servicio nacional de aprendizaje sena · pdf fileintroducción en esta actividad,...
Post on 08-Mar-2018
237 Views
Preview:
TRANSCRIPT
SERVICIO NACIONAL DE APRENDIZAJE SENA
CE
SERVICIO NACIONAL DE APRENDIZAJE SENA
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL CESGE
ACTIVE DIRECTORY (GPO)
APRENDIZ
BRENDA MARCELA TOVAR TORRES
INSTRUCTOR
MAURICIO ORTIZ MORALES
GESTION DE REDES DE DATOS
FICHA #230490
01-06-2012
MEDELLIN-ANTIOQUIA
INTRODUCCIÓN
En esta actividad, presento las diferentes políticas aplicables en Windows server 2008,
esta actividad esta centralizada en la infraestructura Active Directory.
Active Directory es el termino que usa Microsoft para referirse “servicios de directorios”,
centraliza el control de todos los recursos de la red, para controlar el acceso a este
recurso, almacena objetos de forma segura en estructura jerárquica. Utiliza distintos
protocolos principalmente LDAP, DNS, Kerberos; la estructura jerárquica permite
almacena una serie de objetos relacionados con componentes de una red, como usuarios,
grupos de usuarios y políticas de acceso. Active Directory almacena información de una
organización en una base de datos central, organizada y accesible.
OBJETIVOS
Analizar las GPO de Active Directory, función y aplicación.
Aplicar las políticas expuestas en la actividad y saber que modifica al ejecutarlas.
Instalar y configurar una infraestructura Active Directory en Windows server 2008.
Identificar los diferentes componentes del servicio de directorios.
Administrar la infraestructura lógica de Active Directory a través de la manipulación de
objetos y contenedores.
LECTURAS PREVIAS
Servicio de directorio – Hasta la página 14
Servicios de dominio de directorio en Windows Server 2008
Configuración de Active Directory (Es muy interesante):
http://ditec.um.es/aso/teoria/tema13.pdf
PLANTEAMIENTO DEL PROBLEMA
La empresa ABCx requiere el diseño e implementación de un servicio para mantener información
centralizada de los recursos de la red. Se requiere entonces que la información de los objetos de la
red sea almacenada en un servicio de Directorio Ligero (Active Directory) en Windows Server
2008.
En esta actividad usted debe desarrollar cada uno de los pasos que se exponen a continuación:
A partir del diagrama de la figura 1 cree una estructura LDAP en la que se pueda englobar a todos
los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del directorio
será usados como usuarios de correo electrónico).
La mayor parte de los equipos clientes de la empresa tienen sistemas operativos Windows 7 y
Windows XP. Además algunos de los servidores de ABC tienen sistemas operativos Windows
Server 2003 y Windows Server 2008.
A usted como grupo del departamento de Sistemas se le ha asignado la tarea de implementar una
infraestructura Active Directory en la que se establecerán las siguientes directivas:
Cada departamento de la empresa ABCx será agregado a la estructura lógica de Active
Directory a través de unidades organizativas. Cada unidad organizativa anidará otras
unidades organizativas que permitirán tener un control sobre los recursos de red de cada
dependencia. Estos contenedores serán: Usuarios y grupos, Equipos, Impresoras y
Carpetas compartidas. Tenga en cuenta que dentro de cada departamento existen por lo
menos 10 usuarios y que la información de cada usuario en el directorio debe ser
detallada.
Nos vamos a inicio, ejecutar, dcpromo, aceptar.
Dcpromo es la herramienta de Microsoft que nos
permite convertir nuestro Windows server en un
controlador de dominio.
Esperamos que se instalen los
binarios de los servicios de
dominio de Active Directory.
Este es el asistente para
instalarlo.
Como vamos a crear uno nuevo, le
daremos en esa opción.
Le damos el nombre al dominio o
FQDN del bosque.
El sistema comprueba si esta en uso
Elegimos el nivel funcional del
bosque, el sistema operativo en el
que estamos instalándolo.
Debemos ponerle una ip
estáticamente para que el sistema de
nombres de dominio sea confiable.
Dejamos la que trae por defecto
Le damos la contraseña para la
cuenta del administrador
Clic en reiniciar al completar, para que tome los cambios.
Vamos a inicio, luego a herramientas
administrativas, y luego
administración de directivas de grupo
Luego se abrirá la ventana le damos
clic derecho y nos aparecerá una
ventana donde le daremos nueva
unidad organizativa
Nos aparecerá una ventana donde le
vamos agregar el nombre de la
unidad organizativa
Después de agregar la unidad, se
creara otras organizativas dentro
de esa misma.
En este vamos a crear las
subdirectivas como lo es
sistemas
Vamos a dirección general clic
derecho, nuevo, unidad
organizativa.
Nos vamos a la siguiente ruta:
inicio, herramientas
administrativas, usuarios y
grupos y equipos de active
Directory.
En esta ventana colocamos el nombre a la subdirectivas en este caso usuarios y grupos,
equipos, carpetas compartidas, impresoras.
Aquí vamos a la carpeta subdirectiva, usuarios y grupos damos clic derecho nuevo,
usuario y nos aparecerá esta ventana y llenamos los campos requeridos damos
siguiente, contraseña y siguiente y por ultimo aparecerá el resumen y finalizar por
ultimo nos aparecerán todos los usuarios creados
Se forzará a todos los usuarios del dominio abc.com a cambiar su contraseña cada 15 días
y el sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La
política de contraseñas debe estar habilitada para usar un password seguro.
Vamos al editor de administración de directivas de grupo,
configuración del equipo, directivas, configuración de
Windows, configuración de seguridad, directivas de
cuentas, directivas de contraseñas y le damos en la opción
vigencia máxima de la contraseña y le damos el número
que se necesita en este caso 15 días.
Nos vamos a inicio, herramientas administrativas, administración de directorios de grupo,
clic sobre el dominio, crear un GPO, y darle el nombre, editar.
Vamos al editor de administración de directivas de grupo,
configuración del equipo, directivas, configuración de
Windows, configuración de seguridad, directivas de
cuentas, directivas de contraseñas y le damos en la
opción exigir historial de contraseñas en este caso las 3
últimas contraseñas cambiadas
Nos vamos a configuracion del
equipo, configuracion de
windows, configuracion de
seguridad, directiva de cuenta,
directiva de contraseñas, la
contraseña debe cumplir con los
requisitos de complejidad,
habilitada.
A todos los usuarios, exceptuando los administradores del dominio y los usuarios del
departamento de Sistemas, tendrán restringido el acceso a los siguientes componentes:
Menú Ejecutar
Pasamos al administrador de
directivas de grupo donde vamos
a crear un nuevo GPO el cual es
sobre restringir algunos
componentes.
En este caso es de menú ejecutar
vamos al editor de administración
de directivas de grupo,
configuración del usuario, directivas,
plantillas administrativas, menú
inicio y barra de tareas y le damos
en la opción quitar el menú ejecutar
del menú inicio y le damos
“habilitada”
Panel de control
En este caso es de menú ejecutar vamos al editor de administración de directivas de grupo,
configuración del usuario, directivas, plantillas administrativas, panel de control y le damos en la
opción prohibir el acceso al panel de control y lo habilitamos.
La habilitamos,
aceptar y
probamos.
Regedit
En este caso es de menú ejecutar vamos al editor de administración de directivas de grupo,
configuración del usuario, directivas, plantillas administrativas, sistemas y le damos en la
opción impedir el acceso a herramientas de edición del registro lo “habilitamos” y luego le
damos que “si”
Unidad C: (Visualizar la unidad)
Reproducción automática de medios extraíbles
En este caso es de menú ejecutar vamos al editor de
administración de directivas de grupo, configuración
del usuario, directivas, plantillas administrativas,
componentes de Windows, explorador de Windows, y
le damos en la opción ocultar estas unidades
especificadas en Mi PC, lo habilitamos y elegimos la
unidad que se va a restringir.
Cambiar la página predeterminada de Internet Explorer (Se cargará por defecto la
página principal del sitio www.abc.com).
En este caso es de menú ejecutar vamos al editor de administración de directivas de grupo,
configuración del usuario, directivas, plantillas administrativas, componentes de Windows, directivas
de reproducción automática y le damos en la opción desactivar reproducción automática, la
habilitamos y le damos la unidad que se va a restringir
Acceso desde el navegador a los siguientes sitios: www.facebook.com y
www.youtube.com por URL, para todos los usuarios. El administrador será el único
con la contraseña de supervisor para el Asesor de Contenidos.
Vamos a configuración del
usuario, directivas, configuración
de Windows, mantenimiento de
internet, direcciones url, y
aparecerá una ventana donde se
colocara la dirección de la pagina
principal.
Vamos a configuración del usuario, directivas, configuración de Windows, mantenimiento de
internet, seguridad, y aparecerá una ventana donde seleccionamos importar la configuración
actual de restricciones de contenido y después modificar configuración y luego aparecerán unas
ventanas.
Creamos las contraseñas de supervisor, nos apareceré el asesor de contenido donde
vamos a restringir las páginas que nos piden
Bloquear la barra de tareas (Siempre permanecerá bloqueada).
Vamos a configuración del equipo, configuración de usuario, directivas, plantillas
administrativas, menú inicio y barra de tareas y le damos en la opción bloquear la barra
de tareas y lo habilitamos
Escribimos la URL, clic en nunca, aceptar.
Acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble.
Vamos a configuración del usuario, directivas, plantillas administrativas, sistemas, acceso
de almacenamiento y le damos clic en la opción discos extraíbles: denegar acceso de
lectura y lo deshabilitamos igual pasa con la escritura.
Ahora vamos a hacer la excepción, haciendo lo opuesto a lo anterior en la directiva
sistemas.
Nos vamos a inicio,
herramientas administrativas,
administración de directivas de
grupo, Cramos la GPO dentro
de la directiva sistemas
Menú ejecutar
Le damos el nombre de
a la GPO a crear
-aceptar.
Le damos clic derecho sobre la GPO
y le damos clic en editar, aparecerá
esta ventana en donde aplicaremos
las políticas que controlara a
sistemas.
Nos vamos a directiva excepción,
configuración de usuario, directivas,
plantillas administrativas, menú
inicio y barra de tareas, quitar el
menú ejecutar del menú inicio clic
derecho, propiedades.
Panel de control
La deshabilitamos.
Nos vamos para la configuración
del usuario, directivas, plantillas
administrativas, panel de
control, prohibir el acceso al
panel de control, clic derecho,
propiedades.
Regedit
Clic en la opción
deshabilitar, aceptar.
Nos vamos a configuración de
usuario, directivas, plantillas
administrativas, sistemas, impedir el
acceso a herramientas de edición de
registro.
Unidad C: (Visualizar la unidad)
La deshabilitamos, para que
pueda ejecutarlo.
Nos vamos a configuración de
usuarios, directivas,
componentes de Windows,
explorador de Windows, ocultar
unidades específicas en mi PC,
clic derecho, propiedades.
Reproducción automática de medios extraíbles
La deshabilitamos.
Vamos a configuración de
usuario, directivas, plantillas
administrativas, directivas de
reproducción, desactivar
reproducción automática, clic
derecho, propiedades.
Cambiar la página predeterminada de Internet Explorer (Se cargará por defecto la página
principal del sitio www.abc.com)
Acceso desde el navegador a los siguientes sitios: www.facebook.com y
www.youtube.com por URL, para todos los usuarios. El administrador será el único con la
contraseña de supervisor para el Asesor de Contenidos.
La deshabilitamos
No colocamos la URL
Nos vamos a configuración de
usuario, directivas, configuración de
Windows, mantenimiento de
internet Explorer, dirección URL,
dirección URL importantes, clic
derecho, propiedades.
Desbloquear la barra de tareas (Siempre permanecerá desbloqueada)
Acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble.
Escribimos la url que permitirá
acceder desde nuestro
navegador.
Le damos la
contraseña de
supervisor.
Nos vamos a configuración de usuario,
plantillas administrativas, menú inicio y
barra de tareas, bloquear la barra de
tareas, clic derecho, propiedades,
deshabilitamos.
NOTA: En algunas empresas el almacenamiento se maneja solo a través de unidades de red y no se
permite el uso de medios extraíbles para evitar que información confidencial sea accesible.
A los usuarios del departamento de Compras se le aplicarán las siguientes GPOs (Adicional
a las mencionadas anteriormente)
Vamos a configuración de
usuario, directivas, plantillas
administrativas, sistemas, acceso
de almacenamiento, unidad de
disco: denegar acceso de lectura,
deshabilitamos.
Vamos a configuración de
usuario, directivas, plantillas
administrativas, sistemas, acceso
de almacenamiento, unidad de
disco: denegar acceso de
escritura, deshabilitamos.
No podrán visualizar los elementos del Escritorio
Creamos una GPO dentro de compras,
clic derecho, crear una GPO en esta
directiva...
Nos vamos a configuración de
usuario, directivas, plantillas
administrativas, escritorio, ocultar y
deshabilitar todos los elementos del
escritorio, clic derecho, propiedades,
habilitada.
No podrán apagar la máquina (Desde el Sistema operativo)
Nos vamos a configuración de
usuario, directivas, plantillas
administrativas, menú inicio y barra
de tareas, quitar y evitar el acceso a
los comandos apagar, reiniciar,
suspender el hibernar, clic derecho,
propiedades.
Quitar el administrador de tareas
Dentro de cada unidad organizativa Usuarios y Grupos se creará un grupo de usuarios
llamado practicantes. Las cuentas de los practicantes caducarán 6 meses después de su
creación. Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM.
Conceder al grupo practicantes solo el acceso a la carpeta compartida PRACTICANTES.
Vamos configuración de
usuario, directivas, plantillas
administrativas, sistema,
opciones de Ctrl+Alt+Supr,
quitar administrador de tareas,
clic derecho, propiedades.
(Una vez que cada uno de estos usuarios inicie sesión deberá conectarse
automáticamente a una unidad de red).
Nos vamos a inicio,
herramientas administrativas,
usuarios y equipos de active
Directory, nos vamos a la
directiva creada, y buscamos en
la subdirectiva dirección
comercial usuarios y grupos, y
creamos el usuario
practicantes, así haremos en
cada directiva.
Le damos la contraseña
Después de haber creado los usuarios creamos un grupo practicantes en dirección general, y
agregamos todos los usuarios practicantes al grupo practicantes, así
Intentamos entrar en otra carpeta y no
puede.
Seleccionamos al usuario,
propiedades, cuenta, y
daremos la fecha en que
caducará la cuenta.
Clic en horas de inicio de
sesión… para asignar el
horario.
Lo azul nos indica la hora y el
día en que se iniciará y
finalizará sesión, lo blanco es
lo denegado.
Y así haremos con cada uno
de los usuarios del grupo
practicantes.
Cada vez que los usuarios del departamento Web y Comercio Electrónico inicien sesión se
montarán automáticamente dos unidades de red que se mapean a carpetas compartidas
en un servidor Windows Server 2008. Note que primero debe compartir las carpetas en
algún servidor (Controlador de dominio u otro) antes de montarlas automáticamente.
Nos vamos para inicio, clic en
equipo, disco local C, creamos
una carpeta llamada
practicantes, clic derecho,
compartir, buscar grupo
practicantes, compartir, clic
derecho, copiar...
Nos vamos para un usuario
practicantes, le damos clic
en propiedades, perfil, y ahí
clic en conectar le damos
una letra y la dirección
copiado, así haremos con
cada usuario.
Todos los usuarios del departamento tendrán una cuota de 1000MB sobre la unidad de
red.
Nos vamos a inicio, herramientas
administrativas, usuarios y grupos
de Active Directory, creamos un
grupo llamado web y comercio
electrónico agregando los usuarios,
así:
Clic derecho sobre el usuario,
agregar a un grupo, y nos
saldrá una ventana en donde
especificaremos a que grupo
pertenecerá.
Escribimos el nombre
del grupo, aceptar.
Con cada usuario
haremos lo mismo.
Ya están los
usuarios agregados
en el grupo.
Creamos dos carpetas, una
web, y una llamada
comercio electrónico, clic
derecho, compartir…
Clic en buscar.
Buscaremos el
grupo.
Lo encontramos,
aceptar.
Clic derecho, copiar…
Listo.
Compartir.
Escribimos el
nombre a la GPO.
Nos vamos a inicio,
herramientas administrativas,
administración de directivas de
grupo, dentro de dirección
general esta dirección de
marketing, web y comercio
electrónico, clic derecho, crear
un GPO...
Al estar ya creada le damos clic
derecho en la GPO, editar,
configuración de usuario,
directivas, plantillas
administrativas, configuración de
Windows, asignaciones de...
Le damos en actualizar,
escribimos la URL de la
ubicacion de la carpeta correo
electronico o la web, en fin asi
se hace con la otra carpeta.
Clic en comunes, le damos clic
en destinarios a nivel de
elemento, clic en
destinatarios.
Aparece esta ventana, le damos clic en
opción de elemento, agregamos donde
aparece la figurita de dos usuarios, clic
en examinar, buscaremos la carpeta,
aceptar.
Ahi esta la unidad de red con
la carpeta compartida.
Configuración del equipo,
directivas, plantillas
administrativas, sistemas,
cuotas de disco, habilitar
cuota de disco.
Clic en habilitada, aceptar.
Nos vamos para el administrador
del servidor, funciones, servicios
de archivo, agregar servicios de
función.
Seleccionamos el
administrador de recursos
del servidor de archivos,
esto nos permite una serie
de mejoras en el servicio
de archivos, siguiente.
Instalamos
Esperamos a que se instale
La instalación ha sido
correcta, cerrar.
Nos dirigimos a inicio,
herramientas
administrativas,
administrador de recursos
del servidor de archivos.
Nos vamos para
administración de cuotas,
cuotas, crear cuota
Le damos cli en examinar,
y buscaremos la carpeta
web, aceptar.
Luego, le damos clic en
definir propiedades de
cuota personalizadas,
propiedades.
Escribimos en esa casilla
el límite de espacio, clic
en cuota máxima: no
permite a los usuarios
superar el límite.
Le damos el nombre a
la plantilla, para
guardar las
propiedades
personalizadas como
plantilla
Los usuarios de los departamentos de Diseño Gráfico y Comerciales Externos solo podrán
iniciar sesión en los equipos que pertenecen a dicho departamento.
Esto haremos con la otra
carpeta, y nos quedara
así.
Crear un grupo en la
directiva comerciales
externos.
Cogemos a los usuarios que
pertenecerán al grupo, clic
derecho, mover a un grupo,
buscamos el nombre del
grupo, aceptar.
Utilizamos otro sistema opertivo,
windows 7, deben estar en modo
puente, y tener un ipstatica dentro de
la red del dominio, darle el dominio, e
iniciar, automaticamente el equipo
aparecera inicio, usuarios y grupo de
Active Directorio, computers, y lo
movemos a equipo de la directiva
correspondiente.
Nos vamos a un usuario
perteneciente al gupo comercial
externo, propiedades, clic en iniciar
sesion en...
Escribimos el nombre del
equipo, agregar, aceptar.
Asi hacemos con el otro
equipo, con su
correspondiente grupo.
Las dos impresoras de la empresa, que están físicamente ubicadas en los departamentos
de Sistemas y Dirección Técnica, deben publicarse en el directorio para que los usuarios
del dominio puedan encontrar fácilmente estos recursos. Para efectos prácticos use
impresoras PDF (por ejemplo doPDF, aunque existen muchas más) y compártalas.
Vamos a crear la impresora,
en inicio, red, EQUIPOB.
Entramos a impresoras,
agregamos una nueva, así:
Agregamos una impresora
local, siguiente.
Escogemos el puerto, con que
el equipo intercambiará
información con la impresora.
Escogemos el controlador
de impresora, escribimos el
nombre de la impresora, y
no la colocamos como
determinada, siguiente.
No compartir la
impresora, por el
momento, luego lo
hacemos ya que es lo
que se debe hacer.
Ya esta agregada,
finalizamos.
Así agregamos la otra
impresora, con otro nombre.
Aquí están las impresoras ya
creadas.
Ahora si, la compartimos,
damos clic derecho,
compartir…
Aparece esta ventana, le damos
clic en mostrar lista en el
directorio, seleccionamos las
tres casillas, damos clic en
seguridad.
Agregamos a usuarios,
aceptar.
Instalamos doPDF, aceptamos el contrato, elegimos en donde queremos que se instale
doPDF, y seleccionamos la carpeta en donde queremos colocar los accesos directos.
Seleccionamos la
impresora doPDF como o
no predeterminada,
siguiente.
Seleccionamos el lenguaje que
deseamos instalar para la
impresora.
Seleccionamos el lenguaje
para la interfaz, siguiente.
En resumen, esta todo lo que
anteriormente ejecutamos.
Nos vamos a inicio,
herramientas administrativas,
usuarios y equipos de Active
Directory, en el dominio, clic
derecho, buscar…
Y buscamos en impresoras, en
el servidor, buscar ahora.
Ahí están, la
seleccionamos.
Clic derecho, mover, esto lo
hacemos para ubicarlas en
donde pertenecen, según la
actividad.
Nos dirigimos a dirección
general, sistemas, impresoras,
aceptar.
Hacemos lo mismo con la
segunda impresora, la
movemos a la otra directiva en
la que necesitamos.
Ahí están nuestras
impresoras.
CONCLUSION
Esta es una actividad que me ha enseñado a saber mas a fondo las politicas en las
configuraciones del equipo y del usuario, ademas a identificar que politicas se aplican
mas, pues las del equipo sno las politicas que mas se aplican, ya que este presta sus
servicios, y es quien manda, y el usuario que viene de afura con nuevas politicas debe de
adaptarse a las del equipo en caso de que sus politicas sean contrarias, ejemplo, cuando
un usuario tiene la politica de entrar a una URL, pero en el equipo, la politica es no dejar
entrar presisamente en esa URL, se contradicen, pues en este caso la politica a plicar es la
del equipo.
top related