Práctica Active Directory 1-6 Emanuel Adrián Gabriel Stasiuc aaaaa Active Directory 2º A.S.I.R. Emanuel Adrián Gab
Views 1,608 Downloads 57 File size 7MB
Práctica
Active Directory 1-6 Emanuel Adrián Gabriel Stasiuc
aaaaa
Active Directory
2º A.S.I.R.
Emanuel Adrián Gabriel Stasiuc
Práctica Active Directory 1-6 Perteneces al departamento de sistemas de la empresa Asir2 S.A. A fecha de 28 de Octubre de este año, se plantea una migración del entorno corporativo a la versión de Windows Server 2008. Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/Arcos de la Frontera s/n. Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos necesarios para dicha migración y llevarlos a cabo para tal fecha. Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están actualmente en producción: • Administración de usuarios y grupos. • Administración de ficheros. • Administración de discos. • Copias de seguridad. El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos. La información necesaria para esta labor en relación al entorno actual es la siguiente:
2
2
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
1. La empresa consta de 20 empleados. 2. Tres de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o disco duro diferente a la del sistema operativo. 3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al proyecto en el que estén trabajando. 4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendrá acceso a toda la documentación y código ejecutable de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles. 5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net b. Servicio DNS c. Servicio DHCP =>192.168.100.0/24 i. Ámbito: 192.168.100.2 – 192.168.100.254 ii. Servidor: 192.168.100.1 6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch.
3
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Comienzo de la práctica Primero vamos a configurar las interfaces de red en nuestro Windows 2008 Server. Creamos una Red NAT para tener acceso a Internet y una Red Interna para comunicarse con los Clientes:
Establecemos la IP requerida a nuestro Servidor:
4
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Ahora vamos al Administrador del Servidor y seleccionamos la opción “Agregar funciones”:
A continuación, instalamos y configuramos el servicio DHCP:
Indicamos como nombre del dominio principal “emanuel.gcap.net” e indicamos la IP de nuestro Servidor:
5
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Agregamos un ámbito llamado “ASIR2” indicando la IP inicial, la IP final, la máscara de subred y la puerta de enlace predeterminada:
6
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Deshabilitamos el modo sin estado DHCPv6:
Confirmamos la instalación de DHCP y comprobamos que el servicio se ha instalado correctamente:
7
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Ahora pasamos a instalar los servicios de dominio de Active Directory y DNS:
8
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Seleccionamos “Crear un dominio nuevo”:
El nombre del dominio raíz será “emanuel.gcap.net”:
9
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Establecemos como nivel funcional “Windows Server 2008” ya que no agregaremos al bosque controladores de dominio inferiores a Windows Server 2008:
Seleccionamos “Servidor DNS” para instalar el servicio DNS:
A continuación nos pide introducir la contraseña del “Administrador”:
10
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Observamos el resumen de la instalación:
Observamos el progreso de la instalación de los Servicios DNS y Active Directory:
11
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Una vez terminada la instalación, nos pide reiniciar el equipo y podemos observar que tenemos los servicios DHCP, DNS y Active Directory instalados:
Ahora cuando iniciamos sesión nos aparece el nombre NetBios del dominio que hemos creado:
12
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
1. La empresa consta de 20 empleados. Vamos a nuestro dominio creado dentro de “Administrador del Servidor” y vamos a crear diferentes unidades organizativas según la estructura de nuestra empresa “ASIR2”.
13
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Dentro de nuestra empresa “ASIR2” creamos las diferentes unidades organizativas según la estructura de la empresa:
De la misma forma creamos las diferentes unidades organizativas restantes:
2. Tres de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o disco duro diferente a la del sistema operativo.
14
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Dentro de la Unidad Organizativa “SISTEMAS” creada anteriormente creamos el primer usuario “ADMIN-SIS”:
Establecemos una contraseña segura al usuario “ADMIN-SIS”:
Finalizamos la creación del usuario:
15
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Ahora creamos dos usuarios encargados de la gestión de incidencias llamados “ENCARG-1” y “ENCARG-2”:
16
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Una vez creados los usuarios, creamos un grupo para poder asignarle permisos llamado “sistemas” de ámbito global:
Introducimos dentro del grupo a los tres usuarios creados anteriormente “ADMIN-SIS”, “ENCARG-1” y “ENCARG-2”:
17
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Creamos una partición nueva diferente del sistema operativo en la que vamos a crear una carpeta a la que tienen acceso solamente los 3 empleados del Grupo “SISTEMAS”:
Ahora creamos una carpeta en el Disco “ASIR2” y dentro creamos una carpeta llamada “SISTEMAS” y le damos permisos al grupo “sistemas” sobre su carpeta:
18
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al proyecto en el que estén trabajando. Ahora creamos los 15 empleados dentro de la unidad organizativa “DESARROLLO”:
Vamos a crear 3 grupos diferentes de ámbito local con 5 empleados cada uno que trabajarán en 3 proyectos distintos:
19
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Dentro del grupo local “PROYECTO-1” introducimos los primeros 5 empleados:
Creamos el grupo “PROYECTO-2” de ámbito local:
Introducimos los siguientes 5 empleados:
20
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Creamos el grupo “PROYECTO-3” de ámbito local:
Introducimos los últimos 5 empleados:
Ahora nos vamos a crear los directorios de cada proyecto en una carpeta llamada “DESARROLLADORES”:
21
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
A la carpeta “DESARROLLADORES” le asignamos los permisos de acceso a la carpeta a los tres grupos de proyecto.
Asignamos a la carpeta “PROYECTO-1” todos los permisos para el grupo “PROYECTO-1” que hemos creado antes:
Asignamos a la carpeta “PROYECTO-2” todos los permisos para el grupo “PROYECTO-2” que hemos creado antes:
22
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Asignamos a la carpeta “PROYECTO-3” todos los permisos para el grupo “PROYECTO-3” que hemos creado antes:
23
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendrá acceso a toda la documentación y código ejecutable de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles. Creamos el usuario “gerente2013”:
Creamos también un grupo llamado “GERENTES” para introducir a los diferentes gerentes que pueden pasar por la empresa y darlos de alta o de baja del grupo sin hacerlo carpeta por carpeta.
24
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Agregamos el gerente actual en el grupo “GERENTES”:
Al grupo “GERENTES” le damos permisos de lectura y ejecución sobre la carpeta “DESARROLLADORES” que contiene los directorios de los proyectos:
Ahora vamos a crear al usuario “director2013”:
25
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Creamos también un grupo llamado “DIRECTORES” para introducir a los diferentes directores que pueden pasar por la empresa y darlos de alta o de baja del grupo sin hacerlo carpeta por carpeta.
Agregamos el director actual en el grupo “DIRECTORES”:
Al grupo “DIRECTORES” le damos permisos de acceso a todos los recursos disponibles de la empresa “ASIR2”:
26
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Una vez que cada carpeta tiene los permisos asignados para cada grupo, ahora vamos a compartir la partición de datos para todos los grupos por NTFS:
27
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Hacemos una prueba para ver que todo funciona correctamente. Nos conectamos con el usuario “emple-1” del “PROYECTO-1” a su correspondiente carpeta y vemos que podemos acceder:
28
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Si intentamos conectarnos con el mismo usuario a la carpeta del “PROYECTO-2” y vemos que no tenemos permiso:
Por último, vamos a crear una carpeta para los perfiles móviles de todos los usuarios:
Vamos a Propiedades de la carpeta y la compartimos ya que dentro estarán todos los directorios de los diferentes usuarios que se conectan en el dominio “emanuel.gcap.net”:
29
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
En “compartir” indicamos permiso de “Copropietario” para que los grupos tengan acceso a la carpeta al iniciar sesión:
Indicamos al usuario “director2013” que la ruta de su perfil se encuentra en la carpeta que hemos creado anteriormente:
30
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Usamos la variable “%username%” para que cuando el usuario inicie sesión en el dominio “emanuel.gcap.net” se pueda crear un directorio en la carpeta “PERFILES” con el mismo nombre que tiene como usuario. De esta forma repetimos el proceso con todos los usuarios.
5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net Comprobamos que el nombre del dominio es “emanuel.gcap.net”:
31
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
b. Servicio DNS Comprobamos que se han creado las zonas correctamente:
c. Servicio DHCP =>192.168.100.0/24 Observamos que el Servicio DHCP está activo:
i. Ámbito: 192.168.100.2 – 192.168.100.254 Comprobamos que el ámbito se corresponde con lo requerido:
32
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
ii. Servidor: 192.168.100.1 Observamos que el Servidor tiene asignada la IP fija requerida:
6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch. Cogemos un cliente Windows XP y le asignamos solamente una Red Interna para que no tenga salida a Internet:
33
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Indicamos a nuestro Cliente que la dirección del Servidor DNS es “192.168.100.1” ya que por defecto intenta conectarse a la dirección 192.168.1.1:
Nos vamos a propiedades del sistema y en la opción “cambiar el nombre del equipo” podemos cambiar el nombre del equipo que queremos mostrar.
Aquí introducimos el nombre de nuestro dominio “emanuel.gcap.net” para pertenecer al mismo.
Inmediatamente nos pide un usuario y una contraseña con permisos para unirse al dominio “emanuel.gcap.net”:
34
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Introducimos los datos del usuario “director2013” y nos da la bienvenida al unirnos al dominio:
Ahora nos pide reiniciar el equipo y lo reiniciamos:
35
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Reiniciamos el equipo:
Al reiniciar nos aparece lo siguiente:
36
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Seleccionamos el nombre de equipo “ASIR2” e introducimos el usuario “director2013” para ver si podemos iniciar sesión:
Comprobamos que podemos iniciar sesión con el usuario “director2013” en nuestro Cliente Windows XP y creamos una carpeta de prueba en el escritorio:
37
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Al iniciar sesión comprobamos que en el Servidor Windows Server 2008 en la carpeta “PERFILES” se ha creado el directorio del usuario que ha iniciado sesión en el dominio:
Exploramos las carpetas que se han creado al iniciar sesión:
Y observamos que la carpeta “prueba” que hemos creado con el perfil móvil “director2013” se ha guardado una vez que hemos cerrado sesión con el usuario:
38
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Aunque ya podemos iniciar sesión en el dominio “emanuel.gcap.net” con cualquier usuario que pertenece al dominio, seguimos sin tener internet en el Cliente ya que solamente tenemos una Red Interna asignada que se comunica con el Controlador de Dominio y no tenemos salida al exterior:
Para ofrecer Internet a toda la red virtual que hemos creado, tenemos que agregar una función en nuestro Servidor llamada “Servicios de acceso y directivas de redes”:
39
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Seleccionamos los siguiente Servicios de Función:
Ya tenemos instalado el “servicio de acceso remoto” y el “enrutamiento”:
Pasamos a configurar el servicio instalado:
40
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Seleccionamos Traducir direcciones NAT para que los Clientes internos puedan conectarse a Internet:
Seleccionamos la Interfaz con la que nos comunicamos al exterior:
Una vez finalizada la configuración del enrutamiento observamos lo siguiente:
41
Active Directory
2º A.S.I.R.
Emanuel Adrian Gabriel Stasiuc
Ahora comprobamos que en nuestro cliente tenemos Internet:
FIN ACTIVE DIRECTORY PARTE 1-6
42