PRCTICA DE SISTEMAS

ACTIVEDIRECTORY

Juan A. Rodrguez de la Rosa2 ASIR

ndice de contenidoEnunciado 3Preparacin3Ejercicio 16Ejercicio 26Ejercicio 37Ejercicio 49Ejercicio 511Ejercicio 615Ejercicio 716Ejercicio 821Ejercicio 924Ejercicio 1025Ejercicio 1142Ejercicio 1246

Enunciado Perteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 de Octubre de este ao, se plantea una migracin del entorno corporativo a la versin de Windows 2003 Server.

Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores (tus compaeros de clase, que son unos fenmenos, como t). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/ Arcos de la Frontera s/n Nuestra labor como analistas y tcnicos de sistemas es la de determinar los procedimientos necesarios para dicha migracin y llevarlos a cabo para tal fecha. Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que estn actualmente en produccin:

-Administracin de usuarios y grupos. -Administracin de ficheros. -Administracin de discos. -Copias de seguridad.

y aadir otros ms

El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva implantacin con el mximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos para la gestin de los servicios anteriormente citados y otros nuevos que aadiremos.

Preparacin

Antes de nada hay que instalar el Active Directory y indicar el dominio que vamos a utilizar:

Tambin configuraremos la direccin IP del servidor que mas tarde corresponder con el servicio DHCP:

Instalaremos tambin los servicios DNS y DHCP:

Y ahora podemos comprobar que se han instalado correctamente:

Y ahora otro dato importante que configuraremos para que nos sea mas sencillo la creacin de usuarios ( pero nada recomendable de usar) es deshabilitar las directivas de contraseas:

Ejercicio 11. La empresa consta de 20 empleados.

A continuacin se mostrarn en los 3 ejercicios siguientes los usuarios creados, cada uno en su unidad organizativa correspondiente.

Los 20 empleados estn divididos entre 3 unidades organizativas:

-Sistemas

-Software

-Especiales

Ejercicio 22. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestin de incidencias. Esta se almacenar en una carpeta a la que solo tendr acceso el departamento de sistemas. Los datos estarn en una particin o disco duro diferente a la del sistema operativo.

He introducido los 3 usuarios dentro del grupo sistemas.

Ahora asignaremos los permisos al departamento de sistemas de la carpeta dep_sistemas que he creado en el nuevo disco duro:

Ejercicio 33. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de cdigo y de documentacin, donde nicamente tendrn acceso a aquellos directorios asociados al proyecto en el que estn trabajando.

He introducido los usuarios dentro del grupo software:

Y ahora asignaremos los usuarios divididos en 3 bloques dentro de los grupos proyecto1, proyecto2 y proyecto3 que se le asignarn permisos sobre las carpetas de proyectos:

Despus de asignar los usuarios en grupos, ya podremos darle permisos a esos grupos sobre las carpetas proyectos:

Ejercicio 44. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendr acceso a toda la documentacin y cdigo ejecutable de los proyectos. El director tendr acceso ilimitado a todos los recursos disponibles.

Mientras que al gerente le daremos los permisos solo en las carpetas de proyectos:

Al director le daremos permisos tanto a las carpetas de proyectos como a las de dep_sistemas:

El rbol de como quedaran estructuradas las carpetas dentro del nuevo disco duro es el siguiente:

Ejercicio 55. La empresa tiene una serie de servicios que quiere seguir manteniendo(incluidos sus nombres): a. Controlador de Dominio => dominio.local

b. Servicio DNS

Tanto la zona directa:

Como la zona inversa:

c. Servicio DHCP =>192.168.100.0/24

i. mbito: 192.168.100.2 192.168.100.254

ii. Servidor: 192.168.100.1

Y ahora la comprobacin de que funciona mediante un nslookup a la zona directa y a la zona inversa:

Ejercicio 66. Todos los equipos (mquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados fsicamente a un switch.

Para ello colocamos la tarjeta de red como red interna tanto en el servidor como en los clientes:

Ejercicio 77. Para cada uno de estos usuarios se crear un perfil mvil, que ser oculto para el resto de los usuarios, salvo para los dos usuarios del punto anterior.

Para crear los perfiles y probarlos necesitaremos acceder con alguna maquina cliente al servidor, por lo tanto yo he elegido un windows XP y lo primero que deberemos hacer es acceder mediante las propiedades de Mi PC e indicar el dominio donde vamos a trabajar:

Despus nos pide reiniciar, y probaremos a entrar con el administrador y la contrasea del servidor seleccionando el dominio que vamos a conectarnos:

Ahora veremos la IP (que nos la da el dhcp del servidor) y como podemos comprobar tambin nos sale el dominio en el que nos encontramos:

Despus haremos un nslookup al servidor mediante la zona directa:

Y despus mediante la zona inversa (IP):

Una vez tengamos hechas todas estas comprobaciones, pasamos a la creacin de el perfil mvil.

Primero crearemos una carpeta llamada perfiles en la nueva particin que creamos anteriormente:

Despus hacemos botn derecho sobre la carpeta y le damos a compartir y escribimos un $ al final de la palabra perfiles:

Despus de esto nos vamos a los usuarios de active directory y empezamos a darle perfiles moviles, para ello seleccionamos cualquier usuario y nos vamos a sus propiedades, all nos vamos a la pestaa perfiles y escribimos la siguiente direccin:

Despus aplicamos los cambios y se nos cambiar el %username% por el nombre del usuario:

Luego aceptamos y ya podremos acceder mediante un usuario:

Ejercicio 88. Se crear tambin un perfil obligatorio, llamado invitado, por si alguien ajeno a la empresa quiere usar algn equipo. Este perfil no tendr acceso a ningn otro perfil, proyecto, documentacin, etc de la empresa. Los datos de los perfiles estarn en una particin o disco duro diferente a la del sistema operativo.

Primero nos dirigimos a los usuarios y buscamos el usuario invitado, pulsamos botn derecho sobre l y le damos a habilitar cuenta:

Despus nos dirigimos a la maquina cliente y desde ah nos introducimos en Mi PC/propiedades/Opciones avanzadas/perfiles de usuario y cogemos un usuario cualquiera y le damos a copiar a, posteriormente escribimos lo siguiente:

Despus cerraremos sesin:

Realizado esto nos vamos a la carpeta que se a creado Invitado.man, y cambiamos el archivo ntuser.dat por ntuser.man

Luego nos dirigimos al usuario invitado, y accedemos a sus propiedades:

Ahora seleccionaremos la pestaa perfil e introduciremos lo siguiente:

Ejercicio 99. El servidor tiene una particin donde se almacena tanto el cdigo fuente, ejecutables y documentacin de cada uno de los proyectos.

Para ello primero creamos un nuevo disco duro virtual en el VirtualBox:

Despus nos introducimos en administracin de discos dentro del Servidor, y damos formato a ese nuevo disco duro:

Y como vemos ya tenemos creado el nuevo disco duro:

Ejercicio 1010. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar posibles distracciones:

i. Habilitar Asistencia Remota Solicitada.

ii. Habilitar no permitir que se ejecute windows messenger.

iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.

Primero habilitamos el active Desktop

Y despus el papel tapiz:

La imagen seleccionada la tengo guardada en la direccin C:\cordoba.jpg

Como vemos he reiniciado y despus de esto, sale la imagen siguiente de fondo:

He intentado cambiar el fondo, pero como vemos no nos deja interactuar con los elementos de escritorio:

iv. Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.

v. Deshabilitar el uso de pendrives.

b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).

Primero creamos la directiva

i. Habilitar ofrecer asistencia remota.

c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy pesados, la carpeta Mis Documentos se ubicar en una unidad de red. Se almacenar en el servidor (en una particin diferente a la del sistema operativo) llamada personales. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitar una cuota de disco de 100 Mb, ya que estos ficheros personales no estarn asociados al perfil.

Primero creamos la directiva:

i. Redireccionamiento de Mis Documentos

Primero creamos la carpeta a la que vamos a redirigir:

Posteriormente indicamos la direccin de la carpeta de redireccin dentro de la directiva:

ii. Limitar el tamao del perfil.

d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarqua de aplicacin de las directivas de grupo.

i. Deshabilitar no permitir que se ejecute windows messenger.

ii. Habilitar el uso de pendrives.

Primero copiamos una plantilla de Internet a un documento (en mi caso pendrive.adm)

Despus nos dirigimos a las directivas de grupo y le damos a agregar plantilla dentro de plantillas administrativas del apartado configuracin de equipo:

Y agregamos la plantilla, porque por defecto no la coge sola claramente:

Ahora nos dirigimos al siguiente apartado para mirar el filtrado:

Y en el filtrado deshabilitamos todas las opciones marcadas, para que quede de la siguiente manera:

Y ahora nos dirigimos a la siguiente direccin y habilitamos el uso de usb, como vemos a continuacin:

e. Cambia el modo en que Windows 2003 visualiza las GPO a otro ms amigable. No olvides que no se pueden aplicar directivas de grupo a grupos del dominio.

Nos descargamos el archivo gpmc.msi desde esta url:

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21895

Posteriormente lo instalamos:

Despus cuando accedamos a las directivas de grupo, veremos que nos sale un botn para abrir la nueva interfaz, tal y como aparece en la siguiente imagen:

Despus de abrirlo ya nos saldr la nueva interfaz:

Ejercicio 1111. Instala un servicio de distribucin de software desde tu equipo servidor a las estaciones de trabajo del dominio mediante paquetes MSI: a. OpenOffice. b. Firefox.

Crea t mismo estos paquetes con alguna utilidad.

Primero me he descargado e instalado la aplicacin Exe to msi converter:

Tambin me he descargado oppenoffice.exe y firefox.exe y los vamos a transformar a paquetes msi con Exe to msi converter:

Ahora crearemos una carpeta llamada paquetesmsi donde daremos permiso total al administrador y ser el lugar donde se alojarn los paquetes msi.

Ahora pasaremos a aadir los paquetes msi dentro de la directiva de grupo general del dominio:

Aadiremos tanto el paquete oppenoffice:

Como el de firefox:

Como vemos a continuacin ya tenemos disponibles los paquetes para poder usar cuando sea necesario:

Ejercicio 1212. Instala DFS y haz una prueba de su funcionamiento.

Primero lo instalamos:

Ahora pasaremos a realizar una prueba, para ello accedemos al administrador de DFS y creamos un nuevo espacio de nombres:

Ahora indicamos el dominio:

Elegimos el tipo que deseamos:

Despus nos sale el resumen y posteriormente nos muestra la pantalla siguiente por donde podemos comprobar que se han creado los pasos anteriores correctamente:

Y por ltimo creamos una carpeta dentro del espacio de nombres, as podemos comprobar que funciona correctamente: