curso 6824a_reducido
TRANSCRIPT
-
8/6/2019 curso 6824A_reducido
1/427
Curso 6824A - Indice
Mdulo 1: Implementacin de Servicios de dominio de Active Directory
Este mdulo analiza los requisitos previos de hardware y software para implementar AD DS, como astambin el proceso para instalarlo. Asimismo, define qu es un controlador de dominio de slo lectura(RODC) y cmo se instala.
Mdulo 2: Configuracin del Servicio de nombres de dominio para Servicios de dominio de Active Directory
Este mdulo describe la configuracin de DNS especfica para AD DS.Mdulo 3: Configuracin de objetos y confianzas de Active Directory
Este mdulo analiza cmo implementar y configurar objetos y confianzas de AD DS.
Mdulo 4: Configuracin de Sitios de servicios de dominio y replicacin de Active Directory
Este mdulo describe cmo crear y configurar sitios para administrar la replicacin.
Mdulo 5: Creacin y configuracin de la Directiva de grupo
Este mdulo describe cmo funcionan, cmo se crean y cmo se aplican los Objetos de directiva degrupo (GPO).
Mdulo 6: Configuracin de entornos de usuario usando la Directiva de grupo
Este mdulo analiza cmo establecer la configuracin del escritorio del usuario mediante la Directiva degrupo.
Mdulo 7: Implementacin de la seguridad usando la Directiva de grupo
Este mdulo describe cmo establecer los valores de seguridad y aplicarlos usando Objetos dedirectiva de grupo.
Mdulo 8: Implementacin de un plan de supervisin de Servicios de dominio de Active Directory
Este mdulo describe cmo supervisar infraestructura y servicios de AD DS.
Mdulo 9: Implementacin de un plan de mantenimiento de Servicios de dominio de Active Directory
Este mdulo analiza cmo realizar el mantenimiento, la copia de seguridad y la recuperacin deservidores y objetos de Active Directory.
-
8/6/2019 curso 6824A_reducido
2/427
Mdulo 10: Solucin de problemas de Active Directory, DNS y replicacin
Este mdulo describe cmo solucionar problemas relacionados con AD DS, DNS y replicacin
Mdulo 11: Solucin de problemas de Directiva de grupo
Este mdulo describe cmo solucionar problemas relacionados con Directivas de grupo.
Mdulo 12: Implementacin de una infraestructura de Servicios de dominio de Active Directory
Este mdulo implica un da entero de laboratorio. Se presentan escenarios para facilitar el aprendizajede la solucin desde el comienzo hasta el final.
Copyright 2009, Microsoft Corporation. All rights reserved. Legal Notices
-
8/6/2019 curso 6824A_reducido
3/427
Modulo 1 : Implementacin de Servicios de dominio de Active Directory
Implementacin de Servicios de dominio de Active Directory
Leccin 1: Instalacin de Servicios de dominio de Active DirectoryLeccin 2: Implementacin de controladores de dominio de slo lecturaLeccin 3: Configuracin de funciones de controladores de dominio de AD DS
Laboratorio: Implementacin de los controladores de dominio de slo lectura y administracin delas funciones de controladores de dominio
Servicios de dominio de Active Directory (AD DS) se instala como una funcin del servidor en el sistema operativo
Windows Server2008. Existen varias opciones para elegir al instalar AD DS y ejecutar el Asistente para instalacinde Servicios de dominio de Active Directory. Se debe elegir si se desea crear un nuevo dominio o agregarle uncontrolador de dominio a uno existente. Asimismo, cuenta con la opcin de instalar AD DS en un servidor con ServerCore de Windows Server 2008 o instalar los controladores de dominio de slo lectura. Despus de implementar loscontroladores de dominio, tambin se deben administrar funciones especiales de controladores de dominio, como porejemplo el catlogo global y los maestros de operaciones.
-
8/6/2019 curso 6824A_reducido
4/427
Leccion 1 : Instalacin de Servicios de dominio de Active Directory
Leccin 1:
Instalacin de Servicios de dominio de Active Directory
Windows Server 2008 brinda diversas maneras de instalar y configurar AD DS. Esta leccin describe la instalacinestndar de AD DS y tambin algunas de las dems opciones que se encuentran disponibles al realizar la instalacin.
-
8/6/2019 curso 6824A_reducido
5/427
Requisitos para instalar AD DS
Requisitos para instalar AD DS
Puntos clave
Para instalar AD DS, el servidor debe cumplir con los siguientes requisitos:
El sistema operativo Windows Server 2008 debe estar instalado. AD DS solamente puede instalarse en lossiguientes sistemas operativos:
El sistema operativo Windows Server2008 Standard
El sistema operativo Windows Server2008 Enterprise
El sistema operativo Windows Server2008 Datacenter
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Instalacin de Servicios de dominio de Active Directory
Artculo de Microsoft TechNet: Requisitos para instalar AD DS
-
8/6/2019 curso 6824A_reducido
6/427
Cules son los niveles funcionales de dominio y de bosque?
Cules son los niveles funcionales de dominio y de bosque?
Puntos clave
En Windows Server 2008, la funcionalidad de bosque y de dominio brinda una forma de habilitar funciones de todo elbosque o del dominio de Active Directory en su entorno de red. Los diferentes niveles de funcionalidad de bosque ydominio estn disponibles; dependern del nivel funcional de dominio y bosque.
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Establecer el nivel funcional de dominio o bosque1.
Artculo de Microsoft TechNet: Apndice de las caractersticas de nivel funcional2.
-
8/6/2019 curso 6824A_reducido
7/427
Proceso de instalacin de AD DS
Proceso de instalacin de AD DS
Puntos clave
Para configurar un controlador de dominio de Windows Server 2008, se debe instalar la funcin del servidor de AD DSy ejecutar el Asistente para instalacin de Servicios de dominio de Active Directory. Para hacerlo, se debe usar uno delos siguientes procesos:
Instalar la funcin del servidor usando el Administrador de servidores y luego ejecutar el asistente parainstalacin ejecutando DCPromo o el asistente para instalacin desde el Administrador de servidores.
Ejecutar DCPromo desde el comando Ejecutar o un smbolo del sistema. De este modo, se instalar la funcindel servidor de AD DS y luego se iniciar el Asistente para instalacin.
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Instalacin de Servicios de dominio de Active Directory
Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008 y Escenarios parainstalar AD DS
-
8/6/2019 curso 6824A_reducido
8/427
Opciones avanzadas para instalar AD DS
Opciones avanzadas para instalar AD DS
Puntos clave
Algunas de las pginas del Asistente para instalacin de Servicios de dominio de Active Directory aparecen solamentesi se selecciona la casilla Usar la instalacin en modo avanzado en la pgina principal del asistente o al ejecutarDCPromo con el parmetro de lnea de comandos /adv. Si no ejecuta el Asistente para instalacin en modo avanzado,el asistente usar las opciones predeterminadas que se aplican a la mayora de las configuraciones.ssi
Pregunta: Cundo usara el modo de opciones avanzadas en su organizacin?
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Usar la instalacin en modo avanzado
Artculo de Microsoft TechNet: Novedades de la instalacin y desinstalacin de AD DS
-
8/6/2019 curso 6824A_reducido
9/427
Instalacin de AD DS desde un medio
Instalacin de AD DS desde un medio
Puntos clave
Antes de que se puedan usar medios de copia de seguridad como la fuente para instalar un controlador de dominio,use Ntdsutil.exe para crear los medios de instalacin.
Ntdsutil.exe puede crear cuatro tipos de medios de instalacin diferentes .
Pregunta: Qu tipos de medios de instalacin usar en su organizacin?
Material de lectura adicional
Artculo de Microsoft TechNet: Instalacin de AD DS desde un medio
-
8/6/2019 curso 6824A_reducido
10/427
Demostracin: Comprobacin de la instalacin de AD DS
Demostracin: Comprobacin de la instalacin de AD DS
Pregunta: Qu pasos llevara a cabo si se diera cuenta de que no se pudo realizar la instalacin del controlador dedominio?
Material de lectura adicional
Artculo de Microsoft TechNet: Comprobacin de una instalacin de AD DS
-
8/6/2019 curso 6824A_reducido
11/427
Actualizacin a AD DS de Windows Server 2008
Actualizacin a AD DS de Windows Server 2008
Puntos clave
Para instalar un controlador de dominio nuevo de Windows Server 2008 en un dominio existente de Windows 2000Server o Windows Server 2003, lleve a cabo los siguientes pasos:
Si el controlador de dominio es el primero de Windows Server 2008 en el bosque, se debe preparar el bosquepara Windows Server 2008 al ampliar el esquema en el maestro de operaciones de esquema. Para ampliar elesquema, ejecute adprep /forestprep. La herramienta adprep est ubicada en los medios de instalacin de
Windows Server 2008.Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows 2000 Server,se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. Elparmetro de lnea de comandos gpprep agrega una entrada de control de acceso heredable (ACE) a losObjetos de directiva de grupo (GPO) que se encuentran ubicados en la carpeta compartida SYSVOL y lasincroniza entre los controladores en el dominio.
Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows Server 2003,se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura.
Despus de instalar un controlador de dominio grabable, se puede instalar un RODC en el bosque de WindowsServer 2003. Antes de realizar el paso anterior, se debe preparar el bosque al ejecutar adprep /rodcprep. Sepuede ejecutar adprep /rodcprep en cualquier equipo en el bosque. Si el RODC ser un servidor de catlogo
global, luego se debe ejecutar adprep /domainprep en todos los dominios en el bosque, sin importar si eldominio ejecuta un controlador de dominio de Windows Server 2008. Al ejecutar adprep /domainprep entodos los dominios, el RODC puede replicar datos del catlogo global a partir de todos los dominios en elbosque y luego puede anunciarse como un servidor de catlogo global.
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Instalacin de Servicios de dominio de Active Directory
Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008
Artculo de Microsoft TechNet: Escenarios para instalar AD DS
-
8/6/2019 curso 6824A_reducido
12/427
Instalacin de AD DS en un equipo con Server Core
Instalacin de AD DS en un equipo con Server Core
Puntos clave
Para instalar AD DS en un equipo Windows Server 2008 con Server Core, se debe usar una instalacin desatendida.Server Core de Windows Server 2008 no proporciona una interfaz grfica de usuario (GUI) por lo tanto no se puedeejecutar el Asistente para instalacin de Servicios de dominio de Active Directory.
Para realizar una instalacin desatendida de AD DS, use un archivo de respuesta y la siguiente sintaxis con el comandoDcpromo:
Dcpromo /answer[:nombre de archivo], donde nombre de archivorepresenta el nombre del archivo de respuesta.
Material de lectura adicional
Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008, Apndice deparmetros para la instalacin desatendida
-
8/6/2019 curso 6824A_reducido
13/427
Discusin: Configuracin comn para AD DS
Discusin: Configuracin comn para AD DS
Puntos clave
Despus de instalar un controlador de dominio, tal vez se necesite llevar a cabo tareas adicionales en su entorno.Puede tener acceso a listas de comprobacin para las siguientes configuraciones comunes para AD DS en elAdministrador de servidores, en Recursos y Soporte.
Material de lectura adicional
Ayuda para AD DS: Configuraciones comunes para Servicios de dominio de Active Directory
-
8/6/2019 curso 6824A_reducido
14/427
Leccion 2 : Implementacin de controladores de dominio de slo lectura
Leccin 2:
Implementacin de controladores de dominio de slo lectura
Una de las nuevas funciones importantes en Windows Server 2008 es la opcin de usar los controladores de dominiode slo lectura (RODC). Los RODC brindan toda la funcionalidad que los clientes necesitan como as tambinseguridad adicional para los controladores de dominio implementados en las sucursales. Al configurar los RODC, sepuede especificar qu contraseas de cuenta de usuario se almacenarn en la memoria cach del servidor yconfigurar los permisos administrativos delegados para el controlador de dominio. Esta leccin describe cmo instalary configurar los RODC.
-
8/6/2019 curso 6824A_reducido
15/427
Qu es un controlador de dominio de solo lectura?
Qu es un controlador de dominio de solo lectura?
Puntos clave
Un RODC es un nuevo tipo de controlador de dominio compatible con Windows Server 2008. Un RODC hospedaparticiones de slo lectura de la base de datos de AD DS. Es decir que nunca se podrn realizar cambios en la copiade la base de datos almacenada por el RODC y toda la replicacin de AD DS usa una conexin unidireccional desdeun controlador de dominio que cuenta con una copia de base de datos grabable hasta el RODC.
Material de lectura adicional
Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura
-
8/6/2019 curso 6824A_reducido
16/427
Caractersticas de los controladores de dominio de slo lectura
Caractersticas de los controladores de dominio de slo lectura
Puntos clave
Vea la lista en la diapositiva.
Material de lectura adicional
Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura
Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3(Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)
-
8/6/2019 curso 6824A_reducido
17/427
Preparacin de la instalacin del RODC
Preparacin de la instalacin del RODC
Puntos clave
Antes de que se pueda instalar un RODC, se debe preparar el entorno de AD DS llevando a cabo los siguientespasos:
Configurar el nivel funcional de dominio y bosque
Planear la disponibilidad del controlador de dominio de Windows Server 2008.
Preparar el bosque y el dominio.
Material de lectura adicional
Ayuda para AD DS: Delegar la administracin e instalacin del controlador de dominio de slo lectura
Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura
Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008Beta 3 (Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)
-
8/6/2019 curso 6824A_reducido
18/427
Instalacin del RODC
Instalacin del RODC
Puntos clave
La instalacin del RODC es prcticamente idntica a la instalacin de AD DS en un controlador de dominio con unacopia grabable de la base de datos. No obstante, existen algunos pasos adicionales.
Material de lectura adicional
Ayuda para AD DS: Delegar la administracin e instalacin del controlador de dominio de slo lectura
Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008Beta 3 (Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)
-
8/6/2019 curso 6824A_reducido
19/427
Delegacin de la instalacin del RODC
Delegacin de la instalacin del RODC
Puntos clave
Se puede delegar la instalacin de un RODC realizando una instalacin que consta de dos etapas.
Pregunta: Cules son los beneficios de delegar la instalacin de un RODC?
Material de lectura adicional
Ayuda para AD DS: Delegar la administracin e instalacin del controlador de dominio de slo lectura
Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura
Artculo de Microsoft TechNet: Gua paso a paso para controladores de dominio de slo lectura
-
8/6/2019 curso 6824A_reducido
20/427
Qu son las directivas de replicacin de contraseas?
Qu son las directivas de replicacin de contraseas?
Puntos clave
Cuando se implementa un RODC, se puede configurar una Directiva de replicacin de contraseas para el RODC.Dicha directiva funciona como una lista de control de acceso (ACL) que determina si se permite que un RODCalmacene una contrasea en la memoria cach.
La Directiva de replicacin de contraseas enumera las cuentas que usted explcitamente permite que se almacenenen la memoria cach y las que no. Las contraseas para las cuentas no se encuentran realmente almacenadas en la
memoria cach en el RODC hasta que la cuenta del usuario o del equipo haya sido autenticada por primera vezmediante el RODC.
Material de lectura adicional
Ayuda en lnea para AD DS: Specify password Replication Policy (Especificar la Directiva de replicacin decontraseas)
-
8/6/2019 curso 6824A_reducido
21/427
Demostracin: Configuracin de la separacin de la funcin deadministrador y las directivas de replicacin de contraseas
Demostracin: Configuracin de la separacin de la funcin de administrador y las directivas dereplicacin de contraseas
Preguntas:
Cul sera una forma alternativa de configurar la separacin de la funcin de Administrador y las Directivas dereplicacin de contrasea?
Su organizacin ha implementado dos RODC. Cmo configurara la Directiva de replicacin de contraseas si
deseara que las credenciales para todas las cuentas de usuario y de equipo exceptuando las de administradores yejecutivos sean almacenadas en la memoria cach en ambos RODC?
Material de lectura adicional
Ayuda para AD DS: Specify Password Replication Policy (Especificar la Directiva de replicacin decontraseas)
-
8/6/2019 curso 6824A_reducido
22/427
Leccion 3 : Configuracin de funciones de controladores de dominio deAD DS
Leccin 3:
Configuracin de funciones de controladores de dominio de AD DS
Todos los controladores de dominio en un dominio son fundamentalmente iguales, es decir que todos contienen losmismos datos y brindan los mismos servicios. Sin embargo, tambin se pueden asignar funciones especiales acontroladores de dominio para brindar servicios adicionales o abordar escenarios donde solamente un nicocontrolador de dominio debera ofrecer servicios en cualquier momento. Esta leccin describe cmo configurar yadministrar servidores de catlogo global y maestros de operaciones.
-
8/6/2019 curso 6824A_reducido
23/427
Qu son los servidores de catlogo global?
Qu son los servidores de catlogo global?
Puntos clave
El catlogo global es una rplica de slo lectura parcial de todas las particiones de directorio de dominio en un bosque.El catlogo global es una rplica parcial ya que incluye solamente un conjunto de atributos limitado para cada uno delos objetos del bosque. Al incluir solamente los atributos que se buscan con ms frecuencia, la base de datos de unservidor de catlogo global nico puede representar a cada objeto en todos los dominios en el bosque.
El servidor de catlogo global es un controlador de dominio que tambin hospeda al catlogo global. AD DS configura
automticamente el primer controlador de dominio en el bosque como un servidor de catlogo global. Se puedeagregar funcionalidad de catlogo global a otros controladores de dominio o cambiar la ubicacin predeterminada delcatlogo global a otro controlador de dominio.
Material de lectura adicional
Artculo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)
-
8/6/2019 curso 6824A_reducido
24/427
Modificacin del catlogo global
Modificacin del catlogo global
Puntos clave
A veces, quizs desee personalizar el servidor de catlogo global para incluir atributos adicionales. De formapredeterminada, para cada uno de los objetos en el bosque, el servidor de catlogo global contiene los atributos mscomunes de un objeto. Las aplicaciones y los usuarios pueden consultar tales atributos. Por ejemplo, se puede hallarun usuario por el nombre, apellido, direccin de correo electrnico u otras propiedades comunes.
Material de lectura adicional
Artculo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)
-
8/6/2019 curso 6824A_reducido
25/427
Demostracin: Configuracin de servidores de catlogo global
Demostracin: Configuracin de servidores de catlogo global
Preguntas:
Qu tipos de errores o experiencias de usuario lo llevara a investigar si sera necesario configurar otro servidor comoun servidor de catlogo global?
Cules son las razones por las que elegira replicar un atributo al catlogo global?
Material de lectura adicional
Artculo de Microsoft TechNet: Agregar un atributo al catlogo global
-
8/6/2019 curso 6824A_reducido
26/427
Qu son las funciones de maestro de operaciones?
Qu son las funciones de maestro de operaciones?
Puntos clave
Active Directory est diseado como un sistema de replicacin con varios maestros. No obstante, para ciertasoperaciones de directorio, solamente se requiere un nico servidor autoritativo. Los controladores de dominio quedesempean funciones especficas se denominan maestros de operaciones. Los controladores de dominio quedesempean funciones de maestro de operaciones son designados para desempear tareas especficas paragarantizar consistencia y para terminar con las posibles entradas que presenten problemas en la base de datos deActive Directory.
Material de lectura adicional
Artculo de Microsoft TechNet: Agregar un atributo al catlogo global
Artculo de Microsoft TechNet: Administrar funciones de maestro de operaciones
-
8/6/2019 curso 6824A_reducido
27/427
Demostracin: Administracin de funciones de maestro de operaciones
Demostracin: Administracin de funciones de maestro de operaciones
Preguntas:
En qu circunstancia necesitara asumir una funcin de maestro de operaciones de inmediato en vez de esperar unashoras para que se repare un controlador de dominio que actualmente desempea la funcin?
Est implementando el primer controlador de dominio en un nuevo dominio que consistir en un nuevo rbol dedominios en el bosque WoodgroveBank.com. Qu funciones de maestro de operaciones desempear este servidorde manera predeterminada?
Material de lectura adicional
Artculo de Microsoft TechNet: Administrar funciones del maestro de operaciones
-
8/6/2019 curso 6824A_reducido
28/427
Cmo funciona el servicio Windows Time
Cmo funciona el servicio Windows Time
Puntos clave
El servicio Horario de Windows, tambin denominado W32Time, sincroniza la hora y la fecha para todos los equiposque se ejecutan en una red de Windows Server 2008. El servicio Horario de Windows usa el Protocolo de tiempo deredes (NTP) para garantizar configuraciones horarias de gran precisin por toda la red. Del mismo modo, se puedenintegrar fuentes horarias externas al servicio Horario de Windows.
Material de lectura adicional
Artculo de Microsoft TechNet: Windows Time Service Technical Reference (Referencia tcnica del servicioHorario de Windows)
Artculo de Microsoft TechNet: Configuring a time source for the forest (Configurar una fuente horaria para elbosque)
-
8/6/2019 curso 6824A_reducido
29/427
Leccion 4 : Laboratorio: Implementacin de los controladores de dominiode slo lectura y administracin de las funciones de controladores de
dominio
Laboratorio: Implementacin de los controladores de dominio de slolectura y administracin de las funciones de controladores de dominio
Escenario
El Woodgrove Bank ha comenzado la implementacin de Windows Server 2008. La organizacin ha implementado
varios controladores de dominio en su sede corporativa y se prepara para implementar controladores de dominio endiversas sucursales. El administrador de la empresa cre un diseo que requiere que se implementen controladoresde dominio de slo lectura en servidores con Windows Server 2008 en todas las sucursales. Su tarea implicaimplementar un controlador de dominio en una sucursal que cumpla con los requisitos ya mencionados.
-
8/6/2019 curso 6824A_reducido
30/427
Ejercicio 1: Evaluacin de la preparacin del bosque y del servidor parainstalar un RODC
-
8/6/2019 curso 6824A_reducido
31/427
Ejercicio 1: Evaluacin de la preparacin del bosque y del servidor para instalar un RODC
En este ejercicio, se evaluar la preparacin del bosque y del servidor para instalar un RODC. Se preparar tambin elbosque para la instalacin. Adems, se examinar la configuracin de un servidor con Server Core para garantizar quecumpla con los requisitos previos para la instalacin del RODC.
Nota: Debido a las limitaciones del entorno del laboratorio virtual, instalar el RODC en el mismo sitio que en el de los
controladores de dominio existentes. En un entorno de produccin, llevara a cabo los mismos pasos incluso si elRODC se encontrara en un sitio diferente.
Las principales tareas se realizarn como se detalla a continuacin:
Iniciar las maquinas virtuales y luego iniciar sesin.1.
Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementacin de unRODC.
2.
Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.3.
Configurar los valores de la cuenta de equipo para el RODC.4.
Tarea 1: Iniciar las maquinas virtuales y luego iniciar sesin.
En el equipo host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, hagaclic en 6824A. Se inicia Iniciador de laboratorio.
1.
En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.2.
En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar.3.
En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar.4.
Inicie sesin en NYC- DC1 y NYC-DC2 como Administrador , usando la contrasea Pa$$w0rd.5.
Inicie sesin en NYC-SVR1 como AdminLocal, usando la contrasea Pa$$w0rd.6.Minimice la ventana Iniciador de laboratorio.7.
Tarea 2: Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementacin de un RODC.
En NYC-DC1, abra Usuarios y equipos de Active Directory.1.
Vea las propiedades deWoodgroveBank.com y compruebe que tanto el nivel funcional del dominio como eldel bosque se encuentren establecidos como Windows Server 2003.
2.
Tarea 3: Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.
En Usuarios y equipos de Active Directory, compruebe las propiedades para NYC-DC1.1.
Compruebe que el nombre del sistema operativo sea Windows Server 2008 Enterprise.2.
Tarea 4: Configurar los valores de la cuenta de equipo para el RODC.
En NYC-SVR1, abra el Administrador del servicio.1.
Haga clic en Cambiar propiedades del sistema y en la ficha Nombre de equipo, cambie el nombre delequipo a TOR-DC1.
2.
Reinicie el equipo.3.
Resultado: Al finalizar este ejercicio habr comprobado que el dominio y el equipo estn listos para instalar un RODC.
Ejercicio 1: Respuestas claves (pasos detallados)
-
8/6/2019 curso 6824A_reducido
32/427
Ejercicio 2: Instalacin y configuracin de un RODC
Ejercicio 2: Instalacin y configuracin de un RODC
En este ejercicio, se instalar la funcin del servidor del RODC en el equipo con Windows Server 2008. Para llevar acabo tal proceso, se realizar una preparacin preliminar en la cuenta de equipo que el RODC usar. Como parte dedicha preparacin preliminar, se configurar un grupo administrativo con permisos para instalar el controlador dedominio. Una vez finalizada la instalacin, se comprobar que la instalacin haya finalizado correctamente. Adems seconfigurarn directivas de replicacin de contraseas para usuarios que inicien sesin en el controlador de dominio.
Las principales tareas se realizarn como se detalla a continuacin:
Realizar la preparacin preliminar en la cuenta de equipo para el RODC.1.
Iniciar sesin en TOR-DC1 como Administrador .2.
Instalar el RODC usando la cuenta existente. Usar WoodgroveBank\Axel como la cuenta con las credencialespara llevar a cabo la instalacin.
3.
Comprobar la instalacin correcta del controlador de dominio.4.
Configurar una directiva de replicacin de contraseas que permita que las credenciales se almacenen en lamemoria cach para todas las cuentas de usuarios en Toronto.5.
Tarea 1: Realizar la preparacin preliminar de la cuenta de equipo para el RODC.
En NYC-DC1, abra Usuarios y equipos de Active Directory.1.
Haga clic con el botn secundario en la unidad de organizacin de los controladores de dominio y en Crearpreviamente una cuenta de controlador de dominio de slo lectura.
2.
Complete el Asistente para instalacin de los servicios de dominio de Active Directory usando las siguientesselecciones:
3.
Usar la instalacin de modo avanzado1.
Usar las credenciales actuales.2.
Nombre de equipo: TOR-DC13.
Sitio predeterminado4.
Instalar solamente las opciones de DNS y RODC5.
Delegar permiso a Axel Delgado para instalar el RODC.6.
Tarea 2: Iniciar sesin en TOR-DC1 como AdminLocal
Inicie sesin como AdminLocal usando la contrasea Pa$$w0rd.
Tarea 3: Instalar el RODC usando la cuenta existente. Use WoodgroveBank\Axel como la cuenta con las credenciales para llevar acabo la instalacin.
En TOR-DC1, abra un smbolo de sistema y escriba dcpromo /UseExistingAccount:Attach y luego presioneENTRAR:
1.
Complete el Asistente para instalacin de Servicios de dominio de Active Directory usando las siguientesselecciones:mama
2.
Usar la instalacin en modo avanzado1.
Escriba Axel como la credencial alternativa2.
Use TOR-DC1 como el nombre del equipo3.
Use NYC-DC1.WoodgroveBank.com como el controlador de dominio de origen4.
Acepte la ubicacin predeterminada para la base de datos, archivos de registro y archivos de SYSVOL.5.
-
8/6/2019 curso 6824A_reducido
33/427
Use Pa$$w0rd como la Contrasea de administrador del modo de restauracin de servicios de directorio6.
Reiniciar el equipo una vez que finaliza la instalacin.3.
Tarea 4: Comprobar la instalacin correcta del controlador de dominio.
Despus de que TOR-DC1 se reinicia, inicie sesin como Axel con la contrasea Pa$$w0rd.1.
En el Administrador del servidor, compruebe que la funcin del servidor de Servicios de dominio de Active
Service est instalada.
2.
Compruebe que todos los servicios requeridos se estn ejecutando.3.
En Usuarios y equipos de Active Directive, compruebe que TOR-DC1 se encuentra en la unidadorganizativa de los controladores de dominio.
4.
Compruebe que no cuente con el permiso para agregar o quitar objetos de dominio.5.
En Sitios y servicios de Active Directory, compruebe que TOR-DC1 aparezca en la lista de servidores parael Default-First-Site-Name.
6.
Compruebe las NTDS Settings para TOR-DC1. Confirme que se hayan creado los objetos de conexin.7.
Compruebe las NTDS Settings para NYC-DC1. Confirme que no se hayan creado objetos de conexin para lareplicacin con TOR-DC1.8.
Abra el Visor de eventos. En el registro de Servicio de directorio, busque y vea un mensaje con unidentificador del suceso de 1128. Dicho identificador comprueba que se haya creado un objeto de conexin dereplicacin entre NYC-DC1 y TOR-DC1.
9.
Tarea 5: Configurar una directiva de replicacin de contraseas que permita que las credenciales se almacenen en la memoriacach para todas las cuentas de usuario en Toronto.
En NYC-DC1, en Usuarios y equipos de Active Directory, ingrese al cuadro de dilogo Propiedades deTOR-DC1.
1.
Agregue todos los grupos de Toronto a la directiva de replicacin de contraseas.2.
Resultado: Al finalizar este ejercicio, se habr instalado un RODC y configurado la directiva de replicacin decontraseas de RODC para el RODC.
Ejercicio 2: Respuestas claves (pasos detallados)
-
8/6/2019 curso 6824A_reducido
34/427
Ejercicio 3: Configuracin de funciones de controladores de dominio deAD DS
Ejercicio 3: Configuracin de funciones de controladores de dominio de AD DS
En este ejercicio, se configurar el RODC instalado en el ejercicio anterior como un servidor de catlogo global.Adems se asignarn funciones de maestro de operaciones a un controlador de dominio adicional en el dominio.
Las principales tareas se realizarn como se detalla a continuacin:
Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catlogo global.1.
Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para eldominio WoodgroveBank.com.
2.
Agregar el atributo Departamento al catlogo global.3.
Cerrar todos las mquinas virtuales y descartar los discos para deshacer.4.
Tarea 1: Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catlogo global.
En NYC-DC1, en Sitios y servicios de Active Directory, localice la cuenta de equipo TOR-DC1.1.
Ingrese a NTDS Settings y seleccione la casilla Catlogo global.2.
Tarea 2: Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominioWoodgroveBank.com.
En NYC-DC1, en Usuarios y equipos de Active Directory, cambie el foco de la consola aNYC-DC2.WoodgroveBank.com y luego haga clic en Aceptar.
1.
Haga clic con el botn secundario en WoodgroveBank.com y luego en Maestro de operaciones. Transfierala funcin de maestro de infraestructura aNYC-DC2.WoodgroveBank.com.
2.
En NYC-DC2, abra Dominios y confianzas de Active Directory. Ingrese a las configuraciones de Maestrode operaciones y transfiera la funcin de maestro de operaciones de nombres de dominio a NYC-DC2.
3.
Tarea 3: Agregar el atributo Departamento al catlogo global
En NYC-DC1, use regsvr32 schmmgmt.dll para registrar el complemento de Esquema de Active Directory.1.
Cree una nueva consola de Administracin de Microsoft (MMC) y agregue el complemento de Esquema deActive Directory.
2.
En el Esquema de Active Directory, ingrese al atributo Department y configure el atributo para replicar alCatlogo global.
3.
Tarea 4: Cerrar todas las mquinas virtuales y descartar todos los cambios.
Por cada equipo virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la mquinavirtual.
1.
En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar.2.
Cierre el Iniciador de laboratorio 6824A.3.
Resultado: Una vez finalizado el ejercicio, se habr configurado un servidor de catlogo global y configurado las funcionesde controladores de dominio de AD DS.
Ejercicio 3: Respuestas claves (pasos detallados)
-
8/6/2019 curso 6824A_reducido
35/427
Revisin del laboratorio
Revisin del laboratorio
Preguntas de revisin
Se implementar un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidoresaltamente segura por lo tanto le preocupa la seguridad del servidor. Qu dos caractersticas de WindowsServer 2008 se pueden aprovechar para mejorar la seguridad de la implementacin del controlador dedominio?
1.
Se debe crear un nuevo dominio al instalar un controlador de dominio en su infraestructura de Active Directory.
Se revisar la lista de inventario de servidores disponibles para este propsito. Cules de los siguientesequipos pueden usarse como un controlador de dominio?
2.
Windows Server 2008 Edicin Web, sistema de archivos NTFS, 1 gigabyte (GB) de espacio disponible en eldisco duro, TCP/IP.
1.
Windows Server 2008 Edicin Enterprise, sistema de archivos NTFS, 500 megabytes (MB) de espaciodisponible en el disco duro, TCP/IP.
2.
Windows Server 2008 Server Core Edicin Enterprise, sistema de archivos NTFS, 1GB de espacio disponibleen el disco duro, TCP/IP.
3.
Windows Server 2008 Edicin Standard, sistema de archivos NTFS, 500 MB de espacio disponible en el discoduro, TCP/IP.
4.
Se implementar un RODC en una sucursal. Se necesita asegurar que todos los usuarios en la sucursal puedanautenticar incluso si la conexin WAN desde la sucursal no est disponible. Podrn hacerlo solamente losusuarios que generalmente inician sesin en la sucursal? Cmo se configurara la directiva de replicacin decontraseas?
3.
Se necesita instalar un controlador de dominio usando la instalacin desde la opcin de medios. Qu pasosse debern tomar para completar este proceso?
4.
Se implementarn RODC en su entorno de AD DS? Describa el escenario de implementacin.5.
Se implementar un controlador de dominio en una sucursal. La sucursal cuenta con una conexin WAN con lacasa matriz que cuenta con muy poco ancho de banda disponible y no es muy confiable. Se deber configurar
el controlador de dominio de la sucursal como un servidor de catlogo global?
6.
Se implementar un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidoresaltamente segura por lo tanto le preocupa la seguridad del servidor. Qu dos caractersticas de WindowsServer 2008 se pueden aprovechar para mejorar la seguridad de la implementacin del controlador dedominio?
7.
-
8/6/2019 curso 6824A_reducido
36/427
Observaciones
Tenga en cuenta las siguientes observaciones cuando se implementan los RODC y se administran las funciones decontroladores de dominio:
Se puede instalar la funcin del servidor de AD DS en todas las ediciones de Windows Server 2008exceptuando la edicin Windows Server 2008 Web Server Edition.
Se debe tener en cuenta la instalacin de un RODC en un equipo con Server Core de Windows Server 2008para brindar seguridad adicional a su entorno de dominio.
Para instalar AD DS en un equipo con Server Core, se debe usar una instalacin desatendida.
Se deben planear con cautela las directivas de replicacin de contraseas en su organizacin. Si se permiteque las credenciales se almacenen en una memoria cach para la mayora de las cuentas en su dominio,aumentar el impacto a su organizacin si el RODC ha sido vulnerado. En caso contrario, aumentar el impactoa la sucursal si el vnculo de WAN con la casa matriz no se encuentra disponible.
En la mayora de los casos, implementar un servidor de catlogo global en un sitio mejorar la experiencia deinicio de sesin para los usuarios. No obstante, implementar un catlogo global en una sucursal remota tambinaumenta la red usada para la replicacin.
Las funciones de maestro de operaciones brindan importantes servicios en una red pero por lo general stosno son de mayor prioridad temporal. Generalmente, si se produce un error en un controlador de dominio quedesempea una funcin de maestro de administrador, no resulta necesario que inmediatamente otrocontrolador de dominio asuma la funcin si se produce un error en el servidor puede repararse en pocas horas.
-
8/6/2019 curso 6824A_reducido
37/427
Modulo 2 : Configuracin del Servicio de nombres de dominio paraServicios de dominio de Active Directory
Mdulo 2
Configuracin del Servicio de nombres de dominio para Servicios dedominio de Active Directory
El Sistema de nombre de dominio (DNS) es un componente de los Servicios de dominio de Active Directory (AD DS)para Windows Server2008. Al comprender la relacin entre estas aplicaciones, se pueden resolver problemas de ADDS y aumentar la seguridad, mientras se brindan a los clientes todas las funciones del DNS.
Leccin 1: Descripcin general de la integracin de Servicios de dominio de Active Directory y DNSLeccin 2: Configuracin de las zonas integradas de AD DSLeccin 3: Configuracin de zonas DNS de slo lecturaLaboratorio: Configuracin de la integracin de AD DS y DNS
-
8/6/2019 curso 6824A_reducido
38/427
Leccion 1 : Descripcin general de la integracin de Servicios de dominiode Active Directory y DNS
Leccin 1:
Descripcin general de la integracin de Servicios de dominio de ActiveDirectory y DNS
Windows Server2008 requiere que haya una infraestructura DNS antes de instalar AD DS. Comprender cmo seintegran DNS y AD DS y de qu manera los equipos cliente usan DNS durante el inicio de sesin ayudar a resolverinconvenientes relacionados con DNS, como problemas de inicio de sesin del cliente.
-
8/6/2019 curso 6824A_reducido
39/427
Integracin de los Servicios de dominio de Active Directory y espacio denombres DNS
Integracin de los Servicios de dominio de Active Directory y espacio de nombres DNS
Puntos clave
En los espacios de nombres DNS, los dominios y equipos estn representados mediante registros de recursos; y enlos espacios de nombres de Active Directory, estn representados por objetos de Active Directory. Todos losdominios de Active Directory deben poseer sus correspondientes dominios DNS con nombres de dominio idnticos.Los clientes usan DNS para resolver nombres de host para direcciones IP a fin de buscar controladores de dominio yotros equipos que brindan servicios AD DS y otros servicios de red.
Active Directory requiere DNS; pero no requiere ningn tipo de servidor DNS particular. Por lo tanto, puede habervarios tipos de servidores DNS distintos.
Pregunta: Cul es la relacin entre los nombres de dominio de Active Directory y los nombres de zona DNS?
Material de lectura adicional:
Integracin de Active Directory
Integracin de DNS
-
8/6/2019 curso 6824A_reducido
40/427
Qu son los Registros localizadores de recursos de servicios?
Qu son los Registros localizadores de recursos de servicios?
Puntos clave
A fin de que AD DS funcione correctamente, los equipos cliente deben poder localizar servidores que brindenservicios especficos; como solicitudes de autenticacin de inicio de sesin, y servicios Telnet o de protocolo de iniciode sesin [Session Initiated Protocol, SIP] Los clientes de AD DS y los controladores de dominio usan Registros derecursos de servicios (SRV) para determinar las direcciones IP de los equipos que brindan estos servicios. Lasaplicaciones site-aware de AD DS, como Microsoft Exchange, tambin usan registros de recursos SRV.
Pregunta: En el siguiente ejemplo de dos registros de recursos SRV: Qu registro usar un cliente que consultasobre un servicio SIP?
_sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.
_sip._tcp.example.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.
Material de lectura adicional
Administracin de registros de recursos
RFC 2782 Un registro de recursos DNS para especificar la ubicacin de servicios (DNS SRV)
-
8/6/2019 curso 6824A_reducido
41/427
Demostracin: Registros SRV registrados por controladores de dominio deAD DS
Demostracin: Registros SRV registrados por controladores de dominio de AD DS
Preguntas:
Cul es el beneficio de replicar la zona mscdcs a todo el bosque?
Cmo podra privilegiarse un registro de recursos SRV sobre otro?
-
8/6/2019 curso 6824A_reducido
42/427
Cmo se usan los Registros localizadores de recursos de servicios
Cmo se usan los Registros localizadores de recursos de servicios
Puntos clave
Los equipos cliente de dominio usan la interfaz de programacin de aplicaciones de localizacin (API) para localizar uncontrolador de dominio consultando el DNS. Si los registros de recursos SRV no se encuentran disponibles paraidentificar los controladores de dominio, es posible que no se pueda iniciar sesin. Todos los equipos, incluso lasestaciones de trabajo como los sistemas operativos Windows XP Professional y Windows Vista, y los servidores,como los sistemas operativos Windows Server2003 y Windows Server 2008, usan el mismo proceso para localizarcontroladores de dominio.
Material de lectura adicional
Cmo se encuentran los controladores de dominio en Windows XP
Domain Controller Location Process (Proceso de localizacin de controladores de dominio)
-
8/6/2019 curso 6824A_reducido
43/427
Integracin de registros de localizadores de servicios y sitios AD DS
Integracin de registros de localizadores de servicios y sitios AD DS
Puntos clave
Durante una bsqueda de controlador de dominio, el Localizador intenta hallar un controlador de dominio en el sitioms cercano al cliente. El controlador de dominio usa la informacin almacenada en Active Directory para determinar elsitio ms cercano. En la mayora de los casos, el controlador de dominio que primero responda al cliente ser el quese encuentre en el mismo sitio que ste. No obstante, en aquellos casos en que se haya modificado la ubicacin fsicadel equipo o el controlador de dominio del sitio local no est disponible, existe un proceso para hallar otro controladorde dominio.
Durante el inicio del Net Logon, el servicio de Net Logon de todos los controladores de dominio enumera los objetosdel sitio en el Contenedor de configuracin. Net Logon usa informacin del sitio para generar una estructura enmemoria que se usa para asignar direcciones IP a nombres de sitios.
Material de lectura adicional
Finding a Domain Controller in the Closest Site (Encontrar un controlador de dominio en el sitio ms cercano)
-
8/6/2019 curso 6824A_reducido
44/427
Leccion 2 : Configuracin de las zonas integradas de AD DS
Leccin 2:
Configuracin de las zonas integradas de AD DS
Integrar las zonas AD DS y DNS puede simplificar la administracin de DNS al replicar la informacin de zona DNScomo parte de la replicacin de Active Directory. Tambin brinda beneficios como actualizaciones dinmicas seguras ycaducidad y reorganizacin de registros de recursos obsoletos.
-
8/6/2019 curso 6824A_reducido
45/427
Qu son las zonas integradas de AD DS?
Qu son las zonas integradas de AD DS?
Puntos clave
Una ventaja de integrar DNS y AD DS es la posibilidad de integrar zonas DNS en una base de datos de ActiveDirectory. Una zona es una parte del espacio de nombres de dominio que posee una agrupacin lgica de registros derecursos; lo que permite la transferencia de zonas de dichos registros para que funcionen como una unidad.
Material de lectura adicional
Integracin de Active Directory
-
8/6/2019 curso 6824A_reducido
46/427
Qu son las particiones de aplicacin en AD DS?
Qu son las particiones de aplicacin en AD DS?
Puntos clave
Existen tres particiones principales que contienen informacin AD DS.
La particin de esquema, que replica la informacin del esquema a todo el bosque.La particin de configuracin, que replica la informacin sobre la estructura fsica a todo el bosque.La particin de dominio, que replica la informacin de dominio a todos los controladores de dominio de undeterminado dominio.
Material de lectura adicional
Replicacin de zonas DNS en Active Directory
-
8/6/2019 curso 6824A_reducido
47/427
Opciones para configurar las particiones de aplicacin de DNS
Opciones para configurar las particiones de aplicacin de DNS
Puntos clave
Es posible modificar el mbito de replicacin DNS en cualquier momento mediante la Consola de administracin DNSde Microsoft (MMC) o la herramienta de lnea de comandos DNSCMD. Si se usa MMC DNS, existen las siguientesopciones de replicacin:
A todos los servidores DNS del bosque.
A todos los servidores DNS del dominio. (Esta es la ubicacin de almacenamiento predeterminada).
A todos los controladores de dominio del dominio. (Esta es la particin de informacin de dominio).
A todos los controladores de dominio que sirven de host a una particin de aplicacin particular.
Material de lectura adicional
Replicacin de zonas DNS en Active Directory
-
8/6/2019 curso 6824A_reducido
48/427
Cmo funcionan las actualizaciones dinmicas
Cmo funcionan las actualizaciones dinmicas
Puntos clave
Las actualizaciones dinmicas permiten que los equipos cliente de DNS registren y actualicen dinmicamente susregistros de recursos con un servidor DNS cada vez que haya cambios. Esto disminuye la necesidad de administrarregistros de zona manualmente; en especial para clientes que mueven o cambian las ubicaciones con frecuencia yusan Protocolo de configuracin dinmica de host (DHCP) para obtener direcciones IP.
Material de lectura adicional
Actualizacin dinmica
-
8/6/2019 curso 6824A_reducido
49/427
Cmo funcionan las actualizaciones dinmicas seguras de DNS
Cmo funcionan las actualizaciones dinmicas seguras de DNS
Puntos clave
Las actualizaciones dinmicas seguras funcionan igual que las actualizaciones dinmicas excepto: que el servidor denombre autoritativo acepte slo actualizaciones de clientes y servidores autenticados y unidos al dominio ActiveDirectory en el que se encuentra el servidor DNS.
Como puede observarse en la diapositiva, el cliente primero intenta realizar una actualizacin no segura. Si se produceun error al intentarlo, el cliente luego intenta negociar una actualizacin segura. Si el cliente ha recibido la autenticacin
de AD DS, la actualizacin tendr xito.Pregunta: Cules son los beneficios de usar zonas DNS integradas de Active Directory?
-
8/6/2019 curso 6824A_reducido
50/427
Demostracin: Configuracin de las zonas integradas de AD DS
Demostracin: Configuracin de las zonas integradas de AD DS
Preguntas:
Cmo podra evitarse que un equipo se registrara en la base de datos de DNS?
Cules seran las implicancias de no permitir las actualizaciones dinmicas?
Al usar actualizaciones dinmicas seguras, cmo puede controlarse qu clientes estn autorizados a actualizar losregistros DNS?
-
8/6/2019 curso 6824A_reducido
51/427
Cmo funciona la carga de zonas en segundo plano
Cmo funciona la carga de zonas en segundo plano
Puntos clave
Las organizaciones muy grandes que poseen zonas extremadamente grandes para almacenar sus datos DNS en ADDS, suelen darse cuenta de que el reinicio de un servidor DNS puede demorar una hora o ms, mientras se recuperanlos datos DNS del servicio de directorio. Como consecuencia, el servidor DNS efectivamente no se encuentradisponible para satisfacer las solicitudes del cliente durante el tiempo que demora en cargar las zonas basadas en ADDS.
Material de lectura adicional
Funcin del servidor DNS
-
8/6/2019 curso 6824A_reducido
52/427
Leccion 3 : Configuracin de zonas DNS de slo lectura
Leccin 3:
Configuracin de zonas DNS de slo lectura
Es posible brindar seguridad adicional configurando zonas DNS de slo lectura ya que slo un administrador puedecambiar este tipo de zonas. Aunque el personal no autorizado no puede modificar registros del controlador de dominiode slo lectura (RODC), los clientes cuentan con todas las funciones de la resolucin de nombres de Active Directory.
-
8/6/2019 curso 6824A_reducido
53/427
Qu son las zonas DNS de slo lectura?
Qu son las zonas DNS de slo lectura?
Puntos clave
Al instalar un RODC para Windows Server 2008, se presentan las opciones de instalacin del servidor DNS. La opcinpredeterminada es instalar un formulario principal de slo lectura de servidor DNS localmente en el RODC, que replicala zona integrada de AD existente para el dominio especificado y agrega la direccin IP local como servidor DNSpreferido en la configuracin TCP/IP local. Esto garantiza que el servidor DNS que opera en el RODC posea una copiade slo lectura completa de todas las zonas DNS.
Material de lectura adicional
Funcin del servidor DNS
-
8/6/2019 curso 6824A_reducido
54/427
Cmo funciona el DNS de slo lectura
Cmo funciona el DNS de slo lectura
Puntos clave
Cuando un equipo se transforma en un RODC, replica una copia completa de slo lectura de todas las particiones deldirectorio de aplicaciones que usa el DNS, incluyendo la particin de dominio, ForestDNSZones y DomainDNSZones.Esto garantiza que el servidor DNS que opera en el RODC posea una copia de slo lectura completa de todas laszonas DNS almacenadas en un controlador de dominio central en esas particiones de directorio. El administrador de unRODC puede visualizar el contenido de una zona principal de slo lectura. Sin embargo, el administrador puedemodificar el contenido cambiando la zona de un servidor DNS con una copia grabable de la base de datos de DNS.
Pregunta: Cmo aumenta la seguridad el RODC?
Material de lectura adicional
Funcin del servidor DNS
-
8/6/2019 curso 6824A_reducido
55/427
Discusin: Comparacin de opciones de DNS para sucursales
Discusin: Comparacin de opciones de DNS para sucursales
Puntos clave
Responda las preguntas en un debate en clase.
Material de lectura adicional
Cmo funcionan las consultas DNS
-
8/6/2019 curso 6824A_reducido
56/427
Laboratorio: Configuracin de la integracin de AD DS y DNS
Laboratorio: Configuracin de la integracin de AD DS y DNS
Escenario
El Woodgrove Bank es una empresa que tiene oficinas en muchas ciudades del mundo. Woodgrove Bank tienerelaciones comerciales con otras dos empresas: Fabrikam Inc. y Contoso Inc. Woodgrove Bank ha adquirido copiasde los archivos de zona DNS de dichas s compaas. Todos los empleados del bosque Woodgrove Bank necesitantener acceso a los registros DNS de Contoso Inc. Slo los empleados del dominio Woodgrove Bank necesitan teneracceso a los archivos DNS de Fabrikam Inc. La sucursal de Woodgrove Bank posee un controlador de dominio deslo lectura. Dicho controlador de dominio se configurar para admitir tanto el servicio del servidor DNS como la
totalidad de las zonas DNS de todo el bosque y de todo el dominio. El administrador de la empresa ha creado undocumento de diseo para la configuracin DNS. El diseo incluye la configuracin de: las zonas integradas de ADDS, las actualizaciones dinmicas de DNS y las zonas DNS de slo lectura.
-
8/6/2019 curso 6824A_reducido
57/427
Ejercicio 1: Configuracin de zonas integradas de Active Directory
Ejercicio 1: Configuracin de zonas integradas de Active Directory
En este ejercicio, se configurarn las zonas DNS del entorno Woodgrove Bank de manera tal que cumplan losrequisitos de diseo. Se comprobarn los registros de recursos SRV que hayan registrado todos los controladores dedominio y se crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet. Tambin semodificarn las zonas DNS a fin de examinar la diferencia entre zonas integradas de Active Directory y zonas estndar,y se configurarn actualizaciones dinmicas y el mbito de replicacin. Luego se usar la consola de administracin deedicin de ADSI para visualizar los registros de DNS almacenados en la particin de dominio.
Las principales tareas se realizarn como se detalla a continuacin:
Iniciar el controlador de dominio e inicie la sesin como Administrador.1.
Examinar los registros de recursos SRV.2.
Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet NYC-SRV2.3.
Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso.4.
Configurar las dos zonas nuevas de manera tal que sean integradas de Active Directory y asegrese de que nose permitan actualizaciones dinmicas.5.
Configurar el mbito de replicacin de la zona Contoso de manera tal que abarque todo el bosque, y la zonaFabrikam para que abarque todo el dominio.
6.
Usar ADSI Edit.exe para visualizar zonas DNS integradas de Active Directory.7.
Tarea 1: Iniciar NYC-DC1 e iniciar la sesin como Administrador
Inicie NYC-DC1 e inicie la sesin como Administrador con la contrasea Pa$$w0rd.
Tarea 2: Examinar los registros de recursos SRV
Abra la consola Administrador de DNS, expanda las Zonas de bsqueda directa y luego haga clic en_msdcs.woodgrovebank.com.
1.
Expanda la carpeta GC -> _TCP.2.
Expanda la carpeta DC -> _TCP.3.
Abra Propiedades de _msdcs.woodgrovebank.com.4.
Cierre la pgina Propiedades.5.
Tarea 3: Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet en NYC-SRV2
Haga clic con el botn secundario en la zona_msdsc.woodgrovebank.com y luego haga clic en Registrosnuevos.
1.
Seleccione el tipo de registro Registro de servicio (SRV) y haga clic en Crear registro.2.
En el campo Servicios, seleccione_telnet en la lista desplegable. En el campo Host que ofrece esteservicio, escriba NYC-SRV2.woodgrovebank.com, haga clic en Aceptar y luego en Realizado.
3.
Tarea 4: Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso
Use el Explorador de Windows para copiar los archivos Contoso.com.dns y Fabrikam.com.dns de D:\6824\Allfiles\Mod02\Labfiles a C:\Windows\System32\DNS . Deje abierta la ventana del Explorador de Windows.
1.
Use la consola Administrador de DNS para crear una nueva zona principal estndar llamada Contoso.comusando el archivo existente Contoso.com.dns.
2.
Cree una nueva zona principal estndar llamada Fabrikam.com usando el archivo existente Fabrikam.com.dns.3.
Tarea 5: Configurar las zonas de Contoso y Fabrikam de manera tal que sean integradas de Active Directory y asegurarse de que
-
8/6/2019 curso 6824A_reducido
58/427
no se permitan actualizaciones dinmicas.
Abra la pgina de propiedades de Contoso.com.1.
Cambie el tipo de zona de manera tal que se almacene en Servicios de dominio de Active Directory.2.
Regrese a la ventana del Explorador de Windows. Observe que el archivo de zona Contoso.com.dns ya nose encuentra en la carpeta DNS. Ahora est almacenado en Servicios de dominio de Active Directory.
3.
Regrese a la pgina de propiedades de la zona Woodgrovebank.com y configure las Actualizaciones
dinmicas en Ninguna.
4.
Repita los pasos 1 a 4 para la zona Fabrikam.com.5.
Tarea 6: Configurar el mbito de replicacin de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam paraque abarque todo el dominio
Abra la pgina de propiedades de Contoso.com.1.
Cambie el mbito de replicacin de manera tal que sea Para todos los servidores DNS en este bosque.2.
Abra la pgina de propiedades de Fabrikam.com.3.
Asegrese de que la configuracin del mbito de replicacin de la zona Fabrikam sea Para todos losservidores DNS en este dominio.4.
Tarea 7: Usar ADSI Edit.exe para ver zonas DNS integradas de Active Directory
Desde el comando Ejecutar, inicie adsiedit.msc .1.
Haga clic con el botn secundario en Editor ADSI y luego en Conectar a.2.
En la seccin Punto de conexin, haga clic en Seleccione o escriba un nombre distintivo o un contextode nomenclatura.
3.
Escriba DC=DomainDNSZones,DC=WoodgroveBank,DC=Comy haga clic en Aceptar.4.
Expanda el contexto de nomenclatura, expanda CN=MicrosoftDNS, haga clic en DC=Woodgrovebank.com yluego examine los registros.
5.
Haga doble clic en el registro de NYC-DC1.6.
Cierre todas las pginas de propiedades y la consola de Administracin ADSI.7.
Resultado: Al final de este ejercicio, habr creado zonas DNS integradas de Active Directory
Ejercicio 1: Respuestas claves (pasos detallados)
-
8/6/2019 curso 6824A_reducido
59/427
Ejercicio 2: Configuracin de zonas DNS de slo lectura
Ejercicio 2: Configuracin de zonas DNS de slo lectura
En este laboratorio, configurar una zona DNS de slo lectura en un RODC y comprobar actualizaciones dinmicas yadministrativas.
Las principales tareas consisten en configurar zonas DNS de slo lectura en el RODC que sean compatibles conFabrikam.
Las principales tareas se realizarn como se detalla a continuacin:
Iniciar el controlador de dominio de slo lectura e iniciar la sesin como Administrador .1.
Instalar el servicio de Servidor DNS2.
Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todoel bosque.
3.
Cerrar todas las mquinas virtuales y descartar todos los cambios.4.
Tarea 1: Iniciar el controlador de dominio de slo lectura e iniciar la sesin como Administrador
Inicie el controlador de dominio de slo lectura e inicie la sesin como Administrador con la contraseaPa$$w0rd.
Tarea 2: Instalar el servicio de Servidor DNS
Use Start /w ocsetup DNS-Server-Core-Role para instalar la funcin del servidor DNS.
Nota: El nombre de la funcin del servidor distingue maysculas de minsculas.
Tarea 3: Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque.
Desde el Smbolo del sistema, escriba el siguiente comando:Dnscmd /enlistdirectorypartitionDomainDnsZones.woodgrovebank.com
1.
A continuacin escriba el siguiente comando:Dnscmd /enlistdirectorypartitionForestDnsZones.woodgrovebank.com
2.
Cambie a NYC-DC1 y luego abra la consola de administracin DNS.3.
Agregue el equipo MIA-RODC a la consola DNS y asegrese de que aparezcan todas las zonas DNS.4.
Nota: El nombre de la funcin del servidor distingue maysculas de minsculas.
Tarea 4: Cerrar todas las mquinas virtuales y descartar los cambios
Resultado: Al finalizar este ejercicio, habr configurado el servidor DNS de manera tal que sea compatible con latotalidad de las zonas de todo el dominio y de todo el bosque.
Ejercicio 2: Respuestas claves (pasos detallados)
-
8/6/2019 curso 6824A_reducido
60/427
Revision del laboratorio
Revisin del laboratorio
Preguntas de revisin
Cmo determina el equipo de un cliente en qu sitio se encuentra?1.
Enumere al menos tres beneficios de las zonas integradas de Active Directory.2.
En el siguiente ejemplo de dos registros de recursos SRV: Qu registro usar un cliente que consulta sobreun servicio SIP?
3.
_sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.
_sip._tcp.example.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.
Qu permisos se necesitan para crear particiones del directorio de aplicaciones DNS?4.
Qu utilidades estn disponibles para crear particiones de aplicacin?5.
Cul es el estado predeterminado de las actualizaciones dinmicas de una zona integrada de ActiveDirectory?
6.
Cul es el estado predeterminado de las actualizaciones dinmicas de una zona principal estndar?7.
Qu grupos tienen permiso para realizar actualizaciones dinmicas?8.
Observaciones
Al configurar la integracin AD DS y DNS, recuerde que:
Dado que tanto los clientes de Windows Server 2008 como de Active Directory dependen de DNS, el primerpaso para la solucin de problemas de Active Directory suele ser solucionar los problemas de DNS.
Los registros de localizadores de servicios son crticos para el correcto funcionamiento de Active Directory.
Los registros de localizadores de servicios deben estar disponibles en todo momento.
Windows Server 2008 puede operar con cualquier servidor DNS compatible; pero las zonas integradas de
Active Directory brindan caractersticas y seguridad adicional.
Las zonas integradas de Active Directory pueden replicarse a todo el bosque o todo el dominio, o acontroladores de dominio especficos a travs de particiones de aplicacin personalizadas.
Los registros DNS internos deben ser independientes de los registros DNS pblicos.
-
8/6/2019 curso 6824A_reducido
61/427
Las actualizaciones dinmicas aligeran la sobrecarga administrativa que implica el mantenimiento de la base dedatos de la zona DNS.
Las actualizaciones dinmicas pueden ser exclusivas de Usuarios autenticados.
La carga de zonas de segundo plano reduce el tiempo de demora de los servidores DNS en estar disponiblestras un reinicio.
Se pueden usar DNS de slo lectura junto con controladores de dominio de slo lectura para brindar seguridadsin dejar de ofrecer las funciones solicitadas por el cliente.
-
8/6/2019 curso 6824A_reducido
62/427
Modulo 3 : Configuracin de objetos y confianzas de Active Directory
Mdulo 3
Configuracin de objetos y confianzas de Active Directory
Luego de la implementacin inicial de Servicios de dominio de Active Directory(AD DS), las tareas ms frecuentesque realiza un administrador de AD DS son la configuracin y la administracin de los objetos de AD DS. En la mayora
de las organizaciones, cada empleado recibe una cuenta de usuario que ser agregada a uno o varios grupos en losAD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,tales como los sitios web, los buzones de correo y las carpetas compartidas.
Este mdulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles paradelegarlas o automatizarlas. Adems, este mdulo describe cmo configurar y administrar las confianzas de ActiveDirectory.
Leccin 1: Configuracin de los objetos de Active DirectoryLeccin 2: Estrategias para el uso de gruposLeccin 3: Automatizacin de la administracin de objetos de AD DSLaboratorio A: Configuracin de objetos de Active DirectoryLeccin 4: Delegacin del acceso administrativo a los objetos de AD DS
Leccin 5: Configuracin de las confianzas de AD DSLaboratorio B: Configuracin de la delegacin y las confianzas de Active Directory
-
8/6/2019 curso 6824A_reducido
63/427
Leccion 1: Configuracin de los objetos de Active Directory
Leccin 1:
Configuracin de objetos de Active Directory
Luego de la implementacin inicial de Servicios de dominio de Active Directory(AD DS), las tareas ms frecuentesque realiza un administrador de AD DS son la configuracin y la administracin de los objetos de AD DS. En la mayorade las organizaciones, cada empleado recibe una cuenta de usuario que ser agregada a uno o varios grupos en losAD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,tales como los sitios web, los buzones de correo y las carpetas compartidas.
Este mdulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles para
delegarlas o automatizarlas. Adems, este mdulo describe cmo configurar y administrar las confianzas de ActiveDirectory.
-
8/6/2019 curso 6824A_reducido
64/427
Tipos de objetos de AD DS
Tipos de objetos de AD DS
Puntos clave
Es posible crear varios objetos diferentes en Active Directory.
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory
-
8/6/2019 curso 6824A_reducido
65/427
Demostracin: Configuracin de las cuentas de usuario de AD DS
Demostracin: Configuracin de las cuentas de usuario de AD DS
Preguntas:
Cmo pueden crearse varios objetos de usuario con la misma configuracin para atributos tales como Departamentoy Ubicacin de la oficina?
En qu circunstancias es conveniente deshabilitar una cuenta de usuario en lugar de eliminarla?
-
8/6/2019 curso 6824A_reducido
66/427
Tipos de grupo de AD DS
Tipos de grupo de AD DS
Puntos clave
AD DS es compatible con dos tipos de grupo.
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory
-
8/6/2019 curso 6824A_reducido
67/427
mbitos de grupo de AD DS
mbitos de grupo de AD DS
Puntos clave
Windows Server 2008 es compatible con los mbitos de grupo que se muestran en la diapositiva.
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory: Administracin de grupos
-
8/6/2019 curso 6824A_reducido
68/427
Grupos predeterminados de AD DS
Grupos predeterminados de AD DS
Puntos clave
Windows Server 2008 brinda numerosos grupos integrados que se crean automticamente al instalar un dominio deActive Directory. Los grupos integrados pueden usarse para administrar el acceso a los recursos compartidos y paradelegar las funciones administrativas especficas de Active Directory. Por ejemplo, es posible colocar la cuenta deusuario de un administrador de AD DS en un grupo de Operadores de cuenta a fin de que el administrador pueda crearcuentas y grupos de usuario.
Material de lectura adicional
Grupos predeterminados de Microsoft Technet
-
8/6/2019 curso 6824A_reducido
69/427
Identidades especiales de AD DS
Identidades especiales de AD DS
Puntos clave
Los servidores con Windows Server 2008 incluyen varias identidades especiales, conocidas generalmente comogrupos especiales o identidades especiales. Estas identidades se presentan de modo adicional a los grupos en loscontenedores de usuarios e integrados.
Material de lectura adicional
Artculo de Microsoft Technet: Identidades especiales de los archivos
-
8/6/2019 curso 6824A_reducido
70/427
Discusin: Uso de identidades especiales y grupos predeterminados
Discusin: Uso de identidades especiales y grupos predeterminados
Escenario
Woodgrove ve Bank posee ms de 100 servidores alrededor del mundo. Es necesario determinar si se pueden usargrupos predeterminados o si se pueden crear grupos y luego asignar derechos o permisos especf icos de usuario alos grupos para realizar las siguientes Tareas administrativas.
Se pueden asignar grupos predeterminados, identidades especiales o crear nuevos grupos para las siguientes tareas.Escriba el nombre del grupo predeterminado que posea los derechos de usuario ms restrictivos a fin de realizar las
siguientes acciones o determinar si puede crearse un nuevo grupo:Hacer una copia de seguridad y restaurar los controladores de dominio1.
Hacer una copia de seguridad de los archivos de los servidores miembro, sin restaurarlos2.
Crear grupos en la unidad organizativa Ventas3.
Conceder el acceso a una carpeta compartida a la que todos los empleados del Woodgrove Bank deben teneracceso. Los empleados se encuentran en dos dominios diferentes en el mismo bosque
4.
Conceder permisos administrativos a un usuario que ha iniciado sesin en un equipo cliente sin garantizar elacceso a los dems equipos. Los permisos deben aplicarse a todos los usuarios que inicien sesin en unequipo cliente en la organizacin
5.
Brindar acceso a los empleados de soporte tcnico para controlar el escritorio de manera remota6.
Brindar acceso administrativo a todos los equipos en el dominio completo7.
Brindar acceso a una carpeta compartida denominada Datos en un servidor denominado DEN-SRV18.
Administrar la cola de impresin de una impresora determinada del servidor de impresin9.
Establecer la configuracin de red en un servidor miembro10.
-
8/6/2019 curso 6824A_reducido
71/427
Demostracin: Configuracin de las cuentas de grupo de AD DS
Demostracin: Configuracin de las cuentas de grupo de AD DS
Preguntas:
Cules son las opciones disponibles para cambiar el mbito y el tipo de un grupo de AD DS?
Cules son los beneficios de asignar administradores de grupo? Establecera esta configuracin en suorganizacin?
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory: Administracin de grupos
-
8/6/2019 curso 6824A_reducido
72/427
Demostracin: Configuracin de objetos adicionales de AD DS
Demostracin: Configuracin de objetos adicionales de AD DS
Preguntas:
Cules son las razones para crear unidades organizativas?
Cules son los beneficios y limitaciones de usar objetos de la impresora y objetos de la carpeta compartida en ADDS?
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory
-
8/6/2019 curso 6824A_reducido
73/427
Leccin 2: Estrategias para el uso de grupos
Leccin 2:
Estrategias para el uso de grupos
Los grupos de AD DS se usan para simplificar la administracin de AD DS al asignar acceso a los recursos. En lugarde asignar acceso a los recursos usando las cuentas de usuario, resulta ms ef icaz agregar usuarios a los grupos yluego asignar acceso a los grupos. Sin embargo, debido a la gran variedad de opciones de grupo y opciones deimplementacin de AD DS, es posible usar diversas estrategias para configurar grupos.
-
8/6/2019 curso 6824A_reducido
74/427
Opciones para asignar acceso a los recursos
Opciones para asignar acceso a los recursos
Puntos clave
Una de las razones principales para crear usuarios y grupos en AD DS es que los usuarios obtengan acceso a losrecursos compartidos, tales como las carpetas compartidas, los sitios de Windows SharePoint Services u otrasaplicaciones.
Material de lectura adicional
Artculo de Microsoft Technet: Selecting a Resource Authorization Method (Seleccionar un Mtodo deautorizacin de
-
8/6/2019 curso 6824A_reducido
75/427
Usar grupos de cuentas para asignar acceso a los recursos
Usar grupos de cuentas para asignar acceso a los recursos
Puntos clave
Al usar grupos de cuentas solamente para asignar acceso a los recursos, primero deben agregarse todas las cuentasde usuario a los grupos y luego, asignar al grupo un conjunto de permisos de acceso. Por ejemplo, un administradorpuede colocar todas las cuentas de usuarios contables en un grupo global denominado /GG-Todos los contadores yluego, asignarle a este grupo permisos de acceso a un recurso compartido. En un entorno de dominio nico, esposible usar grupos de dominio locales, globales o universales para asignar acceso a los recursos.
Material de lectura adicional
Artculo de Microsoft Technet: AG/ACL Method (Mtodo AG/ACL)
-
8/6/2019 curso 6824A_reducido
76/427
Discusin: Uso de grupos en un entorno de dominio nico y de dominiosmltiples
Discusin: Uso de grupos en un entorno de dominio nico y de dominios mltiples
Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario.
Ejemplo 1
Contoso, Ltd posee un dominio nico que se encuentra en Pars, Francia. Los gerentes de Contoso, Ltd necesitanobtener acceso a la base de datos Inventario para realizar su trabajo.
Pregunta: Cmo se puede garantizar el acceso de los gerentes a la base de datos Inventario?
Ejemplo 2
Contoso, Ltd determin que todo el personal de la divisin Contabilidad debe tener acceso total a los datos contables.Adems, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crearuna estructura de grupo para la divisin Contabilidad en su totalidad, que tambin abarque los departamentos Cuentaspor pagar y Cuentas por cobrar.
Pregunta: Cmo se puede garantizar el acceso requerido a los gerentes y que haya un mnimo de administracin?
Ejemplo 3
Contoso, Ltd se expandi para incluir operaciones en Amrica del Sur y Asia y actualmente posee tres dominios: el
dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso,mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominioContoso. Adems, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro.
Pregunta: Cmo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?
-
8/6/2019 curso 6824A_reducido
77/427
Discusin: Uso de grupos en un entorno de dominio nico y de dominiosmltiples
Discusin: Uso de grupos en un entorno de dominio nico y de dominios mltiples
Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario.
Ejemplo 1
Contoso, Ltd posee un dominio nico que se encuentra en Pars, Francia. Los gerentes de Contoso, Ltd necesitanobtener acceso a la base de datos Inventario para realizar su trabajo.
Pregunta: Cmo se puede garantizar el acceso de los gerentes a la base de datos Inventario?
Ejemplo 2
Contoso, Ltd determin que todo el personal de la divisin Contabilidad debe tener acceso total a los datos contables.Adems, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crearuna estructura de grupo para la divisin Contabilidad en su totalidad, que tambin abarque los departamentos Cuentaspor pagar y Cuentas por cobrar.
Pregunta: Cmo se puede garantizar el acceso requerido a los gerentes y que haya un mnimo de administracin?
Ejemplo 3
Contoso, Ltd se expandi para incluir operaciones en Amrica del Sur y Asia y actualmente posee tres dominios: el
dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso,mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominioContoso. Adems, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro.
Pregunta: Cmo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?
-
8/6/2019 curso 6824A_reducido
78/427
Leccin 3: Automatizacin de la administracin de objetos de AD DS
Leccin 3:
Automatizacin de la administracin de objetos de AD DS
En la mayora de los casos, es posible crear y configurar los objetos de AD DS por separado. Sin embargo, enalgunos casos, quiz sea necesario crear o modificar la configuracin de varios objetos simultneamente. Por ejemplo,si la organizacin contrata a un grupo numeroso de nuevos empleados, es posible que desee automatizar el procesode configuracin de las cuentas nuevas. Si su organizacin cambia de ubicacin, es posible que desee automatizar latarea de asignar nuevas direcciones y nmeros telefnicos a todos los usuarios. Esta leccin describe cmoadministrar varios objetos de AD DS.
-
8/6/2019 curso 6824A_reducido
79/427
Herramientas para automatizar la administracin de objetos de AD DS
Herramientas para automatizar la administracin de objetos de AD DS
Puntos clave
Windows Server 2008 ofrece herramientas que pueden usarse para crear o modificar mltiples cuentas de usuario demanera automtica en AD DS. Algunas de estas herramientas requieren del uso de un archivo de texto que incluyeinformacin acerca de las cuentas de usuario que desean crearse. Adems, pueden crearse scripts de WindowsPowerShell para agregar objetos o realizar cambios en los objetos de Active Directory.
-
8/6/2019 curso 6824A_reducido
80/427
Configuracin de objetos de AD DS usando las herramientas de la lnea decomandos
Configuracin de objetos de AD DS usando las herramientas de la lnea de comandos
Puntos clave
Usar estas herramientas de la lnea de comandos para configurar los objetos de AD DS.
-
8/6/2019 curso 6824A_reducido
81/427
Administracin de objetos de usuario con LDIFDE
Administracin de objetos de usuario con LDIFDE
Puntos clave
Es posible usar la herramienta de la lnea de comandos Ldifde para crear y realizar cambios en varias cuentas. Alaplicar la herramienta Ldifde, se usar un archivo de texto separado por lnea para brindar la informacin de entrada delcomando.
Material de lectura adicional
Artculo de Microsoft Technet: LDIFDE
-
8/6/2019 curso 6824A_reducido
82/427
Administracin de objetos de usuario con CSVDE
Administracin de objetos de usuario con CSVDE
Puntos clave
Es posible usar la herramienta de la lnea de comandos Csvde para crear mltiples cuentas en AD DS; sin embargo,slo es posible usar la herramienta Csvde para crear cuentas, no para modificarlas.
Material de lectura adicional
Artculo de Microsoft Technet: CSVDE
-
8/6/2019 curso 6824A_reducido
83/427
Qu es Windows Powershell?
Qu es Windows Powershell?
Puntos clave
Windows PowerShell es una tecnologa de automatizacin extensible y lnea de comandos que los programadores ylos administradores pueden usar para automatizar las tareas en un entorno de Windows. Windows PowerShell usa unconjunto de pequeos cdmlets que realizan cada uno una tarea especfica, aunque tambin es posible combinarlos enmltiples cdmlets para realizar tareas administrativas complejas.
Material de lectura adicional
Soporte tcnico de Microsoft: Windows PowerShell 1.0 Documentation Pack
-
8/6/2019 curso 6824A_reducido
84/427
Cmdlets de Windows PowerShell
Cmdlets de Windows PowerShell
Puntos clave
Aprender a usar Windows PowerShell es fcil gracias a la aplicacin de los Cmdlets. La segmentacin es consistenteen todos los cmdlets.
Material de lectura adicional
Windows PowerShell 1.0 Documentation Pack
-
8/6/2019 curso 6824A_reducido
85/427
Demostracin: Configuracin de objetos de Active Directory usandoWindows PowerShell
Demostracin: Configuracin de objetos de Active Directory usando Windows PowerShell
Preguntas:
Cules son las ventajas y desventajas de modificar los objetos de Active Directory usando los scripts de WindowsPowerShell?
De qu manera puede hacerse frente a las desventajas?
Material de lectura adicional
Blog de Windows PowerShell
Artculo de Microsoft Technet: Automatizacion con Windows PowerShell
-
8/6/2019 curso 6824A_reducido
86/427
Laboratorio A: Configuracin de objetos de Active Directory
Laboratorio A: Configuracin de objetos de Active Directory
Escenario
Woodgrove Bank cuenta con varios requisitos para administrar los objetos de Active Directory. Con frecuencia, laorganizacin contrata a internos que deben contar con permisos limitados y cuyas cuentas deben expirarautomticamente cuando el internado haya finalizado. Las cuentas de usuario deben establecerse con unaconfiguracin estndar que incluya valores como la configuracin del perfil de usuario y las unidades asignadas parasus carpetas particulares. La organizacin, adems, requiere grupos de AD DS que sern usados para asignarpermisos a una gran variedad de recursos de red. La organizacin deseara automatizar las tareas de administracin
de usuario y de grupo tanto como sea posible.
-
8/6/2019 curso 6824A_reducido
87/427
Ejercicio 1: Configuracin de objetos de AD DS
Ejercicio 1: Configuracin de objetos de AD DS
En este ejercicio, se instalarn las herramientas de administracin de Active Directory en un equipo con WindowsVista. Luego, estas herramientas sern usadas para configurar diversos objetos de AD DS en base a la informacinque brinde el departamento de Recursos Humanos (RR.HH.). Estas tareas incluyen la creacin de nuevas cuentas deusuario y la modificacin de cuentas de usuario ya existentes.
El departamento de RR.HH. ha solicitado los siguientes cambios en AD DS:
Crear nuevas cuentas de usuario para Kerim Hanif y Jun Cao. Las dos cuentas de usuario deben crearse en launidad organizativa Admin. TI .
Modificar la cuenta de usuario de Dana Birkby.
Las principales tareas se realizarn como se detalla a continuacin:
Iniciar las mquinas virtuales y luego iniciar sesin.1.
Crear nuevas cuentas de usuario.2.
Modificar las cuentas de usuario existentes3.
Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin
En la mquina host, haga clic en Inicio, dirjase a Todos los programas, seleccione Microsoft Learning yluego, haga clic en 6824A. Se inicia Iniciador de laboratorio.
1.
En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.2.
En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar.3.
Inicie sesin en NYC- DC1 como Administrador , usando la contrasea Pa$$w0rd.4.
Inicie sesin en NYC- CL1 como Administrador , usando la contrasea Pa$$w0rd.5.
Minimice la ventana Iniciador de laboratorio. Encienda 6824A-NYC-DC1 y luego, inicie sesin comoAdministrador usando lacontrasea Pa$$w0rd.
6.
Tarea 2: Crear nuevas cuentas de usuario
En NYC-DC1, abra Usuarios y equipos de Active Directory.1.
En la unidad organizativa AdminsTI, cree un nuevo usuario con los siguientes parmetros:2.
Nombre: Kerim
Apellido: HanifNombre completo: Kerim Hanif
Nombre de inicio de sesin de usuario: Kerim
Contrasea: Pa$$w0rd
Desactive la casilla El usuario debe cambiar la contrasea al iniciar una sesin de nuevo
En NYC-DC1, use la herramienta de la lnea de comandos Dsadd para crear una nueva cuenta de usuario a JunCao. La sintaxis del comando dsadd es:
3.
dsadd user "cn=Jun Cao,ou=adminsti,dc=WoodgroveBank,dc=com" -samid Jun -pwd Pa$$w0rd desc
Administrador
Tarea 3: Modificar las cuentas de usuario existentes
En NYC-DC1, cree una nueva carpeta en la unidad D llamada HomeDirs. Comparta la carpeta y luego,configure los Usuarios del dominio con los permisos del Colaborador.
1.
-
8/6/2019 curso 6824A_reducido
88/427
En la carpeta HomeDirs, cree una nueva carpeta llamada Marketing.2.
En Usuarios y equipos de Active Directory, busque la cuenta de Dana Birkby y luego, modifique laspropiedades de usuario de la siguiente manera:
3.
En la ficha General, configure:1.
Nmero de telfono: 555-555-0100
Oficina: Casa matriz
Correo electrnico: [email protected]
En la ficha Marcado, configure:2.
Permiso de acceso a redes: Permitir Acceso
En la ficha Cuenta, configure:3.
Horas de inicio de sesin: Configure las horas de inicio de sesin permitidas entre las 8 a.m. y las 5 p.m. yluego, haga clic en Aceptar.
En la ficha Perfil, configure:4.
Carpeta particular: Asigne la unidad H a:
\\NYC- DC1\HomeDirs\Marketing\%username%
En el Explorador de Windows, dirjase a D:\HomeDirs\Marketing. Asegrese de que se haya creado unacarpeta denominada Dana en la carpeta.
4.
En NYC-CL1, cierre sesin y luego inicie sesin como Dana usando la contrasea Pa$$w0rd. Confirme que launidad H: ha sido correctamente asignada y que Dana tiene permiso para crear archivos en su carpetaparticular.
5.
Resultado: Al finalizar este ejercicio, habr configurado los objetos de Active Directory.
Ejercicio 1: Respuestas claves (pasos detallados)
-
8/6/2019 curso 6824A_reducido
89/427
Ejercicio 2: Implementacin de una estrategia de grupo de AD DS
Ejercicio 2: Implementacin de una estrategia de grupo de AD DS
En este ejercicio, se revisarn los requisitos para la creacin de grupos en Woodgrove Bank. Adems, podr crear losgrupos solicitados y configurar la anidacin de grupo.
Las principales tareas se realizarn como se detalla a continuacin:
Encienda la mquina virtual 6824A-LON-DC1 y luego inicie sesin como Administrador.1.
Revise la documentacin de requisitos del grupo y c