práctica sobre windows 2003 server final

Práctica sobre Windows 2003 Server Administración de sistemas operativos Perteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 de Octubre de este año, se plantea una migración del entorno corporativo a la versión de Windows 2003 Server.

2011

Carlos Fernández Lastres 2 ASIR

16/11/2011

Práctica de Active Directory en Windows 2003 Server

Carlos Fernández Lastres Administración de sistemas operativos 2 ASIR

Contenido Enunciado de la práctica ............................................................................................................... 2

Instalación del servicio DNS .......................................................................................................... 5

Instalación del servicio DHCP ........................................................................................................ 7

Instalación del servicio de directorio (Active Directory) ............................................................... 9

Configuración de usuarios, grupos y recursos compartidos ....................................................... 12

Comprobación con un cliente ..................................................................................................... 17

Creación de perfiles móviles ....................................................................................................... 19

Creación de perfil obligatorio para el usuario invitado............................................................... 21

Deshabilitar Windows Messenger y configurar fondo de pantalla ............................................. 24

Deshabilitar pendrives ................................................................................................................ 29

Perfiles de usuario en Mis documentos ...................................................................................... 31

Deshabilitar restricciones para el Director .................................................................................. 33

Servicio de distribución de software ........................................................................................... 35

Instalación de DFS ....................................................................................................................... 39



Enunciado de la práctica

Perteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 de Octubre de

este año, se plantea una migración del entorno corporativo a la versión de Windows 2003

Server.

Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus

trabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como

consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio situado en

la C/ Arcos de la Frontera s/n

Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos

necesarios para dicha migración y llevarlos a cabo para tal fecha.

Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que

están actualmente en producción:

• Administración de usuarios y grupos.

• Administración de ficheros.

• Administración de discos.

• Copias de seguridad.

y añadir otros más.

El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva

implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos

seguidos para la gestión de los servicios anteriormente citados y otros nuevos que

añadiremos.

La información necesaria para esta labor en relación al entorno actual es la siguiente:

1. La empresa consta de 20 empleados.

2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el

administrador y los otros dos son los encargados de la gestión de incidencias. Esta se

almacenará en una carpeta a la que solo tendrá acceso el departamento de sistemas.

Los datos estarán en una partición o disco duro diferente a la del sistema operativo.

3. 15 empleados son desarrolladores de software que tienen acceso limitado a los

repositorios de código y de documentación, donde únicamente tendrán acceso a

aquellos directorios asociados al proyecto en el que estén trabajando.

4. Existen dos usuarios especiales correspondientes al gerente y al director de la

empresa. El gerente tendrá acceso a toda la documentación y código ejecutable

C.F.G.S de Administración de Sistemas Informáticos en Red Administración de

Sistemas Operativos de los proyectos. El director tendrá acceso ilimitado a todos los

recursos disponibles.

5. La empresa tiene una serie de servicios que quiere seguir manteniendo(incluidos sus

nombres):

a. Controlador de Dominio => dominio.local



b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1

6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual

que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para

simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos

conectados físicamente a un switch.

7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el

resto de los usuarios, salvo para los dos usuarios del punto anterior.

8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la

empresa quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil,

proyecto, documentación, etc. de la empresa. Los datos de los perfiles estarán en

una partición o disco duro diferente a la del sistema operativo.

9. El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables

y documentación de cada uno de los proyectos.

10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir

alguna directiva de grupo en el sistema. Son las siguientes:

a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota

de alguien del departamento de sistema por alguna incidencia (cuidado con el

firewall de Windows), deshabilitar Windows Messenger, deshabilitar el uso de

pendrives y poner un fondo de escritorio corporativo para evitar “posibles

distracciones”:

i. Habilitar Asistencia Remota Solicitada.

ii. Habilitar no permitir que se ejecute Windows Messenger.

iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.

iv. Ejecutar un programa que indique la IP del equipo y un usuario en el

escritorio.

v. Deshabilitar el uso de pendrives.

b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los

usuarios sin necesidad de que estos la soliciten antes (como alternativa al

escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento

(cuidado con el firewall de Windows).

i. Habilitar ofrecer asistencia remota.

c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se

vuelvan muy pesados, la carpeta “Mis Documentos” se ubicará en una unidad de

red. Se almacenará en el servidor (en una partición diferente a la del sistema

operativo) llamada “personales”. El recurso debe ser oculto para el resto. Como

consecuencia de esto, se le habilitará una cuota de disco de 100 Mb, ya que estos

ficheros personales no estarán asociados al perfil.

i. Redireccionamiento de “Mis Documentos”

ii. Limitar el tamaño del perfil.

d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de

la gana y que quiere el Windows Messenger que le niega al resto de sus



empleados (no hay nada como ser el jefe). Recuerda la jerarquía de aplicación de

las directivas de grupo.

i. Deshabilitar no permitir que se ejecute Windows Messenger.

ii. Habilitar el uso de pendrives.

e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”.

No olvides que no se pueden aplicar directivas de grupo a grupos del dominio.

11. Instala un servicio de distribución de software desde tu equipo servidor a las

estaciones de trabajo del dominio mediante paquetes MSI:

a. OpenOffice.

b. Firefox.

Crea tú mismo estos paquetes con alguna utilidad.

12. Instala DFS y haz una prueba de su funcionamiento.



Instalación del servicio DNS Comenzamos a preparar el servidor en la ventana de introducción Administre su servidor.

Elegimos agregar o quitar función y seleccionamos Servidor DNS.

Windows nos pedirá el cd de instalación. El asistente nos avisa que debemos asignar la IP del

servidor manualmente.



Establecemos la configuración TCP/IP de manera manual, estableciendo la IP 192.168.100.1.

En el asistente elegimos crear zonas de búsqueda directa e inversa.

Establecemos el nombre de la zona (midominio.local) y el del archivo.



Instalación del servicio DHCP En el asistente agregamos la función DHCP y establecemos un nombre de ámbito.

Establecemos el intervalo de direcciones según el guión de la práctica.

Establecemos la puerta de enlace que será el propio servidor.



Establecemos el nombre del dominio y el nombre y dirección del servidor DNS.

Seleccionamos Activar este ámbito ahora.



Instalación del servicio de directorio (Active Directory) Para comenzar la configuración del servicio de directorio es necesario promocionar el equipo a

controlador de dominio.

Elegimos controlador de dominio para un dominio nuevo.

Elegimos dominio en un nuevo bosque.



Creamos el dominio.

El diagnóstico de DNS nos ofrece configurar el equipo de manera que utiliza de servidor DNS

preferido a sí mismo, lo marcamos y pulsamos siguiente.

Elegimos permisos compatibles sólo con sistemas Windows 2000 server y 2003 server.



Esperamos mientras se instala Active Directory y comprobamos en el resumen que todo está

correcto.

Ahora tenemos que cambiar la configuración de DNS para que almacene la zona en Active

Directory.

Reiniciamos y comprobamos que todos los servicios están funcionando correctamente.



Configuración de usuarios, grupos y recursos compartidos Cambiamos la directiva de contraseñas en configuración de seguridad de dominio para

simplificar la creación de nuevas cuentas.

En usuarios y equipos de Active Directory creamos dos unidades organizativas para el

departamento de sistemas y para el departamento de desarrollo de software. Dentro de ellas

comenzamos a crear los usuarios.

Movemos al usuario Administrador al grupo que hemos creado para el departamento de

sistemas.



Creamos un grupo de seguridad global para cada conjunto de usuarios dentro de las unidades

organizativas.

Agregamos los usuarios correspondientes al grupo.

En el sistema insertamos un disco duro donde almacenaremos las carpetas del departamento

de sistemas y del de desarrollo de software. Creamos una carpeta ‘sistemas’ y otra ‘desarrollo

de software’.



Compartimos la carpeta y editamos los permisos. Eliminamos los permisos existentes y

añadimos control total al grupo de seguridad dptosistemas.

Creamos también los usuarios y el grupo para el departamento de desarrollo.

Creamos subcarpetas para proyectos dentro de desarrollo.



Creamos también grupos de seguridad para cada proyecto.

Asignamos los usuarios de cada proyecto a su grupo correspondiente.

Creamos una unidad organizativa llamada dirección y dentro de ella creamos al usuario

gerente y al usuario director.



Asignamos los permisos a cada carpeta del proyecto de manera que el gerente y su grupo

correspondiente tengan control total.

Al director le asignamos permisos de control total sobre la carpeta que contiene los proyectos

y sobre la del departamento de sistemas.



Comprobación con un cliente Con una máquina Windows 7 comprobamos que el servicio DNS, el servicio DHCP y el servicio

de directorio están funcionando. Comenzamos con el servicio DHCP que parece funcionar bien.

Ahora probamos la resolución directa y la inversa del DNS.

Agregamos el equipo al dominio.



Comprobamos el acceso a las carpetas de los proyectos para ver que los permisos están

correctos.



Creación de perfiles móviles Para comenzar la creación de los perfiles móviles creamos una carpeta para almacenarlos.

Creamos también el recurso compartido y le asignamos permisos para todos. Al final del

nombre del recurso ponemos $ para que no sea visible.



Creamos un segundo recurso compartido que sea visible con permisos sólo para el director y el

gerente.

En las propiedades de cada usuario vamos estableciendo la ruta a una subcarpeta con su

nombre dentro del recurso compartido que acabamos de crear.



Creación de perfil obligatorio para el usuario invitado Copiamos el contenido de c.\documents and settings\default user\ a una carpeta dentro del

segundo disco duro y cambiamos de nombre el archivo NTUSER.DAT por NTUSER.MAN

Establecemos permisos de lectura y ejecución para todos.



Habilitamos la cuenta de invitado

Cambiamos la ruta del perfil a la carpeta que creamos.

Iniciamos sesión en un equipo cliente para comprobar que la configuración es correcta.



Comprobamos que el usuario invitado no tiene acceso a ningún recurso compartido.



Deshabilitar Windows Messenger y configurar fondo de pantalla Comenzamos creando un nuevo objeto de política de grupo asociado al dominio.

En configuración de equipo, plantillas administrativas, sistema, asistencia remota habilitamos

asistencia remota solicitada.



En configuración de equipo, plantillas administrativas, componentes de Windows, Windows

Messenger y habilitamos No permitir que se ejecute Windows Messenger.

Creamos un nuevo recurso compartido conteniendo el fondo de pantalla corporativo y

asignamos permisos.



En configuración de usuario, plantillas administrativas, active desktop habilitamos no permitir

cambios y papel tapiz de active desktop y marcamos la ruta de red hacia el archivo.

Descargamos BgInfo de Microsoft.com, guardamos en una ruta compartida y lo abrimos.

Borramos los campos que vienen por defecto y añadimos user name e IP address.



Cambiamos las opciones de escritorios.

En archivo, guardar como, guardamos el script de configuración.

También creamos un archivo cmd en la misma ruta con la orden de ejecuciópn de bginfo.



Añadimos en la GPO que tenemos abierta en “configuración de equipo, configuración de

Windows, archivos de comandos” el ejecutable por lotes que acabamos de crear.

Comprobamos que funciona.



Deshabilitar pendrives Descargamos la plantilla de directiva para deshabilitar pendrives de petri.com.il

En plantillas administrativas de usuario añadimos la que acabamos de descargar.



Dentro de “configuración del equipo, plantillas administrativas, custom policy settings” vemos

como ha aparecido la plantilla restringuir unidades. Habilitamos la directiva deshabilitar

unidades USB extraibles.



Perfiles de usuario en Mis documentos Creamos la carpeta ’personales’ y asignamos permisos.

Creamos una nueva GPO y la asignamos a departamento de desarrollo de software.



Navegamos hasta “configuración de usuario, configuración de Windows, redireccionamiento

de carpetas, Mis documentos” y elegimos redirigir la carpeta de todos a la misma dirección,

establecemos la ruta de red al recurso que acabamos de crear.

Navegamos también a “configuración del equipo, plantillas administrativas, sistema, cuotas de

disco” y habilitamos las siguientes políticas con una cuota de disco de 100MB.

En “configuración del usuario, plantillas administrativas, sistema, perfiles de usuario”

habilitamos limitar tamaño del perfil.



Deshabilitar restricciones para el Director Creamos una nueva unidad organizativa llamada directores y metemos a director dentro.

Como las políticas que le apliquemos directamente tienen prioridad sobre las heredadas,

vamos a aplicar de nuevo la política de Messenger y de discos USB pero deshabilitándolas.

Creamos una nueva política de grupo.

La deshabilitamos.



Agregamos de nuevo la plantilla.

En ver, filtrado desmarcamos ‘Mostrar sólo los valores de directivas que pueden ser

totalmente administrados’ para poder verlo.

Deshabilitamos ‘deshabilitar discos USB’.



Servicio de distribución de software Vamos a distribuir los paquetes MSI de LibreOffice y de Firefox. Descargamos LibreOffice y lo

ejecutamos, seleccionamos descomprimir.

Creamos un recurso compartido oculto llamado aplicaciones.

Ejecutamos en la línea de comandos ‘msiexec /a libreoffice34.msi’ en la carpeta

descomprimida.



Seleccionamos el recurso que creamos para la ruta para la instalación en red.

Descargamos también el paquete MSI de Firefox.

Lo metemos en la carpeta de aplicaciones.

Editamos nuestra política del dominio.



Navegamos en el editor a ‘configuración del equipo, configuración de software, instalación de

software’ y elegimos nuevo. Abrimos el archivo MSI de LibreOffice.

Elegimos implementación asignada.

Hacemos lo mismo con Firefox.



Comprobamos que funciona iniciando un cliente.



Instalación de DFS Instalamos el sistema de archivos distribuido DFS en agregar componentes de Windows.

Lo abrimos.



Creamos un nuevo espacio de nombres.

Elegimos el servidor del espacio de nombres.

Le damos un nombre.



Elegimos espacio de nombres basado en el dominio.

Finalizamos la creación del espacio de nombres.



Creamos una nuevo recurso en el espacio de nombres.

Creamos una nueva carpeta compartida para ello.

práctica sobre windows 2003 server final

Documents