Active Directory 1-12

8/13/2019 Active Directory 1-12

1/65

aaaaa

Emanuel Adrin Gabriel Stasiuc

PrcticaActive

Directory

1-9


2/65

2

2 Active Directory 2 A.S.I.R. Emanuel Adrin Gabriel Stasiuc

Prctica Active Directory 1-6 Perteneces al departamento de sistemas de la empresa Asir2 S.A.

A fecha de 28 de Octubre de este ao, se plantea una migracindel entorno corporativo a la versin de Windows Server 2008.

Esto es debido al gran auge experimentado por la empresa,gracias al buen hacer de sus trabajadores (tus compaeros declase, que son unos fenmenos, como t). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificiosituado en la C/Arcos de la Frontera s/n.

Nuestra labor como analistas y tcnicos de sistemas es la dedeterminar los procedimientos necesarios para dicha migracin y llevarlos a cabo para tal fecha.

Suponemos que tenemos que controlar en el nuevo entorno losmismos elementos que estn actualmente en produccin:

Administracin de usuarios y grupos.

Administracin de ficheros.

Administracin de discos.

Copias de seguridad.

El trabajo consiste en realizar un informe detallado de los pasosseguidos para la nueva implantacin con el mximo nivel dedetalle (incluyendo capturas de pantalla) de los pasos seguidospara la gestin de los servicios anteriormente citados y otrosnuevos que aadiremos.

La informacin necesaria para esta labor en relacin al entornoactual es la siguiente:


3/65

3 Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc

1. La empresa consta de 20 empleados.

2. Tres de ellos pertenecen al departamento de sistemas. Dondeuno de ellos es el administrador y los otros dos son los

encargados de la gestin de incidencias.

Esta se almacenar en una carpeta a la que solo tendr acceso eldepartamento de sistemas. Los datos estarn en una particin odisco duro diferente a la del sistema operativo.

3. 15 empleados son desarrolladores de software que tienenacceso limitado a los repositorios de cdigo y de documentacin,donde nicamente tendrn acceso a aquellos directoriosasociados al proyecto en el que estn trabajando.

4. Existen dos usuarios especiales correspondientes al gerente yal director de la empresa. El gerente tendr acceso a toda ladocumentacin y cdigo ejecutable de los proyectos. El directortendr acceso ilimitado a todos los recursos disponibles.

5. La empresa tiene una serie de servicios que quiere seguirmanteniendo (incluidos sus nombres):

a. Controlador de Dominio => tunombre.gcap.net

b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. mbito: 192.168.100.2 192.168.100.254

ii. Servidor: 192.168.100.1

6. Todos los equipos (mquinas virtuales) deben estarconectados a un switch virtual que trabaje es la subred192.168.100.0/24. Configura una interfaz de red para simular loanterior y que no tengan salida a Internet. Como si estuvierantodos conectados fsicamente a un switch.


4/65


Comienzo de la prcticaPrimero vamos a configurar las interfaces de red en nuestro

Windows 2008 Server .

Creamos una Red NAT para tener acceso a Internet y una Red Interna para comunicarse con los Clientes:

Establecemos la IP requerida a nuestro Servidor:


5/65


Ahora vamos al Administrador del Servidor y seleccionamos laopcin Agregar funciones :

A continuacin, instalamos y configuramos el servicio DHCP:

Indicamos como nombre del dominio principalemanuel.gcap.net e indicamos la IP de nuestro Servidor:


6/65


Agregamos un mbito llamado ASIR2 indicando la IP inicial,la IP final, la mscara de subred y la puerta de enlace

predeterminada:


7/65


8/65


Ahora pasamos a instalar los servicios de dominio de Active Directory y DNS:


9/65


Seleccionamos Crear un dominio nuevo :

El nombre del dominio raz ser emanuel.gcap.net :


10/65


Establecemos como nivel funcional Windows Server 2008 ya que no agregaremos al bosquecontroladores de dominio inferiores a Windows Server 2008:

Seleccionamos Servidor DNS para instalar el servicio DNS:

A continuacin nos pide introducir la contrasea delAdministrador:


11/65


Observamos el resumen de la instalacin:

Observamos el progreso de la instalacin de los ServiciosDNS y Active Directory :


12/65


13/65


1. La empresa consta de 20 empleados.

Vamos a nuestro dominio creado dentro de Administrador del Servidor y vamos a crear diferentes

unidades organizativas segn la estructura de nuestra empresa ASIR2 .


14/65


15/65


Dentro de la Unidad Organizativa SISTEMAS creadaanteriormente creamos el primer usuario ADMIN-SIS :

Establecemos una contrasea segura al usuario ADMIN-SIS :

Finalizamos la creacin del usuario:


16/65


Ahora creamos dos usuarios encargados de la gestin deincidencias llamados ENCARG-1 y ENCARG-2:


17/65


Una vez creados los usuarios, creamos un grupo para poderasignarle permisos llamado sistemas de mbito global:

Introducimos dentro del grupo a los tres usuarios creadosanteri ormente ADMIN-SIS , ENCARG-1 y ENCARG-2:


18/65


Creamos una particin nueva diferente del sistema operativo enla que vamos a crear una carpeta a la que tienen accesosolamente los 3 empleados del Grupo SISTEMAS:

Ahora creamos una carpeta en el Disco ASIR2 y dentrocreamos una carpeta llamada SISTEMAS y le damos

permisos al grupo sistemas sobre su carpeta:


19/65


3. 15 empleados son desarrolladores de software quetienen acceso limitado a los repositorios de cdigo y dedocumentacin, donde nicamente tendrn acceso aaquellos directorios asociados al proyecto en el queestn trabajando.

Ahora creamos los 15 empleados dentro de la unidadorganizativa DESARROLLO:

Vamos a crear 3 grupos diferentes de mbito local con 5empleados cada uno que trabajarn en 3 proyectos distintos:


20/65


Dentro del grupo local PROYECTO-1 introducimos losprimeros 5 empleados:

Creamos el grupo PROYECTO-2 de mbito local:

Introducimos los siguientes 5 empleados:


21/65


Creamos el grupo PROYECTO-3 de mbito local:

Introducimos los ltimos 5 empleados:

Ahora nos vamos a crear los directorios de cada proyecto en unacarpeta llamada DESARROLLADORES :


22/65


A la carpeta DESARROLLADORES le asignamos lospermisos de acceso a la carpeta a los tres grupos de proyecto.

Asignamos a la carpeta PROYECTO-1 todos los permisospara el grupo PROYECTO-1 que hemos creado antes:

Asignamos a la carpeta PROYECTO-2 todos los permisospara el grupo PROYECTO-2 que hemos creado antes:


23/65


Asignamos a la carpeta PROYECTO-3 todos los permisos para el grupo PROYECTO-3 que hemos creado antes:


24/65


4. Existen dos usuarios especiales correspondientes algerente y al director de la empresa. El gerente tendracceso a toda la documentacin y cdigo ejecutable de

los proyectos. El director tendr acceso ilimitado atodos los recursos disponibles.

Creamos el usuario gerente2013 :

Creamos tambin un grupo llamado GERENTES paraintroducir a los diferentes gerentes que pueden pasar por la

empresa y darlos de alta o de baja del grupo sin hacerlo carpetapor carpeta.


25/65


Agregamos el gerente actual en el grupo GERENTES :

Al grupo GERENTES le damos permisos de lectura y

ejecucin sobre la carpeta DESARROLLADORES quecontiene los directorios de los proyectos:

Ahora vamos a crear al usuario director2013 :


26/65


Creamos tambin un grupo llamado DIRECTORES paraintroducir a los diferentes directores que pueden pasar por laempresa y darlos de alta o de baja del grupo sin hacerlo carpeta

por carpeta.

Agregamos el director actual en el grupo DIRECTORES :

Al grupo DIRECTORES le damos permisos de acceso a todoslos recursos disponibles de la empresa ASIR2 :


27/65


28/65


Hacemos una prueba para ver que todo funciona correctamente.

Nos conectamos con el usuario emple-1 del PROYECTO-1a su correspondiente carpeta y vemos que podemos acceder:


29/65


Si intentamos conectarnos con el mismo usuario a la carpeta delPROYECTO-2 y vemos que no tenemos permiso:

Por ltimo, vamos a crear una carpeta para los perfiles mviles

de todos los usuarios:

Vamos a Propiedades de la carpeta y la compartimos ya quedentro estarn todos los directorios de los diferentes usuarios

que se conectan en el dominio emanuel.gcap.net :


30/65


En compartir indicamos permiso de Copropietario paraque los grupos tengan acceso a la carpeta al iniciar sesin:

Indicamos al usuario director2013 que la ruta de su perfil seencuentra en la carpeta que hemos creado anteriormente:


31/65


Usamos la variable %username% para que cuando elusuario inicie sesin en el dominio emanuel.gcap.net se

pueda crear un directorio en la carpeta PERFILES con elmismo nombre que tiene como usuario.

De esta forma repetimos el proceso con todos los usuarios.

5. La empresa tiene una serie de servicios que quiere seguirmanteniendo (incluidos sus nombres):

a. Controlador de Dominio => tunombre.gcap.net

Comprobamos que el nombre del dominio esemanuel.gcap.net :


32/65


b. Servicio DNS

Comprobamos que se han creado las zonas correctamente:

c. Servicio DHCP =>192.168.100.0/24

Observamos que el Servicio DHCP est activo:

i. mbito: 192.168.100.2 192.168.100.254

Comprobamos que el mbito se corresponde con lo requerido:


33/65


ii. Servidor: 192.168.100.1

Observamos que el Servidor tiene asignada la IP fija requerida:

6. Todos los equipos (mquinas virtuales) deben estarconectados a un switch virtual que trabaje es la subred192.168.100.0/24. Configura una interfaz de red parasimular lo anterior y que no tengan salida a Internet.Como si estuvieran todos conectados fsicamente a unswitch.

Cogemos un cliente Windows XP y le asignamos solamente unaRed Interna para que no tenga salida a Internet:


34/65


Indicamos a nuestro Cliente que la direccin del Servidor DNSes 192.168.100.1 ya que por defecto intenta conectarse a la

direccin 192.168.1.1:

Nos vamos a propiedades del sistema y en la opcincambiar el nombre del equipo podemos cambiar el

nombre del equipo que queremos mostrar.

Aqu introducimos el nombre de nuestro dominioemanuel.gcap.net para pertenecer al mismo.

Inmediatamente nos pide un usuario y una contrasea conpermisos para unirse al dominio emanuel.gcap.net :


35/65


Introducimos los datos del usuario director2013 y nos da la bienvenida al unirnos al dominio:

Ahora nos pide reiniciar el equipo y lo reiniciamos:


36/65


Reiniciamos el equipo:

Al reiniciar nos aparece lo siguiente:


37/65


Seleccionamos el nombre de equipo ASIR2 e introducimos elusuario director2013 para ver si podemos iniciar sesin:

Comprobamos que podemos iniciar sesin con el usuariodirector2013 en nuestro Cliente Windows XP y creamos una

carpeta de prueba en el escritorio:


38/65


Al iniciar sesin comprobamos que en el Servidor WindowsServer 2008 en la carpeta PERFILES se ha creado el

directorio del usuario que ha iniciado sesin en el dominio:

Exploramos las carpetas que se han creado al iniciar sesin:

Y observamos que la carpeta prueba que hemos creado con elperfil mvil director2013 se ha guardado una vez que hemos

cerrado sesin con el usuario:


39/65


Aunque ya podemos iniciar sesin en el dominioemanuel.gcap.net con cualquier usuario que pertenece al

dominio, seguimos sin tener internet en el Cliente ya quesolamente tenemos una Red Interna asignada que se comunicacon el Controlador de Dominio y no tenemos salida al exterior:

Para ofrecer Internet a toda la red virtual que hemos creado,tenemos que agregar una funcin en nuestro Servidor llamada

Servicios de acceso y directivas de redes :


40/65


Seleccionamos los siguiente Servicios de Funcin:

Ya tenemos instalado el servicio de acceso remoto y elenrutamiento :

Pasamos a configurar el servicio instalado:


41/65


Seleccionamos Traducir direcciones NAT para que los Clientesinternos puedan conectarse a Internet:

Seleccionamos la Interfaz con la que nos comunicamos alexterior:

Una vez finalizada la configuracin del enrutamiento

observamos lo siguiente:


42/65


Ahora comprobamos que en nuestro cliente tenemos Internet:

8. Se crear tambin un perfil obligatorio, llamadoinvitado, por si alguien ajeno a la empresa quiereusar algn equipo. Este perfil no tendr acceso aningn otro perfil, proyecto, documentacin, etc de laempresa. Los datos de los perfiles estarn en una

particin o disco duro diferente a la del sistemaoperativo.


43/65


Para crear el perfil obligatorio, primero habilitamos la cuentaInvitado en el Servidor:

Creamos la carpeta OBLIGATORIO y la compartimos para

Todos los usuarios:

Nos vamos al cliente XP e iniciamos sesin con el usuario Administrador del Servidor y nos dirigimos a

propiedades del sistema , opciones avanzadas yconfiguracin de perfiles de usuario:


44/65


Seleccionamos el usuario emple1 y seleccionamos copiara y a continuacin introducimo s la ruta de nuestro Servidor

hasta la carpeta OBLIGATORIO y la carpeta del usuario sellamar INVITADO.MAN :

Seleccionamos en Cambiar para permi tir usar la carpeta porel grupo Todos :


45/65


46/65


Nos aparece un fichero llamado ntuser.dat y le modificamosla extensin del fichero oculto a NTUSER.MAN :

Por ltimo vamos a nuestro usuario Invitado previamentehabilitado y en ruta de acceso al perfil ponemos la siguiente:

Iniciamos sesin en nuestro cliente Windows XP con el usuarioInvitado del Servidor y creamos una carpeta de prueba:


47/65


Cerramos sesin y nos volvemos a meter con el usuarioInvitado y observamos que la carpeta no se ha guardado:


48/65


10. El administrador, para optimizar elfuncionamiento de la empresa, decide incluir algunadirectiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedansolicitar la asistencia remota de alguien deldepartamento de sistema por alguna incidencia(cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives yponer un fondo de escritorio corporativo para evitarposibles distracciones:

i. Habilitar Asistencia Remota Solicitada.

Para habilitar la asistencia remota para los usuarios primerotenemos que instalar la caracterstica de asistencia remota:

Ya tenemos instalada la Asistencia Remota:


49/65


Ahora vamos a la Administracin de Directivas de Grupo y creamos unanueva poltica de grupo que afecta a todos los departamentos

del dominio ASIR2 :

Editamos la GPO-ASIR2 creada y buscamos la opcin Asistencia Remota :

Y habilitamos la Asistencia Remota Solicitada :


50/65


51/65


Buscamos las directivas que afectan al usuario y editamos laopcin Tapiz del Escritorio :

Indicamos la ruta de un fondo previamente descargado yhabilitamos el fondo para todos los usuarios:


52/65


iv. Ejecutar un programa que indique la IP del equipo yun usuario en el escritorio.

Descargamos la utilidad Bginfo para mostrar la IP y elusuario del Equipo:

Le indicamos que nos muestre solamente el usuario y la IP, eneste caso de nuestro Servidor:

v. Deshabilitar el uso de pendrives.


53/65


Buscamos las restricciones de instalacin de dispositivosextrables:

Deshabilitamos la instalacin de dispositivos extrables :

b. Para el Departamento de Sistemas. Que puedanofrecer asistencia remota a los usuarios sin necesidadde que estos la soliciten antes (como alternativa alescritorio remoto). El usuario puede aceptar o rechazarese ofrecimiento (cuidado con el firewall de windows).


54/65


i. Habilitar ofrecer asistencia remota.

Primero creamos una nueva GPO para el departamento deSistemas:

Habilitamos la opcin de Ofrecer Asistencia remota :


55/65


c. Para el Departamento de Software. Con idea de quelos perfiles de usuarios no se vuelvan muy pesados, lacarpeta Mis Documentos se ubicar en una unidad dered. Se almacenar en el servidor (en una particindiferente a la del sistema operativo) llamadapersonales . El recurso debe ser oculto para el resto.Como consecuencia de esto, se le habilitar una cuotade disco de 100 Mb, ya que estos ficheros personales noestarn asociados al perfil.

i. Redireccionamiento de Mis Documentos

Primero creamos otra GPO para el departamento de Software:

Creamos la carpeta personales :


56/65


57/65


ii. Limitar el tamao del perfil.

Buscamos e n Perfiles de Usuario la opcin de limitar el

tamao del perfil a 100 mb:


58/65


d. Para el director. Como es el jefe, dice que el puedousar pendrives cuando le d la gana y que quiere el windows messenger que le niega al resto de susempleados (no hay nada como ser el jefe). Recuerda la jerarqua de aplicacin de las directivas de grupo.

i. Deshabilitar no permitir que se ejecute windowsmessenger.

Primero creamos otra GPO para el departamento de direccin :

Habilitamos la ejecucin de Windows Messenger:


59/65


ii. Habilitar el uso de pendrives.

Habilitamos la instalacin y uso de dispositivos extrables:

11. Instala un servicio de distribucin de software desdetu equipo servidor a las estaciones de trabajo del

dominio mediante paquetes MSI:a. OpenOffice.

b. Firefox.

Primero instalamos la utilidad Veritas Discover en unainstalacin limpia de Windows. Instalamos el paquete

OpenOffice y el Navegador Mozilla Firefox.


60/65


Una vez tenemos una instalacin limpia de las dos utilidades,con la herramienta Discover creamos los paquetes MSInecesarios y en las directivas del equipo del dominio agregamoslos dos paquetes MSI creados para que se puedan instalar entodos los equipos del dominio.

12. Instala DFS y haz una prueba de sufuncionamiento.

Seleccionamos solamente elSistema de archivos distribuido (DFS) :

Indicamos que vamos a crear un espacio de nombres msadelante:


61/65


Ya tenemos el servicio DFS instalado:

Una vez instalado el Servicio, lo abrimos desdeInicio -> Herramientas Administrativas ->

Administracin de DFS

Ahora vamos a crear un nuevo espacio de Nombres:


62/65


Indicamos el nombre de nuestro Servidor:

Asignamos un nombre para el espacio de nombres:

Seguimos la configuracin con la siguiente opcin:

Una vez configurado el espacio de nombres, creamos una nuevacarpeta compartida:


63/65


64/65


Creamos un fichero de texto de prueba, para ver si aparece ennuestro Cliente:

Nos vamos a nuestro Cliente Windows XP y accedemos a laRuta de la carpeta compartida :


65/65


Comprobamos que con el usuario director2013 accedemosperfectamente al fichero creado anteriormente:

Y como al usuario director2013 le hemos asignadosolamente permisos de lectura comprobamos que no podemos

ni crear una nueva carpeta:

Documents

Active Directory 1-12