Practica 2003 server_acitve_directory_fran_gavilan

Práctica Active Directory

Administración de Sistemas Operativos

Francisco Javier Gavilán Escriche 2ºA

Práctica Active Directory Francisco Javier Gavilán Escriche

1 1

INDICE

Objetivos .......................................................................................................................................... 2

Instalación de Active/Directory ....................................................................................................... 5

Punto 1 ............................................................................................................................................. 7

Punto 2 ............................................................................................................................................. 8

Punto 3 ............................................................................................................................................. 9

Punto 4 ........................................................................................................................................... 10

Punto 5 ........................................................................................................................................... 11

Instalación DNS ......................................................................................................................... 11

Instalación DHCP ...................................................................................................................... 13

Punto 6 ........................................................................................................................................... 15

Asociar dominio ............................................................................................................................ 16

Punto 7 ........................................................................................................................................... 17

Punto 8 ........................................................................................................................................... 20

Punto 9 ........................................................................................................................................... 23

Punto 10 ......................................................................................................................................... 25

Punto 11 ......................................................................................................................................... 40

Punto 12 ......................................................................................................................................... 46


2 2

Objetivos

Perteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 de

Octubre de este año, se plantea una migración del entorno corporativo a la versión de

Windows 2003 Server.

Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus

trabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como consecuencia

se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/ Arcos de la

Frontera s/n

Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos

necesarios para dicha migración y llevarlos a cabo para tal fecha.

Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están

actualmente en producción:

· Administración de usuarios y grupos.

· Administración de ficheros.

· Administración de discos.

· Copias de seguridad.

y añadir otros más

El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva

implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos

seguidos para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos.

La información necesaria para esta labor en relación al entorno actual es la siguiente:

1. La empresa consta de 20 empleados.

2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y

los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a

la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o disco

duro diferente a la del sistema operativo.

3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de

código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al

proyecto en el que estén trabajando.

4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El

gerente tendrá acceso a toda la documentación y código ejecutable C.F.G.S de Administración

de Sistemas Informáticos en Red Administración de Sistemas Operativos de los proyectos. El

director tendrá acceso ilimitado a todos los recursos disponibles.


3 3

5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus

nombres):

a. Controlador de Dominio => midominio.local

b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1

6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje

es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no

tengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch.

7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto de los

usuarios, salvo para los dos usuarios del punto anterior.

8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa

quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil, proyecto,

documentación, etc de la empresa. Los datos de los perfiles estarán en una partición o disco duro

diferente a la del sistema operativo.

9. El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables y

documentación de cada uno de los proyectos.

10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna

directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien del

departamento de sistema por alguna incidencia (cuidado con el firewall de windows),

deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio

corporativo para evitar “posibles distracciones”:

i. Habilitar Asistencia Remota Solicitada.

ii. Habilitar no permitir que se ejecute windows messenger.

iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.

iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.

v. Deshabilitar el uso de pendrives.

b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin

necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede

aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).

i. Habilitar ofrecer asistencia remota.

c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy

pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se almacenará en el

servidor (en una partición diferente a la del sistema operativo) llamada “personales”. El recurso

debe ser oculto para el resto. Como consecuencia de esto, se le C.F.G.S de Administración de

Sistemas Informáticos en Red Administración de Sistemas Operativos habilitará una cuota de

disco de 100 Mb, ya que estos ficheros personales no estarán asociados al perfil.


4 4

i. Redireccionamiento de “Mis Documentos”

ii. Limitar el tamaño del perfil.

d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le dé la gana y que

quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el

jefe). Recuerda la jerarquía de aplicación de las directivas de grupo.

i. Deshabilitar no permitir que se ejecute windows messenger.

ii. Habilitar el uso de pendrives.

e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”.

No olvides que no se pueden aplicar directivas de grupo a grupos del dominio.

11. Instala un servicio de distribución de software desde tu equipo servidor a las estaciones de

trabajo del dominio mediante paquetes MSI:

a. OpenOffice.

b. Firefox.

Crea tú mismo estos paquetes con alguna utilidad.

12. Instala DFS y haz una prueba de su funcionamiento.

Crearemos diferentes entradas en nuestro blog a medida que vayamos completando los diferentes

apartados:

• 1-6

• 7

• 8

• 9

• 10

• 11

• 12


5 5

Instalación de Active/Directory

Antes de empezar a hacer la práctica punto por punto debemos de instalar el active/directory ya

que es necesario su instalación para poder agregar usuarios, grupos, directivas de grupo a nuestro

dominio.

Vamos a inicio, a ejecutar e introducimos 'dcpromo' y proseguimos con la instalación y nos

pedirá el nombre de nuestro nuevo dominio, el cual hemos decidido denominarlo

midominio.local.

A continuación expongo pantallazos de los pasos más significativos en la instalación de

Active/Directory:


6 6

Una vez finalizada la instalación podemos proceder a la creación de usuarios y grupos, así como

a la instalación de los demás servicios como son el DNS y el DHCP, pero ahora mismo nos

vamos en la creación de todos los miembros de la empresa en la que vamos a trabajar.


7 7

Punto 1

La empresa consta de 20 empleados

He decidido estructurar los usuarios y grupos de active directory de la siguiente manera:

La empresa consta de 20 empleados, los cuales (la gran mayoría) van a estar distribuidos entre

dos departamentos que vamos a crear: departamento de software y departamento de sistemas

Hemos tenido que crear 15 usuarios destinados a llevar el control del departamento de software

denominados Empleado1 hasta Empleado15, 3 usuarios que van a pertenecer al departamento de

sistemas que van a ser el propio administrador del dominio y 2 encargados de llevar las posibles

incidencias que se puedan dar en el departamento denominados Encargado1 y Encargado2 y

luego también hemos tenido que crear 2 usuarios especiales para la ocasión llamados Director Y

Gerente. En la imagen actual podemos comprobar la existencia del usuario Gerente, Director y

también la existencia de un usuario invitado que lo crea el sistema y lo usaremos más adelante.

Aunque no se aprecie en la imagen también he creado los grupos software y sistemas en los

cuales van a ir los diferentes usuarios que hemos creado.


8 8

Punto 2

3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y

los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una

carpeta a la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una

partición o disco duro diferente a la del sistema operativo.

A continuación he creado en un disco duro alternativo (más detalles en el punto 9) una serie de

carpetas en las cuales se van a almacenar la información necesaria tanto para los usuarios del

grupo software como para los usuarios del grupo sistemas. De momento lo que hecho es otorgar

permisos a la carpeta Sistemas a los usuarios Administrador de midominio.local (control total),

encargado1 y encargado2 (les he dado permisos de cambiar y leer)


9 9

Punto 3

15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios

de código y de documentación, donde únicamente tendrán acceso a aquellos directorios

asociados al proyecto en el que estén trabajando.

Así es como quedaría la distribución de los empleados dentro del grupo software y otorgándoles

control total dentro de la carpeta software a todos sus respectivos empleados

He decidido estructurar el departamento de Software en 3 proyectos, los cuales cada uno de ellos

va a tener una serie de documentaciones y de repositorios a los cuales solo va a tener acceso una

cantidad limitada de usuarios de software. A continuación expongo una captura de cómo

quedaría la organización de las carpetas.


10 10

Al proyecto 1 solamente podrán acceder Director, Administrador y los empleados del 1 al

5 con permisos de control total y también el gerente pero solo con permisos de lectura.

Al proyecto 2, la misma estructura de usuarios salvo que en vez de que sean los empleados del 1

al 5, solo acceden del 6 al 10.

En el proyecto3 los mismos usuarios que en los casos anteriores pero solamente podrán tener

acceso los empleados del 11 al 15.

Punto 4

Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El

gerente tendrá acceso a toda la documentación y código ejecutable C.F.G.S de

Administración de Sistemas Informáticos en Red Administración de Sistemas Operativos

de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles.

Al estar todos los usuarios metidos dentro de dos grupos (grupo software y grupo sistemas) pues

automáticamente lo que hacemos es meter a estos dos usuarios dándole a director permisos de

control total y a gerente permisos de lectura, quedaría la estructura de permisos de la siguiente

manera:

Otra manera posible de administrar los permisos a los usuarios sería agregando el grupo entero

en vez de todos los usuarios como lo tengo en las imágenes, lo que pasa es que he dejado así la

organización de los usuarios por la estructura que había utilizado en ejercicios anteriores.

Únicamente hemos agregado ambos usuarios con permisos de control total al director y permisos

de solo lectura al gerente.


11 11

Punto 5

La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus

nombres):

a. Controlador de Dominio => midominio.local

b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1

Instalación DNS

Nos vamos a la siguiente ruta:

Inicio/Panel de control /Agregar o quitar Programas/Agregar o quitar componentes de Windows

Ahora pulsamos en Servicios de Red y posteriormente en detalles y escogemos la opción

“Sistema de Nombres de dominio DNS”. Esta instalación prácticamente es automática y apenas

hay que hacer nada. Después la zona directa te la crea automática por lo que únicamente voy a

poner capturas de pantalla de la creación de la zona inversa. Como puntualización he de decir

que he tenido que configurar la IP del sistema manualmente dejando los parámetros tal y como

se muestran.


12 12


13 13

Instalación DHCP

Nos vamos a la siguiente ruta:

Inicio/Panel de control /Agregar o quitar Programas/Agregar o quitar componentes de Windows

Ahora pulsamos en Servicios de Red y posteriormente en detalles y escogemos la opción

“Protocolo de configuración dinámica de host (DHCP)”

Después nos saldrá una interfaz similar a ésta en la cual vamos a tener que agregar un nuevo

ámbito y establecer la IP fija al servidor.

Clickamos con el botón derecho del ratón sobre nuestro dominio y elegimos la opción “Ámbito

nuevo” y vamos configurando los parámetros tal y como los muestro a continuación:


14 14


15 15

Una vez terminado este apartado paso a mostrar cómo quedaría el DHCP ya configurado, he de

decir que para el correcto funcionamiento de nuestro servidor DHCP será necesario reiniciar el

servicio, así como también en pinchando en propiedades de nuestro dominio habrá un par de

opciones llamadas Autorizar y actualizar que también nos van a ser de gran ayuda para hacer

funcionar el DHCP con éxito y pueda repartir direcciones IP a clientes de manera correcta.

Punto 6

Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que

trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo

anterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamente

a un switch.

En mi caso he decidido compartir todas las máquinas virtuales con las que estamos trabajando en

red interna en host only (Vmnet7) en el rango 100.


16 16

Asociar dominio

Para que haya una conexión entre nuestro servidor y cliente mediante nuestro dominio creado

previamente en el servidor tendremos que vincular en el cliente el dominio en el cual vamos a

querer que se conecten nuestros clientes. Para ello vamos a propiedades del sistema/nombre de

equipo/cambiar y colocamos el nombre de nuestro dominio de la siguiente manera (nos pedirá un

usuario y contraseña, le indicamos la de nuestro administrador de 2003 y su respectiva

contraseña):


17 17

Punto 7

Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto de

los usuarios, salvo para los dos usuarios del punto anterior.

Primero vamos a establecer los permisos para una carpeta que vamos a crear en nuestro disco

duro virtual adicional llamada “Perfiles” y en la cual vamos a establecer los permisos de tal

forma que el administrador y el director tengan control total, los grupos de sistemas y software

tengan control para cambiar y leer y los usuarios invitado y gerente tengan solamente permisos

de lectura.

Para crear un perfil móvil es necesario indicar la ruta del perfil que queremos que se conecte, la

cual indicaremos con el nombre de nuestro servidor seguido de la carpeta en la que están

asociados los usuarios (en este caso perfiles$), seguido de la variable %username% para que

detecte automáticamente el nombre del usuario.


18 18

En este caso en concreto he decidido hacerlo para el Empleado1, acto seguido nos vamos a la

carpeta perfiles donde van a estar asociados todos nuestros perfiles mediante los cuales vamos a

poder iniciar sesión en nuestros clientes.

Y aquí pues tienen que estar presentes todos los usuarios que pretenden tener acceso a un cliente

mediante el dominio que hemos generado anteriormente (vamos a hacer el mismo proceso con

todos y cada uno de los usuarios pertenecientes a los grupos software y sistemas).

Una vez que ya hemos creado dichos perfiles móviles, podemos darles uso en nuestro cliente XP

con el nombre del usuario y su respectiva contraseña que hemos introducido cuando hemos

creado los usuarios. En un perfil móvil el objetivo es que el usuario que accede pueda modificar

su interfaz o incluso efectuar el guardado y modificación de archivos o carpetas y que cuando

vuelva a iniciar sesión desde otro ordenador esos cambios que ha hecho el usuario se queden

aplicados.

Para comprobar que el perfil móvil del Empleado1 está bien creado, hago una serie de cambios

en el escritorio estando en la sesión del Empleado1, cierro sesión, vuelva a abrir sesión con el

mismo usuario y como se puede comprobar el perfil funciona correctamente.


19 19

También es bueno hacer otra comprobación, accediendo a la carpeta perfiles del servidor y si

accedemos a su interior y observamos que se ha generado una carpeta de ese usuario con el que

nos hemos logeado, de esta forma sabremos que hemos hecho el perfil móvil de forma correcta.


20 20

Punto 8

Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la

empresa quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil,

proyecto, documentación, etc de la empresa. Los datos de los perfiles estarán en una

partición o disco duro diferente a la del sistema operativo.

Para crear un perfil obligatorio debemos de iniciar sesión en el cliente con el usuario que

queremos crearle el perfil obligatorio (en este caso el usuario Invitado que se crea por defecto en

el dominio), después cerramos sesión y abrimos sesión como Administrador. Hacemos click en

el botón derecho en MiPC después en propiedades, opciones avanzadas y configuración de los

perfiles del usuario, en ese mismo momento aparece el perfil del invitado con el que nos hemos

logeado antes, pinchamos en él y le damos a copiar y después escribimos lo siguiente en la barra

que nos sale:

*Dar en la carpeta seguridad y en la carpeta Perfiles (Propiedades de perfiles/Seguridad)

introducimos al usuario invitado creado por nosotros, de esta manera una vez iniciemos sesión

como este usuario y después con el administrador del sistema nos saldrá automáticamente en la

Propiedades del sistema/Opciones avanzadas/Configuración/Perfiles de usuario

Con esta acción conseguiremos que se copie una carpeta en el servidor con el contenido del

usuario invitado y para transformar a este usuario para que acceda como perfil obligatorio

debemos de hacer una pequeña modificación en un archivo de esa carpeta, simplemente

renombrando la extensión del archivo ntuser.dat a ntuser.man


21 21

También cabe decir que hay que introducir a los usuarios que vayan a tener un perfil obligatorio

en los permisos de la carpeta perfiles (le daremos permisos de solo lectura) como se puede

comprobar en la captura de pantalla en el apartado de los perfiles móviles.

Ahora, al igual que en el paso de perfil móvil tenemos que acceder a la ruta del perfil del usuario

Invitado e introducir lo siguiente:


22 22

Una vez efectuados todos los cambios debemos de hacer la correspondiente comprobación el

cliente. Al iniciar sesión, hacemos una serie de cambios y lo dejamos todo desorganizado

Cerramos sesión y volvemos a entrar como invitado, como podemos comprobar los cambios no

se han quedado guardados, lo cual quiere decir que la realización de este perfil obligatorio se ha

llevado a cabo de manera satisfactoria.


23 23

Para una mayor comprobación iniciamos sesión en el cliente (esta vez como Administrador) y

nos vamos a la configuración de los perfiles del usuario dentro las propiedades del sistema y

vemos como el usuario “invitado del dominio” se le ha otorgado un perfil obligatorio:

Punto 9

El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables y

documentación de cada uno de los proyectos.

Para poder guardar toda la información referente al código fuente, proyectos, documentación,

repositorios, etc. Hemos decidido crear un disco duro virtual nuevo (E:) mediante vmware y

posteriormente con el administrador de disco de 2003 server.

Nos vamos a Inicio/Herramientas Administrativas/Administración de equipos

Después nos saldrá un asistente para configurar la nueva partición, darle formato NTFS, nombre

de la nueva partición.


24 24

A continuación muestro el contenido que hemos tenido que ir creando dentro de dicha partición:


25 25

Punto 10

El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna

directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de

alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de

windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un

fondo de escritorio corporativo para evitar “posibles distracciones”:

i. Habilitar Asistencia Remota Solicitada.

Únicamente lo que debemos de hacer es pinchar en las propiedades de nuestro dominio asir.com

y seleccionamos la opción de directiva de grupo. La política por defecto que se crea en el

dominio la modificaremos y para ello le damos a editar, nos envía al menú editor de objetos de

directivas de grupo y vamos por la siguiente ruta /configuración del equipo/Plantillas

administrativas/Sistema/ Asistencia Remota y habilitamos la opción Asistencia remota

solicitada.


26 26

ii. Habilitar no permitir que se ejecute windows messenger.

Para habilitar la opción no permitir que se ejecute windows messenger deberemos de ir por la

siguiente ruta: /configuración del equipo/Plantillas administrativas/componentes

windows/windows messenger


27 27

iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.

Para establecer un fondo de pantalla corporativo para todos aquellos clientes que se conecten a

nuestro dominio deberemos de ir por la siguiente ruta: /configuración del usuario/Plantillas

administrativas/Escritorio/Active Desktop y le damos a opciones en la opción “Papel Tapiz de

Active Desktop” y aquí pues vamos a habilitar la opción para el fondo corporativo, así como le

indicaremos también la ruta donde se ubica el fondo corporativo que queremos establecer para

los usuarios y el estilo que queramos que use dicho papel tapiz:


28 28

Y podemos comprobar iniciando sesión con cualquier usuario (en este caso he iniciado sesión

con el empleado2 del departamento de software) y podemos ver como se aplica el fondo de

pantalla corporativo para todas las personas que se quieran conectar a nuestro dominio

iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.

Para llevar a cabo este paso vamos a instalar una aplicación de escritorio llamada “Monitorapp”

que la podemos descargar gratuitamente de cualquier web de descarga de programas como

softonic y vamos a configurar este programa para que cuando cualquier integrante perteneciente

al dominio quiera iniciar sesión en él le aparezcan diversos datos de interés tales como el nombre

de usuario, IP desde la que se conecta al sistema…

No va a ser necesario llevar a cabo ninguna instalación del programa debido a que es portable.

Ubicamos el programa dentro de nuestro Windows 2003 Server. Posteriormente vamos al editor

de objetos de directiva de grupo de nuestro dominio y seguimos la siguiente ruta: Configuración

del usuario/Plantillas Administrativas/Sistema/Inicio de Sesión y pulsamos en la opción

“Ejecutamos estos programas cuando el usuario inicie la sesión”


29 29

Dentro de las propiedades de esta directiva deberemos de hacer click en habilitada y

posteriormente darle a “Mostrar”

He de decir que he tenido que crear una carpeta MonitorApp dentro de la ubicación del servidor

(E: ) en la cual he alojado el programa y en dicha carpeta le he tenido que asignar permisos

determinados a todos los usuarios del dominio en función del área en que cada uno trabaja o de

su nivel de importancia en el sistema.

Ahora iniciamos sesión con cualquier usuario y vemos como en la esquina superior derecha de la

pantalla nos muestra una serie de datos de gran relevancia para nosotros.


30 30

v. Deshabilitar el uso de pendrives.

Windows 2003 no trae ninguna directiva mediante la cual se pueda deshabilitar el uso de

pendrives y para ello será preciso deshabilitar dos directivas que trae Windows 2003 por defecto.

A continuación vamos a crear un grupo en el que cual vamos a introducir todos aquellos grupos

y usuarios que no queramos que utilicen sus dispositivos USB en los ordenadores de nuestro

dominio.

Creamos un grupo llamado “DenegacionUSB” y después metemos en su interior a todos los

usuarios del dominio salvo al administrador.


31 31

Ahora nos vamos a la siguiente ubicación: C:\WINDOWS\inf y tendremos que modificar los

permisos de las dos directivas que se ven remarcadas en la siguiente imagen: usbstor.inf y

usbstor.PNF


32 32

Ahora haremos una comprobación en el cliente para que se pueda ver como al tener conectado el

dispositivo USB al ordenador el sistema es incapaz de mostrarlo al usuario:


33 33

Vemos como en la imagen del propio cliente aparece el icono en la esquina inferior derecha así

como también en el programa de virtualización vmware pero no aparece en las unidades

ubicadas en MiPC

*En caso de que diese algún tipo de problema porque ya estuviera instalado con anterioridad el

dispositivo usb en el sistema tendremos que modificar mediante un regedit el registro

“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\UsbStor y poner el valor

hexadecimal de Start a 4.

b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios

sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El

usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).

i. Habilitar ofrecer asistencia remota.

Para realizar este apartado es necesario crear unidades organizativas para poder asignar de esa

forma directivas de grupo ya que no se pueden asignar directivas de grupo a grupos creados en el

active directory. Creamos la unidad organizativa Sistemas y en su interior movemos a todos los

usuarios del grupo Sistemas (Administrador, Encargado1 y Encargado2). Así que pinchamos con

el botón derecho en propiedades de la nueva unidad organizativa creada y nos vamos a directiva

de grupo. Evidentemente al haber creado una unidad organizativa no tenemos todavía ninguna

directiva de grupo y por lo tanto creamos una con el nombre que queramos, después la editamos

y buscamos la opción de ofrecer asistencia remota (/configuración del equipo/Plantillas

administrativas/Sistema/ Asistencia Remota) y habilitamos dicha opción.


34 34

c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se

vuelvan muy pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se

almacenará en el servidor (en una partición diferente a la del sistema operativo) llamada

“personales”. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le

C.F.G.S de Administración de Sistemas Informáticos en Red Administración de Sistemas

Operativos habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales no

estarán asociados al perfil.

i. Redireccionamiento de “Mis Documentos”

Nuevamente tendremos que crear unidad organizativa, esta vez llamada software en la cual

meteremos a los 15 empleados del departamento de software y justo como en el procedimiento

anterior, deberemos de irnos a la opción de directivas de grupo, crear una nueva y editarla

aplicándola los cambios anteriormente expuestos en el enunciado.


35 35

En el primer apartado nos encontramos con el redireccionamiento de la carpeta Mis documentos,

para que cada usuario que inicie sesión en el cliente tenga su propia carpeta mis documentos y

ésta a su vez nos aparezca en nuestro servidor. Para ello deberemos de crear una nueva carpeta

llamada Personales en la cual se van a guardar las carpetas Mis Documentos de todos los

usuarios que inicien sesión con su cuenta.

Deberemos de ir primero a la carpeta Personales y aplicarle los permisos para los usuarios que

queramos (en mi caso he metido a todos los empleados de software, junto con los dos encargados

de incidencias del departamento de sistemas, a todos ellos les damos permisos de control total

sino el redireccionamiento no tendrá éxito).

Acto seguido debemos de ir a la unidad organizativa del departamento de software, crear una

nueva y editarla En configuración del usuario / Configuración de Windows / Redireccionamiento

de carpeta y aquí deberemos de abrir las propiedades de la carpeta Mis Documentos


36 36

Comprobación del redireccionamiento de la carpeta Mis documentos a Personales$ de tal forma

que cada usuario que inicie sesión en el cliente XP se le creará automáticamente una carpeta con

su nombre y en su interior una llamada Mis Documentos para que de esa forma pueda guardar

información en su interior

ii. Limitar el tamaño del perfil.

Para la opción de limitar el tamaño del perfil en la misma directiva de grupo del apartado

anterior buscamos la opción de limitar el tamaño del perfil ubicado en /Configuración del

usuario /

Plantillas Administrativas / Sistema / Perfiles de usuario.


37 37

Accedemos a las propiedades de limitar el tamaño del perfil y habilitamos dicha opción a y a su

vez modificamos el campo de tamaño máximo del perfil, el enunciado pide 100MB pero no deja

poner más de 30000 Kbs.


38 38

d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le dé la gana y

que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como

ser el jefe). Recuerda la jerarquía de aplicación de las directivas de grupo.

i. Deshabilitar no permitir que se ejecute windows messenger.

Para realizar este apartado es preciso hacer una directiva de grupo tan solo para el usuario

director y en la cual debemos de crear una nueva directiva de grupo y modificarla tal y como

hemos venido haciendo con las demás hasta el momento. Accedemos a la opción No permitir

que se ejecute Windows Messenger con la ruta /Configuración del equipo/Plantillas

administrativas / componentes de windows /Windows Messenger


39 39

ii. Habilitar el uso de pendrives.

Para poder habilitar el uso de pendrives solamente al usuario director lo único que deberemos de

hacer es sacarlo del grupo de DenegacionUSB que creamos anteriormente para la deshabilitación

de USB, con esta acción tan sencilla conseguiremos que el director pueda ver el contenido de los

pendrives y el resto de los usuarios del dominio no.

e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”.

Instalamos la consola de administración de directivas de grupo descargando primero el programa

desde la página de Microsoft.

http://www.microsoft.com/download/en/details.aspx?id=21895

Ahora cuando vayamos a acceder a la administración de directivas de grupos nos aparecerá una

nueva interfaz más intuitiva para poder trabajar con las GPO.

http://www.microsoft.com/download/en/details.aspx?id=21895


40 40

Si no nos convence este sistema de administración de directivas de grupo siempre podemos

desinstalarlas en agregar o quitar programas.

Punto 11

Instala un servicio de distribución de software desde tu equipo servidor a las estaciones de

trabajo del dominio mediante paquetes MSI:

a. OpenOffice.

b. Firefox.

Los paquetes MSI (Microsoft Installer) se definen como instaladores de Microsoft, a saber,

aquellos paquetes de software que contienen la información necesaria para automatizar su

instalación, minimizando la intervención manual del usuario, ya que toda la información iría

contenida en el propio fichero "msi".

Normalmente estos paquetes los suele facilitar el distribuidor del software para facilitar la

instalación de una aplicación concreta

Vamos a crear una carpeta dentro de nuestra partición del servidor a la que le vamos a dar

permisos de solo lectura (en mi caso voy a crear una llamada “programas”)

A esta carpeta programas le vamos a ciertos permisos para que el administrador del sistema

tenga control total y el resto de usuarios solamente tengan permisos de lectura.


41 41

Ahora vamos a descargar los paquetes que queremos que se distribuyan por todos los puestos del

dominio.

Openoffice http://es.openoffice.org/

Firefox http://www.mozilla.org/es-ES/firefox/new/

Para crear estos paquetes utilizaremos la herramienta: “WinINSTALL LE”, la cual podremos

descargar del siguiente enlace:

http://es.softpicks.net/download/WinINSTALL-LE_es-183409.htm

El tutorial de instalación es bastante intuitivo y sencillo. Una vez terminemos la instalación

tendremos el programa estará ubicado en Inicio/Todos los programas.

Ahora nos vamos a la ubicación C.\Archivos de programa\Scalable\WinInstall y asignamos a la

carpeta Winstall permisos de lectura al grupo Administradores tal y como se contempla en la

siguiente imagen:

También cabe mencionar que dentro de la carpeta programas, creada anteriormente tendremos

que crear en su interior dos carpetas más: una para openoffice y otra para mozilla Firefox.

Abrimos el programa y pulsamos con el botón derecho sobre “Windows Installer Packages” y

seleccionaremos la opción “Packages Directory” para seleccionar la ruta de la compartida

http://es.openoffice.org/

http://www.mozilla.org/es-ES/firefox/new/

http://es.softpicks.net/download/WinINSTALL-LE_es-183409.htm


42 42

Una vez finalizado el paso anterior, pulsaremos de nuevo en “Windows Installer Packages” pero

esta vez le daremos a la opción “Run Discover” pulsamos en OK y nos llevará a una especie de

interfaz de instalación. En la siguiente pantalla tendremos que especificar el nombre del

programa y automáticamente se nos irá auto rellenando la casilla de la ubicación del paquete.


43 43

Después seleccionaremos todos los discos en los que se van a producir cambios durante la

instalación del programa, en nuestro caso será en C:

Ahora completamos la instalación pulsando en siguiente varias veces hasta finalizar el proceso,

momento en el cual nos fabricará el paquete, este proceso conlleva varios minutos de duración…

Una vez finalizado el proceso tendremos dos alternativas, por un lado podremos seleccionar el

archivo que queremos instalar o pinchar en cancelar e instalar el programa como se hace

normalmente (esta opción es la que vamos a utilizar).

Ahora vamos a proceder a instalar Openoffice como si fuera un programa normal hasta que

finalice la instalación

Una vez instalado “Openoffice”, volvemos a Wininstalll, pinchamos de nuevo en “Windows

Installer Packages” y posteriormente en run discover, le damos a OK y nos saldrá la siguiente

interfaz para crear el snapshot


44 44


45 45

Después nos saldrá un mensaje diciendo que el proceso se ha realizado bien pero nos da un

mensaje de advertencia.

Nos dirá que el snapshot ha sido todo un éxito y la ubicación de dicho paquete .msi

Ahora nos vamos a la ruta E:\Programas\Openoffice y vemos como se ha creado correctamente


46 46

Vamos a la configuración de la directiva del dominio y hacemos la siguiente ruta “Configuración

de equipo/Configuración de software/Instalación de software” pulsaremos botón derecho y

seleccionaremos “Nuevo paquete”, seleccionaremos el paquete “Openoffice.msi” y después en

asignado

Ahora cuando iniciemos sesión con el cliente se nos instalará el programa automáticamente.

*El procedimiento es igual tanto para openoffice como para Firefox por eso he decidido describir

el proceso de solo uno de ellos.

Punto 12

Instala DFS y haz una prueba de su funcionamiento.

Nos vamos a Inicio/Herramientas Administrativas/Administre su servidor y pulsamos en

Agregar o quitar función, en siguiente, después en servidor de archivos y después en siguiente

hasta que acabe el proceso.

Inicio/Herramientas Administrativas/Sistema de archivos distribuido


47 47

Pulsaremos en acción y después en nueva raíz y seguiremos una serie de pasos

Le indicamos el nombre de nuestro dominio:


48 48

Después le indicamos el nombre del servidor host para la raíz que vamos a crear:

En esta ocasión le vamos a decir el nombre de la raíz así como algún comentario que queramos

añadirle

Vemos como se ha creado correctamente


49 49

Pincharemos con el botón derecho del ratón en nuestro dominio\DFS y posteriormente en nuevo

vínculo. Le damos a “Examinar” seleccionaremos el recurso de la red que queremos almacenar

en la carpeta que hemos creado (DFS) para el Sistema distribuido. En mi caso, he almacenado la

carpeta “programas” de la red, en la cual tengo almacenados los paquetes “.msi” de Firefox y

Openoffice

Ahora vamos a comprobar que se ha vinculado el sistema de archivos distribuido a la carpeta

“programas” perfectamente.

Practica 2003 server_acitve_directory_fran_gavilan

Documents

Transcript of Practica 2003 server_acitve_directory_fran_gavilan