Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

ACTIVE DIRECTORY - SEMINARIO TIC 08/09

CONCEPTOS GENERALES:
Antes de nada, y para entender las explicaciones que siguen, vamos a definir algunos conceptos que hay que tener muy claros: Servidor: Ordenador que forma parte de una red y ordenadores de esa red a los cuales se denomina clientes. provee servicios a otros

Grupo de trabajo: Es una forma de agrupar ordenadores que slo nos ofrece la posibilidad de compartir recursos en la red. Cada ordenador del grupo se encarga de forma individual de realizar el control de acceso a los recursos que pone a disposicin de los dems. Esta forma de agrupacin se usa en redes con pocos ordenadores y no permite la administracin centralizada de los recursos ni otras posibilidades tales como la movilidad de los usuarios en la red (perfiles mviles) o la definicin de normas que se aplicarn a los usuarios y equipos de nuestra red (polticas o directivas de grupo) Dominio: Es una forma de agrupacin de ordenadores cuyo objetivo fundamental es que la seguridad de la red este centralizada en uno o ms servidores. En ocasiones, la red es demasiado grande para crear slo un dominio, por lo que aparecen mltiples dominios, cada uno de ellos con servidores que controlan los recursos de su dominio (pensad en una multinacional con sedes en distintos pases). En nuestro centro educativo slo necesitaremos un dominio con un servidor principal y otro de reserva por si el primero falla. Directorio Activo (Active Directory): es un servicio de directorio (base de datos) utilizado para guardar informacin relativa a los recursos de red de un dominio. El Directorio Activo permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Directorio Activo almacena informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios Activos con cientos de objetos para una red pequea hasta Directorios Activos con millones de objetos. Un Directorio Activo (DA) es una estructura jerrquica de objetos. Los objetos se enmarcan en tres grandes categoras. recursos (Ej: impresoras), servicios (Ej: correo electrnico), y usuarios (cuentas, o usuarios y grupos). El DA proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad.

Definidos los anteriores conceptos, vamos a intentar determinar cul es la mejor forma de usar Windows 2003 Server en nuestro centro educativo. Para ello, hemos de tener en cuenta que un ordenador en el que se ejecute Windows 2003 puede desempear tres funciones distintas en una red:

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

Controlador de dominio: Es un servidor que se encarga de la seguridad de un dominio, es decir, administra de forma centralizada toda la informacin correspondiente a usuarios y recursos de su dominio. Todo dominio necesita al menos un controlador. Servidor miembro: Es un equipo en el que se ejecuta Windows 2003 y pertenece al dominio, pero que no acta como controlador de dominio. Puede realizar funciones de servidor de aplicaciones, de impresin, etc. Servidor independiente: Es cuando un servidor se incorpora a un grupo de trabajo en lugar de a un dominio.

Un servidor al que le acabamos de instalar 2003 Server no puede ofrecernos apenas servicios ya que por defecto no vienen instalados y es miembro de un grupo de trabajo. Como mucho, podemos usarlo para albergar en l carpetas sin lmite de usuarios conectados a las mismas y que compartiremos con las mquinas del grupo de trabajo. Tendramos por tanto un Servidor Independiente. Para obtener funcionalidad plena de un servidor con el sistema operativo de red Windows 2003 Server, deberemos instalar el servicio de Directorio Activo (Active Directory), el cual nos permitir centralizar a nuestros usuarios, equipos y recursos compartidos (carpetas, impresoras) para as facilitarnos la administracin de nuestra red. Al instalar Active Directory, nuestro servidor se convertir en un Controlador de Dominio. Una vez instalado Windows 2003 Server en nuestro servidor, y antes de nada, deberemos realizar las siguientes acciones en el orden que aparecen: 1. Instalarle un antivirus. 2. Desinstalar la Configuracin de seguridad mejorada de Internet Explorer. Para ello nos iremos a Panel de control => Agregar o quitar programas => Componentes de Windows y desmarcaremos la casilla Configuracin de seguridad mejorada de Internet Explorer. La razn de desinstalar esto es por la comodidad de no tener que pasar el tercer grado cuando nos conectamos a Internet desde el servidor. Normalmente no usaremos el servidor para navegar y vosotros mismos podis comprobar lo molesto que resulta el hecho de conectarnos a un sitio cuando esta caracterstica est habilitada.

3. Configurar las propiedades de red asignando una IP, mscara, puerta de enlace y servidores DNS de forma que nos podemos conectar a Internet desde l.

4. Conectarse a Windows Update para descargar e instalar todas las actualizaciones que corrijan los posibles fallos de seguridad o mejoren la funcionalidad del software instalado en nuestro servidor. Para ello iremos al men de inicio y pulsaremos Windows Update. Reiniciar y conectarse a Windows Update tantas veces como

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

sea necesario hasta que comprobemos que no quedan actualizaciones por instalar. Hacer esto ahora, nos ahorrar quebraderos de cabeza en el futuro. Una vez hechas las anteriores acciones pasaremos a instalar Active Directory. A ttulo de curiosidad se indican los requisitos mnimos que debe tener la mquina en la que vamos a instalarlo: Microsoft Windows Server 2003 Standar Edition, Enterprise Edition o Datacenter Edition. 250 Megabytes de espacio de disco. 200 MB para la base de datos de Active directory y 50 MB para los logs de transacciones del directorio activo (las mquinas que nos mandar el ISFTIC cumplen de sobra con los requisitos de hardware). Una particin o un volumen con formato NTFS (se entiende que la creamos cuando instalamos 2003 Server). La particin NTFS se requiere para la carpeta SYSVOL. Lo lgico es instalar el sistema operativo en una particin no muy grande y organizar el resto del disco duro del servidor con una o ms particiones para guardar datos. Privilegios necesarios para crear el dominio (somos administradores de la mquina). TCP/IP instalado (tambin lo hemos indicado en la instalacin de 2003).

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

PASOS PARA INSTALAR ACTIVE DIRECTORY:

1. Ir a las propiedades de red e indicar como servidor DNS la propia IP del servidor. Este mismo servidor nos prestar el servicio de DNS:

2. Ir a Inicio => Ejecutar y escribir el comando dcpromo. 3. Pulsamos siguiente. 4. Pulsamos siguiente. 5. Ahora nos da la opcin de crear un dominio nuevo o aadir un controlador adicional a un dominio existente. Nosotros vamos a crear un dominio nuevo por lo que escogeremos esta opcin y seguiremos adelante. 6. Nos preguntar que tipo de dominio queremos crear e indicaremos Dominio en un nuevo bosque. Pulsamos siguiente. 7. Llegado este punto deberemos indicar el nombre del dominio que estamos creando. Tenemos tres posibilidades a la hora de nombrar un dominio: utilizar el mismo nombre que el dominio que tenemos registrado en Internet, utilizar un subdominio de ste o utilizar un nombre distinto para el dominio de Windows. En nuestro caso utilizaremos la tercera opcin. Ej: manjon.local. Es importante poner .local .org .com .es .edu... Pulsamos siguiente. 8. Si en la red tenemos equipos con sistemas operativos antiguos, no van a reconocer el nombre del dominio tal como lo hemos escrito. Por lo tanto deberemos recurrir a su nombre Netbios, que en nuestro ejemplo sera MANJON. Pulsamos siguiente. 9. Nos preguntar por la ubicacin de la base de datos de Active Directory. Dejamos la ubicacin que viene por defecto y pulsamos siguiente.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

10. Crea la carpeta compartida del volumen del sistema. Esta estructura se replica para todos los controladores de dominio que montemos en nuestro dominio. Contiene las siguientes carpetas: La carpeta compartida SYSVOL que contiene la informacin de las polticas de grupo y la carpeta compartida Net Logon, que contienen los logon scripts para computadoras en las que no esta instalado Windows 2003 Server. 11. Nos aparecer un error de diagnostico del servicio DNS ya que Active Directory necesita de DNS para funcionar. Elegiremos la ltima opcin que aparece por defecto en la que se nos propone que este mismo servidor sea configurado como servidor DNS: Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido. Pulsamos siguiente. 12. Elegimos los permisos que nos vienen marcados por defecto (2000 o 2003) y pulsamos siguiente. 13. En el siguiente paso deberemos introducir la contrasea del usuario Administrador que se utilizar en el caso que necesitamos restaurar el directorio ante algn desastre. En este punto debemos tener unas cuantas cosas claras: Al instalar el sistema operativo, se crea el usuario Administrador del equipo (Administrador local) y se establece su contrasea. Al crear el dominio, se crea la cuenta Administrador del dominio, cuya contrasea coincide con la del administrador local. Adems, se permite modificar la contrasea del administrador local, ya que ser la que se utilice en el caso de que sea necesario restaurar el dominio. Esto es lgico, ya que al restaurar el dominio, no puede estar funcionando el servicio Active Directory, por lo que slo podemos usar la cuenta del administrador local. Tras poner esta contrasea, pulsamos siguiente. 14. Cuando llegamos al ltimo paso, el asistente nos mostrar un resumen de la configuracin que hemos establecido en los pasos anteriores. Si alguna cosa no es correcta, este ser el momento de corregirla yendo hacia atrs. Pulsamos siguiente. 15. Para completar la instalacin nos pedir introducir el CD de Windows 2003 Server para copiar algunos ficheros. Si estamos instalando 2003 Server en una mquina virtual podemos introducir el CD fsico o bien conectar al CD virtual una imagen .iso de 2003, indicando su ruta en los settings de la mquina virtual. Pulsamos aceptar. Ahora comenzar un proceso que tardar varios minutos y tras el cual se nos pedir que reiniciemos. Si todo va bien el controlador de dominio estar instalado. Para comprobarlo podemos ir a Mis sitios de red y observar que nos aparece el dominio que hemos creado y que el nico equipo que de momento tenemos es el servidor. Adems en Inicio => Programas => Herramientas administrativas habrn aparecido varios complementos ms relacionados con Active Directory siendo el que ms usaremos el de Usuarios y equipos de Active Directory.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

POLTICAS DE GRUPO:
Lo siguiente que haremos ser instalar la nueva consola de administracin de polticas de grupo la cual podremos descargar en espaol del siguiente sitio:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887

Una vez instalado el paquete (gpmc.msi) deberemos reiniciar aunque no nos lo pide. Podemos comprobar que podemos acceder a dicha herramienta desde Inicio => Programas => Herramientas administrativas => Administracin de directivas de grupo
Nota: Aquellos que descargasteis la versin en ingls podis desinstalar el paquete acudiendo a Inicio => Configuracin => Panel de control => Agregar o quitar programas y desinstalarlo para posteriormente instalar la versin en espaol.

Este paquete nos permitir gestionar las polticas o directivas de grupo de nuestro dominio que no son ms que normas que aplicamos a nuestro sistema para definir como queremos que funcionen determinadas cosas. La consola de administracin de directivas grupo nos permite cambiar la definicin de normas que ya existen o crear otras nuevas. Las polticas de grupo se pueden aplicar a nivel de Sitio, Dominio y Unidad organizativa, entendidos estos como contenedores de objetos del dominio organizados jerrquicamente. Nosotros usaremos los dos ltimos niveles para aplicar nuestras normas. La aplicacin de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explcita una Directiva de Grupo para un contenedor secundario, dicha directiva suplantar a la del contenedor primario, si es que son contradictorias, y se sumar a la anterior si no lo son. Ejemplo de modificacin de una directiva de grupo existente que se aplica a todo el dominio: El primer problema que nos vamos a encontrar cuando decidamos crear un usuario en nuestro dominio, es que si intentamos poner nuestra tpica contrasea 123456, el sistema nos va a decir que no cumple con los requisitos de seguridad de contraseas. En este momento nos damos cuenta que hay una norma en nuestro dominio (poltica o directiva de grupo) que define como han de ser las contraseas de los usuarios. Como la definicin de esa norma nos resulta poco prctica a la hora de asignar contraseas a usuarios, la cambiaremos para que acepte contraseas ms flexibles. En el dominio, hay una poltica por defecto llamada Default Domain Policy, la cual vamos a cambiar para arreglar nuestro problema. Para ello, abrimos la consola de administracin de directivas de grupo o bien nos vamos a Usuarios y equipos de Active Directory en Herramientas Administrativas. Optaremos por esta segunda opcin. Situados en el icono que representa nuestro dominio (manjon.local) haremos clic con el botn derecho. Con esto nos aparecern las propiedades de dicho dominio. Haremos clic en la

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

pestaa Directiva de grupo y pulsaremos Abrir. Se nos abrir entonces la Consola de Administracin de directivas de grupo:

Situados sobre la Default Domain Policy haremos clic con el botn derecho y daremos a Editar. Aparecer el editor de objetos de directiva de grupo y en l recorreremos el siguiente camino: Configuracin del Equipo => Configuracin de seguridad => Directivas de cuenta => Directivas de contraseas => Las contraseas deben cumplir los requerimientos de complejidad => Deshabilitar / Longitud mnima de la contrasea = 0 caracteres La propagacin de las polticas en el directorio lleva un pequeo tiempo. Para que las polticas se apliquen de forma inmediata podemos usar el comando gpupdate en el servidor. Este comando no es efectivo para todos los casos en que definimos una poltica, por ejemplo para polticas de distribucin de software.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

DEFINICIN DE LA ESTRUCTURA DEL DOMINIO. UNIDADES ORGANIZATIVAS. CREACIN DE USUARIOS Y GRUPOS:

Una vez resuelto el problema de las contraseas, el siguiente paso que nos debemos plantear es qu estructura organizativa queremos dar al dominio de nuestro centro, antes incluso de crear el primer usuario. Iremos entonces a la consola de Usuarios y Equipos de Active Directory para crear una estructura funcional. Al abrir dicha consola aparecen una serie de carpetas que han sido creadas por defecto al convertir nuestro servidor en un controlador de dominio:
Carpeta Dominio Computers / Equipos Domain Controlers / Controladores de Dominio Users / Usuarios Builtin ForeignSecurityPrincipals Descripcin Representa el dominio administrado: manjon.local Contendr todos los equipos CLIENTES que se unan posteriormente a nuestro dominio. Contiene todos los controladores de dominio que existen en nuestro dominio. Por ahora slo tenemos uno. Contiene todos los usuarios del dominio, incluyendo a los grupos de usuarios y usuarios que estn definidos por defecto en 2003 Server Contiene todos los grupos de usuarios definidos por defecto en 2003 Server No tendremos otros dominios ni relaciones de confianza entre ellos por lo que no nos afecta ni tenemos que tocar nada aqu.

Realmente, raras veces nos va a hacer falta tocar estas carpetas por lo que crearemos las nuestras propias para organizar nuestros usuarios, equipos y recursos compartidos de la forma que ms nos convenga. Estas carpetas contenedoras de objetos que crearemos reciben el nombre de Unidades Organizativas (UO). De un primer anlisis, podemos deducir que al menos nos hacen falta dos unidades organizativas principales para agrupar a nuestros usuarios: alumnos y profesores. Para crear una nueva UO nos situamos en el icono que representa al dominio y con el botn derecho elegimos Nuevo => Unidad organizativa. Ponemos el nombre y aceptamos. Situados sobre la unidad organizativa donde queramos crear un nuevo usuario, pulsamos con el botn derecho y elegimos Nuevo => Usuario. Indicaremos su nombre y el nombre del inicio de sesin y la contrasea que queremos para ese usuario.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

10

Por defecto el usuario deber cambiar la contrasea que nosotros le ponemos la primera vez que inicia sesin, aunque tambin podemos indicar que la contrasea sea para siempre (La contrasea no caduca nunca). Si deshabilitamos la cuenta, el usuario se crear pero no podr iniciar sesin hasta que la cuenta no sea habilitada de nuevo. Tambin podemos indicar que el usuario no pueda cambiar su contrasea. Todas estas decisiones, al igual que las polticas de grupo que se aplicarn, corren a cargo del administrador. Al hacer doble clic sobre el usuario que acabamos de crear podremos ver y definir todas sus propiedades organizadas en distintas pestaas:

Puede que nos convenga agrupar varios usuarios que van a disfrutar de los mismos privilegios en un grupo. Por ejemplo, podemos agrupar a todos los profesores de un mismo

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

11

departamento en un mismo grupo. Para crear un grupo nos posicionaremos sobre la unidad organizativa sobre la que queremos crear el grupo y con el botn derecho del ratn elegiremos Nuevo => Grupo. Pondremos el nombre, nos cercioraremos de que estamos creando un grupo de Seguridad Global y aceptaremos. Si quisiramos que este grupo contuviese a otros Grupos tendramos que crear un grupo de Seguridad Local. Al hacer doble clic en el grupo recin creado podemos decir qu usuarios sern miembros de ese grupo haciendo clic en la pestaa Miembros y pulsando Agregar. Basta con escribir los nombres de los usuarios separados por un punto y coma. Tambin podemos hacer clic en Avanzadas y hacer una bsqueda para que nos aparezcan los usuarios del dominio y desde ah agregarlos.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

12

UNIR UN EQUIPO CLIENTE AL DOMINIO:

Para unir un equipo cliente al dominio, deberemos hacer login en dicho equipo con un usuario con privilegios para realizar esta accin (preferentemente como administrador). haremos clic en Mi PC, botn derecho del ratn => Propiedades => Pestaa Nombre del Equipo => Botn Cambiar => Elegiremos Dominio y escribiremos el nombre completo del dominio al que queremos unirlo (Ejemplo: manjon.local). Se nos pedir que nos autentifiquemos como un usuario con privilegios para realizar esta accin. Los mismos usuarios que previamente hemos dado de alta en Usuarios y Equipos de Active Directory o el administrador del dominio son los usuarios que tienen potestad para realizar esta accin. Tras unos segundos, se nos dar la bienvenida al dominio y se nos pedir que reiniciemos el equipo.

Para iniciar sesin en la mquina cliente como un usuario del dominio, deberemos indicarlo expresamente en Conectarse a: donde diremos que nos conectaremos a nuestro nombre de dominio (en este caso MANJON). Obsrvese que aqu vemos el nombre NetBios del dominio y no el completo (manjon.local).

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte I

13

Cuando iniciemos sesin, se crear un perfil local (en el disco duro de la mquina cliente). Esto quiere decir que todo el espacio de trabajo de este usuario se almacenar localmente, incluidos sus documentos personales. Puede que esto nos convenga o no dependiendo de las caractersticas de nuestros usuarios. Lo ms normal en este tipo de entornos es que el espacio de trabajo del usuario (perfil de usuario) y sus documentos no residan en la mquina local sino que ambos se almacenen en la red. Esto facilita la movilidad del usuario dentro del centro ya que podr iniciar sesin en cualquier equipo cliente teniendo disponibles sus documentos y su espacio de trabajo (escritorio, favoritos) desde la red. Tambin facilita la realizacin de las copias de seguridad de esos documentos y que habrn de ser programadas por el administrador del dominio. Los perfiles mviles y la forma de guardar los documentos de los usuarios en la red, sern tratados en la segunda parte de este documento.

Nota: Para saber ms o recordar cosillas, podis echar mano del curso de Redes de rea Local: Aplicaciones y servicios en Windows del CNICE, dnde se explican muchos de los conceptos y procedimientos aqu citados.