Manual de Administración del Active Directory

Objetivo

Disponer de una manual de administración del servicio de directorio Active Directory de Microsoft Windows Server 2008 para poder tener una administración de la cuentas de dominio.

Introducción

Este documento es una introducción a la administración de Active Directory y del complemento de usuarios y equipos de Active Directory de Microsoft Windows Server 2008.

Este complemento permite agregar, mover, eliminar y modificar las propiedades de objetos como usuarios, unidades organizacionales. Requisitos

Para poder usar o el servicio de directorio Active Directory se debe tener lo siguiente:

Un servidor instalado con Windows Server 2008 o 2003, en nuestro caso es Windows Server 2008(que incluya Active Directory).

Las herramientas de administración se pueden ejecutar desde el servidor o es posible ejecutar las herramientas desde una consola remota

Para realizar los procedimientos que se describen en este documento debe haber iniciado sesión como usuario con privilegios administrativos en el servidor.

Usar el complemento Dominios y confianzas de Active Directory

Para iniciar el servicio de directorio Active Directory seguir con los siguiente pasos habiendo iniciado la sesión como usuario con privilegios administrativos (usrhelpdesk)

Pasos.1. Haga clic en:

Start All programs Administrative Tools Active Directory Users and Computers

2. Expanda dgsgig.gob.bo haciendo clic en el símbolo ( + ), para ver la estructura organizacional de nuestro directorio activo el cuenta ya con unidades organizativas o grupos y usuarios según la organización de la DGSGIF.

Los objetos que se describen en la siguiente tabla se crean durante la instalación de Active Directory

Icono Carpeta Descripción

DomainEl nodo raíz del complemento representa el dominio administrado en nuestro caso el dominio dgsgif.gob.bo

BuiltinContiene información de grupos administrativos que se han creado de forma automática en el contenedor.

ComputersContiene todos los equipos Windows XP, Windows Vista y Windows 7 que se unen a un dominio.

UsersContiene los grupos administrativos que se han creado de forma automática en el contenedor Usuarios

Se puede usar Active Directory para crear los siguientes objetos.

Icono Objeto Descripción

Usuario

Un objeto usuario es una entidad de seguridad en el directorio. Un usuario puede iniciar una sesión en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso.

Contacto

Un objeto contacto es una cuenta que no tiene ningún permiso de seguridad. No se puede iniciar una sesión como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrónico.

EquipoUn objeto que representa a un equipo en la red. Para las estaciones de trabajo y servidores Windows, esta es la cuenta de equipo.

Unidad organizativa

Las unidades organizativas se utilizan como contenedores para organizar de manera lógica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro.

GrupoLos grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administración de cantidades grandes de objetos.

Carpeta compartida

Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio.

Impresora compartida

Una impresora compartida es una impresora de red que se ha publicado en el directorio

Crear unidades organizativas

1. Haga clic con el botón secundario del mouse en un objeto del dominio. 2. Seleccione New, y haga clic en Organizational Unit, o bien utilice el

botón de la barra de herramientas Create New Organizational Unit.

3. Introduzca el nombre respectivo según la organización de la dirección, luego clic en OK.

Crear una cuenta de usuario nueva

Para poder crear una cuenta nueva se debe tomar en cuenta lo siguiente:

Cuenta del personal a crear. A que unidad organización pertenece esto según la organización de la

Dirección. Los nombres de usuario deben ser únicos. Si existe un gran número de

usuarios, el diseño debe contar con la posibilidad de empleados con nombres duplicados, habrá que determinar un criterio a seguir para no asignar el mismo nombre de cuenta a dichos usuarios. Por ejemplo: Roberto Condori podría tener las siguientes cuentas: RobertoC, robertoc, rcondori o robcon, etc.

En nuestro caso utilizaremos el formato de la inicial del primer nombre seguida del apellido paterno por ejemplo.

Roberto Carlos Condori Sirpa rcondoriJuan Cueva Montecionos jcuevasAlfonsina Guzman Garcia aguzman

1. Haga clic con el botón secundario del mouse en la unidad organizativa en la cual agregara una cuenta de usuario, haga clic en New y a continuación haga clic en User, o utilice el botón de la barra de herramientas Create a New User.

2. Rellenar los siguientes campos, luego clic en Next.

3. Escriba la contraseña, repita la misma y seleccione las opciones de cuenta apropiadas, luego clic en Next.

Nota. Una contraseña o password será la misma para todos los usuarios creados, para mayor seguridad nos aseguraremos siempre de que el usuario cambie su contraseña en su primer inicio de sesión. Para proteger el acceso al dominio o al equipo, cada cuenta de usuario requiere una contraseña. Como administradores de la DGSGIF deberemos decidir si la contraseña de la cuenta de usuario la determina el administrador o el usuario además de tener en cuenta los siguientes puntos: 

Asignar siempre una contraseña a la cuenta Administrador.  Determinar quién controlará la contraseña. Decidir si una contraseña tiene que caducar.  Educar a los usuarios sobre las maneras de proteger y escribir

sus contraseñas. Las contraseñas no deben tener relación con el dominio ni con el nombre del usuario.

Evitar utilizar asociaciones obvias, como el nombre de algún familiar o nombre del usuario. 

Utilizar contraseña larga que puedan tener una longitud de hasta 14 caracteres. 

Utilizar números, símbolos, letras mayúsculas y minúsculas. Las contraseñas distinguen entre mayúsculas y minúsculas.

Si el usuario decide cambiar su password, este no debe tener relación con los password anteriores hasta la doceava vez que cambie.

4. Haga clic en Finish

De esta manera acaba de crear una cuenta en una unidad organizativa.

Para agregar información de usuario

1. Haga clic con el botón secundario del mouse en el objeto usuario, y a continuación haga clic en Properties.

2. Agregue más información acerca del usuario (según se muestra en la siguiente ilustración) y haga clic en Aceptar.

Para utiliza la demás opciones en una cuenta haga clic con el botón secundario del mouse en el objeto usuario seleccionado y seleccione alguna de las opciones.

Estas opciones permiten copiar, mover, cambiar el password, eliminar, cambiar el nombre, etc… de una cuenta de usuario

AGREGAR UN EQUIPO CLIENTE AL DOMINIO.

Para unir un equipo cliente al dominio, deberemos hacer iniciar sesión en dicho equipo con un usuario con privilegios para realizar esta acción (preferentemente como administrador).

1. Situe el cursor en el icono Mi PC y haga clic derecho Mi PC y luego en propiedades.

2. Clic en la pestaña: Nombre del Equipo

3. Clic en el botón Cambiar

4. Cambiar el nombre de equipo y elegiremos el dominio, escribiendo el nombre completo del dominio al que queremos unirlo (dgsgif.gob.bo). Luego clic en Aceptar.

5. Se nos pedirá que nos autentifiquemos como un usuario con privilegios para realizar esta acción introducir el nombre y contraseña de la cuenta administrador del servidor de dominio en nuestro caso:

Usuario : usrhelpdesk

Cambiar el nombre del equipo como en el de la cuenta de usuario que se creó en el Active Directory.

Cambiar el nombre del dominio por el de:dgsgif.gob.bo

Contraseña : Password2011

Luego clic en Aceptar.

6. Tras unos segundos, se nos dará la bienvenida al dominio, clic en Aceptar.

7. Luego nos pedirá que reiniciemos el equipo, clic en Aceptar

Una vez reiniciado el equipo nos pedirá que iniciemos sesión.

1. Para iniciar sesión en la máquina cliente como un usuario del dominio, deberemos indicarlo expresamente en Conectarse a: donde diremos que nos conectaremos a nuestro dominio: DGSGIF.

2. Introduciremos nuestra cuenta que creada y el contraseña por defecto.

3. Como es la primera vez que iniciamos sesión nos pedirá que cambiemos la contraseña.

4. El usuario nuevo deberá introducir su nueva contraseña tomando en cuenta las recomendaciones del administrador de dominio.

5. Si la contraseña fue introducida correctamente nos saldrá el siguiente mensaje.

6. Luego ingresara a su sesión lista para ser utilizada.

CLIENTE LOCAL EN EL EQUIPO CON PROVILEGIOS.

Para poder iniciar sesión como usuario en el equipo local con ciertos privilegios debemos de agregar el usuario logeandonos como adminsitradores del dominio es decir:

Usuario : usrhelpdeskContraseña : Password2011Conectarse a : DGSGIF

1. Situé el cursor en el icono Mi PC y haga clic derecho Mi PC y luego clic Administrar.

2. Despliegue las opciones de Usuarios locales y grupos

3. Se puede observar los distintos tipos de usuarios locales que se puede crear: administradores, usuarios, usuarios avanzados, etc…, haciendo doble clic en el grupo al cual se agregara un usuario.

4. Clic en agregar.

5. Introduciremos el nombre del usuario a agregar

6. Para comprobar la existencia del usuario en el servidor de dominio, haga clic en el botón Comprobar nombres, luego clic en Aceptar.

7. De esta manera se puede ver que el usuario de dominio a sido agregado al grupo administradores como usuario local, luego clic en Aceptar.

8. Luego cerrar sesión, e iniciar la sesión con el usario y constraseña respectivo.

De esta manera se creará un perfil local (en el disco duro de la máquina cliente). Esto quiere decir que todo el espacio de trabajo de este usuario se almacenará localmente, incluidos sus documentos personales.

Para dar permisos a ciertos usuarios