SERVICIO NACIONAL DE APRENDIZAJE

SENA

ADMINISTRACIN DE UN SERVIDOR DE DIRECTORIO EN WINDOWS

(ACTIVE DIRECTORY)

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL

CESGE

APRENDIZ

LUIS FERNANDO MONTENEGRO OVIEDO

INSTRUCTOR

ANDRS MAURICIO ORTIZ

GESTIN DE REDES DE DATOS

FICHA 259747

MEDELLIN-ANTIOQUIA

2012

Para comenzar con la instalacin damos clic en inicio y luego digitamos

dcpromo y le damos Aceptar para iniciar su instalacin y configuracin,
previamente tenamos ya instalado un DNS, no es necesidad instalarlo, ya
que el Servicio de Directorio Activo nos instala nuestro DNS

Aqu nos muestra Cargando el asistente de instalacin

Aqu vemos el asistente de instalacin, escogemos la opcin de usar la

instalacin en modo avanzado damos clic en siguiente

Procedemos a darle siguiente

Seleccionamos crear un dominio nuevo que ser nuestro rbol de dominio

(ABCx.com), luego clic en siguiente

En este paso le damos el nombre de nuestro dominio luego le damos

siguiente y estar comprobando si el nuevo nombre del rbol ya se esta
usando

En el siguiente paso le damos el nombre al NetBIOS se recomienda darle el

nombre de nuestro dominio

Ahora especificaremos el nivel funcional del bosque, puede ser Windows

Server 2000,2003 o 2008, segn sea el caso. En este caso nosotros
usaremos el Windows Server 2008.
Clic en siguiente.

Como lo dije anteriormente, se puede tener instalado el servidor DNS

previamente, en caso contrario el AD lo instalar automticamente. Clic en
siguiente.

En este paso nos mostrar un mensaje, seleccionamos S, el equipo usar

una direccin IP asignada dinmicamente, porque nosotros ya le hemos
asignado una direccin IP esttica que ser con la que va a trabajar nuestro
servidor DNS.

Podemos ver un dialogo con unas especificaciones Luego damos clic en si,
para poder crear el nuevo dominio llamado ABCx.com.

A continuacin, dejamos la misma ruta de las carpetas que se crearn por

defecto. Si se quiere se puede cambiar la ruta, pero no es recomendable.
Damos clic en siguiente.

Luego asignamos la contrasea de administrador del Active Directory. Cabe

aclarar que No es la misma contrasea del administrador del equipo. Si se
quiere se puede poner la misma contrasea del administrador del equipo
para evitar que se olvide. Damos Siguiente

Aqu podemos observar una lista resumida de lo que se instalara y damos

clic en siguiente

Luego de que termine de configurar los Servicios reiniciamos el equipo para

al completar la instalacin

Al iniciar la maquina observamos que el Dominio se cre satisfactoriamente

Cada departamento de la empresa ABCx ser agregado a la estructura

lgica de Active Directory a travs de unidades organizativas. Cada unidad
organizativa anidar otras unidades organizativas que permitirn tener un
control sobre los recursos de red de cada dependencia. Estos contenedores
sern: Usuarios y grupos, Equipos, Impresoras y Carpetas compartidas.
Empezamos accediendo a Inicio > herramientas administrativas > Usuarios y
equipos de Active Directory, para poder empezar a crear las unidades
organizativas, usuarios y grupos

Damos clic derecho en nuestro dominio y escogemos la opcin nueva unidad

organizativa y lo nombramos segn nos plantea la actividad DIRECCION
GENERAL

Luego de crear la unida organizativa procedemos a crear los departamentos

para esto damos clic derecho en DIRECCION GENERAL luego nuevo y

luego unidad organizativa y le damos el nombre de sistema y as creamos

los dems departamentos segn la necesidad

En esta imagen podremos ver que ya estn creados todos los departamentos

Ahora crearemos los Sub-departamentos, para ello damos clic derecho sobre
uno de los departamentos y seleccionamos: nueva unidad organizativa

Procedemos a darle el nombre del contenedor tal como lo especifica la gua

Vemos que ya estn creados los Sub-departamentos

En este paso crearemos los contenedores de control, para ello damos clic
derecho sobre uno de los departamentos y seleccionamos: nueva unidad
organizativa, le damos el nombre que se le asigno a dicho contenedor y le
damos aceptar

As se har para todos los departamentos, se crearn los contenedores de

usuarios y grupos, Equipos, Impresoras y Carpetas
compartidas

Tenga en cuenta que dentro de cada departamento existen por lo menos 10

usuarios y que la informacin de cada usuario en el directorio debe ser
detallada.
Empezamos a crear los usuarios en cada departamento para esto nos
paramos en el departamento Usuarios y grupos damos clic derecho y en
nuevo y seleccionamos usuario

Ingresamos los datos y luego clic en siguiente

Le asignamos la contrasea al nuevo usuario y clic en siguiente

Hacemos los mismos pasos para crear todos los usuarios en cada
departamento y as nos quedarn los 10 usuarios que nos piden.

Para poder realizar la configuracin de las contraseas debemos ir a

inicio >herramientas administrativas>administracin de directivas de
grupo

Luego damos clic derecho en nuestro dominio (ABCx.com) escogemos la

opcin crear una GPO en este dominio y vincularlo aqu

Nombraremos la nueva GPO en este caso la llamare pass y luego clic en

aceptar

Ahora damos clic derecho sobre la GPO creada le damos clic derecho y
escogemos la opcin editar

Se forzar a todos los usuarios del dominio abc.com a cambiar su

contrasea cada 15 das.
Para aplicar la GPO seguimos la siguiente ruta configuracin de
equipo>directivas>configuracin de Windows>configuracin de
seguridad>directivas de cuenta>directiva de contrasea
Luego le damos clic derecho sobre vigencia mxima de contrasea

Definimos la configuracin de directiva para que las contraseas expiren

despus de 15 das damos clic en aplicar y luego aceptar

El sistema debe recordar las tres ltimas contraseas cambiadas por el

usuario. La poltica de contraseas debe estar habilitada para usar un
password seguro.
Para aplicar esta GPO usamos la misma ruta configuracin de
equipo>directivas>configuracin de
Windows>configuracin de seguridad>directivas de cuenta>directiva de
contrasea
Damos clic derecho en almacenar contrasea con cifrado reversible
propiedades

Habilitamos la configuracin de directiva clic en aplicar luego aceptar

Ahora si podemos configurar, para que el sistema recuerde las tres ltimas
contraseas cambiadas por el usuario y lo hacemos mediante la siguiente
ruta:
Configuracin de equipo>directivas>configuracin de
Windows>configuracin de seguridad>directivas de cuenta>directiva de
contrasea
Damos clic derecho sobre exigir historial de contrasea, clic en propiedades

Habilitamos la configuracin de directivas y especificamos el nmero de

contraseas a recordar, aplicamos los cambios y luego aceptar

A todos los usuarios, exceptuando los administradores del dominio y los

usuarios del departamento de Sistemas, tendrn restringido el acceso a los
siguientes componentes:

Men Ejecutar
Panel de control
REGEDIT
Unidad C: (Visualizar la unidad)
Reproduccin automtica de medios extrables
Cambiar la pgina predeterminada de Internet Explorer (Se cargar por
defecto la pgina principal del sitio www.abc.com)
Acceso desde el navegador a los siguientes sitios: www.facebook.com
y www.youtube.com por URL, para todos los usuarios.
El administrador ser el nico con la contrasea de supervisor para el
Asesor de Contenidos.
Desbloquear la barra de tareas (Siempre permanecer bloqueada)
Acceso del Lecto-escritura a cualquier medio de almacenamiento
extrable.

NOTA: En algunas empresas el almacenamiento se maneja solo a travs

de unidades de red y no se permite el uso de medios extrables para
evitar que informacin confidencial sea accesible.

Lo primero que haremos es crear una GPO sobre direccin general

Nombramos la GPO en este caso la llamar Restricciones y damos clic en

aceptar

Ahora con la GPO creada nos pararemos sobre ella y le damos clic derecho
y editar

Restringiremos el men ejecutar siguiendo la siguiente ruta: configuracin

de usuario>directivas>plantillas administrativas>men de inicio y
barras de tareas
Damos clic derecho sobre quitar el men ejecutar del men inicio clic en
propiedades

habilitamos la opcin, aplicamos los cambios y luego aceptar

Para restringir el panel de control vamos al a siguiente ruta:

configuracin de usuario>directivas>plantillas administrativas>panel de
control
Damos clic derecho sobre prohibir el acceso al panel de control y
propiedades

Habilitamos la opcin, aplicamos los cambios y clic en aceptar

Para ocultar la unidad C: / para esto seguimos la siguiente ruta :

Configuracin de usuario> directivas>plantillas
administrativas>componentes de windows>explorador de windows
Le damos clic derecho en ocultar estas unidades especficas en mi pc clic
derecho en propiedades

Habilitamos y escogemos la unidad que vamos a restringir en este caso es la

unidad C/ aplicamos los cambios y luego aceptar

Deshabilitar Reproduccin automtica de medios extrables para esto

seguimos la siguiente ruta:
Configuracin de usuario>componentes de Windows>directivas de
reproduccin automtica
Clic derecho sobre desactivar reproduccin automtica y clic sobre
propiedades

Habilitamos desactivar reproduccin automtica escogemos todas las

unidades aplicamos los cambios y luego aceptar

Cambiar la pgina predeterminada de Internet Explorer (Se cargar por

defecto la pgina principal del sitio (www.abc.com)
para esto seguimos la siguiente ruta configuracin de usuario>directivas>
configuracin de windows>mantenimiento de internet
Explorer>direccin URL
Clic derecho sobre URL importantes, propiedades

Damos clic en personalizar URL de la pagina principal e ingresamos la URL

incluyendo http://(www.abc.com) aplicamos los cambios y luego aceptar

Ahora se va a restringir el acceso del navegador a los sitios

www.facebook.com y
www.youtube.com para esto seguimos la siguiente ruta:
Configuracin de usuario>directivas> configuracin de
windows>mantenimiento de internet Explorer>seguridad

Clic derecho sobre Zona de seguridad

Habilitamos la opcin de importar las configuraciones actual de restricciones

de contenido, y damos clic en el botn de Modificar Ajustes

Damos clic en sitios aprobados y agregamos las URLs que vamos a restringir
en este caso y luego clic en nunca, aplicamos los cambios y luego aceptar

Luego debemos crear una contrasea para para el administrador de

contenido y escribimos una palabra de indicio para que no se nos vaya a
olvidar en un futuro

Aplicamos los cambios y luego aceptar

Ahora para bloquear la barra de tareas seguimos la siguiente ruta:

Configuracin de usuario>directivas>plantillas
administrativas>escritorio>men inicio y barra de tareas
Damos clic derecho sobre barra de tareas

Habilitamos bloquear la barra de tareas aplicamos los cambios y luego

aceptar

Para restringir Lecto-Escritura a cualquier medio de almacenamiento

extrable para ello vamos a la siguiente ruta
configuracin de usuario>directivas>plantillas
administrativas>sistema>acceso de almacenamiento extrable
Damos clic derecho en todas las clases de almacenamiento extrable luego
propiedades

Habilitamos denegar el acceso a todas las clases de almacenamiento

extrable y aplicamos los cambios y luego aceptar

Ahora deberemos deshabilitar las restricciones anteriores para el

departamento de sistemas, para ello vamos a la siguiente ruta

Inicio>herramientas administrativas>administracin de polticas de

grupo nos paramos en sistema clic derecho y crear un GPO

Le damos el nombre de limitaciones y luego aceptar

Clic derecho sobre la GPO creada y clic en editar

Nos dirigimos a la siguiente ruta: configuracin de usuario

>directivas>plantillas administrativas>men inicio y barra de tareas
Damos clic derecho sobre quitar el men ejecutar sobre el men inicio clic en
propiedades

Deshabilitamos el quitar el men ejecutar del men inicio aplicamos los

cambios y luego aceptar

Ahora deshabilitamos el panel del control con la siguiente ruta

Configuracin de usuario >directivas>plantillas administrativas>panel
de control
Damos clic derecho prohibir acceso al panel de control luego propiedades

Deshabilitamos el prohibir el acceso al panel de control aplicamos los

cambios y aceptar

A los usuarios del departamento de Compras se le aplicarn las siguientes

GPOs (Adicional a las mencionadas anteriormente):

No podrn visualizar los elementos del Escritorio

No podrn apagar la mquina (Desde el Sistema operativo)
Quitar el administrador de tareas

En el departamento de compras crearemos una nueva GPO

Estando en administracin de directivas de grupo vamos a compras clic
derecho y crear una nueva GPO

Nombramos la GPO

Vamos a la GPO que se creo y damos clic en editar

Ahora ocultaremos todos los elementos de escritorio

Seguimos la siguiente ruta:
Configuracin de usuario >directivas>plantillas
administrativas>escritorio
Nos paramos sobre ocultar y deshabilitar todos los elementos del escritorio
clic Derecho y propiedades

Habilitamos el ocultar todos los elementos de escritorio y luego aplicamos los

cambios y damos aceptar

No podrn apagar la mquina (Desde el Sistema operativo)

Para esto seguimos la siguiente ruta
Configuracin de equipo>directivas>plantillas administrativas>Men
Inicio y barra de Tareas
Clic derecho en Quitar y evitar el acceso a los comandos apagar, Reiniciar,
Suspender luego propiedades

Seleccionamos la casilla habilitar.

Ahora Quitar el administrador de tareas para esto seguimos la siguiente ruta:

Configuracin de usuario >directivas>plantillas
administrativas>sistema>Opciones de Ctrl+Alt+Del
Damos clic derecho en quitar administracin de tareas luego propiedades

Habilitamos la directiva y luego aplicamos los cambios y aceptar

Dentro de cada unidad organizativa Usuarios y Grupos se crear un grupo

de usuarios llamado practicantes. Las cuentas de los practicantes
caducarn 6 meses despus de su creacin. Los practicantes solo pueden
iniciar sesin de lunes a viernes de 7 AM a 6 PM. Conceder al grupo
practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una
vez que cada uno de estos usuarios inicie sesin deber conectarse
automticamente a una unidad de red)
Crearemos los usuarios y grupos practicantes, creamos los usuarios como se
hizo en pasos anteriores

Nos paramos en usuarios y grupos y luego clic derecho sobre nuevo y luego
grupo

Nombraremos el grupo como practicantes

Nos paramos en usuarios y grupos luego clic derecho en practicantes y

propiedades

Escogemos la pestaa miembros y luego agregar

Damos clic en avanzado

Luego en buscar ahora y nos aparecern la lista de usuarios,

seleccionamos a los practicantes y le damos Aceptar

Damos clic en aceptar

El siguiente paso usamos el usuario practicante y editar su cuenta, para ello

daremos clic derecho sobre practicante 1 y seleccionamos propiedades

Vamos a la pestaa cuenta y seleccionamos hora de inicio de sesin

Los practicantes solo pueden iniciar sesin de lunes a viernes de 7 AM a 6

PM.
Para esto stablecemos el tiempo y los das y luego aceptar

Ahora seleccionamos que la cuenta expire en 6 meses

Ahora crearemos una carpeta compartida, vamos a documentos.

Luego clic derecho y creamos una nueva carpeta

Despus de crear la carpeta le damos clic derecho y luego compartir

Damos buscar...

Le damos clic en avanzadas

Y por ultimo clic en Buscar Ahora hasta encontrar el grupo que necesitamos

Le damos aceptar y nuestro grupo ya est agregado

Aqu podemos observar el grupo practicantes ya esta agregado y le damos la

opcin como colaborador y le damos en la opcin compartir

Si se le desea pueden darle clic derecho copiar vinculo a la ruta que a

continuacin se seala.

Finalizando la copia le damos clic en listo

Nos dirigimos a la pestaa Perfil, en la ltima seccin de Carpeta

patricularl le damos opcin de conectar elegimos la denominacin de la
unidad que se montara al momento del inicio de sesin y por ltimo
indicamos la ruta de la carpeta compartida a la cual previamente habamos
copiado su ruta, clic en aplicar y luego aceptar

Luego nos aparecer una ventana con lo siguiente y daremos clic en SI.

Cada vez que los usuarios del departamento Web y Comercio Electrnico
inicien sesin se montarn automticamente dos unidades de red que se
mapean a carpetas compartidas en un servidor Windows Server 2008. Note
que primero debe compartir las carpetas en algn servidor (Controlador de
dominio u otro) antes de montarlas automticamente. Todos los usuarios del
departamento tendrn una cuota de 1000MB sobre la unidad de red.
Lo primero ser crear un grupo que contengan todos los usuarios web y
comercio electrnico y lo haremos en la misma unidad organizativa

Ahora procederemos a crear dos carpetas nuevas dentro del equipo servidor.
(WEB Y COMERCIO ELECTRONICO)

Luego compartiremos las carpetas de modo que el grupo colaborador sea

web y comercio electrnico.

Luego vamos a ir a Administracin de directivas de grupo.

Nos dirigimos a la unidad organizativa de Web y Comercio Electrnico y all

creamos una GPO

Podemos observar que la GPO ya est creada y damos clic derecho sobre
ella y clic en editar

Nos dirigimos a:
Configuracin de Usuario>Preferencias>Asignacin de Unidades
Damos clic derecho en la parte derecha de la pantalla, seleccionamos:
nuevo>unidad asignada

Ingresamos la ruta de la unidad (la carpeta que creamos antes),

Seleccionamos su denominacin (Y: / en nuestro caso), Vamos a la pestaa
Comunes

Una vez situados en la pestaa comunes seleccionamos la ltima

Casilla Destinatarios a nivel de elemento y luego damos clic en
destinatarios

Damos clic derecho en coleccin luego nos situamos donde dice agregar
elementos de destinario y buscamos grupo de seguridad y damos clic ah

Una vez hecho esto procedemos dando clic en el botn examinar

Seleccionamos el grupo Web y Comercio Electrnico y le damos aceptar,

Una vez seleccionado el grupo damos clic en aceptar

Aplicamos los cambios y damos clic en Aceptar

Este proceso se repite para la otra unidad de red (La otra carpeta
Compartida), podemos ver las dos unidades de red debidamente
configuradas

Y as as quedarn asignadas las dos unidades

Ahora estableceremos la cuota de disco, para ello nos dirigimos a:

Configuracin de Equipo>Polticas>Plantillas
Administrativas>Sistema>Cuotas de Disco
Clic derecho sobre Habilitar cuotas de disco clic en Editar

Habilitamos la directriz, aplicamos los cambios y damos clic en Aceptar

Dentro de la misma ruta damos clic derecho sobre Limite de cuota y nivel de
aviso predeterminados, clic en Editar

Habilitamos la directriz, ahora el primer valor que se configura es el limite por

defecto de la cuota de disco, el segundo es el nivel de advertencia por
defecto.

Pasamos a establecer las cuotas de disco sobre las unidades de red, para
ello debemos instalar un complemento en nuestro servidor, nos dirigimos al
Administrador de Servidor y en la pestaa de funciones buscamos la seccin
de servicios de archivo (y damos clic en aadir funcion al servicio)

Una vez desplegada la ventana de dilogo seleccionamos la funcion de

administrador de recursos del servidor de archivos, clic en siguiente

En esta ventana se nos da la opcin de que el servicio a instalar monitoree el

uso de espacio en los volmenes seleccionados. Agregamos el volumen C: /
y damos clic en siguiente

Lo siguiente es seleccionar la ruta en la que el servicio de monitoreo de

almacenamiento (por as llamarlo) guardara los reportes del mismo
(Monitoreo), clic en siguiente

Un breve resumen de lo que se instalar, clic en instalar

Proceso de instalacin

Instalacin completa, clic en cerrar

Ahora crearemos las cuotas de disco para ello debemos acceder al servidor
de archivos del administrador de recursos para ello vamos a:
Inicio>Administrador del Servidor> Administrador de recursos del
Servidor de Archivos

Nos ubicamos en cuotas damos clic derecho y seleccionamos

crear cuota

Seleccionamos la ruta de la unidad de red donde tendr efecto la cuota disco

Una vez seleccionada la ruta de la unidad de red seleccionamos la opcin de

definir opciones personalizadas de cuota y damos clic en propiedades

Seleccionamos el valor de cuota establecido en la gua (1000MB) damos

Clic en Aceptar

Ahora podemos ver el lmite de espacio de almacenamiento de nuestra

unidad de red, para finalizar damos clic en crear

Aqu el sistema nos dar la opcin de guardar la cuota recin creada como
una plantilla (para futuros usos), nombramos la plantilla y damos clic en
Aceptar

Hacemos el mismo procedimiento para la otra carpeta compartida.

Podemos observar las cuotas ya creadas en las dos unidades de red

Los usuarios de los departamentos de Diseo Grfico y Comerciales

Externos solo podrn iniciar sesin en los equipos que pertenecen a dicho
departamento.
Primero vamos a aadir los equipos del dominio en los que queremos que
los usuarios de Diseo grfico y comerciales externos inicien sesin.

Nombramos el equipo (EquipoDG1) y damos clic en Aceptar

Lo siguiente es hacer que el equipo pertenezca al grupo (en este caso)

Diseo Grfico, para ello damos clic derecho sobre el equipo y
seleccionamos propiedades

Vamos a la pestaa Miembro de clic en agregar

Buscamos el grupo que se vincular con el equipo

Una vez seleccionado el grupo aplicamos los cambios y damos clic en

Aceptar.

Ahora procedemos a editar las cuentas de usuario de las dependencias

especificadas, clic derecho y seleccionamos propiedades

Nos dirigimos a la pestaa cuenta y seleccionamos Iniciar Sesin en...

Seleccionamos la opcin de Los siguientes computadores, digitamos el

nombre del equipo donde dicho usuario podr iniciar sesin, clic en Aadir y
por ltimo clic en Aceptar
Aplicamos los cambios y damos clic en Aceptar

Las dos impresoras de la empresa, que estn fsicamente ubicadas en los

departamentos de Sistemas y Direccin Tcnica, deben publicarse en el
directorio para que los usuarios del dominio puedan encontrar fcilmente
estos recursos. Para efectos prcticos use impresoras PDF (por ejemplo
doPDF, aunque existen muchas ms) y comprtalas.
Lo primero que vamos a hacer es descargar un software de impresoras
virtuales PDF hemos elegido PDF24 Creator lo descargamos de la siguiente
URL:
http://es.pdf24.org/pdf-creatordownload.html
Recordar que se descarga en la versin para uso privado
Una vez descargado el software lo instalamos

Luego de haber instalado dicho software ahora nos dirigimos a:

Inicio>Panel de Control>Dispositivos e Impresoras

Aqu podemos ver nuestra impresora PDF virtual instalada en el equipo

Damos clic derecho sobre la impresora y seleccionamos Propiedades

Vamos a la pestaa Compartir, seleccionamos la opcin Compartir esta

impresora y seleccionamos todas las opciones posteriores, aplicamos los
cambios y damos clic en Aceptar

Ahora nos dirigimos a:

Inicio>Herramientas Administrativas>Usuarios y Equipos de Active
Directory
Para ubicar la impresora en la dependencia planteada en la gua, clic
derecho sobre el dominio y seleccionamos Buscar

Filtramos la bsqueda a solo impresoras en la casilla Buscar y damos clic en

Buscar Ahora

Una vez localizada la impresora damos clic derecho sobre la misma y

Seleccionamos Mover

Seleccionamos el directorio donde quedar alojada la impresora en este

Caso:
Direccin General>Sistemas>Impresoras
Clic en Aceptar

Confirmamos que la impresora qued ubicada en el departamento de

Sistemas