Universidad Autónoma Autónoma del Estado de Hidalgo Escuela Superior de Tlahuelilpan 2do. Congreso Nacional en Tecnologías de la Información 2013
21-3-2013
Taller Active Directory con Windows Server 2012
Contenido 2. Creación de un dominio Active Directory ................................... ................................................... ................................. .................................. ...................1 ..1 2.1 Instalación del servicio de dominio de Active Directory ............................... ................................................. ............................1 ..........1 Preparación Servidor ............................... ................................................ .................................. ................................. ................................. .................................1 ................1 Instalar un nuevo bosque de d e Windows Server 2012 ............................................... ............................................................... ...................1 ...1 3. Administración del Servicio de Dominio de Active Directory ................................. ................................................. ........................2 ........2 3.1. Trabajar con los complementos de Active Directory ................................. .................................................. ..............................2 .............2 Crear un MMC personalizado .......................... ........................................... .................................. .................................. ................................. ........................2 ........2 Agregar complementos a una MMC ...................... ....................................... ................................. ................................. .................................. ...................3 ..3 Administrar los complementos de una MMC ...................... ....................................... ................................. ................................. ......................4 .....4 Preparar una consola para su distribución a los lo s usuarios........................................... usuarios...........................................................5 ................5 3.2. Creación de Objetos en Active Directory .................. ................................... ................................. ................................. ..............................5 .............5 Crear unidades organizativas ................................ ................................................. .................................. ................................. ................................. ...................5 ..5 Crear usuarios ................................. ................................................. ................................. .................................. .................................. ................................. ........................6 ........6 Crear equipos ............................... ................................................ ................................. ................................. .................................. ................................. ...........................8 ...........8 Crear grupos ................................. .................................................. ................................. ................................. .................................. ................................. ...........................9 ...........9 Añadir usuarios y equipos a grupos ............................... ................................................ .................................. .................................. .........................11 ........11 Buscar objetos en Active Directory ............................... ................................................ .................................. .................................. .........................12 ........12 3.3 Delegación y seguridad de objetos de Active Directory ........................................... .........................................................13 ..............13 Delegar control para el soporte de d e cuentas de usuario ..................... ..................................... ................................. .......................13 ......13 Vista de permisos delegados ................................. .................................................. .................................. ................................. ................................. .................14 14 4. Administrar cuentas de usuario ................................ ................................................. .................................. ................................. ................................. .................15 15 4.1. Automatizar creación de cuentas de usuario ....................................... ....................................................... ................................. .................15 15 Crear usuarios con una plantilla de cuenta de usuario................................. .................................................. ............................15 ...........15 Crear un usuario con el comando DSAdd ............................... ................................................ ................................. ................................. .................16 16 Usuarios de importación con CSVDE ........................................... ............................................................ .................................. ............................17 ...........17 4.2 Administración con PowerShell y el Centro de Administración de Active Directory ..............18 Utiliza los comandos y cmdlets de Windows PowerShell ................................... ................................................... ......................18 ......18 Identificar y explorar un Cmdlet de Windows PowerShell ...................................... ....................................................... .................19 19 Crear una unidad organizativa mediante New-ADOrganizationalUnit .................................. .....................................20 ...20 Navegue por Active Directory utilizando el PSDrive de Active Directory.............. Directory ............................... ....................20 ...20 Crear usuarios con Windows PowerShell .................................. .................................................. ................................. ...............................21 ..............21 5. Administrar Grupos ............................... ................................................ ................................... .................................. ................................. ................................. ...................23 ...23
5.1. Gestión de una empresa con grupos ............................. .............................................. ................................. ................................. .......................23 ......23 Crear grupos ................................. .................................................. ................................. ................................. .................................. ................................. .........................23 .........23 Cambiar el ámbito y tipo de grupo ........................ ......................................... ................................. ................................. ................................. .................24 .24 5.2. Automatizar la creación y gestión de los Grupos .............................................. ............................................................... ....................25 ...25 Administrar grupos con Windows PowerShell ............................................. ............................................................. ............................25 ............25 Crear un grupo con DSAdd ............................ ............................................ ................................. .................................. ................................. .........................25 .........25 Grupos de importación con CSVDE ............................... ................................................ .................................. .................................. .........................26 ........26 Modificar la pertenencia al grupo con LDIFDE ............................... ................................................ .................................. .........................26 ........26 Modificar los miembros de un grupo con DSMod D SMod .................... ..................................... .................................. ...............................27 ..............27 Confirma la pertenencia a un grupo con DSGet y Windows PowerShell ....................... ..................................28 ...........28 Administración de grupos en una empresa ................... .................................... .................................. .................................. .........................29 ........29 Crear un grupo bien documentado ........................................ ........................................................ ................................. .................................. .................29 29 Gestión de la delegación de pertenencia a un grupo ................................... ................................................... ............................30 ............30 Validar la delegación de la administración de miembros ....................... ........................................ .................................. .................30 30 6. Configuración de cuentas de equipo .............................. ............................................... .................................. ................................. ............................31 ............31 6.1. Crear equipos y unirlos al dominio ........................ ........................................ ................................. .................................. ...............................31 ..............31 Crear objetos de equipo ...................................... ...................................................... ................................. ................................. ................................. ....................32 ...32 Delegar la capacidad de crear objetos de equipo................................. ................................................. ................................. ....................32 ...32 Redirigir el contenedor contenedor predeterminado de Equipos ........................................ ......................................................... .......................33 ......33 6.2 Automatizar la creación de objetos equipo .......................... ........................................... ................................. ................................. .................33 33 Importando Equipos con CSVDE .............................. ............................................... .................................. .................................. ...............................34 ..............34 Crear un equipo con Windows PowerShell .................................. .................................................. ................................. ............................34 ...........34 7. Implementar una un a infraestructura de políticas de grupo............... grupo ................................ .................................. ...............................35 ..............35 7.1 Implementar políticas de grupo ............................... ................................................ .................................. .................................. ............................35 ...........35 Crear, editar y configurar alcance de un objeto de directiva de grupo ................................. ....................................35 ...35 Ver los efectos de la aplicación de políticas de grupo ............................... ................................................ ...............................37 ..............37 Explorar un GPO ................................. ................................................. ................................. .................................. .................................. ................................. ...................37 ...37 7.2 Gestión del alcance de las políticas de grupo ............................ ............................................. ................................. ............................38 ............38 Crear una GPO con una configuración de directiva que tiene prioridad sobre un escenario de conflicto .................................. .................................................. ................................. ................................. ................................. .................................. ...............................38 ..............38 Configurar la opción forzar ....................................... ....................................................... ................................. .................................. ...............................39 ..............39 Configurar el filtrado de seguridad................................ ................................................. .................................. ................................. .........................40 .........40 8. Administrar seguridad empresarial ......................................... ......................................................... ................................. .................................. ....................41 ...41
Crear una implementación de Software GPO ................... .................................... ................................. ................................. .......................41 ......41 Referencias........................ Referencias......................................... ................................. ................................. ................................. ................................. .................................. ............................43 ...........43
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
2. Creación de un dominio Active Directory 2.1 Instalación del servicio de dominio de Active Directory
Preparación Servidor
1. Configurar red de VM 2. Configuración de post instalación de Windows Server 3. Cambiar el nombre del servidor por SERVER01 4. No reinicies 5. Usa la siguiente configuración de red
Dirección IP: 10.0.0.11
Máscara de subred: 255.255.255.0
Puerta de enlace predeterminada: 10.0.0.1
Servidor DNS preferido: 10.0.0.11
6. Configura la zona horaria 7. Reinicia el servidor
Instalar un nuevo bosque de Windows Server 2012
1. Ejecuta Administrador del Servidor 2. Clic en agregar funciones y características 3. Selecciona el rol Servicios de dominio de Active Directory. 4. Cuando pregunte si desea agregar características requeridas para Servicios de Dominio de Active Directory haz clic en Agregar características 5. Cuando termina la instalación se muestra leyenda "Promover este servidor a controlador de dominio", haz clic en ella. 6. Aparece el Asistente para configuración de Servicios de Dominio de Active Directory 7. En configuración de implementación, en seleccionar la operación de implementación -> Agregar un nuevo bosque
1
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
Nombre de dominio Raíz: contoso.com
Nivel funcional del bosque: Windows Server 2012
Nivel funcional del dominio: Windows Server 2012
8. Especificar capacidades del controlador de dominio 9. Marcar Servidor de Sistema de nombres de dominio (DNS) y Catálogo Global 10. Asigna como contraseña de modo de restauración de servicios de directorio (DSRM): Pa$$w0rd 11. Aparece un aviso relacionado a la delegación de DNS, haz clic en siguiente 12. Nombre de dominio NETBIOS: CONTOSO 13. Deja la ubicación de la BD de AD, sysvol y registros de manera predeterminada 14. Se muestra un resumen, clic en siguiente, luego instalar 15. Una vez terminado se reinicia el servidor 16. Una vez reiniciado entramos al Administrador de DNS y agregamos la zona inversa
3. Administración del Servicio de Dominio de Active Directory 3.1. Trabajar con los complementos de Active Directory Crear un MMC personalizado
En esta práctica, crearás un MMC personalizado con los complementos: Active Directory usuarios y equipos, Visor de eventos y administración de equipos. Estas herramientas son útiles para la administración de Active Directory y controladores de dominio. 1. Inicia sesión en SERVER01 como administrador. 2. Ve a la pantalla de inicio y escribe mmc y haz clic sobre mmc. Aparece una MMC vacía. De forma predeterminada, la nueva ventana de la consola no está maximizada. Maximízala para tomar ventaja de tamaño completo de la aplicación. 3. En el menú Archivo, haz clic en Agregar o quitar complemento Aparece el cuadro de diálogo Agregar o quitar complementos 4. En la lista complementos disponibles selecciona Administración de equipos y haz clic en Agregar
2
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
Para administrar el equipo en que se ejecuta la consola, selecciona Equipo Local . Equipo Local no se refiere únicamente a la computadora donde se va a crear la consola es decir, si ejecutas la consola desde otra computadora, la consola gestionará esa computadora.
Para especificar un equipo que se administrará con el complemento, selecciona otro Equipo, a continuación introduce el nombre del equipo o haz clic en examinar para seleccionarlo.
14. Haz clic en Otro Equipo e introduce SERVER01 como nombre de equipo. 15. Haz clic en finalizar. 16. Haz clic en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos. 17. En el menú Archivo, haz clic en guardar. Guarda la consola en el escritorio con el nombre MyConsole.msc
18. Cierra la consola Agregar complementos a una MMC
En esta práctica, agregarás el Visor de eventos en la consola que se creó anteriormente. El Visor de eventos es útil para monitorear la actividad en controladores de dominio. 1. Abre MyConsole.msc. 2. En el menú Archivo, haz clic en Agregar o quitar complementos 3. Selecciona Visor de eventos de la lista de complementos disponibles 4. Haz clic en Agregar para agregar el complemento a la lista de complementos seleccionados. Se te solicitará que selecciones un equipo para administrar 5. Haz clic en Otro equipo e introduce SERVER01 como nombre de equipo 6. Ahora selecciona el complemento Usuarios y equipos de Active Directory y Dominios y confianzas de Active Directory y agrégalos a la lista Complementos seleccionados
7. Haz clic en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos 8. Guarda y cierra la consola.
3
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Administrar los complementos de una MMC
En esta práctica, cambiarás el orden de los complementos, eliminarás un complemento y se mostrará las extensiones de los complementos. 1. Abre MyConsole.msc. 2. En el menú Archivo, haz clic en Agregar o quitar complemento 3. En la lista de complementos seleccionados, selecciona Visor de eventos . 4. Haz clic en Subir 5. Selecciona Dominios y confianzas de Active Directory . 6. Haz clic en quitar. 7. En la lista de complementos seleccionados, selecciona Administración de equipo . 8. Haz clic en Editar extensiones. Las extensiones son complementos que existen dentro de otro complemento para proporcionar funcionalidad adicional. El complemento de administración de equipos tiene muchos complementos familiares, cada uno de los cuales puedes activar o desactivar. 9. Haz clic en Solo habilitar las extensiones seleccionadas 10. Quita la selección al Visor de eventos, ya que se agregó como un complemento independiente para la consola. 11. Haz clic en Aceptar para cerrar el cuadro de diálogo de extensiones para administración de equipos . 12. Haz clic en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos 13. Guarda los cambios y cierra la consola
4
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Preparar una consola para su distribución a los usuarios
En esta práctica guardarás tu consola en modo de usuario para que los usuarios no puedan agregar, quitar o modificar complementos. Es importante tener en cuenta que los usuarios de MMC son típicamente administradores. 1. Abre MyConsole.msc 2. En el menú Archivo, haz clic en Opciones 3. En modo de consola selecciona el Modo usuario: acceso completo . 4. Haz clic en Aceptar. 5. Guarda y cierra la consola 6. Abre la consola 7. Haz clic en el menú Archivo. Observe que no aparece la opción Agregar o quitar complemento 8. Cierre la consola 9. Haz clic derecho sobre el icono de la consola y haz clic en Autor. 10. Haz clic en el menú Archivo. En modo de autor, aparece la opción Agregar o quitar complemento 11. Cierra la consola
3.2. Creación de Objetos en Active Directory
En esta práctica, crearás y luego localizarás objetos en Active Directory. Crearás unidades organizativas, usuarios, grupos y equipos para luego crear una consulta guardada y personalizar la vista de esta consulta.
Crear unidades organizativas
Por defecto los contenedores de usuarios y equipos se proveen para facilitar la configuración y migración de un dominio de Active Directory. Se recomienda crear unidades organizativas que reflejen el modelo administrativo y que se usen para crear y administrar
5
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
objetos en el servicio de directorio. En esta práctica, crearás unidades organizativas para el dominio de ejemplo, contoso.com. 1. Inicia sesión como administrador en SERVER01 2. Abre el complemento Usuarios y equipos de Active Directory 3. Expande el nodo de dominio contoso.com 4. Haz clic derecho en el nodo de dominio y selecciona nuevo, haz clic en unidad organizativa. 5. Escribe el nombre de la unidad organizativa: Cuentas de usuario 6. Confirma que está seleccionada la casilla de verificación Proteger contenedor contra eliminación Accidental
7. Haz clic en Aceptar. 8. Haz clic derecho en la unidad organizativa y elije Propiedades. 9. En el Descripción introduce I dentidades no administrativas 10. Haz clic en Aceptar. 11. Repite los pasos 2 al 10 para crear las siguientes unidades organizativas: Nombre de OU
Descripción OU
Clientes
Computadoras cliente Grupos no administrativos Identidades administrativas y grupos Servidores
Grupos Admins Servidores
Crear usuarios
Ahora que has creado unidades organizativas en el dominio contoso.com, estás listo para agregar objetos al servicio de directorio. En esta práctica crearás varios usuarios en dos de las unidades organizativas creadas previamente. . 1. Inicia sesión en SERVER01 como administrador y abre el complemento Active Directory usuarios y Equipos
6
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
2. En el árbol de la consola, expande el nodo del dominio, contoso.com y haz clic en la OU Cuentas de usuario
3. Haz clic derecho en la OU Cuentas de usuario , elija nuevo y a continuación usuario. Aparece el cuadro de diálogo Nuevo objeto: Usuario 4. En nombre de pila, escribe: Dan 5. En Apellidos, escribe: Holme 6. En Nombre de inicio de sesión de usuario, escribe: dholme 7. En el Nombre de inicio de sesión de usuario (anterior a Windows 2000) escribe: dholme 8. Haz clic en siguiente. 9. Introduce una contraseña inicial del usuario en los cuadros Contraseña y Confirmar contraseña. La Directiva de contraseña predeterminada para un dominio de Active Directory requiere una contraseña de siete o más caracteres. Además, la contraseña debe contener tres de cuatro tipos de caracteres: mayúsculas (A – Z), minúsculas (a – z), numérico (0-9) y no alfanuméricos (por ejemplo,! @ # $ %). La contraseña no puede contener ningún nombre de usuario o atributo de inicio de sesión. 10. Selecciona la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión
11. Haz clic en siguiente. 12. Revisa el Resumen y haz clic en finalizar. 13. Haz clic derecho en el objeto de usuario que creaste y elije Propiedades. 14. Examina los atributos que se pueden configurar en el cuadro de diálogo Propiedades. No cambies las propiedades 15. Haz clic en Aceptar. 16. Repite los pasos 3 –12 y crea los siguientes usuarios en la unidad organizativa de Cuentas de usuario, asígnales la contraseña: Pa$$w0rd. Marca la casilla de verificación El usuario debe cambiar l contraseña en el siguiente inicio de sesión.
James Fine o Nombre: James o Apellido: Fine
7
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 o o o
Nombre completo: James Fine Nombre de inicio de sesión de usuario: jfine inicio de sesión anterior a Windows 2000: jfine
Barbara Mayer o Nombre: Barbara o Apellido: Mayer o Nombre completo: Barbara Mayer o Nombre de inicio de sesión de usuario: bmayer o inicio de sesión anterior a Windows 2000: bmayer Barbara Moreland o Nombre: Barbara o Apellido: Moreland o Nombre completo: Barbara Moreland o Nombre de inicio de sesión de usuario: bmoreland o inicio de sesión anterior a Windows 2000: bmoreland
17. Repite los pasos 3 –12 y crea una cuenta de usuario para ti en la unidad organizativa de Cuentas de usuario . Para el nombre de inicio de sesión de usuario, utiliza la primera inicial de tu nombre y tu apellido paterno — por ejemplo, dholme para Dan Holme. Crea una contraseña segura y compleja. 18. Repite los pasos 3 –12 y crea una cuenta administrativa para ti en la OU Admins. A esta cuenta se le dará privilegios administrativos más adelante. Para el nombre de inicio de sesión de usuario, utiliza la primera inicial de tu nombre y tu apellido paterno seguido por _admin — por ejemplo, dholme_admin para la cuenta administrativa de Dan Holme. Crea una contraseña compleja y segura. Marca la casilla de verificación El usuario debe cambiar la constraseña en el siguiente inicio de sesión. Crear equipos
Ante de unir máquinas al dominio, se deben crear cuentas de equipo. En esta práctica crearás varios equipos en dos de las unidades organizativas que creaste previamente. 1. Inicia sesión en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory. 2. En el árbol de la consola, expande el nodo del dominio contoso.com y haz clic en la OU Servidores.
8
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
3. Haz clic derecho en la unidad organizativa Servidores, selecciona nuevo y haz clic en la Equipo. El cuadro de diálogo Nuevo objeto: Equipo aparece 4. En Nombre del equipo escribe: FILESERVER01. El cuadro Nombre del equipo (anterior a Windows 2000) se llena automáticamente. 5. No cambies el nombre en el cuadro Nombre del equipo (anterior a Windows 2000). 6. Toma nota de la cuenta especificada en el cuadro de texto Usuario o grupo. No cambie este valor. 7. No selecciones la casilla de verificación etiquetada como Asignar la cuenta de este equipo como un equipo anterior a Windows 2000 . 8. Haz clic en Aceptar. 9. Haz clic derecho en el equipo y selecciona Propiedades. 10. Examinar las propiedades que están disponibles para un Equipo. No las cambies en este momento. 11. Haz clic en Aceptar. 12. Repite los pasos 3 a 8 para crear objetos de equipo para los siguientes equipos:
SHAREPOINT02 EXCHANGE03
13. Repite los pasos 3 a 8 y crear los siguientes equipos en la unidad organizativa Clientes en lugar de la OU Servidores.
DESKTOP101 DESKTOP102 LAPTOP103
Crear grupos
Es una buena práctica administrar objetos en grupos en lugar de administrarlos individualmente. En esta práctica, se crean varios grupos en dos de las unidades organizativas creadas previamente. 1. Inicia sesión en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory.
9
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
2. En el árbol de la consola, expande el nodo del dominio contoso.com y haz clic en la OU Grupos.
3. Haz clic derecho en la unidad organizativa Grupos , selecciona nuevo y haz clic en Grupo. El cuadro de diálogo Nuevo objeto: Grupo aparece. 4. Escribe el nombre del nuevo grupo en el cuadro de texto: Nombre de Grupo: Finanzas. 5. No cambies el nombre del grupo en el cuadro de texto: Nombre de grupo (anterior Windows 2000)
6. Selecciona el Tipo de Grupo: Seguridad . 7. Selecciona el Ámbito de grupo: Global . 8. Haz clic en Aceptar. Los objetos de grupo tienen varias propiedades que son útiles para configurar. Estos pueden ser especificados después de haber creado el objeto. 9. Haz clic derecho en el grupo y elije Propiedades. 10. Examina las propiedades disponibles para el grupo. No cambies los atributos en este momento. 11. Haz clic en Aceptar. 12. Repite los pasos 3 a 8 para crear los siguientes grupos de seguridad global en la unidad organizativa Grupos :
Gerentes de Finanzas Ventas APP_Office 2010
13. Repite los pasos 3 a 8 para crear los siguientes grupos de seguridad global en la unidad organizativa Admins
Mesa de ayuda Administradores de Windows
10
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Añadir usuarios y equipos a grupos
Ahora que has creado grupos, puedes agregar objetos como miembros de los grupos. En esta práctica, agregarás usuarios y equipos a grupos. En el camino, ganarás experiencia con el cuadro de diálogo Seleccionar que se utiliza en algunos procedimientos para localizar objetos en Active Directory. 1. Inicia sesión en SERVER01 como Administrador y Abre el complemento Usuarios y equipos de Active Directory. 2. Abre las propiedades de tu cuenta administrativa en la OU Admins. 3. En la ficha Miembro de, haz clic en Agregar. 4. En el cuadro de diálogo Seleccionar grupos , escribe el nombre Admins. del dominio . 5. Haz clic en Aceptar y de nuevo Aceptar para cerrar el cuadro de diálogo de propiedades de la cuenta. 6. Abre las propiedades del grupo Mesa de ayuda en la OU Admins. 7. En la ficha Miembros, haz clic en Agregar. 8. En el cuadro de diálogo escribe Barb. 9. Haz clic en Comprobar nombres. Aparece el cuadro de nombres múltiples encontrados. 10. Selecciona Barbara Mayer y haz clic en Aceptar. 11. Haz clic en Aceptar para cerrar el cuadro de diálogo Seleccionar. 12. Haz clic en Aceptar para cerrar las propiedades del grupo. 13. Abre las propiedades del grupo APP_Office 2010 en la OU Grupos. 14. En la fiche Miembros, haz clic en Agregar. 15. En el cuadro de diálogo escribe DESKTOP101. 16. Haz clic en Comprobar nombres. Aparece un cuadro de diálogo Nombre no encontrado, lo que indica que el objeto especificado podría no encontrarse. 17. Haz clic en Cancelar para cerrar el Cuadro de nombre no encontrado.
11
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
18. En el cuadro de selección, haz clic en Tipos de objeto . 19. Selecciona Equipos en Tipos de objeto y haz clic en Aceptar. 20. Haz clic en Comprobar nombres. El nombre se resuelve ahora que se seleccionó Equipos. 21. Haz clic en Aceptar.
Buscar objetos en Active Directory
Cuando necesitas encontrar un objeto en el servicio de directorio de tu dominio, a veces es más eficiente utilizar la funcionalidad de búsqueda. En esta práctica, se utilizan tres maneras para localizar objetos en Active Directory. 1. Inicia sesión en SERVER01 y abre el complemento Usuarios y equipos de Active Directory. 2. Haz clic en el botón Encontrar objetos en los servicios de dominio de Active Directory que está en la barra de herramientas. 3. Asegúrate de que en la lista desplegable En: aparece contoso.com (el nombre de dominio). 4. En el cuadro Nombre introduce Barb. 5. Haz clic en Buscar ahora . 6. Los dos usuarios llamados Barbara aparecen en los resultados de la búsqueda. 7. Cierra el cuadro de Búsqueda. 8. En el complemento Usuarios y equipos de Active Directory, haz clic derecho en Consultas guardadas, selecciona nuevo y haz clic en consulta. 9. En el cuadro Nombre, introduce Todos los usuarios. 10. En el cuadro Descripción introduce: Todos los usuarios del dominio. 11. Haz clic en Definir consulta . 12. En la ficha Usuarios, en el cuadro Nombre, selecciona Tiene un valor 13. Haz clic en aceptar dos veces para cerrar los cuadros de diálogo. Aparecen los resultados de la consulta guardada. Note que muestra a los usuarios tanto de la OU Cuentas de usuario y la OU Admins, así también como los usuarios incorporados en la OU Users.
12
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
14. En el menú Ver, haz clic en Agregar o quitar columnas. 15. En la lista de columnas disponibles, selecciona apellido y haz clic en Agregar. 16. En la lista de columnas mostradas, selecciona Tipo y haz clic en quitar. 17. Haz clic en Aceptar. 18. Arrastra el encabezado de la columna Apellidos para que esté entre el Nombre y la Descripción. 19. Haz clic en el encabezado de la columna Apellido para ordenarlos alfabéticamente por apellido.
3.3 Delegación y seguridad de objetos de Active Directory
En esta práctica, administrarás la delegación de tareas administrativas en el dominio contoso.com y verás el resultado de cambiar el ACL en objetos de Active Directory. Delegar control para el soporte de cuentas de usuario
En esta práctica, habilitas a la mesa de ayuda para apoyar a los usuarios a restablecer su contraseña y desbloquear cuentas en la unidad organizativa Cuentas de usuario . 1. Inicia sesión en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory. 2. Expande el nodo de dominio contoso.com, haz clic derecho en la OU Cuentas de usuario , y haz clic en Delegar control para Inicia al Asistente para delegación de Control. 3. Haz clic en siguiente. 4. En la página Usuarios o grupos, haz clic en Agregar. 5. En el cuadro de diálogo de selección, escribe Mesa de ayuda y haz clic en Aceptar. 6. Haz clic en siguiente. 7. En la página Tareas que se delegarán, selecciona Restablecer contraseñas de usuario y forzar el cambio de contraseña.
8. Haz clic en siguiente. 9. Revisar el resumen de las acciones que se han realizado y haz clic en Finalizar.
13
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Vista de permisos delegados
En esta práctica, verás los permisos que asignaste al grupo Mesa de ayuda. 1. Inicia sesión en SERVER01 como Administrador y abre el complemento Usuarios y equipos de Active Directory. 2. Haz clic derecho en la OU Cuentas de usuario y selecciona Propiedades. La ficha Seguridad no está visible hasta que se active la opción Características avanzadas. 3. Haz clic en Aceptar para cerrar el cuadro de diálogo de Propiedades. 4. En el menú Ver, selecciona la opción Características avanzadas. 5. Haz clic derecho en la OU Cuentas de usuario y selecciona Propiedades. 6. En la ficha Seguridad, haz clic en Opciones avanzadas. 7. En la lista de entradas de permisos, selecciona el primer permiso asignado al grupo Mesa de ayuda. 8. Haz clic en Editar 9. En el cuadro de diálogo Entrada de permiso, localice el permiso que tiene asignado y después haz clic en Aceptar para cerrar el cuadro de diálogo. 10. Repite los pasos 7-9 para la segunda entrada de permiso asignada al grupo Mesa de ayuda. 11. Haz clic derecho en un objeto de usuario en la unidad organizativa de Cuentas de usuario y selecciona Propiedades. Repite los pasos 6-10 para examinar los permisos heredados asignados al grupo Mesa de ayuda. 12. Abre el símbolo del sistema e introduce dsacls "ou=Cuentas de usuario, dc = contoso, dc=com”, y presiona Enter. 13. Localiza los permisos asignados al grupo Mesa de ayuda.
14
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
4. Administrar cuentas de usuario 4.1. Automatizar creación de cuentas de usuario
En esta práctica, crearás varias cuentas de usuario con métodos automatizados. Crear usuarios con una plantilla de cuenta de usuario
En esta práctica, se crea una plantilla de cuenta de usuario a la cual se le asignan algunas propiedades para los representantes de ventas. Luego creará una cuenta de usuario para un nuevo representante de ventas copiando la plantilla de cuenta de usuario. 1. Inicia sesión en SERVER01 como Administrador. 2. Abre el complemento Usuarios y equipos de Active Directory 3. Haz clic derecho en la unidad organizativa Cuentas de usuario , elije nuevo y luego selecciona Usuario. 4. En el cuadro Nombre de pila introduce _ventas, incluyendo guion bajo. 5. En el cuadro Apellido introduce Plantilla. 6. En el cuadro Nombre de inicio de sesión de usuario introduce _ventasplantilla. Haz clic en siguiente. 7. Escribe una contraseña compleja en los cuadros contraseña y Confirmar contraseña. 8. Selecciona la casilla La cuenta está deshabilitada . Haz clic en siguiente y en Finalizar. Nota: El guion bajo al principio del nombre de la cuenta asegura que la plantilla aparezca en la parte superior de la lista de usuarios en la unidad organizativa Cuentas de usuario . También observa que el icono del objeto de usuario incluye una flecha hacia abajo, lo que indica que la cuenta está deshabilitada. 9. Haz doble clic en la cuenta de usuario _ventasplantilla para mostrar sus propiedades. 10. Haz clic en la ficha de la Organización 11. En el cuadro Departamento Introduce Ventas 12. En el cuadro Organización introduce Contoso, Ltd. 13. Haz clic en la ficha Miembro de y haz clic en Agregar. 14. Escribe Ventas y haz clic en Aceptar.
15
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
15. Haz clic en la ficha Perfil 16. En el cuadro ruta de acceso al perfil introduce \\server01\profiles\%username% y haz clic en Aceptar. Ahora has creado una cuenta de plantilla que puede copiarse para generar nuevas cuentas de usuarios para los representantes de ventas. A continuación, crearás una cuenta basada en esta plantilla. 17. Haz clic derecho en la plantilla _ventasplantilla y elije Copiar. 18. En el cuadro Nombre de pila introduce Jeff . 19. En el cuadro Apellido Ford . 20. En el cuadro Nombre de inicio de sesión de usuario introduce jeff.ford . Haz clic en siguiente. 21. Escribe una contraseña compleja en los cuadros contraseña y Confirmar contraseña. 22. Desactiva el cuadro de verificación La cuenta está deshabilitada. 23. Haz clic en Siguiente y luego haz clic en Finalizar. 24. Abre las propiedades de la cuenta de Jeff Ford y confirmar que los atributos configurados en la plantilla fueron copiadas a la nueva cuenta. Crear un usuario con el comando DSAdd
En esta práctica, se utiliza el comando DSAdd para crear una cuenta de usuario para Mike Fitzmaurice en la OU Cuentas de usuario . 1. Abre el símbolo del sistema, introduce lo siguiente y presiona Enter: dsadd user "cn=Mike Fitzmaurice,ou=Cuentas de usuario,dc=contoso,dc=com" -samid mike.fitz - pwd * -mustchpwd yes -company "Contoso, Ltd." – email
[email protected]
2. Se te pedirá que introduces una contraseña dos veces para el usuario. Escribe una contraseña compleja de por lo menos siete caracteres, pulsa Enter. No se verán los caracteres de la contraseña que escribes. 3. Cambia al complemento Usuarios y equipos de Active Directory, actualiza la vista de la OU Cuentas de usuario y abre las propiedades de la cuenta de usuario de Mike. Confirma que las propiedades que escribiste en la línea de comandos aparecen en la cuenta.
16
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Usuarios de importación con CSVDE
En los dos ejercicios anteriores, has creado los usuarios uno a la vez. En esta práctica, se utiliza un archivo de texto delimitado por comas para importar dos usuarios. 1. Abre el Bloc de notas y escribe las siguientes líneas: DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Cuentas de usuario,DC=contoso,DC=com",user, Jones,David,david.jones,
[email protected] "CN=Lisa Andrews,OU= Cuentas de usuario,DC=contoso,DC=com",user, Andrews,Lisa,lisa.andrews,
[email protected] "CN= April Stewart,OU= Cuentas de usuario,DC=contoso,DC=com",user, Stewart,April, april.stewart,
[email protected] "CN= Tony Krijnen,OU= Cuentas de usuario,DC=contoso,DC=com",user, Krijnen, Tony, tony.krijnen,
[email protected] 2. Guarda el archivo en Mis Documentos con el nombre NewUsers.txt y cierra el Bloc de notas. 3. Cambia al símbolo del sistema. 4. Captura cd %userprofile%\Documents y presiona Enter. 5. Captura csvde -i -f NewUsers.txt -k y presiona Enter. Los cuatro usuarios son importados. Si encuentras algún error, examina el archivo de texto para problemas tipográficos. 6. Cambiar a Usuarios y equipos Active Directory, actualiza la vista de la OU Cuentas de usuario y a continuación, confirma que los usuarios fueron creados correctamente. 7. Examinar las cuentas para confirmar que los campos Nombre, Apellido, User principal Name y nombre de inicio de sesión anterior a Windows 2000 se llenaron de acuerdo al archivo NewUsers.txt.
17
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
4.2 Administración con PowerShell y el Centro de Administración de Active Directory
En esta práctica se explora Windows PowerShell y se utiliza para crear cuentas de usuario. Utiliza los comandos y cmdlets de Windows PowerShell
En esta práctica, usarás Windows PowerShell y utiliza los comandos con los que ya está familiarizado. 1. Inicia sesión en SERVER01 como CONTOSO\Administrador. 2. Haz clic en Powershell en la barra de tareas. 3. En la consola de Windows PowerShell, escribe dir y presiona Enter. 4. Identifica el cmdlet para que dir es un alias. Escribe Get-Alias dir , y presiona Enter. Pregunta: ¿Para qué cmdlet es dir un alias? Respuesta: Get-ChildItem. 5. Escribe ipconfig /all y luego presiona Enter. 6. Escribe cls y presiona Enter. 7. Escribe Get-Help New-ADUser presiona Enter. Se carga el Módulo de Active Directory para Windows PowerShell. Cierre PowerShell. 8. Abra PowerShell y escriba Import-Module ActiveDirectory presiona Enter. 9. Escriba Get-Help New-ADUser y presiona Enter. 10. Cierra Windows PowerShell. 11. Abre el Módulo de Active Directory para Windows PowerShell de las herramientas administrativas. 12. Escribe Get-Help New-ADUser y presiona Enter. Los cmdlets de Active Directory y el proveedor están disponibles de inmediato porque el Módulo de Active Directory está cargado por defecto.
18
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Identificar y explorar un Cmdlet de Windows PowerShell
En esta práctica, se identifica el comando necesario para crear un nuevo usuario y se explorar su documentación. 1. Abre el Módulo de Active Directory para Windows PowerShell y lista los cmdlets de Windows PowerShell para Active Directory. Escribe el comando siguiente y presiona Enter: Get-Command – Module ActiveDirectory
Alternativamente, escribe el comando siguiente y presiona Enter: Get-Command – Noun AD*
2. Lista los cmdlets que realizan tareas relacionadas con los usuarios en Active Directory. Escribe el comando siguiente y presiona Enter: Get-Command – Noun AD*User*
¿Pregunta: Qué cmdlet borra un usuario? Respuesta: Remove-ADUser. 3. Mostrar el resumen de la documentación de ayuda para el cmdlet. Escribe el comando siguiente y presiona Enter: Get-Help New-ADUser
4. Mostrar ejemplos de uso para el cmdlet. Escribe el comando siguiente y presiona Enter: Get-Help New-ADUser -examples Consejo: Puedes presionar la tecla de flecha arriba para seleccionar el comando introducido anteriormente y luego escribir el parámetro adicional. 5. Muestra ayuda detallada para el cmdlet. Escribe el comando siguiente y presiona Enter: Get-Help New-ADUser –detailed
19
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Crear una unidad organizativa mediante New-ADOrganizationalUnit
En esta práctica, se crea una nueva OU llamada Empleados en la OU Cuentas de usuario .
Escribe el siguiente comando en una sola línea y presiona Entrar: New-ADOrganizationalUnit -Name Empleados -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -ProtectedFromAccidentalDeletion $true
Comprueba que se hayan creado utilizando Usuarios y equipos de Active Directory Navegue por Active Directory utilizando el PSDrive de Active Directory
En esta práctica, navegarás en Active Directory utilizando comandos que te serán familiares ya que se usan al navegar por sistemas de archivos en el símbolo del sistema. 1. Escribe cd AD: y presiona Enter. 2. Escribe cd "dc=contoso, dc=com" y presiona Enter. 3. Escribe cd "ou=Cuentas de usuario" y presiona Enter. 4. Escribe md "ou=Contratistas" presiona Enter. 5. Escribe el siguiente comando para crear una unidad organizativa denominada Servicio en la OU Cuentas de usuario New-Item -Name "ou=Servicio" -ItemType organizationalUnit 6. Escribe dir y presiona Enter. 7. Escribe cd c: y presiona Enter. 8. Abre Usuarios y equipos de Active Directory. Desplázate hasta la OU Cuentas de usuario y confirma que se crearon las unidades organizativas Empleados, Contratistas y Servicio.
20
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Crear usuarios con Windows PowerShell
En esta práctica, utilizas Windows PowerShell para crear usuarios en Active Directory y luego modificar atributos de uno de los usuarios. 1. En módulo de Active Directory para Windows PowerShell, escribe el siguiente comando en una línea y presiona Enter: New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Mike Danseglio" -SAMAccountName "mike.danseglio" -UserPrincipalName "
[email protected]" 2. Escribe los siguientes dos comandos, uno en cada línea y presiona Enter: New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Linda Mitchell" -SAMAccountName "linda.mitchell" -UserPrincipalName "linda.mitchell @contoso.com" New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Scott Mitchell" -SAMAccountName "scott.mitchell" -UserPrincipalName "scott.mitchell @contoso.com"
3. Crea un usuario con atributos adicionales. Escribe el siguiente comando en una línea y presiona Entrar. New-ADUser -Path "ou=Cuentas de usuario, dc=contoso, dc=com" -Name "Mary North" -SAMAccountName "mary.north" -UserPrincipalName "
[email protected]" -EmailAddress "
[email protected]" -GivenName "Mary" -Surname "North" -Description "Representante de ventas en Australia" -Company "Contoso, Ltd." -Department "Ventas" -Office "Sydney" –AccountPassword (ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force) -ChangePasswordAtLogon $true -Enabled $true
21
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
4. Ve a usuarios y equipos de Active Directory, actualiza la vista de la OU Cuentas de usuario . Abre las propiedades de las cuentas de usuario que acabas de crear y confirma que los atributos especificados se configuraron como se esperaba. Ten en cuenta que las cuentas de usuario para Linda Mitchell y Scott Mitchell están deshabilitadas. No se pueden habilitar hasta que se haya especificado una contraseña. Restablece la contraseña de cada cuenta, pero no las habilites en este momento. Para restablecerla, haz clic derecho sobre cada cuenta y selecciona restablecer contraseña. 5. Cambia al módulo de Active Directory para Windows PowerShell. 6. Escribe los siguientes comandos y presiona Enter: $user = Get-ADUser "mary.north" Set-ADUser $user -EmployeeNumber 12345
7. Escribe el comando siguiente y presiona Entrar: Get-ADUser "mary.north" | Set-ADUser -DisplayName "North, Mary"
8. Escribe el comando siguiente y presiona Entrar: Get-ADUser "mary.north" -Properties *
De forma predeterminada, el cmdlet Get-ADUser devuelve sólo pocos atributos más utilizados. Puedes especificar que devuelva ciertas propiedades mediante el parámetro –Properties. Un asterisco (*) devuelve todas las propiedades.
22
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
5. Administrar Grupos 5.1. Gestión de una empresa con grupos
En esta práctica se crearán grupos, se experimentará con la pertenencia a grupos y cambiar el tipo y ámbito de un grupo. Crear grupos
En esta práctica se crean grupos de diferentes ámbitos y tipos. 1. Inicia sesión en SERVER01 como Administrador. Abre Usuarios y equipos de Active Directory y haz clic en la OU Grupos. Elimina el grupo Ventas. 2. Haz clic derecho en la OU Grupos, selecciona nuevo y haz clic en Grupo. 3. En el cuadro Nombre de grupo escribe Ventas . 4. En ámbito de grupo selecciona Global y en Tipo de grupo Seguridad . Haz clic en Aceptar. 5. Haz clic derecho en el grupo de Ventas y elija Propiedades. 6. En la ficha Miembros, haz clic en Agregar, escribe Jeff;Tony y haz clic en Aceptar. Haz clic en Aceptar para cerrar el cuadro de diálogo de propiedades. 7. Repite los pasos 2 a 4 para crear dos grupos de seguridad global denominados Marketing y Consultores. 8. Repite los pasos 2 a 4 para crear un grupo de seguridad de dominio local llamado ACL_SalesFolder_Read . 9. Abre las propiedades del grupo ACL_SalesFolder_Read . 10. En los ficha Miembros, haz clic en Agregar y agrega Ventas, Marketing y Consultores haz clic en Aceptar. 11. Haz clic en Agregar. Escribe David Jones y haz clic en Aceptar. Haz clic en Aceptar para cerrar el cuadro de diálogo de Propiedades. 12. Abre el cuadro de diálogo de Propiedades del grupo Marketing. 13. En los ficha Miembros, haz clic en Agregar. 14. Escribe ACL_SalesFolder_Read y haz clic en Aceptar.
23
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
No puedes agregar un grupo de Dominio local a un grupo global. 15. Cierra todos los cuadros de diálogo abiertos. 16. Crea una carpeta llamada Ventas en la unidad C. 17. Haz clic derecho en la carpeta de Ventas, selecciona Propiedades y después la ficha de seguridad. 18. Haz clic en editar y después Agregar. 19. Haz clic en Opciones avanzadas y después Buscar ahora. Note que al usar un prefijo para nombres de grupo tal como el ACL_prefijo, para grupos de acceso a recursos, los puedes encontrar rápidamente, ya que aparecen agrupados en la parte superior de la lista. 20. Cierra todos los cuadros de diálogo abiertos. 21. Ve a Usuarios y equipos de Active Directory, haz clic derecho en la unidad organizativa Grupos, haz clic en nuevo y después en Grupo. 22. En el cuadro Nombre de grupo escriba Empleados. 23. Selecciona como ámbito Dominio local y tipo de grupo Distribución. Haz clic en Aceptar.
Cambiar el ámbito y tipo de grupo
En esta práctica, aprenderás cómo convertir el alcance y el tipo de grupo. 1. Haz clic derecho en el grupo de Empleados y elije Propiedades. 2. Cambia el tipo de grupo a Seguridad . Haz clic en aplicar. Ten en cuenta: ¿Puedes cambiar el ámbito de un grupo de dominio Local a Global? ¿Cómo? 3. Cambie el alcance del grupo a Universal. Haz clic en aplicar. 4. Cambio el ámbito del grupo a Global. Haz clic en aplicar. 5. Haz clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
24
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
5.2. Automatizar la creación y gestión de los Grupos
En esta práctica, se utilizan comandos DS, CSVDE, LDIFDE y Windows PowerShell para realizar tareas de administración del grupo. Elimina el grupo: Finanzas. Administrar grupos con Windows PowerShell
En esta práctica, utilizarás Windows PowerShell para crear un grupo. 1. Inicia sesión en SERVER01 como Administrador. 2. Abre el Módulo Active Directory para Windows PowerShell. Escribe el siguiente comando en una sola línea: New-ADGroup -Path "OU=Grupos, DC=contoso, DC=com" -Name "PowerShell Experts" -sAMAccountName "PowerShell Experts" -GroupCategory Security -GroupScope Global
3. Abre Usuarios y equipos de Active Directory y confirma que el grupo PowerShell Experts se creó. 4. Ve a Windows PowerShell. Escribe el siguiente comando en una sola línea: Add-ADGroupMember -Identity "PowerShell Experts" -Members "CN=Mike Danseglio, OU=Cuentas de usuario, DC=contoso, DC=com"
5. Escribe el siguiente comando: Get-ADGroupMember – identity " PowerShell Experts"
6. Escribe el siguiente comando: Get-Command *ADGroup*
Crear un grupo con DSAdd
En esta práctica, utilizas DSAdd para crear un grupo. DSAdd puede crear un grupo e incluso agregar miembros con un único comando. 1. Escribe el siguiente comando en una sola línea. Después presiona Entrar. dsadd group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -samid Finanzas -secgrp
25
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 yes -scope g
2. Abre complemento Usuarios y equipos de Active Directory para confirmar que el grupo se creó. Grupos de importación con CSVDE
1. Open Bloc de notas y escribe las siguientes líneas. objectClass,sAMAccountName,DN,member group,Accounting,"CN=Contabilidad,OU=Grupos,DC=contoso,DC=com", "CN=Linda Mitchell,OU=Cuentas de usuario,DC=contoso,DC=com; CN=Scott Mitchell,OU= Cuentas de usuario,DC=contoso,DC=com"
2. Guarda el archivo en Mis documentos con el nombre "Importgroups.csv" (incluyendo las comillas dobles para que el Bloc de notas no añada su extensión .txt). 3. Abre el símbolo del sistema y escribe el siguiente comando: csvde -i -f "%userprofile%\documents\importgroups.csv"
4. Cambia a Usuarios y equipos de Active Directory, actualiza la vista de la OU Grupos y verifica que el grupo se ha creado correctamente. Modificar la pertenencia al grupo con LDIFDE
CSVDE no puede modificar la pertenencia de grupos existentes, pero LDIFDE si lo puede hacer. En esta práctica, se utiliza LDIFDE para modificar la pertenencia del grupo Contabilidad que ha importado previamente. 1. Abre el Bloc de notas y escribe las siguientes líneas: dn: CN=Contabilidad,OU=Grupos,DC=contoso,DC=com changetype: modify add: member member: CN=April Stewart,OU=Cuentas de usuario,dc=contoso,dc=com member: CN=Mike Fitzmaurice,OU= Cuentas de usuario,dc=contoso,dc=com -
26
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 dn: CN= Contabilidad,OU=Grupos,DC=contoso,DC=com changetype: modify delete: member member: CN=Linda Mitchell,OU=Cuentas de usuario,dc=contoso,dc=com
No olvides incluir los guiones después de cada bloque y la línea en blanco entre los dos bloques. 2. Guarda el archivo en la carpeta de Mis documentos como "MembershipChange.ldf" (incluyendo las comillas dobles para evitar que el Bloc de notas agregue la extensión .txt). 3. Ve a símbolo del sistema 4. Escribe el comando siguiente y presiona Entrar: ldifde -i -f "%userprofile%\documents\membershipchange.ldf"
5. Utilizando Usuarios y equipos de Active Directory, confirma que la pertenencia del grupo Contabilidad cambió según las instrucciones del archivo LDIF.
Modificar los miembros de un grupo con DSMod
En esta práctica, agregarás un usuario y un grupo a Finanzas, utilizando el comando DSMod . 1. Cambia a símbolo del sistema. 2. Escribe el siguiente comando en una sola línea para cambiar la pertenencia del grupo Finanzas: dsmod group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -addmbr "CN=Tony Krijnen,OU=Cuentas de usuario,DC=contoso,DC=com" "CN=Contabilidad,OU=Grupos,DC=contoso,DC=com"
3. En Usuarios y equipos de Active Directory confirma que los miembros del grupo Finanzas son Tony Krijnen y el grupo de Contabilidad.
27
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Confirma la pertenencia a un grupo con DSGet y Windows PowerShell
Evaluar la pertenencia a un grupo de manera eficaz es difícil con el complemento Usuarios y equipos de Active Directory, pero es sencillo con el comando DSGet en Windows PowerShell. En esta práctica, revisaremos los miembros de un grupo y la pertenencia a grupos de un usuario. 1. Ve al símbolo del sistema 2. Lista los miembros directos del grupo Contabilidad escribiendo el siguiente comando y presionando Enter: dsget group "CN=Contabilidad,OU=Grupos,DC=contoso,DC=com" – members
3. Lista los miembros directos del grupo Finanzas escribiendo el siguiente comando y presionando Enter: dsget group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -members
4. Muestra la lista completa de miembros del grupo Finanzas escribiendo el siguiente comando y pulsando Enter: dsget group "CN=Finanzas,OU=Grupos,DC=contoso,DC=com" -members -expand
5. Lista la pertenencia a un grupo directo de Scott Mitchell escribiendo el siguiente comando y pulsando Enter: dsget user "CN=Scott Mitchell,OU=Cuentas de usuario,DC=contoso,DC=com" -memberof
6. Muestra la lista completa de la pertenencia a un grupo de Scott Mitchell escribiendo el siguiente comando y pulsando Enter: dsget user "CN=Scott Mitchell,OU=Cuentas de usuario,DC=contoso,DC=com" -memberof -expand
7. Ve al Módulo de Active Directory para Windows PowerShell, escribe lo siguiente y presiona Enter: Get-ADGroupMember "Finanzas" -recursive | Select sAMAccountName
Select es un alias del cmdlet Select-Object, que toma los objetos en la tubería y selecciona una o más propiedades de los objetos. Utilizado aquí, hace la salida del cmdlet GetADGroupMember más legible. Pruébalo sin el tubo y el cmdlet Select para ver la diferencia.
28
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Administración de grupos en una empresa
En esta práctica, aplicarás las mejores prácticas de las tareas de administración de grupo para mejorar la Administración de grupos en el dominio contoso.com. Para realizar los ejercicios en esta práctica, es necesario tener los siguientes objetos en el dominio contoso.com:
Una OU de primer nivel llamada Grupos. Un grupo de seguridad global denominado Finanzas en la OU Grupos. Una OU de primer nivel llamada Cuentas de usuario. Tener un usuario llamado Mike Danseglio en la OU de Cuentas de usuario. Llenar la información de la cuenta de usuario con datos de ejemplo en los campos: dirección, teléfono y correo electrónico. Restablece la contraseña de la cuentapor una que conozcas. Asegúrate de que la cuenta está habilitada y que el usuario no necesita cambiar la contraseña en el siguiente inicio de sesión.
Además, asegúrate de que el grupo Usuarios de dominio es un miembro del grupo Operadores de impresión , el cual puede encontrarse en el contenedor Builtin. Esto permite a todos los usuarios de la práctica Iniciar sesión en el controlador de dominio SERVER01. Esto es importante para las prácticas en este taller, pero no debes permitir que los usuarios Inicien sesión en los controladores de dominio en tu entorno de producción.
Crear un grupo bien documentado
En esta práctica crearás un grupo para gestionar el acceso a la carpeta de Presupuesto y seguirás las directrices de mejores prácticas. 1. Inicia sesión en SERVER01 como Administrador y abre Usuarios y equipos de Active Directory. 2. Selecciona la OU Grupos en el árbol de la consola. 3. Haz clic derecho en la OU Grupos, selecciona nuevo y haz clic en Grupo. 4. En el cuadro nombre del grupo escribe ACL_Presupuesto_Editar 5. Selecciona como ámbito Dominio Local y tipo Seguridad y haz clic en A ceptar 6. Haz clic en el menú Ver y asegúrate de seleccionar características avanzadas. 7. Haz clic derecho en el grupo de ACL_Presupuesto_Editar y elije Propiedades.
29
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
8. Selecciónala ficha Objeto y marca la casilla proteger objeto contra eliminación accidental y haz clic en Aceptar. 9. Vuelva a abrir las propiedades del grupo. 10. En la caja Descripción escribe PRESUPUESTO (EDITAR) 11. En la caja de Notas escribe las siguientes rutas para representar las carpetas que tienen permisos asignados a este grupo: \\server23\data$\finanzas\presupuesto \\server32\data$\finanzas\proyecciones ingresos
12. Haz clic en Aceptar.
Gestión de la delegación de pertenencia a un grupo
En esta práctica darás la posibilidad a Mike Danseglio de gestionar los miembros del grupo ACL_Presupuesto_Editar . 1. Abre el cuadro de diálogo Propiedades del grupo ACL_Presupuesto_Editar . 2. Abre la ficha Administrado por , haz clic en cambiar. 3. Escribe el nombre de usuario de Mike Danseglio, mike.danseglio y haz clic e n Aceptar. 4. Marca la casilla El administrador puede actualizar la lista de suscripciones, clic en Aceptar Validar la delegación de la administración de miembros
En esta práctica se probará la delegación realizada previamente, modificando la pertenencia al grupo como el usuario Mike Danseglio. 1. Abre el símbolo del sistema y captura el siguiente comando: runas /user:Mike.dansaglio cmd.exe
2. Cuando se te solicite introduce la contraseña para Mike Danseglio. Aparece una nueva ventana de símbolo del sistema, funcionando como Mike Danseglio. 3. Escribe el siguiente comando en una sola línea y presiona Entrar: dsmod group "CN=ACL_Presupuesto_Editar ,OU=Grupos,DC=contoso,DC=com"
30
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 -addmbr "CN=Finanzas,OU=Grupos,DC=contoso,DC=com"
4. Cierra ambas ventanas símbolo de sistema 5. En Usuarios y equipos de Active directory examina los miembros del grupo ACL_Presupuesto_Editar y asegúrate de que el grupo de Finanzas fue añadido con éxito.
6. Configuración de cuentas de equipo 6.1. Crear equipos y unirlos al dominio
En esta práctica implementarás las mejores prácticas para crear Computadoras y unir los sistemas al dominio. Empezarás por la creación de una estructura de OU para hospedar los nuevos objetos Equipo. Posteriormente se crearán estos objetos y delegarás permisos para unir estos equipos al dominio. Delegarás permisos para crear objetos Equipo y se redireccionará el contenedor por defecto. Finalmente se prepara una cuenta de equipo para unirse offline el dominio. Antes de realizar esta práctica debes tener ciertos objetos en el dominio contoso.com. Algunos de estos objetos ya fueron creados y otros se crearán. Los objetos que debes tener son:
Una OU llamada Admins con una sub-OU llamada Grupos Un grupo de seguridad global en la unidad organizativa de Admins\Grupos nombrado Server Admins. Un grupo de seguridad global en la unidad organizativa de Admins\Grupos l lamado Mesa de ayuda. Una OU de primer nivel llamada Cuentas de usuario. Un usuario en la unidad organizativa de Cuentas de usuario llamado Jeff Ford. El usuario es miembro de los usuarios del dominio y Server Admins. Asegúrate de que la cuenta tiene una contraseña y está habilitada. Un usuario en la OU Cuentas de usuario llamada Linda Mitchell. El usuario es un miembro de Usuarios de dominio y Mesa de ayuda. Asegúrate de que la cuenta tiene una contraseña y está habilitada.
Además, si ya existe un objeto de equipo para DESKTOP101, elimínalo. Finalmente, asegúrate que el grupo Usuarios de dominio es un miembro del Grupo Opers. de impresión que puedes encontrar la OU Builtin.
31
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
Esto permite a todos los usuarios de prueba en el dominio contoso.com iniciar sesión en el Controlador de dominio SERVER01. Esto es importante para esta práctica, pero no debes permitir a los usuarios Iniciar sesión en los controladores de dominio en tu entorno de producción. Crear objetos de equipo
En esta práctica, preparará una cuenta de un cliente y una cuenta para un servidor y delegará la capacidad de unir los equipos al dominio. 1. Haz clic derecho en la OU de Clientes, selecciona nuevo y haz clic en Equipo 2. Aparece el cuadro de diálogo Nuevo: Equipo 3. Escribe el nombre del equipo: DESKTOP101 4. Haz clic en cambiar junto al cuadro de usuario o grupo. 5. En el cuadro de diálogo que aparece, escribe el nombre del usuario o grupo que se le permitirá unir el equipo al dominio: Selecciona Mesa de ayuda . Haz clic en Aceptar. 6. Haz clic en Aceptar para cerrar el cuadro de diálogo. 7. Haz clic derecho en la OU Servidores, selecciona nuevo y haz clic en Equipo. 8. Aparece el cuadro de diálogo Nuevo: Equipo 9. Escribe el nombre del equipo: SERVER15 10. Haz clic en cambiar junto al cuadro de usuario o grupo. 11. En el cuadro de diálogo que aparece, introduce el nombre del usuario o grupo que se le permitirá unir el equipo al dominio: Selecciona Server Admin. Haz clic en Aceptar. 12. Haz clic en Aceptar para cerrar cuadro de diálogo
Delegar la capacidad de crear objetos de equipo
En esta práctica, se delegan permisos del menor privilegio para crear objetos de equipo. 1. En SERVER01, abre Usuarios y equipos de Active Directory 2. Haz clic en el menú Ver y asegúrate de seleccionar características avanzadas. 3. Haz clic derecho en Clientes y selecciona Propiedades.
32
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
4. En la ficha Seguridad, haz clic en Opciones avanzadas. 5. Haz clic en Selecciona una entidad de seguridad. 6. Escribe Mesa de ayuda y haz clic en Aceptar. 7. En Se aplica a selecciona Este objeto y todos los descendientes. 8. En la Lista de los permisos, selecciona el permiso crear equipo objetos 9. Haz clic en aceptar tres veces para cerrar todos los cuadros de diálogo. 10. Prueba la delegación ejecutando los siguientes comandos como Linda Mitchell Runas /user:linda.mitchell cmd.exe dsadd computer “CN=DESKTOP152,OU=Clientes,DC=contoso,DC=com”
Redirigir el contenedor predeterminado de Equipos
Es recomendado redirigir el contenedor de Equipos predeterminado para que cualquier nuevo objeto Equipo generado por unirse al dominio se genere en una OU administrada y no en el contenedor Computers. En esta práctica usarás Redircmp.exe para redirigir el contenedor predeterminado de Equipos. 1. En SERVER01, abre símbolo del sistema. 2. Escribe el comando siguiente y presiona Entrar: redircmp "OU=Clientes, DC=contoso, DC=com"
6.2 Automatizar la creación de objetos equipo
En esta práctica, implementarás la automatización para importar y crear equipos en el dominio contoso.com. Antes de realizar la práctica asegúrate de que tienes los siguientes objetos. Una OU de primer nivel llamada Clientes Una OU de primer nivel llamado Servidores
33
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012 Importando Equipos con CSVDE
Cuando deseas crear más de un equipo puede resultarte más fácil importar los objetos equipo desde un origen de datos como un archivo CSV. En esta práctica, utilizas CSVDE para importar cuentas de equipo desde un archivo CSV. 1. En el Bloc de notas, escribe las siguientes líneas. DN,objectClass,name,userAccountControl,sAMAccountName "CN=DESKTOP103,OU=Clientes,DC=contoso,DC=com",computer,DESKTOP103,4096,DESKTOP103$ "CN=DESKTOP104,OU=Clientes,DC=contoso,DC=com",computer,DESKTOP104,4096,DESKTOP104$ "CN=SERVER03,OU=Servidores,DC=contoso,DC=com",computer,SERVER03,4096,SERVER03$
2. Guardar el archivo en Mis documentos con el nombre "Computers.csv", incluyendo las comillas dobles para que no lo guarde como txt. 3. Abre el símbolo del sistema, escribe el comando siguiente y presiona Entrar: csvde -i -f "% userprofile%\documents\computers.csv" 4. Abre Usuarios y equipos de Active Directory y verifica que los objetos Equipo fueron creados con éxito.
Crear un equipo con Windows PowerShell
En esta práctica, se crea un equipo con Windows PowerShell. 1. Abre el módulo de Active Directory para Windows PowerShell, escribe el siguiente comando en una sola línea y presiona Entrar: New-ADComputer -Name "DESKTOP154" -sAMAccountName "DESKTOP154" -Path "OU=Clientes,DC=contoso,DC=com" 2. Abre Usuarios y equipos de Active Directory usuarios y equipos para confirmar que DESKTOP154 fue creado en la unidad organizativa de Clientes.
34
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
7. Implementar una infraestructura de políticas de grupo 7.1 Implementar políticas de grupo
En esta práctica implementarás la configuración del dominio contoso.com mediante políticas de grupo. Crearás, configurarás y establecerás el alcance del GPO
Crear, editar y configurar alcance de un objeto de directiva de grupo
En esta práctica, crearás un GPO que implementa una política de seguridad establecida por la empresa Contoso, Ltd. y configurarás el alcance a todos los usuarios y equipos del dominio. 1. Inicia sesión en SERVER01 como Administrador. 2. Abre la consola de Administración de directivas de grupo desde la pantalla inicio. 3. Expande el Bosque, dominios, el dominio contoso.com y el contender de objetos de directiva de grupo. 4. Haz clic derecho en el contenedor de objetos de política de grupo en el árbol de la consola y selecciona Nuevo. 5. En el nombre escribe CONTOSO Standards. Clic en Aceptar. 6. Haz clic derecho en el GPO CONTOSO Standards y elije Editar Aparece el Editor de administración de directiva de grupo. 7. Haz clic derecho en el nodo raíz de la consola CONTOSO Standards y elije Propiedades. 8. Haz clic en la ficha de comentario y escribe: Políticas del corporativo Contoso. Las configuraciones aplican a todos los usuarios y equipos en el dominio. La persona responsable es: Tu nombre . Haz clic en Aceptar.
En este escenario, la política corporativa de seguridad de IT de Contoso específica que las computadoras no puede estar desatendidas y con sesión iniciada durante más de 10 minutos. Para cumplir con esto, configuras un Protector de pantalla protegido con contraseña 9. Expande las plantillas Configuración de Usuario\Directivas\Plantillas administrativas. 10. Revisa la configuración bajo este nodo. Observa el texto explicativo de la configuración de directivas.
35
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
11. Haz clic derecho en plantillas administrativas en el nodo Configuración de usuario y selecciona Opciones de filtro. 12. Selecciona el cuadro de verificación Habilitar filtros de palabras clave . 13. En el cuadro de texto Filtrar por las palabras Protector de pantalla . 14. En la lista desplegable situada junto al cuadro de texto, elija Exacta. 15. Haz clic en Aceptar. Las plantillas administrativas se filtran para mostrar solo aquellas que contienen las palabras Protector de pantalla. 16. Examina las políticas de protector de pantalla que has encontrado. 17. En el nodo Panel de control\Personalización, haz clic en la directiva Tiempo de espera del Protector de pantalla . Tenga en cuenta el texto explicativo en la margen izquierda del panel de detalles de la consola. 18. Haz doble clic en la directiva Tiempo de espera del Protector de pantalla de configuración de la Directiva. 19. Revisar el texto explicativo en el cuadro de ayuda. 20. Haz clic en habilitada. 21. En el cuadro segundos, escribe 600. 22. En el cuadro comentario escribe: Política de seguridad corporativa de TI implementada estableciendo un tiempo de espera para la activación del Protector de pantalla.
23. Haz clic en Aceptar. 24. Haz doble clic en la directiva de Proteger el Protector de pantalla mediante contraseña. 25. Haz clic en habilitada. 26. En el comentario escribe: Política de seguridad corporativa de TI protegiendo con contraseña el Protector de pantalla.
27. Haz clic en Aceptar. 28. Cierra la consola. Los cambios realizados en el GPME se guardan en tiempo real. No hay ningún comando Guardar.
36
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
29. En el Group Policy Management console, haz clic derecho en el dominio contoso.com y elija vincular un GPO existente. 30. Selecciona el GPO CONTOSO Standards.
Ver los efectos de la aplicación de políticas de grupo
En esta práctica, revisarás el efecto de la configuración de directiva de grupo y practicarás la actualización manual de la política, con Gpupdate.exe. 1. En SERVER01, inicia el Panel de Control y haz clic en apariencia. 2. Haz clic en cambiar protector de pantalla. 3. Observa que puedes cambiar el tiempo de espera del protector de pantalla y la opción para mostrar el inicio de sesión cuando se desbloquea. Cierra el cuadro de diálogo de configuración del protector de pantalla. 4. Abre el símbolo de sistema y escribe gpupdate.exe /force/boot /logoff . Estas opciones del comando Gpupdate.exe invocan la actualización de Directiva de grupo más completa. Espera hasta que el comando se ha completado. 5. Regresa a la configuración del Protector de pantalla en el panel de control. Observa que no puedes cambiar el tiempo de espera ni mostrar el inicio de sesión al reanudar. Explorar un GPO
Ahora que has visto un GPO en acción, explorarás las GPO para conocer el funcionamiento interior de las Directivas de grupo. 1. En el Group Policy Management console, en el árbol de la consola bajo el Contenedor de objetos de la Directiva de grupo, selecciona el GPO de estándares de CONTOSO. 2. Clic en la ficha Ámbito, se muestra un informe de los vínculos de la GPO en la sección vínculos. 3. Haz clic en la ficha de configuración para ver un informe de la configuración de directivas en el GPO. Si tienes la configuración de seguridad mejorada (IE ESC) activada de Internet Explorer, se te pedirá que confirmes si deseas añadir about:security_mmc.exe a su Zona de sitios de
37
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
confianza. Haz clic en agregar. En el cuadro de diálogo sitios de confianza, haz clic en agregar y luego haz clic en cerrar. 4. Haz clic en el enlace Mostrar todo en la parte superior de este informe de configuración para expandir todas las secciones del Informe. Ten en cuenta que los comentarios que se agregaron en la configuración de la política son parte del informe. 5. Colócate en el texto para la Directiva de tiempo de espera de protector de pantalla. Nótese que el título de la política es realmente un hipervínculo. Haz clic en el enlace para abrir una nueva ventana que muestra el texto explicativo para la configuración de la Directiva. Si tienes IE ESC habilitado, se te solicitará que confirme que deseas agregar about:security_mmc.exe a la zona sitios de confianza. Haz clic en agregar. En el cuadro de diálogo de sitios de confianza, haz clic en agregar y haz clic en cerrar. Si aparece un cuadro de diálogo de Error de Script haz clic en sí. Si continúas teniendo problemas clic el Tiempo de espera del protector de pantalla, abre el administrador de servidores y desactivar IE ESC. 6. En la consola de administración de directivas de grupo, haz clic en la ficha detalles, nótese que los comentarios de tu GPO aparecen en esta ficha junto con información de la versión de GPO.
7.2 Gestión del alcance de las políticas de grupo Crear una GPO con una configuración de directiva que tiene prioridad sobre un escenario de conflicto
Imagina que eres un administrador del dominio contoso.com. La GPO CONTOSO Standars ligada al dominio, configura una directiva que activa el protector de pantalla después de 10 minutos de tiempo de espera. Un ingeniero informa que una aplicación crítica que realiza cálculos largos se bloquea cuando se inicia el protector de pantalla y el ingeniero ha pedido que no se aplique esa política a su equipo de ingenieros quienes utilizan la aplicación todos los días. 1. Inicia sesión en SERVER01 como administrador. 2. Abre el complemento Usuarios y equipos de Active Directory y crea una OU dentro de la OU Cuentas de usuario llamada Ingenieros 3. Abre el Administrador de directivas de grupo.
38
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
4. Expande el árbol de la consola para que pueda ver el OU de ingenieros. Haz clic en la OU de Ingenieros y elije Crear un GPO en este dominio y vincularlo aquí. 5. Escribe el nombre Aplicación Ingeniería y haz clic en Aceptar. 6. Ampliar la OU de ingenieros, haz clic derecho en el GPO y elija Editar 7. Expande Configuración de usuario\Directivas\Plantillas administrativas\Panel de control\ Personalización. 8. Haz doble clic en la directiva Tiempo de espera del pantalla protector. 9. Haz clic en desactivado y haz clic en Aceptar. 10. Cierra el GPME. 11. En administración de directivas de grupo, haz clic en la unidad organizativa de ingenieros y haz clic en la Ficha Herencia de Directiva de grupo 12. Observa que la GPO Aplicación Ingeniería tiene prioridad sobre la GPO CONTOSO Standards. El ajuste que se configuró donde explícitamente desactiva el protector de pantalla, anula la configuración en el GPO CONTOSO Standards.
Configurar la opción forzar
Quieres asegurarte de que todos los sistemas reciban lo antes posible los cambios hechos en la Directiva de grupo, además no quieres que algún otro administrador anule la política. 1. En la GPMC, haz clic derecho en el dominio contoso.com y elija crear un GPO en este Dominio y vincularlo aquí. 2. Ingresa el nombre Políticas impuestas por el dominio y haz clic en Aceptar. 3. Clic derecho en el GPO y elije Editar. 4. Expande Configuración de equipo\Directivas\Plantillas Administrativas\System y haz clic en la carpeta Inicio de sesión. 5. Haz doble clic en Esperar siempre a que se inicialice la red en el inicio del equipo y el inicio de sesión . 6. Selecciona habilitado y haz clic en Aceptar.
39
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
7. Cierra el GPME. 8. Haz clic derecho en el GPO Políticas impuestas por el dominio y elige Exigido. 9. Selecciona la OU Ingenieros y haz clic en la ficha Herencia de directivas de grupo Observa que la GPO exigida tiene precedencia sobre las GPO vinculadas a la OU Ingenieros.
Configurar el filtrado de seguridad
Conforme pasa el tiempo, descubres que un pequeño número de usuarios debe ser exclui do de la política Tiempo de espera del protector de pantalla configurada por el GPO CONTOSO Standards. Decides utilizar filtrado de seguridad para administrar el alcance d el GPO. 1. Abre Usuarios y equipos de Active Directory crea una unidad organizativa denominada Grupos, si es que no existe. En la OU Grupos crea un grupo de seguridad global llamado GPO_CONTOSO Standards_Exceptions . 2. En la GPMC, expande el contenedor de objetos de directiva de grupo. 3. Haz clic derecho en el GPO Aplicación Ingeniería y selecciona Eliminar. Haz clic en sí para confirmar. 4. En el árbol de la consola, selecciona el GPO CONTOSO Standards en el contenedor de objetos de directiva de grupo. 5. En la ficha Delegación, haz clic en Opciones avanzadas. 6. En el cuadro de diálogo configuración de seguridad, haz clic en Agregar. 7. Escribe el nombre del grupo, GPO_CONTOSO Standards_Exceptions y haz clic en Aceptar. 8. En la lista de permisos, desplácese hacia abajo y selecciona Denegar Aplicar directiva de grupo. Haz clic en Aceptar. 9. Haz clic en sí para confirmar la selección. 10. Nota la entrada que se muestra en la ficha Delegación en la columna permisos válidos para el Grupo GPO_CONTOSO Standards_Exceptions. 11. Haz clic en la ficha Ámbito y examina la sección de filtrado de seguridad. Si cualquier usuario requiere la exención de las políticas, puedes agregar el usuario al grupo GPO_CONTOSO Standards_Exceptions.
40
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
8. Administrar seguridad empresarial En esta práctica, instalas, actualizas y eliminas el software, utilizando GPSI. Practicarás la administración de software mediante el uso de XML Notepad, un sencillo editor de XML de Microsoft. Para realizar esta práctica, debes completar los siguientes pasos:
Crear una OU de primer nivel llamada Grupos y dentro de esa OU crear una unidad organizativa denominada Aplicaciones . En la OU Aplicaciones, crea un grupo de seguridad global llamado APP_XML Notepad para representar a los usuarios y a las computadoras donde se despliega XML Notepad. Crear una carpeta llamada Software en la unidad C de SERVER01. Dentro de esa carpeta, crear una carpeta llamada XML Notepad. Otorga permisos al grupo APP_XML Notepad de lectura y ejecución. Compartir la carpeta de Software con el nombre de recurso compartido Software y otorga al grupo Todos permiso de compartición de Control total. Descargar XML Notepad en el Microsoft Download Center en http://www.Microsoft.com/downloads/en/details.aspx?FamilyID = 72d6aa49-d 787-4118-ba5f-4f30fe913628. Guárdelo en la carpeta de Software\XML Bloc de notas. Tome nota de la versión que tienes descargado.
Crear una implementación de Software GPO
En esta práctica, crea un GPO que despliega XML Notepad a aquellos desarrolladores que requieren la aplicación. 1. Inicia sesión en SERVER01 como Administrador. 2. Abre la consola de administración de directivas de grupo. 3. Haz clic en el contenedor de objetos de directiva de grupo y haz clic en nuevo. 4. En el cuadro Nombre, escribe el nombre de la aplicación (por ejemplo, XML Notepad ) y haz clic en Aceptar. 5. Haz clic derecho en el GPO XML Notepad y haz clic en Editar 6. Expande Configuración de usuario\Directivas\Configuración de Software. 7. Clic derecho en instalación de software, selecciona nuevo y haz clic en el paquete.
41
TALLER ACTIVE DIRECTORY CON WINDOWS SERVER 2012
8. En el Cuadro de texto nombre de archivo, escribe la ruta de red a la carpeta de distribución de software (por ejemplo, \\server01\software\XML Notepad) y haz clic en Abrir. Selecciona el paquete de Windows Installer (por ejemplo, XmlNotepad.msi) y haz clic en Abrir. 9. En el cuadro de diálogo implementar Software, selecciona avanzada y haz clic en Aceptar. Hay una breve pausa mientras se crea el paquete. 10. En la pestaña General, tenga en cuenta que el nombre del paquete incluye la versión — por ejemplo, XML Notepad 2007. 11. En la ficha de implementación, haz clic en Asignada. 12. Selecciona la casilla de verificación instalar esta aplicación durante el Inicio la sesión. 13. Selecciona Desinstalar esta aplicación cuando esté fuera del ámbito de Administración. 14. Haz clic en Aceptar. 15. Cerrar el Editor de administración de directiva de grupo. 16. En el Group Policy Management console, selecciona la GPO XML Notepad en el Contenedor de objetos de política. 17. En la ficha Ámbito de aplicación, en la sección de filtrado de seguridad, selecciona los usuarios autenticados y haz clic en quitar. Haz clic en Aceptar para confirmar su acción. 18. Haz clic en Agregar. 19. Escribe el nombre del grupo que representa a usuarios y equipos a los que se debe implementar la aplicación, por ejemplo APP_XML Notepad . 20. Haz clic en Aceptar. El GPO se filtra ahora para aplicar sólo al grupo APP_XML Notepad . Sin embargo, la configuración de GPO no se aplicará hasta que está ligado a una unidad organizativa, un sitio web o el dominio. 21. Haz clic derecho en el dominio contoso.com y haz clic en Vincular un GPO existente. 22. Selecciona XML Notepad en la lista de objetos de directiva de grupo y haz clic en Aceptar. Opcionalmente puede probar el GPO mediante la adición de la cuenta de administrador al grupo APP_XML Notepad . Cierra la sesión y luego inicia sesión. XML Notepad se instala al iniciar sesión.
42