Es interesante la cantidad de trabajo que ahorra Active Directory cuando se administra una red.

Todo empieza cuando la cantidad de computadoras de la pequea empresa tiende a crecer. Al principio solo existen dos equipos, luego la empresa decide que no es suficiente y es necesario ms poder, ahora hay diez o ms. Enumeremos las amenazas que existen cuando el nmero de computadoras crece: Carpetas compartidas en desorden, virus, prdida del control del acceso de usuarios, permiso a porttiles que se conectan a la red o los sistemas... Sin el servicio de directorio la administracin de la red de computadoras sera un infierno y el administrador el penitente. Afortunadamente existen los servicios de directorio como Active Directory de Microsoft, CentOS Directory Server y OpenLDAP. Los servicios de directorio sirven para recolectar y organizar la informacin de usuarios y recursos (computadoras, impresoras, etc.) de la red. Como aadido el administrador tiene el control del acceso de usuarios a cada recurso. Magnfico un gran invento! El control es interesante y completo, ahorra mucho trabajo a costa de la complejidad de la configuracin. Por ejemplo se puede evitar que los usuarios de la red puedan ejecutar X programa o cambiar la apariencia del escritorio. Tambin se puede establecer configuraciones que hacen ganar tiempo al Administrador cada vez que una computadora se conecta a la red (en realidad la configuracin se descarga a la nueva computadora). Estas bondades son solo el comienzo. Entre los beneficios para un negocio tenemos: La simplificacin de la administracin: El control en un solo punto. Seguridad reforzada: Una sola identidad por usuario para acceder a los recursos de la red. Todos los equipos como uno solo: La conexin de los equipos al directorio da la apariencia de tener una sola computadora maestra con muchos usuarios y el Administrador el seor que controla todo. Sin embargo, tener el servidor funcionando y los usuarios conectados es solo el principio. A continuacin una serie de recomendaciones para mejorar el uso de los servicios de directorio y no morir en el intento. O al menos dejar el infierno a temperatura ambiente. :)

1. Documentar. S, es un trabajo aburrido pero alguien tiene que hacerlo. Desde la direccin IP que tiene una impresora hasta la configuracin de bosques y dominios. Todo debe estar descrito, no olvidemos las polticas de grupo, las excepciones de derechos, los usuarios involucrados, las contraseas, y una lista de cambios realizados. Tambin se debe incluir los antivirus usados, versiones de los programas, el proceso de las copias de respaldo. Como apoyo podemos usar algn programa que catalogue automticamente los recursos de la red. 2. Tener pocos Administradores Es tentador entregar parte del rbol de dominio a cada responsable de sede u rea con derechos tan similares a los del Administrador del dominio o incluso compartir la misma contrasea!. Esta prctica es un error y un riesgo de seguridad. Debe asignar solo las tareas de administracin pertinentes a cada responsable o administrador. Es un trabajo muy tedioso, pero es necesario para cumplir con el compromiso de la seguridad de la informacin. 3. Probar, probar y probar las configuraciones Probar la configuracin cada cierto tiempo es indispensable. Por otra parte, antes de implementar una nueva regla, debe hacerlo en un entorno separado y controlado antes de hacer efectivo el ajuste en los usuarios. Una mquina virtual ser de mucha ayuda. 4. Controle el servidor desde el mismo servidor y no desde escritorio remoto. Es una manera seria, se reduce el riesgo del ataque de malware. Use una cuenta separada para la administracin.

5. Renombrar la cuenta Administrador y debilitar la cuenta Invitado. Adems, revise las alertas de intento de intento de inicio de sesin fallido. Use buenas contraseas. 6. No quite la regla de contraseas seguras Es tentador reducir la regla de contraseas seguras porque los usuarios se quejan de la complejidad. En vez de reducir la regla, ayude a los usuarios a elegir una buena contrasea y tmese tiempo para ensear los beneficios de esta buena prctica. 7. El servidor fsico debe estar seguro Esto es fundamental. Si alguien accede al servidor, podra copiar el catlogo y obtener las contraseas y nombres de usuario. 8. Revise los logs con regularidad. Listas completas se llenan y nadie las revisa. Es como tener un antivirus y nunca hacer caso de las advertencias. Revise los inicios de sesin fallidos, el acceso a los recursos y los cambios de las reglas. Nada debe pasar desapercibido. Convirtase en un experto en las herramientas de administracin. Y la recomendacin final es: seguir buscando buenas prcticas en otras fuentes. Solo as sobrevivir y manejar con rudeza el infierno de las PCs por supuesto y se sentir dueo del castillo. Saludos.

Es relativamente simple. Para tener un dominio necesitas un DOMAIN CONTROLLER. Para lograr que tu server lo sea, debes ejecutar el comando DCPROMO. El dominio debe respetar el esquema de nombres DNS, es decir, MIDOMINIO.LOCAL Normalmente dando siguiente hasta finalizar es suficiente (para no entrar en detalles). Al reiniciar sera bueno que verifiques que el DNS del server apunte a su propia IP, reemplazando el 127.0.0.1. Luego abre la consola (MMC) DNS y en las propiedades de la misma busca la solapa FORWARDERS (REENVIADORES) y agrega las IP de los DNS de tu ISP (proveedor de Internet). Antes de agregar los equipos al dominio, deberas corregir los valores del DHCP. Puedes seguir utilizando el del router si te permite hacer lo que te detallar a continuacin o utilizar el DHCP del mismo server. Los valores del DHCP deben ser: IP: dentro del mismo rango donde se encuentra la IP del SERVER excluyendo la misma para que no se superponga con esta ni la del router. NOTA: cabe mencionar a esta altura que el server debe tener IP FIJA y no asignada por el DHCP. MASCARA: la misma que el server. PUERTA DE ENLACE: la IP del router DNS PREDETERMINADO: la IP del SERVER (recuerda que previamente configuraste FORWARDERS con las IP de los DNS del ISP). Recien ahora te conviene agregar los equipos al dominio. Debes verificar que haya tomado los valores de red correctos segn lo descripto anteriormente. Si son 2000/XP lo puedes hacer desde propiedades del SISTEMA en el "Panel de control" y luego en la solapa NOMBRES vers el campo DOMINIO donde indicaras el nombre del nuevo dominio. Te pedir el nombre de una cuenta vlida en el dominio con su contrasea para agregarlo al dominio. Puedes utilizar la del administrador o la de algn usuario que hayas creado. Con respecto al SQL en principio sigue la recomendacin de NO DEJAR el SA (cuenta de sistema) en blanco. La administracin correcta y detallada de Windows y SQL merece libros de lectura pero con esto ya empieza a funcionar.