practica 02. active directory w2012r2-hm

UPG-FIS

- HMaq

uera

Microsoft Windows Server 2012 R2 - 1 -

Ing. Henry George Maquera Quispe

ACTIVE DIRECTORY - WINDOWS 2012 R2 SERVER 1. INICIO DE LA MAQUINA VIRTUAL Inicie la maquina virtual donde instalo Windows Server 2012 R2. Esta práctica tendrá que hacerla coordinando con su compañero de junto o en todo caso en su propio equipo, sin embargo se recomienda que utilice el tipo de conexión host only.

UPG-FIS

- HMaq

uera



2. CONDICIONES PREVIAS Para instalar el servicio Active Directory primero debe asegurarse que el usuario Administrador del Sistema Operativo contenga un password, en este caso recuerde que se le asigno el password SejatPQ@Upla (si se encuentra vacio no permitirá su instalación).

UPG-FIS

- HMaq

uera



Asegurece que el equipo servidor tenga una dirección IP estatica. En caso de no tenerla asígnele alguna.

UPG-FIS

- HMaq

uera



Asegurese que se ha asignado un nombre al equipo y un area de grupo de trabajo pertinente.

UPG-FIS

- HMaq

uera



Puede observar todas estas exigencias a través de la ventana Administrador del servidor, haciendo clic en la opción Servidor Local.

3. INSTALACIÓN DE ACTIVE DIRECTORY a) La ventana Administrador del Servidor permite la instalación de diversos roles y

características del servidor. En este caso se instalara el servicio DNS y Active Directory. En la ventana Administrador del Servidor haga clic en la opción Administrar que se encuentra ubicada en la sección derecha superior.

UPG-FIS

- HMaq

uera



b) Se inicia el Asistente para agregar roles y Características, esta ventana le permite realizar acciones en forma confiable y segura. Ante esta ventana haga clic en Siguiente.

UPG-FIS

- HMaq

uera



c) En la ventana Seleccionar tipo de Instalacion seleccione la opción Instalacion basada en características o en roles, que permite la configuración en el servidor local. La opción Instalación de Servicios de Escritorio Remoto le exigirá determinar el servidor destino. Haga clic en Siguiente.

UPG-FIS

- HMaq

uera



d) En la ventana Seleccionar servidor de destino elija la opción seleccione la opción Seleccionar servidor del grupo de servidores notara que se lista su servidor. Mientras que la opción Seleccionar un disco duro virtual le pedirá la ubicación física de una unidad virtual que actuara como repositorio de información.

UPG-FIS

- HMaq

uera



e) Seleccione el servicio que desee instalar. En este caso selecciona Servicios de dominio de Active Directory y Servidor DNS.

UPG-FIS

- HMaq

uera



f) Es muy probable que se solicite agregar caracteristicas adicionales para la instalacion de estos servicios. Haga clic en Agregar caracteristicas a fin de completar la selección del servicio. Seguidamente haga clic en Siguiente.

UPG-FIS

- HMaq

uera



UPG-FIS

- HMaq

uera



g) En la ventana Seleccionar Caracteristicas seleccione el Servicio SNMP fin de recibir notificaciones de los equipos de red. Es probable que se solicite la instalación de características adicionales, entonces haga clic en Agregar Caracteristicas. Seguidamente haga clic en Siguiente.

UPG-FIS

- HMaq

uera



UPG-FIS

- HMaq

uera



h) La ventana Servicios de dominio de Active Directory brinda información general de las ventajas y observaciones del servicio a instalar. Haga clic en Siguiente.

UPG-FIS

- HMaq

uera



i) La ventana Servidor DNS brinda información general de las ventajas y observaciones del servicio a instalar. Haga clic en Siguiente.

UPG-FIS

- HMaq

uera



j) La ventana Confirmar selecciones de instalacion, muestra un resumen de los servicios a instalar y solicita confirmacion de los mismos. Haga clic en Instalar a fin de completar este proceso.

UPG-FIS

- HMaq

uera



k) El proceso de instalación puede consumir algunos minutos. Observara la barra de estado durante el desarrollo del mismo. Al término del proceso haga clic en Cerrar a fin de completar el proceso.

l) Al terminar el proceso puede observar en la Ventana del Servidor, en la sección Panel que

se muestran los roles instalados en el servidor.

UPG-FIS

- HMaq

uera



4. CONFIGURACION DE ACTIVE DIRECTORY a) Puede observar que los roles manifiestan una alerta en la ventana de Administrador del

Servidor. Esto se debe a que aun no se ha configurado el servicio Active Directory. Haga clic en el servicio Active Directory – AD DS.

b) La ventana AD DS del Administrador del Servidor manifiesta una advertencia y requerimiento. Haga clic en Más a fin de determinar las causas y soluciones.

UPG-FIS

- HMaq

uera



c) En la ventana Detalles de tarea de Todos los servidores se muestra la naturaleza de la tarea y se indica la acción a tomar. En este caso se requiere Promover este servidor a controlador de dominio. Haga clic sobre esta opción a fin de solucionar los inconvenientes.

d) Se inicia el asistente para la configuración del servicio Active Directory. En la ventana

Configuracion de implementación seleccione le opción Agregar un nuevo bosque e ingrese el nombre del dominio, en este caso ingrese servicios.com.pe. Seguidamente haga clic en Instalar.

UPG-FIS

- HMaq

uera



Crear un nuevo dominio en un nuevo bosque. Crear un nuevo bosque con un árbol cuya raíz es el dominio que va a crearse.

Creación de un dominio secundario en un árbol de dominios secundarios existente. Sería el caso en el que nos encontraríamos al añadir el subdominio.

Creación de un nuevo árbol de dominios en un bosque existente. En este caso nos interesaría crear un dominio raíz de un nuevo árbol.

e) En la ventana Opciones del controlador de dominio puede cambiar los niveles funcionales

del bosque como del dominio. En esta ocasión debe las opciones por defecto. Ingrese la contraseña Sejat-PQ a fin de tener presente una contraseña en caso de restauración.

Funcionalidad de dominios y bosques.

El nuevo nivel funcional de dominio de Windows Server 2012 permite un nueva característica: la compatibilidad de KDC con notificaciones, autenticación compuesta y protección de Kerberos La directiva de plantillas administrativas KDC tiene dos configuraciones (proporcionar siempre notificaciones y error de solicitudes de autenticación sin blindar) que requieren el nivel funcional

de dominio de Windows Server 2012. El nivel funcional del bosque de Windows Server 2012 no proporciona características nuevas, pero asegura que todo dominio nuevo creado en el bosque funcione automáticamente en el nivel funcional de dominio de Windows Server 2012. El nivel funcional del dominio Windows Server 2012 no proporciona otras características nuevas además de la compatibilidad de KDC con notificaciones, autenticación compuesta y protección de Kerberos. No obstante, garantiza que cualquier controlador de dominio que se encuentre en el dominio ejecute Windows Server 2012. Después de establecer el nivel funcional del bosque en un determinado valor, no se puede revertir o

bajar el nivel funcional del bosque, salvo en las siguientes excepciones: cuando eleve el nivel funcional del bosque a Windows Server 2012, puede bajarlo a Windows Server 2008 R2. Si la papelera de reciclaje de Active Directory no está habilitada, también puede bajar el nivel funcional del bosque de Windows Server 2012 a Windows Server 2008 R2 o Windows Server 2008 o de Windows Server 2008

UPG-FIS

- HMaq

uera



R2 de vuelta a Windows Server 2008. Si el nivel funcional del bosque está establecido en Windows Server 2008 R2, no puede revertirse, por ejemplo, a Windows Server 2003. Después de establecer el nivel funcional del dominio en un determinado valor, no se puede revertir

o bajar el nivel funcional del dominio, salvo en las siguientes excepciones: cuando eleve el nivel funcional del dominio a Windows Server 2008 R2 o Windows Server 2012 y si el nivel funcional del bosque es Windows Server 2008 o inferior, tiene la opción de revertir el nivel funcional del dominio a Windows Server 2008 o Windows Server 2008 R2. Solo se puede bajar el nivel funcional del dominio de Windows Server 2012 a Windows Server 2008 R2 o Windows Server 2008, o de Windows Server 2008 R2 a Windows Server 2008. Si el nivel funcional del dominio está establecido en Windows Server 2008 R2, no puede revertirse, por ejemplo, a Windows Server 2003. Más allá de los niveles funcionales, un controlador de dominio que ejecuta Windows Server 2012 proporciona características adicionales que no están disponibles en un controlador de dominio que ejecuta una versión anterior de Windows Server. Por ejemplo, un controlador de dominio que ejecuta Windows Server 2012 puede usarse para la clonación del controlador de dominio virtual, mientras que un controlador de dominio que ejecuta una versión anterior de Windows Server no puede hacerlo. Pero la clonación de controladores de dominio virtuales y las medidas de seguridad de controladores de dominio virtuales en Windows Server 2012 no tienen ningún requisito de nivel funcional.

f) En la ventana Opciones de DNS indica que no se puede crear una zona DNS para este

servidor. En este caso haga clic en Siguiente a fin de continuar.

Si presiona sobre la opción Mas se muestra el descriptivo de los motivos de esta advertencia.

UPG-FIS

- HMaq

uera



g) En la ventana Opciones adicionales haga clic en Siguiente a fin de establecer el nombre

que se asignara al dominio.

UPG-FIS

- HMaq

uera



h) En la ventana Rutas de acceso se resumen las carpetas donde se almacenaran los diferentes archivos necesarios para el buen funcionamiento de Active Directory.

UPG-FIS

- HMaq

uera



i) La ventana Revisar opciones le permite tener un resumen de la configuración del servicio active directory.

j) La opción Ver Script le permite observar los códigos a implementar si requiere desarrollar

esta solución en diferentes servidores. Guarde este script. Cierre esta ventana. Haga clic en Siguiente.

UPG-FIS

- HMaq

uera



k) La ventana Comprobacion de requisitos previos realiza una comprobación sobre los servicios instalados. Observara que a pesar que existen algunas observaciones se da como resultado un nivel satisfactorio. Haga clic en Instalar.

l) Para terminar, el asistente indica que ha finalizado la instalación del Active Directory y que

es preciso reiniciar el sistema operativo.

m) Seguidamente se reinicia el servidor con la respectiva actualización de servicios.

4.1. Revision Basica de la Instalación de Active Directory

a) En el reinio del equipo notara que se aplica la nueva configuración al equipo, este proceso suele durar unos minutos. Luego de este proceso notara que mostrara nombre del dominio SERVICIOS antecediendo al usuario Administrador, este proceso puede durar unos minutos. Ingrese la contraseña SejatPQ-Upla correspondiente a fin de iniciar la sesion.

UPG-FIS

- HMaq

uera



UPG-FIS

- HMaq

uera



b) En la ventana Administrador del Sevidor puede observar que no existe notificación y que los roles y caractertisticas se encuentran operativos. Asimismo en las opciones Herramientas se puede apreciar que se agregan nuevas opciones sobre Active Directory y DNS, ya que estos servicios ya han sido previamente instalados.

UPG-FIS

- HMaq

uera



c) Asimismo en el Inicio se aprecia que se han agregado opciones de los servicios DNS y Active Directory.

d) Ejecute la opción Herramientas / DNS de la ventana Administrador del Servidor a fin de

observar la estructura del servicio DNS.

e) Se puede llevar a cabo una revisión básica desde cualquiera de los servidores, comprobando

los servidores que actual como controladores, los dominios y subdominios, entre otras.

UPG-FIS

- HMaq

uera



Ejecute la opción Herramientas / Sitios y Servicios de Active Directory desde la ventana Administrador del Servidor.

f) Despliegue la carpeta Sitios / Default-First-Site-Name / Servers. Podra observar la lista de

servidores que forman parte del servicio de Active Directory actuando como controladores de dominio. Podrá observar asimismo que se lista el nombre de cada equipo y el dominio para el que actúa como controlador.

Sitios y servicios de Active Directory es un complemento de Microsoft Management Console (MMC) del sistema operativo Windows Server que puede usar para administrar la replicación de los datos de directorio entre todos los sitios de un bosque de los Servicios de dominio de Active Directory (AD DS). Este complemento también proporciona una vista de los objetos específicos del servicio que se publican en AD DS.

5. USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY a) La consola de Usuarios y Equipos del Directorio, cuya ventana principal se puede apreciar

al ejecutar la opción Herramientas / Usuarios y equipos de Active Directory de la ventana Administrador del Servidor.

UPG-FIS

- HMaq

uera



b) La consola de equipos permitirá crear nuevos usuarios, equipos y unidades organizativas,

como para editar los objetos ya existentes, modificando sus propiedades, cambiando su pertenencia a grupos de seguridad, llevándolos de unas unidades organizativas a otras, etc. También puede apreciarse que existen una serie de carpetas ya definidas en cada dominio.

Para trabajar en esta consola deberá servirse principalmente del menú contextual asociado a cada una de las carpetas y cada objeto contenido en ellas. En los distintos menús contextuales encontrará opciones para crear grupos, unidades organizativas y distintos tipos de cuentas, también podrá acceder a las propiedades de cada objeto, mover objetos de un contenedor a otro, deshabilitar una cuenta, restablecer su contraseña, etc. En los puntos siguientes conocerá algunos de los elementos que existen en esta consola, por lo que lo primero que debe hacer es abrirla. Haga clic en Herramientas y elija la opción Usuarios y equipos de Active Directory en la ventana Administrador del Servidor. 5.1. Unidades Organizativas (OU) La unidad organizativa se condisera un tipo de objeto de directorio incluido en los dominios del servidore y de la red. Se define a las unidades organizativas como contenedores de Active Directory en los que puede crear y administrar usuarios, grupos, equipos e incluso otras unidades organizativas. Sin embargo una unidad organizativa no puede contener objetos de otros dominios. Por lo que se puede conlcuir que una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Mediante unidades organizativas puede crear y administrar contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización.

Dominio 01.com.pe/UO1

Dominio 01.com.pe/UO2 Dominio 01.com.pe/UO3

Se puede ir creando cuentas de equipos y usuarios directamente en las carpetas predefinidas que aparecen en la consola, partiendo de una correcta planificación nos resultará más sencillo crear previamente las unidades organizativas apropiadas para la empresa, introduciendo posteriormente en ellas las cuentas que se necesite.

UPG-FIS

- HMaq

uera



a) Seleccione el objeto servicios.com.pe, seguidamente active su menú contextual y seleccione la opción Nuevo / Unidad Organizativa.

b) Escriba Administracion en el cuadro de texto. Notara que por defecto se activa la casilla Proteger contenedor contra eliminacion accidental la cual impedirá que se elimine en forma accidental este objeto. Luego haga clic en Aceptar.

UPG-FIS

- HMaq

uera



c) Repita el paso anterior e implemente la unidad organizacional Gestion TI. Asimismo ubíquese en la unidad organizacional Administración, luego dentro de esta implemente las unidades organizacionales Finanzas y Recursos.

d) Dentro de la Unidad Organizacional Gestion TI implemente las unidades organizacionales

Monitoreo, Herramientas TI y Telecomunicaciones.

UPG-FIS

- HMaq

uera



Las unidades organizativas pueden contener otras unidades en su interior, lo cual le permite crear estructuras lógicas. La unidad Gestion TI, por ejemplo, contiene tres sub-unidades llamadas Monitoreo, Herramientas TI y Telecomunicaciones. 5.2. Propiedades de una Unidad Organizativa (OU) Aunque el único dato imprescindible para crear una nueva OU sea el nombre, posteriormente se puede editar el resto de sus propiedades eligiendo la opción Propiedades de su menú contextual. a) Seleccione el objeto Gestion TI, active su menú contextual y ejecute la opción Propiedades.

UPG-FIS

- HMaq

uera



b) La ventana de propiedades cuenta con tres páginas en las que se puede introducir datos de localización física de la unidad, indicar qué cuenta será la que administre dicha unidad y configurar la interactuación con COM+.

El aspecto más interesante de las unidades organizativas es la facultad de enlazarles directivas de grupo de manera que éstas recaigan sobre los objetos contenidos en la unidad. La división de cuentas en diferentes unidades organizativas permitirá asignar configuraciones y politcas diferentes mediante la implementación de directivas.

UPG-FIS

- HMaq

uera



c) Si abre las páginas de propiedades de las carpetas Computers y Users podrá comprobar que no existen páginas que se encuentran en una unidad organizativa. Los elementos que se cree en una OU pueden verse afectados por una directiva de grupo específica, mientras que aquellos que se encuentran en Users no se verán afectados.

UPG-FIS

- HMaq

uera



5.3. Contenido de una Unidad Organizativa Una unidad organizativa es un contenedor lógico, pero no servirá de nada si, tras creado, queda vacío, a pesar de que le asociemos directivas de grupo. En una OU es posible introducir prácticamente cualquier tipo de objeto, si exceptuamos los propios dominios, incluidas otras OU. a) Haga clic con el botón secundario del ratón sobre cualquiera de las unidades organizativas

creadas previamente, para abrir el menú contextual correspondiente, y elija la opción Nuevo.

Verá aparecer una lista de los tipos de objetos que puede crear en el interior de la OU:

Equipo: Las cuentas de equipo representan a los computadores que se conectan al dominio. Pueden crearse manualmente, con esta opción, o automáticamente en el momento en que el ordenador se una al dominio.

Contacto: Un contacto es una cuenta de usuario, con una dirección de correo electrónico asociada de manera opcional, pero que no puede utilizarse para iniciar sesión en el dominio.

Grupo: A diferencia de los equipos y los usuarios, los grupos no son cuentas. En realidad son objetos mediante los cuales se definen las credenciales que se asignarán a las cuentas, autorizándoles o denegándoles el acceso a los recursos.

InetOrgPerson: Es una clase de objeto que facilita la transición desde servicios de directorio ajenos a Microsoft, siempre que utilicen los protocolos LDAP o X.500.

Alias de cola de MSMQ: Representa un tipo de recurso que puede ser compartido entre las cuentas que forman parte de la unidad organizativa.

UPG-FIS

- HMaq

uera



Unidad organizativa: Es básicamente un contenedor para otras clases de objeto, tal y como se ha descrito anteriormente.

Impresora: Permite compartir una impresora entre los usuarios que pertenecen a la unidad organizativa.

Usuario: Todos los clientes que vayan a iniciar sesión en el dominio deben contar con una cuenta de usuario. Cada cuenta se define como un nombre, el identificador de usuario y una contraseña. Se desaconseja compartir una misma cuenta de usuario entre varios clientes en aras de la seguridad.

Carpeta compartida: Representa otro tipo de recurso compartido, en este caso una carpeta en la que los usuarios pueden encontrar información o almacenada, según las credenciales con que cuenten.

Cada tipo de objeto cuenta con su propio cuadro de diálogo para la creación, solicitando siempre datos básicos que, con posterioridad, pueden ampliarse accediendo a la ventana de propiedades correspondiente.

5.4. Configuración de los objetos OU a) Seleccione el icono redes.com.pe. Active el menú contextual y ejecute la opción

Propiedades.

Podrá observar las características generales del objeto servicios.com.pe. Notara que solo las opciones “básicas” son mostradas.

UPG-FIS

- HMaq

uera



b) En el menú Ver seleccione la opción Características Avanzadas. Seleccione el icono servicios.com.pe.

c) Seguidamente la cantidad de carpetas dentro del dominio se incrementa. Ejecute el menú

contextual del objeto servicios.com.pe y active la opción Propiedades.

UPG-FIS

- HMaq

uera



d) La ficha Objeto muestra la ruta completa hasta el objeto en la jerarquía del dominio la fecha y hora de su creación y de su última modificación y los números de secuencias actualizadas desde que se creó y desde que se modificó por última vez.

UPG-FIS

- HMaq

uera



e) La ficha Seguridad permite controlar el acceso a los objetos asignando permisos a usuarios y a grupos. Cuando se pulsa Opciones avanzadas se puede ver la pestaña Permisos.

UPG-FIS

- HMaq

uera



f) Finalmente cierre la ventana Configuracion de Seguridad Avanzada para redes para proseguir con la práctica.

6. CUENTAS DE USUARIO Si la configuración inicial de Active Directory cuenta ya con una serie de grupos de seguridad que suelen ser suficientes para la configuración de la mayoría de empresas, no ocurre lo mismo con las cuentas de usuario. En principio, las únicas dos cuentas predefinidas que encontraremos en la carpeta Users son Administrador e Invitado.

UPG-FIS

- HMaq

uera



Como es fácil suponer, la Cuenta Administrador es la que en principio le permite desempeñar las funciones de administración en el dominio. Es una cuenta con un alto nivel de privilegios que, en la práctica, puede realizar cualquier tarea en el sistema. En cuanto a la cuenta Invitado, se encuentra inicialmente desactivada, impidiendo el acceso inautorizado al dominio.

UPG-FIS

- HMaq

uera



6.1. Renombrar la Cuenta Administrador Asumiendo que ha iniciado sesión en el sistema utilizando la cuenta Administrador, dado que es la única disponible tras completar la instalación del sistema, para cambiarle el nombre daríamos los pasos siguientes: a) Seleccione en el panel izquierdo la carpeta Users. Localice el elemento Administrador en

el panel derecho y haga clic sobre él para renombrarlo, igual que haría en el Explorador de Windows para cambiarle el nombre a una carpeta o un archivo.

b) Introduzca el nuevo nombre, para este casi ingresaremos el nombre NetAdmi y pulse [Enter].

UPG-FIS

- HMaq

uera



c) El sistema le advertirá de que tendrá que reiniciar la sesión para garantizar la seguridad, ya que la cuenta Administrador dejará de existir a partir de este momento. Responda afirmativamente.

d) Seguidamente aparecerá una ventana de Cambiar nombre de usuario en la que deberá introducir el nuevo Nombre para el inicio de sesión y, opcionalmente, el nombre y apellidos de la persona que va a desempeñar la función de administrador. No olvide el nombre de inicio de sesión debe estar relacionado con el dominio del servidor. Finalmente haga clic en Aceptar.

UPG-FIS

- HMaq

uera



e) Reiniciado el sistema operativo, al no detectarse el usuario Administrador entonces se muestra los usuarios los cuales puede seleccionar.

UPG-FIS

- HMaq

uera



f) Finalmente, tras hacer clic en el botón Aceptar en la anterior ventana, cierre la sesión actual y vuelva a iniciar sesión utilizando ya el nuevo nombre de la Cuenta. La contraseña seguirá siendo la misma que hubiese establecido durante la configuración del controlador de dominio. Finalizado este proceso, su sistema ya es algo más seguro puesto que cualquier persona que intentase entrar en él utilizando la cuenta Administrador no lo conseguiría por muchos intentos que efectuase.

UPG-FIS

- HMaq

uera



g) Regrese a la ventana anterior, en la cual se aprecia las opciones de usuario a utilizar para ingresar. Seleccione la opción Otro usuario.

UPG-FIS

- HMaq

uera



h) Ingrese el nombre del usuario y su respectiva contraseña. Observe que el inicio se sesion se hara en el dominio Servicios. Seguidamente podrá ingresar al sistema operativo

UPG-FIS

- HMaq

uera



i) Si regrese a observar la ventana Usuarios y equipos de Active Directory notara que la

cuenta Administrador ha desaparecido y en su lugar se encuentra la cuenta Netadmi recientemente creada.

practica 02. active directory w2012r2-hm

Documents