Practica: Active Directory
Practica: Active Directory
-1-
a. Controlador de Dominio => tunombre.gcap.net b. Servicio DNS c. Servicio DHCP =>192.168.100.0/24 i. mbito: 192.168.100.2 192.168.100.254 ii. Servidor: 192.168.100.1 6. Todos los equipos (mquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados fsicamente a un switch. 7. Para cada uno de estos usuarios se crear un perfil mvil, que ser oculto para el resto de los usuarios, salvo para los dos usuarios del punto anterior. 8. Se crear tambin un perfil obligatorio, llamado invitado, por si alguien ajeno a la empresa quiere usar algn equipo. Este perfil no tendr acceso a ningn otro perfil, proyecto, documentacin, etc de la empresa. Los datos de los perfiles estarn en una particin o disco duro diferente a la del sistema operativo. 9. El servidor tiene una particin donde se almacena tanto el cdigo fuente, ejecutables y documentacin de cada uno de los proyectos. 10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes: a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar posibles distracciones: i. Habilitar Asistencia Remota Solicitada. ii. Habilitar no permitir que se ejecute windows messenger. iii. Poner un fondo de pantalla corporativo que no pueda cambiarse. iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio. v. Deshabilitar el uso de pendrives. b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows). i. Habilitar ofrecer asistencia remota.
-2-
c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy pesados, la carpeta Mis Documentos se ubicar en una unidad de red. Se almacenar en el servidor (en una particin diferente a la del sistema operativo) llamada personales. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitar una cuota de disco de 100 Mb, ya que estos ficheros personales no estarn asociados al perfil. i. Redireccionamiento de Mis Documentos ii. Limitar el tamao del perfil. d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarqua de aplicacin de las directivas de grupo. i. Deshabilitar no permitir que se ejecute windows messenger. ii. Habilitar el uso de pendrives. e. Cambia el modo en que Windows 2003 visualiza las GPO a otro ms amigable. No olvides que no se pueden aplicar directivas de grupo a grupos del dominio. 11. Instala un servicio de distribucin de software desde tu equipo servidor a las estaciones de trabajo del dominio mediante paquetes MSI: a. OpenOffice. b. Firefox. Crea t mismo estos paquetes con alguna utilidad. 12. Instala DFS y haz una prueba de su funcionamiento.
-3-
DESARROLLO:
Tendremos que configurar las interfaces de red de nuestro servidor Windows 2008 Server, una de ellas ser una NAT para la conexin a internet y otra una red interna que forme nuestra propia red y se comunique con el resto de mquinas de nuestra red local.
La interfaz de internet al ser NAT configuraremos la IP de forma automtica, en la red interna asignaremos una IP esttica.
A continuacin procederos a instalar y configurar los servicios DHCP Y DNS para nuestro servidor Windows 2008 Server: Tendremos que instalar el servicio DNS para que se pueda sincronizar cuando instalemos Active Directory:
-4-
Definimos:
-5-
Una vez configurado nuestro servicio DHCP, Pasamos a instalar Active Directory: Ejecutamos dcpromo:
-6-
-7-
Contrasea: ASIR2povedano
-8-
-9-
2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestin de incidencias. Esta se almacenar en una carpeta a la que solo tendr acceso el departamento de sistemas. Los datos estarn en una particin o disco duro diferente a la del sistema operativo. -10-
-11-
Aadimos 3 empleados; uno de ellos ser el administrador y los otros dos encargados
Cogemos 3 empleados de los 20 creados y los renombramos (uno como administrador de sistemas y dos encargados).
Creamos los datos en una nueva particin para almacenar el directorio sistemas:
-12-
Una vez montado con formato NTFS nos quedara de la siguiente forma:
-13-
En este grupo meteremos a los 2 encargados, ya que el administrador estara dentro del grupo de administradores del dominio.
-14-
3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de cdigo y de documentacin, donde nicamente tendrn acceso a aquellos directorios asociados al proyecto en el que estn trabajando.
-15-
Como dice el enunciado cada empleado de software (desarrollador) tendr un acceso limitado dependiendo del proyecto al que estn asociados, por ello crearemos grupos en funcin a proyectos que sern grupos locales:
-16-
Una vez creados usuarios y grupos dentro de la estructura organizativa software Creamos el directorio Software:
-17-
Dentro del directorio Software, crearemos los directorios proyecto1 y proyecto2, a los cuales solo tendrn permisos el administrador y los usuarios pertenecientes a cada proyecto:
Deshabilitamos la herencia de permisos, para que a cada proyecto solo puedan acceder los desarrolladores asociados a ese proyecto.
-18-
-19-
4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendr acceso a toda la documentacin y cdigo ejecutable. de los proyectos. El director tendr acceso ilimitado a todos los recursos disponibles. Por ltimo los dos empleados restantes de los 20 que creamos (empleado19 y empleado20) sern el gerente y el director: Asociamos para estos dos usuarios permisos:
-20-
-21-
5. La empresa tiene una serie de servicios que quiere seguir manteniendo(incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net b. Servicio DNS c. Servicio DHCP =>192.168.100.0/24 i. mbito: 192.168.100.2 192.168.100.254 ii. Servidor: 192.168.100.1
Rango DHCP:
-22-
6. Todos los equipos (mquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados fsicamente a un switch.
El resto de equipos (clientes) tendrn una interfaz de red interna, sin salida a internet (sin interfaz de red de tipo NAT).
Esta interfaz interna le asignaremos una IP automtica que le proporcionar el servidor DHCP de nuestro servidor y por lo tanto estarn todos los equipos clientes conectados al servidor formando una red local
7. Para cada uno de estos usuarios se crear un perfil mvil, que ser oculto para el resto de los usuarios, salvo para los dos usuarios del punto anterior. Creamos el directorio donde almacenaremos los distintos perfiles de los usuarios.
-23-
Comprobamos desde un cliente Windows, que recibe la configuracin DHCP establecida desde el servidor.
-24-
Y definimos en el cliente nuestro dominio creado en el servidor para poder iniciar sesin con los usuarios del dominio.
-25-
Para iniciar sesin accedemos con un usuario del dominio, por ejemplo empleado1:
Una vez el cliente ha conectado con el dominio, nos pide reiniciar el cliente. Posteriormente podremos iniciar sesin con un usuario del dominio:
-26-
-27-
En el servidor se nos crear un directorio con el perfil del usuario con el que hemos iniciado sesin:
Si intentamos acceder no nos dejar puesto que no tiene un propietario por defecto, para ello accedemos a las propiedades de la carpeta y a la pestaa seguridad:
Y ya podremos entrar:
-28-
Creamos con uno de los usuarios de sistemas una carpeta de red hacia la carpeta sistemas del servidor y comprobamos que podemos acceder a su contenido, mientras que si la creamos para la carpeta software no (ya que los usuarios de sistemas no tienen acceso al directorio software, debido a los permisos que configuramos).
De igual forma comprobamos que estn bien definidos los permisos que hemos definido para todos los usuarios del dominio. Ahora definimos internet a toda la red virtual para ello primero vamos a instalar el rol de enrutamiento: Una vez instalado lo configuramos:
-29-
-30-
-31-
8. Se crear tambin un perfil obligatorio, llamado invitado, por si alguien ajeno a la empresa quiere usar algn equipo. Este perfil no tendr acceso a ningn otro perfil, proyecto, documentacin, etc de la empresa. Los datos de los perfiles Estarn en una particin o disco duro diferente a la del sistema operativo.
Como hicimos con los perfiles, creamos un directorio para los perfiles obligatorios en el servidor y lo compartimos para todos los usuarios con permisos de lectura y escritura:
-32-
Ahora con el Administrador local del cliente Windows XP, accedemos a propiedades del sistema y a la pestaa opciones avanzadas para configurar los perfiles de usuario.
-33-
-34-
Pulsamos en aceptar y si no nos da ningn error, la carpeta INVITADO.MAN se habr copiado al servidor dentro de la carpeta que creamos llamada INVITADO.
Y cambiamos uno de los archivos ocultos que contiene ntuser.dat por ntuser.man:
-35-
-36-
Por ltimo cambiamos la ruta del perfil del usuario invitado que habilitamos antes por la de INVITADO.MAN:
-37-
Comprobamos que si realizamos algn cambio con la cuenta de invitado, y volvemos a iniciar sesin con ella, los cambios no se habrn realizado.
10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes: a. Para el dominio pretendes que los usuarios puedan solicitar la asistenciaremota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar posibles distracciones: i. Habilitar Asistencia Remota Solicitada. Instalamos en el servidor la caracterstica asistencia remota.
-38-
-39-
ii. Habilitar no permitir que se ejecute windows messenger. Accedemos a componentes de Windows y buscamos la directiva:
iii. Poner un fondo de pantalla corporativo que no pueda cambiarse. Ahora nos vamos a las directivas que afectan a la configuracin de usuario y establecemos en el apartado escritorio, un fondo corporativo:
-40-
iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio. Este programa es Bginfo, el cual descargaremos gratuitamente de la pgina oficial de Microsoft:
-41-
v. Deshabilitar el uso de pendrives. Volvemos a las directivas que afectan a la configuracin del equipo y en el apartado sistemas y dispositivos, impedimos la instalacin de pendrives.
-42-
b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows). i. Habilitar ofrecer asistencia remota.
Puesto que las nuevas directivas que vamos a configurar solo van a afectar al departamento de sistemas, crearemos un nuevo GPO exclusivo para sistemas.
-43-
c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy pesados, la carpeta Mis Documentos se ubicar en una unidad de red. Se almacenar en el servidor (en una particin diferente a la del sistema operativo) llamada personales. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitar una cuota de disco de 100 Mb, ya que estos ficheros personales no estarn asociados al perfil Como ya hicimos con sistemas, creamos un GPO para Sofware:
A continuacin creamos la carpeta Personales y Redirigimos la carpeta Documentos a la carpeta que hemos creado, en una particin diferente a la del sistema operativo.
-44-
Una vez creada la carpeta personales en la particin de ASIR, accedemos a editar el GPO de Software y en configuracin de usuario establecemos redireccin de la carpeta documentos a la nueva carpeta que hemos creado personales.
-45-
d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarqua de aplicacin de las directivas de grupo. Definimos una nueva GPO, Para una nueva unidad organizativa que llamaremos direccin donde estar presente solamente el director para aplicar las siguientes configuraciones (Uso de Windows Messenger y Uso de Pendrives).
Y pasamos a editar:
-46-
ii.
-47-
11. Instala un servicio de distribucin de software desde tu equipo servidor a las Estaciones de trabajo del dominio mediante paquetes MSI: a. OpenOffice. b. Firefox. Crea t mismo estos paquetes con alguna utilidad.
-48-
Aunque nos da la opcin de crear un espacio de nombres, lo crearemos una vez este instalado DFS.
-49-
-50-
-51-