Embed Size (px)
Citation preview
ADMINISTRACIÓN DE UN SERVICIO DE DIRECTORIO ACTIVO EN WINDOWS SERVER 2008 R2
POR:
Anderson Herrera Duran
INSTRUCTOR:
Mauricio Ortiz
21/09/12
Para poder instalar nuestro servicio de directorio activo, primero procederemos a instalar nuestro DNS.
Luego de esto iremos a agregar roles.
Damos siguiente.
Elegimos servicios de dominio de Active Directory.
Damos siguiente.
Lo instalamos.
Luego de esto iremos a promocionar nuestro servicio como un controlador de dominio, vamos a la ventana
de ejecutar de Windows y escribimos “dcpromo”.
Yo siempre uso la instalación avanzada.
Damos siguiente.
Creamos un dominio nuevo en un bosque nuevo.
Damos el dominio.
El nombre NetBIOS.
Elegimos el nivel funcional del bosque, en este caso elegi Windows 2008 R2, para obtener todos sus
beneficios, esto significa que puedo tener miembros 2003, 2000, 2008, pero no los podre tener en mi anillo
de replicacion de controladores de dominio.
Elegimos DNS que es primordial, y el catalogo global tambien, siempre es un catalogo global por DC.
Decimoss que si.
Damos siguiente.
Damos la contraseña de restauración.
Revisamos que todo halla quedado bien, y damos siguiente.
Finalizamos.
Reiniciamos nuestro equipo.
Abrimos nuestro DNS, y vemos que ya ha cogido las zonas del servicio de directorio activo.
Ahora iremos a usuarios y equipos de active directory.
Miramos nuestros controladores de dominio, y vemos que el equipo ya es uno de ellos.
Ahora iremos a las directivas de grupo.
Crearemos nuestras unidades organizativas, para ello damos clic derecho sobre el dominio, y luego en
nueva unidad organizativa.
Le damos un nombre.
Ahora crearemos una estructura organizativa jerarquica según el requeriminento, para ello damos clic
derecho sobre Direccion General, y damos nueva unidad organizativa.
Le damos nombre.
Ahora creamos el resto de unidades organizativas según sea el caso.
Por último así es como queda la estructura organizativa.
Ahora vamos a dominios y confianzas de active directory.
Clic derecho sobre el dominio, y damos administrar, esto es otra forma de entrar a los usuarios y grupos.
En cada unidad organizativa crearemos varias carpetas (usuarios y grupos, equipos, impresoras, carpetas
compartidas).
Así debe quedar cada unidad organizativa.
Ahora crearemos los usuarios, cabe aclarar que como este servidor lo transformamos en un controlador de
dominio de active directory, ahora la gestión de usuarios no se hace como si fuese un equipo servidor
normal, ahora los usuarios se crean dentro de la administracion de usuarios y equipos de active directory.
Siendo así, iremos a la carpeta de usuarios y grupos, y crearemos un usuario nuevo.
Damos los registros del usuario.
Elegimos una contraseña valida.
Finalizamos.
En este caso se han creado 10 usuarios por cada unidad organizativa.
Ahora iremos a la administración de directivas de grupo, la cual como ya este servidor es un controlador de
dominio de active directory, se hara de la siguiente forma.
Damos clic derecho sobre el dominio para crear una GPO en el dominio y vincularla ahí, y todo lo que este
dentro del dominio.
Damos un nombre a la GPO.
A continuación iremos a la GPO, clic derecho y editar.
Ahora estamos dentro de la configuración de la GPO, buscaremos la GPO de vigencia máxima de las
contraseñas.
Habilitamos los requisitos minimos de complejidad, para mayor seguridad.
En este caso estableceremos la vigencia máxima en 15 días.
Recordaremos 3 contraseñas.
Así quedaría la GPO contraseñas.
Ahora crearemos una GPO dentro d ela estrucctura organizativa.
Damos un nombre.
Clic derecho sobre la GPO y la editamos.
Quitaremos el menu ejecutar.
Prohibiremos el acceso al panel de control.
Impediremos que se acceda a editar el registro.
Ocultaremos la unidad C de MiPC.
Desactivaremos la reproducción automática de unidades insertadas.
Estableceremos la página principal de todos los usuarios que formaran parte del active directory.
Ahora personalizaremos las zonas de seguridad.
Crearemos una contraseña de administrador, estpo es muy importante para la seguridad.
Estableceremos los sitios que halla que bloquear y permitir.
Ahora iremos a zonas de seguridad y privacidad, damos en importar la configuracion actual de zonas de
seguridad y privacidad.
le decimos que los usuarios pueden ver sitios web sin clasificacion, esto para que el administrador no tenga
que estar copiando la contraseña cada ves que se entre a un sitio web, allí tambien iremos a sitios
aprobados y daremos el bloqueo d elos sitios que deseemos bloquear.
Bloqueamos los sitios que deseamos.
Ahora bloquearemos la barra de tareas.
Denegaremos el acceso de lectura de discos extraibles.
Denegaremos el acceso de escritura de discos extraibles.
Ahora vincularemos la GPO creada a las unidades organ¡izativas deseadas.
Vamos a compras, clic derecho y le decimos que asocie una GPO existente, luego elegimos la GPO deseada.
Ahora quitaremos el vinculo que hay en dirección general para que no tome esa GPO hacia las demas
unidades organizativas que estan dentro de Dirección General.
Ahora vemos como quedo la GPO luego de vincularla a varias unidade sorganizativas, menos a las que no
queremos.
Adicionalmente a esta configuración que estamos haciendo, si estamos trabajando en una red que tenga
un proxy para poder acceder a internet, debemos crear dentro de una GPO una directiva que me vincule
ese proxy, para ello se creara una nueva GPO.
La GPO se creará dentro del dominio blueskillers, para que me abarque todos los objetos de este.
Ahora iremos a la configuración del proxy y damos el proxy en HTTP que se desee.
Ahora iremos a Compras y crearemos una GPO allí.
Damos un nombre.
Clic derecho y editar.
Ocultaremos y deshabilitaremos todos los elemtos del escritorio.
Quitaremos las opciones de apagar, reiniciar, suspender e hibernar.
Quitaremos el administrador de tareas.
Dentro de cada unidad de usuarios y grupos de cada una de las unidades organizativas, crearemos una
unidad organizativa llamada practicantes.
Crearemos un grupo dentro de practicantes.
Llenamos los registros requeridos.
Creamos varios usuarios, ahora iremos a las propiedades del grupo.
Añadimos los usuarios que hay dentro de practicantes a este grupo.
Ahora iremos a la spropiedades de cada usuario, y editaremos las horas d einicio de sesion.
Así debe quedar el horario (lunes a viernes de 7 a.m a 6 p.m), para deshabilitar las demas horas, elegimos
la opción inicio de sesion denegado y elegimos los rectangulos que denegaremos, para habilitar horas en
que el usuario puede acceder le damos en inicio de sesión permitido y elegimos los rectangulos en los
cuales podra acceder. (Los rectangulos azules, indican las horas permitidas, los blancos indican las horas
que no se puede establecer la sesión).
Ahora cuadraremos las fechas de expiración de las cuentas, para que caduquen en 6 meses, estos e hace
en la parte de abajo.
Ahora iremos a nuestro disco local C, y crearemos una carpeta llamada practicantes, luego la
compartiremos.
Le damos en buscar.
Elegimos el grupo practicantes, si la opcion de buscar grupos no esta habilitada, vamos a la aprte donde
dice tipos de objetos y seleccionamos grupos.
Elegimos la opcion lecto escritura.
Ahora copiaremos este vinculo, clic derecho sobre el la carpeta practicante y copiamos.
Ahora vamos a la spropiedades de cada usuario, en la pestaña perfil, seleccionamos cualquier letra d
eunidad a conectar, y pegamos el vinculo, solo dejamos desde el doble slash hasta la carpeta.
Ahora iremos a la unidad organizativa Web y Comercio electronico, y creamos un grupo allí.
Llenamos los registros del grupo.
Ahora añadiremos los miembros, para esto hay que crear varios usuarios y luego añadirlos al grupo.
Luego crearemos dos carpetas, para luego ser conectadas con los usuaris de web y comercio electronico.
Compartiremos las carpetas creadas para web y comercio electronico.
Damos en la opción lectura y escritura, y copiamos el vinculo que nos arroja.
Ahora vamos a la administración de directivas de grupo.
Crearemos una GPO en la unidad organizativa web y comercio electrónico.
Damos nombre.
La editamos.
Ahora asignaremos unidades, damos clic derecho en nuevo y luego elegimos unidad asinada.
Acá pegaremos el vinculo de la carpeta que compartimos anteriormente, y asignamos una unidad.
Vamos a la pestaña comunes y buscamos destinatarios.
Buscamos la opcion de grupo.
Buscamos el grupo deseado, en este caso el que esta en web y comercio electronico, y elegimos usuarios
en grupo.
Este mismo procedimiento lo hacemos para la otra carpeta “comercioelectronico”.
Ahora buscaremos la opcion cuotas de disco, las habilitamos.
Establecemos un límite.
Habilitamos la opcion para poder aplicar un imite.
Ahora iremos a la opcion agregar servicios de rol.
Elegimos la herramienta “Administrador de recursos del servidor de archivos”, esto con el fin de que a los
usuarios se les pueda aplicar las cuotas de disoc deseadas.
N este caso solo lo necesitamos para el disco local C.
Elegimos opciones deseadas, y damos en siguiente.
Lo instalamos.
Ahora vamos al administrador de recursos del servidor de archivos.
Damos clc derecho, y luego elegimos crear cuota.
Creamos la cuota para cada una de las carpetas creadas anterirmoente en el disco local C. Vamoa a
propiedades personalizadas.
Establecemos el límite.
Vemos la configuración, y luego de que este lista aceptamos.
Este mismo procedimiento se hace para las demas carpetas requeridas.
Ahora agregaremos un equipo a la unidad organizativa Diseño grafico, para esto vamos a la unidad
organizativa equipos dentro de diseño grafico, damos clic derecho, nuevo y elegimos equipo.
Damos un nombre y aceptamos.
Vamos a las propiedades del equipo.
Le vamos a buscar un grupo, para que sea miembro de dicho grupo.
En este caso que sea miembro de un grupo creado en la unidad organizativa diseño grafico dentro de
grupos y usuarios, y que se llama Diseño grafico.
Ahora vamos a grupos y usuarios dentro de diseño grafico, y vamos a las propiedades de un usuario que
este allí.
Lo agregamos al grupo de Diseño gráfico, vamos a la opción cuente y damos clic en iniciar sesión en.
Aca elegimos el equipo en el cual iniciara sesión este usuario.
Vemos que el grupo tiene como miembros al usuario Enrique rua, y al equipo hacer-1, este procedimiento
de hacer que un usuario inicie sesión en un equipo especifico es el mismo para cualquier otro usuario o
usuarios en especifico.
Ahora agregaremos impresoras a nuestro directorio activo, para esto vamos a un explorador de internet, y
para efectos prácticos buscaremos cualquier software de impresora de PDFs. En este caso se descargo la
PDF creator.
La instalamos.
Luego de instalada, vamos al panel de control, y a dispositivos en impresoras.
Buscamos la impresora, y vamos a las propiedades de esta.
La compartiremos para todo el dominio.
Ahora vamos al dominio, damos clic derecho sobre este, y elegimos buscar.
Damos en buscar, y elegimos impresoras.
Ahora vemos que el resultado arrojo la impresora instalada y compartida, damos clic derecho sobre esta y
elegimos mover.
Buscamos el destino a la cual deseamos mover, para que la impresora quede en el destino deseado
muchas veces hay que cerrar la ventana de administración de usuarios y equipos de active directory, o en
ocasiones se necesita hasta reiniciar la máquina.
Aca se descargo otro software de impresora PDF, la instalamos.
La compartimos para el directorio activo, y vamos y la asignamos de forma igual a como se asigno la
anterior impresora.
Ahora miramos si las impresoras quedaron asignadas en el destino correcto.
Ahora iremos a la maquina Windows server 2008 para crear un controlador de dominio del bosque
existente, ponemos la maquina en red con el DC principal, y le damos en el DNS la IP del controlador
principal.
Ahora instalaremos el DNS en la máquina que será otro controlador de dominio, y añadimos la zona
principal con el mismo dominio del directorio activo (esta parte de instalar el DNS es recomendado hacerlo
antes de promocionar en servidor como controlador de dominio, aunque también se puede hacer de
forma automática mientras se promociona el servicio pero no es recomendable).
Vamos a la ventana de ejecutar y damos “dcpromo”.
Si queremos podemos usar la instalación avanzada, en este caso para acelerar el procedimiento no se hará
de forma avanzada.
Le decimos que ya hay un bosque y un dominio existentes.
Damos el dominio principal, y damos en establecer credenciales alternativas.
Establecemos la credencial.
Elegimos el dominio deseado.
Elegimos el sitio.
Como ya tenemos instalado el DNS esta seleccionador por defecto, donde no hubiese estado instalado lo
elegimos para instalarlo, y elegimos catalogo global, debe haber un catalogo global por cada controlador d
edominio.
Le decimos que si.
Damos siguiente.
Damos la contraseña del modo restauración.
Miramos que la configuración este bien, y damos siguiente.
Elegimos reiniciar el equipo al completar para que pueda coger todos los cambios.
Ahora vemos que ya el equipo tomo las configuraciones del DC principal, y que ahora se encuentra dentro
del anillo de replicación del dominio “blueskillers.com”.
Miramos como quedo el DNS, y que haya tomado las zonas del dominio.
Para comprobar si este controlador de dominio, se encuentra instalado de forma correcta dentro del anillo
de replicación, lo que debemos hacer es iniciar una maquina con un usuario dentro del dominio de
blueskillers, apagar el DC principal, y dejar el DC recién instalado prendido, si el equipo es capaz de iniciar
sesión en el dominio, y además tiene todas las GPO respectivas que se instalaron y se encuentran
funcionando de forma correcta, quiere decir que el nuevo DC está perfecto para replicar el servicio de
active directory.
Ahora para realizar la tarea de migrar un equipo de Windows Server 2003 a un Windows Server 2008 R2,
que es la versión más nueva se ejecutaran los siguientes pasos. (Los pasos son similares para migrar de
Windows server 2003 a Windows server 2008).
Hay una guía muy buena en http://eliopercesepe.com/migrar-dominio-windows2003-windows2008r2/
Miramos la versión que tenemos del equipo Windows Server 2003, le ponemos la IP y el DNS que en este caso es el
mismo.
Hay que tener en cuenta que primero se debe instalar el servicio DNS en el Windows Server 2003, y el
servicio de active directory.
Para preparar el bosque, para poder promover el controlador de dominio en Windows server 2008 R2,
insertaremos el CD del Windows server 2008 R2, en el Windows server 2003, e iremos a la carpeta llamada
adprep, copiamos la información que hay en esa carpeta, y la copiamos en una carpeta en el disco C
(C:\WINDOWS\Debug\adrep) esto es opcional. Luego vamos por medio de la consola al lugar donde están
los archivos, y ejecutamos el comando “adrep32 /forestprep”, pongo c para continuar, y de esta forma
preparamos el bosque.
Ahora iremos a dominios y confianzas de active directory.
Elevaremos el nivel funcional del bosque, clic derecho sobre el dominio, y elegimos elevar.
En este caso lo elevaremos a un nivel funcional de Windows Server 2003, puesto que no tenemos
servidores posteriores a esta versión.
Ahora ejecutamos el comando “adprep32 /domainprep /gpprep”, esto para las actualizaciones de políticas
de grupo y reparaciones del dominio.
Este paso es bueno hacerlo para poder tener más funcionalidades en Windows server 2003 que se
ejecuten en Windows server 2008 R2, lo hacemos con “adprep32 /rodcprep”.
Ahora iremos a nuestra máquina de Windows Server 2008 R2, y promocionaremos el servicio de active
directory como un controlador de dominio.
Usaremos la instalación avanzada.
Le decimos que ya hay un bosque y un DC existentes.
Crearemos una credencial de administración.
Elegimos el dominio.
Elegimos el sitio.
Como no hay instalado un DNS, elegimos DNS y catalogo global, debe haber un catalogo global por DC.
Decimos que sí.
Le decimos que replique datos desde un DC existente.
Elegimos el servidor Windows Server 2003.
Damos siguiente.
Damos la contraseña del modo recuperación.
Elegimos reiniciar el terminar para que tome todos los cambios de forma adecuada.
Ahora vamos a usuarios y equipos de active directory.
Miramos en los controladores de dominio que ya quedo el servidor Windows Server 2008 R2.
Ahora quitaremos el servicio de active directory del Windows server 2003, para quitar el servicio, primero
deberemos cambiar los maestros de operaciones en el servidor de Windows Server 2008 R2, este paso se
explica mas delante de este documento, luego de delegar el control del servidor podemos realizar este
paso, puesto que si no los cambiamos, no nos dejara des-promocionar el servicio.
Vamos a la ventana ejecutar y ponemos “dcpromo”.
Le damos aceptar a este mensaje.
No seleccionamos, puesto que este servidor no es el último DC en el dominio, hay otro DC el cual es el
Windows Server 2008 R2 instalado recientemente.
Damos siguiente.
Damos en eliminar todo.
Acá nos saco un error de sincronización, para corregirlo, debemos poner en todos los servidores que hagan
parte del anillo de replicación, en este caso un Windows server 2003 y un Windows Server 2008 R2,
debemos ponerlos en la misma zona horaria, y la misma hora.
Lego de esto se continúa con el proceso.
Ahora vemos que ya se des-promocionó el servicio en el servidor Windows Server 2003.
Este es el paso de delegar el control al servidor Windows server 2008 R2. En el servidor
Windows server 2008 R2, cambiaremos los 5 maestros de operaciones, para que culmine el proceso de
migración.
Cambiamos el RID, EL PDC, y el de infraestructura.
Ahora vamos a dominios y confianzas de active directory.
Cambiamos el maestro de operaciones en domains and trust.
Primero registramos una dll de schema, puesto que no viene registrada en el sistema.
Una vez registrada vamos al mmc.
Le damos en file, y alegimos add/remove snap-in.
Buscamos el complemento de shema.
Ahora delegaremos el control, clic derecho sobre active directory, y luego elegimos change active directory
domain controller.
Elegimos el servidor Windows Server 2008 R2.
Y este es el último maestro de operaciones que hay que cambiar, clic derecho sobre active directory, y
elegimos operations master.
Ahora iremos al servidor de Windows Server 2003, Para hacer el proceso de depuración y remover todos
sus servicios.
Elegimos el servicio DNS.
Quitamos la función DNS.
Ahora vamos al Windows server 2008 y quitamos los registros del servidor DNS que eran del Windows
server 2003.
Quitamos el servidor de los sitios y servicios de active directory.
Ahora si queremos, ya podemos elevar el nivel funcional del bosque, esto para que complemente el
servicio.
Lo elevaremos a Windows Server 2008 R2, y ya con esto finaliza El proceso de migración de Windows
Server 2003 a Windows Server 2008 R2.
Ahora para probar las GPO que instalamos en el primer proceso, iniciaremos una maquina usuario del
dominio, sea Windows XP, 7, vista, etc.
Primero lo uniremos al dominio, vamos a las propiedades de Mí PC.
Elegimos la pestaña nombre del equipo, y allí damos en la parte de abajo en cambiar.
Damos el dominio, desde que haya conectividad funcionará, para esto debemos poner en red las maquinas
dentro del dominio. Luego aceptamos.
Damos el usuario Administrador y la contraseña para unir el equipo al dominio.
Vemos que ya quedo como parte del dominio. El proceso de agregar un equipo al dominio es igual en
Windows 7 o Vista.
Ahora iniciaremos sesión con un usuario creado en el DC e iniciaremos en el dominio BLUESKLLERS.
Podemos ver que no me muestra la unidad C.
Los objetos del escritorio están ocultos y deshabilitados, cuando abro el internet Explorer me lleva a la
página principal del dominio, no puedo acceder al panel de control, entre otras políticas que se pusieron
dependiendo de cada usuario y localización dentro de la estructura organizativa del active directory.
Para hacer efectiva la GPO de conectarse a una unidad de red (establecida en las unidades organizativas
practicantes, y en web y comercio electrónico), se debe instalar un sistema operativo que en su estructura
sea completamente compatible con el Windows Server 2008 R2, en este caso se instalo una Windows 7,
luego de esto la conectamos al dominio, vamos al equipo, en la parte inferior izquierda donde dice red,
buscamos ahí el servidor que contiene las carpetas compartidas, elegimos cada una de las carpetas que
configuramos anteriormente en las GPO, damos clic derecho sobre ellas, y elegimos conectar a una unidad
de red, y le decimos que siempre me conecte a esa unidad de red, y con esto concluye el proceso.
En muchas ocasiones, se tiene una red interna en un entorno de Windows, en la cual hay varios servicios y
demás aplicaciones, pero se necesita tener acceso a internet en esta red interna, para esto es necesario ir
al DC principal, o al servidor que tiene el servicios DN principal de la red interna, allí iremos al DNS e
instalaremos un reenviador, el cual nos servirá para resolver direcciones que no están en la red interna, en
este caso el reenviador apuntara a la dirección de reenvió 192.168.100.23, la cual debe ser el DNS que hay
en la red que me dirige a internet, para agregar el reenviador, doy clic derecho sobre el servidor y luego en
propiedades.
Luego instalaremos otra tarjeta de red, la pondremos en modo puente (si estamos trabajando en una
maquina virtual), le diremos que obtenga la IP de forma dinámica, pero en el DNS, le pondremos la
dirección DNS principal, que es el mismo servidor en este caso.
Ahora necesitamos instalar un servicio de enrutamiento, para esto hay un servicio llamado servicio de
enrutamiento y acceso remoto.
Vamos a agregar roles.
Elegimos servicios de acceso y directivas de redes.
Ponemos la otra tarjeta de red, en modo red interna, y asignamos una IP estática, luego vamos a opciones
avanzadas, en la parte inferior.
Pondremos allí la configuración deseada, en este caso pusimos el sufijo DNS principal.
Ahora abrimos el servicio de enrutamiento y acceso remoto, vamos a ipv4, a rutas estáticas, y allí,
asignaremos una ruta por defecto, hacia el resto de direcciones (Internet).
Adicionalmente hay que hacer un NAT, puesto que sin el NAT, no se puede dar la conexión hacia Internet.
Así quedarían las interfaces en la visión general.
PARA MÁS INFORMACIÓN VISITA: http://andersongestionredes.blogspot.com/
