2. Práctica Active Directory Francisco Javier Gavilán Escriche
INDICE
Objetivos..........................................................................................................................................2
Instalación de Active/Directory .......................................................................................................5
Punto 1 .............................................................................................................................................7
Punto 2 .............................................................................................................................................8
Punto 3 .............................................................................................................................................9
Punto 4 ...........................................................................................................................................10
Punto 5 ...........................................................................................................................................11
Instalación DNS .........................................................................................................................11
Instalación DHCP ......................................................................................................................13
Punto 6 ...........................................................................................................................................15
Asociar dominio ............................................................................................................................16
Punto 7 ...........................................................................................................................................17
Punto 8 ...........................................................................................................................................20
Punto 9 ...........................................................................................................................................23
Punto 10 .........................................................................................................................................25
Punto 11 .........................................................................................................................................40
Punto 12 .........................................................................................................................................46
1
3. Práctica Active Directory Francisco Javier Gavilán Escriche
Objetivos
Perteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 de
Octubre de este año, se plantea una migración del entorno corporativo a la versión de
Windows 2003 Server.
Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus
trabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como consecuencia
se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/ Arcos de la
Frontera s/n
Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos
necesarios para dicha migración y llevarlos a cabo para tal fecha.
Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están
actualmente en producción:
· Administración de usuarios y grupos.
· Administración de ficheros.
· Administración de discos.
· Copias de seguridad.
y añadir otros más
El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva
implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos
seguidos para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos.
La información necesaria para esta labor en relación al entorno actual es la siguiente:
1. La empresa consta de 20 empleados.
2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y
los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a
la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o disco
duro diferente a la del sistema operativo.
3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de
código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al
proyecto en el que estén trabajando.
4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El
gerente tendrá acceso a toda la documentación y código ejecutable C.F.G.S de Administración
de Sistemas Informáticos en Red Administración de Sistemas Operativos de los proyectos. El
director tendrá acceso ilimitado a todos los recursos disponibles.
2
4. Práctica Active Directory Francisco Javier Gavilán Escriche
5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus
nombres):
a. Controlador de Dominio => midominio.local
b. Servicio DNS
c. Servicio DHCP =>192.168.100.0/24
i. Ámbito: 192.168.100.2 – 192.168.100.254
ii. Servidor: 192.168.100.1
6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje
es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no
tengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch.
7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto de los
usuarios, salvo para los dos usuarios del punto anterior.
8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa
quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil, proyecto,
documentación, etc de la empresa. Los datos de los perfiles estarán en una partición o disco duro
diferente a la del sistema operativo.
9. El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables y
documentación de cada uno de los proyectos.
10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna
directiva de grupo en el sistema. Son las siguientes:
a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien del
departamento de sistema por alguna incidencia (cuidado con el firewall de windows),
deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio
corporativo para evitar “posibles distracciones”:
i. Habilitar Asistencia Remota Solicitada.
ii. Habilitar no permitir que se ejecute windows messenger.
iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.
iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.
v. Deshabilitar el uso de pendrives.
b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin
necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede
aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).
i. Habilitar ofrecer asistencia remota.
c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy
pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se almacenará en el
servidor (en una partición diferente a la del sistema operativo) llamada “personales”. El recurso
debe ser oculto para el resto. Como consecuencia de esto, se le C.F.G.S de Administración de
Sistemas Informáticos en Red Administración de Sistemas Operativos habilitará una cuota de
disco de 100 Mb, ya que estos ficheros personales no estarán asociados al perfil.
3
5. Práctica Active Directory Francisco Javier Gavilán Escriche
i. Redireccionamiento de “Mis Documentos”
ii. Limitar el tamaño del perfil.
d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le dé la gana y que
quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el
jefe). Recuerda la jerarquía de aplicación de las directivas de grupo.
i. Deshabilitar no permitir que se ejecute windows messenger.
ii. Habilitar el uso de pendrives.
e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”.
No olvides que no se pueden aplicar directivas de grupo a grupos del dominio.
11. Instala un servicio de distribución de software desde tu equipo servidor a las estaciones de
trabajo del dominio mediante paquetes MSI:
a. OpenOffice.
b. Firefox.
Crea tú mismo estos paquetes con alguna utilidad.
12. Instala DFS y haz una prueba de su funcionamiento.
Crearemos diferentes entradas en nuestro blog a medida que vayamos completando los diferentes
apartados:
• 1-6
•7
•8
•9
• 10
• 11
• 12
4
6. Práctica Active Directory Francisco Javier Gavilán Escriche
Instalación de Active/Directory
Antes de empezar a hacer la práctica punto por punto debemos de instalar el active/directory ya
que es necesario su instalación para poder agregar usuarios, grupos, directivas de grupo a nuestro
dominio.
Vamos a inicio, a ejecutar e introducimos 'dcpromo' y proseguimos con la instalación y nos
pedirá el nombre de nuestro nuevo dominio, el cual hemos decidido denominarlo
midominio.local.
A continuación expongo pantallazos de los pasos más significativos en la instalación de
Active/Directory:
5
7. Práctica Active Directory Francisco Javier Gavilán Escriche
Una vez finalizada la instalación podemos proceder a la creación de usuarios y grupos, así como
a la instalación de los demás servicios como son el DNS y el DHCP, pero ahora mismo nos
vamos en la creación de todos los miembros de la empresa en la que vamos a trabajar.
6
8. Práctica Active Directory Francisco Javier Gavilán Escriche
Punto 1
La empresa consta de 20 empleados
He decidido estructurar los usuarios y grupos de active directory de la siguiente manera:
La empresa consta de 20 empleados, los cuales (la gran mayoría) van a estar distribuidos entre
dos departamentos que vamos a crear: departamento de software y departamento de sistemas
Hemos tenido que crear 15 usuarios destinados a llevar el control del departamento de software
denominados Empleado1 hasta Empleado15, 3 usuarios que van a pertenecer al departamento de
sistemas que van a ser el propio administrador del dominio y 2 encargados de llevar las posibles
incidencias que se puedan dar en el departamento denominados Encargado1 y Encargado2 y
luego también hemos tenido que crear 2 usuarios especiales para la ocasión llamados Director Y
Gerente. En la imagen actual podemos comprobar la existencia del usuario Gerente, Director y
también la existencia de un usuario invitado que lo crea el sistema y lo usaremos más adelante.
Aunque no se aprecie en la imagen también he creado los grupos software y sistemas en los
cuales van a ir los diferentes usuarios que hemos creado.
7
9. Práctica Active Directory Francisco Javier Gavilán Escriche
Punto 2
3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y
los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una
carpeta a la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una
partición o disco duro diferente a la del sistema operativo.
A continuación he creado en un disco duro alternativo (más detalles en el punto 9) una serie de
carpetas en las cuales se van a almacenar la información necesaria tanto para los usuarios del
grupo software como para los usuarios del grupo sistemas. De momento lo que hecho es otorgar
permisos a la carpeta Sistemas a los usuarios Administrador de midominio.local (control total),
encargado1 y encargado2 (les he dado permisos de cambiar y leer)
8
10. Práctica Active Directory Francisco Javier Gavilán Escriche
Punto 3
15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios
de código y de documentación, donde únicamente tendrán acceso a aquellos directorios
asociados al proyecto en el que estén trabajando.
Así es como quedaría la distribución de los empleados dentro del grupo software y otorgándoles
control total dentro de la carpeta software a todos sus respectivos empleados
He decidido estructurar el departamento de Software en 3 proyectos, los cuales cada uno de ellos
va a tener una serie de documentaciones y de repositorios a los cuales solo va a tener acceso una
cantidad limitada de usuarios de software. A continuación expongo una captura de cómo
quedaría la organización de las carpetas.
9
11. Práctica Active Directory Francisco Javier Gavilán Escriche
Al proyecto 1 solamente podrán acceder Director, Administrador y los empleados del 1 al
5 con permisos de control total y también el gerente pero solo con permisos de lectura.
Al proyecto 2, la misma estructura de usuarios salvo que en vez de que sean los empleados del 1
al 5, solo acceden del 6 al 10.
En el proyecto3 los mismos usuarios que en los casos anteriores pero solamente podrán tener
acceso los empleados del 11 al 15.
Punto 4
Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El
gerente tendrá acceso a toda la documentación y código ejecutable C.F.G.S de
Administración de Sistemas Informáticos en Red Administración de Sistemas Operativos
de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles.
Al estar todos los usuarios metidos dentro de dos grupos (grupo software y grupo sistemas) pues
automáticamente lo que hacemos es meter a estos dos usuarios dándole a director permisos de
control total y a gerente permisos de lectura, quedaría la estructura de permisos de la siguiente
manera:
Otra manera posible de administrar los permisos a los usuarios sería agregando el grupo entero
en vez de todos los usuarios como lo tengo en las imágenes, lo que pasa es que he dejado así la
organización de los usuarios por la estructura que había utilizado en ejercicios anteriores.
Únicamente hemos agregado ambos usuarios con permisos de control total al director y permisos
de solo lectura al gerente.
10
12. Práctica Active Directory Francisco Javier Gavilán Escriche
Punto 5
La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus
nombres):
a. Controlador de Dominio => midominio.local
b. Servicio DNS
c. Servicio DHCP =>192.168.100.0/24
i. Ámbito: 192.168.100.2 – 192.168.100.254
ii. Servidor: 192.168.100.1
Instalación DNS
Nos vamos a la siguiente ruta:
Inicio/Panel de control /Agregar o quitar Programas/Agregar o quitar componentes de Windows
Ahora pulsamos en Servicios de Red y posteriormente en detalles y escogemos la opción
“Sistema de Nombres de dominio DNS”. Esta instalación prácticamente es automática y apenas
hay que hacer nada. Después la zona directa te la crea automática por lo que únicamente voy a
poner capturas de pantalla de la creación de la zona inversa. Como puntualización he de decir
que he tenido que configurar la IP del sistema manualmente dejando los parámetros tal y como
se muestran.
11
14. Práctica Active Directory Francisco Javier Gavilán Escriche
Instalación DHCP
Nos vamos a la siguiente ruta:
Inicio/Panel de control /Agregar o quitar Programas/Agregar o quitar componentes de Windows
Ahora pulsamos en Servicios de Red y posteriormente en detalles y escogemos la opción
“Protocolo de configuración dinámica de host (DHCP)”
Después nos saldrá una interfaz similar a ésta en la cual vamos a tener que agregar un nuevo
ámbito y establecer la IP fija al servidor.
Clickamos con el botón derecho del ratón sobre nuestro dominio y elegimos la opción “Ámbito
nuevo” y vamos configurando los parámetros tal y como los muestro a continuación:
13
16. Práctica Active Directory Francisco Javier Gavilán Escriche
Una vez terminado este apartado paso a mostrar cómo quedaría el DHCP ya configurado, he de
decir que para el correcto funcionamiento de nuestro servidor DHCP será necesario reiniciar el
servicio, así como también en pinchando en propiedades de nuestro dominio habrá un par de
opciones llamadas Autorizar y actualizar que también nos van a ser de gran ayuda para hacer
funcionar el DHCP con éxito y pueda repartir direcciones IP a clientes de manera correcta.
Punto 6
Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que
trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo
anterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamente
a un switch.
En mi caso he decidido compartir todas las máquinas virtuales con las que estamos trabajando en
red interna en host only (Vmnet7) en el rango 100.
15
17. Práctica Active Directory Francisco Javier Gavilán Escriche
Asociar dominio
Para que haya una conexión entre nuestro servidor y cliente mediante nuestro dominio creado
previamente en el servidor tendremos que vincular en el cliente el dominio en el cual vamos a
querer que se conecten nuestros clientes. Para ello vamos a propiedades del sistema/nombre de
equipo/cambiar y colocamos el nombre de nuestro dominio de la siguiente manera (nos pedirá un
usuario y contraseña, le indicamos la de nuestro administrador de 2003 y su respectiva
contraseña):
16
18. Práctica Active Directory Francisco Javier Gavilán Escriche
Punto 7
Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto de
los usuarios, salvo para los dos usuarios del punto anterior.
Primero vamos a establecer los permisos para una carpeta que vamos a crear en nuestro disco
duro virtual adicional llamada “Perfiles” y en la cual vamos a establecer los permisos de tal
forma que el administrador y el director tengan control total, los grupos de sistemas y software
tengan control para cambiar y leer y los usuarios invitado y gerente tengan solamente permisos
de lectura.
Para crear un perfil móvil es necesario indicar la ruta del perfil que queremos que se conecte, la
cual indicaremos con el nombre de nuestro servidor seguido de la carpeta en la que están
asociados los usuarios (en este caso perfiles$), seguido de la variable %username% para que
detecte automáticamente el nombre del usuario.
17
19. Práctica Active Directory Francisco Javier Gavilán Escriche
En este caso en concreto he decidido hacerlo para el Empleado1, acto seguido nos vamos a la
carpeta perfiles donde van a estar asociados todos nuestros perfiles mediante los cuales vamos a
poder iniciar sesión en nuestros clientes.
Y aquí pues tienen que estar presentes todos los usuarios que pretenden tener acceso a un cliente
mediante el dominio que hemos generado anteriormente (vamos a hacer el mismo proceso con
todos y cada uno de los usuarios pertenecientes a los grupos software y sistemas).
Una vez que ya hemos creado dichos perfiles móviles, podemos darles uso en nuestro cliente XP
con el nombre del usuario y su respectiva contraseña que hemos introducido cuando hemos
creado los usuarios. En un perfil móvil el objetivo es que el usuario que accede pueda modificar
su interfaz o incluso efectuar el guardado y modificación de archivos o carpetas y que cuando
vuelva a iniciar sesión desde otro ordenador esos cambios que ha hecho el usuario se queden
aplicados.
Para comprobar que el perfil móvil del Empleado1 está bien creado, hago una serie de cambios
en el escritorio estando en la sesión del Empleado1, cierro sesión, vuelva a abrir sesión con el
mismo usuario y como se puede comprobar el perfil funciona correctamente.
18
20. Práctica Active Directory Francisco Javier Gavilán Escriche
También es bueno hacer otra comprobación, accediendo a la carpeta perfiles del servidor y si
accedemos a su interior y observamos que se ha generado una carpeta de ese usuario con el que
nos hemos logeado, de esta forma sabremos que hemos hecho el perfil móvil de forma correcta.
19
21. Práctica Active Directory Francisco Javier Gavilán Escriche
Punto 8
Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la
empresa quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil,
proyecto, documentación, etc de la empresa. Los datos de los perfiles estarán en una
partición o disco duro diferente a la del sistema operativo.
Para crear un perfil obligatorio debemos de iniciar sesión en el cliente con el usuario que
queremos crearle el perfil obligatorio (en este caso el usuario Invitado que se crea por defecto en
el dominio), después cerramos sesión y abrimos sesión como Administrador. Hacemos click en
el botón derecho en MiPC después en propiedades, opciones avanzadas y configuración de los
perfiles del usuario, en ese mismo momento aparece el perfil del invitado con el que nos hemos
logeado antes, pinchamos en él y le damos a copiar y después escribimos lo siguiente en la barra
que nos sale:
*Dar en la carpeta seguridad y en la carpeta Perfiles (Propiedades de perfiles/Seguridad)
introducimos al usuario invitado creado por nosotros, de esta manera una vez iniciemos sesión
como este usuario y después con el administrador del sistema nos saldrá automáticamente en la
Propiedades del sistema/Opciones avanzadas/Configuración/Perfiles de usuario
Con esta acción conseguiremos que se copie una carpeta en el servidor con el contenido del
usuario invitado y para transformar a este usuario para que acceda como perfil obligatorio
debemos de hacer una pequeña modificación en un archivo de esa carpeta, simplemente
renombrando la extensión del archivo ntuser.dat a ntuser.man
20
22. Práctica Active Directory Francisco Javier Gavilán Escriche
También cabe decir que hay que introducir a los usuarios que vayan a tener un perfil obligatorio
en los permisos de la carpeta perfiles (le daremos permisos de solo lectura) como se puede
comprobar en la captura de pantalla en el apartado de los perfiles móviles.
Ahora, al igual que en el paso de perfil móvil tenemos que acceder a la ruta del perfil del usuario
Invitado e introducir lo siguiente:
21
23. Práctica Active Directory Francisco Javier Gavilán Escriche
Una vez efectuados todos los cambios debemos de hacer la correspondiente comprobación el
cliente. Al iniciar sesión, hacemos una serie de cambios y lo dejamos todo desorganizado
Cerramos sesión y volvemos a entrar como invitado, como podemos comprobar los cambios no
se han quedado guardados, lo cual quiere decir que la realización de este perfil obligatorio se ha
llevado a cabo de manera satisfactoria.
22
24. Práctica Active Directory Francisco Javier Gavilán Escriche
Para una mayor comprobación iniciamos sesión en el cliente (esta vez como Administrador) y
nos vamos a la configuración de los perfiles del usuario dentro las propiedades del sistema y
vemos como el usuario “invitado del dominio” se le ha otorgado un perfil obligatorio:
Punto 9
El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables y
documentación de cada uno de los proyectos.
Para poder guardar toda la información referente al código fuente, proyectos, documentación,
repositorios, etc. Hemos decidido crear un disco duro virtual nuevo (E:) mediante vmware y
posteriormente con el administrador de disco de 2003 server.
Nos vamos a Inicio/Herramientas Administrativas/Administración de equipos
Después nos saldrá un asistente para configurar la nueva partición, darle formato NTFS, nombre
de la nueva partición.
23
25. Práctica Active Directory Francisco Javier Gavilán Escriche
A continuación muestro el contenido que hemos tenido que ir creando dentro de dicha partición:
24
26. Práctica Active Directory Francisco Javier Gavilán Escriche
Punto 10
El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna
directiva de grupo en el sistema. Son las siguientes:
a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de
alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de
windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un
fondo de escritorio corporativo para evitar “posibles distracciones”:
i. Habilitar Asistencia Remota Solicitada.
Únicamente lo que debemos de hacer es pinchar en las propiedades de nuestro dominio asir.com
y seleccionamos la opción de directiva de grupo. La política por defecto que se crea en el
dominio la modificaremos y para ello le damos a editar, nos envía al menú editor de objetos de
directivas de grupo y vamos por la siguiente ruta /configuración del equipo/Plantillas
administrativas/Sistema/ Asistencia Remota y habilitamos la opción Asistencia remota
solicitada.
25
27. Práctica Active Directory Francisco Javier Gavilán Escriche
ii. Habilitar no permitir que se ejecute windows messenger.
Para habilitar la opción no permitir que se ejecute windows messenger deberemos de ir por la
siguiente ruta: /configuración del equipo/Plantillas administrativas/componentes
windows/windows messenger
26
28. Práctica Active Directory Francisco Javier Gavilán Escriche
iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.
Para establecer un fondo de pantalla corporativo para todos aquellos clientes que se conecten a
nuestro dominio deberemos de ir por la siguiente ruta: /configuración del usuario/Plantillas
administrativas/Escritorio/Active Desktop y le damos a opciones en la opción “Papel Tapiz de
Active Desktop” y aquí pues vamos a habilitar la opción para el fondo corporativo, así como le
indicaremos también la ruta donde se ubica el fondo corporativo que queremos establecer para
los usuarios y el estilo que queramos que use dicho papel tapiz:
27
29. Práctica Active Directory Francisco Javier Gavilán Escriche
Y podemos comprobar iniciando sesión con cualquier usuario (en este caso he iniciado sesión
con el empleado2 del departamento de software) y podemos ver como se aplica el fondo de
pantalla corporativo para todas las personas que se quieran conectar a nuestro dominio
iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.
Para llevar a cabo este paso vamos a instalar una aplicación de escritorio llamada “Monitorapp”
que la podemos descargar gratuitamente de cualquier web de descarga de programas como
softonic y vamos a configurar este programa para que cuando cualquier integrante perteneciente
al dominio quiera iniciar sesión en él le aparezcan diversos datos de interés tales como el nombre
de usuario, IP desde la que se conecta al sistema…
No va a ser necesario llevar a cabo ninguna instalación del programa debido a que es portable.
Ubicamos el programa dentro de nuestro Windows 2003 Server. Posteriormente vamos al editor
de objetos de directiva de grupo de nuestro dominio y seguimos la siguiente ruta: Configuración
del usuario/Plantillas Administrativas/Sistema/Inicio de Sesión y pulsamos en la opción
“Ejecutamos estos programas cuando el usuario inicie la sesión”
28
30. Práctica Active Directory Francisco Javier Gavilán Escriche
Dentro de las propiedades de esta directiva deberemos de hacer click en habilitada y
posteriormente darle a “Mostrar”
He de decir que he tenido que crear una carpeta MonitorApp dentro de la ubicación del servidor
(E: ) en la cual he alojado el programa y en dicha carpeta le he tenido que asignar permisos
determinados a todos los usuarios del dominio en función del área en que cada uno trabaja o de
su nivel de importancia en el sistema.
Ahora iniciamos sesión con cualquier usuario y vemos como en la esquina superior derecha de la
pantalla nos muestra una serie de datos de gran relevancia para nosotros.
29
31. Práctica Active Directory Francisco Javier Gavilán Escriche
v. Deshabilitar el uso de pendrives.
Windows 2003 no trae ninguna directiva mediante la cual se pueda deshabilitar el uso de
pendrives y para ello será preciso deshabilitar dos directivas que trae Windows 2003 por defecto.
A continuación vamos a crear un grupo en el que cual vamos a introducir todos aquellos grupos
y usuarios que no queramos que utilicen sus dispositivos USB en los ordenadores de nuestro
dominio.
Creamos un grupo llamado “DenegacionUSB” y después metemos en su interior a todos los
usuarios del dominio salvo al administrador.
30
32. Práctica Active Directory Francisco Javier Gavilán Escriche
Ahora nos vamos a la siguiente ubicación: C:WINDOWSinf y tendremos que modificar los
permisos de las dos directivas que se ven remarcadas en la siguiente imagen: usbstor.inf y
usbstor.PNF
31
33. Práctica Active Directory Francisco Javier Gavilán Escriche
Ahora haremos una comprobación en el cliente para que se pueda ver como al tener conectado el
dispositivo USB al ordenador el sistema es incapaz de mostrarlo al usuario:
32
34. Práctica Active Directory Francisco Javier Gavilán Escriche
Vemos como en la imagen del propio cliente aparece el icono en la esquina inferior derecha así
como también en el programa de virtualización vmware pero no aparece en las unidades
ubicadas en MiPC
*En caso de que diese algún tipo de problema porque ya estuviera instalado con anterioridad el
dispositivo usb en el sistema tendremos que modificar mediante un regedit el registro
“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesUsbStor y poner el valor
hexadecimal de Start a 4.
b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios
sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El
usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).
i. Habilitar ofrecer asistencia remota.
Para realizar este apartado es necesario crear unidades organizativas para poder asignar de esa
forma directivas de grupo ya que no se pueden asignar directivas de grupo a grupos creados en el
active directory. Creamos la unidad organizativa Sistemas y en su interior movemos a todos los
usuarios del grupo Sistemas (Administrador, Encargado1 y Encargado2). Así que pinchamos con
el botón derecho en propiedades de la nueva unidad organizativa creada y nos vamos a directiva
de grupo. Evidentemente al haber creado una unidad organizativa no tenemos todavía ninguna
directiva de grupo y por lo tanto creamos una con el nombre que queramos, después la editamos
y buscamos la opción de ofrecer asistencia remota (/configuración del equipo/Plantillas
administrativas/Sistema/ Asistencia Remota) y habilitamos dicha opción.
33
35. Práctica Active Directory Francisco Javier Gavilán Escriche
c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se
vuelvan muy pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se
almacenará en el servidor (en una partición diferente a la del sistema operativo) llamada
“personales”. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le
C.F.G.S de Administración de Sistemas Informáticos en Red Administración de Sistemas
Operativos habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales no
estarán asociados al perfil.
i. Redireccionamiento de “Mis Documentos”
Nuevamente tendremos que crear unidad organizativa, esta vez llamada software en la cual
meteremos a los 15 empleados del departamento de software y justo como en el procedimiento
anterior, deberemos de irnos a la opción de directivas de grupo, crear una nueva y editarla
aplicándola los cambios anteriormente expuestos en el enunciado.
34
36. Práctica Active Directory Francisco Javier Gavilán Escriche
En el primer apartado nos encontramos con el redireccionamiento de la carpeta Mis documentos,
para que cada usuario que inicie sesión en el cliente tenga su propia carpeta mis documentos y
ésta a su vez nos aparezca en nuestro servidor. Para ello deberemos de crear una nueva carpeta
llamada Personales en la cual se van a guardar las carpetas Mis Documentos de todos los
usuarios que inicien sesión con su cuenta.
Deberemos de ir primero a la carpeta Personales y aplicarle los permisos para los usuarios que
queramos (en mi caso he metido a todos los empleados de software, junto con los dos encargados
de incidencias del departamento de sistemas, a todos ellos les damos permisos de control total
sino el redireccionamiento no tendrá éxito).
Acto seguido debemos de ir a la unidad organizativa del departamento de software, crear una
nueva y editarla En configuración del usuario / Configuración de Windows / Redireccionamiento
de carpeta y aquí deberemos de abrir las propiedades de la carpeta Mis Documentos
35
37. Práctica Active Directory Francisco Javier Gavilán Escriche
Comprobación del redireccionamiento de la carpeta Mis documentos a Personales$ de tal forma
que cada usuario que inicie sesión en el cliente XP se le creará automáticamente una carpeta con
su nombre y en su interior una llamada Mis Documentos para que de esa forma pueda guardar
información en su interior
ii. Limitar el tamaño del perfil.
Para la opción de limitar el tamaño del perfil en la misma directiva de grupo del apartado
anterior buscamos la opción de limitar el tamaño del perfil ubicado en /Configuración del
usuario /
Plantillas Administrativas / Sistema / Perfiles de usuario.
36
38. Práctica Active Directory Francisco Javier Gavilán Escriche
Accedemos a las propiedades de limitar el tamaño del perfil y habilitamos dicha opción a y a su
vez modificamos el campo de tamaño máximo del perfil, el enunciado pide 100MB pero no deja
poner más de 30000 Kbs.
37
39. Práctica Active Directory Francisco Javier Gavilán Escriche
d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le dé la gana y
que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como
ser el jefe). Recuerda la jerarquía de aplicación de las directivas de grupo.
i. Deshabilitar no permitir que se ejecute windows messenger.
Para realizar este apartado es preciso hacer una directiva de grupo tan solo para el usuario
director y en la cual debemos de crear una nueva directiva de grupo y modificarla tal y como
hemos venido haciendo con las demás hasta el momento. Accedemos a la opción No permitir
que se ejecute Windows Messenger con la ruta /Configuración del equipo/Plantillas
administrativas / componentes de windows /Windows Messenger
38
40. Práctica Active Directory Francisco Javier Gavilán Escriche
ii. Habilitar el uso de pendrives.
Para poder habilitar el uso de pendrives solamente al usuario director lo único que deberemos de
hacer es sacarlo del grupo de DenegacionUSB que creamos anteriormente para la deshabilitación
de USB, con esta acción tan sencilla conseguiremos que el director pueda ver el contenido de los
pendrives y el resto de los usuarios del dominio no.
e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”.
Instalamos la consola de administración de directivas de grupo descargando primero el programa
desde la página de Microsoft.
http://www.microsoft.com/download/en/details.aspx?id=21895
Ahora cuando vayamos a acceder a la administración de directivas de grupos nos aparecerá una
nueva interfaz más intuitiva para poder trabajar con las GPO.
39
41. Práctica Active Directory Francisco Javier Gavilán Escriche
Si no nos convence este sistema de administración de directivas de grupo siempre podemos
desinstalarlas en agregar o quitar programas.
Punto 11
Instala un servicio de distribución de software desde tu equipo servidor a las estaciones de
trabajo del dominio mediante paquetes MSI:
a. OpenOffice.
b. Firefox.
Los paquetes MSI (Microsoft Installer) se definen como instaladores de Microsoft, a saber,
aquellos paquetes de software que contienen la información necesaria para automatizar su
instalación, minimizando la intervención manual del usuario, ya que toda la información iría
contenida en el propio fichero "msi".
Normalmente estos paquetes los suele facilitar el distribuidor del software para facilitar la
instalación de una aplicación concreta
Vamos a crear una carpeta dentro de nuestra partición del servidor a la que le vamos a dar
permisos de solo lectura (en mi caso voy a crear una llamada “programas”)
A esta carpeta programas le vamos a ciertos permisos para que el administrador del sistema
tenga control total y el resto de usuarios solamente tengan permisos de lectura.
40
42. Práctica Active Directory Francisco Javier Gavilán Escriche
Ahora vamos a descargar los paquetes que queremos que se distribuyan por todos los puestos del
dominio.
Openoffice http://es.openoffice.org/
Firefox http://www.mozilla.org/es-ES/firefox/new/
Para crear estos paquetes utilizaremos la herramienta: “WinINSTALL LE”, la cual podremos
descargar del siguiente enlace:
http://es.softpicks.net/download/WinINSTALL-LE_es-183409.htm
El tutorial de instalación es bastante intuitivo y sencillo. Una vez terminemos la instalación
tendremos el programa estará ubicado en Inicio/Todos los programas.
Ahora nos vamos a la ubicación C.Archivos de programaScalableWinInstall y asignamos a la
carpeta Winstall permisos de lectura al grupo Administradores tal y como se contempla en la
siguiente imagen:
También cabe mencionar que dentro de la carpeta programas, creada anteriormente tendremos
que crear en su interior dos carpetas más: una para openoffice y otra para mozilla Firefox.
Abrimos el programa y pulsamos con el botón derecho sobre “Windows Installer Packages” y
seleccionaremos la opción “Packages Directory” para seleccionar la ruta de la compartida
41
43. Práctica Active Directory Francisco Javier Gavilán Escriche
Una vez finalizado el paso anterior, pulsaremos de nuevo en “Windows Installer Packages” pero
esta vez le daremos a la opción “Run Discover” pulsamos en OK y nos llevará a una especie de
interfaz de instalación. En la siguiente pantalla tendremos que especificar el nombre del
programa y automáticamente se nos irá auto rellenando la casilla de la ubicación del paquete.
42
44. Práctica Active Directory Francisco Javier Gavilán Escriche
Después seleccionaremos todos los discos en los que se van a producir cambios durante la
instalación del programa, en nuestro caso será en C:
Ahora completamos la instalación pulsando en siguiente varias veces hasta finalizar el proceso,
momento en el cual nos fabricará el paquete, este proceso conlleva varios minutos de duración…
Una vez finalizado el proceso tendremos dos alternativas, por un lado podremos seleccionar el
archivo que queremos instalar o pinchar en cancelar e instalar el programa como se hace
normalmente (esta opción es la que vamos a utilizar).
Ahora vamos a proceder a instalar Openoffice como si fuera un programa normal hasta que
finalice la instalación
Una vez instalado “Openoffice”, volvemos a Wininstalll, pinchamos de nuevo en “Windows
Installer Packages” y posteriormente en run discover, le damos a OK y nos saldrá la siguiente
interfaz para crear el snapshot
43
46. Práctica Active Directory Francisco Javier Gavilán Escriche
Después nos saldrá un mensaje diciendo que el proceso se ha realizado bien pero nos da un
mensaje de advertencia.
Nos dirá que el snapshot ha sido todo un éxito y la ubicación de dicho paquete .msi
Ahora nos vamos a la ruta E:ProgramasOpenoffice y vemos como se ha creado correctamente
45
47. Práctica Active Directory Francisco Javier Gavilán Escriche
Vamos a la configuración de la directiva del dominio y hacemos la siguiente ruta “Configuración
de equipo/Configuración de software/Instalación de software” pulsaremos botón derecho y
seleccionaremos “Nuevo paquete”, seleccionaremos el paquete “Openoffice.msi” y después en
asignado
Ahora cuando iniciemos sesión con el cliente se nos instalará el programa automáticamente.
*El procedimiento es igual tanto para openoffice como para Firefox por eso he decidido describir
el proceso de solo uno de ellos.
Punto 12
Instala DFS y haz una prueba de su funcionamiento.
Nos vamos a Inicio/Herramientas Administrativas/Administre su servidor y pulsamos en
Agregar o quitar función, en siguiente, después en servidor de archivos y después en siguiente
hasta que acabe el proceso.
Inicio/Herramientas Administrativas/Sistema de archivos distribuido
46
48. Práctica Active Directory Francisco Javier Gavilán Escriche
Pulsaremos en acción y después en nueva raíz y seguiremos una serie de pasos
Le indicamos el nombre de nuestro dominio:
47
49. Práctica Active Directory Francisco Javier Gavilán Escriche
Después le indicamos el nombre del servidor host para la raíz que vamos a crear:
En esta ocasión le vamos a decir el nombre de la raíz así como algún comentario que queramos
añadirle
Vemos como se ha creado correctamente
48
50. Práctica Active Directory Francisco Javier Gavilán Escriche
Pincharemos con el botón derecho del ratón en nuestro dominioDFS y posteriormente en nuevo
vínculo. Le damos a “Examinar” seleccionaremos el recurso de la red que queremos almacenar
en la carpeta que hemos creado (DFS) para el Sistema distribuido. En mi caso, he almacenado la
carpeta “programas” de la red, en la cual tengo almacenados los paquetes “.msi” de Firefox y
Openoffice
Ahora vamos a comprobar que se ha vinculado el sistema de archivos distribuido a la carpeta
“programas” perfectamente.
49