Practica Luis Garcia

Practica 1

Instalación y administración de un

dominio en Windows Server 2008

Autor: Luis García Herrero 2013

Practica 1

2013

Autor: Luis García Herrero

2

Contenido

Instalación Windows Server 2008 ............................................................................................................................................................ 3

Configuración posterior a la instalación ................................................................................................................................................. 6

Instalación de los Servicios de dominio de Active Directory ......................................................................................................... 9

Instalación de un Controlador de Dominio adicional ..................................................................................................................... 14

Unión de equipo Windows XP al dominio ........................................................................................................................................... 21

Administración del dominio (Práctica 4) ............................................................................................................................................ 24

Administración de acceso al dominio (Práctica 5) .......................................................................................................................... 65

Problemas encontrados y solución aportada .................................................................................................................................... 95

Diferencias entre Windows Server 2003 y Windows Server 2008 .......................................................................................... 96

Practica 1

2013


3

Instalación Windows Server 2008

1. El primer paso es configurar nuestra máquina virtual (Virtualbox o Vmware), para que cree un disco duro virtual que aloje nuestro sistema operativo, en nuestro caso Windows Server 2008.

En mi caso he configurado una máquina virtual Vmware Workstation con las siguientes características:

Hardware compatibilidad con Workstation 6.5-7.0 Numero de procesadores y cores: 1 Memoria: 1024MB Configuración red: bridge (para conectarme a la maquina cliente Windows XP) Adaptadores I/O: LSI Logic SAS (recomendados por defecto) Tipos de disco: SCSI (recomendados por defecto) Capacidad de Disco: 40GB

2. A continuación, arrancará el programa de instalación desde la imagen que habremos indicado a Vwmare

anteriormente su localización, y elegimos la versión del sistema operativo que deseamos instalar, Windows Server 2008 R2 Enterprise como ya se mencionó anteriormente, la instalación completa.

Practica 1

2013


4

3. Haga clic sobre siguiente y el programa de instalación comenzará a instalar el sistema operativo. Durante el proceso, el programa de instalación copiara una imagen de disco completa en nuestra máquina virtual y extraerá sus contenidos. A continuación, se instalarán aquellas características que dependan de la configuración y el hardware que se haya detectado en el equipo. Este proceso reiniciará el equipo varias veces.

Practica 1

2013


5

4. Cuando el proceso de instalación concluya el sistema operativo estará cargado y podrá ver la consola Tareas de configuración inicial, que puede utilizar para realizar tareas para configurar la seguridad del servidor.

Practica 1

2013


6

Configuración posterior a la instalación

1. Como durante el proceso de configuración de la máquina virtual, nos hemos saltado el paso de introducir la

clave del producto, debemos activar Windows Server 2008 una vez concluido el proceso de instalación. Si no se hace dentro del periodo establecido aparecerá un mensaje de error informándonos de que el periodo de activación expiró o de que la versión instalada no es una copia genuina de Windows Server 2008. A partir de dicho momento, se ejecutará en modo de funcionamiento reducido y tendrá que activar y validar Windows Server 2008 para volver a disponer de todas sus funciones.

2. Para la activación correcta del sistema operativo, hemos utilizado la aplicación Windows Loader v2.2.1, ya que funciona en sistemas de 32 y 64 bits y en las diferentes plataformas de máquinas virtuales Vmware, Virtualbox y Hiper-V. Para su correcto funcionamiento se debe copiar el ejecutable en el escritorio del sistema operativo y se ejecuta sin haber usado algún otro activador o parche anteriormente.

3. Si realiza una activación y validación exitosa, tendrá un Windows genuino con lo que podrá instalar todas las actualizaciones que desee.

Practica 1

2013


7

4. Como durante el proceso de instalación no nos ha permitido escribir una contraseña para la cuenta de administrador, vamos a Panel de control > Cuentas de usuario y elegimos nuestra cuenta de administrador.

5. Una vez seleccionada, escribimos la contraseña siguiendo las siguientes políticas de seguridad: debe contener los siguientes caracteres mayúsculas, minúsculas, numéricos y no alfanuméricos y no menor de una longitud de 8.

6. El siguiente paso es configurar la zona horaria. Hacemos doble clic sobre el reloj y comprobamos que la configuración sea correcta, tanto en la fecha y hora como en la zona horaria.

Practica 1

2013


8

7. Nombre del equipo: SERVER01. Reiniciamos el equipo para que los cambios surjan efecto.

8. Hacemos clic en el enlace Configurar funciones de red en la ventana de Tareas de configuración inicial y configuramos la IP para las necesidades de nuestro entorno.

9. Como nuestro servidor no tiene una conexión a Internet no hacemos clic sobre el enlace Descargar e Instalar actualizaciones, de tal forma que el servidor se queda sin las últimas actualizaciones de seguridad de Microsoft.

10. Seleccionamos la casilla “No mostrar esa ventana al iniciar sesión” para evitar la aparición de la ventana.

Practica 1

2013


9

Instalación de los Servicios de dominio de Active Directory

1. Utilizaremos el Asistente para la instalación de los Servicios de dominio de Active Directory. Para ello haremos clic en Inicio > Ejecutar y escribimos “dcpromo.exe”, a continuación, hacemos clic en Aceptar. En caso de que la función AD DS no esté instalada dcpromo la agregará.

2. En la ventana Elegir una configuración de implementación, seleccionamos Crear un dominio en un bosque nuevo, y luego hacemos clic en siguiente.

3. En la ventana Asigne un nombre al dominio raíz del bosque, introducimos asir.local, y luego hacemos clic en Siguiente. El sistema realiza una comprobación para asegurarse de que los nombres DNS y NetBios no se encuentran en uso en la red.

Practica 1

2013


10

4. En la ventana Establecer nivel funcional del bosque, seleccionamos Windows Server 2008 R2, y luego hacemos clic en Siguiente. Al seleccionar el nivel funcional de bosque Windows Server 2008 R2 nos aseguramos que todos los dominios en el bosque operan en el nivel funcional de dominio de Windows Server 2008 R2, lo que permite nuevas características proporcionadas por Windows Server 2008 R2.

Practica 1

2013


11

5. Aparece la ventana Opciones adicionales del controlador de dominio. Por defecto se encuentra seleccionada la opción Servidor DNS. El asistente para la instalación de los Servicios de dominio de Active Directory creará una infraestructura DNS durante la instalación.

6. Aparece una advertencia que nos informa de que tenemos una delegación para el servidor DNS que no se puede crear. Hacemos clic en Si para cerrar el mensaje de advertencia del Asistente para la instalación de los servicios de dominio de Active Directory.

7. En la ventana Ubicación de la base de datos, archivos de registro y SYSVOL, aceptamos las ubicaciones por defecto para el archivo de base de datos, archivos de registro del servicio de directorio, y los archivos SYSVOL, y hacemos clic en Siguiente.

Practica 1

2013


12

8. En la ventana Contraseña de administrador del modo de restauración de servicios de directorio, introducimos una contraseña segura en los cuadros de texto.

Practica 1

2013


13

9. En la ventana Resumen repasamos las selecciones. Hacemos clic en Siguiente y se iniciará la configuración del AD DS. Una vez completado el proceso reiniciamos el equipo.

Practica 1

2013


14

Instalación de un Controlador de Dominio adicional

Nos disponemos a incluir un segundo controlador de dominio, denominado SERVER02, a un dominio que ya

posee un Controlador primario, para proporcionar una tolerancia a fallos en el dominio y reducir la carga que

supone administrar un dominio, repartiéndola entre ambos.

1. Lo primero es configurar la red del equipo, para unirlo a la misma red del servidor primario. Configuramos una IP estática en el equipo, poniendo como servidor DNS primario la IP del servidor Windows 2008.

2. A continuación, lo siguiente que debemos hacer es dar un nombre al equipo que no esté duplicado en la red y unirnos al dominio. En Propiedades del Sistema, debemos pulsar sobre la pestaña Nombre de equipo. En el apartado Nombre de equipo, escribimos el nombre que deseamos con que el equipo sea identificado en nuestra red o dominio. En nuestro caso, lo llamamos SERVER02.

3. En el apartado Miembro de, seleccionamos Dominio y, a continuación, escribimos el nombre del dominio al que queremos unirnos. En nuestro caso, el nombre del dominio es asir.local.

Practica 1

2013


15

4. Iniciamos la instalación del segundo controlador del dominio con el Asistente para la instalación de los Servicios de dominio de Active Directory. Para ello haremos clic en Inicio > Ejecutar y escribimos “dcpromo.exe”, a continuación, hacemos clic en Aceptar.

5. En la ventana Elegir una configuración de implementación, seleccionamos Agregar un controlador de dominio a un dominio existente (Bosque existente), y luego hacemos clic en siguiente.

Practica 1

2013


16

6. En la ventana credenciales de red, debemos escribir el nombre del dominio raíz del bosque donde

deseamos instalar nuestro controlador, que en nuestro caso es asir.local, y añadir las credenciales con

permisos suficientes de ese dominio para llevar a cabo la acción (administrador).

Practica 1

2013


17

7. Seleccionamos el dominio raíz del bosque.

8. Se selecciona un sitio para el nuevo controlador.

Practica 1

2013


18

9. Se deseleccionan todas las opciones adicionales para el nuevo controlador de dominio, Servidor DNS y

Catalogo Global, puesto que ambas funciones son exclusivas del servidor primario del dominio y nos

interesa que así siga siendo.

10. Posteriormente nos aparecerá una ventana donde nos advertirá de transferir el rol de maestro de

infraestructuras a este controlador de dominio. Esta característica es muy recomendable, puesto que se

recomienda que el Servicio de Catalogo Global y Maestro de infraestructura permanezcan en servidores

diferentes, así pues seleccionamos esta opción.

11. Se replicarán los datos a través de la red desde el controlador de dominio primario, que ya poseíamos para

este dominio raíz del bosque asir.local.

Practica 1

2013


19

12. En este paso debemos de seleccionar un controlador de dominio de origen para la replicación, que es

server01.asir.local.

13. En la ventana Ubicación de la base de datos, archivos de registro y SYSVOL, aceptamos las ubicaciones por

defecto para el archivo de base de datos, archivos de registro del servicio de directorio, y los archivos

SYSVOL, y hacemos clic en Siguiente.

14. En la ventana Contraseña de administrador del modo de restauración de servicios de directorio,

introducimos una contraseña segura en los cuadros de texto.

15. En la ventana Resumen repasamos las selecciones. Hacemos clic en Siguiente y se iniciará la configuración

del AD DS. Una vez completado el proceso reiniciamos el equipo.

Practica 1

2013


20

16. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que el controlador de

dominio secundario ya aparece junto al primario en el grupo correspondiente. Para ello nos situamos

encima del grupo Domain Controllers y hacemos doble clic.

17. Otras pruebas realizadas es con el SERVER01 apagado iniciar sesión con un usuario, que aún no se había

identificado en el equipo contra el dominio, por lo que para crear el perfil nuevo necesitaba conectarse

obligatoriamente al servidor, pues nunca había sido cargado en el equipo y no estaba cacheado en local.

18. Otra prueba fue crear un usuario nuevo mientras estaba apagado SERVER01 en el directorio activo, para

comprobar si los cambios se replicaban y actualizaban una vez recuperase la conectividad.

Practica 1

2013


21

Unión de equipo Windows XP al dominio

1. Iniciamos sesión en el equipo con la cuenta de administrador local. 2. Cambiamos el adaptador de red de la máquina virtual a modo bridge, si no se ha realizado durante la

instalación del sistema operativo. 3. Configuramos una IP estática en el equipo, poniendo como servidor DNS primario la IP del servidor

Windows 2008.

4. Hacemos clic en Inicio, haca clic con el botón secundario en Mi PC y, después, haga clic en Propiedades. Se abrirá el cuadro de dialogo Propiedades del Sistema.

Practica 1

2013


22

5. Para cambiar el nombre de un equipo o unirse a un equipo, debemos pulsar sobre la pestaña Nombre de equipo, y después sobre el botón Cambiar. Se abrirá el cuadro de dialogo Cambios en el nombre del equipo.

6. En el apartado Miembro de, seleccionamos Dominio y, a continuación, escribimos el nombre del dominio al que queremos unirnos. En nuestro caso, el nombre del dominio es asir.local.

7. En el apartado Nombre de equipo, escribimos el nombre que deseamos con que el equipo sea identificado en nuestra red o dominio. En nuestro caso, lo llamamos PC01.

Practica 1

2013


23

8. Hacemos clic en Aceptar. Se abrirá el cuadro de dialogo Cambios en el nombre de equipo. En nombre de usuario, escribimos el nombre de la cuenta de administrador de dominio y en contraseña escribimos la contraseña del administrador; a continuación, hacemos clic en Aceptar.

9. Se abrirá el cuadro de dialogo Cambios en el nombre de equipo y nos dará la bienvenida al dominio.

8. Hacemos clic en Aceptar y el cuadro de dialogo Cambios en el nombre de equipo muestra un mensaje que le indica que debe reiniciar el equipo para aplicar los cambios.

Practica 1

2013


24

Administración del dominio (Práctica 4)

Enunciado: Perteneces al departamento de sistemas de la empresa ASIR S.A. A fecha de 25 de febrero de este año, se

plantea una migración del entorno corporativo a la versión de Windows 2008 Server.

Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores (tus

compañeros de clase). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio

situado en la C/Mayor s/n.

Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos necesarios para

dicha migración y llevarlos a cabo para tal fecha.

Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están actualmente en

producción:

Administración de usuarios y grupos. Administración de ficheros. Administración de discos. Copias de seguridad.

El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva implantación con el

máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos para la gestión de los servicios

anteriormente.

Los detalles de la empresa son los siguientes:

La empresa consta de 20 empleados divididos en tres departamentos: sistemas, software y especiales. 3 empleados pertenecen al departamento de sistemas. Donde uno de ellos es el administrador

(adminSistemas) y los otros dos son los encargados de la gestión de incidencias (incidencias1 e incidencias2). Realizar la creación de estos 3 empleados a través de línea de comandos.

15 empleados son desarrolladores de software (software1, software2,…). 5 de esos empleados trabajan en el proyecto1, otros 5 trabajan en el proyecto2 y otros 5 trabajan en el proyecto3. Realizar la creación de los grupos necesarios para este departamento y la adhesión de miembros a través de línea de comandos.

Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. Será obligatorio rellenar todos los datos de las pestañas: general y dirección para todos los empleados

de la empresa. Los empleados del departamento de software solo pueden iniciar sesión desde su propio equipo (de

nombre equipoSoftware1, equipoSoftware2,…). Además no se les permitirá conectarse al dominio ni los sábados ni los domingos. Los días laborables podrán iniciar sesión en el dominio las 24 horas del día.

Es necesario configurar los siguientes perfiles para cada uno de los empleados:

Se creará un perfil obligatorio para los empleados que pertenezcan al proyecto1. Se creará un perfil obligatorio para los empleados que pertenezcan al proyecto2. Se creará un perfil obligatorio para los empleados que pertenezcan al proyecto3. Se creará un perfil obligatorio para los empleados que realicen la gestión de incidencias.

Practica 1

2013


25

Se creará un perfil móvil para el administrador del departamento de sistemas. Se creará un perfil móvil para el gerente. Se creará un perfil móvil para el director. Se creará un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa quiere usar algún

equipo. Este perfil no tendrá acceso a ningún otro perfil, proyecto, documentación, etc. de la empresa.

Además, debemos mapear cierta información en función del grupo al que pertenezca el usuario que está

intentando logarse:

Para los usuarios del grupo proyecto1 deberán tener una unidad mapeada con toda la información del proyecto llamada “DocProyecto1”.



Para los usuarios de incidencias deberán tener una unidad mapeada con toda la información del proyecto llamada “DocIncidencias”.

El administrador de sistemas deberá tener una unidad mapeada llamada “DocSistemas” que entre otras cosas contendrá la carpeta “DocIncidencias”.

El gerente deberá tener una unidad mapeada llamada “DocGerencia”. El director deberá tener una unidad mapeada llamada “DocDirección” que deberá contener entre otras

“DocGerencia”.

Practica 1

2013


26

Solución:

1. La empresa consta de 20 empleados divididos en tres departamentos: sistemas, software y especiales.

a. Hacemos clic con el botón derecho del ratón sobre el nombre del dominio en la que vamos a agregar las nuevas OU. Seleccionamos Nuevo, y después Unidad Organizativa.

b. Introducimos el nombre de la Unidad Organizativa. c. Seleccionamos Proteger contenedor contra eliminación accidental.

Practica 1

2013


27

d. Hacemos clic en Aceptar y vamos añadiendo todas las unidades organizativas de nuestra organización o empresa.

3. 3 empleados pertenecen al departamento de sistemas. Donde uno de ellos es el administrador (adminSistemas) y los otros dos son los encargados de la gestión de incidencias (incidencias1 e incidencias2). Realizar la creación de estos 3 empleados a través de línea de comandos.

El comando DSADD USER crea un objeto de usuario y acepta parámetros que especifican las propiedades del usuario. El parámetro pwd especifica la contraseña. Si se establece con un asterisco (*), se le solicitará una contraseña de usuario. a. Abrimos el símbolo de sistema. b. Introducimos los siguientes comandos en una línea y pulsamos Intro.

Practica 1

2013


28

c. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que los usuarios se han creado correctamente.

d. Para dar permisos de administrador a nuestro usuario local adminSistemas, dentro del dominio “asir.local”, seleccionamos la OU “sistemas” y dentro seleccionamos nuestro usuario.

Practica 1

2013


29

e. Hacemos clic con el botón secundario y, a continuación, hacemos clic en Propiedades. En la ficha Miembro de, hacemos clic en Agregar.

f. En Escriba los nombres de objeto que desea seleccionar, escribimos el nombre del grupo al que deseamos que pertenezca este usuario y hacemos clic en Aceptar.

Practica 1

2013


30

g. En este caso, como nosotros hemos escrito la palabra admin, que forma parte de la palabra del nombre del grupo, nos aparece una lista con varios resultados, del cual nosotros elegiremos el nombre deseado. Para nuestro usuario, necesitamos que sea administrador del dominio, por lo que elegiremos el grupo denominado “Admins. del dominio”.

h. Nos aparecerá de nuevo el cuadro de dialogo Seleccionar grupos esta vez únicamente con el objeto seleccionado.

Practica 1

2013


31

i. Pulsamos Aceptar y comprobamos en Propiedades de nuestro usuario (adminSistemas), que efectivamente sea miembro del grupo administradores del dominio.

4. 15 empleados son desarrolladores de software (software1, software2,…). 5 de esos empleados trabajan en el proyecto1, otros 5 trabajan en el proyecto2 y otros 5 trabajan en el proyecto3. Realizar la creación de los grupos necesarios para este departamento y la adhesión de miembros a través de línea de comandos.

El comando DSADD GROUP crea una agrupación en Active Directory y acepta parámetros que especifican las

propiedades de dicho grupo. El parámetro scope establece el valor para el ámbito del grupo (local, global o

universal).

Practica 1

2013


32

a. Abrimos el símbolo de sistema. b. Introducimos los siguientes comandos en una línea y pulsamos Intro.

c. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que los grupos se han creado correctamente.

El comando DSADD USER crea un objeto de usuario y acepta parámetros que especifican las propiedades del usuario. El parámetro pwd especifica la contraseña. Si se establece con un asterisco (*), se le solicitará una contraseña de usuario. El parámetro mustchpwd especifica que el usuario debe cambiar la contraseña en el siguiente inicio de sesión.

d. Abrimos el símbolo de sistema. e. Introducimos los siguientes comandos en una línea y pulsamos Intro.

Practica 1

2013


33

Practica 1

2013


34

f. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que los usuarios se han creado correctamente.

El comando DSMOD GROUP modifica los atributos de uno o más grupos existentes en el directorio y acepta

parámetros que especifican las propiedades de los grupos. El parámetro addmbr, rmmbr, chmbr especifica que

se agreguen miembros, eliminen o reemplacen en un grupo.

g. Abrimos el símbolo de sistema. h. Introducimos los siguientes comandos en una línea y pulsamos Intro.

Practica 1

2013


35

i. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que los usuarios se han agregado como miembro al grupo correspondiente. Para ello nos situamos encima del grupo correspondiente por ejemplo proyecto1 hacemos clic con el botón secundario y, a continuación, hacemos clic en Propiedades. En la ficha Miembros deberán aparecer todos los usuarios que hemos incluido en el grupo.

Practica 1

2013


36

Practica 1

2013


37

5. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa.

El comando DSADD USER crea un objeto de usuario y acepta parámetros que especifican las propiedades del usuario. El parámetro pwd especifica la contraseña. Si se establece con un asterisco (*), se le solicitará una contraseña de usuario. El parámetro mustchpwd especifica que el usuario debe cambiar la contraseña en el siguiente inicio de sesión.

a. Abrimos el símbolo de sistema. b. Introducimos los siguientes comandos en una línea y pulsamos Intro.

c. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que los usuarios se han creado correctamente.

Practica 1

2013


38

6. Será obligatorio rellenar todos los datos de las pestañas: general y dirección para todos los empleados de la empresa.

a. Hacemos clic con el botón derecho del ratón sobre el usuario creado y seleccionamos Propiedades. b. Configuramos las propiedades del usuario, asegurándonos de introducir los datos correctos de cada uno y

siguiendo la convención y normas de nuestra empresa.

c. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que los usuarios se han modificado y actualizado correctamente.

Practica 1

2013


39

7. Los empleados del departamento de software solo pueden iniciar sesión desde su propio equipo (de nombre equipoSoftware1, equipoSoftware2,…). Además no se les permitirá conectarse al dominio ni los sábados ni los domingos. Los días laborables podrán iniciar sesión en el dominio las 24 horas del día.

a. Hacemos clic con el botón derecho del ratón sobre el nombre del dominio en la que vamos a agregar las nuevas OU. Seleccionamos Nuevo, y después Unidad Organizativa.

b. Introducimos el nombre de la Unidad Organizativa. En este caso equipos.

Practica 1

2013


40

c. Seleccionamos Proteger contenedor contra eliminación accidental. d. Hacemos clic en Aceptar y ya tenemos añadida la unidad organizativa para incluir a todos los PCs de

nuestra organización o empresa. e. Hacemos clic con el botón derecho del ratón sobre la OU Equipos, seleccionamos Nuevo y luego clic sobre

Equipo. f. Aparece el cuadro de dialogo “Nuevo objeto: Equipo”.

g. En el cuadro de texto Nombre de equipo introducimos el nombre del equipo: equipoSoftware1, equipoSoftware2… Su entrada automáticamente rellena el cuadro Nombre del equipo (SO anterior a Windows 2000).

h. Dejamos sin activar la casilla de verificación Asignar la cuenta de este equipo como un equipo anterior a Windows 2000 y hacemos clic en Aceptar.

i. Abrimos el complemento de Usuarios y equipos de Active Directory y comprobamos que los equipos se han creado correctamente.

Practica 1

2013


41

j. A continuación, nos situamos encima del usuario correspondiente, por ejemplo, software1 ubicado en la OU software.

k. Hacemos clic con el botón secundario y, a continuación, hacemos clic en Propiedades. En la ficha Cuenta deberán aparecer todas las opciones para configurar el inicio de sesión de este usuario.

Practica 1

2013


42

l. Si pinchamos sobre el botón Horas de inicio de sesión podremos configurar el horario en que el usuario puede conectarse y trabajar en el dominio. En nuestro caso definimos que no se puede trabajar los sábados y domingos, y de lunes a viernes se puede las 24 horas.

m. Si pinchamos sobre el botón Iniciar sesión en, indicamos en que equipos puede trabajar el usuario, si en todos los del dominio o en un equipo especifico que definamos. En nuestro caso, definimos que cada trabajador solo puede trabajar en su propio equipo: software1 – equipoSotware1.

8. Se creará un perfil obligatorio para los empleados que pertenezcan al proyecto1.

Los perfiles controlados por el administrador se denominan perfiles obligatorios. Los usuarios que tienen un

perfil obligatorio solo pueden hacer cambios temporales en su entorno. En este caso, cualquier cambio que

hagan en el entorno local no se guardará y la próxima vez que inicie una sesión volverá al perfil original. La idea

Practica 1

2013


43

es que si los usuarios no pueden modificar permanentemente el entorno de red no podrán realizar cambios que

den problemas. Uno de los principales inconvenientes de los perfiles obligatorios es que el usuario solo puede

iniciar una sesión si el perfil está accesible. Si, por alguna razón, el servidor que almacena el perfil no está

accesible y tampoco lo está la caché del perfil, lo más normal es que no pueda iniciar una sesión.

a. Creamos una carpeta compartida que llamaremos “Perfiles” en nuestro servidor, y le incluiremos el grupo Todos con los permisos de Control total sobre dicha carpeta.

b. Abrimos el explorador y nos dirigimos a la ruta C:\Usuarios, de la cual copiaremos la carpeta Default a nuestra carpeta Perfiles. En caso de que no aparezca dicha carpeta, le decimos al explorador mostrar elementos ocultos.

Practica 1

2013


44

c. Una vez que la carpeta Default está en la nueva ubicación, la daremos un nuevo nombre, por ejemplo “Obligatorio”. Pues este perfil (Obligatorio), es el que vamos a utilizar de plantilla para todos los usuarios.

d. Ntuser.dat contiene los parámetros del registro del usuario. Debemos cambiar la extensión del archivo por Ntuser.man para indicarle Windows Server 2008 que cree un perfil obligatorio.

e. El siguiente paso es definir o personalizar nuestro perfil, por ejemplo, colocando unos iconos o documentos en el escritorio.

f. Una vez creado el perfil debemos indicar que usuarios harán uso de él (software1, software2,.., software5). Abrimos el cuadro de dialogo de Propiedades del usuario en Usuarios y equipos de Active Directory y luego hacemos clic en la ficha Perfil. Escribimos la ruta de acceso al directorio compartido en el campo Ruta de acceso al perfil, en nuestro caso, \\SERVER01\Perfiles\Obligatorio.

Practica 1

2013


45

g. Por último, para comprobar que hemos configurado nuestro perfil correctamente, accedemos con el usuario “software1” para comprobar que entra al dominio correctamente y le aparece la configuración del escritorio creada.

Practica 1

2013


46


a. Ver proceso de creación de perfil obligatorio en apartado anterior. Se crea el perfil obligatorio llamado “Obligatorio2” para los usuarios del proyecto2.

b. Una vez creado el perfil debemos indicar que usuarios harán uso de él (software6, software7,.., software10). Abrimos el cuadro de dialogo de Propiedades del usuario en Usuarios y equipos de Active Directory y luego hacemos clic en la ficha Perfil. Escribimos la ruta de acceso al directorio compartido en el campo Ruta de acceso al perfil, en nuestro caso, \\SERVER01\Perfiles\Obligatorio2.

Practica 1

2013


47


a. Ver proceso de creación de perfil obligatorio en apartado 8. Se crea el perfil obligatorio llamado “Obligatorio3” para los usuarios del proyecto3.

b. Una vez creado el perfil debemos indicar que usuarios harán uso de él (software11, software12,.., software15). Abrimos el cuadro de dialogo de Propiedades del usuario en Usuarios y equipos de Active Directory y luego hacemos clic en la ficha Perfil. Escribimos la ruta de acceso al directorio compartido en el campo Ruta de acceso al perfil, en nuestro caso, \\SERVER01\Perfiles\Obligatorio3.

Practica 1

2013


48

11. Se creará un perfil obligatorio para los empleados que realicen la gestión de incidencias.

a. Ver proceso de creación de perfil obligatorio en apartado 8. Se crea el perfil obligatorio llamado “Obligatorio4” para los usuarios de gestión de incidencias.

b. Una vez creado el perfil debemos indicar que usuarios harán uso de él (incidencias1, incidencias2). Abrimos el cuadro de dialogo de Propiedades del usuario en Usuarios y equipos de Active Directory y luego hacemos clic en la ficha Perfil. Escribimos la ruta de acceso al directorio compartido en el campo Ruta de acceso al perfil, en nuestro caso, \\SERVER01\Perfiles\Obligatorio4.

Practica 1

2013


49

12. Se creará un perfil móvil para el administrador del departamento de sistemas.

Para que un usuario tenga un perfil móvil hay que seguir estos pasos para definir la ubicación del directorio del

perfil en el servidor:

a. Creamos un directorio compartido llamado adminSistemas en el servidor Windows Server 2008 y le agregamos el grupo Todos, con los permisos de Control Total sobre dicho directorio.

b. Abrimos el cuadro de dialogo de Propiedades del usuario en Usuario y equipos de Active Directory y luego hacemos clic en la ficha Perfil. Escribimos la ruta de acceso al directorio compartido en el campo Ruta de acceso al perfil, en nuestro caso \\SERVER01\Perfiles\adminSistemas.

Practica 1

2013


50

c. Copiamos un perfil ya existente en la carpeta de perfil de usuario y una vez que el usuario inicie sesión,

todos los cambios en su perfil se verán reflejados en la ruta de acceso al perfil.

13. Se creará un perfil móvil para el gerente.

a. Seguimos los mismos pasos para la creación del perfil igual que en el punto anterior, pero creamos la carpeta con el nombre de gerente.

Practica 1

2013


51

b. Una vez que el usuario inicie sesión, todos los cambios en su perfil se verán reflejados en la ruta de acceso al perfil.

14. Se creará un perfil móvil para el director.

a. Seguimos los mismos pasos para la creación del perfil igual que en el punto anterior, pero creamos la carpeta con el nombre de director.

b. Una vez que el usuario inicie sesión, todos los cambios en su perfil se verán reflejados en la ruta de acceso al perfil.

Practica 1

2013


52

15. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil, proyecto, documentación, etc. de la empresa.

a. Para crear un perfil móvil de invitado en Windows Server 2008, no es necesario crear una cuenta específica, ya que esta cuenta se encuentra integrada en nuestro servidor, pero por defecto, esta deshabilitada.

b. Abrimos el cuadro de dialogo de Propiedades del usuario en Usuario y equipos de Active Directory y luego hacemos clic en la ficha Cuenta. El nombre de inicio de sesión se encuentra vacío, lo rellenaremos con la palabra “invitado”, lo agregamos al dominio @asir.local y desbloqueamos la cuenta.

Practica 1

2013


53

c. Creamos una carpeta compartida que llamaremos “invitado” en nuestro servidor, y le incluiremos el usuario “invitado” y el grupo “Invitados de dominio” (grupo al que pertenece el usuario invitado), con los permisos de Control total sobre dicha carpeta.

d. Abrimos el explorador y nos dirigimos a la ruta C:\Usuarios, de la cual copiaremos la carpeta Default a nuestra carpeta invitado. En caso de que no aparezca dicha carpeta, le decimos al explorador mostrar elementos ocultos.

Practica 1

2013


54

e. Ntuser.dat contiene los parámetros del registro del usuario. Debemos cambiar la extensión del archivo por Ntuser.man para indicarle Windows Server 2008 que cree un perfil obligatorio.

f. Una vez creado el perfil, abrimos el cuadro de dialogo de Propiedades del usuario en Usuarios y equipos de Active Directory y luego hacemos clic en la ficha Perfil. Escribimos la ruta de acceso al directorio compartido en el campo Ruta de acceso al perfil, en nuestro caso, \\SERVER01\invitado.

Practica 1

2013


55

g. Por último, para comprobar que hemos configurado nuestro perfil correctamente, accedemos con el usuario “invitado” y comprobamos que no tiene permisos para acceder a ningún perfil de usuario desde el explorador y que no le aparece ninguna unidad de red en su perfil.

16. Para los usuarios del grupo Proyecto1 deberán tener una unidad mapeada con toda la información del proyecto llamada “DocProyecto1”.

a. Creamos una carpeta compartida que llamaremos “Compartida” en nuestro servidor, y dentro de esta otra carpeta llamada “DocProyecto1”. Le incluiremos a los usuarios y el grupo “proyecto1” con los permisos de Control total sobre dicha carpeta.

Practica 1

2013


56

b. Abrimos el cuadro de dialogo de Propiedades del usuario en Usuario y equipos de Active Directory y luego hacemos clic en la ficha Perfil. Escribimos la ruta de acceso a la unidad compartida Z: en el campo Conectar a, en nuestro caso, \\SERVER01\Compartida\DocProyecto1.

Practica 1

2013


57

c. Por último, para comprobar que hemos configurado nuestra unidad correctamente, accedemos con el usuario “software1”, verificamos que le aparece la unidad de red en el explorador y que puede crear una carpeta sin problemas.


a. Ver proceso de creación de la unidad de red en el apartado anterior. Se crea carpeta compartida llamada “DocProyecto2” para los usuarios del proyecto2, y se configura la ruta de acceso en su perfil.

Practica 1

2013


58

b. Por último, para comprobar que hemos configurado nuestra unidad correctamente, accedemos con el usuario “software6”, verificamos que le aparece la unidad de red en el explorador y que puede crear una carpeta sin problemas.


a. Ver proceso de creación de la unidad de red en el apartado 16. Se crea carpeta compartida llamada “DocProyecto3” para los usuarios del proyecto3, y se configura la ruta de acceso en su perfil.

Practica 1

2013


59

b. Por último, para comprobar que hemos configurado nuestra unidad correctamente, accedemos con el

usuario “software11”, verificamos que le aparece la unidad de red en el explorador y que puede crear una carpeta sin problemas.

19. Para los usuarios de incidencias deberán tener una unidad mapeada con toda la información del

proyecto llamada “DocIncidencias”.

a. Ver proceso de creación de la unidad de red en el apartado 16. Se crea carpeta compartida llamada “DocIncidencias” para los usuarios del proyecto incidencias, y se configura la ruta de acceso en su perfil.

Practica 1

2013


60

b. Por último, para comprobar que hemos configurado nuestra unidad correctamente, accedemos con el

usuario “incidencias1”, verificamos que le aparece la unidad de red en el explorador y que puede crear una carpeta sin problemas.

20. El administrador de sistemas deberá tener una unidad mapeada llamada “DocSistemas” que entre

otras cosas contendrá la carpeta “DocIncidencias”.

a. Ver proceso de creación de la unidad de red en el apartado 16. Se crea carpeta compartida llamada “DocSistemas” para el administrador del proyecto sistemas, y se configura la ruta de acceso en su perfil.

Practica 1

2013


61

b. Creamos un acceso directo a la unidad de red “DocIncidencias” para que pueda acceder al contenido de esta.

c. Por último, para comprobar que hemos configurado nuestra unidad correctamente, accedemos con el usuario “adminSistemas”, verificamos que le aparece la unidad de red en el explorador y que puede acceder a DocIncidencias y crear una carpeta sin problemas.

21. El gerente debe tener una unidad mapeada llamada “DocGerencia”

a. Ver proceso de creación de la unidad de red en el apartado 16. Se crea carpeta compartida llamada “DocGerencia” para el gerente del proyecto, y se configura la ruta de acceso en su perfil.

Practica 1

2013


62

b. Por último, para comprobar que hemos configurado nuestra unidad correctamente, accedemos con el usuario “gerente”, verificamos que le aparece la unidad de red en el explorador y que puede crear una carpeta sin problemas.

Practica 1

2013


63

22. El director deberá tener una unidad mapeada llamada “DocDireccion” que deberá contener entre otras “DocGerencia”.

a. Ver proceso de creación de la unidad de red en el apartado 16. Se crea carpeta compartida llamada “DocDirección” para el director del proyecto, y se configura la ruta de acceso en su perfil.

b. Creamos un acceso directo a la unidad de red “DocGerencia” para que pueda acceder al contenido de esta.

Practica 1

2013


64

c. Por último, para comprobar que hemos configurado nuestra unidad correctamente, accedemos con el usuario “director”, verificamos que le aparece la unidad de red en el explorador y que puede acceder a DocGerencia y crear un documento sin problemas.

Practica 1

2013


65

Administración de acceso al dominio (Practica 5)

Enunciado: Continuando con la práctica del tema anterior, vamos a realizar una administración de acceso al dominio:

Con el fin de distribuir la carga de trabajo entre los administradores de cada uno de los departamentos, vamos a nombrar responsables que puedan realizar tareas específicas en las unidades organizativas que tengan designadas. Para el departamento de sistemas el usuario llamado “adminSistemas” podrá:

a. Crear, eliminar y administrar cuentas de usuario. b. Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión. c. Leer toda la información de usuario. d. Crear, eliminar y administrar grupos. e. Modificar la pertenencia de un grupo. f. Administrar los vínculos de directiva de grupo. g. Generar conjunto resultante de directivas (planeación). h. Generar conjunto resultante de directivas (registro). i. Crear y eliminar cuentas de equipo.

Para el departamento de software habrá un usuario llamado “adminSoftware” que podrá: a. Crear, eliminar y administrar cuentas de usuario. b. Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión. c. Leer toda la información de usuario. d. Crear, eliminar y administrar grupos. e. Modificar la pertenencia a un grupo.

Para el departamento de especiales habrá un usuario llamado “adminEspeciales” que simplemente será el responsable directo en caso de que haya alguna incidencia a transmitir.

Además, para el departamento de software el usuario “adminSoftware” será el administrador de los grupos de dicho departamento, de modo que podrá agregar o quitar usuarios a los distintos grupos.

Administración de recursos:

Los usuarios del departamento de sistemas tienen información que se almacenará en una carpeta a la que solo tendrá acceso dicho departamento. Los datos deberían estar en una partición o disco duro diferente a la del sistema operativo, pero como no disponemos de dicho almacenamiento, lo guardaremos en SYSVOL. Habrá una carpeta llamada DocSistemas a la cual sólo accederá el usuario adminSistemas donde podrá realizar cualquier operación, y dentro de esta habrá una carpeta llamada DocIncidencias a la cual podrán acceder todos los usuarios del departamento y podrán realizar cualquier operación.

Los empleados del departamento de software tienen acceso limitado a los repositorios de código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al proyecto en el que estén trabajando. Es decir, por cada proyecto (carpetas creadas en la práctica anterior) habrá una carpeta que a su vez contendrá una carpeta código y otra documentación. A cada proyecto tendrá acceso total los usuarios que trabajen en dicho proyecto y el resto de usuarios solo tendrán acceso de lectura.

Los dos usuarios especiales correspondientes al gerente y al director de la empresa tienen permisos especiales. El gerente tendrá acceso ilimitado a la carpeta DocGerencia y además tendrá acceso de lectura a toda la documentación y código ejecutable de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles de la empresa incluida su carpeta de DocDirección.

Practica 1

2013


66

Políticas de grupo:

La página principal que se cargará para todos los usuarios del dominio cuando abran su navegador será http://www.juanxxiii.net.

El servidor proxy para todos los usuarios será 10.10.10.249:80. Ocultar el menú opciones de carpeta del menú de herramientas para todos los usuarios excepto para el

director y el gerente. Esto se realiza con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

Limitar el tamaño de la papelera de reciclaje al 3% para los usuarios de software, a 5% para los usuarios de sistema y sin limitar a los usuarios de especiales.

No permitir que se ejecute Messenger a los usuarios de software ni a los de sistemas excepto al usuario adminSistemas. De los usuarios de especiales el gerente no podrá ejecutar el Messenger pero el director si podrá ejecutar el Messenger (no hay nada como ser el jefe).

Bloquear la barra de tareas solo a los usuarios de software excepto al usuario adminSoftware.

Practica 1

2013


67

Solución: 1. Con el fin de distribuir la carga de trabajo entre los administradores de cada uno de los

departamentos, vamos a nombrar responsables que puedan realizar tareas específicas en las unidades organizativas que tengan designadas. Para el departamento de sistemas el usuario llamado “adminSistemas” podrá: Crear, eliminar y administrar cuentas de usuario. Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de

sesión. Leer toda la información de usuario. Crear, eliminar y administrar grupos. Modificar la pertenencia de un grupo. Administrar los vínculos de directiva de grupo. Generar conjunto resultante de directivas (planeación). Generar conjunto resultante de directivas (registro). Crear y eliminar cuentas de equipo.

Para la concesión de permisos a nivel de unidad organizativa utilizamos el Asistente para Delegación de

Control. Podemos conceder permisos o atributos específicos para la administración de estos objetos. El uso del

asistente reduce las posibilidades de producirse efectos no deseados al asignar permisos.

a. Para iniciar el asistente, hacemos clic con el botón derecho del ratón sobre el nombre de la unidad organizativa en la que vamos a delegar el control (“sistemas”). Seleccionamos Acción, y después en Delegar Control.

b. En la página de Usuarios o grupos, hacemos clic en Agregar. Escribimos el nombre del usuario al que deseamos concederle permisos, en nuestro caso “adminSistemas”, y hacemos clic en Siguiente.

Practica 1

2013


68

c. En la página de Tareas a delegar, hacemos clic en Delegar las siguientes tareas comunes. En el cuadro que nos aparece, hacemos clic en las diferentes acciones o tareas sobre las que se va a conceder permisos al usuario.

d. Hacemos clic en Siguiente y nos aparece una ventana resumen, con todas las opciones elegidas en el asistente. Comprobamos que el usuario y las tareas sean correctas y pulsamos Finalizar para concluir el proceso.

Practica 1

2013


69

2. Para el departamento de software habrá un usuario llamado “adminSoftware” que podrá: Crear, eliminar y administrar cuentas de usuario. Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente

inicio de sesión. Leer toda la información de usuario. Crear, eliminar y administrar grupos. Modificar la pertenencia a un grupo.

a. Ver proceso de Delegar control en el apartado anterior. Agregamos al usuario adminSoftware para

concederle permisos en la unidad organizativa “software”.

Practica 1

2013


70

b. En la página de Tareas a delegar, hacemos clic en Delegar las siguientes tareas comunes. En el cuadro que nos aparece, hacemos clic en las diferentes acciones o tareas sobre las que se va a conceder permisos al usuario “adminSoftware”.

3. Para el departamento de especiales habrá un usuario llamado “adminEspeciales” que simplemente será el responsable directo en caso de que haya alguna incidencia a transmitir.

a. Para que nuestro usuario “adminEspeciales” sea el responsable de la OU, seleccionamos la OU “especiales”. b. Hacemos clic con el botón secundario y, a continuación, hacemos clic en “Propiedades”. En la ficha

“Administrado por”, hacemos clic en “Cambiar”. c. En Escriba los nombres de objeto que desea seleccionar, escribimos el nombre del usuario

“adminEspeciales” y hacemos clic en “Aceptar”.

d. Pulsamos “Aceptar” y comprobamos en “Propiedades” de nuestro usuario (adminEspeciales), que efectivamente sea administrador de la unidad organizativa “especiales”.

Practica 1

2013


71

4. Además, para el departamento de software el usuario “adminSoftware” será el administrador de los grupos de dicho departamento, de modo que podrá agregar o quitar usuarios de los distintos grupos.

a. Abrimos el cuadro de dialogo de Propiedades del grupo seleccionado (proyecto1, proyecto2, proyecto3) en Usuario y equipos de Active Directory y luego hacemos clic en la ficha Administrado Por.

b. Hacemos clic en Cambiar y en la ficha “Seleccionar usuario, contacto, grupo”, escribimos el nombre del usuario “adminSoftware” y hacemos clic en “Aceptar”.

Practica 1

2013


72

c. Comprobamos en Propiedades de “proyecto1”, que efectivamente el usuario “adminSoftware” sea el administrador de nuestro grupo.

d. Los mismos pasos lo realizaremos para los grupos proyecto2 y proyecto3.

Practica 1

2013


73

5. Los usuarios del departamento de sistemas tienen información que se almacenará en una carpeta a la que solo tendrá acceso dicho departamento. Los datos deberían estar en una partición o disco duro diferente a la del sistema operativo, pero como no disponemos de dicho almacenamiento, lo guardaremos en SYSVOL. Habrá una carpeta llamada DocSistemas a la cual solo accederá el usuario adminSistemas donde podrá realizar cualquier operación, y dentro de esta habrá una carpeta llamada DocIncidencias a la cual podrán acceder todos los usuarios del departamento y podrán realizar cualquier operación.

Practica 1

2013


74

a. Abrimos el explorador de Windows. b. Creamos una nueva carpeta llamada DocSistemas en la ruta C:\Windows\SYSVOL\sysvol.

c. La compartimos y le incluimos el usuario “adminSistemas” con los permisos de Control total sobre dicha carpeta.

d. Dentro de la ubicación actual, creamos una nueva carpeta llamada DocIncidencias a la cual podrán acceder todos los usuarios del departamento y podrán realizar cualquier operación.

e. La compartimos y le incluimos los usuarios del departamento “incidencias1” e “incidencias2” con los permisos de Control total sobre dicha carpeta.

Practica 1

2013


75

6. Los dos usuarios especiales correspondientes al gerente y al director de la empresa tienen permisos especiales. El gerente tendrá acceso ilimitado a la carpeta DocGerencia y además tendrá acceso de lectura a toda la documentación y código ejecutable de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles de la empresa incluida su carpeta de DocDirección.

a. Abrimos el explorador de Windows y en la carpeta compartida C:\Compartida\DocGerencia que está ubicada en nuestro servidor SERVER01, le incluiremos el usuario “gerente” con los permisos de Control total sobre dicha carpeta.

Practica 1

2013


76

b. Abrimos el explorador de Windows y en la carpeta compartida C:\Compartida\ que está ubicada en nuestro servidor SERVER01, le incluiremos al usuario “director” con los permisos de Control total sobre dicha carpeta; dando acceso así a todas las carpetas compartidas incluida “DocDireccion”.

c. Si además del acceso a las carpetas compartidas quisiéramos que el director tuviera acceso al resto de recursos como es la instalación de aplicaciones, abrimos el complemento de Usuarios y equipos de Active Directory y dentro seleccionamos nuestro usuario.

d. Hacemos clic con el botón secundario y, a continuación, hacemos clic en Propiedades. En la ficha Miembro de, hacemos clic en Agregar.

e. Escribimos el nombre del grupo al que deseamos que pertenezca este usuario, en este caso le incluimos en el grupo Administradores y Administradores del dominio, y hacemos clic en Aceptar.

Practica 1

2013


77

7. La página principal que se cargará para todos los usuarios del dominio cuando abran su navegador será http://www.juanxxiii.net.

a. Para definir las directivas de grupo globales para nuestra empresa, debemos lanzar Administración de directivas de grupo desde las Herramientas administrativas y situarnos sobre la directiva Default Domain Policy del dominio asir.local, pulsar sobre ella con el botón derecho del ratón para elegir en el desplegable mostrado a continuación, la opción Editar.

Practica 1

2013


78

b. Como resultado de la acción anterior se abrirá la ventana Editor de administración de directivas de grupo, en la cual podemos interactuar con directivas que pueden ser aplicadas a los usuarios del dominio y otras que pueden serlo a los equipos del dominio.

c. En la entrada Configuración de usuario Configuración de Windows Mantenimiento de Internet Explorer Direcciones URL, haremos doble clic sobre la directiva Direcciones URL importantes.

d. En la ventana mostrada a continuación podremos personalizar la página principal del navegador web, activando la casilla Personalizar URL de la página principal y posteriormente tecleando en la caja de texto correspondiente la dirección web http://www.juanxxiii.net, de modo que cuando un usuario autenticado en el dominio cargue el navegador del equipo cliente correspondiente, se cargará como página de inicio del navegador la pagina indicada.

Practica 1

2013


79

8. El servidor proxy para todos los usuarios será 10.10.10.249:80.

a. Para habilitar dicha configuración nos situaríamos en la directiva Configuración de los servidores proxy, ubicada en Configuración de usuario Configuración de Windows Mantenimiento de Internet Explorer Conexión, haciendo doble clic sobre la misma para proceder a su configuración.

b. En la ventana mostrada como resultado de la acción anterior, activaríamos la casilla Habilitar la configuración de proxy e indicaríamos la dirección del proxy y el puerto de salida (10.10.10.249:80), así como las posibles excepciones para las direcciones locales, si procediera.

Practica 1

2013


80

9. Ocultar el menú opciones de carpeta del menú de herramientas para todos los usuarios excepto para el director y el gerente. Esto se realiza con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

a. Para habilitar dicha configuración nos situaríamos en la directiva Quita el menú Opciones de carpeta del menú Herramienta, ubicada en Configuración de usuario Directivas Plantillas administrativas Componentes de Windows Explorador de Windows, haciendo doble clic sobre la misma para proceder a su configuración.

Practica 1

2013


81

b. Al habilitar esta directiva, impediremos que los usuarios puedan usar el cuadro de dialogo Opciones de carpeta, ya que eliminamos el elemento Opciones de carpeta de todos los menús del Explorador de Windows y del Panel de control.

c. Una vez completada la acción anterior, realizaremos una nueva GPO de nombre Directivas especiales de carpeta en la unidad organizativa especiales.

d. Una vez que ha sido creada la directiva de grupo “Directivas especiales de carpeta”, procederemos a su edición pulsando sobre ella con el botón derecho del ratón para elegir la opción Editar en el desplegable correspondiente.

e. Como resultado de la acción anterior se muestra el editor de administración de directiva de grupo con las configuraciones propias de la directiva “Directivas especiales de carpeta”, que actualmente no tendrá configuración alguna.

Practica 1

2013


82

f. Para permitir que los usuarios puedan ver archivos ocultos, nos situaríamos en la directiva Quita el menú Opciones de carpeta del menú Herramienta, ubicada en Configuración de usuario Directivas Plantillas administrativas Componentes de Windows Explorador de Windows, haciendo doble clic sobre la misma para proceder a su configuración.

g. Al deshabilitar esta directiva, permitimos que los usuarios puedan usar el cuadro de dialogo Opciones de carpeta, y pueda establecer muchas propiedades del explorador de Windows como Active Desktop, vista web, archivos sin conexión, archivos ocultos del sistema y tipos de archivo.

h. Abrimos Administración de directivas de grupo y luego hacemos clic en nuestra GPO Directivas especiales de carpeta. Como resultado de la acción anterior se abrirá la ficha Ámbito en la cual podremos interactuar en las diferentes secciones y, agregar en este caso los usuarios “gerente” y “director” que son los únicos a los que se les va a aplicar esta directiva.

Practica 1

2013


83

10. Limitar el tamaño de la papelera de reciclaje al 3% para los usuarios de software, a 5% para los usuarios de sistema y sin limitar a los usuarios de especiales.

a. Realizaremos una nueva GPO de nombre Directiva de almacenamiento en la unidad organizativa software.

b. Una vez que ha sido creada la directiva de grupo “Directiva de almacenamiento”, procederemos a su edición pulsando sobre ella con el botón derecho del ratón para elegir la opción Editar en el desplegable correspondiente.

c. Como resultado de la acción anterior se muestra el editor de administración de directiva de grupo con las configuraciones propias de la directiva “Directiva de almacenamiento”, que actualmente no tendrá configuración alguna.

d. Para los usuarios del departamento de software configuraremos la directiva Limitar el tamaño del perfil ubicada en Configuración de usuario Directivas Plantillas administrativas Sistema Perfiles de usuario, haciendo doble clic sobre la misma para proceder a su configuración.

Practica 1

2013


84

e. Activando la casilla Habilitada, para posteriormente indicar el valor 900 KB (3% de 30MB) como tamaño máximo de almacenamiento para los usuarios de software; además activaremos la casilla Notificar al usuario cuando se exceda el espacio de almacenamiento de perfiles, con el fin de que se le informe cuando se exceda dicho límite, tras lo cual confirmaremos la configuración realizada pulsando sobre el botón Aceptar.

Practica 1

2013


85

f. Abrimos Administración de directivas de grupo y luego hacemos clic en nuestra GPO Directiva de almacenamiento. Como resultado de la acción anterior se abrirá la ficha Ámbito en la cual podremos interactuar en las diferentes secciones y, agregar en este caso los grupos “proyecto1, proyecto2, proyecto3” y al usuario “adminSoftware” que son los únicos a los que se les va a aplicar esta directiva.

g. Los pasos anteriores los repetiremos para crear la directiva de grupo “Directiva de almacenamiento de sistemas” en la unidad organizativa sistemas.

Practica 1

2013


86

h. Indicaremos el valor 1500 KB (5% de 30MB) como tamaño máximo de almacenamiento para los usuarios de software; además activaremos la casilla Notificar al usuario cuando se exceda el espacio de almacenamiento de perfiles, con el fin de que se le informe cuando se exceda dicho límite.

i. Los pasos anteriores los repetiremos para crear la directiva de grupo “Directiva de almacenamiento especiales” en la unidad organizativa especiales.

Practica 1

2013


87

j. Activando la casilla Deshabilitada, indicamos al sistema que no limite el tamaño de los perfiles de usuario.

11. No permitir que se ejecute Messenger a los usuarios de software ni a los de sistemas excepto al usuario adminSistemas. De los usuarios de especiales el gerente no podrá ejecutar el Messenger pero el director si podrá ejecutar el Messenger (no hay nada como ser el jefe).

a. Realizaremos una nueva GPO de nombre Directiva de mensajería en la unidad organizativa software.

b. Una vez que ha sido creada la directiva de grupo “Directiva de mensajería”, procederemos a su edición pulsando sobre ella con el botón derecho del ratón para elegir la opción Editar en el desplegable correspondiente.

c. Como resultado de la acción anterior se muestra el editor de administración de directiva de grupo con las configuraciones propias de la directiva “Directiva de mensajería”, que actualmente no tendrá configuración alguna.

Practica 1

2013


88

d. Para que determinados usuarios no puedan utilizar Windows Messenger, actuaremos sobre la directiva No permitir que se ejecute Windows Messenger, ubicada en Configuración de usuario Directivas Plantillas administrativas Componentes de Windows Windows Messenger, situándonos sobre ella y haciendo doble clic.

e. Al habilitar esta directiva, impediremos que los usuarios puedan ejecutar Windows Messenger.

Practica 1

2013


89

f. Abrimos Administración de directivas de grupo y luego hacemos clic en nuestra GPO Directiva de mensajería. Como resultado de la acción anterior se abrirá la ficha Ámbito en la cual podremos interactuar en las diferentes secciones y, agregar en este caso los grupos “proyecto1, proyecto2, proyecto3” y al usuario “adminSoftware” que son los únicos a los que se les va a aplicar esta directiva.

g. Los pasos anteriores los repetiremos para crear la directiva de grupo “Directiva de mensajería de sistemas” en la unidad organizativa sistemas.

Practica 1

2013


90

h. Activando la casilla Habilitada, indicamos al sistema que no permita a los usuarios ejecutar Windows Messenger.

i. Abrimos Administración de directivas de grupo y luego hacemos clic en nuestra GPO Directiva de mensajería de sistemas. Como resultado de la acción anterior se abrirá la ficha Ámbito en la cual podremos interactuar en las diferentes secciones y, agregar en este caso los usuarios “incidencias” e “incidencias2”, dejando al usuario “adminSistemas” excluido de esta directiva permitiéndole utilizar el Windows Messenger.

Practica 1

2013


91

j. Los pasos anteriores los repetiremos para crear la directiva de grupo “Directiva de mensajería especiales” en la unidad organizativa especiales

k. Activando la casilla Habilitada, indicamos al sistema que no permita a los usuarios ejecutar Windows Messenger.

Practica 1

2013


92

l. Abrimos Administración de directivas de grupo y luego hacemos clic en nuestra GPO Directiva de mensajería de sistemas. Como resultado de la acción anterior se abrirá la ficha Ámbito en la cual podremos interactuar en las diferentes secciones y, agregar en este caso los usuarios “adminEspeciales” y “gerente”, dejando al usuario “director” excluido de esta directiva permitiéndole utilizar el Windows Messenger.

Practica 1

2013


93

12. Bloquear la barra de tareas solo a los usuarios de software excepto al usuario adminSoftware.

a. Realizaremos una nueva GPO de nombre Directiva de tareas en la unidad organizativa software.

b. Una vez que ha sido creada la directiva de grupo “Directiva de tareas”, procederemos a su edición pulsando sobre ella con el botón derecho del ratón para elegir la opción Editar en el desplegable correspondiente.

c. Como resultado de la acción anterior se muestra el editor de administración de directiva de grupo con las configuraciones propias de la directiva “Directiva de tareas”, que actualmente no tendrá configuración alguna.

d. Para los usuarios del departamento de software configuraremos la directiva de grupo por seguridad, limitaremos la configuración de la barra de tareas mediante la directiva Bloquear la barra de tareas situada en Configuración de usuario Directivas Plantillas administrativas Menú inicio y barra de tareas, haciendo doble clic sobre la misma para proceder a su configuración.

Practica 1

2013


94

e. Activando la casilla Habilitada, indicamos al sistema que no permita a los usuarios realizar cambios en la barra de tareas.

f. Abrimos Administración de directivas de grupo y luego hacemos clic en nuestra GPO Directiva de tareas. Como resultado de la acción anterior se abrirá la ficha Ámbito en la cual podremos interactuar en las diferentes secciones y, agregar en este caso los grupos “proyecto1, proyecto2, proyecto3”, dejando al usuario “adminSoftware” excluido de esta directiva permitiéndole utilizar y configurar la barra de tareas.

Practica 1

2013


95

Problemas encontrados y solución aportada

ERROR: EL SERVIDOR HA DEVUELTO UNA REFERENCIA

Este mensaje de error se producía en la consola de comandos al intentar ejecutar la siguiente instrucción:

dsadd user=”cn=adminSistemas,ou=sistemas,dc=asir,dc=local” –pwd fMJkotp0p.

Anteriormente dio diversos fallos de sintaxis en la instrucción por introducir espacios en la ruta después de las

comas. Cuando se corrigieron estos problemas de sintaxis, apareció este nuevo problema que se solucionó

escribiendo el comando manualmente, ya que lo traíamos copiado y pegado desde un documento Word.

ERROR: WINDOWS NO PUEDE CREAR UN OBJETO DE EQUIPO

Este error se producía al intentar crear un equipo en una unidad organizativa del directorio activo, debido a

que el nombre de equipo “equipoSoftware1” y “equipoSoftware1x” en el cuadro de texto “Nombre del equipo

(anterior a Windows 2000), se autocompletaba hasta llegar a un límite máximo de caracteres. Repitiéndose

siempre el mismo nombre para todos los equipos “EQUIPOSOFTWARE1” independientemente de que acabara

en 10, 11, 12… dando el problema de nombre duplicado en la red. Teniendo que acortar el nombre para poder

solucionar el problema por “EQUIPOSOFTW10, EQUIPOSOFTW11…” y así sucesivamente.

Practica 1

2013


96

Diferencias entre Windows 2003 y Windows 2008

Las diferencias que he encontrado durante el desarrollo de la práctica entre ambos sistemas operativos, y más

destacables son:

Windows Server 2008 renueva el entorno grafico totalmente, dejando atrás el Windows clásico de Windows 2003 y anteriores.

La instalación no requiere el número de licencia obligada, permitiéndonos disfrutar de una versión de prueba de 60 días.

La instalación nos permite elegir si instalar el Core de forma separada. Cierre limpio de servicios. Windows 2008 no tiene iconos en el escritorio (icono Mi PC, servicios de red…). Cuida más la seguridad con los requisitos de la contraseña y el modo de apagado entre otros.

Documents

Practica Luis Garcia