Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
PRÁCTICA ACTIVE DIRECTORY Perteneces al departamento de sistemas de la empresa Asir2 S.A. A fecha de 28 de Octubre de este año, se plantea una migración del entorno corporativo a la versión de Windows Server 2008. Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/Arcos de la Frontera s/n Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos necesarios para dicha migración y llevarlos a cabo para tal fecha. Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están actualmente en producción: • istración de s y grupos. • istración de ficheros. • istración de discos. • Copias de seguridad. El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos. La información necesaria para esta labor en relación al entorno actual es la siguiente: 1. La empresa consta de 20 empleados. 2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el y los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a la que solo tendrá el departamento de sistemas. Los datos estarán en una partición o disco duro diferente a la del sistema operativo. 3. 15 empleados son desarrolladores de software que tienen limitado a los repositorios de código y de documentación, donde únicamente tendrán a aquellos directorios asociados al proyecto en el que estén trabajando. 4. Existen dos s especiales correspondientes al gerente y al director de la empresa. El gerente tendrá a toda la documentación y código ejecutable. de los proyectos. El director tendrá ilimitado a todos los recursos disponibles. 5. La empresa tiene una serie de servicios que quiere seguir manteniendo(incluidos sus nombres):
-1-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
a. Controlador de Dominio => tunombre.gcap.net b. Servicio DNS c. Servicio DH =>192.168.100.0/24 i. Ámbito: 192.168.100.2 – 192.168.100.254 ii. Servidor: 192.168.100.1 6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch. 7. Para cada uno de estos s se creará un perfil móvil, que será oculto para el resto de los s, salvo para los dos s del punto anterior. 8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa quiere usar algún equipo. Este perfil no tendrá a ningún otro perfil, proyecto, documentación, etc de la empresa. Los datos de los perfiles estarán en una partición o disco duro diferente a la del sistema operativo. 9. El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables y documentación de cada uno de los proyectos. 10. El , para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes: a. Para el dominio pretendes que los s puedan solicitar la asistencia remota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar “posibles distracciones”: i. Habilitar Asistencia Remota Solicitada. ii. Habilitar no permitir que se ejecute windows messenger. iii. Poner un fondo de pantalla corporativo que no pueda cambiarse. iv. Ejecutar un programa que indique la ip del equipo y un en el escritorio. v. Deshabilitar el uso de pendrives. b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los s sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows). i. Habilitar ofrecer asistencia remota.
-2-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
c. Para el Departamento de Software. Con idea de que los perfiles de s no se vuelvan muy pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se almacenará en el servidor (en una partición diferente a la del sistema operativo) llamada “personales”. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales no estarán asociados al perfil. i. Redireccionamiento de “Mis Documentos” ii. Limitar el tamaño del perfil. d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarquía de aplicación de las directivas de grupo. i. Deshabilitar no permitir que se ejecute windows messenger. ii. Habilitar el uso de pendrives. e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”. No olvides que no se pueden aplicar directivas de grupo a grupos del dominio. 11. Instala un servicio de distribución de software desde tu equipo servidor a las estaciones de trabajo del dominio mediante paquetes MSI: a. OpenOffice. b. Firefox. Crea tú mismo estos paquetes con alguna utilidad. 12. Instala DFS y haz una prueba de su funcionamiento.
-3-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
DESARROLLO: Tendremos que configurar las interfaces de red de nuestro servidor Windows 2008 Server, una de ellas será una NAT para la conexión a internet y otra una red interna que forme nuestra propia red y se comunique con el resto de máquinas de nuestra red local.
La interfaz de internet al ser NAT configuraremos la IP de forma automática, en la red interna asignaremos una IP estática.
A continuación procederos a instalar y configurar los servicios DH Y DNS para nuestro servidor Windows 2008 Server: Tendremos que instalar el servicio DNS para que se pueda sincronizar cuando instalemos Active Directory:
-4-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Instalamos y Configuramos DH:
Definimos:
-5-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Una vez configurado nuestro servicio DH, Pasamos a instalar Active Directory: Ejecutamos dromo:
Hacemos la instalación en modo avanzado, marcamos la casilla y continuamos:
-6-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Creamos un nuevo dominio en un bosque nuevo:
-7-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Contraseña: ASIR2povedano
-8-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
1. La empresa consta de 20 empleados. Creamos 20 empleados para la empresa:
-9-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Contraseña: ASIRemp1 A continuación creamos de igual forma los 20 empleados:
2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el y los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a la que solo tendrá el departamento de sistemas. Los datos estarán en una partición o disco duro diferente a la del sistema operativo. -10-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Para organizarlo de una forma más estructurada creamos unidades organizativas:
Creamos el departamento de Sistemas:
-11-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Añadimos 3 empleados; uno de ellos será el y los otros dos encargados
Cogemos 3 empleados de los 20 creados y los renombramos (uno como de sistemas y dos encargados).
Creamos los datos en una nueva partición para almacenar el directorio sistemas:
-12-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Una vez montado con formato NTFS nos quedaría de la siguiente forma:
Creamos el directorio Sistemas:
Creamos un grupo llamado sistemas a la hora de otorgar permisos al directorio.
-13-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
En este grupo meteremos a los 2 encargados, ya que el estaría dentro del grupo de es del dominio.
Por ultimo asignamos los permisos por grupos al directorio sistemas:
-14-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
3. 15 empleados son desarrolladores de software que tienen limitado a los repositorios de código y de documentación, donde únicamente tendrán a aquellos directorios asociados al proyecto en el que estén trabajando.
Formado por 15 de los empleados que creamos anteriormente:
-15-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Crearemos un grupo para agrupar a todos los desarrolladores de software:
Como dice el enunciado cada empleado de software (desarrollador) tendrá un limitado dependiendo del proyecto al que estén asociados, por ello crearemos grupos en función a proyectos que serán grupos locales:
Por ejemplo crearemos 2 proyectos donde repartiremos a los desarrolladores:
-16-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Una vez creados s y grupos dentro de la estructura organizativa software Creamos el directorio Software:
Damos permisos limitados a todos los s de software (desarrolladores).
-17-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Dentro del directorio Software, crearemos los directorios proyecto1 y proyecto2, a los cuales solo tendrán permisos el y los s pertenecientes a cada proyecto:
Deshabilitamos la herencia de permisos, para que a cada proyecto solo puedan acceder los desarrolladores asociados a ese proyecto.
-18-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Los permisos del directorio proyecto1 quedarían de la siguiente manera:
Hacemos de igual forma con el proyecto2:
-19-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
4. Existen dos s especiales correspondientes al gerente y al director de la empresa. El gerente tendrá a toda la documentación y código ejecutable. de los proyectos. El director tendrá ilimitado a todos los recursos disponibles. Por último los dos empleados restantes de los 20 que creamos (empleado19 y empleado20) serán el gerente y el director: Asociamos para estos dos s permisos:
-20-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
-21-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
5. La empresa tiene una serie de servicios que quiere seguir manteniendo(incluidos sus nombres): a. Controlador de Dominio => tunombre.gcap.net b. Servicio DNS c. Servicio DH =>192.168.100.0/24 i. Ámbito: 192.168.100.2 – 192.168.100.254 ii. Servidor: 192.168.100.1
Modificamos la IP del servidor, así como DH y DNS para la nueva IP:
Rango DH:
-22-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan salida a Internet. Como si estuvieran todos conectados físicamente a un switch.
El resto de equipos (clientes) tendrán una interfaz de red interna, sin salida a internet (sin interfaz de red de tipo NAT).
Esta interfaz interna le asignaremos una IP automática que le proporcionará el servidor DH de nuestro servidor y por lo tanto estarán todos los equipos clientes conectados al servidor formando una red local
7. Para cada uno de estos s se creará un perfil móvil, que será oculto para el resto de los s, salvo para los dos s del punto anterior. Creamos el directorio donde almacenaremos los distintos perfiles de los s.
Compartimos el directorio PERFILES con todos:
-23-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Fijamos la ruta donde se creara el perfil para cada :
Comprobamos desde un cliente Windows, que recibe la configuración DH establecida desde el servidor.
-24-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Y definimos en el cliente nuestro dominio creado en el servidor para poder iniciar sesión con los s del dominio.
-25-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Para iniciar sesión accedemos con un del dominio, por ejemplo empleado1:
Comprobamos que el logueo de sesión ha sido realizado correctamente:
Una vez el cliente ha conectado con el dominio, nos pide reiniciar el cliente. Posteriormente podremos iniciar sesión con un del dominio:
-26-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
-27-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
En el servidor se nos creará un directorio con el perfil del con el que hemos iniciado sesión:
Si intentamos acceder no nos dejará puesto que no tiene un propietario por defecto, para ello accedemos a las propiedades de la carpeta y a la pestaña seguridad:
Y ya podremos entrar:
-28-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Creamos con uno de los s de sistemas una carpeta de red hacia la carpeta sistemas del servidor y comprobamos que podemos acceder a su contenido, mientras que si la creamos para la carpeta software no (ya que los s de sistemas no tienen al directorio software, debido a los permisos que configuramos).
De igual forma comprobamos que están bien definidos los permisos que hemos definido para todos los s del dominio. Ahora definimos internet a toda la red virtual para ello primero vamos a instalar el rol de enrutamiento: Una vez instalado lo configuramos:
-29-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
-30-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Ahora desde el cliente comprobamos que podemos acceder a internet:
-31-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa quiere usar algún equipo. Este perfil no tendrá a ningún otro perfil, proyecto, documentación, etc de la empresa. Los datos de los perfiles Estarán en una partición o disco duro diferente a la del sistema operativo.
Como hicimos con los perfiles, creamos un directorio para los perfiles obligatorios en el servidor y lo compartimos para todos los s con permisos de lectura y escritura:
A continuación habilitamos el invitado que por defecto esta deshabilitado.
-32-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Ahora con el local del cliente Windows XP, accedemos a propiedades del sistema y a la pestaña opciones avanzadas para configurar los perfiles de .
-33-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Seleccionamos algún , por ejemplo empleado1 y damos a “copiar a”:
En permitido usar, lo cambiamos para todos.
-34-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Pulsamos en aceptar y si no nos da ningún error, la carpeta INVITADO.MAN se habrá copiado al servidor dentro de la carpeta que creamos llamada INVITADO.
Y cambiamos uno de los archivos ocultos que contiene “nt.dat” por “nt.man”:
Configuramos Opciones de carpeta para poder ver los archivos ocultos:
-35-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
-36-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Por último cambiamos la ruta del perfil del invitado que habilitamos antes por la de INVITADO.MAN:
Iniciamos sesión en el cliente con la cuenta Invitado (sin contraseña):
-37-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Comprobamos que si realizamos algún cambio con la cuenta de invitado, y volvemos a iniciar sesión con ella, los cambios no se habrán realizado.
Tras Iniciar sesión nuevamente con Invitado:
10. El , para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes: a. Para el dominio pretendes que los s puedan solicitar la asistenciaremota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar “posibles distracciones”: i. Habilitar Asistencia Remota Solicitada. Instalamos en el servidor la característica asistencia remota.
-38-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Una vez instalada accedemos a la istración de Políticas de grupo (GPO).
Creamos un nuevo GPO para toda la organización montada.
Una vez creada la editamos y habilitamos la asistencia remota solicitada:
-39-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
ii. Habilitar no permitir que se ejecute windows messenger. Accedemos a componentes de Windows y buscamos la directiva:
iii. Poner un fondo de pantalla corporativo que no pueda cambiarse. Ahora nos vamos a las directivas que afectan a la configuración de y establecemos en el apartado escritorio, un fondo corporativo:
-40-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
iv. Ejecutar un programa que indique la ip del equipo y un en el escritorio. Este programa es Bginfo, el cual descargaremos gratuitamente de la página oficial de Microsoft:
-41-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
Lo ejecutamos y configuramos para que muestre la IP y el que ha iniciado sesión:
El resultado sería el siguiente:
v. Deshabilitar el uso de pendrives. Volvemos a las directivas que afectan a la configuración del equipo y en el apartado sistemas y dispositivos, impedimos la instalación de pendrives.
-42-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los s sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows). i.
Habilitar ofrecer asistencia remota.
Puesto que las nuevas directivas que vamos a configurar solo van a afectar al departamento de sistemas, crearemos un nuevo GPO exclusivo para sistemas.
-43-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
c. Para el Departamento de Software. Con idea de que los perfiles de s no se vuelvan muy pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se almacenará en el servidor (en una partición diferente a la del sistema operativo) llamada “personales”. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitará una cuota de disco de 100 Mb, ya que estos ficheros personales no estarán asociados al perfil Como ya hicimos con sistemas, creamos un GPO para Sofware:
A continuación creamos la carpeta “Personales” y Redirigimos la carpeta “Documentos” a la carpeta que hemos creado, en una partición diferente a la del sistema operativo.
-44-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
Una vez creada la carpeta “personales” en la partición de ASIR, accedemos a editar el GPO de Software y en configuración de establecemos redirección de la carpeta “documentos” a la nueva carpeta que hemos creado “personales”.
-45-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
ii. Limitar el tamaño del perfil.
d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarquía de aplicación de las directivas de grupo. Definimos una nueva GPO, Para una nueva unidad organizativa que llamaremos dirección donde estará presente solamente el director para aplicar las siguientes configuraciones (Uso de Windows Messenger y Uso de Pendrives).
Y pasamos a editar:
-46-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
i. Deshabilitar no permitir que se ejecute windows messenger.
ii.
Habilitar el uso de pendrives.
-47-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
11. Instala un servicio de distribución de software desde tu equipo servidor a las Estaciones de trabajo del dominio mediante paquetes MSI: a. OpenOffice. b. Firefox. Crea tú mismo estos paquetes con alguna utilidad.
-48-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
12. Instala DFS y haz una prueba de su funcionamiento.
Instalamos DFS, desde istración del servidor:
Aunque nos da la opción de crear un espacio de nombres, lo crearemos una vez este instalado DFS.
Una vez instalado, pasaremos a crear un espacio de nombres y a configurarlo:
-49-
Autor: José Povedano Romero
ISTRACIÓN DE SISTEMAS OPERATIVOS 2º A.S.I.R.
-50-
Curso: 2 ASIR Módulo: ISTRACIÓN DE SISTEMAS OPERATIVOS
Autor: José Povedano Romero
-51-