active directory.pdf
Post on 14-Dec-2015
32 Views
Preview:
DESCRIPTION
TRANSCRIPT
INTRODUCCIÓN
Implementar los conceptos básicos de active directory, implementando en la
empresa ABC, además de entender y poner en practica cada una de las
restricciones que se puede implementar en active directory.
Abrimos el server manager o administrador del servidor, vamos a añadir agregar
roles o características. El nuevo rol que debemos agregar es Active Directory
Domain Services. Lo demás es solo darle siguiente e instalar. (Este agrega las
características que por defecto necesita.)
Después de instalar el rol y las características de Active Directory Domain Services,
Nos arroja un aviso informando que se necesita una configuración para que funcione
el rol que acabamos de agregar al servidor.
Seleccionamos add a new forest (añadir un nuevo bosque) y especificamos el
dominio. Damos clic en siguiente.
Definimos el nivel funcional del servidor, y agregamos una contraseña para posibles
restauraciones. Damos clic en siguiente.
Damos clic en siguiente.
Aquí nos asigna el nombre de la NETBIOS, por defecto nos pone el mismo nombre
que ingresamos al dominio.
Dejamos por defecto las bases de datos, archivos de error y Sysvol. Damos clic en
siquiente.
Nos muestra una pequeña descripción de lo que hemos configurado. Damos clic en
siguiente.
Nos indica que todos los prerrequisitos han pasado de manera satisfactoria. Damos
clic en instalar.
El servidor se reinicia para tomar los cambios, al encender nos muestra el prefijo
del dominio ABC/Administrator.
Cada departamento de la empresa ABCx será agregado a la estructura lógica de Active Directory a través de unidades organizativas. Cada unidad organizativa anidará otras unidades organizativas que permitirán tener un control sobre los recursos de red de cada dependencia. Estos contenedores serán: Usuarios y grupos, Equipos, Impresoras y Carpetas compartidas. Tenga en cuenta que dentro de cada departamento existen por lo menos 10 usuarios y que la información de cada usuario en el directorio debe ser detallada.
Luego de entrar a active User and Computer, nos aparece esta la siguiente ventana
donde crearemos las unidades organizativas.
Luego de crear las unidades organizativas centrales crearemos unidades
organizativas dentro de las otras unidades siguiendo el diagrama.
Creamos un nuevo objeto o unidad organizativa dentro de cada unidad lleva
Usuarios Y grupos, Equipos, Impresoras y carpetas compartidas.
Terminado nos quedara una estructura como la que se ve en la siguiente imagen.
Después crearemos los usuarios, los cuales serían diez por cada unidad
organizativa.
Creamos un password para el usuario y habilitamos la opción que el usuario cambie
el password cuando se conecte al dominio.
Llenamos los datos que nos pide para crear el nuevo objeto user. Damos clic en
siguiente.
Nos arroja un error porque la contraseña no tiene los requerimientos mínimos de
seguridad.
Ingresamos una contraseña que cumplas los requerimientos, y ya nuestro usuario
esta creado.
Se forzará a todos los usuarios del dominio abc.com a cambiar su contraseña cada 15 días y el sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de contraseñas debe estar habilitada para usar un password seguro. Creamos un GPO para que apliquen a todos los usuarios.
Ingresamos un nombre a la nueva GPO.
Ya creada la nueva GPO daremos en editar para ingresar o buscar las restricciones
que vamos a habilitar.
La contraseña deberá ser cambiada cada 15 días.
Habilitaremos que la contraseña deba cumplir con ciertos requisitos de complejidad.
Debe recordar las últimas tres contraseñas cambiadas por el usuario.
Procedemos a crear nuestras GPO en cada departamento, parea eso damos clic derecho en el
departamento deseado y le damos crear GPO
De ahí nos saldrá este cuadro, ahí le vamos a poner el nombre de nuestra GPO en este caso le
vamos a poner restricciones
Luego damos clic derecho sobre la GPO creada y le damos clic en editar
Desplegamos el menú de configuración de usuarios luego plantillas administrativas y por últimos
damos clic en menú inicio, de ahí le damos clic en quitar el menú ejecutar
Y aca le damos habilitar
Ahora vamos a prohibir el acceso al panel de control y configuraciones del PC, para eso debemos
desplegar configuración de usuarios, luego política, luego plantillas administrativas y de ahí le
damos en panel de control, de ahí le damos en prohibir acceso al panel de control
Vamos a restringir el acceso a REGEDIT para esto vamos a desplegar el menú configuración de
usuarios, luego políticas, luego plantillas administrativas, luego vamos a sistema y de ahí damos
clic en impedir el acceso a herramientas de edición del registro
Ahora le decimos q deshabilite la opción de REGEDIT
Ahora vamos a restringir el acceso a el disco C, para ello vamos a configuración de usuario, luego
aplantillas administrativas, luego a componentes de Windows, luego a exploración de archivos y
de ahí damos en ocultar estas unidades específicas en mi computador
Luego habilitamos esta opción y seleccionamos nuestro disco el cual vamos a ocultar
Vamos a deshabilitar la opción de reproducción automática, para esto debemos de desplegar las
opciones hasta llegar a componentes de Windows, de ahí vamos a políticas de autoplay y de ahí
vamos a la opción deshabilitar la reproducción automática
Habilitamos la opción y le decimos que nos deshabilite la reproducción automática de el CD-ROM y de las unidades removibles
Vamos a bloquear la barra de tareas, para eso vamos a configuración de usuario, luego a plantillas
administrativas y luego a escritorio de ahí vamos a la opción prevenir la adición, arrastrar, soltar y
cerrar la barra de tareas
Habilitamos esta opcion
Vamos a denegar el acceso a todos los dispositivos extraíbles, para eso vamos a configuración de
usuario, plantillas administrativas, sistema, acceso de almacenamiento extraíble de ahí vamos a la
opción denegar el acceso a dispositivos extraíbles
Habilitamos la opcion
Vamos a crear las restricciones para la unidad organizativa de compras
Vamos a deshabilitar los elementos del escritorio, para esto vamos a configuración de usuarios,
políticas, plantillas administrativas, panel de control, escritorio, de ahí le damos deshabilitar los
elementos del escritorio
Habilitamos la opción
No van a poder apagar las maquinas desde el SO, para ello vamos a configuración de usuario,
plantillas administrativas, menú inicio y barra de tareas, y luego vamos a remover y evitar los
comandos de apagar, reiniciar, suspender
Habilitamos la opción y damos aceptar
Para deshabilitar el administrador de tareas debemos ir a configuración de usuario, plantillas
administrativas, sistema, Ctrl + Alt +Del opción, de ahí le damos eliminar el administrador de
tareas
Vamos a crear un grupo q se llame practicantes en la unidad organizativa de compras, para ello
hacemos esto
Nos va a salir este cuadro el cual vamos a poner el nombre de nuestro grupo
Vamos a las propiedades
Elegimos la pestaña de miembros y le damos agregar, le damos avanzado, luego buscar ahora, y de
ahí seleccionamos los usuarios q vamos a agregar, luego le damos aceptar
Y vemos q ya están los miembros agregados
Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM. Para ello vamos a las propiedades del usuario, luego a cuenta y luego a inicio de sección, establecemos el tiempo y los días y luego aceptar
Ahora vamos a crear una carpeta y la vamos a compartir
Le decimos q se comparta con el grupo de practicantes
Nos dirigimos a la pestaña “Perfil”, en la última sección de “Carpeta particular” le damos
opción de conectar elegimos la denominación de la unidad que se montara al momento del
inicio de sesión y por último indicamos la ruta de la carpeta compartida a la cual previamente
habíamos copiado su ruta, clic en aplicar y luego aceptar
Cada vez que los usuarios del departamento Web y Comercio Electrónico inicien
sesión se montarán automáticamente dos unidades de red que se mapean a
carpetas compartidas en un servidor Windows Server 2008. Note que primero debe
compartir las carpetas en algún servidor (Controlador de dominio u otro) antes de
montarlas automáticamente. Todos los usuarios del departamento tendrán una
cuota de 1000MB sobre la unidad de red
Creamos una nueva GPO en Web y Comercio Electrónico.
Luego entraremos a editar la nueva GPO creada.
Crearemos un nuevo mapeo de carpetas.
Ingresamos la ubicación de la carpeta a mapear y asignamos una letra a la unidad
mapeada y damos clic en comunes.
Una vez situados en la pestaña comunes seleccionamos la última casilla
“Destinatarios a nivel de elemento” y luego damos clic en destinatarios.
Damos clic derecho en colección luego nos situamos donde dice agregar elementos
de destinario y buscamos grupo de seguridad y damos clic ahí.
Una vez hecho esto procedemos dando clic en el botón examinar.
Seleccionamos el grupo Web y Comercio Electrónico y le damos aceptar, Una vez
seleccionado el grupo damos clic en aceptar.
:
Ahora estableceremos la cuota de disco, para ello nos dirigimos a
Configuración de Equipo> Políticas> Plantillas Administrativas> Sistema>
Cuotas de Disco
Clic derecho sobre “Habilitar cuotas de disco” clic en Editar. También habilitaremos
el límite de la cuota a 1000MB
Los usuarios de los departamentos de Diseño Gráfico y Comerciales Externos solo podrán iniciar sesión en los equipos que pertenecen a dicho departamento.
Primero vamos a añadir los equipos del dominio en los que queremos que los
usuarios de Diseño gráfico y comerciales externos inicien sesión.
Agregamos un grupo que tendrá acceso al equipo.
top related