Embed Size (px)
DESCRIPTION
infraestructura active directory
Citation preview
IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA ACTIVE DIRECTORY
(WINDOWS SERVER)
Maicol muñoz José David Salazar
Instructor: Felipe Londoño
Código: 35442
Administración de Redes
Centro de Gestión Empresarial
SENA
2011
IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA ACTIVE DIRECTORY
(WINDOWS SERVER)
Objetivos:
- Realizar una implementación práctica de la infraestructura de Active Directory
- Comprender el concepto de administración centralizada de recursos de red
SOLUTIONS S.A. tiene 3 sucursales distribuidas en todo el país. Actualmente la
administración de la red se realiza de manera descentralizada, es decir, cada
departamento administra sus propios recursos de red.
La nueva junta directiva de la empresa ha decidido centralizar la administración de
los recursos de la red e implementar un dominio local en Windows Server 2008,
mediante una infraestructura ACTIVE DIRECTORY.
Las sucursales son:
Medellín
Bogotá
Cali
presente problemas tener una copia de los usuarios, grupos, cuentas de estaciones etc.
vez las siguientes unidades organizativas: - Equipos: Portátiles y de Escritorio.
- Usuarios: Cada sucursal deberá contener por lo menos 10 usuarios
- Impresoras: Una impresora en la sucursal principal
- Carpetas compartidas: en equipos y en un servidor FTP
- Grupos *Cada cuenta de usuario que se cree tenga la contraseña por defecto, pero debe forzarse cambiar la contraseña al siguiente inicio de sesión para que la contraseña sea personal. Por cada sucursal habrá una carpeta compartida reservada en el controlador de dominio. Más adelante se definirán los permisos para los usuarios.
- A continuación se muestra cómo se distribuirán los 10 usuarios para cada sucursal: - ponga 2 cuentas de usuario y agregarlos al grupo de administradores del dominio, para cada sucursal (Asignar lo nombres que deseen). Los administradores del dominio tienen control total sobre éste. - ponga 2 cuentas de usuario para los nuevos aprendices practicantes de cada sucursal (Asignar lo nombres que deseen) y permitirles únicamente: -Iniciar sesión solo de lunes a viernes, de 8 AM a 6PM
-Ningún privilegio administrativo
-Iniciar sesión solo en los equipos de Escritorio
-Conceder al grupo aprendices solo el acceso a la carpeta compartida
PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red).
-No podrán abrir el menú Ejecutar del menú Inicio NOTA: Los aprendices pertenecen al grupo aprendices Los otros 6 son Usuarios del dominio y se les permitirá: - Acceder a la impresora compartida
- Acceder a la carpeta compartida que le corresponde dentro de la unidad Organizativa de la sucursal. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red)
- No podrán acceder al panel de control
- No podrán abrir el menú Ejecutar del menú Inicio Desarrollo
1- Instalar en controlador de dominio -A continuación mostrare los pasos para instalar el controlador de dominio siguiendo los siguientes pasos. El controlador de dominio instala el DNS y le crea las zonas directa automática/ lo único que tiene que hacer es crearle la zona inversa. -Poner una dirección ip estática.
-Inicio-ejecutar-dcpromo.exe
Siguiente el dominio raíz será soluctions.local
Aquí pondré la contraseña para el administrador de controlador de dominio yo
recomendaría poner la contraseña de equipo administrador. Recuerde que esa
contraseña no distingue entre (may, min, num).
Después de haber instalado la directiva iremos a la siguiente ruta
-inicio-herramientas administrativa-usuarios y equipos de active directory
Cada sucursal formará parte de una unidad organizativa que contendrá a su vez las siguientes unidades organizativas:
-Equipos: Portátiles y de Escritorio.
-Usuarios: Cada sucursal deberá contener por lo menos 10 usuarios
-Impresoras: Una impresora en la sucursal principal
-Carpetas compartidas: en equipos y en un servidor FTP
-Grupos
-Todo lo que hare en el siguiente manual será en la sucursal Medellín ya con lo
mostrado lo harán después con las otras sucursales. (Bogotá, Cali)
A continuación se muestra cómo se distribuirán los 10 usuarios para cada sucursal:
Como crear una unidad organizativa
-clic derecho – nuevo- unidad organizativa
Como crear usuario
Clic derecho-nuevo-usuario
En una maquina cliente de dominio
-primero en mi PC propiedades cambiar nombre de usuario y ese usuario lo
Unimos a el dominio
Impresoras: Una impresora en la sucursal principal Como compartir la impresora 1. Lo en una maquina descargamos el software PDFcreator que nos permite crear impresora virtuales. 2. instalamos y la impresora esta en Inicio-panel de control-impresoras
Le damos clic derecho compartir
Lo compartimos y le damos el nombre luego nos vamos nuestro actory directory Y hacemos lo siguientes: -para agregar una nueva impresora clic derecho en impresora-nuevo-impresora
Le damos la ruta siguiente: \\ La dirección de servidor donde esta lo compartido\el nombre de lo
compampartida
Para las siguientes cuestiones seguimos los pasos a continuación
Todo lo que hare a continuación será para la sucursal Medellín ya que para Cali y para Bogotá es lo mismo.
2- coger 2 cuentas de usuario y agregarlos al grupo de administradores del dominio, para cada sucursal (Asignar lo nombres que deseen). Los administradores del dominio tienen control total sobre éste.
Bueno acá muestra que David y josa son administradores de dominio
A continuación mostrare como agregarlos a administradores de dominio
Doble clic en el usuario-miembro de-
Luego-le damos agregar-avanzadas-buscar ahora
Buscamos administradores de dominio.
Le damos aceptar-aplicar-aceptar
Lo mismo es para Cali y Bogotá
3-Coger 2 cuentas de usuario para los nuevos aprendices practicantes de cada Sucursal (Asignar lo nombres que deseen) y permitirles únicamente:
Los usuarios aprendices son Juan y luis. ¿Iniciar sesión solo de lunes a viernes, de 8 AM a 6PM? -doble clic en el usuario-cuenta-hora de inicio de sesión
Le damos Aceptar-aplicar-aceptar ¿Ningún privilegio administrativo? R// por defecto cuando uno crea el usuario viene ya con ningún derecho administrativo
¿Iniciar sesión solo en los equipos de Escritorio? R// Doble clic en el usuario-cuenta-iniciar sesión en
Le damos aceptar Le dimos el nombre de equipo donde nada más se puede iniciar sesión nada en ese equipo. Para hacer la prueba puede coger otra máquina cliente, al ahora de iniciar sesión no podrá acceder.
¿Conceder al grupo aprendices solo el acceso a la carpeta compartida PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red).? R// 1.debemos poner los dos usuarios aprendices a un grupo que lo llamaremos aprendices En grupo de la sucursal Medellín-clic derecho en equipo-nuevo-equipo
Luego agregamos los usuarios aprendices a grupo (grupo aprendices Medellín) Clic derecho en el usuario-agregar grupo-avanzadas-buscar ahora (grupo aprendices Medellín)
Aceptar
2. crear una carpeta en mis documentos y luego la vamos a compartir
Clic derecho-compartir
Avanzadas-buscar ahora-buscamos el grupo (grupo de usuario Medellín)
Compartir Luego le damos clic derecho propiedades la carpeta-compartir-uso compartido- Habilitamos las casillas
Esto se hace es para que la ruta de la carpeta compartida quede más corta para copiarla
Luego vamos a la carpeta compartida de la sucursal y crearnos otra carpeta compartida
Aceptar Para compartir una unidad de red En la carpeta compartida damos clic derecho-conectar a una unidad de red
En esa ruta y letra se les darás a los usuarios aprendices de grupo aprendices. En el perfil de usuario perteneciente al grupo.
Aplicar y aceptar ¿No podrán abrir el menú Ejecutar del menú Inicio?
1- Nos vamos a inicio-herramientas administrativas-administración de directivas de grupo
2- Desplegamos la unidad organizativa que dice dominios y le hacemos clic
derecho en el dominio-crear un GPO en este dominio y vincularlo aquí
Aceptar
Luego le damos clic derecho en la GPO creada-editar
Estado ahí en configuración de usuario-desplegamos-directivas-plantillas administrativas-menú inicio y barra de tareas
Buscamos quitar en menú ejecutar del menú inicio
Le damos clic derecho-propiedades- y los habilitamos
Nos vamos a las directivas de grupo. Hacemos clic derecho en la GPO creada y le damos exigido
Por último y los mas importante agregar el grupo aprendices Medellín a la GPO para que le aplique estas directivas a dicho grupo. Estoces hacemos doble clic en la GPO
A continuación vamos a quitar usuarios autentificados
Agregamos el grupo donde esta los usuarios en donde se le va a aplicar estas GPO Avanzadas-buscar ahora (grupo aprendices medellin) y también será para Bogotá y Cali ósea que tenemos que agregar los grupos correspondientes de Bogotá y Cali.
Aceptar
La GPO como dice el taller también se debe aplicar a los grupo de Cali y Bogotá pero yo le muestro el proceso en Medellín por como ya sabe para las otras sucursales es el mismo proceso. NOTA: cuando compartimos la impresora esa impresora es para las tres sucursales Pero todavía no tiene usuario compartido más adelante los agregaremos. Vamos a hacer pruebas ingresados en una maquina cliente con un usuario perteneciente al grupo (grupo aprendices Medellín) y miramos si nos compartió la carpeta compartida por una unidad de red y que nos no muestre el menú ejecutar en la barra de inicio.
I
Y miramos el menú ejecutar
No se ve el menú
ejecutar en inicio
Miramos que nos
compartió en una
unidad de red
NOTA: verifique si está bien hecho los pasos anteriores Coger 2 cuentas de usuario para los nuevos aprendices practicantes de cada sucursal (Asignar lo nombres que deseen) y permitirles únicamente:
-Iniciar sesión solo de lunes a viernes, de 8 AM a 6PM
-Ningún privilegio administrativo
-Iniciar sesión solo en los equipos de Escritorio
-Conceder al grupo aprendices solo el acceso a la carpeta compartida PRACTICANTES. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red).
-No podrán abrir el menú Ejecutar del menú Inicio -Los aprendices pertenecen al grupo aprendices
3- Los otros 6 son Usuarios del dominio y se les permitirá: -Acceder a la impresora compartida
-Acceder a la carpeta compartida que le corresponde dentro de la unidad Organizativa de la sucursal. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red)
-No podrán acceder al panel de control
-No podrán abrir el menú Ejecutar del menú Inicio R// Lo primero seria mirar si los 6 usuarios pertenezcan a un grupo (crear el grupo dentro la unidad organizativa de grupos)
-Acceder a la carpeta compartida que le corresponde dentro de la unidad Organizativa de la sucursal. (Una vez que cada uno de estos usuarios inicie sesión deberá conectarse automáticamente a una unidad de red) 1. crear la carpeta compartida
Luego la compartimos Clic derecho en la carpeta-compartir
Quitamos el administrador y agregamos el grupo de los usuario restantes de Medellín
Crearemos la carpeta compartida
Luego la compartimos con una unidad de red Clic derecho-conectar con una unidad de red
Para conectar la unidad
de red
Le especificamos
con cual
Luego nos vamos para el grupo de usuarios restantes Medellín
Y a cada usuario le especifica a cual unidad de red se va a conectar y le damos la
ruta de la carpeta compartida
Ahora mostraremos el ejemplo de cómo conecta el usuario
Estoces seleccionaremos 1 clic derecho-propiedades-perfil-conectar
Esto son los
usuarios
pertenecientes a
este grupo
Según como agregamos la ruta a la
carpeta compartida se la damos a cada
usuario de dicho grupo
Ahora haremos el siguiente punto.
-No podrán acceder al panel de control
-No podrán abrir el menú Ejecutar del menú Inicio
1- Nos vamos a administración de directiva de grupo
Clic derecho en el dominio y agregamos la GPO
En la GPO hacemos clic derecho en editar
En configuración de usuario
Desplegamos-directivas-plantillas administrativas
En menú inicio y barra de tareas
Buscamos quitar el menú ejecutar de menú inicio
Y buscamos denegar el panel de control
Lo habilitamos dándole clic derecho-
propiedades-habilitar
Po último hacemos la prueba de todo ingresando como un usuario de grupo
restantes
Y miramos
1 que nos haya compartido la carpeta compartida por una unidad de red
2. miramos que nos haya denegado el menú ejecutar y el panel de control
Vemos que nos compartir
la unidad de red.
Recuerde que todo esto se hizo con la sucursal Medellín ya que lo mismo será
para Bogotá y Cali.
Ahora haremos el controlador de dominio suplente ósea migrar el servidor actory
Directory en otra máquina distinta a la red.
1. Utilizaremos DSL para que haga la función de router.
-La maquina que tiene el controlador de dominio principal tiene la dirección
192.168.1.2 con su Gateway 192.168.1.1.
-la maquina que tendrá la copia de controlador de dominio principal 172.16.0.2
y la Gateway será 172.16.0.1.
- El DSL tendrá la Gateways de las dos maquina.
-La máquina de controlador de dominio principal con la siguiente dirección.
Como podemos ver nos está el
ejecutar y el panel de control
Luego el DSL lo pondremos como router.
El DSL debe de tener 2 adaptadores de red para que comunique las 2
maquinas.
Para que el las dos maquina se puedan comunica haremos los siguiente el
DSL
Este es el controlador de
dominio principal.
Hay esta los adaptadores de red donde
está por red interna
Adaptador 1=maida donde está la
192.168.1.1
Adaptador2=20 donde está la
172.16.0.1
1. Ingresamos el siguiente comando
Para encaminar las direcciones
Luego especificaremos la interfaces que harán el papel de Gateway
Es la Gateway para la copia de controlador
de dominio
Es la Gateway Para el controlador
de dominio principal
En La maquina 2 la copia de controlador de dominio donde trabajara con la
siguiente dirección
Recuerde que debe estar por red interna 20 para que se pueda comunicar con el
DSL que funciona como router y tenga vista con el controlador de dominio
principal.
Luego unimos la maquina a dominio por la siguiente ruta
Inicio-clic derecho propiedades en equipo-cambiar configuración y miramos el
pantallazo
Después de reiniciar
Instalaremos la copia de controlador de dominio.
Crearemos un bosque existe como ya unimos la maquina a dominio estoces
todo será siguiente
Después de le damos finalizar
En la maquina del controlador de dominio principal lo vemos así
Ahora nos vamos para la copia de controlador de dominio y como ya lo
tenemos enlazado tiene que queda todo lo que vallamos haciendo
Fin
Conceptos:
Servidor de directorio: Es una aplicación o un conjunto de aplicaciones que almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los administradores gestionar el acceso de usuarios a los recursos sobre dicha red. Además, los servicios de directorio actúan como una capa de abstracción entre los usuarios y los recursos compartidos. Dominio: Un dominio o nombre de dominio es el nombre que identifica un sitio web. Cada dominio tiene que ser único en Internet. Por ejemplo, "www.masadelante.com" es
el nombre de dominio de la página web de Mas adelante. Un solo servidor web puede servir múltiples páginas web de múltiples dominios, pero un dominio sólo puede apuntar a un servidor. Active Directory : es el servicio de directorio de una red de Windows 2003. Este servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos, de forma que se convierte en un medio de organizar, controlar y administrar centralizadamente el acceso a los recursos de la red. DNS: (Domain Name System). Servicio de nombres de dominio que permite la administración de los nombres de ordenadores. Este servicio constituye el mecanismo de asignación y resolución de nombres (traducción de nombres simbólicos a direcciones IP) en Internet.
Kerberos :Protocolo utilizado para la autenticación de usuarios y máquinas.
LDAP :(Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de
acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden
y modifican la información existente en el directorio.
Arbol:
Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un dominio a un árbol existente este pasa a ser un dominio secundario (o hijo). Un dominio inmediatamente por arriba de otro dominio en el mismo árbol de dominio es su padre. Todos los dominios que tengan un dominio raíz común se dice que forman un espacio de nombres contiguo.
Los dominios secundarios (hijos) pueden representar entidades geográficas (valencia, madrid, barcelona), entidades administrativas dentro de la organización (departamento de ventas, departamento de desarrollo ...), u otras delimitaciones específicas de una organización, según sus necesidades.
Los dominios que forman un árbol se enlazan mediante relaciones de confianza bidireccionales y transitivas. La relación padre-hijo entre dominios en un árbol de dominio es simplemente una relación de confianza. Los administradores de un dominio padre no son automáticamente administradores del dominio hijo y el
conjunto de políticas de un dominio padre no se aplican automáticamente a los dominios hijo.
Por ejemplo, en la Universidad Politécnica de Valencia cuyo dominio actual de Active Directory es upv.es se crean dos nuevos departamentos: DSIC y DISCA. Con el fin de permitir la administración de los dominios por parte de los técnicos de los respectivos departamentos, se decide agregar dos nuevos dominios a su árbol de dominios existente en lugar de crear dos unidades organizativas en el dominio existente. Los dominios resultantes, dsic.upv.es y disca.upv.es forman un espacio de nombres contiguo, cuya raíz es upv.es. El administrador del dominio padre (upv.es) puede conceder permisos para recursos a cuentas de cualquiera de los tres dominios del árbol, pero por defecto no los puede administrar.
Bosque:
Un bosque es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas. Un dominio único constituye un árbol de un dominio, y un árbol único constituye un bosque de un árbol. Los árboles de un bosque aunque no forman un espacio de nombres común, es decir, están basados en diferentes nombres de dominio raíz de DNS, comparten una configuración, un esquema de directorio común y el denominado catálogo global.
Es importante destacar que, aunque los diferentes árboles de un bosque no comparten un espacio de nombres contiguo, el bosque tiene siempre un único dominio raíz, llamado precisamente dominio raíz del bosque; dicho dominio raíz será siempre el primer dominio creado por la organización.
Añadir nuevos dominios a un bosque es fácil. Sin embargo, existen ciertas limitaciones que hemos de tener en cuenta al respecto:
*No se pueden mover dominios de Active Directory entre bosques.
*Solamente se podrán eliminar dominios de un bosque si este no tiene dominios
hijo.
*Después de haber establecido el dominio raíz de un árbol, no se pueden añadir
dominios con un nombre de nivel superior al bosque.
*No se puede crear un dominio padre de un dominio existente.
En general, la implementación de bosques y árboles de dominio permite mantener convenciones de nombres tanto contiguos como discontiguos, lo cual puede ser
útil en organizaciones con divisiones independendientes que quieren mantener sus propios nombres DNS.
Finalmente, debemos relacionar estos conceptos con el procedimiento para crear un dominio. Esto se hace mediante la ejecución de un asistente denominado dcpromo en el sistema Windows 2003 Server que queramos promocionar a controlador de dominio. En concreto, este asistente nos permite elegir entre las siguientes opciones de instalación:
1. DC adicional de un dominio existente o DC para un dominio nuevo
(creación de un dominio).
2. En el segundo caso, el dominio (nuevo) puede ser un dominio secundario
de otro dominio existente (es decir, un subdominio en un árbol de dominios
ya creado), o bien el dominio principal (raíz) de un nuevo árbol de dominios.
3. En este segundo caso, el dominio raíz puede ser de un bosque existente
(agregamos una raíz nueva a un bosque) o de un nuevo bosque (creación
del bosque). Por tanto, el primer dominio que creemos en una organización
siempre será un dominio nuevo de un árbol nuevo de un bosque nuevo.
Unidad organizativa:
Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Es decir, es un contenedor de otros objetos, de forma análoga a una carpeta o directorio en un sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., además de otras unidades organizativas. Es decir, mediante unidades organizativas podemos crear una jerarquía de objetos en el directorio (lo cual se asemeja otra vez a un sistema de archivos típico de Windows). Los objetos ubicados dentro de una unidad organizativa pueden moverse más tarde a otra, si fuera necesario. Sin embargo, un objeto no puede copiarse: cada objeto es único en el directorio, y su existencia es independiente de la unidad organizativa a la que pertenece.
Grupo:
De forma análoga a los usuarios globales, existen grupos que son almacenados
en el Directorio Activo y que por tanto son visibles desde todos los ordenadores
del dominio (y, en algunos casos, también de otros dominios del bosque). En el
directorio pueden crearse dos tipos de grupos: grupos de distribución y grupos de
seguridad. Los primeros se utilizan exclusivamente para crear listas de distribución
de correo electrónico, mientras que los segundos son los que se utilizan con fines
administrativos. Por este motivo, a partir de ahora nos referiremos exclusivamente
a los grupos de seguridad.
