Sunteți pe pagina 1din 40

Directorio Activo

En un sistema operativo multiusuario, se pueden dar dos opciones de configuracin:


De servidor de red que permite cumplir simultneamente las necesidades de dos o ms usuarios, para
trabajar con los mismos o distintos recursos del equipo.
De estacin de trabajo que permite que cada usuario pueda tener sus propias carpetas, archivos,
escritorio, historial, directivas de seguridad, etc., sin interferencias con los de otros usuarios. Esta opcin
permitir que cada usuario que trabaje en un ordenador, tenga un mnimo de seguridad para que sus
datos estn a salvo de las miradas indiscretas del resto de usuarios que trabajen en el mismo equipo.
Diferencia entre dominio y grupo de trabajo:
Dominio: es un conjunto de cuentas de usuario y recursos de red bajo un nombre sencillo que tiene
establecidas fronteras de seguridad.
Grupo de trabajo: es una agrupacin bsica que, nicamente, se establece para ayudar a determinados
usuarios a utilizar objetos compartidos (impresoras y carpetas). Se necesita para tener una red entre iguales
con Windows 7.
En un grupo de trabajo los usuarios deben trabajar con varias contraseas (una para cada recurso
compartido) mientras que, en un dominio, los usuarios nicamente han de utilizar una contrasea para
conectarse a la red y trabajar con los recursos que haya disponible.
Los servidores dentro de un dominio pueden tomar uno de los papeles siguientes:
Controlador de dominio. Pertenecen al dominio y contiene una copia de las cuentas de usuarios y otros
datos del Directorio Activo, es obligatorio que haya, al menos, un controlador de dominio.
Servidor miembro. Pertenecen al dominio y no contienen una copia de las cuentas de usuario y de otros
datos del Directorio Activo. Se utilizan para almacenar los archivos y otros recursos de red.
Adems de estos dos tipos, sin formar parte de ningn dominio puede haber Servidores independientes.
Pertenecen a grupos de trabajo y se utilizarn para almacenar archivos y otros recursos de red.
Directorio
Un directorio es una estructura jerrquica que almacena informacin acerca de los objetos existentes en la
red y un servicio de directorio proporciona mtodos para almacenar los datos del directorio y ponerlos a
disposicin de las administraciones y los usuarios de la red.
Directorio Activo
Es el servicio de directorio incorporado en Windows Server, almacena informacin acerca de objetos de la
red y facilita la bsqueda y utilizacin de esa informacin por parte de usuarios y administradores.
Cuenta con las siguientes caractersticas:
Incorpora un directorio que es un almacn de datos para guardar informacin acerca de los
objetos(estos objetos incluyen normalmente recursos compartidos como servidores, archivos,
impresoras y las cuentas de usuario)

Incorpora un conjunto de reglas(esquema) bsicas que definen las clases de objetos y los atributos
contenidos en el directorio, las restricciones y los lmites en las instancias de estos objetos as como
el formato de sus nombres.

Elementos del Directorio Activo:

Dominio: es la estructura fundamental. Permite agrupar todos los objetos que se administrarn de
forma estructurada y jerrquica.

Controlador de Dominio: es un equipo "Windows Server" con AD instalado que almacena, mantiene
y gestiona la base de datos de usuarios y recursos de la red.
Nombre de Dominio.- Son las denominaciones asignadas a los ordenadores de la red, "hosts", y
"routers", que equivalen a su direccin IP
rbol de Dominio.- Es el conjunto de dominios formado por el nombre de dominio raz y el resto de
dominios cuyos nombres constituyen un espacio contiguo con el nombre raz
Bosque de rboles de Dominios.- Es el conjunto de rboles de dominio que no constituyen un
espacio de nombres contiguo
Unidad organizativa es una unidad jerrquica inferior del dominio que puede estar compuesta por
una serie de objetos y/o por otras unidades organizativas.

Grupos son conjuntos de objetos del mismo tipo y se utilizan fundamentalmente para la asignacin
de derechos de acceso a los recursos.

Objetos son una representacin de un recurso de red(usuarios, ordenadores, impresoras, etc)

Caractersticas del Directorio Activo:


Al igual que en Internet, en el Directorio Activo un dominio se identifica por un nombre del tipo
aaa.bbbb.com.
Los dominios pueden contener unidades organizativas, grupos, ordenadores, usuarios y directivas de
grupo como objetos ms representativos.
Dependiendo del tamao de la empresa puede existir ms de un dominio.
Un dominio de Windows representa un entorno de seguridad, donde conviven objetos (usuarios,
equipos, etc...) que pertenecen a una organizacin o parte de ella. Un conjunto de dominios forman
un rbol, mientras que una jerarqua de stos se denomina Bosque Los dominios se comunican
entre s gracias a las relaciones de confianza.
Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios,
grupos, equipos y otros objetos. Una unidad organizativa no puede contener objetos de otros
dominios.
Una unidad organizativa es el mbito o unidad ms pequea a la que se pueden asignar
configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa.
Un administrador puede administrar slo dentro de su dominio, salvo que se le den en forma
explcita privilegios sobre otros dominios
Requerimientos para instalar Active Directory
o Sistema Operativo Windows Server 2000/3/8 (No puede ser Windows Web Edition)
o Espacio libre mnimo en disco 250 MB
o Por lo menos una particin NTFS
o Protocolo TCP/IP instalado y configurado
o DNS instalado o a instalar
Recomendaciones importantes a los hora de instalar el AD, debemos tener claro:
o Diseo
Objetivos
Cuntos Bosques/Arboles/Dominios
Sitios y enlaces
Crecimiento a futuro
Requerimientos de seguridad
o Planificacin
Estructura de unidades organizativas
Delegacin
Poltica de grupos
o Implementacin

Mtodos de implementacin
Procedimientos de instalacin
AD utiliza DNS para resolver nombres y encontrar servicios de red, la inadecuada configuracin es
una de las causas ms comunes de problemas

Instalacin del Directorio Activo


Antes de instalar el Directorio Activo en un servidor y promoverlo a servidor de dominio, tenemos que
planear bien la estructura que va a tener el AD, teniendo en cuenta el nombre del dominio y de DNS. Un
dominio solo puede tener un nombre de DNS.
Tambin tenemos que tener en cuenta que si el dominio que vamos a crear va a tener controladores de
dominio de versiones anteriores a Windows Server 2008, tendremos que configurar bien el nivel
funcional, para que sea compatible con esas versiones, pero si el futuro dominio solo va a tener
controladores de dominio con Windows Server 2008, tendremos que configurar el nivel funcional
correctamente para beneficiarnos de todas la nuevas caractersticas de esta versin de Windows.
Comenzaremos desde el Administrador del Servidor, que tiene un acceso directo en la Barra de Tareas.

En el apartado de Funciones hacemos click en Agregar Funciones.

Pulsamos Siguiente y nos aparece una lista de todas las funciones que podemos instalar.

Activamos la casilla de Servicios de Dominio de Active Directory y pulsamos Siguiente.

Nos aparece una pequea introduccin de lo que vamos a instalar:

Volvemos a pulsar Siguiente:

Pulsamos Instalar

Al finalizar nos muestra un resumen de los servicios instalados.

Volvemos al Administrador del Servidor y vemos que hay una funcin instalada.

Ya tenemos instalado nuestro Directorio Activo, ahora slo nos queda elevarlo a Controlador de
Dominio.

Promocin del Servidor a Controlador de Dominio


Para promocionar nuestro servidor a controlador de dominio tenemos que hacerlo con el comando
dcpromo.exe como vemos en la captura siguiente:

Se abre el asistente y seguimos sus pasos:

Pulsamos Siguiente:

Pulsamos Siguiente y a continuacion seleccionamos Crear un nuevo dominio en un nuevo bosque por que
nosotros vamos a crear un nuevo bosque y un nuevo dominio. Si este servidor no fuese el primer servidor de
dominio de un bosque que ya tenemos creado, elegiriamos la opcion Bosque existente. Esta opcion tiene
dos variantes: crear un nuevo dominio en un bosque existente o crear un nuevo controlador de dominio en
un dominio existente. Dependiendo de nuestra situacion, elegiremos por una u otra opcion.

Pulsamos en siguiente y escribimos el nombre de nuestro dominio, en nuestro caso clase.com

Pulsamos siguiente y comprueba si el nombre del dominio, se est utilizando, como no es as, pasa a la
siguiente pestaa en la que podemos elegir el nivel funcional del bosque:

Como en nuestra red slo tenemos instalado un servidor con Windows Server 2008, elegimos esa opcin:

Y pulsamos Siguiente
En la captura siguiente, vemos que automticamente ha seleccionado la opcin DNS server. Esto quiere
decir que creara una infraestructura DNS.
La opcin de Catlogo Global est marcada, pero no podemos desmarcarla, esto es porque el primer
controlador de dominio de un bosque tiene que tener instalado el Catalogo Global.

Ahora nos avisa de que el controlador tiene que tener asignada una IP estatica. Nosotros la pusimos cuando
hicimos la configuracin inicial. Marcamos S, el equipo usar una direccin IP asignada dimnicamente.

A continuacion, nos pide que indiquemos la ubicacion de la Base de Datos de los ficheros log y de la pagina
de Sysvol. Aunque podriamos establecer otra ubicacion, de momento damos por buena la que nos sugiere
por defecto. En la practica, lo mejor seria poner cada una de estas en unidades serpadas.

Introducimos la contrasea para el los servicios de restauracion de los servicios de directorio activo.

Vemos el resumen.

Pulsamos Siguiente y esperamos.

Le damos a Finalizar y lo nico que nos queda es reiniciar el equipo.

CREACIN DE UNIDAD ORGANIZATIVA


Antes de crear grupos, vamos a crear una Unidad Organizativa donde los vamos a alojar para tenerlo todos
juntos.
Abrimos Usuarios y equipos de Directorio Activo , nos posicionamos en el dominio clase.com, pulsamos
el botn derecho del ratn.
Ahora seleccionamos Nuevo y el men que aparece, seleccionamos Unidad Organizativa.

Nos muestra un cuadro de dilogo en el que pondremos el nombre de la nueva OU. En este caso, hemos
decidido que sea grupo1.
Pulsamos OK.

Ahora, si pulsamos F5 en Usuarios y equipos de Directoria Activo, nos debe de aparecer la Unidad
Organizativa que acabamos de crear:

Ya tenemos una Unidad Organizativa donde alojar nuestros grupos.

CREACIN DE GRUPOS
Los grupos son conjuntos de atributos a los que otros objetos pueden o no pertenecer. Bsicamente, un
grupo afecta a la seguridad del dominio, mientras que una unidad organizativa incide sobre la funcionalidad.
Si un usuario pertenece a un determinado grupo, hereda unos ciertos privilegios que podran permitirle
acceder a unos recursos u otros. Un usuario puede pertenecer a varios grupos. La pertenencia a un grupo no
afecta a las directivas de grupo.
Existen dos tipos de grupos:
Seguridad: utilizan para asignar permisos para acceder a los recursos. Un grupo de seguridad tambin
tiene capacidades de un grupo de distribucin.
Distribucin: Se utilizan grupos de distribucin cuando la nica funcin del grupo no est relacionada con
la seguridad, tal como mandar mensajes de correo electrnico a un grupo de usuarios al mismo tiempo.
No se pueden utilizar grupos de distribucin para asignar permisos
Los grupos los podemos clasificarlos segn su mbito:
Grupos de mbito Dominio Local.- Son grupos que permitirn definir y administrar el acceso a los
recursos en un solo dominio. Estos grupos pueden tener como miembros a los siguientes elementos:
grupos de mbito global, grupos de mbito universal, usuarios del dominio, otros grupos de mbito local
de dominio, una mezcla de los anteriores.
Grupos de mbito Global.- Estos grupos se utilizan para administrar objetos de directorio que requieren
mantenimiento diario, como las cuentas de usuarios y equipos.

Grupos de mbito Universal.- Son grupos utilizados cuando la pertenencia a dicho grupo no cambian

frecuentemente, ya que los cambios de pertenencia de esos grupos hacen que todos los datos de
pertenencia del grupo se repliquen en todos los catlogos globales del bosque del dominio.
Vamos a crear un grupo dentro de la UO, que habamos creado anteriormente, para ello, procedemos a abrir
Usuarios y Equipos de Directorio Activo y seleccionamos la OU grupo1 que hemos creado anteriormente.
Hacemos clic en el botn derecho del ratn > Nuevo > Grupo.

En la siguiente pantalla que nos aparece, introducimos el nombre del grupo como maana, al escribirlo en
la casilla de Nombre de grupo, tambin se rellenar la casilla Nombre de grupo (anterior a Windows
2000) con los mismos caracteres.

Como vemos en la captura anterior, optamos por crear un grupo Global de Seguridad. Pulsamos OK.
Tras esto, podemos ver el nuevo grupo en la OU grupos.

Debemos tener claro la forma en la que vamos a nombrar los grupos. Es necesario hacer un planteamiento o
estudio antes de implantar el Directorio Activo y establecer una serie de normas a la hora de establecer los
nombres de los objetos, no slo de los grupos.

USUARIOS
Denominamos cuentas a los objetos que representan a equipos y usuarios principalmente. Una cuenta
dispone de una serie de atributos, por ejemplo, nombre, contrasea, direccin y telfono de un usuario, que
se establecen en el momento de crearla. Esta creacin se efectuar al nivel de dominio, realmente las
cuentas siempre perteneces a un cierto dominio, o bien al nivel de una unidad organizativa que hayamos
definido con anterioridad.
Las cuentas de usuario se denominan tambin principales de seguridad, ya que son el recurso que permite al
servidor autenticar los inicios de sesin y autorizar o denegar el acceso a los recursos. Cada cuenta puede
contar con una serie de permisos explcitos, a los que se aadiran aquellos definidos en los grupos a los que
pertenezcan.
Una cuenta de usuario se utiliza para:
Autentificar la identidad del usuario.
Autorizar o denegar el acceso a los recursos del dominio.
Administrar otros principales de seguridad.
Auditar las acciones realizadas en las cuentas de usuarios.
En Windows Server los usuarios pueden ser de dos tipos:
Usuarios globales o usuarios de dominio. Estas cuentas se crean en los Servicios de Dominio del
Directorio Activo, se guardan en los controladores de dominio y pueden usarse para conectarse a los
dominios en que estn creadas y a otros dominios en los que se confa.
Usuarios locales. Estas cuentas se crean y guardan en equipos que no son controladores de dominio
y, por tanto no pueden usarse para conectarse a ningn dominio.
Windows Server proporciona dos cuentas de usuarios predefinidas que se crean en el proceso de instalacin.
Las cuentas de usuarios son:
La cuenta de usuario del Administrador, que permite administrar el equipo en que se cre. Esta
cuenta puede ser renombrada o deshabilitada pero no puede ser borrada o quitada del grupo local
de administradores. Es importante renombrar y proteger esta cuenta con una contrasea especial,
as como crear otras cuentas de administradores para proteger mejor la seguridad del servidor.
Tambin es importante no iniciar una sesin como administrador ya que es vulnerable a los ataques
de Troyanos y a diversos problemas de seguridad.
Las cuentas de usuario del Invitado. Normalmente, esta cuenta est deshabilitada, y debera
permanecer de esta manera, pero puede habilitarse si desea que alguien se conecte al equipo o al
dominio con ella, tenga en cuenta que no precisa ninguna contrasea. Esta cuenta puede borrarse y
renombrarse.

PERFILES MVILES Y OBLIGATORIOS


Los perfiles mviles
Este tipo de perfiles es asignado a cada usuario, puede ser modificado por ellos mismos y los cambios
permanecen despus de finalizar la conexin.
Para ello, se guardan los datos del registro del usuario en un archivo llamado ntuser.dat.LOG1 y
ntuser.dat.LOG2. Al finalizar su sesin, el contenido de dichos archivos se copiara al archivo ntuser.dat, de
esa manera, los cambios permanecern para la prxima vez que inicie una sesin.
Los perfiles obligatorios
Este tipo de perfiles tiene la misma estructura que los perfiles mviles pero asegura que los usuarios
trabajen en un entorno comn. Por tanto, los usuarios pueden modificar sus perfiles pero los cambios
realizados se pierden al finalizar la conexin, ya que dichos cambios solo se guardan cuando son realizados
por los administradores. Para ello, se guardan los datos del Registro del usuario en un archivo llamado
ntuser.man, que se encuentra en un subdirectorio con el nombre del usuario dentro de la carpeta
\Usuarios. Cuando el usuario se conecta, este archivo se copia a la categora HKEY-CURRENT-USER del
registro.
Los perfiles super-obligatorios
Este tipo de perfiles tiene la misma estructura que los perfiles obligatorios pero asegura que los usuarios
trabajen con su propio perfil, ya que en caso de no poderlo cargar, no podr iniciar sesin en el equipo.
Creacin de cuentas de usuarios
Despus de aprender a crear Unidades Organizativas, vamos a ver cmo crear cuentas de usuario. Para ello,
tenemos que estar logueados como administradores en el servidor.
Abrimos nuestra MMC personalizada. Nos posicionamos dentro de Usuario y equipos de Directorio Activo
y lo expandimos. Nos posicionamos en la OU grupo1 dentro del dominio clase.com.
Botn derecho > Nuevo > Usuario

En el cuadro de dialogo Nuevo Objeto Usuario, rellenamos los campos que vemos en la captura
siguiente:

Pulsamos Siguiente, y ya tenemos nuestro usuario creado. Creamos tantos usuarios como necesitemos.

Como limitar horas de conexin de un usuario.


Seleccionamos la ficha cuenta de propiedades y pulsamos Horas de inicio de sesin.

Como limitar estaciones de inicio de sesin


Propiedades/cuenta/iniciar sesin

Creacin de cuenta de equipo

AADIR USUARIOS A UN GRUPO


Ahora que ya tenemos el grupo y usuarios creados y vamos a aadirlos al mismo. Seleccionamos el grupo
maana > pulsamos el botn derecho del ratn > seleccionamos propiedades.

Nos posicionamos en la pestaa Miembros.

Pulsamos Agregar, y en la nueva pestaa escribimos los nombres de los usuarios que queremos
aadir al grupo:

Pulsamos Aceptar y ya los hemos aadido.

DELEGACIN DE CONTROL
La delegacin del control es la capacidad para asignar responsabilidad de administracin de objetos de
Active Directory a otros usuario, grupo, u organizacin. Mediante la delegacin pueden eliminarse las
necesidades de mltiples cuentas administrativas que tengan una gran autoridad.
Podemos delegar los siguientes tipos de control:
Permisos de creacin/modificacin de objetos en una OU especfica.
Permisos de modificacin de los atributos de un objeto especfico, como el permiso para reiniciar
contraseas sobre cuentas de usuario.
Por qu delegar control administrativo?
En principio parece que es una buena ayuda para facilitar la carga administrativa de la gestin de una red
mediante una distribucin de una rutina de tareas administrativas a varios usuarios. Una vez delegada la
administracin, se asignan tareas bsicas a usuarios o grupos normales y tareas de administracin del
dominio o del bosque a usuarios de confianza colocndolos en administradores del dominio o
administradores de empresa.
Mediante la delegacin le damos a ciertos grupos mayor control sobre los recursos de la red local. Tambin
ayuda a asegurarla de algn dao accidental o malintencionado limitando la pertenencia de los grupos de
administradores.
La delegacin puede definirse de las formas siguientes:
Cambiar las propiedades para un contenedor en particular
Crear y eliminar objetos de un tipo especfico dentro de una OU, como usuarios, grupos o
impresoras.
Actualizar propiedades especficas en objetos de un tipo especfico dentro de una OU. Por ejemplo,
delegar el permiso a establecer la contrasea a un objeto usuario o a todos los objetos de una OU.

Vamos a nuestra MMC personalizada, una vez all, pulsamos con el botn derecha sobre la UO a la que
vamos a delegar el control.

Pulsamos sobre Delegar control y se nos abrir un Asistente.

Pulsamos Siguiente:

Le damos a Agregar:

Aadimos a los usuarios a los que le vamos a dar privilegios y pulsamos Aceptar.

Pulsamos Siguiente y personalizamos las tareas que se van a delegar.

Siguiente:

VER LOS PERMISOS DELEGADOS


En nuestra MMC personalizada, con nuestra UO marcada, vamos a VER.

Pinchamos en Caractersticas avanzadas:

Se nos abren las propiedades de la UO y vamos a la pestaa de Seguridad:

Seleccionamos el usuario del que queremos saber los permisos.

Pulsamos sobre opciones avanzadas y se nos abren los permisos de todos los usuarios de la UO.

Volvemos a pinchar sobre el usuario deseado.

ELIMINAR Y RESETAR PERMISOS


En primer lugar abrimos Usuarios y Equipos de Active Directory

Ahora seleccionamos una cuenta de usuario, botn derecho y propiedades.

En esta ventana, vamos a la pestaa Seguridad, opciones avanzadas.

Ahora podemos ver todos los permisos de este usuario.


En la parte izquierda vemos el botn Agregar para aadir permisos, Editar y el botn Quitar para eliminar
permisos. Para eliminar un permiso en primer lugar nos posicionamos en l y luego pulsamos el botn
Eliminar.

Tambin haciendo clic en el botn de la parte derecha., podemos restauramos todos los permisos por
defecto para este objeto.

LIMITACIONES DE LA CUENTA
En principio las nuevas cuentas de usuario no caducan nunca y tampoco estn limitadas en cuanto al horario
y los das en que pueden ser utilizadas para iniciar sesin en el dominio. La caducidad de una cuenta puede
ser til en determinados casos.
En la pgina Cuenta de la ventana de propiedades de cada usuario se encuentran la mayora de las opciones
que permiten delimitar el uso de la cuenta. La opcin marcada por defecto es Nunca.
Otro recurso de control, independientemente de que la cuenta tenga o no fecha de caducidad, consiste en
restringir los das y las horas a las que el usuario puede iniciar sesin de dominio. Haciendo clic en el botn

Horas de inicio de sesin acceder a una ventana en la que, mediante la tcnica de arrastrar y soltar, podr
seleccionar los das y horas en los que se permite o no el inicio de sesin.
Igualmente, puede hacer clic en el botn Iniciar sesin en para limitar los ordenadores desde los que se
puede iniciar sesin con esta cuenta. Es una posibilidad que puede usar para impedir que la cuenta sea
usada desde un equipo que no pertenece al usuario.

DIRECTIVAS DE GRUPO
Las directivas de grupo permiten que el administrador de la red pueda controlar con un amplio nivel de
detalle el entorno de trabajo de los clientes (usuarios y equipos del active directory) de forma centralizada.
Facilitando la tarea del administrador de la red.
Para sacar el mximo partido a estas directivas debemos contar con equipo W2008, Windows XP, Vista o 7
como clientes.
La configuracin de Directiva de grupo define los distintos componentes del entorno de escritorio del
usuario que un administrador del sistema necesita gestionar; por ejemplo, los programas que estn
disponibles para los usuarios, los programas que aparecen en el escritorio del usuario y las opciones del
men Inicio. Para crear una configuracin de escritorio especfica para un determinado grupo de usuarios,
utilice el Editor de objetos de directiva de grupo. La configuracin de Directiva de grupo que especifique se
incluye en un objeto de directiva de grupo, que a su vez est asociado con objetos de Active Directory
seleccionados (sitios, dominios o unidades organizativas).
La Directiva de grupo no se aplica slo a los usuarios y a los equipos clientes, tambin se aplica a los
servidores miembros y los controladores de dominio. De modo predeterminado, la Directiva de grupo que se
aplica a un dominio (es decir, que se aplica en el nivel de dominio, directamente sobre la raz de Usuarios y
equipos de Active Directory) afecta a todos los equipos y usuarios del dominio. Tambin se pueden aplicar
directivas de grupo a unidades organizativas.
La Directiva de grupo incluye parmetros de directiva para Configuracin de usuario, que afecta a los
usuarios y para Configuracin de equipo, que afecta a los equipos sin importar el usuario que haya iniciado
sesin.
Con Directiva de grupo puede hacer lo siguiente:
Administrar la directiva basada en el Registro con las plantillas administrativas. La Directiva de grupo crea
un archivo con valores del Registro que se escriben en la parte Usuario o Equipo local de la base de datos del
Registro. La configuracin de perfil de usuario, que es especfica de un usuario que inicia una sesin en una
estacin de trabajo o un servidor dados, se escribe en el Registro bajo HKEY_CURRENT_USER (HKCU) y la
configuracin especfica de equipo se escribe bajo HKEY_LOCAL_MACHINE (HKLM).
Asignar secuencias de comandos. Se incluyen secuencias de comandos tales como inicio, cierre, inicio de
sesin y cierre de sesin del equipo.
Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis imgenes, desde la carpeta
Documentos y Configuracin del equipo local a ubicaciones de red.
Administrar aplicaciones. Con la Directiva de grupo puede asignar, publicar, actualizar o reparar
aplicaciones mediante Instalacin de software de Directiva de grupo.
Especificar las opciones de seguridad.
Para acceder a una directiva de grupo accedemos a las propiedades del objeto sobre el que est la directiva
(sitio, dominio u OU) y escogemos la pestaa directiva de grupo.
Dentro de la pestaa directiva de grupo nos encontramos con las directivas que se aplican a esos objetos y
una serie de botones que nos dan las siguientes funcionalidades:
Nueva: Introducir una nueva directiva de grupo.

Agregar: Introducir una directiva de grupo existente, es decir, previamente creada y configurada en
otro objeto. Esto se ha de realizar cuando queremos que esa directiva se aplique a dicho objeto.

Modificar: Modificamos al directiva de grupo seleccionada. Tambin se puede acceder a esto


haciendo doble clic sobre la directiva de grupo.

Opciones: Nos permite configurar como se resolver en conflicto entre directivas de objetos que se
encuentran en una jerarqua.

Eliminar: Eliminar directiva de grupo.

Propiedades: Entre otras cosas permite hacer que ciertos usuarios se libren de las directivas an
perteneciendo a dicho OU o dominio.

CREACIN DE DIRECTIVAS DE GRUPO


Vamos a ver como ser crea un Objeto de Politica de Grupo y para ello, en primer lugar ebemos acceder al
sevidor como administrador y ejecutar Administrador de directivas de grupo, como se puede ver en la
imagen siguiente:

Si nos posicionamos o abrimos el arbol al nivel de dominio clase.com podemos observar que la estructura
se compone, entre otras cosas, de Unidades Organizativas.
Recordad que en las Unidades Organizativas metamos cuentas de usuario o cuentas de equipo. Aunque
tambin podemos incluir grupos globales, las GPOs solo se pueden asignar por equipo o por usuario.

A continuacin nos posicionamos en Objetos de directiva de grupos qe contiene todas las GPOs que
existen en el dominio clase.com.
Hacemos clic con el botn derecho y seleccionamos Nuevo.

En el siguiente cuadro de dialogo indicamos el nombre que queremos que tenga la nueva GPO y si se basa en
otra, la seleccionariamos en el apartado GPO de inicio de origen. Pero como la nuestra no se basa en
ninguna otra, dejamos ese apartado vacio y pulsamos OK.

Hemos creado una nueva GPO pero est vaca, o mejor dicho, tiene todas las configuraciones por defecto.
Ahora tenemos que editarla para cambiar alguna configuracin que queramos.
Pues eso, botn derecho sobre la GPO y pulsamos Editar.

A continuacin nos aparece la pantalla Editor de Administracin de Directivas de grupo.

Disponemos del apartado Preferencias tanto en la configuracin de usuario como de equipo.

Antes de nada, vamos a explicar un poco para que va a servir esta GPO. Para ello nos posicionamos en la
parte izquierda de la pantalla sobre la raiz de la politica, pulsamos boton derecho y seleccionamos
Propiedades.

Seleccionamos la pestaa Comentario.

Ahora escribimos algo que indique la finalidad de esta GPO.

Cerramos con Aceptar la pantalla anterior y nos movemos por el arbol a: Configuracin de Equipo ->
Directivas -> Configuracin de Windows -> Configuracin de Seguridad-> Firewall de Windows con seguridad
avanzada.
Nos posicionamos en Firewall de Windows con seguridad avanzada como se puede ver en la imagen
siguiente:

Podemos observar la configuracin actual del comportamiento del firewall de windows.


Pulsamos sobre el enlace Propiedades de Windows Firewall y nos aparecer algo parecido a lo siguiente

:
Observamos que el Firewall est activado, pero no configurado.
Como nosotros queremos que el firewall est desactivado para todos los equipos que estan dentro del
dominio, seleccionamos la opcion Inactivo del men desplegable y pulsamos Aceptar.

Al cerrar la pantalla anterior con Aceptar, volvemos a ver los detalles de configuracion del Firewall que
habiamos visto antes, pero en este caso ya podemos ver que el firewall esta configurado como apagado.

Salimos con Salir del Editor de GPOs.

El paso que debemos dar ahora es asignar o vincular la GPO que acabamos de crear a un dominio, sitio o
Unidad Organizativa.
En nuestro caso queremos que se aplique a todos y cada uno de los equipos que tenemos en el dominio, por
consiguiente seleccionamos el dominio clase.com, pulsamos el botn derecho del ratn y seleccionamos
Vincular a una GPO existente.

Tras realizar el proceso anterior, nos muestra todas las GPOs que tenemos para que seleccionemos
una de ellas. Seleccionamos Directiva1 y pulsamos Aceptar.

Ahora vemos, en las propiedades de la GPO, en la pestaa scope que est asignada al dominio
clase.com. Y en la parte inferior de la parte derecha observamos que esta aplicada a todos los usuarios
autentificados.

Con esto conseguimos que todos y cada uno de los equipos que entren en el dominio clase.com, tengan el
Firewall apagado o desconectado. No tenemos que ir uno por uno, realizando esta tarea en todos los
equipos.
Ahora comprobamos si se ha aplicado la directiva que hemos creado, para ello reiniciamos nuestro equipo.
Nos dirigimos al Panel de Control/Firewall de Windows

Y comprobamos que efectivamente la GPO se est aplicando.


CONEXIN DE LA ESTACIN DE TRABAJO.
Desde Windows XP

Panel de control/Conexiones de red/Conexiones de area local/Propiedades


Nos situamos sobre Protocolo Internet TCP/IP, pulsamos Propiedades y activar la casilla obtener
una direccin IP automaticamente si esta instalado un servidor DHCP en Windows Server
2003/2008
Nos situamos Mi PC /Propiedades

Nombre de equipo debemos hacerlo pertecer al dominio de Windows Server que va a conectarse,
para ello pulsar el botn Cambiar, activar la casilla Dominio, escribimos el nombre correspondiente.
Nos pedira el nombre de una cuenta de usuario con su contrasea para poder unir el equipo al
dominio.
Despues de reiniciar el equipo le indicamos el nombre de un usuario del dominio y su contrasea.

Desde Windows 7

Para abrir Sistema, haga clic en el botn Inicio , haga clic con el botn secundario en Equipo y, a
continuacin, haga clic en Propiedades.
En Configuracin de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar la
configuracin.
Si se le solicita una contrasea de administrador o una confirmacin, escriba la
contrasea o proporcione la confirmacin.
Haga clic en la ficha Nombre del equipo y, a continuacin, en Cambiar. Tambin puede hacer clic en
Id. de red para usar el asistente para unirse a un dominio o grupo de trabajo con el fin de
automatizar el proceso de conexin a un dominio y de creacin de una cuenta de usuario de
dominio en el equipo.
En Miembro del, haga clic en Dominio.
Escriba el nombre del dominio al que desea unirse y, a continuacin, haga clic en Aceptar.
Se le pedir que escriba su nombre de usuario y contrasea para el dominio.
Despus de unirse satisfactoriamente al dominio, se le pedir que reinicie el equipo. Debe reiniciar
el equipo para que la nueva configuracin surta efecto.
Si el equipo era miembro de un grupo de trabajo antes de unirse al dominio, se quitar del grupo de
trabajo.

S-ar putea să vă placă și