PRÁCTICA DE SISTEMAS

ACTIVEDIRECTORY

Juan A. Rodríguez de la Rosa2º ASIR

Índice de contenidoEnunciado .......................................................................................................................................3Preparación......................................................................................................................................3Ejercicio 1........................................................................................................................................6Ejercicio 2........................................................................................................................................6Ejercicio 3........................................................................................................................................7Ejercicio 4........................................................................................................................................9Ejercicio 5......................................................................................................................................11Ejercicio 6......................................................................................................................................15Ejercicio 7......................................................................................................................................16Ejercicio 8......................................................................................................................................21Ejercicio 9......................................................................................................................................24Ejercicio 10....................................................................................................................................25Ejercicio 11....................................................................................................................................44Ejercicio 12....................................................................................................................................47

Enunciado

Perteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 de Octubre de este año, se plantea una migración del entorno corporativo a la versión de Windows 2003 Server.

Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/ Arcos de la Frontera s/n Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos necesarios para dicha migración y llevarlos a cabo para tal fecha. Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están actualmente en producción:

-Administración de usuarios y grupos. -Administración de ficheros. -Administración de discos. -Copias de seguridad.

y añadir otros más

El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos.

Preparación

Antes de nada hay que instalar el Active Directory y indicar el dominio que vamos a utilizar:

También configuraremos la dirección IP del servidor que mas tarde corresponderá con el servicio DHCP:

Instalaremos también los servicios DNS y DHCP:

Y ahora podemos comprobar que se han instalado correctamente:

Y ahora otro dato importante que configuraremos para que nos sea mas sencillo la creación de usuarios ( pero nada recomendable de usar) es deshabilitar las directivas de contraseñas:

Ejercicio 1

1. La empresa consta de 20 empleados.

A continuación se mostrarán en los 3 ejercicios siguientes los usuarios creados, cada uno en su unidad organizativa correspondiente.

Los 20 empleados están divididos entre 3 unidades organizativas:

-Sistemas

-Software

-Especiales

Ejercicio 2

2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o disco duro diferente a la del sistema operativo.

He introducido los 3 usuarios dentro del grupo sistemas.

Ahora asignaremos los permisos al departamento de sistemas de la carpeta dep_sistemas que he creado en el nuevo disco duro:

Ejercicio 3

3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al proyecto en el que estén trabajando.

He introducido los usuarios dentro del grupo software:

Y ahora asignaremos los usuarios divididos en 3 bloques dentro de los grupos proyecto1, proyecto2 y proyecto3 que se le asignarán permisos sobre las carpetas de proyectos:

Después de asignar los usuarios en grupos, ya podremos darle permisos a esos grupos sobre las carpetas proyectos:

Ejercicio 4

4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendrá acceso a toda la documentación y código ejecutable de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles.

Mientras que al gerente le daremos los permisos solo en las carpetas de proyectos:

Al director le daremos permisos tanto a las carpetas de proyectos como a las de dep_sistemas:

El árbol de como quedarían estructuradas las carpetas dentro del nuevo disco duro es el siguiente:

Ejercicio 5

5. La empresa tiene una serie de servicios que quiere seguir manteniendo(incluidos sus nombres): a. Controlador de Dominio => dominio.local

b. Servicio DNS

Tanto la zona directa:

Como la zona inversa:

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1

Y ahora la comprobación de que funciona mediante un nslookup a la zona directa y a la zona inversa:

Ejercicio 6

6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch.

Para ello colocamos la tarjeta de red como red interna tanto en el servidor como en los clientes:

Ejercicio 7

7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto de los usuarios, salvo para los dos usuarios del punto anterior.

Para crear los perfiles y probarlos necesitaremos acceder con alguna maquina cliente al servidor, por lo tanto yo he elegido un windows XP y lo primero que deberemos hacer es acceder mediante las propiedades de Mi PC e indicar el dominio donde vamos a trabajar:

Después nos pide reiniciar, y probaremos a entrar con el administrador y la contraseña del servidor seleccionando el dominio que vamos a conectarnos:

Ahora veremos la IP (que nos la da el dhcp del servidor) y como podemos comprobar también nos sale el dominio en el que nos encontramos:

Después haremos un nslookup al servidor mediante la zona directa:

Y después mediante la zona inversa (IP):

Una vez tengamos hechas todas estas comprobaciones, pasamos a la creación de el perfil móvil.

Primero crearemos una carpeta llamada perfiles en la nueva partición que creamos anteriormente:

Después hacemos botón derecho sobre la carpeta y le damos a compartir y escribimos un $ al final de la palabra perfiles:

Después de esto nos vamos a los usuarios de active directory y empezamos a darle perfiles moviles, para ello seleccionamos cualquier usuario y nos vamos a sus propiedades, allí nos vamos a la pestaña perfiles y escribimos la siguiente dirección:

Después aplicamos los cambios y se nos cambiará el %username% por el nombre del usuario:

Luego aceptamos y ya podremos acceder mediante un usuario:

Ejercicio 8

8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil, proyecto, documentación, etc de la empresa. Los datos de los perfiles estarán en una partición o disco duro diferente a la del sistema operativo.

Primero nos dirigimos a los usuarios y buscamos el usuario invitado, pulsamos botón derecho sobre él y le damos a habilitar cuenta:

Después nos dirigimos a la maquina cliente y desde ahí nos introducimos en Mi PC/propiedades/Opciones avanzadas/perfiles de usuario y cogemos un usuario cualquiera y le damos a copiar a, posteriormente escribimos lo siguiente:

Después cerraremos sesión:

Realizado esto nos vamos a la carpeta que se a creado Invitado.man, y cambiamos el archivo ntuser.dat por ntuser.man

Luego nos dirigimos al usuario invitado, y accedemos a sus propiedades:

Ahora seleccionaremos la pestaña perfil e introduciremos lo siguiente:

Ejercicio 9

9. El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables y documentación de cada uno de los proyectos.

Para ello primero creamos un nuevo disco duro virtual en el VirtualBox:

Después nos introducimos en administración de discos dentro del Servidor, y damos formato a ese nuevo disco duro:

Y como vemos ya tenemos creado el nuevo disco duro:

Ejercicio 10

10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar “posibles distracciones”:

i. Habilitar Asistencia Remota Solicitada.

ii. Habilitar no permitir que se ejecute windows messenger.

iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.

Primero habilitamos el active Desktop

Y después el papel tapiz:

La imagen seleccionada la tengo guardada en la dirección C:\cordoba.jpg

Como vemos he reiniciado y después de esto, sale la imagen siguiente de fondo:

He intentado cambiar el fondo, pero como vemos no nos deja interactuar con los elementos de escritorio:

iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.

Lo primero que haremos será descargarnos el programa bginfo.exe, y una vez bajado lo guardamos en una carpeta que compartiremos dentro de la nueva partición:

Después ejecutamos el programa:

Y nos introducimos dentro de la pestaña background y configuramos los siguientes parametros:

Después guardamos en una plantilla nueva, y pasamos a la creación del siguiente script, dichos archivos los guardaremos dentro de la dirección de \\dominio.local\NETLOGON

Ahora pasaremos a activar la directiva:

Una vez introducida la plantilla que anteriormente guardamos dentro de la directiva, ya podremos probarlo:

v. Deshabilitar el uso de pendrives.

b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).

Primero creamos la directiva

i. Habilitar ofrecer asistencia remota.

c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se almacenará en el servidor (en una partición diferente a la del sistema operativo) llamada “personales”. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales no estarán asociados al perfil.

Primero creamos la directiva:

i. Redireccionamiento de “Mis Documentos”

Primero creamos la carpeta a la que vamos a redirigir:

Posteriormente indicamos la dirección de la carpeta de redirección dentro de la directiva:

ii. Limitar el tamaño del perfil.

d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarquía de aplicación de las directivas de grupo.

i. Deshabilitar no permitir que se ejecute windows messenger.

ii. Habilitar el uso de pendrives.

Primero copiamos una plantilla de Internet a un documento (en mi caso pendrive.adm)

Después nos dirigimos a las directivas de grupo y le damos a agregar plantilla dentro de plantillas administrativas del apartado configuración de equipo:

Y agregamos la plantilla, porque por defecto no la coge sola claramente:

Ahora nos dirigimos al siguiente apartado para mirar el filtrado:

Y en el filtrado deshabilitamos todas las opciones marcadas, para que quede de la siguiente manera:

Y ahora nos dirigimos a la siguiente dirección y habilitamos el uso de usb, como vemos a continuación:

e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”. No olvides que no se pueden aplicar directivas de grupo a grupos del dominio.

Nos descargamos el archivo gpmc.msi desde esta url:

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21895

Posteriormente lo instalamos:

Después cuando accedamos a las directivas de grupo, veremos que nos sale un botón para abrir la nueva interfaz, tal y como aparece en la siguiente imagen:

Después de abrirlo ya nos saldrá la nueva interfaz:

Ejercicio 11

11. Instala un servicio de distribución de software desde tu equipo servidor a las estaciones de trabajo del dominio mediante paquetes MSI: a. OpenOffice. b. Firefox. Crea tú mismo estos paquetes con alguna utilidad.

Primero me he descargado e instalado la aplicación Exe to msi converter:

También me he descargado oppenoffice.exe y firefox.exe y los vamos a transformar a paquetes msi con Exe to msi converter:

Ahora crearemos una carpeta llamada paquetesmsi donde daremos permiso total al administrador y será el lugar donde se alojarán los paquetes msi.

Ahora pasaremos a añadir los paquetes msi dentro de la directiva de grupo general del dominio:

Añadiremos tanto el paquete oppenoffice:

Como el de firefox:

Como vemos a continuación ya tenemos disponibles los paquetes para poder usar cuando sea necesario:

Ejercicio 12

12. Instala DFS y haz una prueba de su funcionamiento.

Primero lo instalamos:

Ahora pasaremos a realizar una prueba, para ello accedemos al administrador de DFS y creamos un nuevo espacio de nombres:

Ahora indicamos el dominio:

Elegimos el tipo que deseamos:

Después nos sale el resumen y posteriormente nos muestra la pantalla siguiente por donde podemos comprobar que se han creado los pasos anteriores correctamente:

Y por último creamos una carpeta dentro del espacio de nombres, así podemos comprobar que funciona correctamente: