Download - Active Directory 1-9
-
8/13/2019 Active Directory 1-9
1/47
aaaaa
Emanuel Adrin Gabriel Stasiuc
PrcticaActive
Directory
1-9
-
8/13/2019 Active Directory 1-9
2/47
2
2Active Directory 2 A.S.I.R. Emanuel Adrin Gabriel Stasiuc
Prctica Active Directory 1-6
Perteneces al departamento de sistemas de la empresa Asir2 S.A.
A fecha de 28 de Octubre de este ao, se plantea una migracindel entorno corporativo a la versin de Windows Server 2008.
Esto es debido al gran auge experimentado por la empresa,
gracias al buen hacer de sus trabajadores (tus compaeros de
clase, que son unos fenmenos, como t). Como consecuencia se
va a proceder al traslado de toda la empresa a un nuevo edificio
situado en la C/Arcos de la Frontera s/n.
Nuestra labor como analistas y tcnicos de sistemas es la de
determinar los procedimientos necesarios para dicha migracin
y llevarlos a cabo para tal fecha.
Suponemos que tenemos que controlar en el nuevo entorno los
mismos elementos que estn actualmente en produccin:
Administracin de usuarios y grupos.
Administracin de ficheros.
Administracin de discos.
Copias de seguridad.
El trabajo consiste en realizar un informe detallado de los pasos
seguidos para la nueva implantacin con el mximo nivel de
detalle (incluyendo capturas de pantalla) de los pasos seguidos
para la gestin de los servicios anteriormente citados y otros
nuevos que aadiremos.
La informacin necesaria para esta labor en relacin al entorno
actual es la siguiente:
-
8/13/2019 Active Directory 1-9
3/47
3Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
1. La empresa consta de 20 empleados.
2. Tres de ellos pertenecen al departamento de sistemas. Donde
uno de ellos es el administrador y los otros dos son los
encargados de la gestin de incidencias.
Esta se almacenar en una carpeta a la que solo tendr acceso el
departamento de sistemas. Los datos estarn en una particin o
disco duro diferente a la del sistema operativo.
3. 15 empleados son desarrolladores de software que tienen
acceso limitado a los repositorios de cdigo y de documentacin,
donde nicamente tendrn acceso a aquellos directorios
asociados al proyecto en el que estn trabajando.
4. Existen dos usuarios especiales correspondientes al gerente y
al director de la empresa. El gerente tendr acceso a toda la
documentacin y cdigo ejecutable de los proyectos. El director
tendr acceso ilimitado a todos los recursos disponibles.
5. La empresa tiene una serie de servicios que quiere seguir
manteniendo (incluidos sus nombres):
a. Controlador de Dominio => tunombre.gcap.net
b. Servicio DNS
c. Servicio DHCP =>192.168.100.0/24
i.mbito: 192.168.100.2 192.168.100.254
ii. Servidor: 192.168.100.1
6. Todos los equipos (mquinas virtuales) deben estar
conectados a un switch virtual que trabaje es la subred
192.168.100.0/24. Configura una interfaz de red para simular lo
anterior y que no tengan salida a Internet. Como si estuvieran
todos conectados fsicamente a un switch.
-
8/13/2019 Active Directory 1-9
4/47
4Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Comienzo de la prctica
Primero vamos a configurar las interfaces de red en nuestro
Windows 2008 Server.
Creamos una Red NATpara tener acceso a Internet y una Red
Internapara comunicarse con los Clientes:
Establecemos la IP requerida a nuestro Servidor:
-
8/13/2019 Active Directory 1-9
5/47
5Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Ahora vamos al Administrador del Servidor y seleccionamos la
opcin Agregar funciones:
A continuacin, instalamos y configuramos el servicio DHCP:
Indicamos como nombre del dominio principal
emanuel.gcap.net e indicamos la IPde nuestro Servidor:
-
8/13/2019 Active Directory 1-9
6/47
6Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Agregamos un mbito llamado ASIR2 indicando la IP inicial,
la IP final, la mscara de subred y la puerta de enlace
predeterminada:
-
8/13/2019 Active Directory 1-9
7/47
7Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Deshabilitamos el modo sin estado DHCPv6:
Confirmamos la instalacin de DHCP y comprobamos que el
servicio se ha instalado correctamente:
-
8/13/2019 Active Directory 1-9
8/47
8Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Ahora pasamos a instalar los servicios de dominio de
Active Directoryy DNS:
-
8/13/2019 Active Directory 1-9
9/47
9Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Seleccionamos Crear un dominio nuevo:
El nombre del dominio raz ser emanuel.gcap.net:
-
8/13/2019 Active Directory 1-9
10/47
10Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Establecemos como nivel funcional
Windows Server 2008 ya que no agregaremos al bosque
controladores de dominio inferiores a Windows Server 2008:
Seleccionamos Servidor DNS para instalar el servicio DNS:
A continuacin nos pide introducir la contrasea del
Administrador:
-
8/13/2019 Active Directory 1-9
11/47
-
8/13/2019 Active Directory 1-9
12/47
12Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Una vez terminada la instalacin, nos pide reiniciar el equipo y
podemos observar que tenemos los servicios DHCP, DNSy
Active Directory instalados:
Ahora cuando iniciamos sesin nos aparece el nombre NetBiosdel dominio que hemos creado:
-
8/13/2019 Active Directory 1-9
13/47
13Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
1. La empresa consta de 20 empleados.
Vamos a nuestro dominio creado dentro de
Administrador del Servidor yvamos a crear diferentes
unidades organizativas segn la estructura de nuestra empresaASIR2.
-
8/13/2019 Active Directory 1-9
14/47
14Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Dentro de nuestra empresa ASIR2 creamos las diferentes
unidades organizativas segn la estructura de la empresa:
De la misma forma creamos las diferentes unidades
organizativas restantes:
2. Tres de ellos pertenecen al departamento de
sistemas. Donde uno de ellos es el administrador y losotros dos son los encargados de la gestin de
incidencias.
Esta se almacenar en una carpeta a la que solo tendr
acceso el departamento de sistemas. Los datos estarn
en una particin o disco duro diferente a la del sistema
operativo.
-
8/13/2019 Active Directory 1-9
15/47
15Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Dentro de la Unidad Organizativa SISTEMAScreada
anteriormente creamos el primer usuario ADMIN-SIS:
Establecemos una contrasea segura al usuario ADMIN-SIS:
Finalizamos la creacin del usuario:
-
8/13/2019 Active Directory 1-9
16/47
16Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Ahora creamos dos usuarios encargados de la gestin de
incidencias llamados ENCARG-1 y ENCARG-2:
-
8/13/2019 Active Directory 1-9
17/47
17Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Una vez creados los usuarios, creamos un grupo para poder
asignarle permisos llamado sistemas de mbito global:
Introducimos dentro del grupo a los tres usuarios creados
anteriormente ADMIN-SIS, ENCARG-1 y ENCARG-2:
-
8/13/2019 Active Directory 1-9
18/47
18Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Creamos una particin nueva diferente del sistema operativo en
la que vamos a crear una carpeta a la que tienen acceso
solamente los 3 empleados del Grupo SISTEMAS:
Ahora creamos una carpeta en el Disco ASIR2 y dentrocreamos una carpeta llamada SISTEMAS y le damos
permisos al grupo sistemas sobre su carpeta:
-
8/13/2019 Active Directory 1-9
19/47
19Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
3. 15 empleados son desarrolladores de software que
tienen acceso limitado a los repositorios de cdigo y de
documentacin, donde nicamente tendrn acceso a
aquellos directorios asociados al proyecto en el queestn trabajando.
Ahora creamos los 15 empleados dentro de la unidad
organizativa DESARROLLO:
Vamos a crear 3 grupos diferentes de mbito local con 5
empleados cada uno que trabajarn en 3 proyectos distintos:
-
8/13/2019 Active Directory 1-9
20/47
20Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Dentro del grupo local PROYECTO-1 introducimos los
primeros 5 empleados:
Creamos el grupo PROYECTO-2de mbito local:
Introducimos los siguientes 5 empleados:
-
8/13/2019 Active Directory 1-9
21/47
-
8/13/2019 Active Directory 1-9
22/47
22Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
A la carpeta DESARROLLADORES le asignamos los
permisos de acceso a la carpeta a los tres grupos de proyecto.
Asignamos a la carpeta PROYECTO-1todos los permisos
para el grupo PROYECTO-1 que hemos creado antes:
Asignamos a la carpeta PROYECTO-2 todos los permisos
para el grupo PROYECTO-2 que hemos creado antes:
-
8/13/2019 Active Directory 1-9
23/47
23Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Asignamos a la carpeta PROYECTO-3 todos los permisos
para el grupo PROYECTO-3 que hemos creado antes:
-
8/13/2019 Active Directory 1-9
24/47
24Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
4. Existen dos usuarios especiales correspondientes al
gerente y al director de la empresa. El gerente tendr
acceso a toda la documentacin y cdigo ejecutable de
los proyectos. El director tendr acceso ilimitado atodos los recursos disponibles.
Creamos el usuario gerente2013:
Creamos tambin un grupo llamado GERENTES para
introducir a los diferentes gerentesque pueden pasar por la
empresa y darlos de alta o de baja del grupo sin hacerlo carpeta
por carpeta.
-
8/13/2019 Active Directory 1-9
25/47
25Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Agregamos el gerente actual en el grupo GERENTES:
Al grupo GERENTES le damos permisos de lectura y
ejecucin sobre la carpeta DESARROLLADORES quecontiene los directorios de los proyectos:
Ahora vamos a crear al usuario director2013:
-
8/13/2019 Active Directory 1-9
26/47
26Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Creamos tambin un grupo llamado DIRECTORES para
introducir a los diferentes directoresque pueden pasar por la
empresa y darlos de alta o de baja del grupo sin hacerlo carpeta
por carpeta.
Agregamos el director actual en el grupo DIRECTORES:
Al grupo DIRECTORES le damos permisos de acceso a todos
los recursos disponibles de la empresa ASIR2:
-
8/13/2019 Active Directory 1-9
27/47
27Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Una vez que cada carpeta tiene los permisos asignados para
cada grupo, ahora vamos a compartir la particin de datos para
todos los grupos por NTFS:
-
8/13/2019 Active Directory 1-9
28/47
28Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Hacemos una prueba para ver que todo funciona correctamente.
Nos conectamos con el usuario emple-1 del PROYECTO-1a su correspondiente carpeta y vemos que podemos acceder:
-
8/13/2019 Active Directory 1-9
29/47
29Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Si intentamos conectarnos con el mismo usuario a la carpeta del
PROYECTO-2 y vemos que no tenemos permiso:
Por ltimo, vamos a crear una carpeta para los perfiles mviles
de todos los usuarios:
Vamos a Propiedades de la carpeta y la compartimos ya que
dentro estarn todos los directorios de los diferentes usuarios
que se conectan en el dominio emanuel.gcap.net:
-
8/13/2019 Active Directory 1-9
30/47
30Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
En compartir indicamos permiso de Copropietario para
que los grupos tengan acceso a la carpeta al iniciar sesin:
Indicamos al usuario director2013 que la ruta de su perfil seencuentra en la carpeta que hemos creado anteriormente:
-
8/13/2019 Active Directory 1-9
31/47
31Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Usamos la variable %username% para que cuando el
usuario inicie sesin en el dominio emanuel.gcap.net se
pueda crear un directorio en la carpeta PERFILES con elmismo nombre que tiene como usuario.
De esta forma repetimos el proceso con todos los usuarios.
5. La empresa tiene una serie de servicios que quiere seguirmanteniendo (incluidos sus nombres):
a. Controlador de Dominio => tunombre.gcap.net
Comprobamos que el nombre del dominio es
emanuel.gcap.net:
-
8/13/2019 Active Directory 1-9
32/47
32Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
b. Servicio DNS
Comprobamos que se han creado las zonas correctamente:
c. Servicio DHCP =>192.168.100.0/24
Observamos que el Servicio DHCP est activo:
i. mbito: 192.168.100.2 192.168.100.254
Comprobamos que el mbito se corresponde con lo requerido:
-
8/13/2019 Active Directory 1-9
33/47
33Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
ii. Servidor: 192.168.100.1
Observamos que el Servidor tiene asignada la IP fija requerida:
6. Todos los equipos (mquinas virtuales) deben estarconectados a un switch virtual que trabaje es la subred
192.168.100.0/24. Configura una interfaz de red para
simular lo anterior y que no tengan salida a Internet.
Como si estuvieran todos conectados fsicamente a un
switch.
Cogemos un cliente Windows XP y le asignamos solamente unaRed Interna para que no tenga salida a Internet:
-
8/13/2019 Active Directory 1-9
34/47
34Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Indicamos a nuestro Cliente que la direccin del Servidor DNS
es 192.168.100.1 ya que por defecto intenta conectarse a la
direccin 192.168.1.1:
Nos vamos a propiedades del sistema y en la opcin
cambiar el nombre del equipo podemos cambiar el
nombre del equipo que queremos mostrar.
Aqu introducimos el nombre de nuestro dominio
emanuel.gcap.net para pertenecer al mismo.
Inmediatamente nos pide un usuario y una contrasea con
permisos para unirse al dominio emanuel.gcap.net:
-
8/13/2019 Active Directory 1-9
35/47
35Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Introducimos los datos del usuario director2013 y nos da la
bienvenida al unirnos al dominio:
Ahora nos pide reiniciar el equipo y lo reiniciamos:
-
8/13/2019 Active Directory 1-9
36/47
36Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Reiniciamos el equipo:
Al reiniciar nos aparece lo siguiente:
-
8/13/2019 Active Directory 1-9
37/47
37Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Seleccionamos el nombre de equipo ASIR2 e introducimos el
usuario director2013 para ver si podemos iniciar sesin:
Comprobamos que podemos iniciar sesin con el usuario
director2013 en nuestro Cliente Windows XPy creamos una
carpeta de prueba en el escritorio:
-
8/13/2019 Active Directory 1-9
38/47
38Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Al iniciar sesin comprobamos que en el Servidor Windows
Server 2008 en la carpeta PERFILES se ha creado el
directorio del usuario que ha iniciado sesin en el dominio:
Exploramos las carpetas que se han creado al iniciar sesin:
Y observamos que la carpeta prueba que hemos creado con el
perfil mvil director2013 se ha guardado una vez que hemos
cerrado sesin con el usuario:
-
8/13/2019 Active Directory 1-9
39/47
39Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Aunque ya podemos iniciar sesin en el dominio
emanuel.gcap.net con cualquier usuario que pertenece al
dominio, seguimos sin tener internet en el Clienteya que
solamente tenemos una Red Interna asignada que se comunica
con el Controlador de Dominio y no tenemos salida al exterior:
Para ofrecer Internet a toda la red virtual que hemos creado,
tenemos que agregar una funcin en nuestro Servidor llamada
Servicios de acceso y directivas de redes:
-
8/13/2019 Active Directory 1-9
40/47
40Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Seleccionamos los siguiente Servicios de Funcin:
Ya tenemos instalado el servicio de acceso remoto y el
enrutamiento:
Pasamos a configurar el servicio instalado:
-
8/13/2019 Active Directory 1-9
41/47
41Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Seleccionamos Traducir direcciones NAT para que los Clientes
internos puedan conectarse a Internet:
Seleccionamos la Interfaz con la que nos comunicamos al
exterior:
Una vez finalizada la configuracin del enrutamiento
observamos lo siguiente:
-
8/13/2019 Active Directory 1-9
42/47
42Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Ahora comprobamos que en nuestro cliente tenemos Internet:
8. Se crear tambin un perfil obligatorio, llamado
invitado, por si alguien ajeno a la empresa quiere
usar algn equipo. Este perfil no tendr acceso a
ningn otro perfil, proyecto, documentacin, etc de la
empresa. Los datos de los perfiles estarn en una
particin o disco duro diferente a la del sistemaoperativo.
-
8/13/2019 Active Directory 1-9
43/47
43Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Para crear el perfil obligatorio, primero habilitamos la cuenta
Invitado en el Servidor:
Creamos la carpeta OBLIGATORIOy la compartimos para
Todoslos usuarios:
Nos vamos al cliente XP e iniciamos sesin con el usuario
Administradordel Servidory nos dirigimos a
propiedades del sistema, opciones avanzadasy
configuracin de perfilesde usuario:
-
8/13/2019 Active Directory 1-9
44/47
44Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Seleccionamos el usuario emple1 y seleccionamos copiar
a y a continuacin introducimos la ruta de nuestro Servidor
hasta la carpeta OBLIGATORIO y la carpeta del usuario se
llamar INVITADO.MAN:
Seleccionamos en Cambiar para permitir usar la carpeta por
el grupo Todos:
-
8/13/2019 Active Directory 1-9
45/47
45Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Ahora comprobamos que la carpeta INVITADO.MANse ha
copiado y creado en nuestro Servidor y en opciones de carpeta,
permitimos ver archivos ocultos del sistema:
-
8/13/2019 Active Directory 1-9
46/47
46Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Nos aparece un fichero llamado ntuser.daty le modificamos
la extensin del fichero oculto a NTUSER.MAN:
Por ltimo vamos a nuestro usuario Invitadopreviamente
habilitado y en ruta de acceso al perfil ponemos la siguiente:
Iniciamos sesin en nuestro cliente Windows XP con el usuario
Invitadodel Servidor y creamos una carpeta de prueba:
-
8/13/2019 Active Directory 1-9
47/47
47Active Directory 2 A.S.I.R. Emanuel Adrian Gabriel Stasiuc
Cerramos sesin y nos volvemos a meter con el usuario
Invitado y observamos que la carpeta no se ha guardado: