Académique Documents
Professionnel Documents
Culture Documents
-1-
ra
UP
-F
IS
-H
M
aq
ue
Inicie la maquina virtual donde instalo Windows Server 2012 R2. Esta prctica tendr que hacerla
coordinando con su compaero de junto o en todo caso en su propio equipo, sin embargo se
recomienda que utilice el tipo de conexin host only.
-2-
2. CONDICIONES PREVIAS
UP
-F
IS
-H
M
aq
ue
ra
Para instalar el servicio Active Directory primero debe asegurarse que el usuario Administrador
del Sistema Operativo contenga un password, en este caso recuerde que se le asigno el
password SejatPQ@Upla (si se encuentra vacio no permitir su instalacin).
-3-
UP
-F
IS
-H
M
aq
ue
ra
Asegurece que el equipo servidor tenga una direccin IP estatica. En caso de no tenerla asgnele
alguna.
-4-
UP
-F
IS
-H
M
aq
ue
ra
-5-
-H
M
aq
ue
ra
Puede observar todas estas exigencias a travs de la ventana Administrador del servidor,
haciendo clic en la opcin Servidor Local.
UP
-F
IS
-6-
UP
-F
IS
-H
M
aq
ue
ra
b) Se inicia el Asistente para agregar roles y Caractersticas, esta ventana le permite realizar
acciones en forma confiable y segura. Ante esta ventana haga clic en Siguiente.
-7-
UP
-F
IS
-H
M
aq
ue
ra
-8-
UP
-F
IS
-H
M
aq
ue
ra
-9-
UP
-F
IS
-H
M
aq
ue
ra
e) Seleccione el servicio que desee instalar. En este caso selecciona Servicios de dominio de
Active Directory y Servidor DNS.
UP
-F
IS
-H
M
aq
ue
ra
f)
- 10 -
- 11 -
UP
-F
IS
-H
M
aq
ue
ra
- 12 -
UP
-F
IS
-H
M
aq
ue
ra
- 13 -
UP
-F
IS
-H
M
aq
ue
ra
- 14 -
UP
-F
IS
-H
M
aq
ue
ra
La ventana Servidor DNS brinda informacin general de las ventajas y observaciones del
servicio a instalar. Haga clic en Siguiente.
UP
-F
IS
-H
M
aq
ue
ra
i)
- 15 -
UP
-F
IS
-H
M
aq
ue
ra
j)
- 16 -
- 17 -
Al terminar el proceso puede observar en la Ventana del Servidor, en la seccin Panel que
se muestran los roles instalados en el servidor.
UP
-F
IS
l)
-H
M
aq
ue
ra
- 18 -
-H
M
aq
ue
ra
a) Puede observar que los roles manifiestan una alerta en la ventana de Administrador del
Servidor. Esto se debe a que aun no se ha configurado el servicio Active Directory. Haga
clic en el servicio Active Directory AD DS.
UP
-F
IS
- 19 -
-H
M
aq
ue
ra
UP
-F
IS
Crear un nuevo dominio en un nuevo bosque. Crear un nuevo bosque con un rbol
cuya raz es el dominio que va a crearse.
Creacin de un dominio secundario en un rbol de dominios secundarios
existente. Sera el caso en el que nos encontraramos al aadir el subdominio.
Creacin de un nuevo rbol de dominios en un bosque existente. En este caso nos
interesara crear un dominio raz de un nuevo rbol.
ra
- 20 -
-F
IS
-H
M
aq
ue
e) En la ventana Opciones del controlador de dominio puede cambiar los niveles funcionales
del bosque como del dominio. En esta ocasin debe las opciones por defecto. Ingrese la
contrasea Sejat-PQ a fin de tener presente una contrasea en caso de restauracin.
El nuevo nivel funcional de dominio de Windows Server 2012 permite un nueva caracterstica: la
compatibilidad de KDC con notificaciones, autenticacin compuesta y proteccin de Kerberos
La directiva de plantillas administrativas KDC tiene dos configuraciones (proporcionar siempre
notificaciones y error de solicitudes de autenticacin sin blindar) que requieren el nivel funcional
de dominio de Windows Server 2012.
UP
El nivel funcional del bosque de Windows Server 2012 no proporciona caractersticas nuevas, pero
asegura que todo dominio nuevo creado en el bosque funcione automticamente en el nivel funcional
de dominio de Windows Server 2012. El nivel funcional del dominio Windows Server 2012 no
proporciona otras caractersticas nuevas adems de la compatibilidad de KDC con notificaciones,
autenticacin compuesta y proteccin de Kerberos. No obstante, garantiza que cualquier controlador
de dominio que se encuentre en el dominio ejecute Windows Server 2012.
Despus de establecer el nivel funcional del bosque en un determinado valor, no se puede revertir o
bajar el nivel funcional del bosque, salvo en las siguientes excepciones: cuando eleve el nivel funcional
del bosque a Windows Server 2012, puede bajarlo a Windows Server 2008 R2. Si la papelera de
reciclaje de Active Directory no est habilitada, tambin puede bajar el nivel funcional del bosque de
Windows Server 2012 a Windows Server 2008 R2 o Windows Server 2008 o de Windows Server 2008
- 21 -
R2 de vuelta a Windows Server 2008. Si el nivel funcional del bosque est establecido en Windows
Server 2008 R2, no puede revertirse, por ejemplo, a Windows Server 2003.
ue
ra
Despus de establecer el nivel funcional del dominio en un determinado valor, no se puede revertir
o bajar el nivel funcional del dominio, salvo en las siguientes excepciones: cuando eleve el nivel
funcional del dominio a Windows Server 2008 R2 o Windows Server 2012 y si el nivel funcional del
bosque es Windows Server 2008 o inferior, tiene la opcin de revertir el nivel funcional del dominio a
Windows Server 2008 o Windows Server 2008 R2. Solo se puede bajar el nivel funcional del dominio
de Windows Server 2012 a Windows Server 2008 R2 o Windows Server 2008, o de Windows Server
2008 R2 a Windows Server 2008. Si el nivel funcional del dominio est establecido en Windows Server
2008 R2, no puede revertirse, por ejemplo, a Windows Server 2003.
En la ventana Opciones de DNS indica que no se puede crear una zona DNS para este
servidor. En este caso haga clic en Siguiente a fin de continuar.
UP
-F
IS
-H
M
f)
aq
Ms all de los niveles funcionales, un controlador de dominio que ejecuta Windows Server 2012
proporciona caractersticas adicionales que no estn disponibles en un controlador de dominio que
ejecuta una versin anterior de Windows Server. Por ejemplo, un controlador de dominio que ejecuta
Windows Server 2012 puede usarse para la clonacin del controlador de dominio virtual, mientras que
un controlador de dominio que ejecuta una versin anterior de Windows Server no puede hacerlo. Pero
la clonacin de controladores de dominio virtuales y las medidas de seguridad de controladores de
dominio virtuales en Windows Server 2012 no tienen ningn requisito de nivel funcional.
Si presiona sobre la opcin Mas se muestra el descriptivo de los motivos de esta advertencia.
- 22 -
aq
ue
ra
UP
-F
IS
-H
M
- 23 -
UP
-F
IS
-H
M
aq
ue
ra
- 24 -
j)
La opcin Ver Script le permite observar los cdigos a implementar si requiere desarrollar
esta solucin en diferentes servidores. Guarde este script. Cierre esta ventana. Haga clic en
Siguiente.
UP
-F
IS
-H
M
aq
ue
ra
i)
- 25 -
Para terminar, el asistente indica que ha finalizado la instalacin del Active Directory y que
es preciso reiniciar el sistema operativo.
-F
IS
l)
-H
M
aq
ue
ra
UP
a) En el reinio del equipo notara que se aplica la nueva configuracin al equipo, este proceso
suele durar unos minutos. Luego de este proceso notara que mostrara nombre del dominio
SERVICIOS antecediendo al usuario Administrador, este proceso puede durar unos
minutos. Ingrese la contrasea SejatPQ-Upla correspondiente a fin de iniciar la sesion.
- 26 -
UP
-F
IS
-H
M
aq
ue
ra
- 27 -
UP
-F
IS
-H
M
aq
ue
ra
b) En la ventana Administrador del Sevidor puede observar que no existe notificacin y que
los roles y caractertisticas se encuentran operativos. Asimismo en las opciones
Herramientas se puede apreciar que se agregan nuevas opciones sobre Active Directory y
DNS, ya que estos servicios ya han sido previamente instalados.
- 28 -
-H
M
aq
ue
ra
c) Asimismo en el Inicio se aprecia que se han agregado opciones de los servicios DNS y
Active Directory.
UP
-F
IS
e) Se puede llevar a cabo una revisin bsica desde cualquiera de los servidores, comprobando
los servidores que actual como controladores, los dominios y subdominios, entre otras.
- 29 -
ra
f)
-H
M
aq
ue
UP
-F
IS
a) La consola de Usuarios y Equipos del Directorio, cuya ventana principal se puede apreciar
al ejecutar la opcin Herramientas / Usuarios y equipos de Active Directory de la ventana
Administrador del Servidor.
- 30 -
ra
ue
Para trabajar en esta consola deber servirse principalmente del men contextual asociado a
cada una de las carpetas y cada objeto contenido en ellas. En los distintos mens contextuales
encontrar opciones para crear grupos, unidades organizativas y distintos tipos de cuentas,
tambin podr acceder a las propiedades de cada objeto, mover objetos de un contenedor a otro,
deshabilitar una cuenta, restablecer su contrasea, etc.
aq
En los puntos siguientes conocer algunos de los elementos que existen en esta consola, por lo
que lo primero que debe hacer es abrirla. Haga clic en Herramientas y elija la opcin Usuarios
y equipos de Active Directory en la ventana Administrador del Servidor.
UP
-F
IS
-H
M
La unidad organizativa se condisera un tipo de objeto de directorio incluido en los dominios del
servidore y de la red. Se define a las unidades organizativas como contenedores de Active
Directory en los que puede crear y administrar usuarios, grupos, equipos e incluso otras unidades
organizativas. Sin embargo una unidad organizativa no puede contener objetos de otros
dominios. Por lo que se puede conlcuir que una unidad organizativa es el mbito o unidad ms
pequea a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede
delegar la autoridad administrativa. Mediante unidades organizativas puede crear y administrar
contenedores dentro de un dominio que representan las estructuras lgicas y jerrquicas
existentes dentro de una organizacin.
Dominio 01.com.pe/UO1
Dominio 01.com.pe/UO2
Dominio 01.com.pe/UO3
- 31 -
-H
M
aq
ue
ra
UP
-F
IS
b) Escriba Administracion en el cuadro de texto. Notara que por defecto se activa la casilla
Proteger contenedor contra eliminacion accidental la cual impedir que se elimine en forma
accidental este objeto. Luego haga clic en Aceptar.
- 32 -
-H
M
aq
ue
ra
UP
-F
IS
- 33 -
Las unidades organizativas pueden contener otras unidades en su interior, lo cual le permite
crear estructuras lgicas. La unidad Gestion TI, por ejemplo, contiene tres sub-unidades
llamadas Monitoreo, Herramientas TI y Telecomunicaciones.
ra
ue
Aunque el nico dato imprescindible para crear una nueva OU sea el nombre, posteriormente se
puede editar el resto de sus propiedades eligiendo la opcin Propiedades de su men
contextual.
UP
-F
IS
-H
M
aq
a) Seleccione el objeto Gestion TI, active su men contextual y ejecute la opcin Propiedades.
- 34 -
IS
-H
M
aq
ue
ra
b) La ventana de propiedades cuenta con tres pginas en las que se puede introducir datos de
localizacin fsica de la unidad, indicar qu cuenta ser la que administre dicha unidad y
configurar la interactuacin con COM+.
UP
-F
- 35 -
UP
-F
IS
-H
M
aq
ue
ra
c) Si abre las pginas de propiedades de las carpetas Computers y Users podr comprobar
que no existen pginas que se encuentran en una unidad organizativa. Los elementos que
se cree en una OU pueden verse afectados por una directiva de grupo especfica, mientras
que aquellos que se encuentran en Users no se vern afectados.
- 36 -
ra
Una unidad organizativa es un contenedor lgico, pero no servir de nada si, tras creado, queda
vaco, a pesar de que le asociemos directivas de grupo. En una OU es posible introducir
prcticamente cualquier tipo de objeto, si exceptuamos los propios dominios, incluidas otras OU.
IS
-H
M
aq
ue
a) Haga clic con el botn secundario del ratn sobre cualquiera de las unidades organizativas
creadas previamente, para abrir el men contextual correspondiente, y elija la opcin Nuevo.
Ver aparecer una lista de los tipos de objetos que puede crear en el interior de la OU:
Equipo: Las cuentas de equipo representan a los computadores que se conectan al
dominio. Pueden crearse manualmente, con esta opcin, o automticamente en el
momento en que el ordenador se una al dominio.
-F
Contacto: Un contacto es una cuenta de usuario, con una direccin de correo electrnico
asociada de manera opcional, pero que no puede utilizarse para iniciar sesin en el
dominio.
UP
Grupo: A diferencia de los equipos y los usuarios, los grupos no son cuentas. En realidad
son objetos mediante los cuales se definen las credenciales que se asignarn a las
cuentas, autorizndoles o denegndoles el acceso a los recursos.
Alias de cola de MSMQ: Representa un tipo de recurso que puede ser compartido entre
las cuentas que forman parte de la unidad organizativa.
- 37 -
Impresora: Permite compartir una impresora entre los usuarios que pertenecen a la
unidad organizativa.
Usuario: Todos los clientes que vayan a iniciar sesin en el dominio deben contar con
una cuenta de usuario. Cada cuenta se define como un nombre, el identificador de
usuario y una contrasea. Se desaconseja compartir una misma cuenta de usuario entre
varios clientes en aras de la seguridad.
Carpeta compartida: Representa otro tipo de recurso compartido, en este caso una
carpeta en la que los usuarios pueden encontrar informacin o almacenada, segn las
credenciales con que cuenten.
ue
ra
-H
M
aq
Cada tipo de objeto cuenta con su propio cuadro de dilogo para la creacin, solicitando
siempre datos bsicos que, con posterioridad, pueden ampliarse accediendo a la ventana de
propiedades correspondiente.
-F
IS
UP
Podr observar las caractersticas generales del objeto servicios.com.pe. Notara que solo
las opciones bsicas son mostradas.
- 38 -
-H
M
aq
ue
ra
UP
-F
IS
- 39 -
UP
-F
IS
-H
M
aq
ue
ra
d) La ficha Objeto muestra la ruta completa hasta el objeto en la jerarqua del dominio la fecha
y hora de su creacin y de su ltima modificacin y los nmeros de secuencias actualizadas
desde que se cre y desde que se modific por ltima vez.
- 40 -
UP
-F
IS
-H
M
aq
ue
ra
e) La ficha Seguridad permite controlar el acceso a los objetos asignando permisos a usuarios
y a grupos. Cuando se pulsa Opciones avanzadas se puede ver la pestaa Permisos.
- 41 -
UP
-F
IS
f)
-H
M
aq
ue
ra
6. CUENTAS DE USUARIO
Si la configuracin inicial de Active Directory cuenta ya con una serie de grupos de seguridad
que suelen ser suficientes para la configuracin de la mayora de empresas, no ocurre lo mismo
con las cuentas de usuario. En principio, las nicas dos cuentas predefinidas que encontraremos
en la carpeta Users son Administrador e Invitado.
- 42 -
UP
-F
IS
-H
M
aq
ue
ra
- 43 -
ra
Asumiendo que ha iniciado sesin en el sistema utilizando la cuenta Administrador, dado que
es la nica disponible tras completar la instalacin del sistema, para cambiarle el nombre
daramos los pasos siguientes:
-H
M
aq
ue
UP
-F
IS
b) Introduzca el nuevo nombre, para este casi ingresaremos el nombre NetAdmi y pulse [Enter].
- 44 -
aq
ue
ra
c) El sistema le advertir de que tendr que reiniciar la sesin para garantizar la seguridad, ya
que la cuenta Administrador dejar de existir a partir de este momento. Responda
afirmativamente.
UP
-F
IS
-H
M
- 45 -
UP
-F
IS
-H
M
aq
ue
ra
Finalmente, tras hacer clic en el botn Aceptar en la anterior ventana, cierre la sesin actual
y vuelva a iniciar sesin utilizando ya el nuevo nombre de la Cuenta. La contrasea seguir
siendo la misma que hubiese establecido durante la configuracin del controlador de
dominio. Finalizado este proceso, su sistema ya es algo ms seguro puesto que cualquier
persona que intentase entrar en l utilizando la cuenta Administrador no lo conseguira por
muchos intentos que efectuase.
UP
-F
IS
-H
M
aq
ue
ra
f)
- 46 -
- 47 -
UP
-F
IS
-H
M
aq
ue
ra
g) Regrese a la ventana anterior, en la cual se aprecia las opciones de usuario a utilizar para
ingresar. Seleccione la opcin Otro usuario.
- 48 -
UP
-F
IS
-H
M
aq
ue
ra
h) Ingrese el nombre del usuario y su respectiva contrasea. Observe que el inicio se sesion se
hara en el dominio Servicios. Seguidamente podr ingresar al sistema operativo
- 49 -
UP
-F
IS
i)
-H
M
aq
ue
ra