curso 6824a_reducido

8/6/2019 curso 6824A_reducido

1/427

Curso 6824A - Indice

Mdulo 1: Implementacin de Servicios de dominio de Active Directory

Este mdulo analiza los requisitos previos de hardware y software para implementar AD DS, como astambin el proceso para instalarlo. Asimismo, define qu es un controlador de dominio de slo lectura(RODC) y cmo se instala.

Mdulo 2: Configuracin del Servicio de nombres de dominio para Servicios de dominio de Active Directory

Este mdulo describe la configuracin de DNS especfica para AD DS.Mdulo 3: Configuracin de objetos y confianzas de Active Directory

Este mdulo analiza cmo implementar y configurar objetos y confianzas de AD DS.

Mdulo 4: Configuracin de Sitios de servicios de dominio y replicacin de Active Directory

Este mdulo describe cmo crear y configurar sitios para administrar la replicacin.

Mdulo 5: Creacin y configuracin de la Directiva de grupo

Este mdulo describe cmo funcionan, cmo se crean y cmo se aplican los Objetos de directiva degrupo (GPO).

Mdulo 6: Configuracin de entornos de usuario usando la Directiva de grupo

Este mdulo analiza cmo establecer la configuracin del escritorio del usuario mediante la Directiva degrupo.

Mdulo 7: Implementacin de la seguridad usando la Directiva de grupo

Este mdulo describe cmo establecer los valores de seguridad y aplicarlos usando Objetos dedirectiva de grupo.

Mdulo 8: Implementacin de un plan de supervisin de Servicios de dominio de Active Directory

Este mdulo describe cmo supervisar infraestructura y servicios de AD DS.

Mdulo 9: Implementacin de un plan de mantenimiento de Servicios de dominio de Active Directory

Este mdulo analiza cmo realizar el mantenimiento, la copia de seguridad y la recuperacin deservidores y objetos de Active Directory.


2/427

Mdulo 10: Solucin de problemas de Active Directory, DNS y replicacin

Este mdulo describe cmo solucionar problemas relacionados con AD DS, DNS y replicacin

Mdulo 11: Solucin de problemas de Directiva de grupo

Este mdulo describe cmo solucionar problemas relacionados con Directivas de grupo.

Mdulo 12: Implementacin de una infraestructura de Servicios de dominio de Active Directory

Este mdulo implica un da entero de laboratorio. Se presentan escenarios para facilitar el aprendizajede la solucin desde el comienzo hasta el final.

Copyright 2009, Microsoft Corporation. All rights reserved. Legal Notices


3/427

Modulo 1 : Implementacin de Servicios de dominio de Active Directory

Implementacin de Servicios de dominio de Active Directory

Leccin 1: Instalacin de Servicios de dominio de Active DirectoryLeccin 2: Implementacin de controladores de dominio de slo lecturaLeccin 3: Configuracin de funciones de controladores de dominio de AD DS

Laboratorio: Implementacin de los controladores de dominio de slo lectura y administracin delas funciones de controladores de dominio

Servicios de dominio de Active Directory (AD DS) se instala como una funcin del servidor en el sistema operativo

Windows Server2008. Existen varias opciones para elegir al instalar AD DS y ejecutar el Asistente para instalacinde Servicios de dominio de Active Directory. Se debe elegir si se desea crear un nuevo dominio o agregarle uncontrolador de dominio a uno existente. Asimismo, cuenta con la opcin de instalar AD DS en un servidor con ServerCore de Windows Server 2008 o instalar los controladores de dominio de slo lectura. Despus de implementar loscontroladores de dominio, tambin se deben administrar funciones especiales de controladores de dominio, como porejemplo el catlogo global y los maestros de operaciones.


4/427

Leccion 1 : Instalacin de Servicios de dominio de Active Directory

Leccin 1:

Instalacin de Servicios de dominio de Active Directory

Windows Server 2008 brinda diversas maneras de instalar y configurar AD DS. Esta leccin describe la instalacinestndar de AD DS y tambin algunas de las dems opciones que se encuentran disponibles al realizar la instalacin.


5/427

Requisitos para instalar AD DS

Requisitos para instalar AD DS

Puntos clave

Para instalar AD DS, el servidor debe cumplir con los siguientes requisitos:

El sistema operativo Windows Server 2008 debe estar instalado. AD DS solamente puede instalarse en lossiguientes sistemas operativos:

El sistema operativo Windows Server2008 Standard

El sistema operativo Windows Server2008 Enterprise

El sistema operativo Windows Server2008 Datacenter

Material de lectura adicional

Ayuda para Servicios de dominio de Active Directory: Instalacin de Servicios de dominio de Active Directory

Artculo de Microsoft TechNet: Requisitos para instalar AD DS


6/427

Cules son los niveles funcionales de dominio y de bosque?

Cules son los niveles funcionales de dominio y de bosque?

Puntos clave

En Windows Server 2008, la funcionalidad de bosque y de dominio brinda una forma de habilitar funciones de todo elbosque o del dominio de Active Directory en su entorno de red. Los diferentes niveles de funcionalidad de bosque ydominio estn disponibles; dependern del nivel funcional de dominio y bosque.


Ayuda para Servicios de dominio de Active Directory: Establecer el nivel funcional de dominio o bosque1.

Artculo de Microsoft TechNet: Apndice de las caractersticas de nivel funcional2.


7/427

Proceso de instalacin de AD DS

Proceso de instalacin de AD DS

Puntos clave

Para configurar un controlador de dominio de Windows Server 2008, se debe instalar la funcin del servidor de AD DSy ejecutar el Asistente para instalacin de Servicios de dominio de Active Directory. Para hacerlo, se debe usar uno delos siguientes procesos:

Instalar la funcin del servidor usando el Administrador de servidores y luego ejecutar el asistente parainstalacin ejecutando DCPromo o el asistente para instalacin desde el Administrador de servidores.

Ejecutar DCPromo desde el comando Ejecutar o un smbolo del sistema. De este modo, se instalar la funcindel servidor de AD DS y luego se iniciar el Asistente para instalacin.



Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008 y Escenarios parainstalar AD DS


8/427

Opciones avanzadas para instalar AD DS

Opciones avanzadas para instalar AD DS

Puntos clave

Algunas de las pginas del Asistente para instalacin de Servicios de dominio de Active Directory aparecen solamentesi se selecciona la casilla Usar la instalacin en modo avanzado en la pgina principal del asistente o al ejecutarDCPromo con el parmetro de lnea de comandos /adv. Si no ejecuta el Asistente para instalacin en modo avanzado,el asistente usar las opciones predeterminadas que se aplican a la mayora de las configuraciones.ssi

Pregunta: Cundo usara el modo de opciones avanzadas en su organizacin?


Ayuda para Servicios de dominio de Active Directory: Usar la instalacin en modo avanzado

Artculo de Microsoft TechNet: Novedades de la instalacin y desinstalacin de AD DS


9/427

Instalacin de AD DS desde un medio

Instalacin de AD DS desde un medio

Puntos clave

Antes de que se puedan usar medios de copia de seguridad como la fuente para instalar un controlador de dominio,use Ntdsutil.exe para crear los medios de instalacin.

Ntdsutil.exe puede crear cuatro tipos de medios de instalacin diferentes .

Pregunta: Qu tipos de medios de instalacin usar en su organizacin?


Artculo de Microsoft TechNet: Instalacin de AD DS desde un medio


10/427

Demostracin: Comprobacin de la instalacin de AD DS

Demostracin: Comprobacin de la instalacin de AD DS

Pregunta: Qu pasos llevara a cabo si se diera cuenta de que no se pudo realizar la instalacin del controlador dedominio?


Artculo de Microsoft TechNet: Comprobacin de una instalacin de AD DS


11/427

Actualizacin a AD DS de Windows Server 2008

Actualizacin a AD DS de Windows Server 2008

Puntos clave

Para instalar un controlador de dominio nuevo de Windows Server 2008 en un dominio existente de Windows 2000Server o Windows Server 2003, lleve a cabo los siguientes pasos:

Si el controlador de dominio es el primero de Windows Server 2008 en el bosque, se debe preparar el bosquepara Windows Server 2008 al ampliar el esquema en el maestro de operaciones de esquema. Para ampliar elesquema, ejecute adprep /forestprep. La herramienta adprep est ubicada en los medios de instalacin de

Windows Server 2008.Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows 2000 Server,se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. Elparmetro de lnea de comandos gpprep agrega una entrada de control de acceso heredable (ACE) a losObjetos de directiva de grupo (GPO) que se encuentran ubicados en la carpeta compartida SYSVOL y lasincroniza entre los controladores en el dominio.

Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows Server 2003,se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura.

Despus de instalar un controlador de dominio grabable, se puede instalar un RODC en el bosque de WindowsServer 2003. Antes de realizar el paso anterior, se debe preparar el bosque al ejecutar adprep /rodcprep. Sepuede ejecutar adprep /rodcprep en cualquier equipo en el bosque. Si el RODC ser un servidor de catlogo

global, luego se debe ejecutar adprep /domainprep en todos los dominios en el bosque, sin importar si eldominio ejecuta un controlador de dominio de Windows Server 2008. Al ejecutar adprep /domainprep entodos los dominios, el RODC puede replicar datos del catlogo global a partir de todos los dominios en elbosque y luego puede anunciarse como un servidor de catlogo global.



Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008

Artculo de Microsoft TechNet: Escenarios para instalar AD DS


12/427

Instalacin de AD DS en un equipo con Server Core

Instalacin de AD DS en un equipo con Server Core

Puntos clave

Para instalar AD DS en un equipo Windows Server 2008 con Server Core, se debe usar una instalacin desatendida.Server Core de Windows Server 2008 no proporciona una interfaz grfica de usuario (GUI) por lo tanto no se puedeejecutar el Asistente para instalacin de Servicios de dominio de Active Directory.

Para realizar una instalacin desatendida de AD DS, use un archivo de respuesta y la siguiente sintaxis con el comandoDcpromo:

Dcpromo /answer[:nombre de archivo], donde nombre de archivorepresenta el nombre del archivo de respuesta.


Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008, Apndice deparmetros para la instalacin desatendida


13/427

Discusin: Configuracin comn para AD DS

Discusin: Configuracin comn para AD DS

Puntos clave

Despus de instalar un controlador de dominio, tal vez se necesite llevar a cabo tareas adicionales en su entorno.Puede tener acceso a listas de comprobacin para las siguientes configuraciones comunes para AD DS en elAdministrador de servidores, en Recursos y Soporte.


Ayuda para AD DS: Configuraciones comunes para Servicios de dominio de Active Directory


14/427

Leccion 2 : Implementacin de controladores de dominio de slo lectura

Leccin 2:

Implementacin de controladores de dominio de slo lectura

Una de las nuevas funciones importantes en Windows Server 2008 es la opcin de usar los controladores de dominiode slo lectura (RODC). Los RODC brindan toda la funcionalidad que los clientes necesitan como as tambinseguridad adicional para los controladores de dominio implementados en las sucursales. Al configurar los RODC, sepuede especificar qu contraseas de cuenta de usuario se almacenarn en la memoria cach del servidor yconfigurar los permisos administrativos delegados para el controlador de dominio. Esta leccin describe cmo instalary configurar los RODC.


15/427

Qu es un controlador de dominio de solo lectura?

Qu es un controlador de dominio de solo lectura?

Puntos clave

Un RODC es un nuevo tipo de controlador de dominio compatible con Windows Server 2008. Un RODC hospedaparticiones de slo lectura de la base de datos de AD DS. Es decir que nunca se podrn realizar cambios en la copiade la base de datos almacenada por el RODC y toda la replicacin de AD DS usa una conexin unidireccional desdeun controlador de dominio que cuenta con una copia de base de datos grabable hasta el RODC.


Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura


16/427

Caractersticas de los controladores de dominio de slo lectura

Caractersticas de los controladores de dominio de slo lectura

Puntos clave

Vea la lista en la diapositiva.



Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3(Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)


17/427

Preparacin de la instalacin del RODC

Preparacin de la instalacin del RODC

Puntos clave

Antes de que se pueda instalar un RODC, se debe preparar el entorno de AD DS llevando a cabo los siguientespasos:

Configurar el nivel funcional de dominio y bosque

Planear la disponibilidad del controlador de dominio de Windows Server 2008.

Preparar el bosque y el dominio.


Ayuda para AD DS: Delegar la administracin e instalacin del controlador de dominio de slo lectura


Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008Beta 3 (Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)


18/427

Instalacin del RODC

Instalacin del RODC

Puntos clave

La instalacin del RODC es prcticamente idntica a la instalacin de AD DS en un controlador de dominio con unacopia grabable de la base de datos. No obstante, existen algunos pasos adicionales.



Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008Beta 3 (Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)


19/427

Delegacin de la instalacin del RODC

Delegacin de la instalacin del RODC

Puntos clave

Se puede delegar la instalacin de un RODC realizando una instalacin que consta de dos etapas.

Pregunta: Cules son los beneficios de delegar la instalacin de un RODC?




Artculo de Microsoft TechNet: Gua paso a paso para controladores de dominio de slo lectura


20/427

Qu son las directivas de replicacin de contraseas?

Qu son las directivas de replicacin de contraseas?

Puntos clave

Cuando se implementa un RODC, se puede configurar una Directiva de replicacin de contraseas para el RODC.Dicha directiva funciona como una lista de control de acceso (ACL) que determina si se permite que un RODCalmacene una contrasea en la memoria cach.

La Directiva de replicacin de contraseas enumera las cuentas que usted explcitamente permite que se almacenenen la memoria cach y las que no. Las contraseas para las cuentas no se encuentran realmente almacenadas en la

memoria cach en el RODC hasta que la cuenta del usuario o del equipo haya sido autenticada por primera vezmediante el RODC.


Ayuda en lnea para AD DS: Specify password Replication Policy (Especificar la Directiva de replicacin decontraseas)


21/427

Demostracin: Configuracin de la separacin de la funcin deadministrador y las directivas de replicacin de contraseas

Demostracin: Configuracin de la separacin de la funcin de administrador y las directivas dereplicacin de contraseas

Preguntas:

Cul sera una forma alternativa de configurar la separacin de la funcin de Administrador y las Directivas dereplicacin de contrasea?

Su organizacin ha implementado dos RODC. Cmo configurara la Directiva de replicacin de contraseas si

deseara que las credenciales para todas las cuentas de usuario y de equipo exceptuando las de administradores yejecutivos sean almacenadas en la memoria cach en ambos RODC?


Ayuda para AD DS: Specify Password Replication Policy (Especificar la Directiva de replicacin decontraseas)


22/427

Leccion 3 : Configuracin de funciones de controladores de dominio deAD DS

Leccin 3:

Configuracin de funciones de controladores de dominio de AD DS

Todos los controladores de dominio en un dominio son fundamentalmente iguales, es decir que todos contienen losmismos datos y brindan los mismos servicios. Sin embargo, tambin se pueden asignar funciones especiales acontroladores de dominio para brindar servicios adicionales o abordar escenarios donde solamente un nicocontrolador de dominio debera ofrecer servicios en cualquier momento. Esta leccin describe cmo configurar yadministrar servidores de catlogo global y maestros de operaciones.


23/427

Qu son los servidores de catlogo global?

Qu son los servidores de catlogo global?

Puntos clave

El catlogo global es una rplica de slo lectura parcial de todas las particiones de directorio de dominio en un bosque.El catlogo global es una rplica parcial ya que incluye solamente un conjunto de atributos limitado para cada uno delos objetos del bosque. Al incluir solamente los atributos que se buscan con ms frecuencia, la base de datos de unservidor de catlogo global nico puede representar a cada objeto en todos los dominios en el bosque.

El servidor de catlogo global es un controlador de dominio que tambin hospeda al catlogo global. AD DS configura

automticamente el primer controlador de dominio en el bosque como un servidor de catlogo global. Se puedeagregar funcionalidad de catlogo global a otros controladores de dominio o cambiar la ubicacin predeterminada delcatlogo global a otro controlador de dominio.


Artculo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)


24/427

Modificacin del catlogo global

Modificacin del catlogo global

Puntos clave

A veces, quizs desee personalizar el servidor de catlogo global para incluir atributos adicionales. De formapredeterminada, para cada uno de los objetos en el bosque, el servidor de catlogo global contiene los atributos mscomunes de un objeto. Las aplicaciones y los usuarios pueden consultar tales atributos. Por ejemplo, se puede hallarun usuario por el nombre, apellido, direccin de correo electrnico u otras propiedades comunes.


Artculo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)


25/427

Demostracin: Configuracin de servidores de catlogo global

Demostracin: Configuracin de servidores de catlogo global

Preguntas:

Qu tipos de errores o experiencias de usuario lo llevara a investigar si sera necesario configurar otro servidor comoun servidor de catlogo global?

Cules son las razones por las que elegira replicar un atributo al catlogo global?


Artculo de Microsoft TechNet: Agregar un atributo al catlogo global


26/427

Qu son las funciones de maestro de operaciones?

Qu son las funciones de maestro de operaciones?

Puntos clave

Active Directory est diseado como un sistema de replicacin con varios maestros. No obstante, para ciertasoperaciones de directorio, solamente se requiere un nico servidor autoritativo. Los controladores de dominio quedesempean funciones especficas se denominan maestros de operaciones. Los controladores de dominio quedesempean funciones de maestro de operaciones son designados para desempear tareas especficas paragarantizar consistencia y para terminar con las posibles entradas que presenten problemas en la base de datos deActive Directory.


Artculo de Microsoft TechNet: Agregar un atributo al catlogo global

Artculo de Microsoft TechNet: Administrar funciones de maestro de operaciones


27/427

Demostracin: Administracin de funciones de maestro de operaciones

Demostracin: Administracin de funciones de maestro de operaciones

Preguntas:

En qu circunstancia necesitara asumir una funcin de maestro de operaciones de inmediato en vez de esperar unashoras para que se repare un controlador de dominio que actualmente desempea la funcin?

Est implementando el primer controlador de dominio en un nuevo dominio que consistir en un nuevo rbol dedominios en el bosque WoodgroveBank.com. Qu funciones de maestro de operaciones desempear este servidorde manera predeterminada?


Artculo de Microsoft TechNet: Administrar funciones del maestro de operaciones


28/427

Cmo funciona el servicio Windows Time

Cmo funciona el servicio Windows Time

Puntos clave

El servicio Horario de Windows, tambin denominado W32Time, sincroniza la hora y la fecha para todos los equiposque se ejecutan en una red de Windows Server 2008. El servicio Horario de Windows usa el Protocolo de tiempo deredes (NTP) para garantizar configuraciones horarias de gran precisin por toda la red. Del mismo modo, se puedenintegrar fuentes horarias externas al servicio Horario de Windows.


Artculo de Microsoft TechNet: Windows Time Service Technical Reference (Referencia tcnica del servicioHorario de Windows)

Artculo de Microsoft TechNet: Configuring a time source for the forest (Configurar una fuente horaria para elbosque)


29/427

Leccion 4 : Laboratorio: Implementacin de los controladores de dominiode slo lectura y administracin de las funciones de controladores de

dominio

Laboratorio: Implementacin de los controladores de dominio de slolectura y administracin de las funciones de controladores de dominio

Escenario

El Woodgrove Bank ha comenzado la implementacin de Windows Server 2008. La organizacin ha implementado

varios controladores de dominio en su sede corporativa y se prepara para implementar controladores de dominio endiversas sucursales. El administrador de la empresa cre un diseo que requiere que se implementen controladoresde dominio de slo lectura en servidores con Windows Server 2008 en todas las sucursales. Su tarea implicaimplementar un controlador de dominio en una sucursal que cumpla con los requisitos ya mencionados.


30/427

Ejercicio 1: Evaluacin de la preparacin del bosque y del servidor parainstalar un RODC


31/427

Ejercicio 1: Evaluacin de la preparacin del bosque y del servidor para instalar un RODC

En este ejercicio, se evaluar la preparacin del bosque y del servidor para instalar un RODC. Se preparar tambin elbosque para la instalacin. Adems, se examinar la configuracin de un servidor con Server Core para garantizar quecumpla con los requisitos previos para la instalacin del RODC.

Nota: Debido a las limitaciones del entorno del laboratorio virtual, instalar el RODC en el mismo sitio que en el de los

controladores de dominio existentes. En un entorno de produccin, llevara a cabo los mismos pasos incluso si elRODC se encontrara en un sitio diferente.

Las principales tareas se realizarn como se detalla a continuacin:

Iniciar las maquinas virtuales y luego iniciar sesin.1.

Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementacin de unRODC.

2.

Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.3.

Configurar los valores de la cuenta de equipo para el RODC.4.

Tarea 1: Iniciar las maquinas virtuales y luego iniciar sesin.

En el equipo host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, hagaclic en 6824A. Se inicia Iniciador de laboratorio.

1.

En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.2.


En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar.4.

Inicie sesin en NYC- DC1 y NYC-DC2 como Administrador , usando la contrasea Pa$$w0rd.5.

Inicie sesin en NYC-SVR1 como AdminLocal, usando la contrasea Pa$$w0rd.6.Minimice la ventana Iniciador de laboratorio.7.

Tarea 2: Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementacin de un RODC.

En NYC-DC1, abra Usuarios y equipos de Active Directory.1.

Vea las propiedades deWoodgroveBank.com y compruebe que tanto el nivel funcional del dominio como eldel bosque se encuentren establecidos como Windows Server 2003.

2.

Tarea 3: Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.

En Usuarios y equipos de Active Directory, compruebe las propiedades para NYC-DC1.1.

Compruebe que el nombre del sistema operativo sea Windows Server 2008 Enterprise.2.

Tarea 4: Configurar los valores de la cuenta de equipo para el RODC.

En NYC-SVR1, abra el Administrador del servicio.1.

Haga clic en Cambiar propiedades del sistema y en la ficha Nombre de equipo, cambie el nombre delequipo a TOR-DC1.

2.

Reinicie el equipo.3.

Resultado: Al finalizar este ejercicio habr comprobado que el dominio y el equipo estn listos para instalar un RODC.

Ejercicio 1: Respuestas claves (pasos detallados)


32/427

Ejercicio 2: Instalacin y configuracin de un RODC

Ejercicio 2: Instalacin y configuracin de un RODC

En este ejercicio, se instalar la funcin del servidor del RODC en el equipo con Windows Server 2008. Para llevar acabo tal proceso, se realizar una preparacin preliminar en la cuenta de equipo que el RODC usar. Como parte dedicha preparacin preliminar, se configurar un grupo administrativo con permisos para instalar el controlador dedominio. Una vez finalizada la instalacin, se comprobar que la instalacin haya finalizado correctamente. Adems seconfigurarn directivas de replicacin de contraseas para usuarios que inicien sesin en el controlador de dominio.


Realizar la preparacin preliminar en la cuenta de equipo para el RODC.1.

Iniciar sesin en TOR-DC1 como Administrador .2.

Instalar el RODC usando la cuenta existente. Usar WoodgroveBank\Axel como la cuenta con las credencialespara llevar a cabo la instalacin.

3.

Comprobar la instalacin correcta del controlador de dominio.4.

Configurar una directiva de replicacin de contraseas que permita que las credenciales se almacenen en lamemoria cach para todas las cuentas de usuarios en Toronto.5.

Tarea 1: Realizar la preparacin preliminar de la cuenta de equipo para el RODC.


Haga clic con el botn secundario en la unidad de organizacin de los controladores de dominio y en Crearpreviamente una cuenta de controlador de dominio de slo lectura.

2.

Complete el Asistente para instalacin de los servicios de dominio de Active Directory usando las siguientesselecciones:

3.

Usar la instalacin de modo avanzado1.

Usar las credenciales actuales.2.

Nombre de equipo: TOR-DC13.

Sitio predeterminado4.

Instalar solamente las opciones de DNS y RODC5.

Delegar permiso a Axel Delgado para instalar el RODC.6.

Tarea 2: Iniciar sesin en TOR-DC1 como AdminLocal

Inicie sesin como AdminLocal usando la contrasea Pa$$w0rd.

Tarea 3: Instalar el RODC usando la cuenta existente. Use WoodgroveBank\Axel como la cuenta con las credenciales para llevar acabo la instalacin.

En TOR-DC1, abra un smbolo de sistema y escriba dcpromo /UseExistingAccount:Attach y luego presioneENTRAR:

1.

Complete el Asistente para instalacin de Servicios de dominio de Active Directory usando las siguientesselecciones:mama

2.

Usar la instalacin en modo avanzado1.

Escriba Axel como la credencial alternativa2.

Use TOR-DC1 como el nombre del equipo3.

Use NYC-DC1.WoodgroveBank.com como el controlador de dominio de origen4.

Acepte la ubicacin predeterminada para la base de datos, archivos de registro y archivos de SYSVOL.5.


33/427

Use Pa$$w0rd como la Contrasea de administrador del modo de restauracin de servicios de directorio6.

Reiniciar el equipo una vez que finaliza la instalacin.3.

Tarea 4: Comprobar la instalacin correcta del controlador de dominio.

Despus de que TOR-DC1 se reinicia, inicie sesin como Axel con la contrasea Pa$$w0rd.1.

En el Administrador del servidor, compruebe que la funcin del servidor de Servicios de dominio de Active

Service est instalada.

2.

Compruebe que todos los servicios requeridos se estn ejecutando.3.

En Usuarios y equipos de Active Directive, compruebe que TOR-DC1 se encuentra en la unidadorganizativa de los controladores de dominio.

4.

Compruebe que no cuente con el permiso para agregar o quitar objetos de dominio.5.

En Sitios y servicios de Active Directory, compruebe que TOR-DC1 aparezca en la lista de servidores parael Default-First-Site-Name.

6.

Compruebe las NTDS Settings para TOR-DC1. Confirme que se hayan creado los objetos de conexin.7.

Compruebe las NTDS Settings para NYC-DC1. Confirme que no se hayan creado objetos de conexin para lareplicacin con TOR-DC1.8.

Abra el Visor de eventos. En el registro de Servicio de directorio, busque y vea un mensaje con unidentificador del suceso de 1128. Dicho identificador comprueba que se haya creado un objeto de conexin dereplicacin entre NYC-DC1 y TOR-DC1.

9.

Tarea 5: Configurar una directiva de replicacin de contraseas que permita que las credenciales se almacenen en la memoriacach para todas las cuentas de usuario en Toronto.

En NYC-DC1, en Usuarios y equipos de Active Directory, ingrese al cuadro de dilogo Propiedades deTOR-DC1.

1.

Agregue todos los grupos de Toronto a la directiva de replicacin de contraseas.2.

Resultado: Al finalizar este ejercicio, se habr instalado un RODC y configurado la directiva de replicacin decontraseas de RODC para el RODC.



34/427

Ejercicio 3: Configuracin de funciones de controladores de dominio deAD DS

Ejercicio 3: Configuracin de funciones de controladores de dominio de AD DS

En este ejercicio, se configurar el RODC instalado en el ejercicio anterior como un servidor de catlogo global.Adems se asignarn funciones de maestro de operaciones a un controlador de dominio adicional en el dominio.


Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catlogo global.1.

Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para eldominio WoodgroveBank.com.

2.

Agregar el atributo Departamento al catlogo global.3.

Cerrar todos las mquinas virtuales y descartar los discos para deshacer.4.

Tarea 1: Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catlogo global.

En NYC-DC1, en Sitios y servicios de Active Directory, localice la cuenta de equipo TOR-DC1.1.

Ingrese a NTDS Settings y seleccione la casilla Catlogo global.2.

Tarea 2: Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominioWoodgroveBank.com.

En NYC-DC1, en Usuarios y equipos de Active Directory, cambie el foco de la consola aNYC-DC2.WoodgroveBank.com y luego haga clic en Aceptar.

1.

Haga clic con el botn secundario en WoodgroveBank.com y luego en Maestro de operaciones. Transfierala funcin de maestro de infraestructura aNYC-DC2.WoodgroveBank.com.

2.

En NYC-DC2, abra Dominios y confianzas de Active Directory. Ingrese a las configuraciones de Maestrode operaciones y transfiera la funcin de maestro de operaciones de nombres de dominio a NYC-DC2.

3.

Tarea 3: Agregar el atributo Departamento al catlogo global

En NYC-DC1, use regsvr32 schmmgmt.dll para registrar el complemento de Esquema de Active Directory.1.

Cree una nueva consola de Administracin de Microsoft (MMC) y agregue el complemento de Esquema deActive Directory.

2.

En el Esquema de Active Directory, ingrese al atributo Department y configure el atributo para replicar alCatlogo global.

3.

Tarea 4: Cerrar todas las mquinas virtuales y descartar todos los cambios.

Por cada equipo virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la mquinavirtual.

1.

En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar.2.

Cierre el Iniciador de laboratorio 6824A.3.

Resultado: Una vez finalizado el ejercicio, se habr configurado un servidor de catlogo global y configurado las funcionesde controladores de dominio de AD DS.



35/427

Revisin del laboratorio


Preguntas de revisin

Se implementar un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidoresaltamente segura por lo tanto le preocupa la seguridad del servidor. Qu dos caractersticas de WindowsServer 2008 se pueden aprovechar para mejorar la seguridad de la implementacin del controlador dedominio?

1.

Se debe crear un nuevo dominio al instalar un controlador de dominio en su infraestructura de Active Directory.

Se revisar la lista de inventario de servidores disponibles para este propsito. Cules de los siguientesequipos pueden usarse como un controlador de dominio?

2.

Windows Server 2008 Edicin Web, sistema de archivos NTFS, 1 gigabyte (GB) de espacio disponible en eldisco duro, TCP/IP.

1.

Windows Server 2008 Edicin Enterprise, sistema de archivos NTFS, 500 megabytes (MB) de espaciodisponible en el disco duro, TCP/IP.

2.

Windows Server 2008 Server Core Edicin Enterprise, sistema de archivos NTFS, 1GB de espacio disponibleen el disco duro, TCP/IP.

3.

Windows Server 2008 Edicin Standard, sistema de archivos NTFS, 500 MB de espacio disponible en el discoduro, TCP/IP.

4.

Se implementar un RODC en una sucursal. Se necesita asegurar que todos los usuarios en la sucursal puedanautenticar incluso si la conexin WAN desde la sucursal no est disponible. Podrn hacerlo solamente losusuarios que generalmente inician sesin en la sucursal? Cmo se configurara la directiva de replicacin decontraseas?

3.

Se necesita instalar un controlador de dominio usando la instalacin desde la opcin de medios. Qu pasosse debern tomar para completar este proceso?

4.

Se implementarn RODC en su entorno de AD DS? Describa el escenario de implementacin.5.

Se implementar un controlador de dominio en una sucursal. La sucursal cuenta con una conexin WAN con lacasa matriz que cuenta con muy poco ancho de banda disponible y no es muy confiable. Se deber configurar

el controlador de dominio de la sucursal como un servidor de catlogo global?

6.

Se implementar un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidoresaltamente segura por lo tanto le preocupa la seguridad del servidor. Qu dos caractersticas de WindowsServer 2008 se pueden aprovechar para mejorar la seguridad de la implementacin del controlador dedominio?

7.


36/427

Observaciones

Tenga en cuenta las siguientes observaciones cuando se implementan los RODC y se administran las funciones decontroladores de dominio:

Se puede instalar la funcin del servidor de AD DS en todas las ediciones de Windows Server 2008exceptuando la edicin Windows Server 2008 Web Server Edition.

Se debe tener en cuenta la instalacin de un RODC en un equipo con Server Core de Windows Server 2008para brindar seguridad adicional a su entorno de dominio.

Para instalar AD DS en un equipo con Server Core, se debe usar una instalacin desatendida.

Se deben planear con cautela las directivas de replicacin de contraseas en su organizacin. Si se permiteque las credenciales se almacenen en una memoria cach para la mayora de las cuentas en su dominio,aumentar el impacto a su organizacin si el RODC ha sido vulnerado. En caso contrario, aumentar el impactoa la sucursal si el vnculo de WAN con la casa matriz no se encuentra disponible.

En la mayora de los casos, implementar un servidor de catlogo global en un sitio mejorar la experiencia deinicio de sesin para los usuarios. No obstante, implementar un catlogo global en una sucursal remota tambinaumenta la red usada para la replicacin.

Las funciones de maestro de operaciones brindan importantes servicios en una red pero por lo general stosno son de mayor prioridad temporal. Generalmente, si se produce un error en un controlador de dominio quedesempea una funcin de maestro de administrador, no resulta necesario que inmediatamente otrocontrolador de dominio asuma la funcin si se produce un error en el servidor puede repararse en pocas horas.


37/427

Modulo 2 : Configuracin del Servicio de nombres de dominio paraServicios de dominio de Active Directory

Mdulo 2

Configuracin del Servicio de nombres de dominio para Servicios dedominio de Active Directory

El Sistema de nombre de dominio (DNS) es un componente de los Servicios de dominio de Active Directory (AD DS)para Windows Server2008. Al comprender la relacin entre estas aplicaciones, se pueden resolver problemas de ADDS y aumentar la seguridad, mientras se brindan a los clientes todas las funciones del DNS.

Leccin 1: Descripcin general de la integracin de Servicios de dominio de Active Directory y DNSLeccin 2: Configuracin de las zonas integradas de AD DSLeccin 3: Configuracin de zonas DNS de slo lecturaLaboratorio: Configuracin de la integracin de AD DS y DNS


38/427

Leccion 1 : Descripcin general de la integracin de Servicios de dominiode Active Directory y DNS

Leccin 1:

Descripcin general de la integracin de Servicios de dominio de ActiveDirectory y DNS

Windows Server2008 requiere que haya una infraestructura DNS antes de instalar AD DS. Comprender cmo seintegran DNS y AD DS y de qu manera los equipos cliente usan DNS durante el inicio de sesin ayudar a resolverinconvenientes relacionados con DNS, como problemas de inicio de sesin del cliente.


39/427

Integracin de los Servicios de dominio de Active Directory y espacio denombres DNS

Integracin de los Servicios de dominio de Active Directory y espacio de nombres DNS

Puntos clave

En los espacios de nombres DNS, los dominios y equipos estn representados mediante registros de recursos; y enlos espacios de nombres de Active Directory, estn representados por objetos de Active Directory. Todos losdominios de Active Directory deben poseer sus correspondientes dominios DNS con nombres de dominio idnticos.Los clientes usan DNS para resolver nombres de host para direcciones IP a fin de buscar controladores de dominio yotros equipos que brindan servicios AD DS y otros servicios de red.

Active Directory requiere DNS; pero no requiere ningn tipo de servidor DNS particular. Por lo tanto, puede habervarios tipos de servidores DNS distintos.

Pregunta: Cul es la relacin entre los nombres de dominio de Active Directory y los nombres de zona DNS?

Material de lectura adicional:

Integracin de Active Directory

Integracin de DNS


40/427

Qu son los Registros localizadores de recursos de servicios?

Qu son los Registros localizadores de recursos de servicios?

Puntos clave

A fin de que AD DS funcione correctamente, los equipos cliente deben poder localizar servidores que brindenservicios especficos; como solicitudes de autenticacin de inicio de sesin, y servicios Telnet o de protocolo de iniciode sesin [Session Initiated Protocol, SIP] Los clientes de AD DS y los controladores de dominio usan Registros derecursos de servicios (SRV) para determinar las direcciones IP de los equipos que brindan estos servicios. Lasaplicaciones site-aware de AD DS, como Microsoft Exchange, tambin usan registros de recursos SRV.

Pregunta: En el siguiente ejemplo de dos registros de recursos SRV: Qu registro usar un cliente que consultasobre un servicio SIP?

_sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.



Administracin de registros de recursos

RFC 2782 Un registro de recursos DNS para especificar la ubicacin de servicios (DNS SRV)


41/427

Demostracin: Registros SRV registrados por controladores de dominio deAD DS

Demostracin: Registros SRV registrados por controladores de dominio de AD DS

Preguntas:

Cul es el beneficio de replicar la zona mscdcs a todo el bosque?

Cmo podra privilegiarse un registro de recursos SRV sobre otro?


42/427

Cmo se usan los Registros localizadores de recursos de servicios

Cmo se usan los Registros localizadores de recursos de servicios

Puntos clave

Los equipos cliente de dominio usan la interfaz de programacin de aplicaciones de localizacin (API) para localizar uncontrolador de dominio consultando el DNS. Si los registros de recursos SRV no se encuentran disponibles paraidentificar los controladores de dominio, es posible que no se pueda iniciar sesin. Todos los equipos, incluso lasestaciones de trabajo como los sistemas operativos Windows XP Professional y Windows Vista, y los servidores,como los sistemas operativos Windows Server2003 y Windows Server 2008, usan el mismo proceso para localizarcontroladores de dominio.


Cmo se encuentran los controladores de dominio en Windows XP

Domain Controller Location Process (Proceso de localizacin de controladores de dominio)


43/427

Integracin de registros de localizadores de servicios y sitios AD DS

Integracin de registros de localizadores de servicios y sitios AD DS

Puntos clave

Durante una bsqueda de controlador de dominio, el Localizador intenta hallar un controlador de dominio en el sitioms cercano al cliente. El controlador de dominio usa la informacin almacenada en Active Directory para determinar elsitio ms cercano. En la mayora de los casos, el controlador de dominio que primero responda al cliente ser el quese encuentre en el mismo sitio que ste. No obstante, en aquellos casos en que se haya modificado la ubicacin fsicadel equipo o el controlador de dominio del sitio local no est disponible, existe un proceso para hallar otro controladorde dominio.

Durante el inicio del Net Logon, el servicio de Net Logon de todos los controladores de dominio enumera los objetosdel sitio en el Contenedor de configuracin. Net Logon usa informacin del sitio para generar una estructura enmemoria que se usa para asignar direcciones IP a nombres de sitios.


Finding a Domain Controller in the Closest Site (Encontrar un controlador de dominio en el sitio ms cercano)


44/427

Leccion 2 : Configuracin de las zonas integradas de AD DS

Leccin 2:

Configuracin de las zonas integradas de AD DS

Integrar las zonas AD DS y DNS puede simplificar la administracin de DNS al replicar la informacin de zona DNScomo parte de la replicacin de Active Directory. Tambin brinda beneficios como actualizaciones dinmicas seguras ycaducidad y reorganizacin de registros de recursos obsoletos.


45/427

Qu son las zonas integradas de AD DS?

Qu son las zonas integradas de AD DS?

Puntos clave

Una ventaja de integrar DNS y AD DS es la posibilidad de integrar zonas DNS en una base de datos de ActiveDirectory. Una zona es una parte del espacio de nombres de dominio que posee una agrupacin lgica de registros derecursos; lo que permite la transferencia de zonas de dichos registros para que funcionen como una unidad.


Integracin de Active Directory


46/427

Qu son las particiones de aplicacin en AD DS?

Qu son las particiones de aplicacin en AD DS?

Puntos clave

Existen tres particiones principales que contienen informacin AD DS.

La particin de esquema, que replica la informacin del esquema a todo el bosque.La particin de configuracin, que replica la informacin sobre la estructura fsica a todo el bosque.La particin de dominio, que replica la informacin de dominio a todos los controladores de dominio de undeterminado dominio.


Replicacin de zonas DNS en Active Directory


47/427

Opciones para configurar las particiones de aplicacin de DNS

Opciones para configurar las particiones de aplicacin de DNS

Puntos clave

Es posible modificar el mbito de replicacin DNS en cualquier momento mediante la Consola de administracin DNSde Microsoft (MMC) o la herramienta de lnea de comandos DNSCMD. Si se usa MMC DNS, existen las siguientesopciones de replicacin:

A todos los servidores DNS del bosque.

A todos los servidores DNS del dominio. (Esta es la ubicacin de almacenamiento predeterminada).

A todos los controladores de dominio del dominio. (Esta es la particin de informacin de dominio).

A todos los controladores de dominio que sirven de host a una particin de aplicacin particular.


Replicacin de zonas DNS en Active Directory


48/427

Cmo funcionan las actualizaciones dinmicas

Cmo funcionan las actualizaciones dinmicas

Puntos clave

Las actualizaciones dinmicas permiten que los equipos cliente de DNS registren y actualicen dinmicamente susregistros de recursos con un servidor DNS cada vez que haya cambios. Esto disminuye la necesidad de administrarregistros de zona manualmente; en especial para clientes que mueven o cambian las ubicaciones con frecuencia yusan Protocolo de configuracin dinmica de host (DHCP) para obtener direcciones IP.


Actualizacin dinmica


49/427

Cmo funcionan las actualizaciones dinmicas seguras de DNS

Cmo funcionan las actualizaciones dinmicas seguras de DNS

Puntos clave

Las actualizaciones dinmicas seguras funcionan igual que las actualizaciones dinmicas excepto: que el servidor denombre autoritativo acepte slo actualizaciones de clientes y servidores autenticados y unidos al dominio ActiveDirectory en el que se encuentra el servidor DNS.

Como puede observarse en la diapositiva, el cliente primero intenta realizar una actualizacin no segura. Si se produceun error al intentarlo, el cliente luego intenta negociar una actualizacin segura. Si el cliente ha recibido la autenticacin

de AD DS, la actualizacin tendr xito.Pregunta: Cules son los beneficios de usar zonas DNS integradas de Active Directory?


50/427

Demostracin: Configuracin de las zonas integradas de AD DS

Demostracin: Configuracin de las zonas integradas de AD DS

Preguntas:

Cmo podra evitarse que un equipo se registrara en la base de datos de DNS?

Cules seran las implicancias de no permitir las actualizaciones dinmicas?

Al usar actualizaciones dinmicas seguras, cmo puede controlarse qu clientes estn autorizados a actualizar losregistros DNS?


51/427

Cmo funciona la carga de zonas en segundo plano

Cmo funciona la carga de zonas en segundo plano

Puntos clave

Las organizaciones muy grandes que poseen zonas extremadamente grandes para almacenar sus datos DNS en ADDS, suelen darse cuenta de que el reinicio de un servidor DNS puede demorar una hora o ms, mientras se recuperanlos datos DNS del servicio de directorio. Como consecuencia, el servidor DNS efectivamente no se encuentradisponible para satisfacer las solicitudes del cliente durante el tiempo que demora en cargar las zonas basadas en ADDS.


Funcin del servidor DNS


52/427

Leccion 3 : Configuracin de zonas DNS de slo lectura

Leccin 3:

Configuracin de zonas DNS de slo lectura

Es posible brindar seguridad adicional configurando zonas DNS de slo lectura ya que slo un administrador puedecambiar este tipo de zonas. Aunque el personal no autorizado no puede modificar registros del controlador de dominiode slo lectura (RODC), los clientes cuentan con todas las funciones de la resolucin de nombres de Active Directory.


53/427

Qu son las zonas DNS de slo lectura?

Qu son las zonas DNS de slo lectura?

Puntos clave

Al instalar un RODC para Windows Server 2008, se presentan las opciones de instalacin del servidor DNS. La opcinpredeterminada es instalar un formulario principal de slo lectura de servidor DNS localmente en el RODC, que replicala zona integrada de AD existente para el dominio especificado y agrega la direccin IP local como servidor DNSpreferido en la configuracin TCP/IP local. Esto garantiza que el servidor DNS que opera en el RODC posea una copiade slo lectura completa de todas las zonas DNS.




54/427

Cmo funciona el DNS de slo lectura

Cmo funciona el DNS de slo lectura

Puntos clave

Cuando un equipo se transforma en un RODC, replica una copia completa de slo lectura de todas las particiones deldirectorio de aplicaciones que usa el DNS, incluyendo la particin de dominio, ForestDNSZones y DomainDNSZones.Esto garantiza que el servidor DNS que opera en el RODC posea una copia de slo lectura completa de todas laszonas DNS almacenadas en un controlador de dominio central en esas particiones de directorio. El administrador de unRODC puede visualizar el contenido de una zona principal de slo lectura. Sin embargo, el administrador puedemodificar el contenido cambiando la zona de un servidor DNS con una copia grabable de la base de datos de DNS.

Pregunta: Cmo aumenta la seguridad el RODC?




55/427

Discusin: Comparacin de opciones de DNS para sucursales

Discusin: Comparacin de opciones de DNS para sucursales

Puntos clave

Responda las preguntas en un debate en clase.


Cmo funcionan las consultas DNS


56/427

Laboratorio: Configuracin de la integracin de AD DS y DNS

Laboratorio: Configuracin de la integracin de AD DS y DNS

Escenario

El Woodgrove Bank es una empresa que tiene oficinas en muchas ciudades del mundo. Woodgrove Bank tienerelaciones comerciales con otras dos empresas: Fabrikam Inc. y Contoso Inc. Woodgrove Bank ha adquirido copiasde los archivos de zona DNS de dichas s compaas. Todos los empleados del bosque Woodgrove Bank necesitantener acceso a los registros DNS de Contoso Inc. Slo los empleados del dominio Woodgrove Bank necesitan teneracceso a los archivos DNS de Fabrikam Inc. La sucursal de Woodgrove Bank posee un controlador de dominio deslo lectura. Dicho controlador de dominio se configurar para admitir tanto el servicio del servidor DNS como la

totalidad de las zonas DNS de todo el bosque y de todo el dominio. El administrador de la empresa ha creado undocumento de diseo para la configuracin DNS. El diseo incluye la configuracin de: las zonas integradas de ADDS, las actualizaciones dinmicas de DNS y las zonas DNS de slo lectura.


57/427

Ejercicio 1: Configuracin de zonas integradas de Active Directory

Ejercicio 1: Configuracin de zonas integradas de Active Directory

En este ejercicio, se configurarn las zonas DNS del entorno Woodgrove Bank de manera tal que cumplan losrequisitos de diseo. Se comprobarn los registros de recursos SRV que hayan registrado todos los controladores dedominio y se crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet. Tambin semodificarn las zonas DNS a fin de examinar la diferencia entre zonas integradas de Active Directory y zonas estndar,y se configurarn actualizaciones dinmicas y el mbito de replicacin. Luego se usar la consola de administracin deedicin de ADSI para visualizar los registros de DNS almacenados en la particin de dominio.


Iniciar el controlador de dominio e inicie la sesin como Administrador.1.

Examinar los registros de recursos SRV.2.

Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet NYC-SRV2.3.

Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso.4.

Configurar las dos zonas nuevas de manera tal que sean integradas de Active Directory y asegrese de que nose permitan actualizaciones dinmicas.5.

Configurar el mbito de replicacin de la zona Contoso de manera tal que abarque todo el bosque, y la zonaFabrikam para que abarque todo el dominio.

6.

Usar ADSI Edit.exe para visualizar zonas DNS integradas de Active Directory.7.

Tarea 1: Iniciar NYC-DC1 e iniciar la sesin como Administrador

Inicie NYC-DC1 e inicie la sesin como Administrador con la contrasea Pa$$w0rd.

Tarea 2: Examinar los registros de recursos SRV

Abra la consola Administrador de DNS, expanda las Zonas de bsqueda directa y luego haga clic en_msdcs.woodgrovebank.com.

1.

Expanda la carpeta GC -> _TCP.2.

Expanda la carpeta DC -> _TCP.3.

Abra Propiedades de _msdcs.woodgrovebank.com.4.

Cierre la pgina Propiedades.5.

Tarea 3: Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet en NYC-SRV2

Haga clic con el botn secundario en la zona_msdsc.woodgrovebank.com y luego haga clic en Registrosnuevos.

1.

Seleccione el tipo de registro Registro de servicio (SRV) y haga clic en Crear registro.2.

En el campo Servicios, seleccione_telnet en la lista desplegable. En el campo Host que ofrece esteservicio, escriba NYC-SRV2.woodgrovebank.com, haga clic en Aceptar y luego en Realizado.

3.

Tarea 4: Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso

Use el Explorador de Windows para copiar los archivos Contoso.com.dns y Fabrikam.com.dns de D:\6824\Allfiles\Mod02\Labfiles a C:\Windows\System32\DNS . Deje abierta la ventana del Explorador de Windows.

1.

Use la consola Administrador de DNS para crear una nueva zona principal estndar llamada Contoso.comusando el archivo existente Contoso.com.dns.

2.

Cree una nueva zona principal estndar llamada Fabrikam.com usando el archivo existente Fabrikam.com.dns.3.

Tarea 5: Configurar las zonas de Contoso y Fabrikam de manera tal que sean integradas de Active Directory y asegurarse de que


58/427

no se permitan actualizaciones dinmicas.

Abra la pgina de propiedades de Contoso.com.1.

Cambie el tipo de zona de manera tal que se almacene en Servicios de dominio de Active Directory.2.

Regrese a la ventana del Explorador de Windows. Observe que el archivo de zona Contoso.com.dns ya nose encuentra en la carpeta DNS. Ahora est almacenado en Servicios de dominio de Active Directory.

3.

Regrese a la pgina de propiedades de la zona Woodgrovebank.com y configure las Actualizaciones

dinmicas en Ninguna.

4.

Repita los pasos 1 a 4 para la zona Fabrikam.com.5.

Tarea 6: Configurar el mbito de replicacin de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam paraque abarque todo el dominio

Abra la pgina de propiedades de Contoso.com.1.

Cambie el mbito de replicacin de manera tal que sea Para todos los servidores DNS en este bosque.2.

Abra la pgina de propiedades de Fabrikam.com.3.

Asegrese de que la configuracin del mbito de replicacin de la zona Fabrikam sea Para todos losservidores DNS en este dominio.4.

Tarea 7: Usar ADSI Edit.exe para ver zonas DNS integradas de Active Directory

Desde el comando Ejecutar, inicie adsiedit.msc .1.

Haga clic con el botn secundario en Editor ADSI y luego en Conectar a.2.

En la seccin Punto de conexin, haga clic en Seleccione o escriba un nombre distintivo o un contextode nomenclatura.

3.

Escriba DC=DomainDNSZones,DC=WoodgroveBank,DC=Comy haga clic en Aceptar.4.

Expanda el contexto de nomenclatura, expanda CN=MicrosoftDNS, haga clic en DC=Woodgrovebank.com yluego examine los registros.

5.

Haga doble clic en el registro de NYC-DC1.6.

Cierre todas las pginas de propiedades y la consola de Administracin ADSI.7.

Resultado: Al final de este ejercicio, habr creado zonas DNS integradas de Active Directory



59/427

Ejercicio 2: Configuracin de zonas DNS de slo lectura

Ejercicio 2: Configuracin de zonas DNS de slo lectura

En este laboratorio, configurar una zona DNS de slo lectura en un RODC y comprobar actualizaciones dinmicas yadministrativas.

Las principales tareas consisten en configurar zonas DNS de slo lectura en el RODC que sean compatibles conFabrikam.


Iniciar el controlador de dominio de slo lectura e iniciar la sesin como Administrador .1.

Instalar el servicio de Servidor DNS2.

Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todoel bosque.

3.

Cerrar todas las mquinas virtuales y descartar todos los cambios.4.

Tarea 1: Iniciar el controlador de dominio de slo lectura e iniciar la sesin como Administrador

Inicie el controlador de dominio de slo lectura e inicie la sesin como Administrador con la contraseaPa$$w0rd.

Tarea 2: Instalar el servicio de Servidor DNS

Use Start /w ocsetup DNS-Server-Core-Role para instalar la funcin del servidor DNS.

Nota: El nombre de la funcin del servidor distingue maysculas de minsculas.

Tarea 3: Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque.

Desde el Smbolo del sistema, escriba el siguiente comando:Dnscmd /enlistdirectorypartitionDomainDnsZones.woodgrovebank.com

1.

A continuacin escriba el siguiente comando:Dnscmd /enlistdirectorypartitionForestDnsZones.woodgrovebank.com

2.

Cambie a NYC-DC1 y luego abra la consola de administracin DNS.3.

Agregue el equipo MIA-RODC a la consola DNS y asegrese de que aparezcan todas las zonas DNS.4.

Nota: El nombre de la funcin del servidor distingue maysculas de minsculas.

Tarea 4: Cerrar todas las mquinas virtuales y descartar los cambios

Resultado: Al finalizar este ejercicio, habr configurado el servidor DNS de manera tal que sea compatible con latotalidad de las zonas de todo el dominio y de todo el bosque.



60/427

Revision del laboratorio


Preguntas de revisin

Cmo determina el equipo de un cliente en qu sitio se encuentra?1.

Enumere al menos tres beneficios de las zonas integradas de Active Directory.2.

En el siguiente ejemplo de dos registros de recursos SRV: Qu registro usar un cliente que consulta sobreun servicio SIP?

3.



Qu permisos se necesitan para crear particiones del directorio de aplicaciones DNS?4.

Qu utilidades estn disponibles para crear particiones de aplicacin?5.

Cul es el estado predeterminado de las actualizaciones dinmicas de una zona integrada de ActiveDirectory?

6.

Cul es el estado predeterminado de las actualizaciones dinmicas de una zona principal estndar?7.

Qu grupos tienen permiso para realizar actualizaciones dinmicas?8.

Observaciones

Al configurar la integracin AD DS y DNS, recuerde que:

Dado que tanto los clientes de Windows Server 2008 como de Active Directory dependen de DNS, el primerpaso para la solucin de problemas de Active Directory suele ser solucionar los problemas de DNS.

Los registros de localizadores de servicios son crticos para el correcto funcionamiento de Active Directory.

Los registros de localizadores de servicios deben estar disponibles en todo momento.

Windows Server 2008 puede operar con cualquier servidor DNS compatible; pero las zonas integradas de

Active Directory brindan caractersticas y seguridad adicional.

Las zonas integradas de Active Directory pueden replicarse a todo el bosque o todo el dominio, o acontroladores de dominio especficos a travs de particiones de aplicacin personalizadas.

Los registros DNS internos deben ser independientes de los registros DNS pblicos.


61/427

Las actualizaciones dinmicas aligeran la sobrecarga administrativa que implica el mantenimiento de la base dedatos de la zona DNS.

Las actualizaciones dinmicas pueden ser exclusivas de Usuarios autenticados.

La carga de zonas de segundo plano reduce el tiempo de demora de los servidores DNS en estar disponiblestras un reinicio.

Se pueden usar DNS de slo lectura junto con controladores de dominio de slo lectura para brindar seguridadsin dejar de ofrecer las funciones solicitadas por el cliente.


62/427

Modulo 3 : Configuracin de objetos y confianzas de Active Directory

Mdulo 3

Configuracin de objetos y confianzas de Active Directory

Luego de la implementacin inicial de Servicios de dominio de Active Directory(AD DS), las tareas ms frecuentesque realiza un administrador de AD DS son la configuracin y la administracin de los objetos de AD DS. En la mayora

de las organizaciones, cada empleado recibe una cuenta de usuario que ser agregada a uno o varios grupos en losAD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,tales como los sitios web, los buzones de correo y las carpetas compartidas.

Este mdulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles paradelegarlas o automatizarlas. Adems, este mdulo describe cmo configurar y administrar las confianzas de ActiveDirectory.

Leccin 1: Configuracin de los objetos de Active DirectoryLeccin 2: Estrategias para el uso de gruposLeccin 3: Automatizacin de la administracin de objetos de AD DSLaboratorio A: Configuracin de objetos de Active DirectoryLeccin 4: Delegacin del acceso administrativo a los objetos de AD DS

Leccin 5: Configuracin de las confianzas de AD DSLaboratorio B: Configuracin de la delegacin y las confianzas de Active Directory


63/427

Leccion 1: Configuracin de los objetos de Active Directory

Leccin 1:

Configuracin de objetos de Active Directory

Luego de la implementacin inicial de Servicios de dominio de Active Directory(AD DS), las tareas ms frecuentesque realiza un administrador de AD DS son la configuracin y la administracin de los objetos de AD DS. En la mayorade las organizaciones, cada empleado recibe una cuenta de usuario que ser agregada a uno o varios grupos en losAD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,tales como los sitios web, los buzones de correo y las carpetas compartidas.

Este mdulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles para

delegarlas o automatizarlas. Adems, este mdulo describe cmo configurar y administrar las confianzas de ActiveDirectory.


64/427

Tipos de objetos de AD DS

Tipos de objetos de AD DS

Puntos clave

Es posible crear varios objetos diferentes en Active Directory.


Ayuda para usuarios y equipos de Active Directory


65/427

Demostracin: Configuracin de las cuentas de usuario de AD DS

Demostracin: Configuracin de las cuentas de usuario de AD DS

Preguntas:

Cmo pueden crearse varios objetos de usuario con la misma configuracin para atributos tales como Departamentoy Ubicacin de la oficina?

En qu circunstancias es conveniente deshabilitar una cuenta de usuario en lugar de eliminarla?


66/427

Tipos de grupo de AD DS

Tipos de grupo de AD DS

Puntos clave

AD DS es compatible con dos tipos de grupo.




67/427

mbitos de grupo de AD DS

mbitos de grupo de AD DS

Puntos clave

Windows Server 2008 es compatible con los mbitos de grupo que se muestran en la diapositiva.


Ayuda para usuarios y equipos de Active Directory: Administracin de grupos


68/427

Grupos predeterminados de AD DS

Grupos predeterminados de AD DS

Puntos clave

Windows Server 2008 brinda numerosos grupos integrados que se crean automticamente al instalar un dominio deActive Directory. Los grupos integrados pueden usarse para administrar el acceso a los recursos compartidos y paradelegar las funciones administrativas especficas de Active Directory. Por ejemplo, es posible colocar la cuenta deusuario de un administrador de AD DS en un grupo de Operadores de cuenta a fin de que el administrador pueda crearcuentas y grupos de usuario.


Grupos predeterminados de Microsoft Technet


69/427

Identidades especiales de AD DS

Identidades especiales de AD DS

Puntos clave

Los servidores con Windows Server 2008 incluyen varias identidades especiales, conocidas generalmente comogrupos especiales o identidades especiales. Estas identidades se presentan de modo adicional a los grupos en loscontenedores de usuarios e integrados.


Artculo de Microsoft Technet: Identidades especiales de los archivos


70/427

Discusin: Uso de identidades especiales y grupos predeterminados

Discusin: Uso de identidades especiales y grupos predeterminados

Escenario

Woodgrove ve Bank posee ms de 100 servidores alrededor del mundo. Es necesario determinar si se pueden usargrupos predeterminados o si se pueden crear grupos y luego asignar derechos o permisos especf icos de usuario alos grupos para realizar las siguientes Tareas administrativas.

Se pueden asignar grupos predeterminados, identidades especiales o crear nuevos grupos para las siguientes tareas.Escriba el nombre del grupo predeterminado que posea los derechos de usuario ms restrictivos a fin de realizar las

siguientes acciones o determinar si puede crearse un nuevo grupo:Hacer una copia de seguridad y restaurar los controladores de dominio1.

Hacer una copia de seguridad de los archivos de los servidores miembro, sin restaurarlos2.

Crear grupos en la unidad organizativa Ventas3.

Conceder el acceso a una carpeta compartida a la que todos los empleados del Woodgrove Bank deben teneracceso. Los empleados se encuentran en dos dominios diferentes en el mismo bosque

4.

Conceder permisos administrativos a un usuario que ha iniciado sesin en un equipo cliente sin garantizar elacceso a los dems equipos. Los permisos deben aplicarse a todos los usuarios que inicien sesin en unequipo cliente en la organizacin

5.

Brindar acceso a los empleados de soporte tcnico para controlar el escritorio de manera remota6.

Brindar acceso administrativo a todos los equipos en el dominio completo7.

Brindar acceso a una carpeta compartida denominada Datos en un servidor denominado DEN-SRV18.

Administrar la cola de impresin de una impresora determinada del servidor de impresin9.

Establecer la configuracin de red en un servidor miembro10.


71/427

Demostracin: Configuracin de las cuentas de grupo de AD DS

Demostracin: Configuracin de las cuentas de grupo de AD DS

Preguntas:

Cules son las opciones disponibles para cambiar el mbito y el tipo de un grupo de AD DS?

Cules son los beneficios de asignar administradores de grupo? Establecera esta configuracin en suorganizacin?


Ayuda para usuarios y equipos de Active Directory: Administracin de grupos


72/427

Demostracin: Configuracin de objetos adicionales de AD DS

Demostracin: Configuracin de objetos adicionales de AD DS

Preguntas:

Cules son las razones para crear unidades organizativas?

Cules son los beneficios y limitaciones de usar objetos de la impresora y objetos de la carpeta compartida en ADDS?




73/427

Leccin 2: Estrategias para el uso de grupos

Leccin 2:

Estrategias para el uso de grupos

Los grupos de AD DS se usan para simplificar la administracin de AD DS al asignar acceso a los recursos. En lugarde asignar acceso a los recursos usando las cuentas de usuario, resulta ms ef icaz agregar usuarios a los grupos yluego asignar acceso a los grupos. Sin embargo, debido a la gran variedad de opciones de grupo y opciones deimplementacin de AD DS, es posible usar diversas estrategias para configurar grupos.


74/427

Opciones para asignar acceso a los recursos

Opciones para asignar acceso a los recursos

Puntos clave

Una de las razones principales para crear usuarios y grupos en AD DS es que los usuarios obtengan acceso a losrecursos compartidos, tales como las carpetas compartidas, los sitios de Windows SharePoint Services u otrasaplicaciones.


Artculo de Microsoft Technet: Selecting a Resource Authorization Method (Seleccionar un Mtodo deautorizacin de


75/427

Usar grupos de cuentas para asignar acceso a los recursos

Usar grupos de cuentas para asignar acceso a los recursos

Puntos clave

Al usar grupos de cuentas solamente para asignar acceso a los recursos, primero deben agregarse todas las cuentasde usuario a los grupos y luego, asignar al grupo un conjunto de permisos de acceso. Por ejemplo, un administradorpuede colocar todas las cuentas de usuarios contables en un grupo global denominado /GG-Todos los contadores yluego, asignarle a este grupo permisos de acceso a un recurso compartido. En un entorno de dominio nico, esposible usar grupos de dominio locales, globales o universales para asignar acceso a los recursos.


Artculo de Microsoft Technet: AG/ACL Method (Mtodo AG/ACL)


76/427

Discusin: Uso de grupos en un entorno de dominio nico y de dominiosmltiples

Discusin: Uso de grupos en un entorno de dominio nico y de dominios mltiples

Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario.

Ejemplo 1

Contoso, Ltd posee un dominio nico que se encuentra en Pars, Francia. Los gerentes de Contoso, Ltd necesitanobtener acceso a la base de datos Inventario para realizar su trabajo.

Pregunta: Cmo se puede garantizar el acceso de los gerentes a la base de datos Inventario?

Ejemplo 2

Contoso, Ltd determin que todo el personal de la divisin Contabilidad debe tener acceso total a los datos contables.Adems, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crearuna estructura de grupo para la divisin Contabilidad en su totalidad, que tambin abarque los departamentos Cuentaspor pagar y Cuentas por cobrar.

Pregunta: Cmo se puede garantizar el acceso requerido a los gerentes y que haya un mnimo de administracin?

Ejemplo 3

Contoso, Ltd se expandi para incluir operaciones en Amrica del Sur y Asia y actualmente posee tres dominios: el

dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso,mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominioContoso. Adems, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro.

Pregunta: Cmo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?


77/427

Discusin: Uso de grupos en un entorno de dominio nico y de dominiosmltiples

Discusin: Uso de grupos en un entorno de dominio nico y de dominios mltiples

Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario.

Ejemplo 1

Contoso, Ltd posee un dominio nico que se encuentra en Pars, Francia. Los gerentes de Contoso, Ltd necesitanobtener acceso a la base de datos Inventario para realizar su trabajo.

Pregunta: Cmo se puede garantizar el acceso de los gerentes a la base de datos Inventario?

Ejemplo 2

Contoso, Ltd determin que todo el personal de la divisin Contabilidad debe tener acceso total a los datos contables.Adems, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crearuna estructura de grupo para la divisin Contabilidad en su totalidad, que tambin abarque los departamentos Cuentaspor pagar y Cuentas por cobrar.

Pregunta: Cmo se puede garantizar el acceso requerido a los gerentes y que haya un mnimo de administracin?

Ejemplo 3

Contoso, Ltd se expandi para incluir operaciones en Amrica del Sur y Asia y actualmente posee tres dominios: el

dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso,mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominioContoso. Adems, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro.

Pregunta: Cmo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?


78/427

Leccin 3: Automatizacin de la administracin de objetos de AD DS

Leccin 3:

Automatizacin de la administracin de objetos de AD DS

En la mayora de los casos, es posible crear y configurar los objetos de AD DS por separado. Sin embargo, enalgunos casos, quiz sea necesario crear o modificar la configuracin de varios objetos simultneamente. Por ejemplo,si la organizacin contrata a un grupo numeroso de nuevos empleados, es posible que desee automatizar el procesode configuracin de las cuentas nuevas. Si su organizacin cambia de ubicacin, es posible que desee automatizar latarea de asignar nuevas direcciones y nmeros telefnicos a todos los usuarios. Esta leccin describe cmoadministrar varios objetos de AD DS.


79/427

Herramientas para automatizar la administracin de objetos de AD DS

Herramientas para automatizar la administracin de objetos de AD DS

Puntos clave

Windows Server 2008 ofrece herramientas que pueden usarse para crear o modificar mltiples cuentas de usuario demanera automtica en AD DS. Algunas de estas herramientas requieren del uso de un archivo de texto que incluyeinformacin acerca de las cuentas de usuario que desean crearse. Adems, pueden crearse scripts de WindowsPowerShell para agregar objetos o realizar cambios en los objetos de Active Directory.


80/427

Configuracin de objetos de AD DS usando las herramientas de la lnea decomandos

Configuracin de objetos de AD DS usando las herramientas de la lnea de comandos

Puntos clave

Usar estas herramientas de la lnea de comandos para configurar los objetos de AD DS.


81/427

Administracin de objetos de usuario con LDIFDE

Administracin de objetos de usuario con LDIFDE

Puntos clave

Es posible usar la herramienta de la lnea de comandos Ldifde para crear y realizar cambios en varias cuentas. Alaplicar la herramienta Ldifde, se usar un archivo de texto separado por lnea para brindar la informacin de entrada delcomando.


Artculo de Microsoft Technet: LDIFDE


82/427

Administracin de objetos de usuario con CSVDE

Administracin de objetos de usuario con CSVDE

Puntos clave

Es posible usar la herramienta de la lnea de comandos Csvde para crear mltiples cuentas en AD DS; sin embargo,slo es posible usar la herramienta Csvde para crear cuentas, no para modificarlas.


Artculo de Microsoft Technet: CSVDE


83/427

Qu es Windows Powershell?

Qu es Windows Powershell?

Puntos clave

Windows PowerShell es una tecnologa de automatizacin extensible y lnea de comandos que los programadores ylos administradores pueden usar para automatizar las tareas en un entorno de Windows. Windows PowerShell usa unconjunto de pequeos cdmlets que realizan cada uno una tarea especfica, aunque tambin es posible combinarlos enmltiples cdmlets para realizar tareas administrativas complejas.


Soporte tcnico de Microsoft: Windows PowerShell 1.0 Documentation Pack


84/427

Cmdlets de Windows PowerShell

Cmdlets de Windows PowerShell

Puntos clave

Aprender a usar Windows PowerShell es fcil gracias a la aplicacin de los Cmdlets. La segmentacin es consistenteen todos los cmdlets.


Windows PowerShell 1.0 Documentation Pack


85/427

Demostracin: Configuracin de objetos de Active Directory usandoWindows PowerShell

Demostracin: Configuracin de objetos de Active Directory usando Windows PowerShell

Preguntas:

Cules son las ventajas y desventajas de modificar los objetos de Active Directory usando los scripts de WindowsPowerShell?

De qu manera puede hacerse frente a las desventajas?


Blog de Windows PowerShell

Artculo de Microsoft Technet: Automatizacion con Windows PowerShell


86/427

Laboratorio A: Configuracin de objetos de Active Directory

Laboratorio A: Configuracin de objetos de Active Directory

Escenario

Woodgrove Bank cuenta con varios requisitos para administrar los objetos de Active Directory. Con frecuencia, laorganizacin contrata a internos que deben contar con permisos limitados y cuyas cuentas deben expirarautomticamente cuando el internado haya finalizado. Las cuentas de usuario deben establecerse con unaconfiguracin estndar que incluya valores como la configuracin del perfil de usuario y las unidades asignadas parasus carpetas particulares. La organizacin, adems, requiere grupos de AD DS que sern usados para asignarpermisos a una gran variedad de recursos de red. La organizacin deseara automatizar las tareas de administracin

de usuario y de grupo tanto como sea posible.


87/427

Ejercicio 1: Configuracin de objetos de AD DS

Ejercicio 1: Configuracin de objetos de AD DS

En este ejercicio, se instalarn las herramientas de administracin de Active Directory en un equipo con WindowsVista. Luego, estas herramientas sern usadas para configurar diversos objetos de AD DS en base a la informacinque brinde el departamento de Recursos Humanos (RR.HH.). Estas tareas incluyen la creacin de nuevas cuentas deusuario y la modificacin de cuentas de usuario ya existentes.

El departamento de RR.HH. ha solicitado los siguientes cambios en AD DS:

Crear nuevas cuentas de usuario para Kerim Hanif y Jun Cao. Las dos cuentas de usuario deben crearse en launidad organizativa Admin. TI .

Modificar la cuenta de usuario de Dana Birkby.


Iniciar las mquinas virtuales y luego iniciar sesin.1.

Crear nuevas cuentas de usuario.2.

Modificar las cuentas de usuario existentes3.

Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin

En la mquina host, haga clic en Inicio, dirjase a Todos los programas, seleccione Microsoft Learning yluego, haga clic en 6824A. Se inicia Iniciador de laboratorio.

1.


En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar.3.

Inicie sesin en NYC- DC1 como Administrador , usando la contrasea Pa$$w0rd.4.

Inicie sesin en NYC- CL1 como Administrador , usando la contrasea Pa$$w0rd.5.

Minimice la ventana Iniciador de laboratorio. Encienda 6824A-NYC-DC1 y luego, inicie sesin comoAdministrador usando lacontrasea Pa$$w0rd.

6.

Tarea 2: Crear nuevas cuentas de usuario


En la unidad organizativa AdminsTI, cree un nuevo usuario con los siguientes parmetros:2.

Nombre: Kerim

Apellido: HanifNombre completo: Kerim Hanif

Nombre de inicio de sesin de usuario: Kerim

Contrasea: Pa$$w0rd

Desactive la casilla El usuario debe cambiar la contrasea al iniciar una sesin de nuevo

En NYC-DC1, use la herramienta de la lnea de comandos Dsadd para crear una nueva cuenta de usuario a JunCao. La sintaxis del comando dsadd es:

3.

dsadd user "cn=Jun Cao,ou=adminsti,dc=WoodgroveBank,dc=com" -samid Jun -pwd Pa$$w0rd desc

Administrador

Tarea 3: Modificar las cuentas de usuario existentes

En NYC-DC1, cree una nueva carpeta en la unidad D llamada HomeDirs. Comparta la carpeta y luego,configure los Usuarios del dominio con los permisos del Colaborador.

1.


88/427

En la carpeta HomeDirs, cree una nueva carpeta llamada Marketing.2.

En Usuarios y equipos de Active Directory, busque la cuenta de Dana Birkby y luego, modifique laspropiedades de usuario de la siguiente manera:

3.

En la ficha General, configure:1.

Nmero de telfono: 555-555-0100

Oficina: Casa matriz

Correo electrnico: [email protected]

En la ficha Marcado, configure:2.

Permiso de acceso a redes: Permitir Acceso

En la ficha Cuenta, configure:3.

Horas de inicio de sesin: Configure las horas de inicio de sesin permitidas entre las 8 a.m. y las 5 p.m. yluego, haga clic en Aceptar.

En la ficha Perfil, configure:4.

Carpeta particular: Asigne la unidad H a:

\\NYC- DC1\HomeDirs\Marketing\%username%

En el Explorador de Windows, dirjase a D:\HomeDirs\Marketing. Asegrese de que se haya creado unacarpeta denominada Dana en la carpeta.

4.

En NYC-CL1, cierre sesin y luego inicie sesin como Dana usando la contrasea Pa$$w0rd. Confirme que launidad H: ha sido correctamente asignada y que Dana tiene permiso para crear archivos en su carpetaparticular.

5.

Resultado: Al finalizar este ejercicio, habr configurado los objetos de Active Directory.



89/427

Ejercicio 2: Implementacin de una estrategia de grupo de AD DS

Ejercicio 2: Implementacin de una estrategia de grupo de AD DS

En este ejercicio, se revisarn los requisitos para la creacin de grupos en Woodgrove Bank. Adems, podr crear losgrupos solicitados y configurar la anidacin de grupo.


Encienda la mquina virtual 6824A-LON-DC1 y luego inicie sesin como Administrador.1.

Revise la documentacin de requisitos del grupo y c

curso 6824a_reducido

Documents