
organizativa que contiene la computadora o el usuario que se procesan. Si las
políticas son múltiples vinculados a una unidad organizativa estos se procesan en
el orden establecido por el administrador utilizando la Directiva de Grupo Ficha
de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en
último lugar y tiene la mayor prioridad.

Herencia: La herencia puede ser bloqueado o ejecutada en el control de las

políticas que se aplican en cada nivel. Si un administrador de nivel superior
(administrador de la empresa) crea una política que tiene la herencia bloqueada
por un administrador de nivel inferior (administrador de dominio) esta política
seguirá siendo procesada.

Cuando una Directiva de Grupo de Configuración de las preferencias se configura

y también hay un equivalente de directiva de grupo Marco configura entonces el
valor de la configuración de Directiva de grupo tendrá prioridad.
Escenario Globomantics

En esta lección vamos a trabajar en la oficina de Chicago del dominio

globomantics.com.
La oficina de Chicago cuenta con 80 usuarios, desglosados ​de la siguiente
manera:
10 –La Alta dirección
10 - El personal de ventas
50 - Los trabajadores del centro de llamadas
05 - Los Gerentes de centros de llamadas
05 - Los administradores de TI
Escenario Globomantics

La estructura de UO AD globomantics.com es como sigue:

2 Unidades Organizativas de nivel superior para las ubicaciones Chicago y

Dallas

La OU de Chicago contiene la unidad organizativa secundaria de Ventas,

Operaciones, Call Center y Gestión

La OU del Centro de llamada contiene 5 Unidades Organizativas Hijas para

los usuarios que dependen de cada uno de los gerentes de los centros de
llamadas.

Hay un Grupo de Seguridad Global llamado Administradores de TI de los

cuales los son miembro los 5 administradores.
Escenario Globomantics
Objetivos:
Nadie en el dominio debe ser capaz de agregar dispositivos extraíbles en sus
equipos, excepto los miembros del grupo de administradores de TI.
Todo el personal de ventas en Chicago necesita tener un acceso directo a un
documento importante en su escritorio.
Nadie en el dominio debe ser capaz de utilizar la opción Agregar / quitar
programas del Panel de control, excepto el personal de operaciones en Chicago.
Los administradores de TI necesitan tener diferentes requisitos de
contraseña.
Todos tendrán el mismo Papel Tapiz para los Escritorios.
La Carpeta Mis Documentos será re-direccionada a una Carpeta aparte en el
Servidor para Respaldos Centralizados.

Colocar Titulo al Explorador de Internet.

Herramienta de Administración de Directivas de Grupo (GPO)

Crear y Vincular GPO.

Editar y ver la configuración de GPO.
Echa un vistazo al Inicio de GPO.
Herramienta de Administración de Directivas de Grupo
Group Policy Management Console
(GPMC)
Se crean OU, Grupos y Usuarios
Group Policy Management Console (GPMC)

Desde el Menu
Desde el Administrador
del Servidor
Administración de Directivas de Grupo
Como vemos no Existe Restrincion sobre Equipo y/o Usuario
Doble Click
Filtrar Informacion segun una
condicion especifica
Actualizo y vemos como se agrego el GPO
Prueba en PC con Windows 7
Prueba en PC con Windows 7 y Windows XP
En Windows 7 no lo Aplica
Creamos una Carpeta y la Compartimos

Agregamos un Archivo
 Prueba en PC con Windows 7 y Windows XP

Entramos con un
Usuario de Ventas
Entramos con un Usuario de Ventas

No lo Aplica para Windows XP

Creamos una Carpeta y la Compartimos

Agregamos un Fondo
Prueba en PC con Windows 7 y Windows XP
Creamos una Carpeta y la Compartimos

Originalmente esta Vacia

Prueba en PC con Windows 7

Cuando el Usuario Entra se

Crea la Carpeta
Todo lo que hago en la Estacion se
esta Realizando en el Servidor
Nota: Windows XP hay veces no funciona
Prueba en PC con Windows 7
GPO de Inicio
Los objetos de directiva de grupo (GPO) de inicio proceden de un Objeto de
directiva de grupo (GPO) y proporcionan la capacidad de almacenar una
colección de valores de directiva de plantillas administrativas en un solo
objeto. Puede importar y exportar GPO de inicio, lo que facilita su
distribución a otros entornos. Al crear un objeto de directiva de grupo a partir
de un GPO de inicio, el nuevo objeto tiene todos los valores de configuración
de directiva de plantillas administrativas y los valores definidos en el GPO de
inicio.

¿Para qué sirven los GPO de Inicio de Sistema?

Los GPO de inicio del sistema son GPO de inicio de solo lectura que
proporcionan una línea base de la configuración para un determinado
escenario. Al igual que los GPO de inicio, los GPO de inicio del sistema
proceden de un GPO, permiten almacenar una colección de configuraciones
de la directiva de plantillas administrativas en un solo objeto y se pueden
importar.
¿Cómo se Aplicar la GPO?
Las Excepciones a las Reglas

¿Bloquear la Herencia: Cuando esta opción está habilitada en un objeto

contenedor se ignorará toda la GPO heredado de contenedores primarios.

Exigidas (Forzadas): Cuando esta opción está habilitada en un vínculo de GPO

todos los ajustes en ese enlace tendrán prioridad en un conflicto. Forzadas
también anula Bloquear herencia.

Filtrado de Seguridad: Usted puede limitar más que un GPO se aplicará dentro
de un contenedor al negar la "Aplicación de la directiva de grupo" permisos a
usuarios y grupos.
Escenario Globomantics
Objetivos:
Nadie en el dominio debe ser capaz de agregar dispositivos extraíbles en sus
equipos, excepto los miembros del grupo de administradores de TI.
Todo el personal de ventas en Chicago necesita tener un acceso directo a un
documento importante en su escritorio.
Nadie en el dominio debe ser capaz de utilizar la opción Agregar/Quitar
programas del Panel de control, excepto el personal de operaciones en Chicago.
Los administradores de TI necesitan tener diferentes requisitos de
contraseña.
Escenario Globomantics
Bloquear la Herencia
Exigidos (Forzadas)
Filtrado de Seguridad
Modelado de Directivas de Grupo y Resultados
Configuración de Objeto Contraseña
Puedo Indicar Aquí la Exclusión
Como saber las politicas que se le estan aplicando a un usuario y maquina
GPRESULT
GPRESULT /R
Borrar una Unidad Organizativa Protegida contra la
Eliminación Accidental
 Aceptas todas las
Pantallas Abiertas y
Borras la OU
Protegida
Delegación del Control
Contenido

1.- Diferentes Tipos de Permisos

 NTFS
 Carpeta compartida
 Impresora
 Active Directory
2.- Configuración de permisos
3.- Escenario Globomantics
4.- Uso del Asistente para Delegación de Control
5.- Creación de una MMC Personalizada
Diferentes Tipos de Permisos

Hay muchas áreas diferentes en un equipo con Windows Server 2008 donde se
puede utilizar permisos:

NTFS
Carpeta compartida
Impresora
Active Directory

Aunque cada área tiene su propio conjunto de permisos específicos, todos

ellos están configurados con los mismos conceptos.
Configuración de Permisos

Los permisos se pueden configurar como

permitir o denegar el permiso.

Los permisos efectivos de un usuario que

pertenece a varios grupos con diferentes
permisos serán acumulativas.

El permiso negar siempre tiene preferencia

sobre el permiso permita.
Escenario Globomantics

En esta lección vamos a trabajar en la oficina de Chicago del dominio

globomantics.com.
La oficina de Chicago cuenta con 80 usuarios, desglosados ​de la siguiente
manera:
10 –La Alta dirección
10 - El personal de ventas
50 - Los trabajadores del centro de llamadas
05 - Los Gerentes de centros de llamadas
05 - Los administradores de TI
Escenario Globomantics

La estructura de UO AD globomantics.com es como sigue:

2 Unidades Organizativas de nivel superior para las ubicaciones Chicago y

Dallas

La OU de Chicago contiene la unidad organizativa secundaria de Ventas,

Operaciones, Call Center y Gestión

La OU del Centro de llamada contiene 5 Unidades Organizativas Hijas para

los usuarios que dependen de cada uno de los gerentes de los centros de
llamadas.

Hay un Grupo de Seguridad Global llamado Administradores de TI de los

cuales los son miembro los 5 administradores.
Objetivos:

El servicio de asistencia compañía ha determinado que puede ser más

eficiente y seguro al tener contacto personal del centro de llamadas de su jefe
inmediato si olvidan su contraseña y necesita restablecerla.

Los administradores de centros deben recibir los privilegios de Active

Directory para restablecer las contraseñas de los usuarios en su equipo.

Una herramienta personalizada debe ser diseñada para los gerentes a

utilizar al restablecer contraseñas. Esta herramienta debe ser muy fácil de
usar ya que los gerentes de los centros de llamadas que no son TI capacitado.
Configuración de Permisos en Active Directory
Asistente para Delegación de Control
Cree una MMC personalizada
Escuela.local 1.- Un Primer Nivel por país usando las
VE
Maracay Siglas ISO.
Usuarios 2.- Un Segundo Nivel por localidad
Grupos
Computadoras física (nombre de la ciudad).
Servidores 3.- Un Tercer Nivel con al menos estos
Valencia
Usuarios cuatro Contenedores (Usuarios,
Grupos Grupos, Computadoras, Servidores)
Computadoras
Servidores
CO Ejemplo de forma Sencilla:
Medeliin
Usuarios escuela.local
Grupos Usuarios
Computadoras Grupos
Servidores Computadoras
Servidores
Coloco el Nombre de 1er. Nivel. Y tenemos una opción nueva.
Para quitar esta marca hay que ir a …
Se crean todas la unidades
organizativas.
Crear Grupos
VE/Maracay: Sistemas, Tesoreria, Remotos
VE/Valencia: Ventas, Cobranzas
CO/Medellin: Importacion
Crear Usuarios
Crear Usuarios Usando Power Shell
Necesarios para la Practica. Este Script es para crear 300 Usuarios.
Se abre con Excel el Archivo .CSV
.\CrearUsuariosDeseCSV.ps1
El mensaje de error indica que hay que habilitar la ejecución de Script.
Usar la Tecla TAB para buscar una palabra completa
El me pide la ubicación del archivo .CSV
GivenName : Aisha
Surname: Bhari
SamAccountName: Aisha. Bhari
Password: Password01
Movemos algunos usuarios a la Distintas OU
Agregar Internet al Servidor
Agregar Nuevo Disco Duro al Servidor
Configuración y Administración de Tecnologías de
Almacenamiento

Instalación del servicio de Función FSRM

FSRM (File Server Resource Manager) Administrador de Recursos

del Servidor de Archivos
Configuración de Cuotas de Almacenamiento
Pruebe desde el Cliente Agregar un Archivo de Mayor
Tamaño al Permitido
 Configuración de Filtrado de Archivos
Regla para No permitir Guardar ciertos Tipos de Archivos
Error 8215
Generación de Informes de Almacenamiento
Visualizar los Archivos Abiertos por los
Usuarios
 Crear Instantáneas
Activar Documentos Anteriores en el Servidor
Desactivar Seguridad Mejorada ESC
Instalación de Controlador de Dominio Adicional
(Replicar Servidor)

Esto se utiliza por si el Servidor Principal se

cae, que los usuarios puedan seguir
accediendo a sus usuarios con este
controlador adicional
En el Segundo Servidor
Al darnos la bienvenida al Dominio, reiniciamos
Instalamos AD Secundario, DNS y colocamos los
Reenviadores y Resto de Configuracion DNS en
Servidor02
Y reiniciamos
Si apagamos el Servidor Principal y
conectamos un PC, podemos ver que
se conecta gracias al Dominio
Secundario
Instalamos y Replicamos WINS
Repetimos los Pasos anteriores de SVR02 a SVR01
Desinstalar AD Secundario y DNS en
Servidor02
Iniciar y Detener Servicios
Instalacion de Copias de Seguridad
Programar de Copias de Seguridad Dias de AD
DS mediante GUI
 Migrar de un Servidor a Otro
En caso de Desincorporarlo o por Falla

En Nuevo Servidor (Server02)

En Servidor02
Y reiniciamos
Primero validamos que los 5 Roles esten instalados correctamente

Netdom query fsmo

En Servidor02
Verificamos los Servidores
Origen y Destino en todas las
Pestañas
Empezamos a Transferir en este Orden
Fase de Limpieza – En Server02
Desinstalamos el Rol de AD
En Server01
Y Reiniciamos
Desinstalamos el Servicio de DNS, DHCP, WINS y Otros
Server01
Sacamos el Equipo del Dominio
Server01
Instalamos WINS
Y Reiniciamos
Instalamos DHCP
Autorizar DHCP y Refrescar
Explicar opciones. Primero en Servidor y Luego en IPV4
Explicar las pestañas. Son nuevas opciones para Windows 2008 Server
Activar Name Protection.
Permitir o denegar acceso de un PC a la red por la dirección MAC, se tilda aquí y en Filtros se
agregan las MAC.
Cuando recibe una solicitud de IP antes de asignarla verifica que nadie en la red la haya
colocado manualmente a un PC.
Una forma de tener 2 servidores de DHCP en la Red, donde uno tenga el 80% de las
Direcciones IP, y otro el 20%, en el de que uno de los Servidores falle el servidor que esta de
respaldo podrá asignar direcciones.
Agregamos todas la Reversas
del Servidor Anterior
0x1 Broadcast
0x2 Solo hable con servidor de WINS
0x8 Nodo Hibrido
Reiniciamos y Intentamos Conectarnos con otro PC
que ya estaba en el Dominio
Servidor de Archivos de Windows a
Nivel de Seguridad
Auditoría de Acceso a los Archivos
Escriba net stop dhcpserver y, a
continuación, presione ENTRAR.
Escriba net start dhcpserver y, a
continuación, presione ENTRAR.
Migrar de Windows 2003 Server a Windows 2008 Server
En el Servidor 2008
 Vamos a Mover los
Maestros de Operaciones
Desintalamos el Servicio DNS del Server 2003
Le colocamos a Server 2008 las IP del Server 2003

Y Reiniciamos Server 2008

En Server 2003